มัลแวร์ Blackmamba ถูกใช้ทำหน้าที่เป็น keylogger โดยสามารถส่งข้อมูล credentials ที่ถูกขโมยออกไปผ่านทาง Microsoft Teams ซึ่งมัลแวร์สามารถโจมตีได้ทั้งอุปกรณ์ Windows, macOS และ Linux
Jeff Sims นักวิจัยจากสถาบัน HYAS และผู้เชี่ยวชาญด้านความปลอดภัยทางไซเบอร์เป็นผู้พัฒนามัลแวร์ด้วย ChatGPT ชื่อ Blackmamba ซึ่งสามารถ bypass Endpoint Detection and Response (EDR) ได้ (more…)
Asher Malhotra และ Vitor Ventura นักวิจัยจาก Cisco Talos ได้รายงานถึงผลการวิเคราะห์การโจมตีของกลุ่มแฮ็กเกอร์ YoroTrooper ว่า พบข้อมูลที่ถูกขโมยออกไปจากการโจมตีนั้นเป็นข้อมูล credentials ที่มาจากการใช้งานแอปพลิเคชันต่าง ๆ, ประวัติการเข้าใช้งานบนเบราว์เซอร์ และคุกกี้, ข้อมูลของระบบ, รวมไปถึงข้อมูลการจับภาพหน้าจอ (screenshot)
โดย YoroTrooper มีเป้าหมายการโจมตีเป็นหน่วยงานรัฐบาล, องค์กรด้านพลังงาน และองค์กรระหว่างประเทศทั่วยุโรป ซึ่งเป็นส่วนหนึ่งของภัยคุกคามทางไซเบอร์ที่ดำเนินการมาตั้งแต่เดือนมิถุนายน 2022 ต่อมาประเทศที่เป็นเป้าหมายของแฮ็กเกอร์กลุ่มนี้ ได้แก่ อาเซอร์ไบจาน, ทาจิกิสถาน, คีร์กีซสถาน, เติร์กเมนิสถาน และประเทศในเครือรัฐเอกราช (CIS) อื่น ๆ ซึ่งเป็นกลุ่มประเทศในเอเชียกลาง เชื่อกันว่าแฮ็กเกอร์สามารถสื่อสารภาษารัสเซียได้ เนื่องจากมีการใช้เครื่องมือในการโจมตีเหยื่อเป็นอักษรซีริลลิก (อักษรที่ใช้เขียนของภาษารัสเซีย)
กลุ่ม YoroTrooper ถูกพบว่ามีการใช้ชุดคำสั่งร่วมกับ PoetRAT ที่มีการบันทึกไว้ในปี 2020 ว่าเป็นการโจมตีหน่วยงานรัฐบาล และองค์กรด้านพลังงานของอาเซอร์ไบจานโดยการใช้ประโยชน์จากโคโรนาไวรัสเป็นหัวข้อในการหลอกล่อเหยื่อ
การขโมยข้อมูลของ YoroTrooper เริ่มต้นด้วยการใช้มัลแวร์ เช่น Ave Maria (หรือที่รู้จักในชื่อ Warzone RAT), LodaRAT, Meterpreter และ Stink ทำหน้าที่เป็นส่วนหนึ่งในการแพร่กระจายมัลแวร์ผ่านทาง shortcut files (LNKs) ในไฟล์ ZIP หรือ RAR ผ่านการโจมตีแบบ spear-phishing
โดยไฟล์ LNK ทำหน้าที่เป็นตัวดาวน์โหลดเพื่อเรียกใช้งานไฟล์ HTA ที่สามารถดึงข้อมูลจากเซิร์ฟเวอร์ภายนอก (remote server) ได้ ส่วนไฟล์เอกสาร PDF จะถูกใช้เพื่อเป็นช่องทางในการติดตั้งมัลแวร์สำหรับขโมยข้อมูล และส่งข้อมูลออกไปผ่านทาง Telegram
การใช้งาน LodaRAT เป็นที่น่าสนใจ เนื่องจากมัลแวร์ตัวนี้ถูกใช้งานในการขโมยข้อมูลจากกลุ่มผู้โจมตีอีกหลายราย เช่น Kasablanka ซึ่งพบว่ามีการใช้งาน Ave Maria (หรือที่รู้จักในชื่อ Warzone RAT) ในแคมเปญล่าสุดที่กำหนดเป้าหมายการโจมตีไปที่รัสเซีย
YoroTrooper ยังมีการปรับใช้เครื่องมือเสริมอื่น ๆ ได้แก่ Backshell และ Keylogger ที่สร้างขึ้นมาเองโดยใช้ภาษา C ซึ่งสามารถบันทึกการกดแป้นพิมพ์ และบันทึกลงในไฟล์บนฮาร์ดดิสก์ได้
ที่มา : thehackernews
ในเดือนธันวาคม 2565 LastPass ได้เปิดเผยถึงเหตุการณ์ข้อมูลรั่วไหลที่เกิดจากการที่ผู้โจมตีสามารถเข้าถึงที่จัดเก็บข้อมูลรหัสผ่านที่มีการเข้ารหัสไว้ และระบุว่าเหตุการณ์ครั้งนี้เกิดขึ้นจากผู้ไม่หวังดีรายเดียวกันกับการโจมตีในครั้งแรก
บริษัทเปิดเผยว่าหนึ่งในวิศวกรทางด้าน DevOps ถูกโจมตีคอมพิวเตอร์ส่วนบุคคล โดยผู้โจมตีใช้ประโยชน์จากข้อมูลที่ถูกขโมยมาในเหตุการณ์ครั้งแรก ข้อมูลที่ได้มาจากเหตุการณ์ข้อมูลรั่วไหลจากบริการต่าง ๆ และช่องโหว่ในซอฟต์แวร์มัลติมีเดีย ทำให้ถูกติดตั้ง keylogger ซึ่งทำให้ผู้โจมตีได้ข้อมูลสำคัญออกไปจากระบบบน Amazon AWS cloud storage servers
เป้าหมายของการโจมตี คือ โครงสร้างพื้นฐาน ทรัพยากร และข้อมูลพนักงาน
เหตุการณ์ข้อมูลรั่วไหลในเดือนสิงหาคมที่ผ่านมา ส่งผลทำให้ผู้โจมตีสามารถเข้าถึงซอร์สโค้ด และข้อมูลทางเทคนิคจากสิทธิ์การเข้าถึงด้วยบัญชีนักพัฒนาเพียงบัญชีเดียว
ในเดือนธันวาคม ผู้โจมตีได้ใช้ประโยชน์จากข้อมูลที่ได้ เพื่อเข้าถึงระบบจัดเก็บข้อมูลบนคลาวด์ และได้ข้อมูลลูกค้าบางส่วนของบริษัท ต่อมาในเดือนเดียวกันผู้โจมตีได้เปิดเผยว่าได้รับสิทธ์ในการเข้าถึงฐานข้อมูลสำรองของที่จัดเก็บข้อมูลรหัสผ่านที่มีการเข้ารหัสด้วยอัลกอริทึมเข้ารหัสแบบ 256-bit AES encryption
ฝั่งของ Goto บริษัทแม่ของ LastPass ตรวจพบว่ามีการเข้าถึงโดยไม่ได้รับอนุญาตในเดือนที่ผ่านมาบน third-party ของบริการจัดเก็บข้อมูลบนคลาวด์
LastPass ไม่ได้เปิดเผยถึงชื่อของซอฟต์แวร์มัลติมีเดียที่ถูกใช้ในการโจมตีครั้งนี้ แต่มีข้อสังเกตว่าอาจเป็นซอฟต์แวร์ Plex เนื่องจากเคยพบการถูกโจมตีในปลายเดือนสิงหาคม 2565
ตอนนี้ทาง LastPass ได้อัปเกรดระบบการรักษาความปลอดภัย โดยการ rotate ข้อมูลประจำตัวที่มีความสำคัญ และมีสิทธิ์สูง รวมถึงออกใบรับรองใหม่ ปรับใช้มาตรการด้านความปลอดภัยบน S3 ในด้านการ hardening, logging และการแจ้งเตือนต่าง ๆ
คำแนะนำ
ผู้ใช้งาน LastPass ควรทำการเปลี่ยนรหัสผ่านหลัก และรหัสผ่านทั้งหมดที่มีการจัดเก็บเพื่อลดความเสี่ยงที่อาจเกิดขึ้น
ที่มา : thehackernews
ผู้โจมตีได้มุ่งเป้าหมายการโจมตีไปยังหน่วยงานรัฐบาลด้วยมัลแวร์ PureCrypter ซึ่งพบว่าถูกใช้เพื่อเป็นมัลแวร์สำหรับดาวน์โหลดมัลแวร์ขโมยข้อมูล และแรนซัมแวร์หลายสายพันธุ์
โดยนักวิจัยที่ Menlo Security พบว่าแฮ็กเกอร์ใช้ Discord เป็นโฮสต์สำหรับ payload เริ่มต้น และโจมตีองค์กรไม่แสวงหาผลกำไร เพื่อทำเป็นโฮสต์เพิ่มเติมที่ใช้ในแคมเปญ
แคมเปญนี้มีการโจมตีโดยการใช้มัลแวร์หลายประเภท ได้แก่ Redline Stealer, AgentTesla, Eternity, Blackmoon และ Philadelphia Ransomware และได้กำหนดเป้าหมายไปยังองค์กรรัฐบาลหลายแห่งในภูมิภาคเอเชียแปซิฟิก (APAC) และอเมริกาเหนือ
การโจมตี
การโจมตีเริ่มต้นด้วยอีเมลที่มี URL ของแอป Discord สำหรับดาวน์โหลด PureCrypter ซึ่งอยู่ในไฟล์ ZIP ที่มีการใส่รหัสผ่าน ซึ่งเมื่อเปิดใช้งาน มันจะทำการดาวน์โหลดเพย์โหลดต่อไปจากเซิร์ฟเวอร์ภายนอก ซึ่งในกรณีนี้เป็นเซิร์ฟเวอร์ที่ถูกโจมตีขององค์กรไม่แสวงหาผลกำไรแห่งหนึ่ง
โดยตัวอย่างที่นักวิจัยจาก Menlo Security วิเคราะห์คือ AgentTesla ซึ่งจะสร้างการเชื่อมต่อกับเซิร์ฟเวอร์ FTP ที่ตั้งอยู่ในปากีสถาน เพื่อใช้ในการรับส่งข้อมูลที่ขโมยมา โดยแฮ็กเกอร์จะใช้ข้อมูล credentials ที่มีการรั่วไหลออกมาในการโจมตีเพื่อเข้าควบคุมเซิร์ฟเวอร์ FTP แทนที่จะตั้งเซิร์ฟเวอร์ขึ้นมาเอง เพื่อลดความเสี่ยงจากการถูกระบุตัวตน
AgentTesla เป็นกลุ่มมัลแวร์ .NET ที่ถูกใช้ในกลุ่มผู้โจมตีในช่วง 8 ปีที่ผ่านมา โดยมีการใช้งานสูงสุดในช่วงปลายปี 2020 และต้นปี 2021 แต่ Agent Tesla ยังถือว่าเป็น backdoor ที่มีความสามารถสูง ซึ่งได้รับการพัฒนา และปรับปรุงอย่างต่อเนื่องตลอดหลายปีที่ผ่านมา
โดยพฤติกรรม keylogging ของ AgentTesla คิดเป็นประมาณหนึ่งในสามของรายงาน Keylogger ทั้งหมดที่ Cofense Intelligence บันทึกไว้ในปี 2022
ความสามารถของมัลแวร์ มีดังนี้ :
บันทึกการกดแป้นพิมพ์ของเหยื่อเพื่อเก็บข้อมูลที่มีความสำคัญ เช่น รหัสผ่าน
ขโมยรหัสผ่านที่บันทึกไว้ในเว็บเบราว์เซอร์, email clients หรือ FTP clients
จับภาพหน้าจอของเดสก์ท็อปที่อาจมีข้อมูลที่มีความสำคัญ
ดักจับข้อมูลที่คัดลอกไปยังคลิปบอร์ด รวมถึงข้อความ รหัสผ่าน และรายละเอียดบัตรเครดิ
ส่งข้อมูลที่ถูกขโมยไปยัง C2 ผ่าน FTP หรือ SMTP
ในการโจมตีที่ถูกตรวจสอบโดย Menlo Labs พบว่าแฮ็กเกอร์ใช้ process hollowing เพื่อแทรก Payload ของ AgentTesla เข้าสู่ proces (“cvtres.
นักวิจัยด้านความปลอดภัยจาก Juniper Threat Labs ได้เปิดเผยถึงเป้าหมายการโจมตีของบอตเน็ต DarkIRC ที่กำลังพยายามสแกนหาและใช้ประโยชน์จากช่องโหว่ CVE-2020-14750 (Remote Code Execution - RCE) ในเซิร์ฟเวอร์ Oracle WebLogic ที่สามารถเข้าถึงได้จากอินเตอร์เน็ตและยังไม่ได้รับการแพตช์เพื่อแก้ไขช่องโหว่
ตามรายงานจากนักวิจัยด้านความปลอดภัยที่ได้ทำการตรวจสอบเซิร์ฟเวอร์ Oracle WebLogic จากเครื่องมือค้นหาของ Shodan พบว่ามีเซิร์ฟเวอร์ Oracle WebLogic ประมาณ 3,000 เครื่องที่สามารถเข้าถึงได้บนอินเทอร์เน็ต
ช่องโหว่ CVE-2020-14750 (RCE) ในเซิร์ฟเวอร์ Oracle WebLogic เป็นช่องโหว่ที่สำคัญและมีความรุนเเรงจากคะแนน CVSSv3 อยู่ที่ 9.8/10 โดยช่องโหว่ช่วยให้ผู้โจมตีสามารถควบคุมระบบได้โดยการส่ง HTTP request ที่สร้างขึ้นมาเป็นพิเศษและไม่มีการตรวจสอบสิทธิ์ไปยังเซิร์ฟเวอร์ Oracle WebLogic เวอร์ชัน 10.3.6.0.0, 12.1.3.0.0, 12.2.1.3.0, 12.2.1.4.0 และ 14.1.1.0
นักวิจัยกล่าวว่าบอตเน็ต DarkIRC ทำกำหนดเป้าหมายไปยังเครือข่ายของเซิร์ฟเวอร์ Oracle WebLogic ที่สามารถเข้าถึงได้จากอินเทอร์เน็ต โดยเมื่อบุกรุกได้แล้วจะทำการดาวน์โหลดไฟล์เพื่อขโมยข้อมูลภายในเครื่อง, Keylogger, ขโมยข้อมูล Credential และจะสั่งรัน Command บนเครื่องที่ถูกบุกรุกและทำการส่งข้อมูลกลับไปยังเซิร์ฟเวอร์ C&C ของผู้ประสงค์ร้าย นอกจากนี้บอตเน็ตยังมีฟีเจอร์ที่จะทำการเปลื่ยนที่อยู่ Bitcoin wallet ที่อยู่ภายในเครื่องไปยังที่อยู่ Bitcoin wallet ของผู้ประสงค์ร้าย ทั้งนี้บอตเน็ต DarkIRC ถูกผู้ใช้ที่ชื่อ "Freak_OG" ทำการวางขายบอตเน็ตในแฮ็กฟอรัม โดยราคาขายอยู่ที่ $75 (ประมาณ 2,259 บาท) ตั้งแต่เดือนสิงหาคมที่ผ่านมา
ผู้ดูแลระบบเซิร์ฟเวอร์ Oracle WebLogic ควรทำการอัปเดตเเพตซ์ความปลอดภัยเป็นการเร่งด่วนและควรทำการปิดการเข้าถึงเซิฟเวอร์จากอินเตอร์เน็ตเพื่อเป็นการป้องกันการใช้ประโยชน์จากช่องโหว่ทำการโจมตีระบบ
ที่มา: thehackernews
หน่วยงานรักษาความปลอดภัยทางไซเบอร์และโครงสร้างพื้นฐานของสหรัฐอเมริกา (Cybersecurity and Infrastructure Security Agency - CISA) ได้ออกเเจ้งเตือนถึงการตรวจพบกิจกรรมที่เพิ่มขึ้นของมัลแวร์ LokiBot ตั้งแต่เดือนกรกฎาคม 2020 จากระบบตรวจจับการบุกรุก EINSTEIN ของ CISA
LokiBot หรือที่เรียกว่า Lokibot, Loki PWS และ Loki-bot เป็นมัลแวร์โทรจันที่ถูกใช้เพื่อขโมยข้อมูลที่ละเอียดอ่อนเช่น ชื่อผู้ใช้, รหัสผ่าน, Cryptocurrency wallet และ Credential อื่นๆ โดยเมื่อเหยื่อติดมัลแวร์แล้วมัลแวร์จะทำการค้นหาแอปที่ติดตั้งในเครื่องและแยกข้อมูล Credential จากฐานข้อมูลภายในและทำการส่งข้อมูลที่ค้บพบกลับมาที่เซิฟเวอร์ C&C ของเเฮกเกอร์ นอกจากนี้ LokiBot ได้ทำการพัฒนาขึ้นเพื่อทำให้สามารถ keylogger แบบเรียลไทม์เพื่อจับการกดแป้นพิมพ์และขโมยรหัสผ่านสำหรับบัญชีที่ไม่ได้เก็บไว้ในฐานข้อมูลภายในของเบราว์เซอร์และยังมีความสามารถ Desktop screenshot เพื่อทำการบันทึกเอกสารที่ถูกเปิดบนคอมพิวเตอร์ของเหยื่อ
LokiBot นอกจากจะถูกใช้เพื่อในการขโมยข้อมูลแล้วตัวบอทยังทำหน้าที่เป็นแบ็คดอร์ทำให้แฮกเกอร์สามารถเรียกใช้มัลแวร์อื่นๆ บนโฮสต์ที่ติดไวรัสและอาจทำให้การโจมตีเพิ่มขึ้น
ผู้ใช้งานอินเตอร์เน็ตควรทำการระมัดระวังในการใช้งานไม่ควรทำการดาวน์โหลดไฟล์จากเเหล่งที่มาที่ไม่เเน่ชัดหรือเข้าคลิกเข้าเว็บไซต์ที่ไม่รู้จัก นอกจากนี้ผู้ใช้ควรทำการใช้ซอฟเเวร์ป้องกันไวรัสและทำการอัปเดต Signature อยู่เสมอเพื่อเป็นการป้องกันไม่ให้ตกเป็นเหยื่อของมัลแวร์ ทั้งนี้ผู้ที่สนใจรายละเอียด IOC สามารถดูได้ที่ : CISA
ที่มา : ZDnet
บริษัทด้านความปลอดภัย SentinelOne ได้มีการตรวจพบปัญหาในการกระบวนการเข้ารหัสของ ThiefQuest ซึ่งนำไปสู่การพัฒนาเครื่องมือสำหรับถอดรหัสไฟล์ที่ถูกเข้ารหัสโดยมัลแวร์ ThiefQuest สำหรับผู้ตกเป็นเหยื่อได้โดยที่ไม่ต้องจ่ายค่าไถ่
ThiefQuest Ransomware หรือชื่อเดิมคือ EvilQuest Ransomware เป็นมัลแวร์เรียกค่าไถ่ที่มุ่งเป้าหมายไปยังผู้ใช้ macOS โดยเมื่อเข้าไปในเครื่องผู้ใช้ได้แล้ว มันจะทำการติดตั้ง Keylogger ,Backdoor เพื่อทำการค้นหาการมีอยู่ของ digital wallet ของ cryptocurrency เพื่อขโมยข้อมูล รวมไปถึงเข้ารหัสไฟล์ในระบบ ในปัจจุบันการแพร่กระจายโดยส่วนใหญ่ของมัลแวร์ TheifQuest นั้นแอบแฝงมากับซอร์ฟแวร์เถื่อน
วีดีโอสอนวิธีการใช้งานเครื่องมือถอดรหัส รวมไปถึงโปรแกรมสำหรับถอดรหัสสามารถดาวน์โหลดได้ที่: https://labs.
นักวิจัยด้านความปลอดภัยได้ค้นพบเว็บไซต์ WordPress กว่า 2,000 แห่ง ถูกฝัง keylogger เพื่อขโมยข้อมูลการ Login และติดตั้ง cryptojacking script เพื่อทำการขุด Cryptocurrency และ Monero
ผู้โจมตีใช้ช่องโหว่ของเว็บไซต์ WordPress ที่ไม่ได้อัปเดตเป็นรุ่นล่าสุด หรือใช้ Theme หรือ Plugin ที่เป็นเวอร์ชั่นเก่า เพื่อฝังโค้ดที่เป็นอันตรายโค้ดลงไปใน CMS โค้ดดังกล่าวจะประกอบด้วยสองส่วน ส่วนแรก คือ ส่วนของหน้า Admin Login เข้าระบบ จะมีการโหลด Keylogger ของโฮสต์ ส่วนที่ 2 คือ ส่วนของหน้าไซต์ จะทำการฝัง Coinhive ในเบราเซอร์เพื่อทำการขุด cryptocurrency กับขุด Monero โดยใช้ CPU ของผู้เข้าชมเว็บไซต์
การโจมตีดังกล่าวถูกพบตั้งแต่ปี 2017 มีเว็บไซต์ WordPress กว่า 5,500 รายถูกโจมตี และสามารถหยุดการโจมตีนี้ได้โดยมีการสั่งปิดโดเมนที่ชื่อว่า cloudflare.
Keyboard Mechanical Gaming แบบ 104 key ยี่ห้อ Mantistek รุ่น GK2 พบว่ามีการแอบเก็บบันทึกข้อมูลการพิมพ์ (Keylogger) และส่งไปยัง Server ของกลุ่ม Alibaba โดยมีผู้ใช้บางคนสังเกตเห็นและได้แชร์ปัญหานี้ยังไป online forum
ตามที่ Tom's Hardware ระบุว่า คีย์บอร์ดดังกล่าวใช้ซอฟต์แวร์ 'Cloud Driver' รวบรวมข้อมูลการใช้งานเพื่อนำไปวิเคราะห์ แต่ได้ส่งข้อมูลสำคัญไปยัง Server ของ Alibaba
หลังจากวิเคราะห์อย่างใกล้ชิดทีม Tom's Hardware พบว่า Keyboard Mantistek ยังไม่ได้เป็น keylogger เต็มรูปแบบ แต่จะบันทึกจำนวนครั้งที่มีการกดปุ่มและส่งข้อมูลนี้กลับไปยัง Server ออนไลน์
ผู้ใช้ที่ได้รับผลกระทบได้แสดงภาพหน้าจอที่แสดงให้เห็นว่ามีการเก็บการกดแป้นพิมพ์บนคีย์บอร์ดและจะถูกอัปโหลดไปยัง Server ในจีนที่อยู่ IP: 47.90.52.88
และมีการรายงานว่าซอฟต์แวร์ของ MantisTek keyboard' ถูกส่งข้อมูลที่เก็บรวบรวมไปยังจุดหมายปลายทางสองแห่งตามที่อยู่ IP คือ
/cms/json/putkeyusedata.
ทีมคอมพิวเตอร์ช่วยเหลือฉุกเฉินสหรัฐอเมริกาให้ความร่วมมือกับหน่วยสืบราชการลับและนักวิจัยที่ Trustwave ได้ออกแจ้งเตือนเกี่ยวกับมัลแวร์ตัวใหม่ที่ติดตั้งบน Point-of-Sale (POS) เรียกว่า "backoff" ซึ่งมันจะขโมยข้อมูลบัตรเครดิตออกมาจากหน่วยความจำของคอมพิวเตอร์ที่ติดมัลแวร์
เครื่อง POS เป็นเป้าหมายใหญ่สำหรับแฮกเกอร์ที่ใช้มัลแวร์ backoff ในการเก็บข้อมูลจากบัตรเครดิตและข้อมูลการทำธุรกรรมอื่นๆ และส่งข้อมูลไปยังเซิร์ฟเวอร์ระยะไกล ที่ควบคุมโดยผู้บุกรุก เพื่อสร้างบัตรเครดิตปลอมหรือขายข้อมูล นอกจากนี้ยังมีฟังก์ชั่น Keylogger ที่บันทึกการกดคีย์บนเครื่องคอมพิวเตอร์ที่ติดมัลแวร์ และจะติดตั้ง Stub ที่เป็นอันตรายใน Internet Explorer
ที่มา : ars technica