นักวิจัยจาก Juniper Networks ค้นพบ Python Malware ที่มุ่งเป้าไปยังช่องโหว่บน VMware ESXi servers เพื่อใช้ในการติดตั้งแบ็คดอร์ ซึ่งจะทำให้ Hacker สามารถเข้าถึง หรือรันคำสั่งที่เป็นอันตรายจากระยะไกลบนระบบที่ถูกโจมตีได้

แต่จนถึงปัจจุบันนักวิจัยยังไม่สามารถระบุวิธีการที่แน่ชัดที่ถูกใช้ในการโจมตีได้ เนื่องจากข้อมูล log ที่หลงเหลือหลังจากการโจมตีมีจำกัด แต่คาดการว่าเซิร์ฟเวอร์อาจถูกโจมตีโดยใช้ช่องโหว่ CVE-2019-5544 และ CVE-2020-3992 ใน OpenSLP service ของ ESXi โดย Python Malware ยังสามารถทำงานได้ทั้งบนระบบปฏิบัติการ Linux และ Unix

VMware ESXi คือ แพลตฟอร์ม Virtual Machine (VM) ที่ใช้ทั่วไปในองค์กรเพื่อสร้างเซิร์ฟเวอร์จำลอง (VM) จำนวนมากบนอุปกรณ์เครื่องเดียว โดยใช้ทรัพยากร CPU และหน่วยความจำได้อย่างมีประสิทธิภาพ

การโจมตี

จากข้อมูล log ที่หลงเหลือหลังจากการโจมตี พบว่า Python Malware ได้เพิ่มคำสั่ง 7 บรรทัดใน "/etc/rc.

Google ได้ประกาศแพตช์อัปเดตให้กับ Google Chrome Browser เพื่อแก้ไขช่องโหว่ Zero-Day ที่มีระดับความรุนแรงสูง

รายละเอียดของช่องโหว่

โดยปกติแล้ว Google จะไม่มีการเปิดเผยรายละเอียดเพิ่มเติมเกี่ยวกับช่องโหว่ Zero-day จนกว่าผู้ใช้งานส่วนใหญ่จะได้รับการอัปเดตแล้ว โดยช่องโหว่ดังกล่าวมีหมายเลข CVE-2022-4135 เป็นช่องโหว่ที่มีระดับความรุนแรงสูง ที่เกิดจาก Heap-based buffer overflow บน GPU component ที่จะทำให้โปรแกรมเกิดข้อผิดพลาด และผู้ไม่หวังดีสามารถรันโค้ดที่เป็นอันตรายได้หากโจมตีสำเร็จ

ช่องโหว่นี้ถูกพบโดย Clement Lecigne จาก Threat Analysis Group เมื่อวันที่ 22 พฤศจิการยนที่ผ่านมา และในการการอัปเดตครั้งนี้ถือเป็นช่องโหว่ Zero-day ครั้งที่ 8 นับตั้งแต่ต้นปี ของ Google โดยช่องโหว่ zero-day 7 รายการก่อนหน้านี้ที่ถูกพบ และแก้ไขไปแล้วในปี 2565 ได้แก่ :

CVE-2022-0609 - Use-after-free in Animation – February 14th, 2022
CVE-2022-1096 - Type confusion in V8 – March 25th, 2022
CVE-2022-1364 - Type confusion in V8 – April 14th, 2022
CVE-2022-2294 - Heap buffer overflow in WebRTC – July 4th, 2022
CVE-2022-2856 - Insufficient validation of untrusted input in Intents - September 2nd, 2022
CVE-2022-3075 - Insufficient data validation in Mojo - August 30th, 2022
CVE-2022-3723 - Type confusion in V8 - October 27th, 2022

Google แนะนำให้ผู้ใช้งานอัปเดตเป็นเวอร์ชัน 107.0.5304.121 สำหรับ macOS และ Linux และเวอร์ชั่น 107.0.5304.121/.122 สำหรับ Windows เพื่อลดความเสี่ยงจากการถูกโจมตีที่อาจเกิดขึ้น

Browser อื่น ๆ ที่อยู่บน Chromium-based เช่น Microsoft Edge, Brave, Opera และ Vivaldi แนะนำให้ผู้ใช้งานทำการอัปเดตเวอร์ชันที่ได้รับการแก้ไขแล้วก่อนการใช้งานเช่นเดียวกัน

ที่มา : thehackernews

 

นักวิจัยด้านความปลอดภัยทางไซเบอร์พบการโจมตีรูปแบบใหม่ และเฟรมเวิร์ก C2 ที่ชื่อว่า "Alchimist" ซึ่งดูเหมือนจะถูกใช้ในการโจมตีที่มุ่งเป้าไปยังระบบปฏิบัติการ Windows, Linux และ Mac OS

เฟรมเวิร์ก และไฟล์ทั้งหมดถูกเขียนขึ้นด้วยภาษาโปรแกรมมิ่งที่ชื่อว่า GoLang ซึ่งเป็นภาษาที่ทำให้ความเข้ากันได้ของโปรแกรมในแต่ละระบบปฏิบัติการต่าง ๆ ทำได้ง่ายขึ้นมาก

Alchimist มี web-based interface ที่ใช้ภาษาจีน ซึ่งคล้ายกันกับ Manjusaka ที่เป็นเฟรมเวิร์กที่ถูกใช้หลังการโจมตี (post-exploitation) ที่พึ่งถูกพบเมื่อเร็ว ๆ นี้ ซึ่งกำลังเป็นที่นิยมในกลุ่มแฮ็กเกอร์ชาวจีน

นักวิจัยของ Cisco Talos พบว่าทั้ง 2 เฟรมเวิร์คนั้นมีความคล้ายกัน แต่ก็มีความแตกต่างทางเทคนิคมากพอที่จะสรุปได้ว่าผู้เขียนเฟรมเวิร์คทั้งสองตัวต่างคนต่างพัฒนาเฟรมเวิร์กเหล่านี้

วิธีการสร้างการโจมตี

Alchimist ช่วยให้ผู้โจมตีมีเฟรมเวิร์กที่ใช้งานได้ง่าย ซึ่งช่วยให้สามารถสร้าง และกำหนดค่าเพย์โหลดที่ติดตั้งบนอุปกรณ์ที่ถูกโจมตี เพื่อบันทึกภาพหน้าจอจากระยะไกล สั่งรัน commands ต่าง ๆ และดำเนินการเรียกใช้ shellcode จากระยะไกลได้

เฟรมเวิร์กนี้ยังสนับสนุนการสร้าง mechanisms เพื่อติดตั้ง 'Insekt' (RAT) บนอุปกรณ์ของเหยื่อ และช่วยในการสร้าง PowerShell (สำหรับ Windows) และ wget (สำหรับ Linux) สำหรับการปรับใช้ RAT

 

เพย์โหลดของ Insekt สามารถกำหนดค่าได้บนอินเทอร์เฟซของ Alchimist โดยใช้พารามิเตอร์ต่าง ๆ เช่น C2 IP/URL แพลตฟอร์ม (Windows หรือ Linux) โปรโตคอล (TLS, SNI, WSS/WS)

 

C2 Address จะถูกกำหนดไว้ในฮาร์ดโค้ด และมี self-signed certificate ซึ่งสร้างขึ้นในระหว่างการคอมไพล์ โดย C2 จะส่งคำสั่ง Ping 10 ครั้งทุกวินาที และหากความพยายามในการเชื่อมต่อทั้งหมดไม่สำเร็จ มัลแวร์จะลองใหม่อีกครั้งหลังจากผ่านไปหนึ่งชั่วโมง

Insekt RAT

เซิร์ฟเวอร์ Alchemist C2 จะส่งคำสั่งเพื่อดำเนินการ ซึ่งเป็นการฝัง Insekt ที่ใช้ดำเนินการบนระบบ Windows และ Linux ที่ถูกโจมตี

พฤติกรรมที่เป็นอันตรายที่ Insekt สามารถทำได้:

รับข้อมูลขนาดไฟล์
รับข้อมูลระบบปฏิบัติการ
เรียกใช้คำสั่งโดยผ่าน cmd.

นักวิเคราะห์ด้านความปลอดภัยได้พบช่องโหว่ใน Microsoft Teams Application ที่ใช้งานกับ Desktop ทำให้ผู้โจมตีสามารถเข้าถึง Authentication Token และบัญชีที่เปิดใช้งาน Multi-Factor (MFA) ได้

Microsoft Teams เป็นแพลตฟอร์มการสื่อสารที่อยู่ในตระกูลผลิตภัณฑ์ 365 ซึ่งมีผู้ใช้งานมากกว่า 270 ล้านคนในการประชุมทางวิดีโอ และการจัดเก็บไฟล์

ปัญหานี้มีผลกระทบต่อ Application version ที่ใช้บน Windows, Linux และ Mac เนื่องจาก Authentication Token ของผู้ใช้งานใน Microsoft Teams จะถูกจัดเก็บเป็น clear text โดยไม่มีการป้องกันการเข้าถึง เพราะเหตุนี้จึงทำให้ผู้โจมตีสามารถขโมย Tokens แล้วใช้เพื่อเข้าสู่ระบบของเหยื่อได้

นักวิจัยระบุว่า "การเข้าควบคุมบัญชีที่สำคัญขององค์กร เช่น หัวหน้าฝ่ายวิศวกรรม CEO หรือ CFO" อาจส่งผลให้เกิดความเสียหายต่อองค์กรได้

นักวิจัยของ Vectra พบปัญหานี้ในเดือนสิงหาคม 2022 และรายงานไปยัง Microsoft แต่ Microsoft ไม่เห็นด้วย และยังระบุว่าไม่ตรงตามเกณฑ์ที่จำเป็นต้องทำการแก้ไข

รายละเอียดปัญหา

Microsoft Teams เป็นแอปในลักษณะ Electron ที่ทำงานในเบราว์เซอร์ พร้อมด้วยองค์ประกอบที่จำเป็นสำหรับหน้าเว็บปกติ (cookies, session strings, logs อื่นๆ)

ซึ่ง Electron ไม่รองรับการเข้ารหัส หรือการป้องกันการเข้าถึงไฟล์ ดังนั้นแม้ว่าเฟรมเวิร์กซอฟต์แวร์จะใช้งานได้หลากหลาย และใช้งานได้ง่าย แต่ก็ถือว่าความปลอดภัยไม่เพียงพอสำหรับการพัฒนาผลิตภัณฑ์ที่มีความสำคัญ เว้นแต่จะมีการปรับแต่งให้ครอบคลุมมากยิ่งขึ้น

Vectra ระบุว่า ขณะที่พยายามหาวิธีลบบัญชีที่ไม่มีการใช้งานออกจากแอปบนไคลเอ็นต์ เค้าพบไฟล์ ldb ที่มี access tokens เป็น clear text "เมื่อตรวจสอบก็พบว่า access tokens เหล่านี้ยังสามารถใช้งานได้ และไม่ใช่การ Dump error โดยไม่ได้ตั้งใจ และ Tokens เหล่านี้จะสามารถใช้เพื่อเข้าถึง Outlook และ Skype APIs" - Vectra

นอกจากนี้ นักวิเคราะห์พบว่าโฟลเดอร์ "Cookie" ยังมี Authentication Tokens ที่ใช้งานได้ พร้อมด้วยข้อมูลบัญชี ข้อมูลเซสชัน และข้อมูลการใช้งานต่าง ๆ

สุดท้าย Vectra ได้พัฒนาเครื่องมือที่ใช้สำหรับทดสอบช่องโหว่ผ่านทางการเรียกใช้ API ซึ่งอนุญาตให้ส่งข้อความถึงตัวเองได้ โดยการใช้ engine SQLite เพื่ออ่านฐานข้อมูลใน Cookies ซึ่งปรากฏว่าได้รับ Authentication Tokens เป็นข้อความใน chat window ตามภาพ

ช่องโหว่นี้สามารถถูกโจมตีด้วยมัลแวร์สำหรับขโมยข้อมูลซึ่งเป็นหนึ่งใน Paylods ที่นิยมมากที่สุดในแคมเปญฟิชชิ่ง

การใช้มัลแวร์ประเภทนี้ ผู้โจมตีจะสามารถขโมย Authentication Tokens ของ Microsoft Teams และเข้าสู่ระบบจากระยะไกลในฐานะผู้ใช้ bypass MFA และเข้าถึงบัญชีได้อย่างสมบูรณ์

ซึ่งผู้โจมตีมีการโจมตีลักษณะนี้กับแอปพลิเคชันอื่น ๆ อยู่แล้ว เช่น Google Chrome, Microsoft Edge, Mozilla Firefox, Discord และอื่น ๆ อีกมากมาย

การลดความเสี่ยง

ด้วยเหตุที่ยังไม่มีแพตช์สำหรับแก้ไข คำแนะนำของ Vectra คือให้ผู้ใช้สลับไปใช้ Microsoft Teams ที่เป็น Browser version แทน ผ่านทาง Microsoft Edge ซึ่งผู้ใช้จะได้รับการป้องกันเพิ่มเติมเพื่อป้องกันการรั่วไหลของ Tokens

นักวิจัยแนะนำผู้ใช้งาน Linux ให้ย้ายไปใช้โปรแกรมสำหรับ Online meeting อื่น ๆ โดยเฉพาะอย่างยิ่งเมื่อ Microsoft ประกาศแผนการที่จะหยุดสนับสนุนแอปสำหรับแพลตฟอร์ม Linux ภายในเดือนธันวาคม

สำหรับผู้ที่ไม่สามารถย้ายไปยังโซลูชันอื่นได้ในทันที สามารถเฝ้าระวังการที่เข้าถึงไดเร็กทอรีต่อไปนี้:

[Windows] %AppData%\Microsoft\Teams\Cookies
[Windows] %AppData%\Microsoft\Teams\Local Storage\leveldb
[macOS] ~/Library/Application Support/Microsoft/Teams/Cookies
[macOS] ~/Library/Application Support/Microsoft/Teams/Local Storage/leveldb
[Linux] ~/.config/Microsoft/Microsoft Teams/Cookies
[Linux] ~/.config/Microsoft/Microsoft Teams/Local Storage/leveldb

BleepingComputer ได้ติดต่อ Microsoft เกี่ยวกับแผนที่จะแก้ไขปัญหาดังกล่าว โดยเมื่อวันที่ 14 กันยายน 2565 โฆษกของ Microsoft ระบุว่า

"เทคนิคที่ใช้ ยังไม่ตรงกับมาตรฐานที่ต้องรีบดำเนินการแก้ไข เนื่องจากผู้โจมตีต้องสามารถเข้าถึงเครือข่ายเป้าหมายให้ได้ก่อน

ขอขอบคุณ Vectra Protect ในการระบุ และเปิดเผยปัญหานี้อย่างมีความรับผิดชอบ และจะพิจารณาแก้ไขดังกล่าวต่อไปในอนาคต"

ที่มา : bleepingcomputer

ทีม Cyber Security Incident Response (CSIRT) ของชิลีได้ออกมารายงานว่าถูกโจมตีด้วยแรนซัมแวร์ ส่งผลกระทบต่อการดำเนินงาน และบริการออนไลน์ของหน่วยงานรัฐบาลในประเทศ

รายละเอียดการโจมตี

การโจมตีเกิดขึ้นในวันพฤหัสบดีที่ 25 สิงหาคม 2565 โดยมีเป้าหมายคือ Microsoft Server และ VMware ESXi Server
บน ESXi Server แรนซัมแวร์เริ่มต้นโดยหยุดการทำงานของระบบที่เป็น VM ทั้งหมด จากนั้นใช้อัลกอริทึม NTRUEncrypt public key ในการเข้ารหัส โดยเป้าหมายคือไฟล์ประเภท log files (.log), executable files (.exe), dynamic library files (.dll), swap files (.vswp), virtual disks (. vmdk), snapshot (.vmsn) files, และ virtual machine memory (.vmem) files
เมื่อเข้ารหัสเรียบร้อยแล้ว ไฟล์นามสกุลจะถูกต่อท้ายด้วย ".crypt"
จากนั้นผู้โจมตีได้เสนอช่องทางให้รัฐบาลชิลีเพื่อชำระเงินค่าไถ่ โดยกำหนดเวลาไว้ที่ 3 วัน ก่อนมีการขายข้อมูลสู่ DarkWeb
ส่วนระบบปฏิบัติการ Windows มัลแวร์จะใช้ชื่อว่า SecurityUpdate โดยทำการเพิ่ม Reistry เพื่อให้ตัวมันทำงานทันทีหลังมีการเปิดเครื่อง

จากเหตุการณ์ดังกล่าว CSIRT ไม่ได้ชี้แจงว่าถูกมัลแวร์ชนิดใดโจมตี เพียงระบุว่ามัลแวร์ที่พบครั้งนี้มีฟังก์ชันสำหรับขโมยข้อมูลประจำตัวจากเว็บเบราว์เซอร์, แสดงรายการ Removable devices ที่สามารถเข้ารหัส และหลบเลี่ยงการตรวจจับการป้องกันไวรัสโดยใช้การตั้ง Time Out ในการ Execute File

แต่จากพฤติกรรมของมัลแวร์ พบว่าตรงกับแรนซัมแวร์ 'RedAlert' (หรือที่รู้จักว่า "N13V") ที่เปิดตัวไปเมื่อเดือนกรกฎาคม พ.ศ. 2565 ซึ่งปกติ RedAlert จะใช้ extension ".crypt" ในการโจมตี เป้าหมายหลักๆของแรนซัมแวร์ชนิดนี้คือ Windows และ VMWare ESXi Server ส่วนลักษณะการทำงานก็ตรงกับที่รัฐบาลชิลีพบ คือจะหยุดการทำงานของระบบ VM ทั้งหมดก่อนที่จะเข้ารหัส นอกจากนี้ยังใช้อัลกอริทึม NTRUEncrypt public key ในการเข้ารหัส

อย่างไรก็ตามผู้เชี่ยวชาญจาก BleepingComputer ได้ยืนยันจากข้อมูลที่ได้รับว่า Ransomware นี้ไม่มีการสร้างไฟล์เรียกค่าไถ่ขณะเข้ารหัส แต่ใช้การวางไฟล์ก่อนเข้ารหัสแทน คาดว่าเป็นวิธีการหนึ่งที่ใช้ในการปกปิดตัวตนของผู้โจมตี นอกจากนี้ยังใช้วิธีสร้างลิงก์ไปยังเว็บไซต์ที่ไม่ซ้ำกันในเครือข่าย Tor Browser และต้องระบุรหัสผ่านเพื่อเข้าสู่ระบบด้วย

แนวทางการป้องกัน

ตั้งค่า Policy บน Firewall และ Antivirus ให้เหมาะสม
Update Patch VMware และ Microsoft ให้เป็นเวอร์ชันล่าสุด
Backup ข้อมูลอยู่สม่ำเสมอ
สร้าง Awareness ให้กับพนักงาน
จำกัดการเข้าถึงเครือข่าย และกำหนดสิทธิ์การเข้าถึงระบบต่างๆ
ติดตามข่าวสารอย่างสม่ำเสมอ

IOC

ที่มา : bleepingcomputer

นักวิจัยด้านความปลอดภัยค้นพบแพ็คเกจ PyPI ปลอมตัวใหม่ที่ชื่อว่า 'secretslib' ที่ถูกออกแบบมาเพื่อวาง fileless cryptominer บนระบบปฏิบัติการ Linux โดย "secretslib" ถูกดาวน์โหลดไปแล้ว 93 ครั้งก่อนที่จะถูกลบ ถูกเผยแพร่ใน Python Package Index (PyPI) ตั้งแต่เมื่อวันที่ 6 สิงหาคม พ.ศ. 2565 Axe Sharma นักวิจัยจาก Sonatype ได้ระบุในรายงานการตรวจสอบว่า แพ็คเกจดังกล่าวจะแอบเรียกใช้ cryptominers บนหน่วยความจำบนเครื่องของเหยื่อโดยตรง ซึ่งเป็นเทคนิคที่มักถูกใช้จากพวก Fileless มัลแวร์ โดยมันจะเรียกใช้ Linux executable file ที่ถูกดาวน์โหลดมาจากเซิร์ฟเวอร์ภายนอกที่ชื่อว่า "memfd" ซึ่งจริงๆแล้วคือ Monero cryptominer

โดยผู้ที่อยู่เบื้องหลังแพ็คเกจดังกล่าวมีการใช้ข้อมูลระบุตัวตน และข้อมูลติดต่อของวิศวกรซอฟต์แวร์ที่น่าเชื่อถือที่ทำงานให้กับ Argonne National Laboratory ซึ่งเป็นห้องปฏิบัติการที่ได้รับทุนสนับสนุนจากกระทรวงพลังงานของสหรัฐฯ เพื่อให้แพ็คเกจดังกล่าวมีความน่าเชื่อถือ เมื่อไม่กี่วันก่อน นักวิจัย Check Point พึ่งค้นพบแพ็คเกจที่เป็นอันตรายอีก 10 แพ็คเกจใน Python Package Index (PyPI) โดยแพ็คเกจจะทำให้ผู้โจมตีสามารถขโมยข้อมูลส่วนตัวของนักพัฒนาได้

ที่มา : thehackernews.

Ryan Robinson ผู้เชี่ยวชาญจาก Intezer ค้นพบมัลแวร์ตัวใหม่บนระบบปฏิบัติการ Linux ในรูปแบบที่ไม่เคยถูกพบมาก่อน โดยครั้งนี้ใช้ชื่อว่า Lightning Framework ความพิเศษคือมันสามารถแก้ไข architecture และติดตั้ง Rootkit บนเครื่องเป้าหมายได้อีกด้วย นอกจากนี้ยังมีความสามารถอื่นๆอีกมาย เช่น มีการติดต่อกับผู้โจมตีทั้งแบบ Auto และแบบ Active, การเปิด SSH บนเครื่องเป้าหมาย รวมไปถึงการปรับเปลี่ยนคำสั่งที่ใช้ในการควบคุมเครื่องเหยื่อได้อีกด้วย

ลักษณะการโจมตี

มัลแวร์นี้จะใช้ Downloader โหลด Module ที่ชื่อ kbioset และ kkdmflush ซึ่งทำหน้าที่สำหรับดึงปลั๊กอินอื่นๆอย่างน้อย 7 ชนิดจาก Server ภายนอกมาติดตั้ง ซึ่งปลั๊กอินเหล่านี้จะถูกเรียกใช้ใน Component หลักในเวลาต่อมา

นอกจากจะทำหน้าที่ในการดาวโหลด Module ต่างๆแล้ว Downloader จะทำหน้าที่ปกป้องให้ Module ที่โหลดมาคงอยู่บนระบบได้ด้วย
จากนั้น Module หลักของมัลแวร์จะสร้างช่องทางการติดต่อกับเซิร์ฟเวอร์ command-and-control (C2) เพื่อดึงคำสั่งในการรันปลั๊กอิน ซึ่งมีทั้งคำสั่ง Run PowerShell, อัปโหลดไฟล์ไปยัง C2 Server,เขียนข้อมูลลงในไฟล์ หรือแม้แต่อัปเดต และลบตัวเองออกจากเครื่องเป้าหมาย
สุดท้าย มันจะทำการสร้างสคริปต์สำหรับ Autorun ทำให้ตัวมันทำงานทันทีแม้จะมีการ Reboot ระบบ

สิ่งที่น่าสนใจของ Lightning Framework คือเป็น Framework ขนาดใหญ่ที่พัฒนาขึ้นสำหรับโจมตี Linux Server โดยเฉพาะ ผู้ใช้งานจึงต้องหมั่นติดตามข่าวสารอย่างใกล้ชิด

ที่มา : thehackernews

มัลแวร์ตัวใหม่ที่พึ่งถูกบนระบบปฏิบัติการ Linux กำลังถูกใช้เพื่อขโมยข้อมูลจากระบบ และแพร่กระจายไปยัง process ต่างๆที่ทำงานอยู่บนเครื่อง

นักวิจัยด้านความปลอดภัยของ Intezer Labs ซึ่งเป็นผู้ค้นพบ ตั้งชื่อมัลแวร์ว่า OrBit โดยมัลแวร์จะทำการ hijack shared libraries เพื่อดักจับการเรียกใช้ฟังก์ชัน โดยการแก้ไขตัวแปร LD_PRELOAD บนอุปกรณ์ที่ถูกโจมตี

นอกจากนี้มันยังสามารถเชื่อมโยงฟังก์ชันต่างๆ เพื่อหลบเลี่ยงการตรวจจับ, ควบคุมพฤติกรรมของ process, แอบแฝงตัวอยู่บนระบบโดยการแพร่กระจายไปยัง process ใหม่ และซ่อนพฤติกรรมการเชื่อมต่อบนเครือข่าย ตัวอย่างเช่น เมื่อมัลแวร์แฝงตัวเข้าไปใน process ที่ทำงานอยู่ มัลแวร์ OrBit สามารถเลือกที่จะแสดงผลลัพธ์ของการทำงาน เพื่อซ่อนร่องรอยของการมีอยู่ของมันไม่ให้ถูกพบบน Log

Nicole Fishbein นักวิจัยด้านความปลอดภัยของ Intezer Labs อธิบายว่า "มัลแวร์ใช้เทคนิคการหลีกเลี่ยงการตรวจจับขั้นสูง ทำให้มันสามารถแอบแฝงตัวอยู่บนระบบได้ และทำให้ผู้โจมตีสามารถเข้าถึงเครื่องเหยื่อด้วยการ Remote ผ่าน SSH เพื่อค้นหาข้อมูล credentials บนระบบ"

"เมื่อมัลแวร์ถูกติดตั้งแล้ว มันจะแพร่กระจายไปยัง process ต่างๆที่กำลังทำงานอยู่บนเครื่องทั้งหมด รวมถึง process ใหม่ๆที่จะถูกใช้งานในภายหลังด้วย"

แม้ว่าในช่วงแรกส่วนประกอบของ dropper และ payload ของ OrBit จะยังไม่ถูกตรวจจับได้โดย Antivirus engine แต่ในปัจจุบันผู้ให้บริการ Antivirus หลายรายก็เริ่มอัปเดต และแจ้งเตือนผู้ใช้งานเมื่อมีการตรวจพบ OrBit ได้แล้ว

OrBit ไม่ใช่มัลแวร์บน Linux ที่มีความสามารถในการหลีกเลี่ยงการตรวจจับตัวแรกที่ถูกตรวจพบ โดยก่อนหน้านี้มัลแวร์ Symbiote ที่ใช้คำสั่ง LD_PRELOAD เพื่อโหลดตัวเองเข้าสู่ process ต่างๆที่กำลังทำงานอยู่บนเครื่อง และไม่ทิ้งร่องรอยของการทำงานของมันไว้ และ BPFDoor มัลแวร์อีกตัวหนึ่งที่ตรวจพบเมื่อเร็ว ๆ นี้ที่ปลอมตัวโดยใช้ชื่อของ Linux daemons ทั่วๆไป ซึ่งก็ช่วยทำให้มันไม่เคยถูกตรวจจับได้มานานกว่าห้าปี

มัลแวร์ทั้งสองตัวนี้ใช้ฟังก์ชัน BPF (Berkeley Packet Filter) เพื่อตรวจสอบ และจัดการการรับส่งข้อมูลบนเครือข่าย ซึ่งช่วยซ่อนช่องทางการสื่อสารจากการตรวจจับโดยอุปกรณ์ด้านความปลอดภัย

มัลแวร์ Linux อีกตัวซึ่งเป็น rootkit ภายใต้การพัฒนาในชื่อ Syslogk และถูกเปิดเผยโดยนักวิจัยของ Avast เมื่อเดือนที่แล้ว ก็สามารถบังคับโหลดโมดูลของตัวเองลงใน Linux kernel, เปิด backdoor บนเครื่องเหยื่อ และซ่อน directory และการเชื่อมต่อบนเครือข่ายเพื่อหลบเลี่ยงการตรวจจับได้

แม้ว่าจะไม่ใช่มัลแวร์ตัวแรกๆที่มุ่งเป้าไปที่ Linux แต่ OrBit ก็ถือว่ามาพร้อมกับความสามารถที่แตกต่างจากมัลแวร์ตัวอื่น ๆ เนื่องจากมันสามารถขโมยข้อมูลจากขโมยข้อมูลจากคำสั่ง และยูทิลิตี้ต่างๆ และจัดเก็บไว้ในไฟล์เฉพาะที่ถูกสร้างขึ้นบนเครื่อง นอกจากนี้ยังมีการใช้ไฟล์จำนวนมากเพื่อจัดเก็บข้อมูล ซึ่งเป็นสิ่งที่ไม่เคยเห็นมาก่อนในมัลแวร์ตัวอื่นๆ" Fishbein กล่าวเสริม

อีกสิ่งที่ทำให้มัลแวร์ตัวนี้มีความน่าสนใจเป็นพิเศษก็คือการเชื่อมต่อกับไลบรารี่บนเครื่องของเหยื่อจำนวนมาก ซึ่งทำให้มันสามารถแอบแฝงตัว และหลบเลี่ยงการตรวจจับในขณะที่กำลังขโมยข้อมูล และตั้งค่า SSH backdoor

ที่มา: www.

Cybersecurity and Infrastructure Security Agency (CISA) ได้เพิ่มช่องโหว่ Linux ที่มีความรุนแรงสูงที่รู้จักในชื่อ PwnKit ในรายการช่องโหว่ที่กำลังถูกใช้ในการโจมตีอยู่ในปัจจุบัน

ช่องโหว่ด้านความปลอดภัยหมายเลข CVE-2021-4034 (คะแนน CVSS: 7.8) เกิดจาก component pkexec ของ Polkit ที่ถูกใช้ใน Linux distributions ต่างๆ เช่น Ubuntu, Debian, Fedora และ CentOS  โดย PwnKit จะเป็นการโจมตีในรูปแบบ memory corruption ซึ่งจะทำให้ผู้โจมตีสามารถได้สิทธิ์ root บนระบบได้

นักวิจัยจาก Qualys ซึ่งเป็นผู้พบช่องโหว่ดังกล่าวระบุว่าช่องโหว่เกิดจาก pkexec ซึ่งหมายความว่าจะส่งผลกระทบกับ Polkit ทุกเวอร์ชัน และไม่เคยมีใครพบช่องโหว่ดังกล่าวมาก่อนหน้านี้เลยกว่า 12 ปี ตั้งแต่ที่มีการเปิดตัวครั้งแรกของ pkexec ในเดือนพฤษภาคม 2552  โดยมีการปล่อยโค้ด proof-of-concept (PoC) exploit ออกมา หลังจากที่ Qualys เผยแพร่รายละเอียดทางเทคนิคสำหรับช่องโหว่ PwnKit เพียง 3 ชั่วโมงเท่านั้น

(more…)

ผู้เชี่ยวชาญจาก Trend Micro ได้ค้นพบแรนซัมแวร์ตัวใหม่ที่ที่มีชื่อว่า Cheers ซึ่งมีเป้าหมายหลัก ๆ คือ VMware ESXi Server ที่เป็นแพลตฟอร์มที่นิยมใช้กันอย่างแพร่หลายทั่วโลก

ระบบสำคัญของหลายองค์กรต่างอยู่ในแพลตฟอร์มนี้ ซึ่งหากโจมตีได้สำเร็จจนทำให้ระบบหยุดทำงาน ก็จะส่งผลต่อการดำเนินธุรกิจรวมไปถึงกระทบต่อชื่อเสียงขององค์กรอีกด้วย

ลักษณะการทำงาน

เมื่อเซิร์ฟเวอร์ VMware ESXi ถูกโจมตีได้สำเร็จ แรนซัมแวร์จะทำการสแกนหาไฟล์ที่มีนามสกุล .log, .vmdk, .vmem, .vswp, และไฟล์ extensions ที่นามสกุล .vmsn
ซึ่งเป็นไฟล์สำคัญของ ESXi ทั้งหมด เช่นไฟล์ Snapshot หรือ log files จากนั้นจะทำการเปลี่ยนนามสกุลไฟเหล่านั้นล์เป็น “.Cheers” แล้วทำการเข้ารหัสไฟล์โดยใช้ SOSEMANUK stream cipher และลบคีย์ในการกู้คืนออก ซึ่งระหว่างแรนซัมแวร์ทำการสแกนโฟลเดอร์เพื่อเข้ารหัส มันก็จะทำการสร้าง Text ไฟล์ที่ชื่อ ‘How To Restore Your Files.