Apple ได้เพิ่มความสามารถของ iMessage ใหม่ โดยเป็น post-quantum cryptographic protocol ในชื่อ PQ3 ซึ่งได้รับการออกแบบมาเพื่อปกป้องการเข้ารหัสจากการโจมตี quantum attacks (more…)

นักวิจัยด้านความปลอดภัยพบแคมเปญการโจมตีใหม่จากกลุ่ม Charming Kitten APT ซึ่งเแฮ็กเกอร์ใช้มัลแวร์ตัวใหม่ที่ชื่อว่า NokNok ซึ่งมีเป้าหมายเป็นระบบปฏิบัติการ macOS

แคมเปญดังกล่าวเริ่มต้นในเดือนพฤษภาคม และใช้วิธีการโจมตีต่างจากที่เคยพบมาก่อน โดยใช้ไฟล์ LNK เพื่อปล่อย payloads ที่เป็นอันตรายแทนที่จะใช้เอกสาร Word ที่เป็นอันตรายเหมือนการโจมตีก่อนหน้านี้จากกลุ่มผู้โจมตี

ตามรายงานจาก Mandiant กลุ่ม Charming Kitten ที่เป็นที่รู้จักในชื่อ APT42 หรือ Phosphorus ได้ดำเนินการโจมตีองค์กรต่าง ๆ อย่างน้อย 30 แห่งใน 14 ประเทศตั้งแต่ปี 2015

Google ได้เชื่อมโยงผู้โจมตีกับรัฐบาลอิหร่าน โดยเฉพาะกองพิทักษ์ปฏิวัติอิสลาม (Islamic Revolutionary Guard Corps) โดยในเดือนกันยายน 2022 รัฐบาลสหรัฐฯ สามารถตรวจสอบ และตั้งข้อกล่าวหากับสมาชิกในกลุ่มผู้โจมตีนั้นได้

Proofpoint รายงานว่า กลุ่มผู้โจมตีในปัจจุบันได้เลิกใช้วิธีการโจมตีที่ใช้ macro-based ในเอกสาร Word และกลับมาใช้ไฟล์ LNK เพื่อส่ง payloads ทีี่เป็นอันตรายไปยังเป้าหมายที่ต้องการโจมตี

ส่วนการใช้ phishing และ social engineering ในแคมเปญนี้ แฮ็กเกอร์ปลอมตัวเป็นผู้เชี่ยวชาญด้านนิวเคลียร์จากสหรัฐฯ และชวนเป้าหมายโดยมีข้อเสนอให้ตรวจสอบร่างจดหมายเรื่องนโยบายต่างประเทศ

ในหลายกรณี ผู้โจมตีมีการนำบุคคลอื่นเข้ามาเกี่ยวข้องในการสนทนาเพื่อเพิ่มความน่าเชื่อถือ และสร้างความสัมพันธ์กับเป้าหมาย

การโจมตีบน Windows

หลังจากที่ได้รับความไว้วางใจจากเป้าหมาย กลุ่ม Charming Kitten จะส่งลิงก์ที่เป็นอันตรายซึ่งประกอบด้วย Google Script macro ที่เปลี่ยนเส้นทางการเชื่อมต่อของเหยื่อไปยัง URL ของ Dropbox ซึ่งจะเป็นที่มาของไฟล์ RAR ที่มีการใส่รหัสผ่านไว้ โดยภายในมีโปรแกรมอันตรายซึ่งใช้ PowerShell code และไฟล์ LNK เพื่อทำการติดตั้งมัลแวร์

โดย Payload ขั้นสุดท้ายคือ GorjolEcho ซึ่งเป็น Simple backdoor และสามารถรับส่งคำสั่งจากผู้โจมตีจากภายนอกได้ และเพื่อหลีกเลี่ยงการตรวจจับ GorjolEcho จะเปิดไฟล์ PDF เกี่ยวกับหัวข้อที่เกี่ยวข้องกับการสนทนา ที่ผู้โจมตีมีกับเป้าหมายก่อนหน้านี้

การโจมตีบน macOS

หากเป็นเหยื่อที่ใช้ระบบปฏิบัติการ macOS ซึ่งโดยทั่วไปแฮ็กเกอร์จะรู้ตัวหลังจากที่พวกเขาล้มเหลวในการโจมตีด้วย Windows payload จากนั้นผู้โจมตีจะส่งลิงก์ใหม่ไปยัง "library-store[.]camdvr[.]org" ซึ่งเป็นที่เก็บไฟล์ ZIP ซึ่งปลอมตัวเป็นแอป VPN ของ RUSI (Royal United Services Institute)

 

เมื่อทำการเรียกใช้ไฟล์ Apple script คำสั่ง curl จะดึงข้อมูลที่เรียกว่า NokNok payload และสร้างช่องโหว่เพื่อเข้าสู่ระบบของเหยื่อ

โดย NokNok จะสร้างการเก็บรวบรวมข้อมูลบนระบบ แล้วใช้โมดูลสคริปต์ bash ทั้งหมด 4 โมดูลเพื่อเตรียมการแฝงตัวบนระบบ ทำการเชื่อมต่อกับเซิร์ฟเวอร์ command and control (C2) และเริ่มการส่งออกข้อมูลไปยังเซิร์ฟเวอร์ดังกล่าว

NokNok เป็นมัลแวร์ที่สามารถเก็บข้อมูลบนระบบ ที่ประกอบด้วยเวอร์ชันของระบบปฏิบัติการ Process ที่กำลังทำงาน และแอปพลิเคชันที่ติดตั้งไว้ ซึ่งมัลแวร์จะเข้ารหัสข้อมูลที่เก็บรวบรวมทั้งหมดในรูปแบบ base64 แล้วส่งข้อมูลออกจากระบบ

Proofpoint ยังระบุว่า NokNok อาจมีฟังก์ชันที่เกี่ยวข้องกับการสอดแนม ในเชิงสืบสวนที่เฉพาะเจาะจงมากขึ้นผ่านโมดูลอื่นที่ยังไม่เคยเห็นมาก่อน โดยข้อสงสัยนี้มาจากความคล้ายคลึงของโค้ดกับ GhostEcho ที่ได้รับการวิเคราะห์มาก่อนจาก Check Point

โดยใน Backdoor นั้น มีโมดูลที่ช่วยในการจับภาพหน้าจอ การสั่งรันคำสั่ง และการลบร่องรอยการโจมตีไว้ ทำให้มีความเป็นไปได้ที่ NokNok ก็อาจมีฟังก์ชันเหล่านี้ด้วย

โดยรวมแล้ว แคมเปญนี้เป็นการแสดงให้เห็นว่ากลุ่ม Charming Kitten มีความสามารถในระดับสูง สามารถกำหนดเป้าหมายไปยังระบบ macOS ได้เมื่อจำเป็น และแสดงให้เห็นถึงอันตรายจากแคมเปญมัลแวร์สำหรับผู้ใช้ macOS

ที่มา : BLEEPINGCOMPUTER

นักวิจัยจาก Jamf Threat Labs บริษัทวิจัยด้านความปลอดภัย ค้นพบซอฟต์แวร์ Final Cut Pro ที่ถูกฝัง cryptomining malware โดยมุ่งเป้าหมายไปที่กลุ่มผู้ใช้งาน MacOS เพื่อเรียกใช้งาน XMRig utility ในการขุด Monero cryptocurrency โดยปัจจุบันส่วนใหญ่ยังไม่ถูกตรวจจับได้จากอุปกรณ์ป้องกันด้านความปลอดภัย

การค้นพบ macOS malware

หลังจากที่นักวิจัยได้ค้นพบมัลแวร์ดังกล่าวแล้ว จึงได้ทำการตรวจสอบ และพบว่า macOS malware ดังกล่าวนั้นมาจาก torrents ที่เป็นอันตรายที่ชื่อ The Pirate Bay โดยผู้ใช้ชื่อ “wtfisthat34698409672” รวมไปถึงยังพบว่าผู้ใช้ดังกล่าวได้ทำการแผยแพร่ซอฟต์แวร์ macOS อื่น ๆ เช่น Adobe Photoshop และ Logic Pro X ตั้งแต่ปี 2019 โดยซอฟต์แวร์ทั้งหมดได้ฝัง payload สำหรับการขุด cryptocurrency เอาไว้ทั้งสิ้น

จากการวิเคราะห์เชิงลึกทำให้นักวิจัยสรุปได้ว่า มัลแวร์ดังกล่าวได้มีการพัฒนา และปรับปรุงมาแล้ว 3 ครั้ง เพื่อให้มีความสามารถในการหลบเลี่ยงการตรวจจับที่ซับซ้อนมากยิ่งขึ้น โดยพบว่าปัจจุบันอุปกรณ์ด้านความปลอดภัยสามารถตรวจจับได้แค่เวอร์ชันแรกเท่านั้น

ลักษณะการทำงานหลัก ๆ ของ macOS malware ที่มีมาตั้งแต่เวอร์ชันแรกจนถึงปัจจุบันคือ การทำ network layer I2P (Invisible Internet Project) สำหรับปกปิดการสื่อสารกับ C2 server

ต่อมาในเวอร์ชันที่สองที่พบในเดือนเมษายน 2021 ถึงตุลาคม 2021 มีความสามารถในการเข้ารหัสแบบ base 64 เพื่อซ่อนตัวใน app bundle

เวอร์ชันที่สาม หรือเวอร์ชันปัจจุบันพบในเดือนตุลาคม 2021 ถึงพฤษภาคม 2022 ได้เพิ่มความสามารถในการปลอมแปลง process ที่เป็นอันตราย ให้กลายเป็น process ของระบบใน Spotlight เพื่อหลบเลี่ยงการตรวจจับ รวมไปถึงมีสคริปต์ที่ใช้ในการตรวจสอบเครื่องมือประเภท Activity Monitor อย่างต่อเนื่อง หากมีการเปิดใช้งาน มันจะยุติกระบวนการทั้งหมดทันทีเพื่อไม่ให้ถูกตรวจจับได้

ปัจจุบัน MacOS ในปัจจุบัน ซึ่งมีชื่อว่า “Ventura” ได้เพิ่มการตรวจจับ และการป้องกันด้านความปลอดภัยเพิ่มมากขึ้น ไม่ว่าจะเป็นการตรวจสอบใบรับรองซอฟต์แวร์ และตรวจสอบการดัดแปลงในเนื้อหาซอฟต์แวร์ แต่ทั้งนี้ผู้ใช้งานก็ไม่ควรที่จะดาวน์โหลดซอฟต์แวร์ละเมิดลิขสิทธิ์จากภายนอก App Store เนื่องจากมีความเป็นไปได้ที่จะถูกฝังมัลแวร์ หรือเพย์โหลดที่เป็นอันตราย

ที่มา : bleepingcomputer

Adobe เปิดตัวแพตช์การอัปเดตด้านความปลอดภัยที่แก้ไขช่องโหว่ใน Adobe Creative Cloud Desktop, Adobe Framemaker และ Adobe Connect

โดยรวมแล้วแพตช์อัปเดตด้านความปลอดภัยที่ได้รับการเเก้ไขช่องโหว่มีจำนวน 8 รายการ ซึ่งส่วนใหญ่เป็นช่องโหว่ที่มีความรุนแรงระดับ Critical และเป็นช่องโหว่การเรียกใช้โค้ดโดยไม่ได้รับอนุญาต โดยรายละเอียดของช่องโหว่ที่สำคัญมีดังนี้

ช่องโหว่ใน Adobe Framemaker จำนวน 1 รายการ ติดตามด้วยรหัส CVE-2021-21056 โดยช่องโหว่จะทำให้ผู้โจมตีสามารถเรียกใช้โค้ดได้โดยไม่ได้รับอนุญาต ใน Adobe Framemaker เวอร์ชัน 2019.0.8 และต่ำกว่า สำหรับ Windows
ช่องโหว่ใน Adobe Creative Cloud Desktop จำนวน 3 รายการ ติดตามด้วยรหัส CVE-2021-21068, CVE-2021-21078 และ CVE-2021-21069 โดยช่องโหว่ 2 รายการแรกจะทำให้ผู้โจมตีสามารถเรียกใช้โค้ดได้โดยไม่ได้รับอนุญาต และช่องโหว่ที่สามเป็นช่องโหว่นำไปสู่การยกระดับสิทธิ์ของผู้ใช้ ซึ่งช่องโหว่ทั้ง 3 รายการจะส่งผลกระทบกับ Adobe Creative Cloud Desktop เวอร์ชัน 5.3 และเวอร์ชันก่อนหน้า สำหรับ Windows และ Mac OS
ช่องโหว่ใน Adobe Connect จำนวน 4 รายการ ติดตามด้วยรหัส CVE-2021-21085, CVE-2021-21079, CVE-2021-21079 และ CVE-2021-21081 โดยช่องโหว่แรกเป็นช่องโหว่การตรวจสอบอินพุตข้อมูลที่ไม่เหมาะสมและช่องโหว่อีก 3 รายการเป็นช่องโหว่ Cross-Site Scripting (XSS) ซึ่งช่องโหว่จะส่งผลกระทบกับ Adobe Connect เวอร์ชัน 11.0.5 และเวอร์ชันก่อนหน้า

ทั้งนี้ผู้ใช้ผลิตภัณฑ์ของ Adobe ควรทำการอัปเดตแพตช์ให้เป็นเวอร์ชันล่าสุดเพื่อป้องกันการตกเป็นเป้าหมายของผู้ประสงค์ร้าย

ที่มา: bleepingcomputer