พบมัลแวร์ CosmicStrand UEFI ในเมนบอร์ดของ Gigabyte และ ASUS

ตั้งแต่ในช่วงปี 2559 แฮ็กเกอร์ชาวจีนมีการใช้มัลแวร์ที่ไม่เคยถูกพบมาก่อนในอิมเมจเฟิร์มแวร์สำหรับเมนบอร์ดบางตัว ซึ่งทำให้เป็นที่รู้จักกันในรูปแบบที่เรียกว่า UEFI rootkit

นักวิจัยจากบริษัทรักษาความปลอดภัยทางไซเบอร์ Kaspersky เรียกมัลแวร์ลักษณะนี้ว่า CosmicStrand แต่ล่าสุดนักวิเคราะห์มัลแวร์จาก Qihoo360 ค้นพบอีกรูปแบบของมัลแวร์ลักษณะดังกล่าว และตั้งชื่อมันว่า Spy Shadow Trojan

ยังไม่แน่ชัดว่าผู้โจมตีสามารถ inject rootkit ลงในอิมเมจเฟิร์มแวร์ของเครื่องเป้าหมายได้อย่างไร แต่นักวิจัยพบมัลแวร์บนเครื่องที่ใช้เมนบอร์ดของ Gigabyte และ ASUS

UEFI rootkit ที่ยังเป็นปริศนา

ซอฟต์แวร์ Unified Extensible Firmware Interface (UEFI) คือสิ่งที่ใช้เชื่อมต่อระบบปฏิบัติการของคอมพิวเตอร์กับเฟิร์มแวร์ของฮาร์ดแวร์

UEFI จะถูกเรียกใช้ระหว่างการบูตของคอมพิวเตอร์ก่อนเริ่มระบบปฏิบัติการ และระบบการรักษาความปลอดภัย

มัลแวร์ที่ฝังอยู่ในอิมเมจเฟิร์มแวร์ UEFI จึงไม่สามารถลบออกได้ถึงแม้จะติดตั้งระบบปฏิบัติการใหม่ หรือเปลี่ยนฮาร์ดดิสก์ใหม่ก็ตาม

รายงานจาก Kaspersky ในวันนี้มีรายละเอียดทางเทคนิคเกี่ยวกับ CosmicStrand ตั้งแต่ส่วนประกอบ UEFI จากเครื่องที่ติดมัลแวร์ รวมถึง kernel-level ในระบบ Windows ทุก ๆ ครั้งที่บูต

กระบวนการทั้งหมดประกอบด้วยการตั้งค่า hooks เพื่อแก้ไขการโหลดของระบบปฏิบัติการ และควบคุมโฟลว์การดำเนินการทั้งหมดเพื่อเปิดใช้ shellcode ที่ดึงข้อมูลเพย์โหลดของคำสั่ง และการควบคุมจากเซิร์ฟเวอร์

Mark Lechtik อดีตพนักงานของ Kaspersky ซึ่งปัจจุบันอยู่ที่ Mandiant มีส่วนร่วมในการวิจัย อธิบายว่าอิมเมจเฟิร์มแวร์ที่ถูกโจมตีนั้นมาพร้อมกับไดรเวอร์ CSMCORE DXE ที่ได้รับการดัดแปลงเพื่อจัดการลำดับการบูตของระบบ

นักวิจัยจากจีนเริ่มทำการวิเคราะห์พฤติกรรมดังกล่าวหลังจากที่ได้รับรายงานจากเหยื่อว่าคอมพิวเตอร์ของพวกเขามีการสร้างบัญชีผู้ใช้ใหม่ และซอฟต์แวร์ป้องกันไวรัสแจ้งเตือนการติดมัลแวร์ ซึ่งพบว่าคอมพิวเตอร์เครื่องดังกล่าวใช้เมนบอร์ด ASUS มือสองที่ซื้อมาจากร้านค้าออนไลน์

Kaspersky สามารถระบุได้ว่ารูทคิต CosmicStrand UEFI นั้นติดอยู่ในอิมเมจเฟิร์มแวร์ของเมนบอร์ด Gigabyte หรือ ASUS ที่มีการออกแบบร่วมกันโดยใช้ชิปเซ็ต H81 เป็นฮาร์ดแวร์เก่าระหว่างปี 2556 ถึง 2558 ซึ่งปัจจุบันมีการเลิกใช้แล้ว

ยังไม่ชัดเจนว่า UEFI rootkit นั้นถูกติดตั้งลงบนคอมพิวเตอร์ได้อย่างไร เนื่องจากการจะทำแบบนี้ได้ต้องมีการเข้าถึงอุปกรณ์โดยตรง หรืออาจจะผ่านมัลแวร์ที่มีความสามารถติดตั้งลงบนอิมเมจเฟิร์มแวร์ได้

ในรายงานของ Kaspersky ระบุเพิ่มเติมว่าระบบที่พบว่าเคยถูกโจมตีเป็นของเอกชนในจีน, อิหร่าน, เวียดนาม และรัสเซีย ซึ่งไม่สามารถเชื่อมโยงกับองค์กร หรืออุตสาหกรรมได้

อย่างไรก็ตามนักวิจัยได้เชื่อมโยง CosmicStrand กับแฮ็กเกอร์ชาวจีนโดยอิงจากรูปแบบโค้ดที่เห็นใน MyKings cryptomining botnet

Kaspersky กล่าวว่า CosmicStrand UEFI firmware rootkit สามารถอยู่ในระบบได้ตลอดการใช้งานของคอมพิวเตอร์ และถูกใช้ในการดำเนินงานมานานหลายปีตั้งแต่ปลายปี 2559

มัลแวร์บน UEFI กลายเป็นเรื่องปกติ

มีรายงานที่เกี่ยวกับ UEFI rootkit ที่ชื่อ LoJax มาจาก ESET ในปี 2561 และถูกใช้ในการโจมตีโดยแฮ็กเกอร์ชาวรัสเซียกลุ่ม APT28 (aka Sednit, Fancy Bear, Sofacy)

สี่ปีต่อมามีการโจมตีด้วยมัลแวร์ UEFI เพิ่มขึ้น ข้อมูลเกี่ยวกับ MosaicRegressor จาก Kaspersky ในปี 2563 ถูกใช้ในการโจมตีองค์กรพัฒนาเอกชนในปี 2562 ปลายปี 2563 มีข่าวว่าผู้พัฒนา TrickBot ได้สร้าง TrickBoot ซึ่งเป็นโมดูลใหม่ที่ตรวจสอบเครื่องที่ถูกโจมตีเพื่อหาช่องโหว่ UEFI

UEFI rootkit อีกตัวได้รับการเปิดเผยในช่วงปลายปี 2564 ซึ่งถูกพัฒนาโดย Gamma Group ซึ่งเป็นส่วนหนึ่งของโซลูชันการเฝ้าระวัง FinFisher ในปีเดียวกันนั้น ESET มีรายละเอียดเกี่ยวกับ bootkit อีกตัวหนึ่งที่เรียกว่า ESPecter ซึ่งส่วนใหญ่ใช้ในการขโมยข้อมูลตั้งแต่ปี 2555

MoonBounce เป็นหนึ่งในเฟิร์มแวร์ UEFI ที่ล้ำสมัยที่สุดได้รับการเปิดเผยในปีนี้ ถูกใช้โดย Winnti กลุ่มแฮ็กเกอร์ชาวจีน (หรือที่รู้จักในชื่อ APT41)

ที่มา: bleepingcomputer

Luna Ransomware ตัวใหม่ สามารถเข้ารหัสได้ทั้ง Windows, Linux และ ESXi Server

ผู้เชี่ยวชาญจาก Kaspersky พบ Ransomware ชนิดใหม่จากระบบ Darknet Threat Intelligence ที่มีชื่อว่า Luna ซึ่ง Luna Ransomware นี้สามารถเข้ารหัสระบบปฏิบัติการได้หลายระบบไม่ว่าจะเป็น Windows, Linux และ ESXi

รายละเอียดการโจมตี

จากการตรวจสอบของทีม Kasperky พบว่า Ransomware Luna มาจากผู้พัฒนาชาวรัสเซีย เนื่องจากภาษาอังกฤษที่ใช้ในสคริปเรียกค่าไถ่ยังมีการใช้คำผิดอยู่ รวมไปถึงฟีเจอร์ในการเข้ารหัส ซึ่งเข้ารหัสได้ตามคำสังที่มีให้เลือกเท่านั้น ทำให้นักวิจัยคาดว่ามันกำลังอยู่ระหว่างการพัฒนา

รูปแบบการเข้ารหัสของ Luna นั้นซับซ้อนมาก มีการแลกเปลี่ยนคีย์โดยใช้ Diffie-Hellman ร่วมกับการเข้ารหัสแบบ Curve25519 ด้วยอัลกอริทึม Advanced Encryption Standard (AES) ทำให้ยากมากในการถอดรหัส
ภาษาที่ใช้ในการพัฒนา Ransomware เป็นภาษาที่ใช้ข้าม Platform ได้ ทำให้การโจมตีบน OS อื่นๆ นอกจาก Windows ไม่จำเป็นต้องมีการเปลี่ยนแปลงใหญ่ๆบน source code เดิม

ในปัจจุบัน มีข้อมูลน้อยมากเกี่ยวกับเหยื่อ รวมไปถึงตัว Luna ransomware เอง เนื่องจากกลุ่มเพิ่งถูกค้นพบ และกิจกรรมของกลุ่มนั้นยังอยู่ในระหว่างการตรวจสอบที่มา

ที่มา : bleepingcomputer

 

หน่วยงานไซเบอร์ฝรั่งเศสแจ้งเตือนความเคลื่อนไหวของกลุ่มแฮกเกอร์ Sandworm พุ่งเป้าโจมตีซอฟต์แวร์มอนิเตอร์ระบบ Centreon

หน่วยงานด้านความปลอดภัยทางไซเบอร์ของฝรั่งเศส Agence Nationale de la Sécurité des Systèmes d'Information หรือ ANSSI ออกรายงานเชิงวิเคราะห์เกี่ยวกับความเคลื่อนไหวของกลุ่มแฮกเกอร์สัญชาติรัสเซีย Sandworm ซึ่งมีความเคลื่อนไหวมาตลอด 3 ปี โดยใจความสำคัญของรายการเชิงวิเคราะห์ดังกล่าวนั้นระบุถึงการโจมตีซอฟต์แวร์มอนิเตอร์ระบบ Centreon เพื่อเข้าถึงระบบภายในขององค์กรและบริษัทในฝรั่งเศสหลายองค์กร

ซอฟต์แวร์มอนิเตอร์ระบบ Centreon ถูกตรวจพบไว้ใช้เป็นช่องทางในการเข้าถึงและโจมตีระบบของ Sandworm โดย Centreon ที่ถูกตรวจพบว่าถูกโจมตีนั้นมักเป็นระบบที่สามารถเข้าถึงได้จากอินเตอร์เน็ต อย่างไรก็ตามยังไม่มีการยืนยันอย่างชัดเจนว่าการโจมตีดังกล่าวเกิดขึ้นในลักษณะของการโจมตีช่องโหว่ หรือเป็นการคาดเดารหัสผ่าน

อ้างอิงจากรายงานของ ANSSI เหยื่อรายแรกที่ตรวจพบนั้นถูกโจมตีในปี 2017 และมีการปรากฎความเคลื่อนไหวมาเรื่อยมาจนกระทั่งในปี 2020 โดยหลังจากที่ Sandworm เข้าถึงระบบ Centreon ของเป้าหมายได้สำเร็จแล้ว กลุ่มผู้โจมตีจะทำการติดตั้ง Web shell และ Backdoor เพื่อใช้ในการเข้าถึงในภายหลัง ด้วยลักษณะของมัลแวร์ที่ใช้ ANSSI จึงได้เชื่อมโยงความเกี่ยวข้องพฤติกรรมดังกล่าวไปหากลุ่ม Sandworm ซึ่งสอดคล้องกับรายงานของ Kaspersky

ในขณะที่ทาง Centreon ยังไม่ได้มีการออกมาให้ความเห็นเพิ่มเติมเกี่ยวกับกรณีที่เกิดขึ้น ขอให้ติดตามสถานการณ์ต่อไป

ที่มา : zdnet

อัปเดตสถานการณ์ SolarWinds: ทำความรู้จักมัลแวร์ SUNSPOT ฝังตัวแอบแก้ซอร์สโค้ด, ความเชื่อมโยงกับรัสเซียและการประกาศขายข้อมูล

ทีม Intelligent Response ข้อสรุปสถานการณ์ที่เกี่ยวข้องกับ SolarWinds ที่เกิดขึ้นในช่วงวันที่ 11-13 มกราคม 2021 ตามรายละเอียดดังนี้

CrowdStrike เผยแพร่รายงานการตรวจสอบการบุกรุกระบบของ SolarWinds เพื่อฝังโค้ดของมัลแวร์ SUNBURST ลงไปในแพลตฟอร์ม SolarWinds Orion ผลการตรวจสอบพบการบุกรุกและการมีอยู่ของมัลแวร์ชื่อ SUNSPOT ซึ่งรับหน้าที่ในการฝังมัลแวร์ SUNBURST อ่านข้อมูลในส่วนนี้เพิ่มเติมได้ที่เหตุการณ์การโจมตี SolarWinds
Kaspersky มีการเปิดเผยรายงานการวิเคราะห์ความเชื่อมโยงของโค้ดของมัลแวร์ SUNBURST กับมัลแวร์ Kazuar ซึ่งถูกใช้โดยกลุ่มแฮกเกอร์ Turla แม้จะมีส่วนของโค้ดที่มีลักษณะเหมือนหรือคล้ายคลึงกัน การตัดสินความเชื่อมโยงจากผู้เกี่ยวข้องกับ SUNBURST เข้ากับกลุ่มแฮกเกอร์ Turla ซึ่งเป็นผู้พัฒนามัลแวร์ Kazuar ก็ยังไม่สามารถสรุปได้อย่างแน่ชัด อ่านข้อมูลในส่วนนี้เพิ่มเติมได้ที่รายละเอียด Threat actor
เว็บไซต์ solarleaks[.]net ประกาศขายข้อมูลของ Microsoft, Cisco, FireEye และ SolarWinds ซึ่งทั้งหมดเป็นเหยื่อของการโจมตี Supply-chain attack จาก SolarWinds อย่างไรอ้างอิงจากการตรวจสอบโดย Joseph Cox ซึ่งเป็นผู้สื่อข่าวได้ Cybersecurity ของ Motherboard ระบุว่าเว็บไซต์ดังกล่าวมีความน่าเชื่อถือต่ำ อีกทั้งยังไม่มีหลักฐานว่าได้มีการครอบครองข้อมูลจริง
ที่มา: crowdstrike | securelist | bleepingcomputer | twitter.

กลุ่มแฮกเกอร์รับจ้างใช้เครืองมือเเฮกชนิดใหม่ที่ชื่อ PowerPepper ในการโจมตีผู้ใช้ล่าสุด

นักวิจัยด้านความปลอดภัยของ Kaspersky ได้เปิดเผยรายละเอียดเกี่ยวกับแบ็คดอร์ PowerShell ใน Windows ที่พึ่งมีการค้นพบ โดยแบ็คดอร์ที่มีการค้นพบนั้นถูกระบุชื่อว่า PowerPepper ตามภาษาที่ถูกใช้เพื่อพัฒนาแบ็คดอร์ เชื่อว่าเป็นแบ็คดอร์ที่ถูกพัฒนามาจากกลุ่ม Advanced Persistent Threat (APT) รับจ้างที่มีชื่อว่า DeathStalker

กลุ่ม DeathStalker เป็นกลุ่ม APT ที่ถูกพบครั้งเเรกในปี 2012 โดยมีการกำหนดเป้าหมายการโจมตีไปยังกลุ่มธุรกิจขนาดเล็กถึงขนาดกลางในหลายสิบประเทศตามคำขอของลูกค้าที่ทำการว่าจ้าง กิจกรรมการโจมตีที่ถูกตรวจพบว่ามีการใช้ PowerPepper ถูกพบครั้งแรกเมื่อต้นเดือนกรกฎาคมที่ผ่านมา การโจมตีส่วนใหญ่เริ่มต้นด้วยอีเมล Spear-phishing ที่มีไฟล์เอกสาร Word ที่เป็นอันตราย ซึ่งเมื่อคลิกแล้วจะดาวน์โหลดและเรียกใช้สคริปต์ PowerShell ชื่อ Powersing เพื่อดำเนินการรันคำสั่งอันตราย จากนั้นมัลแวร์จะใช้ประโยชน์จากโปรโตคอล DNS-over-HTTPS (DoH) เป็นช่องทางการสื่อสารจากเซิร์ฟเวอร์ Command and Control (C&C) ของผู้ประสงค์ร้าย

เพื่อเป็นการป้องกันการตกเป็นเหยื่อผู้ใช้ควรระมัดระวังในการเปิดเอกสารที่แนบมากับอีเมล หรือคลิกลิงก์ในอีเมลจากผู้ส่งที่ไม่รู้จัก หรือผู้ดูแลระบบควรทำจำกัดการใช้งาน PowerShell บนคอมพิวเตอร์ของผู้ใช้ด้วยอีกทางหนึ่ง

ที่มา: thehackernews | securityweek

เตือนภัย! Android banking trojan ชนิดใหม่ “Ghimob” มุ่งเป้าขโมยข้อมูลและสอดแนมผู้ใช้ Android

นักวิจัยด้านความปลอดภัยจาก Kaspersky ได้รายงานถึงการค้นพบ Android banking trojan ชนิดใหม่ที่สามารถสอดแนมและขโมยข้อมูลจากแอปพลิเคชันของผู้ใช้ Android ได้ โดยหลังจากนักวิจัยพบจำนวนแอปพลิเคชัน 153 แอปพลิเคชันที่มีอันตรายและนักวิจัยได้เรียกโทรจันชนิดนี้ว่า Ghimob

นักวิจัยกล่าวว่า Ghimob เป็นโทรจันได้รับการพัฒนาโดยกลุ่มเดียวกันที่อยู่เบื้องหลังมัลแวร์ Windows Astaroth หรือ Guildma การตรวจพบเกิดจากทีมนักวิจัยได้รับข้อเสนอให้ทำการดาวน์โหลด Android ที่เป็นอันตรายบนเว็บไซต์เเห่งหนึ่งและเมื่อทำการตรวจสอบเซิร์ฟเวอร์ที่ใช้งานพบว่าเป็นเซิร์ฟเวอร์ที่ก่อนหน้านี้ถูกใช้โดยกลุ่มมัลแวร์ Astaroth (Guildama)

แอปที่อยู่ภายในเว็บไซต์พบว่ามีการเลียนแบบแอปและแบรนด์ที่เป็นทางการโดยมีชื่อเช่น Google Defender, Google Docs, WhatsApp Updater หรือ Flash Update หากผู้ใช้ประมาทและทำการติดตั้งแอป ถึงแม้จะมีคำเตือนที่แสดงบนอุปกรณ์ของผู้ใช้ก็ตาม แอปที่เป็นอันตรายเหล่านี้จะร้องขอการเข้าถึงบริการ ซึ่งจะเป็นขั้นตอนสุดท้ายในกระบวนการติดไวรัสและถ้าหากได้รับอนุญาต แอปจะค้นหาข้อมูลภายในโทรศัพท์ที่ติดไวรัสเพื่อดูรายการแอปของผู้ใช้ จากนั้นจะแสดงหน้าล็อกอินปลอมเพื่อพยายามขโมยข้อมูล Credential ของผู้ใช้ ซึ่งหลังจากความพยายามฟิชชิงข้อมูลสำเร็จข้อมูล Credential ที่รวบรวมไว้ทั้งหมดจะถูกส่งกลับไปยังกลุ่ม Ghimob ซึ่งจะใช้ข้อมูลเหล่านี้ในการเข้าถึงบัญชีของเหยื่อและเริ่มทำธุรกรรมที่ผิดกฎหมาย

นักวิจัยยังกล่าวอีกว่าแอปที่แฝงมัลแวร์ Ghimob ไว้นั้นได้กำหนดเป้าหมายส่วนใหญ่เป็นของธนาคารในบราซิล , เยอรมนี, โปรตุเกส, เปรู, ปารากวัย, แองโกลาและโมซัมบิก และยังได้เพิ่มเป้าหมายไปยังแอปพลิเคชันที่มีเกี่ยวข้องกับ cryptocurrency exchange เพื่อพยายามเข้าถึงบัญชีสกุลเงินดิจิทัล

ทั้งนี้ผู้ใช้ Android ควรมีระมัดระวังในการดาวน์โหลดแอปพลิเคชันจากเเหล่งที่ไม่รู้จักเพื่อเป็นการป้องกันการตกเป็นเหยื่อของมัลแวร์

ที่มา: zdnet.

Brazil’s court system under massive RansomExx ransomware attack

ศาลยุติธรรมในบราซิลถูก Ransomware "RansomExx" โจมตี

เมื่ออาทิตย์ที่ผ่านมาศาลยุติธรรมในประเทศบราซิลประกาศว่าระบบและเครือข่ายภายในได้รับผลกระทบจากการโจมตี และหลักฐานซึ่งบ่งชี้ว่าการโจมตีดังกล่าวเกิดขึ้นโดยกลุ่ม Ransomware "RansomExx" ซึ่งส่งผลให้ระบบต้องหยุดให้บริการเพื่อจำกัดความเสียหายและฟื้นฟูระบบ

ฝ่ายเทคนิคของศาลออกมาให้ข้อมูลเพิ่้มเติมในภายหลังว่า กลุ่ม Ransomware ประสบความสำเร็จในการยึดครองบัญชี Domain admin และใช้ปัญชีดังกล่าวในการเข้าถึงระบบ virtual environment ที่ทางศาลใช้งาน ก่อนจะเริ่มการเข้ารหัสระบบซึ่งเป็น virtual machine ทั้งหมด

Kaspersky ได้มีการเผยแพร่การวิเคราะห์ทางเทคนิคของ RansomExx และพบว่า Ransomware ดังกล่าวถูกตรวจพบว่ามีเวอร์ชันที่พุ่งเป้าโจมตีกลุ่มระบบที่ใช้ระบบปฏิบัติการลินุกซ์ด้วย มัลแวร์ไม่มีการติดต่อ C&C, ไม่มีการปิดตัวเองลงหลังจากทำงานเสร็จสิ้นและไม่มีส่วนโค้ดซึ่งต่อต้านการวิเคราะห์แต่อย่างใด ไฟล์ถูกเข้ารหัสด้วย AES-ECB และคีย์ AES ถูกเข้ารหัสด้วย RSA ขนาด 4096 บิตที่ฝังมากับมัลแวร์

ยังไม่มีการระบุอย่างชัดเจนถึงวิธีที่กลุ่มมัลแวร์ใช้ในการเข้าถึงเหยื่อและเป้าหมาย

ที่มา: theregister | bleepingcomputer | securelist | zdnet

Windows GravityRAT Malware Now Also Targets macOS and Android Devices

มัลแวร์ GravityRAT สายพันธุ์ใหม่ที่สามารถเเพร่กระจายได้บนอุปกรณ์ Android และ macOS

นักวิจัยด้านความปลอดภัยจาก Kaspersky ได้เผยถึงการตรวจพบมัลแวร์ GravityRAT สายพันธุ์ใหม่ที่สามารถเเพร่กระจายได้บนอุปกรณ์ Android และ macOS

GravityRAT เป็น Remote Access Trojan (RAT) ที่ได้รับการพัฒนาจากกลุ่มแฮกเกอร์ชาวปากีสถานอย่างน้อยตั้งแต่ 2015 เพื่อใช้ในการโจมตีเป้าหมายในหน่วยงานและองค์กรทางด้านทหารของอินเดีย

ด้วยความสามารถใหม่นี้มัลแวร์ GravityRAT ที่ปัจจุบันปลอมตัวเป็นแอป Android และ macOS ที่ถูกต้องจะมีความสามารถในการดักจับข้อมูลของอุปกรณ์, รายชื่อผู้ติดต่อ, ที่อยู่, อีเมล,บันทึกการโทรและข้อความ หลังจากนั้นจะทำการส่งไปยังเซิร์ฟเวอร์ที่ควบคุมโดยผู้โจมตี ทั้งนี้มัลแวร์ GravityRAT ยังมีความสามารถในการค้นหาไฟล์ในคอมพิวเตอร์และอุปกรณ์ removable disk ที่มีนามสกุล. doc, .docx, .ppt, .pptx, .xls, .xlsx, .pdf, .odt, .odp และ. ods และอัปโหลดไปยังเซิร์ฟเวอร์, ตรวจสอบโปรเซสที่กำลังทำงานอยู่, ล็อคกดแป้นพิมพ์, ถ่ายภาพหน้าจอ, รันคำสั่งเชลล์โค้ดได้, บันทึกเสียงและสแกนพอร์ต

ทั้งนี้ผู้ใช้งานควรระมัดระวังในการเปิดเอกสารหรือดาวน์โหลดไฟล์จากเเหล่งที่ไม่ทราบข้อมูลที่ชัดเจนและควรพิจารณาใช้ซอฟต์แวร์ป้องกันไวรัสที่มีประสิทธิภาพเพื่อเป็นการป้องกันการตกเป็นเหยื่อของผู้ประสงค์ร้าย

ที่มา: bleepingcomputer

Kaspersky ตรวจพบมัลแวร์ใน UEFI สายพันธุ์ใหม่ คาดพัฒนาโดยกลุ่มแฮกเกอร์จีน

ในกิจกรรม #SASatHome นักวิจัยมัลแวร์ Mark Lechtik และ Igor Kuznetsov จาก Kaspersky ออกมาเปิดเผยการตรวจพบและผลการวิเคราะห์มัลแวร์ในเฟิร์มแวร์ UEFI จากระบบซึ่งถูกโจมตีและมีการแจ้งเตือนจากซอฟต์แวร์ Firmware Scanner ว่ามีโค้ดต้องสงสัยอยู่ข้างใน

จากการตรวจสอบโค้ดดังกล่าวในเฟิร์มแวร์ UEFI ทีม Kaspersky ตรวจพบมัลแวร์ซึ่งมีคุณสมับติในการลักลอบดาวน์โหลดและติดตั้งโปรแกรมอันตรายลงสู่ระบบโดยอัตโนมัติเมื่อคอมพิวเตอร์ถูกเปิดใช้งาน ส่วนของมัลแวร์ที่จะถูกดาวน์โหลดมาเพิ่มเติมนั้นถูกเรียกโดย Kaspersky ว่า "MosaicRegressor" malware framework

แม้ว่าการตรวจสอบจะยังไม่สมบูรณ์ Kaspersky พบว่า MosaicRegressor นั้นมีโมดูลในการลักลอบขโมยข้อมูลออกจากระบบ โดยส่วนของโค้ดที่พบในเฟิร์มแวร์ UEFI นั้นอาจเป็นเพียงส่วนหนึ่งในวิธีการฝังตัวของเฟรมเวิร์ค ทีม Kaspersky ยืนยันการพบโมดูลอื่น ๆ ของ MosaicRegressor แล้ว แต่มีเพียงสองระบบเท่านั้นที่พบโค้ดอันตรายใน UEFI โค้ดของ

ระบบส่วนใหญ่ที่ตรวจพบการมีอยู่ของมัลแวร์นี้โดยส่วนใหญ่นั้นเกี่ยวข้องกับองค์กรระหว่างประเทศและกลุ่ม NGO ในแอฟริกา, เอเชียและยุโรป ด้วยลักษณะและความเกี่ยวข้องของเหยื่อนั้นชี้โยงกลับไปที่เกาหลีเหนือ อย่างไรก็ตามทีม Kaspersky กับพบความเหมือนของโค้ดมัลแวร์กับโค้ดที่ถูกพัฒนาโดยกลุ่มแฮกเกอร์จีน ความเกี่ยวข้องของมัลแวร์และปฏิบัติการในตอนนี้จึงเชื่อมโยงกับไปหากลุ่มแฮกเกอร์จีนมากกว่า

ผู้ที่สนใจรายงานการโจมตีและการวิเคราะห์มัลแวร์สามารถดาวโหลดรายงานฉบับดังกล่าวได้ที่ : Kaspersky

ที่มา : Zdnet

แจ้งเตือนช่องโหว่แบบ Logical ในผลิตภัณฑ์ Antivirus หลายรายการ นำไปใช้ยกระดับสิทธิ์และข้ามผ่านกระบวนการจัดการสิทธิ์ได้

Eran Shimony จาก CyberArk อออกมาเปิดเผยถึงการค้นพบช่องโหว่ในผลิตภัณฑ์ Antivirus กว่า 15 ช่องโหว่ กระทบผลิตภัณฑ์ของ Kaspersky, McAfee, Symantec, Fortinet, CheckPoint, Trend Micro, Avira และ Microsoft Defender ช่องโหว่ทั้งหมดเป็นลักษณะของช่องโหว่แบบ logical หรือหมายถึงช่องโหว่ในเรื่องของการจัดการที่ไม่เหมาะสม ทำให้ผู้โจมตีสามารถใช้ประโยชน์จากปัญหาดังกล่าวในการโจมตีได้

Eran อธิบายถึงที่มาของช่องโหว่เอาไว้ในบล็อกของ CyberArk ช่องโหว่บางส่วนเกิดจากการจัดการสิทธิ์ที่ไม่เหมาะสมเมื่อมีการเขียนข้อมูลลงในพาธ C:\ProgramData รวมไปถึงการไม่ตรวจสอบและแก้ไขสิทธิ์ของไดเรกทอรีหรือไฟล์ที่โปรแกรม Antivirus ที่มีสิทธิ์สูงจะเข้าไปยุ่งเกี่ยวด้วยอย่างเหมาะสม แฮกเกอร์ซึ่งทราบเงื่อนไขของการโจมตีสามารถสร้างเงื่อนไขเพื่อให้โปรแกรม Antivirus ซึ่งมีสิทธิ์สูงอยู่แล้วเข้าไปแก้ไขไฟล์อื่น ๆ ในระบบ หรือลบไฟล์อื่น ๆ ในระบบได้

นอกเหนือจากเรื่องสิทธิ์ที่เกี่ยวกับพาธ C:\ProgramData แล้ว Eran ยังมีการระบุถึงช่องโหว่ DLL injection ในซอฟต์แวร์ Installer ยอดนิยมที่มักถูกใช้โดยผู้พัฒนาโปรแกรมป้องกันมัลแวร์ อาทิ InstallShield, InnoSetup, NsisInstaller และ Wix installer ด้วย

ช่องโหว่ดังกล่าวได้รับการแจ้งและแพตช์โดยผู้พัฒนาโปรแกรมป้องกันมัลแวร์แล้ว ขอให้ผู้ใช้งานทำการติดตามแพตช์และทำการอัปเดตเพื่อลดความเสี่ยงที่จะถูกโจมตีโดยใช้ช่องโหว่นี้โดยทันที

ที่มา : thehackernews