Hackers are now hiding malware in Windows Event Logs

แฮ็กเกอร์ใช้วิธีการซ่อนมัลแวร์ใน Windows Event Logs

นักวิจัยด้านความปลอดภัยได้ตรวจพบแคมเปญการโจมตีซึ่งใช้ Windows event logs เพื่อจัดเก็บมัลแวร์ ซึ่งเป็นเทคนิคที่ไม่เคยถูกใช้ในการโจมตีมาก่อน โดยวิธีการนี้ทำให้ผู้โจมตีสามารถวาง fileless มัลแวร์ บน file system ได้ ซึ่งวิธีการนี้จะประกอบไปด้วยเทคนิค และโมดูลที่ออกแบบมาเพื่อหลบเลี่ยงการตรวจจับเป็นจำนวนมาก

การเพิ่ม Payload ไปยัง Windows event logs

นักวิจัยจาก Kaspersky ได้รวบรวมตัวอย่างมัลแวร์ที่สามารถตรวจจับได้ และถูกระบุว่าเป็นภัยคุกคามบนคอมพิวเตอร์ของผู้ใช้งาน จากการตรวจสอบพบว่ามัลแวร์เป็นส่วนหนึ่งของแคมเปญ “very targeted” และมีการใช้ชุดเครื่องมือจำนวนมากที่เป็นทั้งแบบ Custom และที่มีจำหน่ายในเชิงพาณิชย์

โดยส่วนที่น่าสนใจของการโจมตีคือการ injecting shellcode payloads เข้าไปใน Windows event logs สำหรับ Key Management Services (KMS) ซึ่งเป็นการดำเนินการโดย custom malware dropper

Denis Legezo หัวหน้านักวิจัยด้านความปลอดภัยของ Kaspersky กล่าวว่าวิธีนี้ถูกใช้เป็นครั้งแรกในแคมเปญการโจมตีจากมัลแวร์

โดยตัว Dropper จะคัดลอกไฟล์จัดการ OS error ที่ชื่อไฟล์ว่า WerFault.

บริษัท Cybersecurity สัญชาติฝรั่งเศส StormShield ถูกแฮก ซอร์สโค้ดผลิตภัณฑ์ถูกขโมย

StormShield บริษัทด้าน Cybersecurity สัญชาติฝรั่งเศสประกาศการตรวจพบการโจมตีและการรั่วไหลข้อมูลซึ่งส่งผลให้ซอร์สโค้ดของผลิตภัณฑ์ด้านความปลอดภัยของบริษัทได้รับผลกระทบจากการโจมตี

บริษัท StormShield เป็นผู้ผลิตโซลูชันด้านความปลอดภัย Unified Threat Management (UTM), อุปกรณ์ไฟร์วอลล์, โซลูชัน Endpoint protection และระบบจัดการไฟล์ที่เน้นด้านความปลอดภัย ลูกค้าส่วนใหญ่ของ StormShield นั้นอยู่ในกลุ่มหน่วยงานราชการของฝรั่งเศส, กองทัพรวมไปถึงลูกค้าแบบ SMB

ในรายละเอียดเกี่ยวกับเหตุการณ์นั้น StormShield ตรวจพบการบุกรุกผ่านทาง Technical portal ซึ่งใช้สำหรับการซัพพอร์ตกับลูกค้า ซึ่งส่งผลให้ส่วนแรกให้ข้อมูลสำหรับยืนยันตัวตนใน Technical portal นั้นได้รับผลกระทบ ต่อมา StormShield ตรวจพบการเข้าถึงซอร์สโค้ดของ Stormshield Network Security (SNS) ซึ่งคาดว่าเป็นการเข้าถึงจากการใช้ข้อมูลยืนยันตัวตนที่ได้มา ในเบื้องต้นไม่พบว่ามีการแก้ไขซอร์สโค้ดโดยผู้โจมตี

ในเบื้องต้น ทาง StormShield ได้มีการจัดการบัญชีใน Technical portal ที่ได้รับผลกระทบแล้ว รวมไปถึงที่มีการเปลี่ยนใบรับรองที่ใช้รับรองผลิตภัณฑ์ของ StormShield ใหม่ ผลลัพธ์ของการโจมตีอาจทำให้ผู้โจมตีซึ่งเข้าถึงซอร์สโค้ดของอุปกรณ์ได้นั้นสามารถใช้ซอร์สโค้ดเพื่อศึกษาการมีอยู่ของช่องโหว่ และนำไปใช้ในการโจมตีต่อไปได้

ที่มา:

bleepingcomputer.

Hackers compromised a Canonical GitHub account, Ubuntu source code was not impacted

บัญชี GitHub ของบริษัท Canonical Ltd. ผู้ผลิต Ubuntu Linux ถูกแฮก

บัญชี GitHub ของบริษัท Canonical Ltd. ผู้ผลิต Ubuntu Linux ถูกแฮกเมื่อวันเสาร์ที่ 6 กรกฎาคม
ทีมรักษาความปลอดภัยของ Ubuntu กล่าวในแถลงการณ์ว่า “เมื่อ 6 กรกฏาคม 2019 มีบัญชี GitHub ที่ใช้ดูแล Canonical ถูกบุกรุกและถูกใช้ไปสร้าง Repository ใหม่ๆ แต่ในตอนนี้ Canonical ได้ทำการลบบัญชีนั้นออกไปแล้ว และยังคงตรวจสอบเรื่อยๆ แต่ยังไม่พบซอร์สโค้ดหรือข้อมูลส่วนบุคคล (PII) ใด ๆ ที่ได้รับผลกระทบ นอกจากนี้โครงสร้างพื้นฐาน Launchpad ที่สร้างและแจกจ่าย Ubuntu นั้นถูกตัดการเชื่อมต่อจาก GitHub และไม่มีข้อบ่งชี้ว่าได้รับผลกระทบ ทีม Ubuntu มีแผนที่จะอัพเดทเมื่อเสร็จสิ้นการตรวจสอบเหตุการณ์ และหลังจากดำเนินการตรวจสอบแก้ไขปัญหาที่จำเป็น โดยก่อนนี้คนร้ายได้ใช้บัญชีที่ได้มาไปสร้าง 11 Repository ใหม่

สองวันก่อนเกิดเหตุการณ์ บริษัท Bad Packets ตรวจพบการการสแกนหาไฟล์คอนฟิคของ Git ผ่านอินเทอร์เน็ตเพื่อหาไฟล์อาจมีการเก็บ Credentials เช่น ไฟล์ที่ใช้ในการจัดการรหัสใน GitHub.

Insane in the domain: Sea Turtle hackers pwn DNS orgs to dash web surfers on the rocks of phishing pages

กลุ่มแฮกเกอร์ชื่อว่า "Sea Turtle" ที่เชื่อว่าได้รับการสนับสนุนจากรัฐบาล โจมตีเพื่อทำการควบคุม DNS ในหลายประเทศ (DNS Hijacking) และใช้เป็นเครื่องมือในการเปลี่ยนเส้นทาง เพื่อหลอกลวงเหยื่อไปยังเว็บไซต์ปลอมและขโมยข้อมูลสำคัญ

เมื่อสัปดาห์ที่ผ่านมามีรายงานจาก Cisco Talos ระบุว่าพบมีหน่วยงานและองค์กรทั้งจากภาครัฐและเอกชนประมาณ 40 แห่งใน 13 ประเทศของตะวันออกกลางและอเมริกาเหนือตกเป็นเหยื่อการโจมตีที่ยาวนานมาตั้งแต่เมื่อประมาณสองปีที่แล้ว โดยผู้โจมตีจะทำการควบคุม DNS Server ของเหยื่อ เพื่อกำหนดเส้นทางการรับส่งข้อมูลไปยังเว็บไซต์ที่ถูกสร้างขึ้นให้เหมือนเว็บไซต์จริงที่ถูกต้อง เพื่อขโมยข้อมูลสำคัญ อย่างเช่นชื่อผู้ใช้งาน และรหัสผ่านสำหรับเข้าสู่ระบบ เพื่อนำไปใช้ขโมยข้อมูลสำคัญในองค์กรต่อไป อย่างเช่น SSL Certificate เป็นต้น

ทั้งนี้เชื่อว่าวิธีการที่กลุ่มแฮกเกอร์ใช้ในการโจมตีครั้งนี้มีทั้งการหลอกให้พนักงานที่อยู่ในบริษัทที่รับจดทะเบียนโดเมนติดตั้งมัลแวร์ผ่านอีเมลหลอกลวงที่ส่งมา (Spear Phishing) และอาศัยช่องโหว่ในระบบเพื่อเข้าถึงระบบ โดยหนึ่งในช่องโหว่ที่เชื่อว่าถูกนำมาใช้คือ ช่องโหว่ที่อนุญาตให้สามารถรันคำสั่งอันตราย (RCE) ผ่าน Telnet ใน Cluster Management Protocol ของ Cisco IOS และ IOS XE Router (CVE-2017-3881)

Cisco Talos ได้แนะนำให้องค์กรที่มีการใช้งาน DNS Record เลือกที่จะใช้งาน Registry Lock Service เพื่อแจ้งให้ทราบเมื่อพบว่ามีความพยายามเปลี่ยนแปลง DNS Record หรือเลือกใช้งาน multi-factor authentication เช่น DUO เพื่อเข้าถึง DNS Record ขององค์กร นอกเหนือจากนี้ไม่ควรมองข้ามการแพทช์เครื่อง server ให้อัพเดทอย่างสม่ำเสมอ

สามารถอ่านข้อมูล IOCs ได้จากรายงานฉบับเต็ม:blog.

Filipino hackers wage cyberwar on Chinese Web sites

หลังจากเกิดเหตุการณ์แฮกเว็บไซต์หลายแห่งในประเทศฟิลิปปินส์เมื่อปีที่แล้ว ล่าสุดลามไปถึงประเทศจีนแล้ว เมื่อมีการแฮกเว็บไซต์กว่า 200 เว็บในจีน เพื่อขู่ยึดดินแดน
ตามรายงานข่าวกลุ่มชาวฟิลิปปินส์ที่ก่อเหตุแฮกเว็บไซต์ในจีนเมื่อสัปดาห์ที่ผ่านมา มีชื่อเรียกกันว่า "Anonymous Philippines" หรือรู้จักกันในนาม "Pinoys" หลังจากเคยก่อเหตุมาแล้วกับเว็บไซต์ในฟิลิปปินส์เมื่อปีที่แล้ว สาเหตุมาจากความไม่พอใจต่อกรณีพิพาทเหนือเกาะในทะเลจีนใต้ที่มีชื่อว่า "Huangyan" ที่ฟิลิปปินส์และจีนมีปัญหากันมาตั้งแต่ปี 2012
อย่างไรก็ตามรายงานข่าวกล่าวว่า นี่ไม่ใช่ครั้งแรกที่แฮกเกอร์กลุ่มนี้แฮกเว็บไซต์ในจีน หลังจากเมื่อปี 2012 มีการแฮกเว็บไซต์ในจีน เพื่อเป็นการตอบโต้ที่แฮกเกอร์ชาวจีนเคยแฮกเว็บไซต์ของมหาวิทยาลัยในฟิลิปปินส์

ที่มา : The Washington Post

Chinese Hackers spied on European Diplomats during recent G20 meetings

บริษัทรักษาความปลอดภัย FireEye ได้ออกรายงานฉบับใหม่ซึ่งเป็นรายละเอียดเกี่ยวกับการจารกรรมไซเบอร์ของกลุ่มแฮกเกอร์ชาวจีน โดยการโจมตีมุ่งไปที่กระทรวงต่างประเทศในยุโรป (European Ministries of Foreign Affairs (MFA)) ในระหว่างการประชุม G20 ที่ผ่านมา นักวิจัย Nart Villeneuve ของบริษัท Fire Eye กล่าวว่า แฮกเกอร์ได้เข้าไปในระบบเน็ตเวิร์คของกระทรวงต่างประเทศซึ่งมีกระทรวงต่างประเทศ 5 ประเทศที่ถูกโจมตี โดยที่รูปแบบการโจมตีของแฮกเกอร์จะเป็นการส่ง อีเมล ที่มีมัลแวร์แนบไปกับอีเมลที่ส่งไปด้วย โดยส่งให้กับเจ้าหน้าที่กระทรวง เพื่อหวังที่จะเข้าไปขโมยข้อมูลสำคัญต่างๆ โดยที่การโจรกรรมข้อมูลในครั้งนี้มีชื่อว่า “Operation Ke3chang” และหากเหยื่อทำการดาวน์โหลดและเปิดไฟล์มัลแวร์ที่ปลอมตัวเองเป็นไฟล์รายละเอียดการแทรกแซงในซีเรีย (US_military_options_in_Syria.