พบช่องโหว่ Zero-Day การเรียกใช้โค้ดที่เป็นอันตรายจากระยะไกลบน Paloalto GlobalProtect

พบช่องโหว่ Zero-Day การเรียกใช้โค้ดที่เป็นอันตรายจากระยะไกลบน Paloalto GlobalProtect

เมื่อวันที่ 10 เมษายน 2024 Volexity ตรวจพบการโจมตีโดยใช้ช่องโหว่ Zero-Day ของ GlobalProtect ซึ่งเป็นฟีเจอร์หนึ่งของ Palo Alto Networks PAN-OS จากหนึ่งในลูกค้าของพวกเขา โดย Volexity พบการแจ้งเตือนที่น่าสงสัยบนเครือข่าย ซึ่งมาจากไฟร์วอลล์ของลูกค้า

จากการตรวจสอบเพิ่มเติมพบว่าอุปกรณ์ดังกล่าวน่าจะถูก compromised ไปเรียบร้อยแล้ว วันถัดมาวันที่ 11 เมษายน 2024 Volexity พบการโจมตีโดยใช้งานช่องโหว่เดียวกันนี้กับลูกค้ารายอื่นของพวกเขา โดยมาจากผู้โจมตีรายเดียวกัน ผู้โจมตีซึ่ง Volexity เรียกว่า UTA0218 สามารถโจมตีช่องโหว่บนอุปกรณ์ไฟร์วอลล์จากระยะไกลได้ โดยพบการสร้าง reverse shell และดาวน์โหลดเครื่องมืออื่น ๆ ลงบนอุปกรณ์

(more…)

Microsoft แจ้งเตือนช่องโหว่ใน Outlook กำลังถูกใช้ในการโจมตีจากแฮ็กเกอร์รัสเซียอยู่อย่างต่อเนื่อง

Microsoft ระบุ Indicators of compromise (IoCs) ที่เกี่ยวข้องกับการโจมตีจากช่องโหว่ของ Outlook ที่เพิ่งได้รับการแก้ไขไปเมื่อต้นเดือนมีนาคมที่ผ่านมา

โดยช่องโหว่ดังกล่าวมีหมายเลข CVE-2023-23397 (CVSS score: 9.8) เป็นช่องโหว่ระดับ Critical เกี่ยวกับการยกระดับสิทธิ์ ซึ่งถูกใช้ในการโจมตีเพื่อขโมย NT Lan Manager (NTLM) hashes โดยไม่ต้องมีการดำเนินการใด ๆ จากผู้ใช้งาน

ช่องโหว่นี้จะทำให้ Net-NTLMv2 hash ของเหยื่อถูกขโมยออกไป ซึ่งผู้โจมตีสามารถนำไปใช้กับบริการอื่น ๆ เพื่อใช้ในการยืนยันตัวตนได้
(more…)

CISA อัพเดท IOC ของ Conti ransomware เพิ่มเกือบ 100 Domain

US Cybersecurity and Infrastructure Security Agency (CISA) ได้อัปเดตการแจ้งเตือน IOC ของ Conti ransomware ซึ่งประกอบด้วยชื่อโดเมนเกือบ 100 ชื่อที่ทางกลุ่มใช้ในการดำเนินการที่ผ่านมา

การแจ้งเตือนเกี่ยวกับ Conti Ransomware ถูกเผยแพร่ครั้งแรกตั้งแต่วันที่ 22 กันยายน พ.ศ. 2564 โดยมีรายละเอียดที่ CISA และสำนักงานสืบสวนสหรัฐอเมริกา (FBI) ให้ข้อมูลรายละเอียดของการโจมตีจาก Conti ransomware ที่กำหนดเป้าหมายเป็นองค์กรต่างๆ ในสหรัฐอเมริกา ส่วนข้อมูลอัพเดทครั้งล่าสุดเป็นข้อมูลจาก US Secret Service

(more…)

แจ้งเตือนกลุ่มแฮกเกอร์ Lebanese Cedar พุ่งเป้าโจมตี Oracle 10g และ Jira/Confluence เพื่อขโมยข้อมูล มีเหยื่อในไทย

บริษัทด้านความปลอดภัยสัญชาติอิสราเอล ClearSky ออกรายงานวิเคราะห์พฤติกรรมของกลุ่มแฮกเกอร์สัญชาติเลบานอนภายใต้ชื่อ Lebanense Cedar ซึ่งพุ่งเป้าโจมตีระบบทั่วโลกมาตั้งแต่ช่วงปี 2012 เพื่อการจารกรรมข้อมูล เป้าหมายส่วนใหญ่อยู่ในตะวันออกกลางและมีบางส่วนอยู่ในไทย ภาคส่วนธุรกิจที่ตกเป็นเป้าหมายหลักนั้นได้แก่กลุ่มโทรคมนาคมและกลุ่มบริษัทไอทีฯ

พฤติกรรมการโจมตีของกลุ่ม Lebanese Cedar จะมีพุ่งเป้าไปที่ระบบที่มีช่องโหว่อยู่แล้วเพื่อทำการโจมตี จากการรวบรวมข้อมูลโดย ClearSky นั้น Lebanese Cedar จะพุ่งเป้าไปที่ระบบ 3 ลักษณะได้แก่ ระบบ Atlassian Confluence Server โดยจะโจมตีช่องโหว่รหัส CVE-2019-3396, ระบบ Atlassian Jira Server/Data Center โดยจะโจมตีช่องโหว่รหัส CVE-2019-11581 และระบบ Oracle 10g 11.1.2.0 โดยจะโจมตีช่องโหว่รหัส CVE-2012-3152

จุดเด่นของกลุ่ม Lebanese Cedar นอกเหนือจากการพุ่งเป้าโจมตีช่องโหว่ซึ่งไม่ค่อยเป็นที่สนใจแล้ว กลุ่มฯ ยังมีการพัฒนาแบ็คดอร์และเครื่องมือในการฝังตัวในระบบของเหยื่อเอง อาทิ web shell ที่พัฒนาโดยภาษา JSP และมัลแวร์ในกลุ่ม Trojan

รายงานของ ClearSky ฉบับเต็มมีรายละเอียดการโจมตีและ IOC สำหรับการระบุหาการมีอยู่ของภัยคุกคามไว้แล้ว โดยสามารถดูข้อมูลเพิ่มเติมได้ที่ : clearskysec

ที่มา: bleepingcomputer | zdnet

Lazarus hackers deploy ransomware, steal data using MATA malware

กลุ่มแฮกเกอร์ Lazarus ปล่อย Ransomware ขโมยข้อมูลโดยใช้ MATA Malware
เฟรมเวิร์กมัลแวร์ที่ถูกค้นพบเมื่อเร็ว ๆ นี้ที่รู้จักกันในชื่อ MATA เชื่อมโยงกับกลุ่มแฮกเกอร์จากเกาหลีเหนือที่รู้จักกันในชื่อ Lazarus โดยนำ MATA มาใช้ในการโจมตีเป้าหมายหลายๆองค์กรตั้งแต่เดือนเมษายน 2018

MATA คือโมดูลเฟรมเวิร์กที่ประกอบไปด้วยหลายๆอย่าง อย่างเช่น Loader, orchestrator และ Plugin อีกหลายๆตัว สามารถใช้แพร่กระจายมัลแวร์ได้ทั้ง Windows, Linux และ macOS

ระหว่างการโจมตี แฮกเกอร์สามารถใช้ MATA เพื่อทำการโหลดพวกปลั๊กอินเพื่อเรียกใช้ Command จากเครื่องที่ติดเชื้อผ่าน หน่วยความจำของระบบ, จัดการกับไฟล์และโปรเซสต่างๆ Inject DDLs ไฟล์ลงไป แล้วทำการสร้าง HTTP proxies ไว้เป็นช่องทางในการเข้าออกบนเครื่อง

MATA ยังช่วยให้แฮกเกอร์สามารถสแกนหาเป้าหมายใหม่บนเครื่อง macOS และ Linux (เราเตอร์ไฟร์วอลล์หรืออุปกรณ์ IoT) นอกจากนี้บนแพลตฟอร์ม macOS MATA ยังสามารถโหลดโมดูล plugin_socks ที่สามารถใช้เพื่อกำหนดค่า Proxy server ได้อีกด้วย และเมื่อ MATA ถูกแพร่ไปยังเครื่องเหยื่อสำเร็จ มันจะทำการค้นหาข้อมูลสำคัญๆ อย่างข้อมูลลูกค้า หรือข้อมูลทางธุรกิจแล้วขโมยออกมาได้ รวมถึงอาจมีการใช้เพื่อแพร่ Ransomware โดยสามารถอ่านรายงานโดยละเอียดและศึกษา IOC ได้จาก https://securelist.

This Asia-Pacific Cyber Espionage Campaign Went Undetected for 5 Years

แคมเปญจารกรรม “Aria-body” ทำการจารกรรมลับ ๆ ในประเทศเอเชียแปซิฟิกเป็นเวลา 5 ปีโดยไม่ถูกตรวจพบ

จากรายงานการสอบสวนของนักวิจัยจาก Check Point ได้ได้รายงานว่ากลุ่ม Naikon APT ซึ่งเป็นกลุ่มแฮกเกอร์จีนนั้นอยู่เบื้องหลังแคมเปญจารกรรมไซเบอร์โดยมีเป้าหมายทำการจารกรรมข้อมูลหน่วยงานของรัฐบาลในประเทศออสเตรเลีย, อินโดนีเซีย, ฟิลิปปินส์, เวียดนาม, ไทย, พม่าและบรูไน จากการยืนยัน Check Point พบว่าการทำการจารกรรมนี้ได้ทำการอย่างลับ ๆ และไม่ถูกตรวจพบเป็นเวลาอย่างน้อย 5 ปี

Check Point ได้กล่าวอีกว่าช่วง 5 ปีที่ผ่านมานั้นกลุ่ม Naikon APT ได้ใช้แบ็คดอร์ที่ชื่อว่า "Aria-body" ทำการจารกรรมข้อมูลและใช้ควบคุมเครือข่ายภายในขององค์กรที่ตกเป็นเป้าหมาย

Check Point ระบุว่า “Aria-body” เป็นแบ็คดอร์ที่มีความซับซ้อนซึ่งตัวมันมีสามารถค้นหาและรวบรวมเอกสารเฉพาะจากระบบของเครือข่ายที่ถูกบุกรุก ในระยะแรกมัลแวร์จะแสกนไฟล์บนเครื่องเพื่อรวบรวมข้อมูลของคอมพิวเตอร์ที่ติดไวรัสเครือข่าย จากนั้นมัลแวร์จะทำการขโมยข้อมูลเช่นถ่ายรูป, screenshots, ข้อมูลต่าง และทำการ keylogger เป้าหมายจากนั้นทำการส่งกลับไปหาเซิพเวอร์ C2 ของกลุ่ม Naikon APT

ทั้งนี้ผู้ใช้งานทั่วไปหรือผู้ดูแลระบบควรทำการระมัดระวังในการใช้งานอินเตอร์เน็ต ไม่โหลดไฟล์หรือเข้าเว็บไซต์ที่ไม่รู้จักเพื่อลดความเสี่ยงจากการติดมัลแวร์ ในส่วนของข้อมูล IOC ที่เกี่ยวข้องกับปฏิบัติการสามารถดูเพิ่มเติมได้จากแหล่งที่มาข่าว

ที่มา: thehackernews

รวมแหล่งข้อมูลภัยคุกคาม (Threat Intelligence) ในสถานการณ์ COVID-19

อาชญากรคือหนึ่งในอาชีพที่อาจเรียกได้ว่าเป็นนักฉวยโอกาสเพื่อสร้างผลประโยชน์ได้เก่งที่สุดอาชีพหนึ่ง พวกเขาฉวยโอกาสทั้งจากการให้เหตุผลของคน ความเชื่อใจ ความรู้สึกในรูปแบบต่างๆ รวมไปถึงสถานการณ์เพื่อสร้างผลประโยชน์แก่ตนหรือกลุ่มของตน การแพร่ระบาดของ COVID-19 ก็เป็นอีกหนึ่งเหตุการณ์ซึ่งตอกย้ำความสามารถในการฉวยโอกาสของพวกเขาเหล่านี้ และจะเป็นหัวข้อหลักของเนื้อหาที่เราจะพูดถึงกันในวันนี้

ในช่วงการแพร่ระบาดของ COVID-19 เมื่อผู้คนถูกบังคับให้ต้องรับข้อมูลข่าวสารให้มากขึ้น รวมถึงมาตรการซึ่งออกมาเพื่อควบคุมการแพร่ระบาดและส่งผลกระทบต่อความมั่นคงปลอดภัย เหล่าอาชญากรไซเบอร์เหล่านี้ได้ฉวยโอกาสเพื่อสร้างการโจมตีโดยใช้ประโยชน์ของสถานการณ์การแพร่กระจาย COVID-19 หรือที่ถูกเรียกว่า COVID-19 themed campaign อย่างแพร่หลาย การตระหนักรู้ถึงการเกิดขึ้นของภัยคุกคามในลักษณะนี้ และการนำความตระหนักรู้มาประยุกต์ให้เกิดความสามารถในการป้องกันภัยคุกคามจึงเป็นส่วนสำคัญที่ช่วยให้ระบบของเรารอดพ้นจากวิกฤติไปพร้อมๆ กับมนุษยชาติ

ดังนั้นในบทความนี้ทีมตอบสนองการโจมตีและภัยคุกคาม (Intelligent Response) จาก บริษัท ไอ-ซีเคียว จำกัด จะมาพูดถึงแหล่งข้อมูลภัยคุกคามที่เกี่ยวข้องกับการใช้ประโยชน์ของ COVID-19 ซึ่งสามารถนำไปปรับใช้ให้เกิดการตรวจจับและป้องกันภัยคุกคามได้อย่างมีประสิทธิภาพครับ

แหล่งข้อมูลโดยส่วนใหญ่ที่จะถูกพูดถึงในบทความนี้เป็นแหล่งข้อมูลซึ่งเรารวบรวมมา การใช้งานแหล่งข้อมูลแต่ละแหล่งถือเป็นการยอมรับข้อตกลงในการใช้งานที่กำหนดไว้กับแต่ละแหล่งข้อมูลแล้ว
แหล่งข้อมูลภัยคุกคามที่เผยแพร่ข้อมูล IOC โดยตรง
แหล่งข้อมูลภัยคุกคามต่อไปนี้คือแหล่งข้อมูลภัยคุกคามซึ่งเผยแพร่ตัวบ่งชี้ภัยคุกคาม (IOC) ซึ่งสามารถถูกดาวโหลดและนำไปใช้ได้โดยตรงโดยไม่จำเป็นต้องผ่านกระบวนการตรวจสอบและคัดแยก หรืออย่างน้อยที่สุดเพียงแค่อาศัยการเขียนโปรแกรมเพื่อดาวโหลดและนำข้อมูลมาใช้งานก็ถือเป็นเสร็จสิ้นครับ

โครงการ littl3field/DodgyDomainsBot เป็นโครงการซึ่งนำผลลัพธ์จากสคริปต์ในการระบุหาโดเมนที่อาจมีส่วนเกี่ยวข้องกับภัยคุกคามที่ใช้สถานการณ์ COVID-19 มาเผยแพร่ โดยได้แยกส่วนของรายการที่ตรวจสอบแล้วและยังไม่ได้ตรวจสอบไว้อยู่ให้เลือกใช้งานได้
โครงการ Blacklist จาก COVID-19 Cyber Threat Coalition เป็นรายการโดเมนต้องสงสัยและเป็นอันตรายที่รวบรวมมาจากกลุ่ม Cyber Threat Coalition ซึ่งถูกตั้งขึ้นมาเฉพาะกิจเพื่อรับมือกับภัยคุกคามในช่วง COVID-19 โดยข้อมูลสามารถเข้าถึงได้ทั้งในรูปแบบของไฟล์เอกสาร หรือผ่าน API จาก AlienVault OTX
โครงการ COVID-19 Threat Bulletin จาก Anomali ซึ่งติดตามภัยคุกคามและการโจมตีต่างๆ ที่เกี่ยวข้องกับ COVID-19 พร้อมด้วยรายการ IOC กว่า 6,000 รายการที่สามารถนำไปใช้ได้ทันที
โครงการ COVID-19 Threat List จาก DomainTools เป็นลักษณะของรายการโดเมนที่เกี่ยวข้องกับภัยคุกคามในช่วง COVID-19 ในรูปแบบ CSV อัปเดตรายวัน
เหนือกว่า IOC ต้อง TTP โครงการ Hunting Notebook สำหรับ Azure Sentinel เพื่อระบุหาพฤติกรรมภัยคุกคามที่เกี่ยวข้องกับ COVID-19
โครงการ Corona Domain Data จาก Swimlane เป็นข้อมูลอัปเดตรายวันในรูปแบบ JSON และ TXT ซึ่งสามารถนำไปวิเคราะห์หรือใช้ต่อในการตรวจจับได้ทันที
โครงการ Coronavirus-Phishing-Yara-Rules จาก Cofense เป็นโครงการซึ่งรวบรวม Yara rule สำหรับการคัดแยกและตรวจจับลักษณะของข้อมูลใดๆ ที่อาจเกี่ยวข้องกับภัยคุกคามที่ใช้สถานการณ์ COVID-19
รายการโดเมนเนมจดทะเบียนใหม่ที่อาจเกี่ยวข้องกับ COVID-19 themed threat โดย Malware Patrol มีทั้งแบบ TXT, JSON, BIND RPZ Zone, Squid และ Snort
โครงการ Coronavirus Host Reputation Feed จาก @j0hn_f ซึ่งนำข้อมูลจาก F-Secure มาวิเคราะห์เพิ่มเติม มีการเพิ่มคะแนนความน่าเชื่อถือและแจกจ่ายในรูปแบบ JSON
Telemetry จาก apklab.

Lazarus Hackers มีเป้าหมายที่ Linux และ Windows ด้วยมัลแวร์ Dacls ตัวใหม่

กลุ่ม Lazarus มีมัลแวร์ตัวใหม่ Dacls โจมตีทั้ง Linux และ Windows
Qihoo 360 Netlab พบมัลแวร์ Remote Access Trojan (RAT) ตัวใหม่ชื่อ Dacls ทำงานทั้งบน Windows และ Linux ซึ่งมัลแวร์ตัวนี้มีความเชื่อมโยงกับกลุ่ม Lazarus ที่ถูกสนับสนุนโดยรัฐบาลเกาหลีเหนือ กลุ่มนี้เป็นรู้จักในการแฮก Sony Films ในปี 2014 และเป็นเบื้องหลังในการระบาด WannaCry ไปทั่วโลกในปี 2017 อีกด้วย
นี่เป็นครั้งแรกที่พบมัลแวร์ที่ทำงาน Linux จากกลุ่ม Lazarus โดย Qihoo 360 Netlab เชื่อมโยงความเกี่ยวข้องระหว่าง Dacls กับกลุ่ม Lazarus จากการใช้งาน thevagabondsatchel[.]com ซึ่งเคยมีประวัติว่าถูกใช้งานโดยกลุ่ม Lazarus ในอดีต
Dacls ใช้ TLS และ RC4 ในการเข้ารหัสสองชั้นเพื่อรักษาความปลอดภัยในการสื่อสารกับ command and control (C2) รวมถึงใช้ AES encryption ในการเข้ารหัสไฟล์ตั้งค่า
นักวิจัยพบ Dacls สำหรับ Windows และ Linux พร้อมทั้งโค้ดสำหรับโจมตีช่องโหว่ CVE-2019-3396 ใน Atlassian Confluence บนเซิร์ฟเวอร์ บ่งชี้ถึงความเป็นไปได้ว่ากลุ่ม Lazarus จะใช้ช่องโหว่ดังกล่าวติดตั้ง Dacls นักวิจัยจึงแนะนำให้ผู้ใช้ Confluence ทำการแพตช์ระบบให้เร็วที่สุดเท่าที่จะทำได้
สามารถอ่านรายงานวิเคราะห์ Dacls และดูข้อมูล IOC ได้จาก https://blog.

New North Korean malware targeting ATMs spotted in India

พบมัลแวร์ ATM ตัวใหม่ในประเทศอินเดีย

ผู้เชี่ยวชาญจาก Kaspersky กล่าวว่า ATMDtrack มัลแวร์ตัวใหม่นี้ได้ถูกพบในเครือข่ายของธนาคารอินเดียตั้งแต่ปลายฤดูร้อนปี 2018 จากนั้นพบการโจมตีตามมาในเดือนกันยายน 2019 ที่ศูนย์การวิจัยของอินเดียด้วยมัลแวร์ตัวเดียวกันที่มีศักยภาพและขยายตัวการโจมตีมากขึ้น ชื่อ DTrack มุ่งเน้นไปที่การสอดแนมและการขโมยข้อมูลมากกว่าอาชญากรรมทางการเงินและมาพร้อมความสามารถของ remote access trojan (RAT)

นักวิจัยของ Kaspersky กล่าวว่ามัลแวร์ทั้งสองสายพันธุ์เป็นตระกูล DTrack มีความคล้ายคลึงกันกับมัลแวร์ที่ใช้ใน "Operation DarkSeoul" ซึ่งเป็นชุดการโจมตีที่มุ่งเป้าไปที่เป้าหมายของเกาหลีใต้ในปี 2013 ซึ่งเชื่อมโยงกับกลุ่ม Lazarus แฮกเกอร์ที่เชื่อว่ามีรัฐบาลเกาหลีเหนือสนับสนุน

DTRACK มัลแวร์สปอตที่พิ่งเกิดขึ้นในเดือนนี้

นอกจากนี้ DTrack ดูเหมือนจะเป็นหนึ่งในผลงานสร้างสรรค์ล่าสุดของกลุ่มลาซารัส ซึ่ง Kaspersky นำไปใช้งานครั้งแรกในช่วงปลายฤดูร้อนของปี 2018 กล่าวว่ากลุ่มตัวอย่างล่าสุดได้รับการใช้งานล่าสุดในเดือนกันยายน 2019

ตัวอย่าง DTrack ล่าสุดสามารถดำเนินการดังต่อไปนี้:

Keylogging,
ดึงประวัติเบราว์เซอร์
รวบรวมที่อยู่ IP ของโฮสต์ข้อมูลเกี่ยวกับเครือข่ายที่ใช้ได้และการเชื่อมต่อที่ใช้งานอยู่
รายการกระบวนการทำงาน
แสดงรายการไฟล์ในดิสก์ไดรฟ์ที่มีอยู่ทั้งหมด
จากข้อมูลที่มีอยู่ในปัจจุบันมันไม่ชัดเจนว่า DTrack วิวัฒนาการมาจาก ATMDTrack หรือ ATMDTrack ได้รับการพัฒนาจากสายพันธุ์ DTrack

ผู้ที่สนใจสามารถดูบทวิเคราะห์และรายละเอียด IOC ได้จาก https://securelist.