ศาลยุติธรรมในบราซิลถูก Ransomware "RansomExx" โจมตี

เมื่ออาทิตย์ที่ผ่านมาศาลยุติธรรมในประเทศบราซิลประกาศว่าระบบและเครือข่ายภายในได้รับผลกระทบจากการโจมตี และหลักฐานซึ่งบ่งชี้ว่าการโจมตีดังกล่าวเกิดขึ้นโดยกลุ่ม Ransomware "RansomExx" ซึ่งส่งผลให้ระบบต้องหยุดให้บริการเพื่อจำกัดความเสียหายและฟื้นฟูระบบ

ฝ่ายเทคนิคของศาลออกมาให้ข้อมูลเพิ่้มเติมในภายหลังว่า กลุ่ม Ransomware ประสบความสำเร็จในการยึดครองบัญชี Domain admin และใช้ปัญชีดังกล่าวในการเข้าถึงระบบ virtual environment ที่ทางศาลใช้งาน ก่อนจะเริ่มการเข้ารหัสระบบซึ่งเป็น virtual machine ทั้งหมด

Kaspersky ได้มีการเผยแพร่การวิเคราะห์ทางเทคนิคของ RansomExx และพบว่า Ransomware ดังกล่าวถูกตรวจพบว่ามีเวอร์ชันที่พุ่งเป้าโจมตีกลุ่มระบบที่ใช้ระบบปฏิบัติการลินุกซ์ด้วย มัลแวร์ไม่มีการติดต่อ C&C, ไม่มีการปิดตัวเองลงหลังจากทำงานเสร็จสิ้นและไม่มีส่วนโค้ดซึ่งต่อต้านการวิเคราะห์แต่อย่างใด ไฟล์ถูกเข้ารหัสด้วย AES-ECB และคีย์ AES ถูกเข้ารหัสด้วย RSA ขนาด 4096 บิตที่ฝังมากับมัลแวร์

ยังไม่มีการระบุอย่างชัดเจนถึงวิธีที่กลุ่มมัลแวร์ใช้ในการเข้าถึงเหยื่อและเป้าหมาย

ที่มา: theregister | bleepingcomputer | securelist | zdnet

มัลแวร์ GravityRAT สายพันธุ์ใหม่ที่สามารถเเพร่กระจายได้บนอุปกรณ์ Android และ macOS

นักวิจัยด้านความปลอดภัยจาก Kaspersky ได้เผยถึงการตรวจพบมัลแวร์ GravityRAT สายพันธุ์ใหม่ที่สามารถเเพร่กระจายได้บนอุปกรณ์ Android และ macOS

GravityRAT เป็น Remote Access Trojan (RAT) ที่ได้รับการพัฒนาจากกลุ่มแฮกเกอร์ชาวปากีสถานอย่างน้อยตั้งแต่ 2015 เพื่อใช้ในการโจมตีเป้าหมายในหน่วยงานและองค์กรทางด้านทหารของอินเดีย

ด้วยความสามารถใหม่นี้มัลแวร์ GravityRAT ที่ปัจจุบันปลอมตัวเป็นแอป Android และ macOS ที่ถูกต้องจะมีความสามารถในการดักจับข้อมูลของอุปกรณ์, รายชื่อผู้ติดต่อ, ที่อยู่, อีเมล,บันทึกการโทรและข้อความ หลังจากนั้นจะทำการส่งไปยังเซิร์ฟเวอร์ที่ควบคุมโดยผู้โจมตี ทั้งนี้มัลแวร์ GravityRAT ยังมีความสามารถในการค้นหาไฟล์ในคอมพิวเตอร์และอุปกรณ์ removable disk ที่มีนามสกุล. doc, .docx, .ppt, .pptx, .xls, .xlsx, .pdf, .odt, .odp และ. ods และอัปโหลดไปยังเซิร์ฟเวอร์, ตรวจสอบโปรเซสที่กำลังทำงานอยู่, ล็อคกดแป้นพิมพ์, ถ่ายภาพหน้าจอ, รันคำสั่งเชลล์โค้ดได้, บันทึกเสียงและสแกนพอร์ต

ทั้งนี้ผู้ใช้งานควรระมัดระวังในการเปิดเอกสารหรือดาวน์โหลดไฟล์จากเเหล่งที่ไม่ทราบข้อมูลที่ชัดเจนและควรพิจารณาใช้ซอฟต์แวร์ป้องกันไวรัสที่มีประสิทธิภาพเพื่อเป็นการป้องกันการตกเป็นเหยื่อของผู้ประสงค์ร้าย

ที่มา: bleepingcomputer

ในกิจกรรม #SASatHome นักวิจัยมัลแวร์ Mark Lechtik และ Igor Kuznetsov จาก Kaspersky ออกมาเปิดเผยการตรวจพบและผลการวิเคราะห์มัลแวร์ในเฟิร์มแวร์ UEFI จากระบบซึ่งถูกโจมตีและมีการแจ้งเตือนจากซอฟต์แวร์ Firmware Scanner ว่ามีโค้ดต้องสงสัยอยู่ข้างใน

จากการตรวจสอบโค้ดดังกล่าวในเฟิร์มแวร์ UEFI ทีม Kaspersky ตรวจพบมัลแวร์ซึ่งมีคุณสมับติในการลักลอบดาวน์โหลดและติดตั้งโปรแกรมอันตรายลงสู่ระบบโดยอัตโนมัติเมื่อคอมพิวเตอร์ถูกเปิดใช้งาน ส่วนของมัลแวร์ที่จะถูกดาวน์โหลดมาเพิ่มเติมนั้นถูกเรียกโดย Kaspersky ว่า "MosaicRegressor" malware framework

แม้ว่าการตรวจสอบจะยังไม่สมบูรณ์ Kaspersky พบว่า MosaicRegressor นั้นมีโมดูลในการลักลอบขโมยข้อมูลออกจากระบบ โดยส่วนของโค้ดที่พบในเฟิร์มแวร์ UEFI นั้นอาจเป็นเพียงส่วนหนึ่งในวิธีการฝังตัวของเฟรมเวิร์ค ทีม Kaspersky ยืนยันการพบโมดูลอื่น ๆ ของ MosaicRegressor แล้ว แต่มีเพียงสองระบบเท่านั้นที่พบโค้ดอันตรายใน UEFI โค้ดของ

ระบบส่วนใหญ่ที่ตรวจพบการมีอยู่ของมัลแวร์นี้โดยส่วนใหญ่นั้นเกี่ยวข้องกับองค์กรระหว่างประเทศและกลุ่ม NGO ในแอฟริกา, เอเชียและยุโรป ด้วยลักษณะและความเกี่ยวข้องของเหยื่อนั้นชี้โยงกลับไปที่เกาหลีเหนือ อย่างไรก็ตามทีม Kaspersky กับพบความเหมือนของโค้ดมัลแวร์กับโค้ดที่ถูกพัฒนาโดยกลุ่มแฮกเกอร์จีน ความเกี่ยวข้องของมัลแวร์และปฏิบัติการในตอนนี้จึงเชื่อมโยงกับไปหากลุ่มแฮกเกอร์จีนมากกว่า

ผู้ที่สนใจรายงานการโจมตีและการวิเคราะห์มัลแวร์สามารถดาวโหลดรายงานฉบับดังกล่าวได้ที่ : Kaspersky

ที่มา : Zdnet

Eran Shimony จาก CyberArk อออกมาเปิดเผยถึงการค้นพบช่องโหว่ในผลิตภัณฑ์ Antivirus กว่า 15 ช่องโหว่ กระทบผลิตภัณฑ์ของ Kaspersky, McAfee, Symantec, Fortinet, CheckPoint, Trend Micro, Avira และ Microsoft Defender ช่องโหว่ทั้งหมดเป็นลักษณะของช่องโหว่แบบ logical หรือหมายถึงช่องโหว่ในเรื่องของการจัดการที่ไม่เหมาะสม ทำให้ผู้โจมตีสามารถใช้ประโยชน์จากปัญหาดังกล่าวในการโจมตีได้

Eran อธิบายถึงที่มาของช่องโหว่เอาไว้ในบล็อกของ CyberArk ช่องโหว่บางส่วนเกิดจากการจัดการสิทธิ์ที่ไม่เหมาะสมเมื่อมีการเขียนข้อมูลลงในพาธ C:\ProgramData รวมไปถึงการไม่ตรวจสอบและแก้ไขสิทธิ์ของไดเรกทอรีหรือไฟล์ที่โปรแกรม Antivirus ที่มีสิทธิ์สูงจะเข้าไปยุ่งเกี่ยวด้วยอย่างเหมาะสม แฮกเกอร์ซึ่งทราบเงื่อนไขของการโจมตีสามารถสร้างเงื่อนไขเพื่อให้โปรแกรม Antivirus ซึ่งมีสิทธิ์สูงอยู่แล้วเข้าไปแก้ไขไฟล์อื่น ๆ ในระบบ หรือลบไฟล์อื่น ๆ ในระบบได้

นอกเหนือจากเรื่องสิทธิ์ที่เกี่ยวกับพาธ C:\ProgramData แล้ว Eran ยังมีการระบุถึงช่องโหว่ DLL injection ในซอฟต์แวร์ Installer ยอดนิยมที่มักถูกใช้โดยผู้พัฒนาโปรแกรมป้องกันมัลแวร์ อาทิ InstallShield, InnoSetup, NsisInstaller และ Wix installer ด้วย

ช่องโหว่ดังกล่าวได้รับการแจ้งและแพตช์โดยผู้พัฒนาโปรแกรมป้องกันมัลแวร์แล้ว ขอให้ผู้ใช้งานทำการติดตามแพตช์และทำการอัปเดตเพื่อลดความเสี่ยงที่จะถูกโจมตีโดยใช้ช่องโหว่นี้โดยทันที

ที่มา : thehackernews

นักวิจัยจาก Kaspersky พบกลุ่ม APT จากอิหร่านเริ่มนำ DNS-over-HTTPS (DoH) มาใช้เป็นเครื่องมือในการโจมตี

Vincente Diaz นักวิเคราะห์มัลแวร์และนักวิจัยโปรแกรมป้องกันไวรัสจาก Kaspersky ได้กล่าวถึงกลุ่ม APT จากอิหร่านหรือที่รู้จักกันในชื่อ OilRig หรือ APT34 ในงาน webinar ว่ากลุ่ม OilRig นี้ได้นำโปรโตคอล DNS-over-HTTPS (DoH) มาพัฒนาในเครื่องมือที่ใช้ในการโจมตีเป็นกลุ่มเเรก เพื่อใช้ exfiltration หรือขโมยข้อมูลออกจากระบบ

Diaz กล่าวว่ากลุ่ม OilRig นั้นได้เริ่มใช้ยูทิลิตี้ใหม่ที่เรียกว่า DNSExfiltrator เป็นส่วนหนึ่งของการบุกรุกเครือข่ายที่ถูกแฮก โดย DNSExfiltrator เป็นโอเพนซอร์สที่มีอยู่ใน GitHub โดย DNSExfiltrator จะสร้างช่องทางการสื่อสารที่ซ่อนตัวอย่างลับๆ โดยการใช้ funneling data และจะซ่อนช่องทางไว้ภายในโปรโตคอลที่ไม่ได้มาตรฐาน ซึ่งจะสามารถถ่ายโอนข้อมูลระหว่างสองจุดโดยใช้ DNS requests หรือ DNS-over-HTTPS (DoH) ในการดำเนินการ

Diaz ยังกล่าวอีกว่ากลุ่ม OilRig หรือ APT34 ได้ใช้ DNSExfiltrator ในการย้ายข้อมูลภายในเครือข่ายจากนั้นจะทำการ exfiltration ไฟล์ไปยังเครือข่ายภายนอกอีกครั้ง โดยกลุ่ม OilRig น่าจะนำเทคนิคนี้มาใช้เพื่อหลีกเลี่ยงการตรวจจับในขณะทำการขโมยข้อมูลออกสู่เครือข่ายภายนอก

ทั้งนี้กลุ่ม OilRig หรือ APT34 นั้นเป็นกลุ่มเเรกที่ใช้เทคนิคขโมยข้อมูลผ่าน DNS มาก่อน จึงไม่แปลกที่กลุ่มนี้จะหันมาพัฒนาเทคนิคเป็นการขโมยข้อมูลผ่าน DNS-over-HTTPS (DoH)

Kaspersky กล่าวว่าเมื่อเดือนพฤษภาคมที่ผ่านมานั้นพบกลุ่ม OilRig มีความเชื่อมโยงกับการ exfiltration ข้อมูลผ่าน DoH ไปยังโดเมนที่เกี่ยวข้องกับ COVID-19

ที่มา: zdnet

 

ไมโครซอฟท์อัปเดตแพตช์ใหม่แก้ช่องโหว่ Zero day ที่กำลังถูกโจมตี

ด้วยแพตช์ล่าสุดมีการอัปเดตในวันที่ 10 ธันวาคม 2019 ไมโครซอฟท์ได้เตือนผู้ใช้หลายพันล้านคนเกี่ยวกับช่องโหว่ใหม่ใน Windows ที่ผู้โจมตีใช้ประโยชน์จากการทำงานร่วมกันกับ Chrome exploit เพื่อควบคุมคอมพิวเตอร์จากระยะไกล

การอัปเดตด้านความปลอดภัยของ Microsoft ในเดือนธันวาคมนั้นมีการอัปเดตแพตช์เพื่อแก้ไขช่องโหว่ทั้งหมด 36 ช่องโหว่ มีช่องโหว่ที่มีความรุนแรงมากที่สุดอยู่ 7 ช่องโหว่ มีช่องโหว่ที่มีความรุนแรงสำคัญอยู่ 27 ช่องโหว่ มีช่องโหว่ที่มีความรุนแรงระดับปานกลางอยู่ 1 ช่องโหว่และมี 1 ช่องโหว่ที่มีความรุนแรงต่ำ

CVE-2019-1458 ซึ่งเป็นช่องโหว่ที่กำลังถูกโจมตี เป็นช่องโหว่ที่มีความรุนแรงสำคัญ เป็นช่องโหว่การเพิ่มระดับสิทธิการใช้งาน Win32k ซึ่ง Kaspersky พบว่ากำลังใช้โจมตีในการโจมตีที่ถูกตั้งชื่อว่า Operation WizardOpium ซึ่งผู้โจมตีใช้ช่องโหว่นี้ร่วมกับการหลีกเลี่ยงการตรวจจับจาก Chrome sandbox เพื่อยึดสิทธิ

แม้ว่า Google จะแก้ไขช่องโหว่ใน Chrome sandbox ที่ถูกใช้ร่วมกับ CVE-2019-1458 แล้ว แต่แฮกเกอร์มุ่งโจมตีเป้าหมายเป็นผู้ใช้งานเบราว์เซอร์เวอร์ชันที่มีช่องโหว่

ดังที่ The Hacker News รายงานเมื่อเดือนที่แล้ว Operation WizardOpium เกี่ยวข้องกับการโจมตีเว็บข่าวภาษาเกาหลี ที่ถูกบุกรุกแล้ววางโค้ดโจมตีเพื่อทำการแฮกคอมพิวเตอร์ของผู้ที่เข้าไปเยี่ยมชม โดยโค้ดโจมตีดังกล่าวจะโจมตี Chrome ตามด้วย CVE-2019-1458 ซึ่งโค้ดโจมตีนี้ทำงานบน Windows 7 และแม้แต่ใน Windows 10 บางรุ่น หากโจมตีสำเร็จ ผู้โจมตีสามารถเรียกใช้โค้ดอันตรายได้ใน kernel mode

ขณะนี้นักวิจัยไม่สามารถระบุว่า Operation WizardOpium คือผู้โจมตีหรือกลุ่มแฮกเกอร์ใด แต่พวกเขาพบความคล้ายคลึงกันบางอย่างคือโค้ดที่ใช้โจมตีคล้ายกับโค้ดของกลุ่มแฮกเกอร์เกาหลีเหนือ Lazarus

แนะนำผู้ใช้ Windows และผู้ดูแลระบบให้อัปเดตแพตช์ความปลอดภัยล่าสุดเพื่อป้องกันการโจมตี โดยสามารถอ่านรายละเอียดช่องโหว่ทั้งหมดที่อัปเดในแพตช์นี้ได้จาก https://msrc-blog.

พบมัลแวร์ ATM ตัวใหม่ในประเทศอินเดีย

ผู้เชี่ยวชาญจาก Kaspersky กล่าวว่า ATMDtrack มัลแวร์ตัวใหม่นี้ได้ถูกพบในเครือข่ายของธนาคารอินเดียตั้งแต่ปลายฤดูร้อนปี 2018 จากนั้นพบการโจมตีตามมาในเดือนกันยายน 2019 ที่ศูนย์การวิจัยของอินเดียด้วยมัลแวร์ตัวเดียวกันที่มีศักยภาพและขยายตัวการโจมตีมากขึ้น ชื่อ DTrack มุ่งเน้นไปที่การสอดแนมและการขโมยข้อมูลมากกว่าอาชญากรรมทางการเงินและมาพร้อมความสามารถของ remote access trojan (RAT)

นักวิจัยของ Kaspersky กล่าวว่ามัลแวร์ทั้งสองสายพันธุ์เป็นตระกูล DTrack มีความคล้ายคลึงกันกับมัลแวร์ที่ใช้ใน "Operation DarkSeoul" ซึ่งเป็นชุดการโจมตีที่มุ่งเป้าไปที่เป้าหมายของเกาหลีใต้ในปี 2013 ซึ่งเชื่อมโยงกับกลุ่ม Lazarus แฮกเกอร์ที่เชื่อว่ามีรัฐบาลเกาหลีเหนือสนับสนุน

DTRACK มัลแวร์สปอตที่พิ่งเกิดขึ้นในเดือนนี้

นอกจากนี้ DTrack ดูเหมือนจะเป็นหนึ่งในผลงานสร้างสรรค์ล่าสุดของกลุ่มลาซารัส ซึ่ง Kaspersky นำไปใช้งานครั้งแรกในช่วงปลายฤดูร้อนของปี 2018 กล่าวว่ากลุ่มตัวอย่างล่าสุดได้รับการใช้งานล่าสุดในเดือนกันยายน 2019

ตัวอย่าง DTrack ล่าสุดสามารถดำเนินการดังต่อไปนี้:

Keylogging,
ดึงประวัติเบราว์เซอร์
รวบรวมที่อยู่ IP ของโฮสต์ข้อมูลเกี่ยวกับเครือข่ายที่ใช้ได้และการเชื่อมต่อที่ใช้งานอยู่
รายการกระบวนการทำงาน
แสดงรายการไฟล์ในดิสก์ไดรฟ์ที่มีอยู่ทั้งหมด
จากข้อมูลที่มีอยู่ในปัจจุบันมันไม่ชัดเจนว่า DTrack วิวัฒนาการมาจาก ATMDTrack หรือ ATMDTrack ได้รับการพัฒนาจากสายพันธุ์ DTrack

ผู้ที่สนใจสามารถดูบทวิเคราะห์และรายละเอียด IOC ได้จาก https://securelist.

การค้นหาเท็กซ์บุ๊คและเรียงความอิเล็กทรอนิกส์บนอินเตอร์เน็ตทำให้กลุ่มนักเรียนมีโอกาสถูกโจมตีจากการค้นพบของนักวิจัย Kaspersky Lab พบการโจมตีมากกว่า 365,000 ครั้งในหนึ่งปี

หลังจากการตรวจสอบการโจมตีด้วยเอกสารแพร่กระจายมัลแวร์ที่ใช้ชื่อไฟล์เกี่ยวกับการศึกษาในผู้ใช้ Kaspersky พบว่ามีผู้เป็นเหยื่อกว่า 365,000 ครั้งในหนึ่งปีการศึกษา มัลแวร์ส่วนมากที่พบในการโจมตีดังกล่าวคือ MediaGet torrent application downloader, WinLNK.Agent.

Imaginary Team ผู้เชี่ยวชาญด้านความปลอดภัยค้นพบช่องโหว่ Heap Buffer Overflow ใน Kaspersky Antivirus Engine

ช่องโหว่ดังกล่าวได้คะแนน CVSSv3 8.0 โดยได้รับรหัสคือ CVE-2019-8285 ส่งผลกระทบต่อ Kaspersky Lab Antivirus Engine เวอร์ชันก่อน 04.apr.

เซิร์ฟเวอร์ ASUS Software Updates ถูกแฮก ใช้แพร่กระจายมัลแวร์กระทบผู้ใช้งานกว่าครึ่งล้านราย
กลุ่มนักวิจัยด้านความปลอดภัยจาก Kaspersky Lab ได้มีการเปิดเผยแคมเปญการโจมตีใหม่ภายใต้ชื่อ Operation ShadowHammer หลังจากตรวจพบการแพร่กระจายของมัลแวร์ผ่านทางบริการ ASUS Software Updates ซึ่งถูกใช้โดยอุปกรณ์จาก ASUS เพื่อรับอัปเดตของโปรแกรมใหม่ โดยจากการประเมินเบื้องต้นนั้นคาดว่ามีผู้ดาวโหลดมัลแวร์ไปแล้วกว่า 500,000 ราย
การโจมตีแบบ Supply-chain attack นี้ถูกเปิดเผยขึ้นเมื่อเดือนมกราคมที่ผ่านมาที่งานสัมมนา SAS 2019 อย่างไรก็ตามการโจมตีถูกประเมินว่าเกิดขึ้นในช่วงเดือนมิถุนายนถึงเดือนพฤศจิกายน 2018
Kaspersky Lab ระบุว่าแคมเปญการโจมตีใน Operation ShadowHammer นั้นมีความซับซ้อนสูงและเชื่อกันว่าผู้อยู่เบื้องหลังการโจมตีอาจเป็นกลุ่มผู้โจมตีที่มีศักยภาพสูงระดับ APT เนื่องจากมัลแวร์ที่ถูกแพร่กระจายผ่านทางช่องทางของ ASUS Software Updates ถูกรับรองด้วยใบอนุญาตที่ถูกต้องของ ASUS ซึ่งหมายความว่าผู้โจมตีสามารถเข้าถึงกระบวนการรับรองโปรแกรมของ ASUS ด้วย
มัลแวร์ที่ถูกแพร่กระจายนั้นมีลักษณะการทำงานแบบโทรจันโดยจะมีการตรวจสอบ MAC address ของระบบที่มีการติดเชื้อเปรียบเทียบกับรายการ MAC address ที่ฝังมากับโปรแกรมของมัลแวร์ซึ่งคาดว่าเป็นเป้าหมายที่แท้จริงของแคมเปญการโจมตี หาก MAC address ของระบบที่ติดเชื้อนั้นอยู่ในรายการดังกล่าว มัลแวร์จะทำการติดต่อไปยังเซิร์ฟเวอร์ที่ใช้ออกคำสั่งและควบคุม (C&C) เพื่อดาวโหลดมัลแวร์อื่นมาติดตั้ง
Kaspersky Lab ยังเผยแพร่เครื่องมือสำหรับตรวจสอบว่าระบบที่ใช้งานอยู่นั้นมีโอกาสที่จะต้องเป็นเป้าหมายหรือไม่ด้วยการตรวจสอบจาก MAC address โดยในขณะนี้ทาง ASUS ได้ทำการตรวจสอบและเข้าขัดขวางแคมเปญการโจมตีดังกล่าวแล้ว

ที่มา : motherboard