ประเทศจีนเป็นเป้าหมายการโจมตีแบบฟิชชิ่งด้วย QR Code มากขึ้นผ่านทางเอกสารทางการปลอม

ในปัจจุบันที่ภัยคุกคามทางไซเบอร์มีการพัฒนาอย่างรวดเร็ว ทำให้มีการใช้ QR Code เป็นช่องทางใหม่ในการล่อลวงเหยื่อ โดยเมื่อไม่นานมานี้ พบการเพิ่มขึ้นจำนวนมากของเอกสารที่ฝัง QR Code ที่เป็นอันตราย ซึ่งเมื่อทำการสแกน เหยื่อจะถูกนำไปยังเว็บไซต์ปลอมที่ออกแบบมาเพื่อขโมยข้อมูลส่วนบุคคล (more…)

แฮ็กเกอร์ชาวรัสเซียเริ่มโจมตีเป้าหมายในยูเครนด้วยช่องโหว่ Follina

ทีมรับมือภัยคุกคามทางคอมพิวเตอร์ของยูเครน (CERT) แจ้งเตือนกลุ่มแฮ็กเกอร์ชาวรัสเซียชื่อ Sandworm ซึ่งกำลังใช้ช่องโหว่ในการเรียกใช้โค้ดที่เป็นอันตรายจากระยะไกลใน Microsoft Windows Support Diagnostic Tool (MSDT) ที่ถูกเรียกว่า Follina ซึ่งมีหมายเลข CVE-2022-30190

โดยช่องโหว่ดังกล่าวเกิดขึ้นจากการเปิด หรือ preview เอกสารที่ถูกสร้างขึ้นมาเป็นพิเศษ โดยผู้โจมตีเริ่มใช้ในการโจมตีมาตั้งแต่เดือนเมษายน 2022

หน่วยงานของยูเครนมั่นใจว่ากลุ่มแฮ็กเกอร์ที่อยู่เบื้องหลังการโจมตีดังกล่าวคือกลุ่ม Sandworm

เป้าหมายคือองค์กรประเภทสื่อ

CERT-UA กล่าวว่าแฮ็กเกอร์ชาวรัสเซียใช้การส่งอีเมลที่เป็นอันตรายโดยใช้ช่องโหว่ Follina และกำหนดเป้าหมายผู้รับมากกว่า 500 รายในองค์กรสื่อต่างๆในยูเครนรวมถึงสถานีวิทยุ และหนังสือพิมพ์

อีเมลมีหัวข้อ "LIST of links to interactive maps" และมีไฟล์แนบ .DOCX ที่มีชื่อเดียวกัน ซึ่งเมื่อเปิดไฟล์ โค้ด JavaScript จะดำเนินการเพื่อดึงข้อมูลเพย์โหลดที่ชื่อ "2.txt" ซึ่ง CERT-UA จัดอยู่ในประเภท "malicious CrescentImp"

CERT-UA ได้เผยแพร่ข้อมูล IOC ที่เกี่ยวข้องกับเหตุการณ์ดังกล่าว เพื่อช่วยให้หน่วยงานต่างๆระมัดระวังมัลแวร์ CrescentImp อย่างไรก็ตามยังไม่ชัดเจนว่า CrescentImp เป็นมัลแวร์ที่พัฒนามาจากมัลแวร์ตัวใดหรือไม่ หรือมันถูกสร้างขึ้นมาเพื่อการโจมตีครั้งนี้โดยเฉพาะ เนื่องจาก Hashes ของมัลแวร์ที่ CERT-UA ตรวจพบ ไม่เคยถูกพบมาก่อนบน Virus Total

พฤติกรรมของ Sandworm ในยูเครน

Sandworm ได้มุ่งเป้าหมายการโจมตีไปยังยูเครนอย่างต่อเนื่องในช่วงไม่กี่ปีที่ผ่านมา และความถี่ของการโจมตีก็เพิ่มขึ้นหลังจากการรุกรานของรัสเซียในยูเครน

ในเดือนเมษายน พบว่า Sandworm พยายามที่จะโจมตีผู้ให้บริการด้านพลังงานรายใหญ่ของยูเครน โดยกำหนดเป้าหมายไปยังสถานีไฟฟ้าย่อยด้วยมัลแวร์ Industroyer รุ่นใหม่

ในเดือนกุมภาพันธ์ นักวิจัยด้านความปลอดภัยค้นพบว่า Sandworm เป็นกลุ่มที่รับผิดชอบในการสร้าง และใช้งาน Cyclops Blink botnet ซึ่งเป็นมัลแวร์ที่มีความสามารถในการแฝงตัวอยู่บนระบบได้ดีมาก

เมื่อปลายเดือนเมษายน สหรัฐฯได้ตั้งรางวัลนำจับ 10,000,000 ดอลลาร์ให้กับผู้ที่สามารถช่วยระบุตัวสมาชิกของกลุ่ม Sandworm ทั้ง 6 คนได้

IOCs

Files:

cc27122efef26fa2b4cc5d30845704e7 129073fd0f9234737ff8ca1aadd8cbaef664015d1088d68e8e501fa757c991d0 - СПИСОК_посилань_на_інтерактивні_карти.docx
106d1413f8768be03cb7dc982a1455f9 22d413e4b4fb45f058c312942fb170c2225ab7f30a653d3aeba79c054837b297 - update.