แคนาดาสั่งแบนแอปพลิเคชันรักษาความปลอดภัย Kaspersky และแอปพลิเคชันแชท WeChat ของ Tencent บนอุปกรณ์เคลื่อนที่ของรัฐบาล โดยอ้างถึงความเสี่ยงทางด้านเครือข่าย และความมั่นคงของชาติ การแบนครั้งนี้เกิดจากการที่แคนาดาเกรงว่าทั้ง 2 บริษัทจะแอบส่งข้อมูลที่มีความสำคัญกลับไปยังประเทศรัสเซีย และจีน เพราะอุปกรณ์เคลื่อนที่ เช่น โทรศัพท์ และแท็บเล็ต มีการเคลื่อนย้ายเข้า และออกจากที่ทำงานบ่อยครั้ง ทำให้การตรวจสอบเรื่องการลักลอบขโมยข้อมูลนั้นทำได้ยาก

การตัดสินใจประกาศการสั่งแบนดังกล่าว มาจากการประเมินของ แคเธอรีน ลูเอโล หัวหน้าเจ้าหน้าที่ฝ่ายสารสนเทศของรัฐบาลแคนาดา โดยกล่าวว่า “แอปพลิเคชัน WeChat และ Kaspersky มีความเสี่ยงต่อความเป็นส่วนตัว และความปลอดภัยในระดับที่ยอมรับไม่ได้”

การแบนจะมีผลตั้งแต่วันที่ 30 ตุลาคม 2023 ซึ่งเป็นเวลาที่ซอฟต์แวร์ WeChat และ Kaspersky ทั้งหมดจะต้องถูกลบออกจากอุปกรณ์เคลื่อนที่ของรัฐบาล โดยหลังจากวันดังกล่าว รัฐบาลจะบล็อกไม่ให้ดาวน์โหลดแอปเหล่านี้ เพื่อให้แน่ใจว่าซอฟต์แวร์จะไม่ถูกนำมาใช้บนอุปกรณ์อีก

Kaspersky ระบุว่าเป็นเหตุผลทางด้านการเมือง

Kaspersky ระบุว่า การตัดสินใจของแคนาดาเกิดขึ้นโดยไม่ได้ปรึกษากับพวกเขาในเรื่องของความกังวลด้านความปลอดภัยที่ถูกกล่าวหา ซึ่งไม่ได้ขึ้นอยู่กับหลักฐานข้อเท็จจริงจากการประเมินทางเทคนิคของแอปพลิเคชัน แต่ตั้งอยู่บนพื้นฐานทางด้านการเมือง

ซึ่งก่อนหน้านี้รัฐบาลสหรัฐฯ ได้สั่งห้ามผลิตภัณฑ์ของ Kaspersky ด้วยเหตุผลว่าเป็นการปกป้องเครือข่ายที่สําคัญจากการสอดแนมของรัสเซีย

เมื่อปีที่แล้ว รัฐบาลเยอรมันได้ออกคำแนะนำผ่าน BSI เพื่อเตือนบริษัทต่าง ๆ ไม่ให้ใช้ซอฟต์แวร์จากผู้ขายในรัสเซีย ในขณะที่รัฐบาลอิตาลีตามมาด้วยการแจ้งเตือนที่คล้ายกันในอีกไม่กี่วันต่อมา

ถัดมา FCC ในสหรัฐอเมริกาได้เพิ่มบริษัทรักษาความปลอดภัยทางไซเบอร์ใน 'Covered List' ซึ่งกำหนดข้อจำกัดเพิ่มเติมเกี่ยวกับการใช้แอปพลิเคชัน Kaspersky ในประเทศ

สุดท้าย ศูนย์รักษาความปลอดภัยทางไซเบอร์แห่งชาติในสหราชอาณาจักร ย้ำคำเตือนเกี่ยวกับการใช้ผลิตภัณฑ์ Kaspersky ในระบบของรัฐบาล ซึ่งถูกรายงานครั้งแรกในปี 2560

 

ที่มา : bleepingcomputer

มัลแวร์ที่สามารถทำงานข้ามแพลตฟอร์มที่ชื่อว่า StripedFly ได้หลบเลี่ยงการตรวจจับของนักวิจัยด้านความปลอดภัยทางไซเบอร์มาเป็นเวลาห้าปี โดยโจมตีระบบ Windows และ Linux มากกว่าหนึ่งล้านเครื่องในช่วงเวลานั้น

Kaspersky ค้นพบลักษณะของโครงสร้างของมัลแวร์เมื่อปีที่แล้ว โดยพบหลักฐานว่ามัลแวร์ทำการโจมตีมาตั้งแต่ปี 2017 โดยมัลแวร์ถูกจัดประเภทผิดพลาดว่าเป็นเพียงโปรแกรมขุดเหรียญสกุลเงินดิจิทัล Monero

นักวิเคราะห์ระบุว่า StripedFly ว่าเป็นมัลแวร์ที่น่าประทับใจ โดยมีกลไกการซ่อนการรับส่งข้อมูลผ่าน TOR ที่ดูซับซ้อน, การอัปเดตอัตโนมัติจากแพลตฟอร์มที่เชื่อถือได้, ความสามารถในการแพร่กระจายแบบ worm, และการใช้ช่องโหว่ EternalBlue SMBv1 แบบกำหนดเองที่สร้างขึ้นก่อนการเปิดเผยช่องโหว่ต่อสาธารณะ

ถึงแม้ว่าจะยังไม่ชัดเจนว่า framework ของมัลแวร์นี้ถูกใช้เพื่อสร้างรายได้ หรือเพื่อการจารกรรมทางไซเบอร์ แต่ Kaspersky ระบุว่าความซับซ้อนของมันบ่งชี้ว่านี่คือมัลแวร์ในรูปแบบของ APT (advanced persistent threat)

จากเวลาที่บันทึก compiler ของมัลแวร์ รุ่นแรกสุดของ StripedFly ที่มีการใช้ช่องโหว่ EternalBlue เกิดขึ้นในเดือนเมษายน 2016 ในขณะที่การเปิดเผยข้อมูลสู่สาธารณะโดยกลุ่ม Shadow Brokers เกิดขึ้นในเดือนสิงหาคม 2016

StripedFly แพร่กระจายไปยังอุปกรณ์มากกว่าหนึ่งล้านเครื่อง

โครงสร้างของมัลแวร์ StripedFly ถูกพบครั้งแรกหลังจากที่ Kaspersky พบการฝัง shellcode ของแพลตฟอร์มใน process WININIT.EXE ซึ่งเป็น process ของ Windows OS ที่ถูกต้อง และใช้สำหรับจัดการการเริ่มต้นใช้งานของระบบย่อยต่าง ๆ

หลังจากตรวจสอบ injected code พบว่าโค้ดนี้จะดาวน์โหลด และเรียกใช้ไฟล์เพิ่มเติม เช่น สคริปต์ PowerShell จากบริการโฮสติ้งที่ถูกต้อง เช่น Bitbucket, GitHub และ GitLab รวมถึงสคริปต์ PowerShell

การสืบสวนเพิ่มเติมแสดงให้เห็นว่าอุปกรณ์ที่ติดมัลแวร์มีแนวโน้มว่าจะถูกโจมตีครั้งแรกด้วยช่องโหว่ SMBv1 ด้วยการใช้เครื่องมือ EternalBlue ที่มุ่งเป้าไปที่คอมพิวเตอร์ที่เชื่อมต่อกับอินเทอร์เน็ต

เซิร์ฟเวอร์ควบคุม และสั่งการ (C2) ของมัลแวร์ตั้งอยู่บนเครือข่าย TOR และการสื่อสารกับเซิร์ฟเวอร์นี้จะประกอบด้วย ID ที่สร้างมาเฉพาะตัวสำหรับเหยื่อแต่ละราย

เพื่อแฝงตัวอยู่บนระบบ Windows มัลแวร์ StripedFly ปรับปรุงพฤติกรรมของมัน ตามระดับสิทธิ์ที่ทำงาน และการมีอยู่ของ PowerShell

หากไม่มี PowerShell StripedFly จะสร้างไฟล์ที่ซ่อนอยู่ไดเร็กทอรี %APPDATA% หากมี PowerShell มัลแวร์ StripedFly จะเรียกใช้สคริปต์เพื่อสร้าง scheduled tasks ที่กำหนดเวลาไว้ หรือแก้ไขคีย์ Windows Registry

บน Linux มัลแวร์จะใช้ชื่อ 'sd-pam' มัลแวร์จะแฝงตัวอยู่โดยใช้ systemd services ไฟล์ .desktop ที่เริ่มต้นทำงานเองโดยอัตโนมัติ หรือโดยการปรับแต่งไฟล์โปรไฟล์ และ startup files ต่าง ๆ เช่นไฟล์ /etc/rc*, profile, bashrc, หรือ inittab files

จากข้อมูลของ Bitbucket repository เพย์โหลดขั้นสุดท้ายบนระบบ Windows ระบุว่าระหว่างเดือนเมษายนถึงกันยายน 2023 มีการติดมัลแวร์บนระบบเกือบ 60,000 ครั้ง

StripedFly ได้แพร่กระจายไปยังระบบ Windows มากกว่า 220,000 เครื่องทั่วโลกตั้งแต่เดือนกุมภาพันธ์ 2022 โดยประมาณ แต่สถิติจากก่อนหน้านั้นไม่สามารถระบุได้ เนื่องจากการเก็บข้อมูลถูกสร้างขึ้นในปี 2018

โดย Kaspersky ประมาณการณ์ว่าอุปกรณ์มากกว่า 1 ล้านเครื่องติดมัลแวร์ StripedFly framework

โมดูลมัลแวร์

มัลแวร์ทำงานเป็นไฟล์ปฏิบัติการแบบไบนารีขนาดใหญ่ที่มีโมดูลแบบ pluggable ทำให้มีความคล่องตัวในการปฏิบัติงานซึ่งเป็นลักษณะเดียวกับการทำงานของ APT

โมดูลของ StripedFly จากรายงานของ Kaspersky:

Configuration storage: จัดเก็บการกำหนดค่าของมัลแวร์ในรูปแบบที่เข้ารหัส
Upgrade/Uninstall: จัดการการอัปเดต หรือถอนการติดตั้งตามคำสั่งจากเซิร์ฟเวอร์ C2
Reverse proxy: อนุญาตให้มีการดำเนินการจากระยะไกลบนเครือข่ายของเหยื่อ
Miscellaneous command handler: รันคำสั่งต่าง ๆ เช่น การจับภาพหน้าจอ และการเรียกใช้ shellcode
Credential harvester: สแกน และรวบรวมข้อมูลผู้ใช้งานที่มีความสำคัญ เช่น รหัสผ่าน และชื่อผู้ใช้งาน
Repeatable tasks: ดำเนินการงานเฉพาะภายใต้เงื่อนไขบางประการ เช่น การบันทึกไมโครโฟน
Recon module: ส่งข้อมูลระบบโดยละเอียดไปยังเซิร์ฟเวอร์ C2
SSH infector: ใช้ข้อมูล credentials ของ SSH ที่ถูกเก็บรวบรวมเพื่อเข้าถึงระบบอื่น ๆ
SMBv1 infector: แพร่กระจายไปยังระบบ Windows อื่น ๆ โดยใช้ช่องโหว่ EternalBlue แบบกำหนดเอง
Monero mining module: ขุดเหรียญ Monero ในขณะที่ปลอมตัวเป็น process "chrome.

Kaspersky เผยแพร่เครื่องมือถอดรหัสสำหรับแรนซัมแวร์ Conti เวอร์ชันแก้ไข ที่ทำให้เหยื่อหลายร้อยรายสามารถกู้คืนไฟล์ได้ฟรี

โดย Kaspersky พบ cache private key ของ Conti ransomware ในฟอรัมของกลุ่มแฮ็กเกอร์ ซึ่งเคยถูกนำมาใช้ในการโจมตีองค์กรทั้งภาครัฐ และเอกชนหลายแห่งในช่วงปีที่ผ่านมา โดยกลุ่มแรนซัมแวร์ที่ชื่อว่า ‘MeowCorp’

นักวิจัยผู้เชี่ยวชาญเกี่ยวกับแรนซัมแวร์ Amigo-A ระบุว่าผู้โจมตีได้เผยแพร่ข้อมูลในฟอรัมภาษารัสเซียเมื่อเดือนกุมภาพันธ์ 2022 ซึ่งมีลิงก์ไปยัง Key ถอดรหัส, โปรแกรมถอดรหัส, และรหัสต้นฉบับ

Kaspersky วิเคราะห์ Key และพบว่าเกี่ยวข้องกับสายพันธุ์หนึ่งของ Conti ransomware ที่ถูกพบเมื่อเดือนธันวาคม 2022 โดยสายพันธุ์นี้มีการแพร่กระจายมาตั้งแต่เดือนสิงหาคม โดย private key อยู่ในโฟลเดอร์ทั้งหมด 257 โฟลเดอร์ (มี 1โฟลเดอร์ที่มีสองคีย์) และมีการกำหนดเป้าหมายไปที่องค์กรในรัสเซียเป็นส่วนใหญ่

บางโฟลเดอร์มีตัวถอดรหัสที่สร้างขึ้นก่อนหน้านี้พร้อมกับไฟล์อื่น ๆ เช่น รูปภาพ และเอกสาร เพื่อแสดงให้เหยื่อเห็นว่าการถอดรหัสใช้งานได้

34 โฟลเดอร์มีชื่อที่ชัดเจนของเหยื่อภาครัฐในประเทศต่าง ๆ ในยุโรป และเอเชีย

Fedor Sinitsyn หัวหน้านักวิเคราะห์มัลแวร์ของ Kaspersky ให้ข้อมูลกับ BleepingComputer ว่า ชื่อในโฟลเดอร์ที่เหลือถูก hash หรือเข้ารหัสไว้

จากข้อมูลดังกล่าว และจำนวนตัวถอดรหัสที่พบ Kaspersky สันนิษฐานได้ว่า Conti เวอร์ชันดังกล่าวถูกใช้เพื่อเข้ารหัสเหยื่อ 257 ราย และ 14 ราย ยอมจ่ายเงินให้กับผู้โจมตีเพื่อกู้คืนข้อมูลที่ถูกเข้ารหัส

private key ถูกสร้างขึ้นวันที่ 13 พฤศจิกายน 2022 ถึง 5 กุมภาพันธ์ 2023 ซึ่งเป็นข้อมูลบ่งชี้ถึงไทม์ไลน์ของการโจมตีได้เป็นอย่างดี โดยนักวิจัยระบุว่าเหยื่อที่ทำการติดต่อ Kaspersky เพื่อขอให้ช่วยในการถอดรหัส ก็อยู่ในช่วงเวลานั้นเช่นเดียวกัน

Kaspersky เพิ่มตัวถอดรหัส และ private key 258 Key ลงใน RakhniDecryptor ซึ่งเป็นเครื่องมือที่สามารถใช้กู้คืนไฟล์ที่เข้ารหัสโดยแรนซัมแวร์ได้หลายสายพันธ์ุ

ตัวถอดรหัสสามารถกู้คืนไฟล์ที่เข้ารหัสโดย Conti ซึ่งใช้รูปแบบชื่อ และนามสกุลต่อไปนี้:

<file_name>.KREMLIN
<file_name>.RUSSIA
<file_name>.PUTIN

เป็นเวลากว่าสามปีที่ Conti ดำเนินการในลักษณะ ransomware-as-a-service ที่สร้างรายได้จำนวนมาก โดยส่วนใหญ่มีการกำหนดเป้าหมายไปที่องค์กรขนาดใหญ่ และเรียกค่าไถ่จำนวนมากเพื่อถอดรหัสข้อมูลที่ถูกเข้ารหัสไว้ โดย Conti ถือเป็นตัวตายตัวแทนของ Ryuk ransomware ซึ่งถูกพบในเดือนธันวาคม 2019

Conti สร้างความเสียหายอย่างต่อเนื่อง และมีการใช้วิธีการใหม่ ๆ เช่น การขโมยข้อมูล การปล่อยข้อมูลของเหยื่อบนเว็บไซต์ เพื่อบังคับให้เหยื่อจ่ายค่าไถ่

การรุกรานยูเครนของรัสเซียในเดือนกุมภาพันธ์ปีที่ผ่านมา สร้างความขัดแย้งภายในมากขึ้นเนื่องจากสมาชิกหลักเข้าข้างรัสเซีย ทำให้นักวิจัยที่ติดตามการดำเนินการของทางกลุ่ม Conti อยู่ ได้ข้อมูลของข้อความนับพันที่มีการแลกเปลี่ยนกันระหว่างกลุ่ม Conti และกลุ่มพันธมิตร รวมไปถึงการรั่วไหลของซอร์สโค้ดสำหรับตัวเข้ารหัส, ตัวถอดรหัส และตัวสร้างแรนซัมแวร์ รวมทั้งการเข้าถึง administrative panels

ในเดือนพฤษภาคม 2022 หัวหน้ากลุ่ม Conti ได้ประกาศปิดตัวกลุ่มลง โดยผู้นำของกลุ่ม Conti ได้ย้ายไปร่วมมือกับกลุ่มอื่น ๆ ส่วนสมาชิกก็ย้ายไปร่วมมือกับกลุ่มแรนซัมแวร์อื่น ๆ เช่นเดียวกัน

รัฐบาลสหรัฐฯ ประเมินว่า Conti เป็นหนึ่งในปฏิบัติการเรียกค่าไถ่ที่มีรายได้สูงที่สุด มีเหยื่อทั้งหมดหลายพันราย และสามารถรวบรวมเงินค่าไถ่ได้มากกว่า 150 ล้านดอลลาร์

ความเสียหายที่เกิดกับบริษัทของสหรัฐฯ ทำให้กระทรวงการต่างประเทศสหรัฐฯ เสนอรางวัลสูงถึง 15 ล้านดอลลาร์ สำหรับข้อมูลที่ระบุตำแหน่งของหัวหน้ากลุ่ม Conti กลุ่มผู้นำ และองค์กรพันธมิตรของ Conti ได้

 

ที่มา : bleepingcomputer

 

โดยรายงานจาก Kaspersky ระบุว่า กลุ่มแฮ็กเกอร์ที่คาดว่าได้รับการสนับสนุนจากรัฐบาลจีนที่รู้จักกันในชื่อ Stone Panda กำลังมุ่งเป้าการโจมตีไปที่หน่วยงานของประเทศญี่ปุ่น โดยเป้าหมายประกอบไปด้วยองค์กรสื่อ การทูต องค์กรภาครัฐ และกลุ่มองค์กรที่ทำงานเกี่ยวกับการวิจัย

Stone Panda หรือที่รู้จักกันในชื่ออื่น ๆ ว่า APT10, Bronze Riverside, Cicada และ Potassium เป็นกลุ่มแฮ็กเกอร์ที่เป็นที่รู้จักจากการโจมตีองค์กรต่าง ๆ ที่ถูกระบุว่ามีความสำคัญเชิงกลยุทธ์ต่อประเทศจีน โดยคาดว่ากลุ่มดังกล่าวมีความเคลื่อนไหวมาตั้งแต่ปี 2552

กลุ่มดังกล่าวยังเชื่อมโยงกับการโจมตีโดยการใช้มัลแวร์ เช่น SigLoader, SodaMaster และเว็บเชลล์ที่ชื่อว่า Jackpot กับองค์กรต่าง ๆ ในประเทศญี่ปุ่นหลายแห่งตั้งแต่เดือนเมษายน 2564 โดย Trend Micro กำลังติดตามปฏิบัติการของกลุ่มดังกล่าวอยู่ภายใต้ชื่อ Earth Tengshe

การโจมตีครั้งล่าสุดถูกพบเมื่อระหว่างเดือนมีนาคม-มิถุนายน 2565 โดยเกี่ยวข้องกับการใช้ไฟล์ Microsoft Word ปลอม และไฟล์ self-extracting archive (SFX) ในรูปแบบ RAR ผ่านการโจมตีแบบ spear-phishing เพื่อทำการติดตั้ง backdoor ที่ชื่อว่า LODEINFO

โดยปกติผู้โจมตีจะต้องการให้เหยื่อเปิดใช้งาน macro บนไฟล์เอกสารที่เป็นอันตรายเนื่องจากต้องการให้มัลแวร์ทำงาน แต่พบว่าในเดือนมิถุนายน 2565 Stone Panda ได้เปลี่ยนไปใช้ไฟล์ SFX ที่เมื่อเปิดขึ้นมาแล้วจะแสดงเอกสาร Word ที่ดูปกติ เพื่อปกปิดพฤติกรรมที่เป็นอันตราย

(more…)

ตั้งแต่ในช่วงปี 2559 แฮ็กเกอร์ชาวจีนมีการใช้มัลแวร์ที่ไม่เคยถูกพบมาก่อนในอิมเมจเฟิร์มแวร์สำหรับเมนบอร์ดบางตัว ซึ่งทำให้เป็นที่รู้จักกันในรูปแบบที่เรียกว่า UEFI rootkit

นักวิจัยจากบริษัทรักษาความปลอดภัยทางไซเบอร์ Kaspersky เรียกมัลแวร์ลักษณะนี้ว่า CosmicStrand แต่ล่าสุดนักวิเคราะห์มัลแวร์จาก Qihoo360 ค้นพบอีกรูปแบบของมัลแวร์ลักษณะดังกล่าว และตั้งชื่อมันว่า Spy Shadow Trojan

ยังไม่แน่ชัดว่าผู้โจมตีสามารถ inject rootkit ลงในอิมเมจเฟิร์มแวร์ของเครื่องเป้าหมายได้อย่างไร แต่นักวิจัยพบมัลแวร์บนเครื่องที่ใช้เมนบอร์ดของ Gigabyte และ ASUS

UEFI rootkit ที่ยังเป็นปริศนา

ซอฟต์แวร์ Unified Extensible Firmware Interface (UEFI) คือสิ่งที่ใช้เชื่อมต่อระบบปฏิบัติการของคอมพิวเตอร์กับเฟิร์มแวร์ของฮาร์ดแวร์

UEFI จะถูกเรียกใช้ระหว่างการบูตของคอมพิวเตอร์ก่อนเริ่มระบบปฏิบัติการ และระบบการรักษาความปลอดภัย

มัลแวร์ที่ฝังอยู่ในอิมเมจเฟิร์มแวร์ UEFI จึงไม่สามารถลบออกได้ถึงแม้จะติดตั้งระบบปฏิบัติการใหม่ หรือเปลี่ยนฮาร์ดดิสก์ใหม่ก็ตาม

รายงานจาก Kaspersky ในวันนี้มีรายละเอียดทางเทคนิคเกี่ยวกับ CosmicStrand ตั้งแต่ส่วนประกอบ UEFI จากเครื่องที่ติดมัลแวร์ รวมถึง kernel-level ในระบบ Windows ทุก ๆ ครั้งที่บูต

กระบวนการทั้งหมดประกอบด้วยการตั้งค่า hooks เพื่อแก้ไขการโหลดของระบบปฏิบัติการ และควบคุมโฟลว์การดำเนินการทั้งหมดเพื่อเปิดใช้ shellcode ที่ดึงข้อมูลเพย์โหลดของคำสั่ง และการควบคุมจากเซิร์ฟเวอร์

Mark Lechtik อดีตพนักงานของ Kaspersky ซึ่งปัจจุบันอยู่ที่ Mandiant มีส่วนร่วมในการวิจัย อธิบายว่าอิมเมจเฟิร์มแวร์ที่ถูกโจมตีนั้นมาพร้อมกับไดรเวอร์ CSMCORE DXE ที่ได้รับการดัดแปลงเพื่อจัดการลำดับการบูตของระบบ

นักวิจัยจากจีนเริ่มทำการวิเคราะห์พฤติกรรมดังกล่าวหลังจากที่ได้รับรายงานจากเหยื่อว่าคอมพิวเตอร์ของพวกเขามีการสร้างบัญชีผู้ใช้ใหม่ และซอฟต์แวร์ป้องกันไวรัสแจ้งเตือนการติดมัลแวร์ ซึ่งพบว่าคอมพิวเตอร์เครื่องดังกล่าวใช้เมนบอร์ด ASUS มือสองที่ซื้อมาจากร้านค้าออนไลน์

Kaspersky สามารถระบุได้ว่ารูทคิต CosmicStrand UEFI นั้นติดอยู่ในอิมเมจเฟิร์มแวร์ของเมนบอร์ด Gigabyte หรือ ASUS ที่มีการออกแบบร่วมกันโดยใช้ชิปเซ็ต H81 เป็นฮาร์ดแวร์เก่าระหว่างปี 2556 ถึง 2558 ซึ่งปัจจุบันมีการเลิกใช้แล้ว

ยังไม่ชัดเจนว่า UEFI rootkit นั้นถูกติดตั้งลงบนคอมพิวเตอร์ได้อย่างไร เนื่องจากการจะทำแบบนี้ได้ต้องมีการเข้าถึงอุปกรณ์โดยตรง หรืออาจจะผ่านมัลแวร์ที่มีความสามารถติดตั้งลงบนอิมเมจเฟิร์มแวร์ได้

ในรายงานของ Kaspersky ระบุเพิ่มเติมว่าระบบที่พบว่าเคยถูกโจมตีเป็นของเอกชนในจีน, อิหร่าน, เวียดนาม และรัสเซีย ซึ่งไม่สามารถเชื่อมโยงกับองค์กร หรืออุตสาหกรรมได้

อย่างไรก็ตามนักวิจัยได้เชื่อมโยง CosmicStrand กับแฮ็กเกอร์ชาวจีนโดยอิงจากรูปแบบโค้ดที่เห็นใน MyKings cryptomining botnet

Kaspersky กล่าวว่า CosmicStrand UEFI firmware rootkit สามารถอยู่ในระบบได้ตลอดการใช้งานของคอมพิวเตอร์ และถูกใช้ในการดำเนินงานมานานหลายปีตั้งแต่ปลายปี 2559

มัลแวร์บน UEFI กลายเป็นเรื่องปกติ

มีรายงานที่เกี่ยวกับ UEFI rootkit ที่ชื่อ LoJax มาจาก ESET ในปี 2561 และถูกใช้ในการโจมตีโดยแฮ็กเกอร์ชาวรัสเซียกลุ่ม APT28 (aka Sednit, Fancy Bear, Sofacy)

สี่ปีต่อมามีการโจมตีด้วยมัลแวร์ UEFI เพิ่มขึ้น ข้อมูลเกี่ยวกับ MosaicRegressor จาก Kaspersky ในปี 2563 ถูกใช้ในการโจมตีองค์กรพัฒนาเอกชนในปี 2562 ปลายปี 2563 มีข่าวว่าผู้พัฒนา TrickBot ได้สร้าง TrickBoot ซึ่งเป็นโมดูลใหม่ที่ตรวจสอบเครื่องที่ถูกโจมตีเพื่อหาช่องโหว่ UEFI

UEFI rootkit อีกตัวได้รับการเปิดเผยในช่วงปลายปี 2564 ซึ่งถูกพัฒนาโดย Gamma Group ซึ่งเป็นส่วนหนึ่งของโซลูชันการเฝ้าระวัง FinFisher ในปีเดียวกันนั้น ESET มีรายละเอียดเกี่ยวกับ bootkit อีกตัวหนึ่งที่เรียกว่า ESPecter ซึ่งส่วนใหญ่ใช้ในการขโมยข้อมูลตั้งแต่ปี 2555

MoonBounce เป็นหนึ่งในเฟิร์มแวร์ UEFI ที่ล้ำสมัยที่สุดได้รับการเปิดเผยในปีนี้ ถูกใช้โดย Winnti กลุ่มแฮ็กเกอร์ชาวจีน (หรือที่รู้จักในชื่อ APT41)

ที่มา: bleepingcomputer

ผู้เชี่ยวชาญจาก Kaspersky พบ Ransomware ชนิดใหม่จากระบบ Darknet Threat Intelligence ที่มีชื่อว่า Luna ซึ่ง Luna Ransomware นี้สามารถเข้ารหัสระบบปฏิบัติการได้หลายระบบไม่ว่าจะเป็น Windows, Linux และ ESXi

รายละเอียดการโจมตี

จากการตรวจสอบของทีม Kasperky พบว่า Ransomware Luna มาจากผู้พัฒนาชาวรัสเซีย เนื่องจากภาษาอังกฤษที่ใช้ในสคริปเรียกค่าไถ่ยังมีการใช้คำผิดอยู่ รวมไปถึงฟีเจอร์ในการเข้ารหัส ซึ่งเข้ารหัสได้ตามคำสังที่มีให้เลือกเท่านั้น ทำให้นักวิจัยคาดว่ามันกำลังอยู่ระหว่างการพัฒนา

รูปแบบการเข้ารหัสของ Luna นั้นซับซ้อนมาก มีการแลกเปลี่ยนคีย์โดยใช้ Diffie-Hellman ร่วมกับการเข้ารหัสแบบ Curve25519 ด้วยอัลกอริทึม Advanced Encryption Standard (AES) ทำให้ยากมากในการถอดรหัส
ภาษาที่ใช้ในการพัฒนา Ransomware เป็นภาษาที่ใช้ข้าม Platform ได้ ทำให้การโจมตีบน OS อื่นๆ นอกจาก Windows ไม่จำเป็นต้องมีการเปลี่ยนแปลงใหญ่ๆบน source code เดิม

ในปัจจุบัน มีข้อมูลน้อยมากเกี่ยวกับเหยื่อ รวมไปถึงตัว Luna ransomware เอง เนื่องจากกลุ่มเพิ่งถูกค้นพบ และกิจกรรมของกลุ่มนั้นยังอยู่ในระหว่างการตรวจสอบที่มา

ที่มา : bleepingcomputer

 

หน่วยงานด้านความปลอดภัยทางไซเบอร์ของฝรั่งเศส Agence Nationale de la Sécurité des Systèmes d'Information หรือ ANSSI ออกรายงานเชิงวิเคราะห์เกี่ยวกับความเคลื่อนไหวของกลุ่มแฮกเกอร์สัญชาติรัสเซีย Sandworm ซึ่งมีความเคลื่อนไหวมาตลอด 3 ปี โดยใจความสำคัญของรายการเชิงวิเคราะห์ดังกล่าวนั้นระบุถึงการโจมตีซอฟต์แวร์มอนิเตอร์ระบบ Centreon เพื่อเข้าถึงระบบภายในขององค์กรและบริษัทในฝรั่งเศสหลายองค์กร

ซอฟต์แวร์มอนิเตอร์ระบบ Centreon ถูกตรวจพบไว้ใช้เป็นช่องทางในการเข้าถึงและโจมตีระบบของ Sandworm โดย Centreon ที่ถูกตรวจพบว่าถูกโจมตีนั้นมักเป็นระบบที่สามารถเข้าถึงได้จากอินเตอร์เน็ต อย่างไรก็ตามยังไม่มีการยืนยันอย่างชัดเจนว่าการโจมตีดังกล่าวเกิดขึ้นในลักษณะของการโจมตีช่องโหว่ หรือเป็นการคาดเดารหัสผ่าน

อ้างอิงจากรายงานของ ANSSI เหยื่อรายแรกที่ตรวจพบนั้นถูกโจมตีในปี 2017 และมีการปรากฎความเคลื่อนไหวมาเรื่อยมาจนกระทั่งในปี 2020 โดยหลังจากที่ Sandworm เข้าถึงระบบ Centreon ของเป้าหมายได้สำเร็จแล้ว กลุ่มผู้โจมตีจะทำการติดตั้ง Web shell และ Backdoor เพื่อใช้ในการเข้าถึงในภายหลัง ด้วยลักษณะของมัลแวร์ที่ใช้ ANSSI จึงได้เชื่อมโยงความเกี่ยวข้องพฤติกรรมดังกล่าวไปหากลุ่ม Sandworm ซึ่งสอดคล้องกับรายงานของ Kaspersky

ในขณะที่ทาง Centreon ยังไม่ได้มีการออกมาให้ความเห็นเพิ่มเติมเกี่ยวกับกรณีที่เกิดขึ้น ขอให้ติดตามสถานการณ์ต่อไป

ที่มา : zdnet

ทีม Intelligent Response ข้อสรุปสถานการณ์ที่เกี่ยวข้องกับ SolarWinds ที่เกิดขึ้นในช่วงวันที่ 11-13 มกราคม 2021 ตามรายละเอียดดังนี้

CrowdStrike เผยแพร่รายงานการตรวจสอบการบุกรุกระบบของ SolarWinds เพื่อฝังโค้ดของมัลแวร์ SUNBURST ลงไปในแพลตฟอร์ม SolarWinds Orion ผลการตรวจสอบพบการบุกรุกและการมีอยู่ของมัลแวร์ชื่อ SUNSPOT ซึ่งรับหน้าที่ในการฝังมัลแวร์ SUNBURST อ่านข้อมูลในส่วนนี้เพิ่มเติมได้ที่เหตุการณ์การโจมตี SolarWinds
Kaspersky มีการเปิดเผยรายงานการวิเคราะห์ความเชื่อมโยงของโค้ดของมัลแวร์ SUNBURST กับมัลแวร์ Kazuar ซึ่งถูกใช้โดยกลุ่มแฮกเกอร์ Turla แม้จะมีส่วนของโค้ดที่มีลักษณะเหมือนหรือคล้ายคลึงกัน การตัดสินความเชื่อมโยงจากผู้เกี่ยวข้องกับ SUNBURST เข้ากับกลุ่มแฮกเกอร์ Turla ซึ่งเป็นผู้พัฒนามัลแวร์ Kazuar ก็ยังไม่สามารถสรุปได้อย่างแน่ชัด อ่านข้อมูลในส่วนนี้เพิ่มเติมได้ที่รายละเอียด Threat actor
เว็บไซต์ solarleaks[.]net ประกาศขายข้อมูลของ Microsoft, Cisco, FireEye และ SolarWinds ซึ่งทั้งหมดเป็นเหยื่อของการโจมตี Supply-chain attack จาก SolarWinds อย่างไรอ้างอิงจากการตรวจสอบโดย Joseph Cox ซึ่งเป็นผู้สื่อข่าวได้ Cybersecurity ของ Motherboard ระบุว่าเว็บไซต์ดังกล่าวมีความน่าเชื่อถือต่ำ อีกทั้งยังไม่มีหลักฐานว่าได้มีการครอบครองข้อมูลจริง
ที่มา: crowdstrike | securelist | bleepingcomputer | twitter.

นักวิจัยด้านความปลอดภัยของ Kaspersky ได้เปิดเผยรายละเอียดเกี่ยวกับแบ็คดอร์ PowerShell ใน Windows ที่พึ่งมีการค้นพบ โดยแบ็คดอร์ที่มีการค้นพบนั้นถูกระบุชื่อว่า PowerPepper ตามภาษาที่ถูกใช้เพื่อพัฒนาแบ็คดอร์ เชื่อว่าเป็นแบ็คดอร์ที่ถูกพัฒนามาจากกลุ่ม Advanced Persistent Threat (APT) รับจ้างที่มีชื่อว่า DeathStalker

กลุ่ม DeathStalker เป็นกลุ่ม APT ที่ถูกพบครั้งเเรกในปี 2012 โดยมีการกำหนดเป้าหมายการโจมตีไปยังกลุ่มธุรกิจขนาดเล็กถึงขนาดกลางในหลายสิบประเทศตามคำขอของลูกค้าที่ทำการว่าจ้าง กิจกรรมการโจมตีที่ถูกตรวจพบว่ามีการใช้ PowerPepper ถูกพบครั้งแรกเมื่อต้นเดือนกรกฎาคมที่ผ่านมา การโจมตีส่วนใหญ่เริ่มต้นด้วยอีเมล Spear-phishing ที่มีไฟล์เอกสาร Word ที่เป็นอันตราย ซึ่งเมื่อคลิกแล้วจะดาวน์โหลดและเรียกใช้สคริปต์ PowerShell ชื่อ Powersing เพื่อดำเนินการรันคำสั่งอันตราย จากนั้นมัลแวร์จะใช้ประโยชน์จากโปรโตคอล DNS-over-HTTPS (DoH) เป็นช่องทางการสื่อสารจากเซิร์ฟเวอร์ Command and Control (C&C) ของผู้ประสงค์ร้าย

เพื่อเป็นการป้องกันการตกเป็นเหยื่อผู้ใช้ควรระมัดระวังในการเปิดเอกสารที่แนบมากับอีเมล หรือคลิกลิงก์ในอีเมลจากผู้ส่งที่ไม่รู้จัก หรือผู้ดูแลระบบควรทำจำกัดการใช้งาน PowerShell บนคอมพิวเตอร์ของผู้ใช้ด้วยอีกทางหนึ่ง

ที่มา: thehackernews | securityweek

นักวิจัยด้านความปลอดภัยจาก Kaspersky ได้รายงานถึงการค้นพบ Android banking trojan ชนิดใหม่ที่สามารถสอดแนมและขโมยข้อมูลจากแอปพลิเคชันของผู้ใช้ Android ได้ โดยหลังจากนักวิจัยพบจำนวนแอปพลิเคชัน 153 แอปพลิเคชันที่มีอันตรายและนักวิจัยได้เรียกโทรจันชนิดนี้ว่า Ghimob

นักวิจัยกล่าวว่า Ghimob เป็นโทรจันได้รับการพัฒนาโดยกลุ่มเดียวกันที่อยู่เบื้องหลังมัลแวร์ Windows Astaroth หรือ Guildma การตรวจพบเกิดจากทีมนักวิจัยได้รับข้อเสนอให้ทำการดาวน์โหลด Android ที่เป็นอันตรายบนเว็บไซต์เเห่งหนึ่งและเมื่อทำการตรวจสอบเซิร์ฟเวอร์ที่ใช้งานพบว่าเป็นเซิร์ฟเวอร์ที่ก่อนหน้านี้ถูกใช้โดยกลุ่มมัลแวร์ Astaroth (Guildama)

แอปที่อยู่ภายในเว็บไซต์พบว่ามีการเลียนแบบแอปและแบรนด์ที่เป็นทางการโดยมีชื่อเช่น Google Defender, Google Docs, WhatsApp Updater หรือ Flash Update หากผู้ใช้ประมาทและทำการติดตั้งแอป ถึงแม้จะมีคำเตือนที่แสดงบนอุปกรณ์ของผู้ใช้ก็ตาม แอปที่เป็นอันตรายเหล่านี้จะร้องขอการเข้าถึงบริการ ซึ่งจะเป็นขั้นตอนสุดท้ายในกระบวนการติดไวรัสและถ้าหากได้รับอนุญาต แอปจะค้นหาข้อมูลภายในโทรศัพท์ที่ติดไวรัสเพื่อดูรายการแอปของผู้ใช้ จากนั้นจะแสดงหน้าล็อกอินปลอมเพื่อพยายามขโมยข้อมูล Credential ของผู้ใช้ ซึ่งหลังจากความพยายามฟิชชิงข้อมูลสำเร็จข้อมูล Credential ที่รวบรวมไว้ทั้งหมดจะถูกส่งกลับไปยังกลุ่ม Ghimob ซึ่งจะใช้ข้อมูลเหล่านี้ในการเข้าถึงบัญชีของเหยื่อและเริ่มทำธุรกรรมที่ผิดกฎหมาย

นักวิจัยยังกล่าวอีกว่าแอปที่แฝงมัลแวร์ Ghimob ไว้นั้นได้กำหนดเป้าหมายส่วนใหญ่เป็นของธนาคารในบราซิล , เยอรมนี, โปรตุเกส, เปรู, ปารากวัย, แองโกลาและโมซัมบิก และยังได้เพิ่มเป้าหมายไปยังแอปพลิเคชันที่มีเกี่ยวข้องกับ cryptocurrency exchange เพื่อพยายามเข้าถึงบัญชีสกุลเงินดิจิทัล

ทั้งนี้ผู้ใช้ Android ควรมีระมัดระวังในการดาวน์โหลดแอปพลิเคชันจากเเหล่งที่ไม่รู้จักเพื่อเป็นการป้องกันการตกเป็นเหยื่อของมัลแวร์

ที่มา: zdnet.