GobRAT ที่ใช้ภาษา Go กำลังมุ่งเป้าหมายไปที่เราเตอร์ที่ใช้ Linux ในประเทศญี่ปุ่น

GobRAT เป็น RAT ที่ใช้ภาษา Golang-based ซึ่งกำลังมุ่งเป้าหมายไปที่เราเตอร์ที่ใช้ Linux ในประเทศญี่ปุ่น โดยอาจใช้ช่องโหว่ที่มีอยู่แล้วเพื่อโจมตี เครื่องมือนี้มีความสามารถหลากหลาย และมุ่งเป้าหมายไปที่สถาปัตยกรรมที่หลากหลาย เช่น x86, x86-64, ARM, และ MIPS

ปฏิบัติการ GobRAT

JPCERT Coordination Center ได้เผยแพร่รายงานที่ยืนยันว่า GobRAT ได้แพร่กระจายในเราเตอร์ของญี่ปุ่นตั้งแต่เดือนกุมภาพันธ์ที่ผ่านมา

การโจมตีเริ่มต้นด้วยการสแกนเปิดหาเราเตอร์ที่มี WEBUI ที่เข้าถึงได้จากอินเทอร์เน็ต
มันจะพยายามเชื่อมต่อโดยอาจใช้ช่องโหว่ที่มีอยู่ก่อนแล้ว จากนั้นจึงเริ่มการติดตั้งมัลแวร์โดยเรียกใช้สคริปต์หลายรายการ
สคริปต์แรกคือ Loader Script ที่ปิดการทำงานของไฟร์วอล เพื่อดาวน์โหลด GobRAT และรันสคริปต์เพิ่มเติม เช่น Start Script และ Daemon Script
สคริปต์ Start Script ทำหน้าที่เรียกใช้ GobRAT โดยปลอมเป็น process Apache daemon (apache) ส่วนสคริปต์ Daemon Script จะตรวจสอบสถานะของ Start Script ทุก ๆ 20 วินาที เพื่อตรวจสอบให้แน่ใจว่าสคริปต์กำลังทำงานอยู่

รายละเอียด GobRAT

GobRAT ประกอบไปด้วย UPX v4 series และใช้โปรโคตอล TLS เพื่อสื่อสารกับ C2 Server

หลังจากติดตั้งมัลแวร์แล้ว GobRAT จะสแกนเครื่องที่ถูกโจมตีเพื่อเก็บข้อมูล เช่น IP address, MAC address, เวลาที่เครื่องทำงาน และสถานะของการเชื่อมต่อในเครือข่าย
ในซอร์สโค้ด คำสั่งสำหรับการเชื่อมต่อกับ C2 และคำสั่ง Linux จะถูกเข้ารหัสไว้ โดยโปรแกรมจะใช้โหมด AES128 CTR เพื่อถอดรหัสคำสั่งเหล่านั้น
GobRAT รองรับรายการคำสั่งทั้งหมด 22 รายการ เพื่อการดำเนินการที่หลากหลาย รวมถึงการรับข้อมูลเครื่อง, อ่าน และเขียนไฟล์, เริ่มต้นการเชื่อมต่อ SOCKS5 socket, และการดำเนินการ reverse shell
มัลแวร์จะพยายาม log in เข้าใช้บริการ Telnet, SSHD, MySQL, Redis, และ PostgreSQL บนเครื่องอื่น ๆ ทั่วทั้งเครือข่าย

GobRAT เป็นซอฟต์แวร์ที่ใช้ภาษา Golang-based อีกหนึ่งตัวที่พยายามใช้ช่องโหว่ในเราท์เตอร์ที่เผยแพร่ในอินเทอร์เน็ต การปล่อยให้เราท์เตอร์ขององค์กรสามารถเข้าถึงได้จากอินเทอร์เน็ตโดยไม่มีการตรวจสอบความปลอดภัยที่เหมาะสม เป็นการเชื้อเชิญให้ GobRAT และภัยคุกคามอื่น ๆ สามารถนำมาใช้เป็นช่องทางในการโจมตีได้

อ้างอิง :https://cyware.

Buhti กลุ่มแรนซัมแวร์ใหม่ มุ่งเป้าการโจมตีไปยัง Windows และ Linux

แรนซัมแวร์ตัวใหม่ชื่อ 'Buhti' ใช้โค้ดที่รั่วไหลออกมาของแรนซัมแวร์ LockBit และ Babuk ในการโจมตี ที่กำหนดเป้าหมายไปยังระบบปฏิบัติการ Windows และ Linux ผู้โจมตีที่อยู่เบื้องหลัง Buhti ในชื่อ 'Blacktail' ยังไม่ได้พัฒนาแรนซัมแวร์ด้วยตนเอง แต่สร้างเฉพาะยูทิลิตี้เพื่อใช้ในการขโมยข้อมูลสำหรับแบล็กเมล์เหยื่อ
Buhti ถูกพบครั้งแรกในเดือนกุมภาพันธ์ 2023 โดยทีม Unit 42 ของ Palo Alto Networks ซึ่งระบุว่าเป็นแรนซัมแวร์ที่กำหนดเป้าหมายไปยัง Linux ซึ่งพัฒนาโดยภาษา Go-based

รายงานที่เผยแพร่ในวันนี้โดยทีม Threat Hunter ของ Symantec แสดงให้เห็นว่า Buhti ยังมุ่งเป้าไปที่ Windows ด้วย โดยใช้ LockBit 3.0 ที่ถูกปรับเปลี่ยนในชื่อ "LockBit Black"

Blacktail ใช้เครื่องมือสำหรับสร้าง Windows LockBit 3.0 ที่รั่วไหลบน Twitter ในเดือนกันยายน 2022 ซึ่งเมื่อโจมตีสำเร็จจะเปลี่ยนวอลเปเปอร์ของคอมพิวเตอร์ที่ถูกโจมตีเพื่อให้เหยื่อเปิดบันทึกเรียกค่าไถ่ ในขณะที่ไฟล์ที่เข้ารหัสทั้งหมดจะได้ถูกต่อท้านนามสกุลด้วย ".buthi"

(more…)

พบมัลแวร์ BPFDoor บน Linux สามารถซ่อนตัวจากการตรวจจับได้

พบมัลแวร์ที่ใช้โจมตี Linux ชื่อว่า 'BPFDoor' เวอร์ชันใหม่ ที่มีความสามารถในการซ่อนเร้นตัวเองดีกว่าเดิม ซึ่งมีการเข้ารหัสที่มีประสิทธิภาพมากขึ้น รวมถึงมีการใช้งาน reverse shell ที่มีประสิทธิภาพมากขึ้นเช่นเดียวกัน

BPFDoor เป็นมัลแวร์ที่มีความสามารถในการการแฝงตัวทำงานมาตั้งแต่ปี 2017 เป็นอย่างน้อย โดยพึ่งถูกค้นพบจากนักวิจัยด้านความปลอดภัยเมื่อประมาณ 12 เดือนที่ผ่านมาเท่านั้น

มัลแวร์ได้ชื่อมาจากการใช้ 'Berkley Packet Filter' (BPF) สำหรับรับคำสั่ง ในขณะเดียวกันกับที่ Bypass ไฟร์วอลล์ที่ใช้ป้องกันการเข้าถึงจากภายนอก

โดยนักวิจัยคาดว่า BPFDoor ได้รับการออกแบบมาเพื่อให้ผู้ไม่หวังดีสามารถแฝงตัวอยู่ในระบบ Linux ได้นานโดยไม่ถูกตรวจพบ

BPFDoor เวอร์ชันใหม่

จนถึงปี 2022 มัลแวร์ใช้การเข้ารหัส RC4, bind shell และ iptables สำหรับการสื่อสาร, ขณะที่คำสั่ง และชื่อไฟล์เป็นแบบ hardcoded แต่เวอร์ชันใหม่ที่ถูกวิเคราะห์โดย Deep Instinct มีคุณสมบัติการเข้ารหัสแบบ static library, การสื่อสารผ่าน reverse shell และคำสั่งทั้งหมดจะถูกส่งมาจาก C2 เซิร์ฟเวอร์

ด้วยการเข้ารหัสแบบ static library นักพัฒนามัลแวร์ได้ใส่ความสามารถในการซ่อนตัว และการหลีกเลี่ยงการตรวจจับ โดยการนำฟีเจอร์ไลบรารี่การเข้ารหัสแบบ RC4 ออกไป

ส่วนข้อได้เปรียบหลักของ Reverse Shell เมื่อเทียบกับ Bind Shell คือจะมีการสร้างการเชื่อมต่อจากโฮสต์ที่ติดมัลแวร์ไปยังเซิร์ฟเวอร์ C2 ของผู้ไม่หวังดี ทำให้สามารถสื่อสารกับเซิร์ฟเวอร์ของผู้ไม่หวงดีได้แม้ว่าจะมีการใช้งานไฟร์วอลล์ก็ตาม

สุดท้ายการลบคำสั่ง hardcoded ออกไป ทำให้ซอฟต์แวร์ป้องกันไวรัสมีโอกาสน้อยลงในการตรวจจับมัลแวร์โดยใช้การวิเคราะห์แบบ static เช่น การตรวจจับด้วย signature-based และในทางทฤษฎีวิธีนี้ยังมีความยืดหยุ่นมาก ทำให้สามารถรองรับชุดคำสั่งที่หลากหลายได้

Deep Instinct รายงานว่า BPFDoor เวอร์ชันล่าสุดไม่ได้มีการรายงานว่าเป็นอันตรายจากเครื่องมือ AV ใด ๆ ที่มีอยู่ใน VirusTotal แม้ว่าจะมีการอัปโหลดขึ้นไปตรวจสอบครั้งแรกบนแพลตฟอร์ม VirusTotal เมื่อเดือนกุมภาพันธ์ 2023

ชั้นตอนการทำงาน

เมื่อทำงานครั้งแรก BPFDoor จะสร้าง และล็อคไฟล์รันไทม์ที่ "/var/run/initd.

RTM Locker Ransomware เวอร์ชัน Linux มีเป้าหมายโจมตีที่เซิร์ฟเวอร์ VMware ESXi

กลุ่มอาชญากรทางไซเบอร์ RTM (Read The Manual) มีการดำเนินการมาตั้งแต่ปี 2015 โดยการใช้โทรจันเพื่อขโมยเงินจากธนาคารของผู้ที่ตกเป็นเหยื่อ

ในเดือนธันวาคม 2022 MalwareHunterTeam นักวิจัยด้านความปลอดภัยระบุว่า RTM ให้บริการ Ransomware-as-a-Service (RaaS) ซึ่งมีการให้บริการมาแล้วอย่างน้อยห้าเดือน ในขณะนั้นพบเพียงตัวเข้ารหัสแรนซัมแวร์บน Windows เท่านั้น แต่รายงานจาก Uptycs เมื่อวันที่ 26 เมษายน 2023 RTM ได้เปิดตัวบริการ RaaS รูปแบบใหม่ ซึ่งขยายเป้าหมายไปยังเซิร์ฟเวอร์ Linux และ VMware ESXi

ตามรายงานของ Uptycs ตัวเข้ารหัสของ RTM Locker บน Linux ถูกสร้างขึ้นสำหรับการโจมตีระบบ VMware ESXi เนื่องจากมีคำสั่งจำนวนมากที่ใช้ในการจัดการ Virtual Machines

เมื่อเปิดใช้งาน ตัวเข้ารหัสจะพยายามเข้ารหัส VMware ESXi Virtual Machines ทั้งหมดก่อน โดยรวบรวมรายการ VM ที่รันอยู่โดยใช้ Command "esxcli vm process list >> vmlist.

QNAP แจ้งเตือนลูกค้ารีบอัปเดตแพตซ์เพื่อแก้ไขช่องโหว่ของ Linux Sudo ในอุปกรณ์ NAS

QNAP ผู้จำหน่ายฮาร์ดแวร์ด้านการสำรองข้อมูลของไต้หวัน ได้แจ้งเตือนไปยังผู้ใช้งานให้รีบทำการอัปเดตแพตซ์ด้านความปลอดภัยในอุปกรณ์จัดเก็บข้อมูลบนเครือข่าย Network-Attached Storage ที่ใช้งานบนระบบ Linux เพื่อป้องกันช่องโหว่การยกระดับสิทธิ์ Sudo ที่มีระดับความรุนแรงสูง

CVE-2023-22809 (คะแนน CVSS 7.8/10 ระดับความรุนแรงสูง) เป็นช่องโหว่การ bypass sudoers policy ใน Sudo เวอร์ชัน 1.9.12p1 เมื่อใช้ sudoedit ทำให้สามารถเพิ่มระดับสิทธิ์โดยการแก้ไขไฟล์ที่ไม่ได้รับอนุญาต โดยการเพิ่ม arbitrary entries ลงในรายการไฟล์ที่ต้องดำเนินการ ซึ่งส่งผลกระทบต่ออุปกรณ์ที่ใช้ Sudo เวอร์ชัน 1.8.0 ถึง 1.9.12p1 รวมไปถึงระบบปฏิบัติการ NAS ของ QTS, QuTS Hero, QuTScloud และ QVP (QVR Pro)

การป้องกัน

ทำการอัปเดตเพื่อแก้ไขช่องโหว่โดยทันทีจาก QNAP โดยทำการเลือกประเภทผลิตภัณฑ์ และรุ่นของอุปกรณ์
หากต้องการอัปเดต QTS, QuTS Hero หรือ QuTScloud ผู้ใช้งานต้องคลิกตัวเลือก "Check for Update" ในส่วน "Live Update" หลังจากเข้าสู่ระบบในฐานะผู้ดูแลระบบและไปที่ Control Panel > System > Firmware Update

QNAP NAS ตกเป็นเป้าหมายในการโจมตีมาอย่างต่อเนื่อง อย่างในกรณีล่าสุดที่พบแคมเปญการโจมตีของ DeadBolt และ eCh0raix ransomware ที่มีการใช้ช่องโหว่ของ QNAP NAS เพื่อเข้ารหัสข้อมูลบนอุปกรณ์ QNAP NAS ที่เข้าถึงได้จากอินเทอร์เน็ต

ที่มา : bleepingcomputer

IceFire Ransomware โจมตีเครื่อง Linux ที่อยู่ในระบบขององค์กรด้วยช่องโหว่ IBM Aspera Faspex

SentinelOne บริษัทด้านความปลอดภัยทางไซเบอร์ เผยแพร่รายงานการพบ IceFire Ransomware ซึ่งเดิมได้มุ่งเป้าโจมตีระบบปฏิบัติการ Windows เป็นหลัก แต่ปัจจุบันพบว่าได้มีการมุ่งเป้าหมายการโจมตีไปยังระบบปฏิบัติการ Linux ขององค์กรภาคสื่อ และความบันเทิงหลายแห่งทั่วโลก โดยใช้ช่องโหว่ของ IBM Aspera Faspex (more…)

มัลแวร์ Mirai สายพันธุ์ใหม่ โจมตี Linux เซิร์ฟเวอร์เพื่อใช้เป็น DDoS botnet

Mirai botnet สายพันธุ์ใหม่ที่ชื่อว่า 'V3G4' กำลังโจมตีเซิร์ฟเวอร์ที่ใช้ Linux และอุปกรณ์ IoT โดยการใช้ช่องโหว่อย่างน้อย 13 รายการ เพื่อเข้าควบคุมระบบ และนำมาใช้ในการโจมตีแบบ DDoS (distributed denial of service)

มัลแวร์จะแพร่กระจายโดยการ brute force credentials บน telnet/SSH รวมถึงการใช้ประโยชน์จากช่องโหว่บน hardcoded เพื่อสั่งรันโค้ดที่เป็นอันตรายบนเครื่องเป้าหมาย เมื่อสามารถโจมตีได้สำเร็จ มัลแวร์จะถูกติดตั้งบนเครื่องเหยื่อ และจะถูกนำเข้าสู่การควบคุมในฐานะ botnet (more…)

Citrix ออกแพตซ์อัปเดตแก้ไขช่องโหว่ระดับ Critical ใน Workspace, Virtual Apps และ Desktops

Citrix Systems ออกแพตซ์อัปเดตแก้ไขช่องโหว่ด้านความปลอดภัยระดับ Critical ซึ่งพบในผลิตภัณฑ์ Virtual Apps and Desktops และ Workspace Apps

โดยช่องโหว่ที่ได้รับการอัปเดต เป็นช่องโหว่ที่อาจทำให้ผู้โจมตีสามารถเข้าถึงเป้าหมายในแบบ local access เพื่อยกระดับสิทธิ์ และเข้าควบคุมระบบที่ได้รับผลกระทบได้

การยกระดับสิทธิ์เป็นหนึ่งในขั้นตอนที่สำคัญของการโจมตีทางไซเบอร์ เนื่องจากผู้โจมตีจำเป็นต้องได้รับสิทธิ์ที่สูงขึ้นสำหรับการขโมยข้อมูล, การปิดใช้งานซอฟต์แวร์รักษาความปลอดภัย หรือแพร่กระจายไปยังระบบอื่น ๆ ของเป้าหมายเพื่อโจมตีด้วยแรนซัมแวร์

ช่องโหว่ที่ Citrix ได้ออกประกาศให้ทำการอัปเดต

CVE-2023-24483 : ช่องโหว่ในการจัดการสิทธิ์ที่ไม่เหมาะสมซึ่งนำไปสู่การยกระดับสิทธิ์ไปยัง NT AUTHORITY\SYSTEM ส่งผลกระทบต่อ Citrix Virtual Apps and Desktops เวอร์ชันก่อน 2212, 2203 LTSR ก่อน CU2 และ 1912 LTSR ก่อน CU6
CVE-2023-24484 : ช่องโหว่ในการควบคุมการเข้าถึงที่ไม่เหมาะสมทำให้สามารถเขียน log files ไปยังไดเร็กทอรีที่ผู้ใช้ทั่วไปไม่ควรเข้าถึง ส่งผลกระทบต่อ Citrix Workspace App สำหรับ Windows เวอร์ชันก่อน 2212, 2203 LTSR ก่อน CU2 และ 1912 LTSR ก่อน CU6
CVE-2023-24485 : ช่องโหว่ในการการควบคุมการเข้าถึงที่ไม่เหมาะสมซึ่งนำไปสู่การยกระดับสิทธิ์ ส่งผลกระทบต่อ Citrix Workspace App สำหรับ Windows เวอร์ชันก่อน 2212, 2203 LTSR ก่อน CU2 และ 1912 LTSR ก่อน CU6
CVE-2023-24486 : ช่องโหว่ในการควบคุมการเข้าถึงที่ไม่เหมาะสมซึ่งนำไปสู่การยึดครองเซสชัน ส่งผลกระทบต่อแอป Citrix Workspace สำหรับ Linux เวอร์ชันก่อน 2302

โดย CVE-2023-24483 ถือได้ว่าเป็นช่องโหว่ที่รุนแรงที่สุดที่ได้รับการแก้ไขในครั้งนี้ โดย NT AUTHORITY\SYSTEM คือสิทธิ์การเข้าถึงระดับสูงสุดบน Windows ทำให้สามารถสั่งรันคำสั่งได้ตามที่ต้องการ สามารถเข้าถึงข้อมูลที่มีความสำคัญ และแก้ไขการกำหนดค่าระบบโดยไม่มีข้อจำกัด รวมไปถึงสามารถโจมตีไปยังระบบอื่น ๆ ที่อยู่ภายในเครือข่ายเดียวกันได้

การป้องกัน

Citrix แนะนำให้เร่งทำการอัปเดตผลิตภัณฑ์ที่ได้รับผลกระทบจากช่องโหว่ โดยอัปเดตไปยังเวอร์ชันดังต่อไปนี้

Citrix Virtual Apps และ Desktops 2212 และ version ที่ใหม่กว่า
Citrix Virtual Apps and Desktops 2203 LTSR CU2 และ cumulative updates ที่ใหม่กว่า
Citrix Virtual Apps and Desktops 1912 LTSR CU6 และ cumulative updates ที่ใหม่กว่า
Citrix Workspace App 2212 และ version ที่ใหม่กว่า
Citrix Workspace App 2203 LTSR CU2 และ cumulative updates ที่ใหม่กว่า
Citrix Workspace App 1912 LTSR CU7 Hotfix 2 (19.12.7002) และ cumulative updates ที่ใหม่กว่า
แอป Citrix Workspace สำหรับ Linux 2302 และ version ที่ใหม่กว่า

ที่มา : bleepingcomputer

Royal Ransomware เวอร์ชัน Linux กำหนดเป้าหมายไปยัง VMware ESXi

Royal Ransomware เป็น Ransomware ตัวล่าสุดที่มีความสามารถในการเข้ารหัสข้อมูลบนอุปกรณ์ Linux ได้ โดยมีการกำหนดเป้าหมายไปที่ VMware ESXi โดยเฉพาะ ซึ่ง BleepingComputer เคยได้รายงานเกี่ยวกับการเข้ารหัสจากแรนซัมแวร์บน Linux ที่มีรูปแบบคล้ายกันโดยกลุ่ม Ransomware อื่น ๆ เช่น Black Basta, LockBit, BlackMatter, AvosLocker, REvil, HelloKitty, RansomEXX และ Hive (more…)

Titan Stealer: มัลแวร์สำหรับขโมยข้อมูลแบบใหม่ที่ใช้ภาษา Golang-Based

มัลแวร์สำหรับขโมยข้อมูลตัวใหม่ที่ใช้ภาษา Golang ชื่อว่า Titan Stealer กำลังถูกโฆษณาโดยผู้โจมตีผ่านช่องทาง Telegram

Karthickkumar Kathiresan และ Shilpesh Trivedi นักวิจัยด้านความปลอดภัยของ Uptycs ระบุในรายงานว่า “ผู้โจมตีสามารถขโมยข้อมูลที่หลากหลายจากเครื่อง Windows ที่ถูกโจมตี เช่น ข้อมูล credential บนเบราว์เซอร์, กระเป๋าเงินคริปโต, ข้อมูล FTP client, ข้อมูลบันทึกภาพหน้าจอ และรายละเอียดข้อมูลบนระบบของเหยื่อ”

ไททันถูกพัฒนามาในลักษณะการเป็น builder เพื่อช่วยให้ผู้โจมตีที่นำไปใช้สามารถปรับแต่งไบนารีของมัลแวร์เพื่อปรับเปลี่ยนฟังก์ชันการทำงาน รวมถึงข้อมูลที่ต้องการจะขโมยออกไปจากเครื่องของเหยื่อ

เมื่อเริ่มดำเนินการมัลแวร์จะใช้เทคนิคที่เรียกว่า process hollowing เพื่อ inject เพย์โหลดที่เป็นอันตรายลงในหน่วยความจำของ process ที่ทำงานอยู่ตามปกติเรียกว่า AppLaunch.