นักวิจัยด้านความปลอดภัยทางไซเบอร์เปิดเผยถึงการเพิ่มขึ้นของ "การสแกนจำนวนมาก, การเดารหัสผ่าน (Brute-force) และการพยายามโจมตีช่องโหว่" จาก IP Address ที่เชื่อมโยงกับผู้ให้บริการโฮสติ้งสัญชาติรัสเซียชื่อว่า Proton66 ที่มักเพิกเฉย หรือไม่สนใจการร้องขอข้อมูลจากเจ้าหน้าที่บังคับใช้กฎหมาย

การดำเนินการดังกล่าวถูกตรวจพบตั้งแต่วันที่ 8 มกราคม 2025 โดยมีเป้าหมายเป็นองค์กรต่าง ๆ ทั่วโลก ตามรายงานวิเคราะห์ที่เผยแพร่โดย Trustwave SpiderLabs เมื่อสัปดาห์ที่ผ่านมา

นักวิจัยด้านความปลอดภัย Pawel Knapczyk และ Dawid Nesterowicz ระบุว่า "Net blocks 45.135.232.0/24 และ 45.140.17.0/24 มีการใช้งานสูงเป็นพิเศษในด้านการสแกนแบบกลุ่ม และการพยายามเดารหัสผ่าน (Brute-force) โดย IP Address ที่ต้องสงสัยหลายรายการไม่เคยมีประวัติเกี่ยวข้องกับการดำเนินการที่เป็นอันตราย หรือไม่ได้ใช้งานมานานกว่า 2 ปี"

Proton66 จากรัสเซียนี้ ถูกประเมินว่ามีความเชื่อมโยงกับระบบอัตโนมัติอีกระบบหนึ่งที่ชื่อ Prospero โดยเมื่อปีที่แล้ว บริษัทด้านความปลอดภัยของฝรั่งเศสชื่อ Intrinsec ได้เปิดเผยความเชื่อมโยงของระบบดังกล่าวกับบริการ bulletproof ที่ถูกโฆษณาอยู่ในฟอรัมอาชญากรรมไซเบอร์ของรัสเซียภายใต้ชื่อ Securehost และ BEARHOST

มัลแวร์หลายกลุ่ม รวมถึง GootLoader และ SpyNote ได้ใช้บริการของ Proton66 ในการโฮสต์เซิร์ฟเวอร์ Command-and-Control (C2) และเพจฟิชชิ่ง เมื่อเดือนกุมภาพันธ์ที่ผ่านมา Brian Krebs นักข่าวด้านความปลอดภัยไซเบอร์เปิดเผยว่า Prospero ได้เริ่มกำหนดเส้นทางการดำเนินงานผ่านเครือข่ายที่ดำเนินการโดย Kaspersky Lab ซึ่งเป็นผู้ให้บริการแอนตี้ไวรัสของรัสเซียในกรุงมอสโกว

อย่างไรก็ตาม Kaspersky ปฏิเสธว่าไม่ได้มีความเกี่ยวข้องกับ Prospero และอธิบายว่า “การกำหนดเส้นทางผ่านเครือข่ายของ Kaspersky ไม่ได้หมายความว่าเป็นการใช้บริการของบริษัทโดยตรง เนื่องจากเส้นทางของระบบอัตโนมัติ (AS) ของ Kaspersky อาจปรากฏเป็น prefix ทางเทคนิคในเครือข่ายของผู้ให้บริการโทรคมนาคมที่บริษัททำงานร่วมด้วย และให้บริการ DDoS Protection อยู่”

การวิเคราะห์ล่าสุดของ Trustwave พบว่า มี requests ที่เป็นอันตรายซึ่งมีต้นทางมาจากบล็อกเครือข่าย Proton66 (193.143.1[.]65) ในเดือนกุมภาพันธ์ 2025 ซึ่งพยายามโจมตีช่องโหว่ระดับ Critical ล่าสุดบางรายการ

CVE-2025-0108 – ช่องโหว่ Authentication Bypass ใน Palo Alto Networks PAN-OS

CVE-2024-41713 – ช่องโหว่ input validation ที่ไม่เหมาะสมใน NuPoint Unified Messaging (NPM) component ของ Mitel MiCollab

CVE-2024-10914 – ช่องโหว่ Command Injection บนอุปกรณ์ D-Link NAS

CVE-2024-55591 และ CVE-2025-24472 – ช่องโหว่ Authentication Bypass ในระบบปฏิบัติการ Fortinet FortiOS

มีข้อสังเกตว่า การใช้ช่องโหว่สองรายการใน Fortinet FortiOS ถูกระบุว่าเป็นฝีมือของกลุ่ม Mora_001 ซึ่งถูกพบว่ามีการใช้งานแรนซัมแวร์สายพันธุ์ใหม่ที่ชื่อว่า SuperBlack

 

บริษัทด้านความปลอดภัยไซเบอร์ยังระบุเพิ่มเติมว่า ได้ตรวจพบแคมเปญมัลแวร์หลายรายการที่เชื่อมโยงกับ Proton66 ซึ่งมีเป้าหมายในการแพร่กระจายมัลแวร์ตระกูลต่าง ๆ เช่น XWorm, StrelaStealer และแรนซัมแวร์ชื่อว่า WeaXor

อีกหนึ่งพฤติกรรมที่น่าสนใจคือ การใช้งานเว็บไซต์ WordPress ที่ถูกโจมตี ซึ่งเชื่อมโยงกับ IP address ของ Proton66 "91.212.166[.]21" เพื่อเปลี่ยนเส้นทางผู้ใช้อุปกรณ์ Android ไปยังหน้าเว็บฟิชชิ่งที่เลียนแบบหน้ารายละเอียดแอปใน Google Play เพื่อหลอกให้ผู้ใช้ดาวน์โหลดไฟล์ APK ที่เป็นอันตราย

การเปลี่ยนเส้นทางนี้เกิดขึ้นผ่าน JavaScript ที่ฝังโค้ดอันตราย ซึ่งโฮสต์อยู่บน IP address ของ Proton66 จากการวิเคราะห์ชื่อโดเมนปลอมของ Google Play พบว่าแคมเปญนี้ถูกออกแบบมาเพื่อเจาะกลุ่มเป้าหมายที่ใช้ภาษาฝรั่งเศส, สเปน และกรีก

นักวิจัยอธิบายว่า “สคริปต์สำหรับเปลี่ยนเส้นทางนั้นถูกทำให้ซับซ้อน และมีการตรวจสอบหลายขั้นตอนกับเหยื่อ เช่น การแยกโปรแกรมค้นหา และผู้ใช้ VPN หรือ proxy ออกไป โดยระบบจะดึง IP ของผู้ใช้ผ่านการ query ไปยัง ipify.

เมื่อสุดสัปดาห์ที่ผ่านมา Google ได้ลบแอป Android security ของ Kaspersky ออกจาก Google Play Store และปิดใช้งานบัญชีนักพัฒนาของบริษัทรัสเซีย

ผู้ใช้รายงานในสัปดาห์ที่ผ่านมาว่าผลิตภัณฑ์ของ Kaspersky (รวมถึง Kaspersky Endpoint Security และ VPN & Antivirus by Kaspersky) ไม่มีให้ใช้บริการบน Google Play อีกต่อไปแล้ว รวมไปถึงในสหรัฐอเมริกา และภูมิภาคอื่น ๆ ของโลก (more…)

บริษัท Kaspersky ผู้ให้บริการซอฟต์แวร์ป้องกันไวรัส ได้เริ่มถอนตัวจากการให้บริการในสหรัฐฯ อย่างเป็นทางการแล้ว โดยย้ายผู้ใช้งานปัจจุบันไปยัง UltraAV ซึ่งมีผลตั้งแต่วันที่ 19 กันยายน 2567 ก่อนที่จะถอนตัวออกอย่างเป็นทางการในสิ้นเดือนนี้ (more…)

ผู้ใช้งาน Kaspersky ในสหรัฐฯ มีเวลาจนถึงวันที่ 29 กันยายน 2024 เพื่อหาซอฟต์แวร์รักษาความปลอดภัยอื่นมาทดแทน (more…)

แคนาดาสั่งแบนแอปพลิเคชันรักษาความปลอดภัย Kaspersky และแอปพลิเคชันแชท WeChat ของ Tencent บนอุปกรณ์เคลื่อนที่ของรัฐบาล โดยอ้างถึงความเสี่ยงทางด้านเครือข่าย และความมั่นคงของชาติ การแบนครั้งนี้เกิดจากการที่แคนาดาเกรงว่าทั้ง 2 บริษัทจะแอบส่งข้อมูลที่มีความสำคัญกลับไปยังประเทศรัสเซีย และจีน เพราะอุปกรณ์เคลื่อนที่ เช่น โทรศัพท์ และแท็บเล็ต มีการเคลื่อนย้ายเข้า และออกจากที่ทำงานบ่อยครั้ง ทำให้การตรวจสอบเรื่องการลักลอบขโมยข้อมูลนั้นทำได้ยาก

การตัดสินใจประกาศการสั่งแบนดังกล่าว มาจากการประเมินของ แคเธอรีน ลูเอโล หัวหน้าเจ้าหน้าที่ฝ่ายสารสนเทศของรัฐบาลแคนาดา โดยกล่าวว่า “แอปพลิเคชัน WeChat และ Kaspersky มีความเสี่ยงต่อความเป็นส่วนตัว และความปลอดภัยในระดับที่ยอมรับไม่ได้”

การแบนจะมีผลตั้งแต่วันที่ 30 ตุลาคม 2023 ซึ่งเป็นเวลาที่ซอฟต์แวร์ WeChat และ Kaspersky ทั้งหมดจะต้องถูกลบออกจากอุปกรณ์เคลื่อนที่ของรัฐบาล โดยหลังจากวันดังกล่าว รัฐบาลจะบล็อกไม่ให้ดาวน์โหลดแอปเหล่านี้ เพื่อให้แน่ใจว่าซอฟต์แวร์จะไม่ถูกนำมาใช้บนอุปกรณ์อีก

Kaspersky ระบุว่าเป็นเหตุผลทางด้านการเมือง

Kaspersky ระบุว่า การตัดสินใจของแคนาดาเกิดขึ้นโดยไม่ได้ปรึกษากับพวกเขาในเรื่องของความกังวลด้านความปลอดภัยที่ถูกกล่าวหา ซึ่งไม่ได้ขึ้นอยู่กับหลักฐานข้อเท็จจริงจากการประเมินทางเทคนิคของแอปพลิเคชัน แต่ตั้งอยู่บนพื้นฐานทางด้านการเมือง

ซึ่งก่อนหน้านี้รัฐบาลสหรัฐฯ ได้สั่งห้ามผลิตภัณฑ์ของ Kaspersky ด้วยเหตุผลว่าเป็นการปกป้องเครือข่ายที่สําคัญจากการสอดแนมของรัสเซีย

เมื่อปีที่แล้ว รัฐบาลเยอรมันได้ออกคำแนะนำผ่าน BSI เพื่อเตือนบริษัทต่าง ๆ ไม่ให้ใช้ซอฟต์แวร์จากผู้ขายในรัสเซีย ในขณะที่รัฐบาลอิตาลีตามมาด้วยการแจ้งเตือนที่คล้ายกันในอีกไม่กี่วันต่อมา

ถัดมา FCC ในสหรัฐอเมริกาได้เพิ่มบริษัทรักษาความปลอดภัยทางไซเบอร์ใน 'Covered List' ซึ่งกำหนดข้อจำกัดเพิ่มเติมเกี่ยวกับการใช้แอปพลิเคชัน Kaspersky ในประเทศ

สุดท้าย ศูนย์รักษาความปลอดภัยทางไซเบอร์แห่งชาติในสหราชอาณาจักร ย้ำคำเตือนเกี่ยวกับการใช้ผลิตภัณฑ์ Kaspersky ในระบบของรัฐบาล ซึ่งถูกรายงานครั้งแรกในปี 2560

 

ที่มา : bleepingcomputer

มัลแวร์ที่สามารถทำงานข้ามแพลตฟอร์มที่ชื่อว่า StripedFly ได้หลบเลี่ยงการตรวจจับของนักวิจัยด้านความปลอดภัยทางไซเบอร์มาเป็นเวลาห้าปี โดยโจมตีระบบ Windows และ Linux มากกว่าหนึ่งล้านเครื่องในช่วงเวลานั้น

Kaspersky ค้นพบลักษณะของโครงสร้างของมัลแวร์เมื่อปีที่แล้ว โดยพบหลักฐานว่ามัลแวร์ทำการโจมตีมาตั้งแต่ปี 2017 โดยมัลแวร์ถูกจัดประเภทผิดพลาดว่าเป็นเพียงโปรแกรมขุดเหรียญสกุลเงินดิจิทัล Monero

นักวิเคราะห์ระบุว่า StripedFly ว่าเป็นมัลแวร์ที่น่าประทับใจ โดยมีกลไกการซ่อนการรับส่งข้อมูลผ่าน TOR ที่ดูซับซ้อน, การอัปเดตอัตโนมัติจากแพลตฟอร์มที่เชื่อถือได้, ความสามารถในการแพร่กระจายแบบ worm, และการใช้ช่องโหว่ EternalBlue SMBv1 แบบกำหนดเองที่สร้างขึ้นก่อนการเปิดเผยช่องโหว่ต่อสาธารณะ

ถึงแม้ว่าจะยังไม่ชัดเจนว่า framework ของมัลแวร์นี้ถูกใช้เพื่อสร้างรายได้ หรือเพื่อการจารกรรมทางไซเบอร์ แต่ Kaspersky ระบุว่าความซับซ้อนของมันบ่งชี้ว่านี่คือมัลแวร์ในรูปแบบของ APT (advanced persistent threat)

จากเวลาที่บันทึก compiler ของมัลแวร์ รุ่นแรกสุดของ StripedFly ที่มีการใช้ช่องโหว่ EternalBlue เกิดขึ้นในเดือนเมษายน 2016 ในขณะที่การเปิดเผยข้อมูลสู่สาธารณะโดยกลุ่ม Shadow Brokers เกิดขึ้นในเดือนสิงหาคม 2016

StripedFly แพร่กระจายไปยังอุปกรณ์มากกว่าหนึ่งล้านเครื่อง

โครงสร้างของมัลแวร์ StripedFly ถูกพบครั้งแรกหลังจากที่ Kaspersky พบการฝัง shellcode ของแพลตฟอร์มใน process WININIT.EXE ซึ่งเป็น process ของ Windows OS ที่ถูกต้อง และใช้สำหรับจัดการการเริ่มต้นใช้งานของระบบย่อยต่าง ๆ

หลังจากตรวจสอบ injected code พบว่าโค้ดนี้จะดาวน์โหลด และเรียกใช้ไฟล์เพิ่มเติม เช่น สคริปต์ PowerShell จากบริการโฮสติ้งที่ถูกต้อง เช่น Bitbucket, GitHub และ GitLab รวมถึงสคริปต์ PowerShell

การสืบสวนเพิ่มเติมแสดงให้เห็นว่าอุปกรณ์ที่ติดมัลแวร์มีแนวโน้มว่าจะถูกโจมตีครั้งแรกด้วยช่องโหว่ SMBv1 ด้วยการใช้เครื่องมือ EternalBlue ที่มุ่งเป้าไปที่คอมพิวเตอร์ที่เชื่อมต่อกับอินเทอร์เน็ต

เซิร์ฟเวอร์ควบคุม และสั่งการ (C2) ของมัลแวร์ตั้งอยู่บนเครือข่าย TOR และการสื่อสารกับเซิร์ฟเวอร์นี้จะประกอบด้วย ID ที่สร้างมาเฉพาะตัวสำหรับเหยื่อแต่ละราย

เพื่อแฝงตัวอยู่บนระบบ Windows มัลแวร์ StripedFly ปรับปรุงพฤติกรรมของมัน ตามระดับสิทธิ์ที่ทำงาน และการมีอยู่ของ PowerShell

หากไม่มี PowerShell StripedFly จะสร้างไฟล์ที่ซ่อนอยู่ไดเร็กทอรี %APPDATA% หากมี PowerShell มัลแวร์ StripedFly จะเรียกใช้สคริปต์เพื่อสร้าง scheduled tasks ที่กำหนดเวลาไว้ หรือแก้ไขคีย์ Windows Registry

บน Linux มัลแวร์จะใช้ชื่อ 'sd-pam' มัลแวร์จะแฝงตัวอยู่โดยใช้ systemd services ไฟล์ .desktop ที่เริ่มต้นทำงานเองโดยอัตโนมัติ หรือโดยการปรับแต่งไฟล์โปรไฟล์ และ startup files ต่าง ๆ เช่นไฟล์ /etc/rc*, profile, bashrc, หรือ inittab files

จากข้อมูลของ Bitbucket repository เพย์โหลดขั้นสุดท้ายบนระบบ Windows ระบุว่าระหว่างเดือนเมษายนถึงกันยายน 2023 มีการติดมัลแวร์บนระบบเกือบ 60,000 ครั้ง

StripedFly ได้แพร่กระจายไปยังระบบ Windows มากกว่า 220,000 เครื่องทั่วโลกตั้งแต่เดือนกุมภาพันธ์ 2022 โดยประมาณ แต่สถิติจากก่อนหน้านั้นไม่สามารถระบุได้ เนื่องจากการเก็บข้อมูลถูกสร้างขึ้นในปี 2018

โดย Kaspersky ประมาณการณ์ว่าอุปกรณ์มากกว่า 1 ล้านเครื่องติดมัลแวร์ StripedFly framework

โมดูลมัลแวร์

มัลแวร์ทำงานเป็นไฟล์ปฏิบัติการแบบไบนารีขนาดใหญ่ที่มีโมดูลแบบ pluggable ทำให้มีความคล่องตัวในการปฏิบัติงานซึ่งเป็นลักษณะเดียวกับการทำงานของ APT

โมดูลของ StripedFly จากรายงานของ Kaspersky:

Configuration storage: จัดเก็บการกำหนดค่าของมัลแวร์ในรูปแบบที่เข้ารหัส
Upgrade/Uninstall: จัดการการอัปเดต หรือถอนการติดตั้งตามคำสั่งจากเซิร์ฟเวอร์ C2
Reverse proxy: อนุญาตให้มีการดำเนินการจากระยะไกลบนเครือข่ายของเหยื่อ
Miscellaneous command handler: รันคำสั่งต่าง ๆ เช่น การจับภาพหน้าจอ และการเรียกใช้ shellcode
Credential harvester: สแกน และรวบรวมข้อมูลผู้ใช้งานที่มีความสำคัญ เช่น รหัสผ่าน และชื่อผู้ใช้งาน
Repeatable tasks: ดำเนินการงานเฉพาะภายใต้เงื่อนไขบางประการ เช่น การบันทึกไมโครโฟน
Recon module: ส่งข้อมูลระบบโดยละเอียดไปยังเซิร์ฟเวอร์ C2
SSH infector: ใช้ข้อมูล credentials ของ SSH ที่ถูกเก็บรวบรวมเพื่อเข้าถึงระบบอื่น ๆ
SMBv1 infector: แพร่กระจายไปยังระบบ Windows อื่น ๆ โดยใช้ช่องโหว่ EternalBlue แบบกำหนดเอง
Monero mining module: ขุดเหรียญ Monero ในขณะที่ปลอมตัวเป็น process "chrome.

Kaspersky เผยแพร่เครื่องมือถอดรหัสสำหรับแรนซัมแวร์ Conti เวอร์ชันแก้ไข ที่ทำให้เหยื่อหลายร้อยรายสามารถกู้คืนไฟล์ได้ฟรี

โดย Kaspersky พบ cache private key ของ Conti ransomware ในฟอรัมของกลุ่มแฮ็กเกอร์ ซึ่งเคยถูกนำมาใช้ในการโจมตีองค์กรทั้งภาครัฐ และเอกชนหลายแห่งในช่วงปีที่ผ่านมา โดยกลุ่มแรนซัมแวร์ที่ชื่อว่า ‘MeowCorp’

นักวิจัยผู้เชี่ยวชาญเกี่ยวกับแรนซัมแวร์ Amigo-A ระบุว่าผู้โจมตีได้เผยแพร่ข้อมูลในฟอรัมภาษารัสเซียเมื่อเดือนกุมภาพันธ์ 2022 ซึ่งมีลิงก์ไปยัง Key ถอดรหัส, โปรแกรมถอดรหัส, และรหัสต้นฉบับ

Kaspersky วิเคราะห์ Key และพบว่าเกี่ยวข้องกับสายพันธุ์หนึ่งของ Conti ransomware ที่ถูกพบเมื่อเดือนธันวาคม 2022 โดยสายพันธุ์นี้มีการแพร่กระจายมาตั้งแต่เดือนสิงหาคม โดย private key อยู่ในโฟลเดอร์ทั้งหมด 257 โฟลเดอร์ (มี 1โฟลเดอร์ที่มีสองคีย์) และมีการกำหนดเป้าหมายไปที่องค์กรในรัสเซียเป็นส่วนใหญ่

บางโฟลเดอร์มีตัวถอดรหัสที่สร้างขึ้นก่อนหน้านี้พร้อมกับไฟล์อื่น ๆ เช่น รูปภาพ และเอกสาร เพื่อแสดงให้เหยื่อเห็นว่าการถอดรหัสใช้งานได้

34 โฟลเดอร์มีชื่อที่ชัดเจนของเหยื่อภาครัฐในประเทศต่าง ๆ ในยุโรป และเอเชีย

Fedor Sinitsyn หัวหน้านักวิเคราะห์มัลแวร์ของ Kaspersky ให้ข้อมูลกับ BleepingComputer ว่า ชื่อในโฟลเดอร์ที่เหลือถูก hash หรือเข้ารหัสไว้

จากข้อมูลดังกล่าว และจำนวนตัวถอดรหัสที่พบ Kaspersky สันนิษฐานได้ว่า Conti เวอร์ชันดังกล่าวถูกใช้เพื่อเข้ารหัสเหยื่อ 257 ราย และ 14 ราย ยอมจ่ายเงินให้กับผู้โจมตีเพื่อกู้คืนข้อมูลที่ถูกเข้ารหัส

private key ถูกสร้างขึ้นวันที่ 13 พฤศจิกายน 2022 ถึง 5 กุมภาพันธ์ 2023 ซึ่งเป็นข้อมูลบ่งชี้ถึงไทม์ไลน์ของการโจมตีได้เป็นอย่างดี โดยนักวิจัยระบุว่าเหยื่อที่ทำการติดต่อ Kaspersky เพื่อขอให้ช่วยในการถอดรหัส ก็อยู่ในช่วงเวลานั้นเช่นเดียวกัน

Kaspersky เพิ่มตัวถอดรหัส และ private key 258 Key ลงใน RakhniDecryptor ซึ่งเป็นเครื่องมือที่สามารถใช้กู้คืนไฟล์ที่เข้ารหัสโดยแรนซัมแวร์ได้หลายสายพันธ์ุ

ตัวถอดรหัสสามารถกู้คืนไฟล์ที่เข้ารหัสโดย Conti ซึ่งใช้รูปแบบชื่อ และนามสกุลต่อไปนี้:

<file_name>.KREMLIN
<file_name>.RUSSIA
<file_name>.PUTIN

เป็นเวลากว่าสามปีที่ Conti ดำเนินการในลักษณะ ransomware-as-a-service ที่สร้างรายได้จำนวนมาก โดยส่วนใหญ่มีการกำหนดเป้าหมายไปที่องค์กรขนาดใหญ่ และเรียกค่าไถ่จำนวนมากเพื่อถอดรหัสข้อมูลที่ถูกเข้ารหัสไว้ โดย Conti ถือเป็นตัวตายตัวแทนของ Ryuk ransomware ซึ่งถูกพบในเดือนธันวาคม 2019

Conti สร้างความเสียหายอย่างต่อเนื่อง และมีการใช้วิธีการใหม่ ๆ เช่น การขโมยข้อมูล การปล่อยข้อมูลของเหยื่อบนเว็บไซต์ เพื่อบังคับให้เหยื่อจ่ายค่าไถ่

การรุกรานยูเครนของรัสเซียในเดือนกุมภาพันธ์ปีที่ผ่านมา สร้างความขัดแย้งภายในมากขึ้นเนื่องจากสมาชิกหลักเข้าข้างรัสเซีย ทำให้นักวิจัยที่ติดตามการดำเนินการของทางกลุ่ม Conti อยู่ ได้ข้อมูลของข้อความนับพันที่มีการแลกเปลี่ยนกันระหว่างกลุ่ม Conti และกลุ่มพันธมิตร รวมไปถึงการรั่วไหลของซอร์สโค้ดสำหรับตัวเข้ารหัส, ตัวถอดรหัส และตัวสร้างแรนซัมแวร์ รวมทั้งการเข้าถึง administrative panels

ในเดือนพฤษภาคม 2022 หัวหน้ากลุ่ม Conti ได้ประกาศปิดตัวกลุ่มลง โดยผู้นำของกลุ่ม Conti ได้ย้ายไปร่วมมือกับกลุ่มอื่น ๆ ส่วนสมาชิกก็ย้ายไปร่วมมือกับกลุ่มแรนซัมแวร์อื่น ๆ เช่นเดียวกัน

รัฐบาลสหรัฐฯ ประเมินว่า Conti เป็นหนึ่งในปฏิบัติการเรียกค่าไถ่ที่มีรายได้สูงที่สุด มีเหยื่อทั้งหมดหลายพันราย และสามารถรวบรวมเงินค่าไถ่ได้มากกว่า 150 ล้านดอลลาร์

ความเสียหายที่เกิดกับบริษัทของสหรัฐฯ ทำให้กระทรวงการต่างประเทศสหรัฐฯ เสนอรางวัลสูงถึง 15 ล้านดอลลาร์ สำหรับข้อมูลที่ระบุตำแหน่งของหัวหน้ากลุ่ม Conti กลุ่มผู้นำ และองค์กรพันธมิตรของ Conti ได้

 

ที่มา : bleepingcomputer

 

โดยรายงานจาก Kaspersky ระบุว่า กลุ่มแฮ็กเกอร์ที่คาดว่าได้รับการสนับสนุนจากรัฐบาลจีนที่รู้จักกันในชื่อ Stone Panda กำลังมุ่งเป้าการโจมตีไปที่หน่วยงานของประเทศญี่ปุ่น โดยเป้าหมายประกอบไปด้วยองค์กรสื่อ การทูต องค์กรภาครัฐ และกลุ่มองค์กรที่ทำงานเกี่ยวกับการวิจัย

Stone Panda หรือที่รู้จักกันในชื่ออื่น ๆ ว่า APT10, Bronze Riverside, Cicada และ Potassium เป็นกลุ่มแฮ็กเกอร์ที่เป็นที่รู้จักจากการโจมตีองค์กรต่าง ๆ ที่ถูกระบุว่ามีความสำคัญเชิงกลยุทธ์ต่อประเทศจีน โดยคาดว่ากลุ่มดังกล่าวมีความเคลื่อนไหวมาตั้งแต่ปี 2552

กลุ่มดังกล่าวยังเชื่อมโยงกับการโจมตีโดยการใช้มัลแวร์ เช่น SigLoader, SodaMaster และเว็บเชลล์ที่ชื่อว่า Jackpot กับองค์กรต่าง ๆ ในประเทศญี่ปุ่นหลายแห่งตั้งแต่เดือนเมษายน 2564 โดย Trend Micro กำลังติดตามปฏิบัติการของกลุ่มดังกล่าวอยู่ภายใต้ชื่อ Earth Tengshe

การโจมตีครั้งล่าสุดถูกพบเมื่อระหว่างเดือนมีนาคม-มิถุนายน 2565 โดยเกี่ยวข้องกับการใช้ไฟล์ Microsoft Word ปลอม และไฟล์ self-extracting archive (SFX) ในรูปแบบ RAR ผ่านการโจมตีแบบ spear-phishing เพื่อทำการติดตั้ง backdoor ที่ชื่อว่า LODEINFO

โดยปกติผู้โจมตีจะต้องการให้เหยื่อเปิดใช้งาน macro บนไฟล์เอกสารที่เป็นอันตรายเนื่องจากต้องการให้มัลแวร์ทำงาน แต่พบว่าในเดือนมิถุนายน 2565 Stone Panda ได้เปลี่ยนไปใช้ไฟล์ SFX ที่เมื่อเปิดขึ้นมาแล้วจะแสดงเอกสาร Word ที่ดูปกติ เพื่อปกปิดพฤติกรรมที่เป็นอันตราย

(more…)

ตั้งแต่ในช่วงปี 2559 แฮ็กเกอร์ชาวจีนมีการใช้มัลแวร์ที่ไม่เคยถูกพบมาก่อนในอิมเมจเฟิร์มแวร์สำหรับเมนบอร์ดบางตัว ซึ่งทำให้เป็นที่รู้จักกันในรูปแบบที่เรียกว่า UEFI rootkit

นักวิจัยจากบริษัทรักษาความปลอดภัยทางไซเบอร์ Kaspersky เรียกมัลแวร์ลักษณะนี้ว่า CosmicStrand แต่ล่าสุดนักวิเคราะห์มัลแวร์จาก Qihoo360 ค้นพบอีกรูปแบบของมัลแวร์ลักษณะดังกล่าว และตั้งชื่อมันว่า Spy Shadow Trojan

ยังไม่แน่ชัดว่าผู้โจมตีสามารถ inject rootkit ลงในอิมเมจเฟิร์มแวร์ของเครื่องเป้าหมายได้อย่างไร แต่นักวิจัยพบมัลแวร์บนเครื่องที่ใช้เมนบอร์ดของ Gigabyte และ ASUS

UEFI rootkit ที่ยังเป็นปริศนา

ซอฟต์แวร์ Unified Extensible Firmware Interface (UEFI) คือสิ่งที่ใช้เชื่อมต่อระบบปฏิบัติการของคอมพิวเตอร์กับเฟิร์มแวร์ของฮาร์ดแวร์

UEFI จะถูกเรียกใช้ระหว่างการบูตของคอมพิวเตอร์ก่อนเริ่มระบบปฏิบัติการ และระบบการรักษาความปลอดภัย

มัลแวร์ที่ฝังอยู่ในอิมเมจเฟิร์มแวร์ UEFI จึงไม่สามารถลบออกได้ถึงแม้จะติดตั้งระบบปฏิบัติการใหม่ หรือเปลี่ยนฮาร์ดดิสก์ใหม่ก็ตาม

รายงานจาก Kaspersky ในวันนี้มีรายละเอียดทางเทคนิคเกี่ยวกับ CosmicStrand ตั้งแต่ส่วนประกอบ UEFI จากเครื่องที่ติดมัลแวร์ รวมถึง kernel-level ในระบบ Windows ทุก ๆ ครั้งที่บูต

กระบวนการทั้งหมดประกอบด้วยการตั้งค่า hooks เพื่อแก้ไขการโหลดของระบบปฏิบัติการ และควบคุมโฟลว์การดำเนินการทั้งหมดเพื่อเปิดใช้ shellcode ที่ดึงข้อมูลเพย์โหลดของคำสั่ง และการควบคุมจากเซิร์ฟเวอร์

Mark Lechtik อดีตพนักงานของ Kaspersky ซึ่งปัจจุบันอยู่ที่ Mandiant มีส่วนร่วมในการวิจัย อธิบายว่าอิมเมจเฟิร์มแวร์ที่ถูกโจมตีนั้นมาพร้อมกับไดรเวอร์ CSMCORE DXE ที่ได้รับการดัดแปลงเพื่อจัดการลำดับการบูตของระบบ

นักวิจัยจากจีนเริ่มทำการวิเคราะห์พฤติกรรมดังกล่าวหลังจากที่ได้รับรายงานจากเหยื่อว่าคอมพิวเตอร์ของพวกเขามีการสร้างบัญชีผู้ใช้ใหม่ และซอฟต์แวร์ป้องกันไวรัสแจ้งเตือนการติดมัลแวร์ ซึ่งพบว่าคอมพิวเตอร์เครื่องดังกล่าวใช้เมนบอร์ด ASUS มือสองที่ซื้อมาจากร้านค้าออนไลน์

Kaspersky สามารถระบุได้ว่ารูทคิต CosmicStrand UEFI นั้นติดอยู่ในอิมเมจเฟิร์มแวร์ของเมนบอร์ด Gigabyte หรือ ASUS ที่มีการออกแบบร่วมกันโดยใช้ชิปเซ็ต H81 เป็นฮาร์ดแวร์เก่าระหว่างปี 2556 ถึง 2558 ซึ่งปัจจุบันมีการเลิกใช้แล้ว

ยังไม่ชัดเจนว่า UEFI rootkit นั้นถูกติดตั้งลงบนคอมพิวเตอร์ได้อย่างไร เนื่องจากการจะทำแบบนี้ได้ต้องมีการเข้าถึงอุปกรณ์โดยตรง หรืออาจจะผ่านมัลแวร์ที่มีความสามารถติดตั้งลงบนอิมเมจเฟิร์มแวร์ได้

ในรายงานของ Kaspersky ระบุเพิ่มเติมว่าระบบที่พบว่าเคยถูกโจมตีเป็นของเอกชนในจีน, อิหร่าน, เวียดนาม และรัสเซีย ซึ่งไม่สามารถเชื่อมโยงกับองค์กร หรืออุตสาหกรรมได้

อย่างไรก็ตามนักวิจัยได้เชื่อมโยง CosmicStrand กับแฮ็กเกอร์ชาวจีนโดยอิงจากรูปแบบโค้ดที่เห็นใน MyKings cryptomining botnet

Kaspersky กล่าวว่า CosmicStrand UEFI firmware rootkit สามารถอยู่ในระบบได้ตลอดการใช้งานของคอมพิวเตอร์ และถูกใช้ในการดำเนินงานมานานหลายปีตั้งแต่ปลายปี 2559

มัลแวร์บน UEFI กลายเป็นเรื่องปกติ

มีรายงานที่เกี่ยวกับ UEFI rootkit ที่ชื่อ LoJax มาจาก ESET ในปี 2561 และถูกใช้ในการโจมตีโดยแฮ็กเกอร์ชาวรัสเซียกลุ่ม APT28 (aka Sednit, Fancy Bear, Sofacy)

สี่ปีต่อมามีการโจมตีด้วยมัลแวร์ UEFI เพิ่มขึ้น ข้อมูลเกี่ยวกับ MosaicRegressor จาก Kaspersky ในปี 2563 ถูกใช้ในการโจมตีองค์กรพัฒนาเอกชนในปี 2562 ปลายปี 2563 มีข่าวว่าผู้พัฒนา TrickBot ได้สร้าง TrickBoot ซึ่งเป็นโมดูลใหม่ที่ตรวจสอบเครื่องที่ถูกโจมตีเพื่อหาช่องโหว่ UEFI

UEFI rootkit อีกตัวได้รับการเปิดเผยในช่วงปลายปี 2564 ซึ่งถูกพัฒนาโดย Gamma Group ซึ่งเป็นส่วนหนึ่งของโซลูชันการเฝ้าระวัง FinFisher ในปีเดียวกันนั้น ESET มีรายละเอียดเกี่ยวกับ bootkit อีกตัวหนึ่งที่เรียกว่า ESPecter ซึ่งส่วนใหญ่ใช้ในการขโมยข้อมูลตั้งแต่ปี 2555

MoonBounce เป็นหนึ่งในเฟิร์มแวร์ UEFI ที่ล้ำสมัยที่สุดได้รับการเปิดเผยในปีนี้ ถูกใช้โดย Winnti กลุ่มแฮ็กเกอร์ชาวจีน (หรือที่รู้จักในชื่อ APT41)

ที่มา: bleepingcomputer

ผู้เชี่ยวชาญจาก Kaspersky พบ Ransomware ชนิดใหม่จากระบบ Darknet Threat Intelligence ที่มีชื่อว่า Luna ซึ่ง Luna Ransomware นี้สามารถเข้ารหัสระบบปฏิบัติการได้หลายระบบไม่ว่าจะเป็น Windows, Linux และ ESXi

รายละเอียดการโจมตี

จากการตรวจสอบของทีม Kasperky พบว่า Ransomware Luna มาจากผู้พัฒนาชาวรัสเซีย เนื่องจากภาษาอังกฤษที่ใช้ในสคริปเรียกค่าไถ่ยังมีการใช้คำผิดอยู่ รวมไปถึงฟีเจอร์ในการเข้ารหัส ซึ่งเข้ารหัสได้ตามคำสังที่มีให้เลือกเท่านั้น ทำให้นักวิจัยคาดว่ามันกำลังอยู่ระหว่างการพัฒนา

รูปแบบการเข้ารหัสของ Luna นั้นซับซ้อนมาก มีการแลกเปลี่ยนคีย์โดยใช้ Diffie-Hellman ร่วมกับการเข้ารหัสแบบ Curve25519 ด้วยอัลกอริทึม Advanced Encryption Standard (AES) ทำให้ยากมากในการถอดรหัส
ภาษาที่ใช้ในการพัฒนา Ransomware เป็นภาษาที่ใช้ข้าม Platform ได้ ทำให้การโจมตีบน OS อื่นๆ นอกจาก Windows ไม่จำเป็นต้องมีการเปลี่ยนแปลงใหญ่ๆบน source code เดิม

ในปัจจุบัน มีข้อมูลน้อยมากเกี่ยวกับเหยื่อ รวมไปถึงตัว Luna ransomware เอง เนื่องจากกลุ่มเพิ่งถูกค้นพบ และกิจกรรมของกลุ่มนั้นยังอยู่ในระหว่างการตรวจสอบที่มา

ที่มา : bleepingcomputer