กลุ่ม Lazarus ใช้ช่องโหว่ Zero-Day ใน Windows เพื่อรับสิทธิ์ Kernel

กลุ่ม Hacker ชาวเกาหลีเหนือกลุ่ม Lazarus Group ได้ใช้ช่องโหว่ Zero-Day ในไดรเวอร์ Windows AppLocker (appid.

กลุ่มแฮ็กเกอร์ชาวเกาหลีเหนือชื่อดังที่รู้จักกันในชื่อ Lazarus ยังคงใช้ประโยชน์จากช่องโหว่ CVE-2021-44228 หรือที่รู้จักในชื่อ "Log4Shell" โดยในครั้งนี้เป็นการใช้มัลแวร์ซึ่งเขียนด้วยภาษา D (D Programming Language: DLang) สามตัวที่ไม่เคยถูกพบมาก่อน

(more…)

Microsoft ระบุว่ากลุ่ม Lazarus ** กลุ่มแฮ็กเกอร์ชาวเกาหลีเหนือได้โจมตีบริษัท CyberLink บริษัทซอฟต์แวร์ของไต้หวัน และติดตั้งโทรจันเพื่อใช้ในการโจมตีแบบ supply chain attack กับเหยื่อรายใหญ่ ๆ ทั่วโลก จากข้อมูลของ Microsoft Threat Intelligence พฤติกรรมต้องสงสัยเกี่ยวข้องกับไฟล์ติดตั้งของ CyberLink ที่ถูกเปลี่ยนแปลงแก้ไข ซึ่งเกิดขึ้นตั้งแต่วันที่ 20 ตุลาคม 2023

(more…)

Lazarus เป็นกลุ่ม Hacker จากเกาหลีเหนือที่ได้รับการสนับสนุนจากรัฐบาล โดยมีแรงจูงใจทางการเงินเป็นหลัก และมีส่วนร่วมในปฏิบัติการจารกรรมหลายครั้ง

ล่าสุดพบว่ามีกลยุทธ์ในการกำหนดเป้าหมายไปยังเซิร์ฟเวอร์ Windows Internet Information Services (IIS) ที่มีช่องโหว่เพื่อเข้าถึงระบบเครือข่ายขององค์กร ซึ่งถูกค้นพบโดยนักวิจัยชาวเกาหลีใต้จาก AhnLab Security Emergency Response Center (ASEC) (more…)

รายละเอียดการโจมตี

เมื่อช่วงปลายมีนาคมที่ผ่านมา แพลตฟอร์ม Ronin Bridge ที่ใช้สำหรับโอนเหรียญของเกมส์ Axie Infinity ถูกแฮ็ก ส่งผลให้เกิดความเสียหาย 540 ล้านดอลลาร์

ส่วนสาเหตุทั้งหมดตามรายงานของ The Block เกิดจากอดีตพนักงานคนหนึ่งของบริษัทที่ถูกหลอกผ่านข้อเสนองานปลอมบน LinkedIn ซึ่งอ้างว่าเป็นการสัมภาษณ์หลายรอบ โดยมีค่าตอบแทนที่สูงมาก จากนั้นจึงให้พนักงานคนดังกล่าวทำการโหลดเอกสารสมัครงานที่เป็นไฟล์ .PDF ที่แฝงสคริปอันตรายมาด้วย ทำให้ผู้ไม่หวังดีเข้าถึงเครือข่ายได้ในที่สุด ซึ่งข้อมูลต่างๆของพนักงานที่เป็นเป้าหมายนั้น ถูกหามาจากช่องทาง Social Media ต่างๆ หลังจากเหตุการณ์ดังกล่าวส่งผลให้พนักงานคนนี้ถูกไล่ออก

ในรายงานภัยคุกคาม T1 ของ ESET ประจำปี 2565 ได้ระบุว่ากลุ่มแฮกเกอร์ Lazarus ได้ใช้ข้อเสนองานปลอมผ่านโซเชียลมีเดีย เช่น LinkedIn มากขึ้น นอกจากนี้ กลุ่ม Lazarus ก็ถูกสงสัยว่าอยู่เบื้องหลังการขโมย altcoin มูลค่า 100 ล้านดอลลาร์จาก Harmony Horizon Bridge เช่นกัน

แนวทางการป้องกัน

ตรวจสอบไฟล์ที่ได้รับมาทุกครั้งก่อนทำการดาวน์โหลด หรือเปิดใช้งาน
หลีกเลี่ยงการโพสต์ข้อมูลส่วนตัวลงในพื้นที่สาธารณะ เช่น Social Media

ที่มา : thehackernews

กลุ่มแฮ็กเกอร์สัญชาติเกาหลีเหนือ ที่เป็นรู้จักกันในชื่อกลุ่ม Lazarus ได้ปฏิบัติการโจมตีโดยใช้ช่องโหว่ Log4J เพื่อวาง backdoor รวมถึง payload ที่ใช้สำหรับขโมยข้อมูลบนระบบ VMware Horizon servers

โดยช่องโหว่ CVE-2021-44228 หรือที่เรียกว่า Log4Shell ที่เกิดขึ้นเมื่อปีแล้วนั้น ส่งผลกระทบต่อผลิตภัณฑ์จำนวนมาก ซึ่ง VMware Horizon ก็เป็นหนึ่งในระบบที่ได้รับผลกระทบเช่นกัน

นักวิเคราะห์ที่ ASEC ของ Ahnlab ระบุว่ากลุ่ม Lazarus ได้กำหนดเป้าหมายการโจมตีรอบใหม่ไปยัง VMware Horizon ที่มีช่องโหว่ผ่าน Log4Shell ตั้งแต่เดือนเมษายน 2565 ซึ่งจริงๆแล้วช่องโหว่นี้ ถูกพบตั้งแต่เดือนมกราคม 2565 แต่ผู้ดูแลระบบจำนวนมากยังไม่ได้ทำการอัปเดตแพตช์

รายละเอียดการโจมตี

กลุ่ม Lazraus จะโจมตีโดยใช้ประโยชน์จากช่องโหว่ของ Log4j ผ่าน Apache Tomcat ของ VMware Horizon เพื่อดำเนินการรันคำสั่งบน PowerShell ในการติดตั้ง Backdoor ที่ชื่อว่า NukeSped

ซึ่ง NukeSped (หรือ NukeSpeed) เป็นมัลแวร์ที่เกี่ยวข้องกับแฮ็กเกอร์กลุ่ม DPRK ถูกพบครั้งแรกในฤดูร้อนปี 2561 และเชื่อมโยงกับแคมเปญในปี 2563 ที่ Lazarus จัดเตรียมไว้

หลังจาก NukeSped ถูกติดตั้ง มันจะทำการบันทึกกิจกรรมต่างๆของเครื่องที่ถูกติดตั้ง เช่น การจับภาพหน้าจอ บันทึกการกดปุ่ม การเข้าถึงไฟล์ ฯลฯ นอกจากนี้ NukeSped สามารถบันทึกข้อมูลที่พิมพ์บน Command Line ได้อีกด้วย

ล่าสุดมีรายงานว่า NukeSped มีการขโมยข้อมูลบน USB และยังสามารถเข้าถึงกล้องบน Labtop ได้อีกด้วย

ข้อมูลเพิ่มเติม

นอกจากนี้มีรายงานจากการวิเคราะห์ข้อมูลของ ASEC พบว่า Backdoor นี้ยังสามารถขโมยข้อมูลดังต่อไปนี้ได้อีกด้วย

ข้อมูลบัญชี และประวัติการเข้าใช้งานที่จัดเก็บไว้ใน Google Chrome, Mozilla Firefox, Internet Explorer, Opera และ Naver Whale
ข้อมูลบัญชีอีเมลที่เก็บไว้ใน Outlook Express, MS Office Outlook และ Windows Live Mail
ชื่อไฟล์ที่ใช้ล่าสุดจาก MS Office (PowerPoint, Excel และ Word) และ Hancom 2010
ในบางกรณี พบว่า Lazarus กำลังติดตั้ง Jin Miner แทน NukeSped โดยใช้ประโยชน์จาก Log4Shell ในการทำ cryptocurrency mining
แนวทางการป้องกัน

เพื่อเป็นการป้องกัน ผู้ดูแลระบบควรตรวจสอบ และอัปเดตอุปกรณ์ให้เป็นเวอร์ชันล่าสุดอยู่เสมอ และหมั่นติดตามข่าวสารอย่างใกล้ชิด

ที่มา : bleepingcomputer.

มีการเปิดเผยหลักฐานใหม่ ที่เกี่ยวข้องกับการโจมตีการแลกเปลี่ยนสกุลเงินดิจิทัลในช่วง 3 ปีที่ผ่านมา โดยคาดกันว่าแฮกเกอร์ได้รับการสนับสนุนจากประเทศเกาหลีเหนือ ซึ่งการโจมตีดังกล่าวมีความเป็นไปได้ที่จะเกี่ยวข้องกับกลุ่ม Lazarus (aka APT38 or Hidden Cobra)

นักวิจัยด้านความปลอดภัยทางไซเบอร์ของอิสราเอล ClearSky กล่าวว่าแคมเปญนี้มีชื่อว่า "CryptoCore" ซึ่งกำหนดเป้าหมายการโจมตีเป็นการแลกเปลี่ยนคริปโตในอิสราเอล, ญี่ปุ่น, ยุโรปและสหรัฐอเมริกา ส่งผลให้มีการขโมยสกุลเงิน มูลค่าหลายล้านดอลลาร์ การค้นพบนี้เป็นผลมาจากการปะติดปะต่อจากรายงานที่คล้ายคลึงกันซึ่งมีรายละเอียดจากทาง F-Secure, CERT JPCERT / CC และ NTT Security ในช่วงไม่กี่เดือนที่ผ่านมา

นับตั้งแต่ปี 2552 กลุ่ม Hidden Cobra ได้ดำเนินการจารกรรมสกุลเงินดิจิทัล โดยมีการกำหนดเป้าหมายให้สอดคล้องกับผลประโยชน์ทางเศรษฐกิจและภูมิรัฐศาสตร์ของเกาหลีเหนือ ซึ่งส่วนใหญ่เน้นไปทางการเงินเพื่อหลีกเลี่ยงการคว่ำบาตรระหว่างประเทศ ซึ่งไม่กี่ปีที่ผ่านมาได้ขยายการโจมตีเพิ่มเติมไปที่อุตสาหกรรมการป้องกันและการบินและอวกาศ

CyptoCore หรือ CryptoMimic, Dangerous Password, CageyChameleon, และ Leery Turtle, ไม่ได้มีความแตกต่างกันมาก โดยกลุ่ม Lazarus ซึ่งมุ่งเน้นไปที่การขโมยสกุลเงินดิจิทัลเป็นหลักเช่นกัน ในปี 2018 มีการใช้ประโยชน์จาก spear-phishing เพื่อเป็นการขโมยรหัสผ่านและบัญชีของเหยื่อเพื่อทำการโอนเงินไปยังบัญชีของผู้โจมตี

ปัจจุบันกลุ่ม Lazarus มีการขโมยเงินไปแล้วประมาณ 200 ล้านดอลลาร์ตามรายงานของ ClearSky ที่เผยแพร่ในเดือนมิถุนายน 2020 ซึ่งเชื่อมโยง CryptoCore กับเหยื่อ 5 รายที่อยู่ในสหรัฐอเมริกา ญี่ปุ่น เมื่อรวมกับงานวิจัยล่าสุดแสดงให้เห็นว่าการดำเนินการดังกล่าวส่งผลกระทบเป็นวงกว้างมากกว่าที่บันทึกไว้ก่อนหน้านี้ รวมถึงมีการพัฒนาการโจมตีหลายส่วนไปพร้อม ๆ กันอีกด้วยในปัจจุบัน

ที่มา : thehackernews

กลุ่มเเฮกเกอร์ Lazarus กำหนดเป้าหมายการโจมตีในบริษัท Cryptocurrency โดยทำการโจมตีผ่านข้อความ LinkedIn

นักวิจัยด้านความปลอดภัยจาก F-Secure Labs ได้เปิดเผยถึงแคมเปญใหม่จากกลุ่มแฮกเกอร์เกาหลีเหนือ “Lazarus” หรือที่รู้จักในชื่อ HIDDEN COBRA ทำการใช้ LinkedIn ในทำแคมเปญการโจมตีด้วย Spear phishing โดยเป้าหมายของแคมเปญครั้งนี้คือกลุ่มบริษัทที่ทำธุรกรรมประเภท Cryptocurrency และสกุลเงินดิจิทัลที่อยู่ในประเทศสหรัฐอเมริกา, สหราชอาณาจักร, เยอรมนี, สิงคโปร์, เนเธอร์แลนด์, ญี่ปุ่นและประเทศอื่น ๆ

นักวิจัยด้านความปลอดภัยกล่าวว่าแคมเปญการโจมตีของกลุ่ม Lazarus นั้นได้พุ่งเป้าโจมตีบริษัท Cryptocurrency โดยการแนบ Microsoft Word ที่ฝังโค้ดมาโครไว้ จากนั้นส่งผ่านบริการ LinkedIn ไปยังเป้าหมาย เมื่อเป้าหมายเปิดเอกสาร ลิงค์ของ bit[.]ly ที่ฝังอยุ่จะทำงานและทำการดาวน์โหลดมัลแวร์และทำการติดต่อ C&C เพื่อใช้ในการควมคุมเหยื่อ ซึ่งเมื่อสามารถเข้าควบคุมเครื่องของเหยื่อได้แล้ว กลุ่มเเฮกเกอร์จะทำการปิด Credential Guard จากนั้นจะใช้ Mimikatz เพื่อรวบรวม Credential ของผู้ใช้และทำการใช้ข้อมูลดังกล่าวเพื่อเข้าสู่ระบบและหาประโยชน์ต่อไป

ทั้งนี้ผู้ใช้งานควรทำการตรวจสอบไฟล์ที่เเนบมากับลิงค์หรืออีเมลทุกครั้งที่ทำการเปิดเพื่อป้องกันการตกเป็นเหยื่อของผู้ประสงค์ร้าย ซึ่งอาจจะทำให้เกิดความเสียหายต่อระบบและอาจต้องสูญเสียทรัพย์สิน

ที่มา:

bleepingcomputer.

กลุ่มแฮกเกอร์ Lazarus ปล่อย Ransomware ขโมยข้อมูลโดยใช้ MATA Malware
เฟรมเวิร์กมัลแวร์ที่ถูกค้นพบเมื่อเร็ว ๆ นี้ที่รู้จักกันในชื่อ MATA เชื่อมโยงกับกลุ่มแฮกเกอร์จากเกาหลีเหนือที่รู้จักกันในชื่อ Lazarus โดยนำ MATA มาใช้ในการโจมตีเป้าหมายหลายๆองค์กรตั้งแต่เดือนเมษายน 2018

MATA คือโมดูลเฟรมเวิร์กที่ประกอบไปด้วยหลายๆอย่าง อย่างเช่น Loader, orchestrator และ Plugin อีกหลายๆตัว สามารถใช้แพร่กระจายมัลแวร์ได้ทั้ง Windows, Linux และ macOS

ระหว่างการโจมตี แฮกเกอร์สามารถใช้ MATA เพื่อทำการโหลดพวกปลั๊กอินเพื่อเรียกใช้ Command จากเครื่องที่ติดเชื้อผ่าน หน่วยความจำของระบบ, จัดการกับไฟล์และโปรเซสต่างๆ Inject DDLs ไฟล์ลงไป แล้วทำการสร้าง HTTP proxies ไว้เป็นช่องทางในการเข้าออกบนเครื่อง

MATA ยังช่วยให้แฮกเกอร์สามารถสแกนหาเป้าหมายใหม่บนเครื่อง macOS และ Linux (เราเตอร์ไฟร์วอลล์หรืออุปกรณ์ IoT) นอกจากนี้บนแพลตฟอร์ม macOS MATA ยังสามารถโหลดโมดูล plugin_socks ที่สามารถใช้เพื่อกำหนดค่า Proxy server ได้อีกด้วย และเมื่อ MATA ถูกแพร่ไปยังเครื่องเหยื่อสำเร็จ มันจะทำการค้นหาข้อมูลสำคัญๆ อย่างข้อมูลลูกค้า หรือข้อมูลทางธุรกิจแล้วขโมยออกมาได้ รวมถึงอาจมีการใช้เพื่อแพร่ Ransomware โดยสามารถอ่านรายงานโดยละเอียดและศึกษา IOC ได้จาก https://securelist.

Adobe ได้ประกาศเพิ่มการรับรองการใช้ Two-factor authentication (2FA) ในผลิตภัณฑ์ Magento เพื่อตอบสนองต่อการโจมตีที่มีจำนวนมากขึ้น ซึ่งการใช้ 2FA จะช่วยป้องกันผู้โจมตีที่พยายามทำการเข้าสู่ระบบโดยไม่ได้รับอนุญาต

ทีม Security Operation ของ Adobe ได้เปิดเผยว่าการโจมตีกว่า 75% ในผลิตภัณฑ์ Magento นั้นเกิดขึ้นในลักษณะ Web Skimming (หรือที่รู้จักคือ Magecart หรือ e-skimming) โดยหลังจากการบุกรุกแล้ว ผู้โจมตีจะพยายามใช้สคริปต์ในการลักลอบบันทึกข้อมูลบัตรเครดิตและการทำธุรกรรมบนเว็บไซต์ซึ่งใช้ Magento เพื่อพยายามขโมยข้อมูลการใช้บัตรเครดิตของลูกค้าซึ่งเมื่อเร็วๆ นี้บริษัท Sansec ได้เปิดเผยถึงโจมตีรูปแบบนี้ผ่านกลุ่มแฮกเกอร์สัญชาติเกาหลีเหนือ Lazarus หรือ Hidden Cobra ที่ได้ทำการขโมยข้อมูลการชำระเงินของลูกค้าผ่านทางเว็บไซต์ Magento

ทีม Security Operation ของ Adobe ยังกล่าวอีกว่าการใช้งาน 2FA ก่อนเข้าสู่ระบบพอร์ทัลของผู้ดูแลระบบ Magento จะช่วยตรวจสอบความถูกต้องและลดการโจมตี ซึ่งจะช่วยป้องกันผู้ที่ทำการบุกรกไม่ให้เข้าถึงพอร์ทัลของผู้ดูแลระบบด้วยบัญชีที่ถูกบุกรุก สำหรับส่วนขยายการใช้งาน 2FA นั้นจะติดตั้งเป็น Core Bundled Extension (CBE) โดยอัตโนมัติเมื่อติดตั้งหรืออัพเกรดเป็น Magento Open Source หรือ Commerce 2.4.X

ทั้งนี้ผู้ดูแลระบบหรือผู้ดูแลเว็บไซต์ควรทำการอัพเกรดระบบเพื่อใช้งาน 2FA ในป้องกันผู้ประสงค์ร้ายเข้าถึงระบบของผู้ดูแลระบบ

ที่มา: bleepingcomputer