ข้อมูลด้านสุขภาพ ConnectOnCall ของผู้ป่วยกว่า 910,000 รายรั่วไหลจากการถูกโจมตี

Phreesia บริษัทผู้ให้บริการซอร์ฟแวร์ด้านการดูแลสุขภาพ (SaaS) ได้ออกมาแจ้งเตือนผู้เสียหายกว่า 910,000 ราย จากเหตุการณ์ข้อมูลส่วนบุคคล และข้อมูลสุขภาพรั่วไหล จากการที่บริษัทในเครือ ConnectOnCall ถูกโจมตีในเดือนพฤษภาคมที่ผ่านมา ซึ่งเป็นบริษัทที่ acquired มาตั้งแต่เดือนตุลาคม ปี 2023

ConnectOnCall คือ แพลตฟอร์มที่ให้บริการด้านการดูแลสุขภาพแบบทางไกล (Telehealth) โดยสามารถตอบรับสายนอกเวลาทำการพร้อมทั้งติดตามการโทรของผู้ป่วยแบบอัตโนมัติ ซึ่งเป็นบริการสำหรับผู้ให้บริการด้านการดูแลสุขภาพ

ทางบริษัทระบุว่า “เมื่อวันที่ 12 พฤษภาคม 2024, ConnectOnCall รับทราบถึงปัญหาที่ส่งผลกระทบต่อ ConnectOncall และเริ่มดำเนินการตรวจสอบทันที รวมถึงดำเนินการในส่วนที่จำเป็นสำหรับการรักษาความปลอดภัยของผลิตภัณฑ์ และรับรองความปลอดภัยโดยรวมของบริษัท”

“การสอบสวนโดย ConnectOnCall มีการเปิดเผยว่า ในช่วงระหว่างวันที่ 16 กุมภาพันธ์ 2024 และ 12 พฤษภาคม 2024 มีกลุ่มผู้ไม่หวังดีสามารถเข้าถึง ConnectOnCall และ ข้อมูลบางส่วนในแอปพลิเคชันได้ ซึ่งรวมไปถึงข้อมูลเฉพาะที่จำเป็นในการให้บริการการสื่อสารระหว่างผู้ป่วย และผู้ให้บริการ”

ภายหลังจากการค้นพบการรั่วไหลของข้อมูล ทาง Phreesia ได้แจ้งไปยังหน่วยงานบังคับใช้กฏหมายของรัฐฯ เกี่ยวกับเหตุการณ์ความเสียหายที่เกิดขึ้น รวมทั้งดำเนินการจ้างผู้เชี่ยวชาญด้านความปลอดภัยทางไซเบอร์จากภายนอกเพื่อตรวจสอบลักษณะ และผลกระทบจากเหตุการณ์ดังกล่าว

Phreesia ได้หยุดให้บริการ ConnectOnCall ชั่วคราวโดยปรับเป็นแบบออฟไลน์ รวมทั้งดำเนินการกู้คืนระบบพร้อม ๆ กันกับสร้างสภาพแวดล้อมใหม่ให้ระบบที่จะกู้คืนมาได้ปลอดภัยมากยิ่งขึ้น

ถึงแม้ว่าคำแถลงการณ์ดังกล่าวจะไม่ได้ระบุถึงจำนวนผู้ที่ได้รับผลกระทบ โดยทาง ConnectOnCall ได้แจ้งกับทางกระทรวงสาธารณสุข และบริการมนุษย์ของสหรัฐอเมริกา (U.S. Department of Health and Human Services) ถึงเหตุการณ์ข้อมูลถูกละเมิด ที่ส่งผลกระทบต่อข้อมูลสุขภาพที่ได้รับการคุ้มครองของผู้ป่วยกว่า 914,138 ราย ดังรูป

ข้อมูลส่วนบุคคลที่ถูกเปิดเผยในช่วงสามเดือนที่ข้อมูลถูกละเมิดนั้น เป็นข้อมูลการสื่อสารระหว่างผู้ป่วยหลายราย และผู้ให้บริการทางการแพทย์หลายเจ้า เช่น ชื่อ, เบอร์โทรศัพท์

นอกจากนี้ยังอาจรวมถึงหมายเลขเวชระเบียน, วันเดือนปีเกิด รวมถึงข้อมูลที่เกี่ยวข้องกับสภาวะสุขภาพ, การรักษา หรือใบสั่งยา และในบางกรณียังรวมไปถึงเลขประกันสังคม (Social Security Numbers) ของผู้ป่วยที่ได้รับผลกระทบอีกด้วย

Phreesia ได้ระบุในคำแถลงการณ์บนเว็บไซต์อย่างเป็นทางการว่า “บริการ ConnectOnCall ถูกแยกออกจากบริการอื่น ๆ ของ Phreesia อยู่แล้ว ซึ่งรวมไปถึงการแยกข้อมูลของผู้ป่วยที่นำเข้ามาในแพลตฟอร์มเช่นกัน โดยอ้างอิงจากการตรวจสอบจนถึงปัจจุบัน พบว่าไม่มีหลักฐานใดที่บ่งบอกว่าระบบบริการอื่น ๆ ของบริษัทได้รับผลกระทบจากเหตุการณ์ดังกล่าว”

“บริษัทเข้าใจถึงความสำคัญของบริการนี้ต่อธุรกิจของลูกค้า และกำลังพยายามดำเนินการกู้คืนระบบบริการ ConnectOncall เพื่อให้สามารถกลับมาให้บริการได้อย่างรวดเร็วที่สุดเท่าที่จะเป็นไปได้ ”

นอกจากนี้ทาง Phreesia ยังได้ให้คำแนะนำกับบุคคลที่อาจได้รับผลกระทบจากการโจรกรรมข้อมูลส่วนบุคคล หรือการแอบอ้าง, การฉ้อโกงต่อบริษัทประกันภัย, แผนประกันสุขภาพ หรือสถาบันทางการเงินของตนเอง ถึงแม้ว่าทางบริษัทจะยังไม่พบหลักฐานที่บ่งชี้ว่ามีการนำข้อมูลที่โจรกรรมได้ออกไปนั้นไปใช้งานในทางที่ผิดก็ตาม

ที่มา : bleepingcomputer.

แฮ็กเกอร์ขโมยเงินหลายล้านดอลลาร์จากธนาคารกลางแห่งยูกันดา

เจ้าหน้าที่รัฐบาลยืนยันในสัปดาห์นี้ว่า กลุ่มผู้ไม่หวังดีที่มีแรงจูงใจด้านการเงินได้โจมตีระบบของธนาคารกลางแห่งยูกันดา

เจ้าหน้าที่ธนาคารกลางแห่งยูกันดายืนยันเมื่อวันพฤหัสบดี (28 พฤศจิกายน 2024) ว่า "ธนาคารกลางแห่งชาติได้รับความเสียหายจากการถูกโจมตีทางไซเบอร์โดยกลุ่มผู้ไม่หวังดีที่มีแรงจูงใจด้านการเงิน ซึ่งขณะนี้กรมสอบสวนคดีอาญาของตำรวจ และสำนักงานการตรวจเงินแผ่นดินกำลังสอบสวนเหตุการณ์นี้" (more…)

F5 แจ้งเตือนช่องโหว่การยกระดับสิทธิ์บน BIG-IP

F5 เผยแพร่การพบช่องโหว่ในฟังก์ชัน BIG-IP monitor ที่อนุญาตให้ Hacker ที่ผ่านการยืนยันตัวตน ที่มีสิทธิ์เป็น Manager role เป็นอย่างน้อย สามารถยกระดับสิทธิ์ หรือแก้ไขการกำหนดค่าได้

CVE-2024-45844 (คะแนน CVSS 7.2/10 ความรุนแรงระดับ High) เป็นช่องโหว่การยกระดับสิทธิ์ (Privilege Escalation) ที่อนุญาตให้ Hacker ที่ผ่านการยืนยันตัวตน ซึ่งมีสิทธิ์ Manager role ขึ้นไป ที่มีสิทธิ์เข้าถึง Configuration utility หรือ TMOS Shell (tmsh) สามารถยกระดับสิทธิ์ของตน และโจมตีระบบ BIG-IP ได้ ทั้งนี้ช่องโหว่ดังกล่าวไม่เกี่ยวข้องกับ data plane แต่ส่งผลกระทบต่อ control plane เท่านั้น ถูกค้นพบโดย myst404 (@myst404_) นักวิจัยจาก Almond

CVE-2024-45844 ส่งผลกระทบต่อ BIG-IP เวอร์ชันดังต่อไปนี้ :

17.1.0 - 17.1.1 >> อัปเดตเป็นเวอร์ชัน 17.1.1.4

16.1.0 - 16.1.4 >>  อัปเดตเป็นเวอร์ชัน16.1.5

15.1.0 - 15.1.10 >> อัปเดตเป็นเวอร์ชัน15.1.10.5

การลดผลกระทบ

หากผู้ดูแลระบบยังไม่สามารถแก้ไขช่องโหว่ได้ในทันที ทาง F5 ได้แนะนำผู้ดูแลระบบทำการจำกัดสิทธิ์การเข้าถึง Configuration utility หรือ command line ผ่าน SSH เฉพาะผู้ที่ได้รับอนุญาติ หรือมีสิทธิ์เท่านั้น เพื่อป้องกันการถูกโจมตีจากช่องโหว่ จนกว่าจะสามารถทำการอัปเดตเพื่อแก้ไขช่องโหว่ได้

ที่มา : https://my.

‘sedexp’ มัลแวร์บน Linux ที่แฝงตัวในระบบ และหลีกเลี่ยงการตรวจจับนานกว่า 2 ปี

Stroz Friedberg ซึ่งเป็น risk management firm ของบริษัท Aon Insurance เป็นผู้ค้นพบ 'sedexp' มัลแวร์บน Linux ซึ่งได้แฝงตัวในระบบ และหลีกเลี่ยงการตรวจจับมาได้ตั้งแต่ปี 2022 ทำให้สามารถสร้าง reverse shell สำหรับการเข้าถึงจากระยะไกล และขยายการโจมตีบนระบบต่อไปได้ โดยใช้เทคนิค persistence “udev rule” ที่ไม่มีอยู่ใน MITRE ATT&CK framework รวมถึงนักวิจัยตั้งข้อสังเกตว่า sedexp เป็น advanced threat ที่ซ่อนตัวอยู่ในเครือข่ายของเป้าหมาย

(more…)

แฮ็กเกอร์ชาวจีนใช้ช่องโหว่ Zero-Day ใน Cisco Switch เพื่อเข้าควบคุมระบบเป้าหมาย

มีการเปิดเผยรายละเอียดเกี่ยวกับกลุ่มแฮ็กเกอร์ชาวจีน ที่ได้โจมตีช่องโหว่ด้านความปลอดภัยที่เพิ่งถูกเปิดเผย และได้รับการแก้ไขไปแล้วในสวิตช์ของ Cisco โดยการใช้ช่องโหว่ zero-day เพื่อเข้าควบคุมอุปกรณ์ และหลบเลี่ยงการตรวจจับ

(more…)

การโจมตีฟิชชิงแบบ ZeroFont รูปแบบใหม่ หลอก Outlook ให้แสดงผลการแสกน AV ปลอม

แฮ็กเกอร์กำลังใช้เทคนิคใหม่ โดยการใช้ตัวอักษรฟอนต์ขนาดศูนย์ในอีเมล เพื่อทำให้อีเมลที่เป็นอันตรายดูเหมือนถูกสแกนอย่างปลอดภัยโดยเครื่องมือรักษาความปลอดภัยใน Microsoft Outlook

แม้ว่าเทคนิคการฟิชชิงแบบ ZeroFont จะเคยถูกใช้มาแล้วในอดีต แต่นี่เป็นครั้งแรกที่มีการบันทึกว่าถูกใช้ในรูปแบบนี้

ในรายงานใหม่ของนักวิเคราะห์จาก ISC Sans ชื่อ Jan Kopriva นักวิจัยเตือนว่าเทคนิคนี้อาจมีผลต่อประสิทธิภาพในการดำเนินการการโจมตีฟิชชิงอย่างมาก และผู้ใช้ควรรับรู้ถึงวิธีการดังกล่าว และการใช้งานในการโจมตีจริง

การโจมตีแบบ ZeroFont

วิธีการโจมตี ZeroFont ซึ่งจัดทำเอกสารโดย Avanan ในปี 2018 เป็นเทคนิคการฟิชชิงที่ใช้ประโยชน์จากช่องโหว่ที่ใช้ AI และnatural language processing (NLP) ในแพลตฟอร์มความปลอดภัยของอีเมล

วิธีการโจมตีนี้เกี่ยวข้องกับการแทรกคำ หรืออักขระที่ซ่อนอยู่ในอีเมลโดยการตั้งค่าขนาดฟอนต์เป็นศูนย์ ซึ่งทำให้เป้าหมายไม่สามารถมองเห็นข้อความนั้นได้ แต่ยังคงอ่านได้ด้วย NLP algorithms

การโจมตีนี้มุ่งเน้นการหลีกเลี่ยงอุปกรณ์ตรวจสอบด้านความปลอดภัยโดยการแทรกคำ หรือข้อความที่ไม่เป็นอันตราย แต่เป็นคำศัพท์ที่มองไม่เห็นลงในเนื้อหาที่เป็นข้อความที่มองเห็นได้ ซึ่งส่งผลให้ AI ตีความเนื้อหา และตรวจสอบความปลอดภัยผิดพลาด

ในรายงานปี 2018 Avanan เตือนว่า ZeroFont สามารถหลีกเลี่ยง Advanced Threat Protection (ATP) ของ Microsoft Office 365 ได้ แม้ว่าอีเมลจะมีคำที่เป็นอันตรายก็ตาม

การซ่อนการสแกนไวรัสปลอม

ในอีเมลฟิชชิ่งตัวใหม่ที่ Kopriva พบ ผู้โจมตีใช้การโจมตีแบบ ZeroFont เพื่อปรับแต่งการแสดงตัวอย่างข้อความบนโปรแกรมอีเมลที่ใช้กันอย่างแพร่หลาย เช่น Microsoft Outlook

อีเมลที่ระบุถึงนั้น แสดงข้อความที่เป็นอันตรายปรากฏขึ้นเป็นข้อความปกติในอีเมลของ Outlook แต่มีเนื้อหาที่แตกต่างกันเมื่อดูตัวอย่างอีเมล

หน้าต่างรายการอีเมลจะแสดงข้อความ 'Scanned and secured by Isc®Advanced Threat protection (APT): 9/22/2023T6:42 AM' ในขณะที่ส่วนเริ่มต้นของอีเมลในมุมมองการดูตัวอย่าง/อ่าน แสดงข้อความว่า 'Job Offer | Employment Opportunity.

Hackers ใช้ช่องโหว่ในปลั๊กอินของ WordPress ที่ยังไม่ได้รับการแก้ไขในการปกปิดการสร้างบัญชีผู้ดูแลระบบ

ปัจจุบันมีจำนวนเว็บไซต์ WordPress มากถึง 200,000 เว็บไซต์ที่มีความเสี่ยงต่อการโจมตีโดยใช้ช่องโหว่ด้านความปลอดภัยระดับ Critical ที่ยังไม่ได้รับการแก้ไขในปลั๊กอิน Ultimate Member

ช่องโหว่นี้มีหมายเลข CVE-2023-3460 (คะแนน CVSS: 9.8) มีผลกระทบต่อเวอร์ชันทั้งหมดของปลั๊กอิน Ultimate Member รวมถึงเวอร์ชันล่าสุด (เวอร์ชัน 2.6.6) ที่ปล่อยออกมาเมื่อวันที่ 29 มิถุนายน 2023

Ultimate Member เป็นปลั๊กอินที่ได้รับความนิยมสำหรับการสร้างโปรไฟล์ผู้ใช้งาน และชุมชนบนเว็บไซต์ WordPress โดยยังมีฟีเจอร์การจัดการบัญชีให้ใช้งานอีกด้วย

WPScan บริษัทความปลอดภัยของ WordPress ได้แจ้งเตือนว่า "ช่องโหว่ดังกล่าวมีความอันตรายมาก เนื่องจากผู้โจมตีที่ไม่ผ่านการตรวจสอบสิทธิ์อาจใช้ช่องโหว่นี้เพื่อสร้างบัญชีผู้ใช้ใหม่ที่มีสิทธิ์ของผู้ดูแลระบบ ซึ่งจะทำให้พวกเขามีสิทธิ์ในการควบคุมเว็บไซต์ที่ได้รับผลกระทบ"

แม้ว่าจะยังไม่มีรายละเอียดเกี่ยวกับช่องโหว่ แต่ช่องโหว่นี้เกิดจาก blocklist logic ที่ไม่เหมาะสม ซึ่งถูกนำเข้ามาเพื่อเปลี่ยนค่าของ wp_capabilities ในข้อมูลของผู้ใช้งานใหม่ให้เป็นผู้ดูแลระบบ และทำให้ผู้โจมตีได้รับสิทธิ์การเข้าถึงเต็มรูปแบบของเว็บไซต์

นักวิจัยจาก Wordfence ชื่อ Chloe Chamberland ระบุว่า "แม้ว่าปลั๊กอินจะมีรายการคีย์ที่ถูกห้ามตามที่กำหนดไว้ล่วงหน้า ซึ่งผู้ใช้งานไม่ควรสามารถอัปเดตได้ แต่ก็มีวิธีเล็ก ๆ น้อย ๆ ในการเลี่ยงผ่านการตรวจสอบ เช่นการใช้ตัวอักษรต่าง ๆ, slashes และการเข้ารหัสตัวอักษรในค่า meta key ที่มีช่องโหว่ในเวอร์ชันของปลั๊กอิน"

ช่องโหว่นี้ถูกเปิดเผยขึ้นภายหลังจากที่มีรายงานเกี่ยวกับการเพิ่มบัญชีผู้ดูแลระบบที่ไม่ถูกต้องไปยังเว็บไซต์ที่ได้รับผลกระทบ ส่งผลให้ผู้ดูแลปลั๊กอินต้องออกเวอร์ชันแก้ไขบางส่วนในเวอร์ชัน 2.6.4, 2.6.5, และ 2.6.6 โดยการอัปเดตใหม่คาดว่าจะถูกปล่อยในเร็ว ๆ นี้

Ultimate Member ระบุในบันทึกการอัปเดตว่า "ช่องโหว่ในการยกระดับสิทธิพิเศษที่ใช้ผ่าน UM Forms ทำให้ผู้โจมตีสามารถสร้างผู้ใช้งาน WordPress ระดับผู้ดูแลระบบได้"

WPScan ระบุว่าการแก้ไขช่องโหว่ยังไม่สมบูรณ์ และพบวิธีการหลีกเลี่ยงการตรวจสอบที่สามารถใช้ได้ ซึ่งหมายความว่าช่องโหว่ยังคงสามารถถูกนำมาใช้ประโยชน์ในการโจมตีได้อย่างต่อเนื่อง

ในการโจมตีที่ตรวจพบ ช่องโหว่ถูกนำมาใช้ในการลงทะเบียนบัญชีใหม่ในชื่อ apadmins, se_brutal, segs_brutal, wpadmins, wpengine_backup, และ wpenginer เพื่ออัปโหลดปลั๊กอินที่เป็น malware และ themes ผ่านทาง administration panel ของเว็บไซต์

ผู้ใช้งาน Ultimate Member ควรปิดการใช้งานปลั๊กอินจนกว่าจะมีการแก้ไขที่เหมาะสม ในการปิดช่องโหว่ด้านความปลอดภัยได้อย่างสมบูรณ์ นอกจากนี้ยังแนะนำให้ตรวจสอบผู้ใช้งานระดับผู้ดูแลระบบทั้งหมดบนเว็บไซต์เพื่อตรวจสอบว่ามีบัญชีที่ไม่ได้รับอนุญาตถูกเพิ่มเข้ามาหรือไม่

Ultimate Member เวอร์ชัน 2.6.7 ถูกปล่อยออกมาแล้ว

Ultimate Member ได้ปล่อยแพตซ์อัปเดตเวอร์ชัน 2.6.7 ของปลั๊กอิน เมื่อวันที่ 1 กรกฎาคม 2023 เพื่อแก้ไขช่องโหว่การเพิ่มสิทธิ์ที่กำลังถูกนำมาใช้ในการโจมตีอย่างต่อเนื่อง ในมาตรการความปลอดภัยเพิ่มเติม ผู้พัฒนายังวางแผนที่จะเพิ่มคุณสมบัติใหม่ในปลั๊กอินเพื่อให้ผู้ดูแลเว็บไซต์สามารถรีเซ็ตรหัสผ่านสำหรับผู้ใช้งานทั้งหมดได้

ผู้พัฒนาระบุว่า "ในเวอร์ชัน 2.6.7 ได้ทำการเพิ่มรายการที่อนุญาตให้ใช้งานเฉพาะ (whitelisting) สำหรับ meta keys ที่เก็บไว้ขณะที่ sending forms" และยังแยกข้อมูลการตั้งค่าแบบฟอร์ม, ข้อมูลที่ส่งเข้ามาแยกกัน และดำเนินการด้วยตัวแปรสองตัวที่แตกต่างกัน

ที่มา: https://thehackernews.

พบ ESXiArgs Ransomware ตัวใหม่ ปรากฏขึ้นหลังจาก CISA เปิดตัวเครื่องมือถอดรหัส ESXiArgs

พบ ESXiArgs Ransomware ตัวใหม่ ปรากฏขึ้นหลังจากสำนักงานความมั่นคงปลอดภัยทางไซเบอร์ และโครงสร้างพื้นฐานของสหรัฐ CISA เปิดตัวเครื่องมือถอดรหัสเพื่อกู้คืนข้อมูล สำหรับเหยื่อที่ได้รับผลกระทบจากการโจมตีของ ESXiArgs Ransomware

โดยรายงานจากผู้ดูแลระบบในฟอรัมออนไลน์ พบว่าไฟล์ที่มีขนาดใหญ่กว่า 128MB จะมีการเข้ารหัสข้อมูลแบบ 50% ทำให้กระบวนการกู้คืนมีความลำบากยิ่งขึ้น รวมถึงการลบที่อยู่ Bitcoin ออกจากบันทึกเรียกค่าไถ่ เพื่อให้เหยื่อติดต่อพวกเขาบน Tox แทน เพื่อรับข้อมูลสำหรับการชำระค่าไถ่ เนื่องจากกลุ่ม Hacker รู้ว่าตนเองกำลังถูกติดตามอยู่ รวมถึงวิธีการโจมตีที่ใช้นั้นสามารถป้องกันได้อย่างง่ายดาย จึงได้มีการปรับปรุงรูปแบบการโจมตี (more…)

พบช่องโหว่ระดับความรุนแรงสูงบน jsonwebtoken กระทบโครงการมากกว่า 22,000 โครงการ

นักวิจัยของ Unit 42 หน่วยงานวิจัยด้านความปลอดภัยของ Palo Alto Networks ได้ออกเผยแพร่รายงานการพบช่องโหว่บน jsonwebtoken (JWT) ที่มีหมายเลข CVE-2022-23529 ซึ่งส่งผลให้ Hackers ที่สามารถโจมตีได้สำเร็จสามารถสั่งรันโค้ดที่เป็นอันตรายจากระยะไกลได้

CVE-2022-23529 (คะแนน CVSS: 7.6 ระดับความรุนแรงสูง) เป็นช่องโหว่ของ JSON web token (JWT) ที่สามารถสั่งรันโค้ดที่เป็นอันตรายจากระยะไกล (Remote Code Execution RCE) บนเซิร์ฟเวอร์เป้าหมายได้

jsonwebtoken ถูกพัฒนาและดูแลโดย Auth0 ของ Okta โดยเป็นโมดูล JavaScript ที่ช่วยให้ผู้ใช้สามารถถอดรหัส ตรวจสอบ และสร้างโทเค็นเว็ป JSON เพื่อเป็นวิธีการส่งข้อมูลอย่างปลอดภัยระหว่างสองฝ่าย เพื่อการตรวจสอบสิทธิ์การใช้งาน และการตรวจสอบความถูกต้อง โดยมีการดาวน์โหลดไปแล้วมากกว่า 10 ล้านครั้งต่อสัปดาห์ใน npm software และมีการใช้งานมากกว่า 22,000 โครงการ

การโจมตี

Hackers จะทำการโจมตีบนเซิร์ฟเวอร์เป้าหมายผ่านทาง jsonwebtoken ที่มีช่องโหว่ เพื่อสั่งรันโค้ดที่เป็นอันตรายจากระยะไกล รวมไปถึงการเขียนข้อมูลทับ หรือเข้ารหัสไฟล์บนเครื่องที่ถูกโจมตีผ่านทาง secret management process โดยใช้ secretOrPublicKey value ที่มีช่องโหว่

jsonwebtoken เวอร์ชันที่ได้รับผลกระทบ

jsonwebtoken ตั้งแต่เวอร์ชัน 8.5.1 ลงไป

วิธีการป้องกัน

ดำเนินการอัปเดตเป็น jsonwebtoken เวอร์ชัน 9.0.0 เพื่อป้องกันความเสี่ยงจากการถูกโจมตี

ที่มา : thehackernews

กลุ่ม BlueNoroff ใช้วิธีใหม่ในการ Bypass การป้องกันจาก Windows MotW

Kaspersky บริษัทด้านความปลอดภัยจากรัสเซียได้เปิดเผยการค้นพบเทคนิคใหม่ในการโจมตีของกลุ่ม BlueNoroff ที่ใช้ในการ bypass การตรวจจับจาก Windows MotW (Mark of the Web) ซึ่งรวมถึงการใช้ไฟล์ .ISO และ .VHD ในการโจมตีเหยื่อ

การโจมตี

โดยกลุ่ม BlueNoroff จะโจมตีเป้าหมายด้วยการส่งไฟล์ .ISO ที่แนบมากับ Phishing Email ซึ่งภายในมีไฟล์ Microsoft PowerPoint (.PPSX) ที่ถูกฝัง Visual Basic Script (VBScript) เอาไว้ที่จะทำงานเมื่อเป้าหมายเปิดไฟล์ PowerPoint

อีกวิธีการหนึ่งคือการใช้ Windows batch file โดยการใช้ประโยชน์จากเทคนิค living-off-the-land binary (LOLBin) เพื่อทำการดาวน์โหลดเพย์โหลดสำหรับการโจมตีขั้นต่อไป

นอกจากนี้ Kaspersky ยังพบไฟล์ .VHD ซึ่งภายในมีไฟล์ PDF ใบสมัครงานปลอม เมื่อเป้าหมายเปิดไฟล์ PDF จะทำการดาวน์โหลดมัลแวร์ที่ปลอมเป็นโปรแกรม Anti-Virus เพื่อทำการปิดระบบ User-Mode Hooks/ NTDLL.dll hooking ของ Anti-Virus หรือ EDR (Endpoint Detection and Response ) ที่ติดตั้งอยู่บนเครื่อง ทำให้ไม่สามารถตรวจจับการโจมตีได้

กลุ่ม BlueNoroff

BlueNoroff ** ซึ่งมีชื่อเรียกอีกอย่างว่า APT38 เป็นส่วนหนึ่งของกลุ่ม Lazarus threat group ซึ่งเป็นกลุ่ม Hackers ขนาดใหญ่ที่ได้รับการสนับสนุนจากรัฐบาลเกาหลีเหนือ (Nation-State Threat Actor) มีเป้าหมายในการโจมตีคือ การเรียกค่าไถ่จากเหยื่อ โดยได้แทรกซึม และเกี่ยวข้องกับเหตุการณ์โจมตีในหลายภูมิภาคทั้งอเมริกาเหนือและใต้ ยุโรป แอฟริกา และเอเชีย

กลุ่ม BlueNoroff ได้เริ่มต้นโจมตีเป้าหมายในอุตสาหกรรมการเงิน ไม่ว่าจะเป็นเหตุการณ์โจมตีเครือข่ายธนาคาร SWIFT ในปี 2015 และการโจมตีธนาคารในบังคลาเทศ ซึ่งมีมูลค่าความเสียหายถึง 81 ล้านดอลลาร์ ต่อมากลุ่ม BlueNoroff ได้เปลี่ยนเป้ามายการโจมตีมายังอุตสาหกรรม Cryptocurrency ในปี 2018

โดยทาง Kaspersky ได้ค้นพบแคมเปญการโจมตีที่ชื่อ SnatchCrypto เพื่อขโมยเงินจาก cryptocurrency wallets ของเหยื่อ รวมถึงการการสร้างแอป Cryptocurrency ปลอม เพื่อให้เหยื่อดาวน์โหลดแอปพลิเคชั่นซึ่งได้ฝังแบ็คดอร์ในชื่อ “AppleJeus” ที่สามารถขโมย Cryptocurrency ของเหยื่อได้

ในปี 2022 นี้ พบว่ากลุ่ม BlueNoroff ได้สร้างโดเมนปลอมจำนวนมากโดยแอบอ้างเป็นบริษัทร่วมทุน และธนาคารของญี่ปุ่นที่ถูกต้องตามกฎหมาย แสดงให้เห็นว่าบริษัทการเงินในประเทศญี่ปุ่น กำลังตกเป็นเป้าหมายในการโจมตีของกลุ่ม BlueNoroff

จากรายงานของ National Intelligence Service (NIS) ของเกาหลีใต้ กลุ่ม BlueNoroff หรือ APT38 ซึ่งเป็นกลุ่ม Hacker ที่ได้รับการสนับสนุนจากรัฐบาลเกาหลีเหนือ ได้สร้างความเสียหาย และขโมยเงินดิจิทัล และสินทรัพย์ดิจิทัลอื่น ๆ มูลค่ากว่า 1.2 พันล้านดอลลาร์จากเป้าหมายทั่วโลกในช่วงห้าปีที่ผ่านมา

ที่มา : thehackernews