แฮ็กเกอร์ใช้ extended file attributes ของ macOS เพื่อซ่อนโค้ดที่เป็นอันตราย

แฮ็กเกอร์กำลังใช้เทคนิคใหม่ที่อาศัยการใช้ extended attributes สำหรับไฟล์ใน macOS เพื่อส่งโทรจันตัวใหม่ที่นักวิจัยเรียกว่า RustyAttr (more…)

Microsoft ตรวจสอบปัญหาของ OneDrive ที่ทำให้แอปพลิเคชันบน macOS หยุดการทำงาน

Microsoft กำลังตรวจสอบปัญหาที่เพิ่งรับทราบ ซึ่งทำให้แอปพลิเคชันบน macOS หยุดการทำงานเมื่อเปิด หรือบันทึกไฟล์ใน OneDrive (more…)

กลุ่มผู้โจมตีจากเกาหลีเหนือใช้มัลแวร์ COVERTCATCH ล่อลวงเหยื่อผ่านการหางานบน LinkedIn

กลุ่มผู้โจมตีจากเกาหลีเหนือถูกพบว่าใช้ LinkedIn เป็นช่องทางในการโจมตีนักพัฒนาซอฟต์แวร์ โดยใช้วิธีการล่อลวงเหยื่อจากเรื่องของการรับสมัครงานปลอม

Mandiant บริษัทในเครือของ Google ระบุในรายงานฉบับใหม่เกี่ยวกับภัยคุกคาม Web3 sector ว่า การโจมตีเหล่านี้ใช้การทดสอบการเขียนโค้ดเป็นวิธีหลักในการเริ่มต้นการแพร่กระจายมัลแวร์

(more…)

ช่องโหว่ใหม่ใน Bluetooth ทำให้แฮ็กเกอร์สามารถเข้าควบคุมอุปกรณ์ iOS, Android, Linux และ MacOS

ช่องโหว่ใหม่ใน Bluetooth ทำให้แฮ็กเกอร์สามารถเข้าควบคุมอุปกรณ์ iOS, Android, Linux และ MacOS

ช่องโหว่ในระบบ Bluetooth บน Android, Linux, macOS, iOS และ Windows เป็นเรื่องสำคัญ เนื่องจากแฮ็กเกอร์สามารถใช้ช่องโหว่เหล่านี้เพื่อเข้าถึงอุปกรณ์ที่มีช่องโหว่โดยไม่ได้รับอนุญาต

โดยช่องโหว่ในโปรโตคอล Bluetooth ทำให้ผู้ไม่หวังดีสามารถทำการขโมยข้อมูลที่มีความสำคัญ, ดักฟังการสื่อสารอย่างลับ ๆ และดำเนินการที่เป็นอันตรายได้

โดยล่าสุดผู้เชี่ยวชาญด้านความปลอดภัยทางไซเบอร์ 'Marc Newlin' ได้ค้นพบช่องโหว่ใหม่ในระบบ Bluetooth ที่ทำให้ผู้ไม่หวังดีสามารถเข้าควบคุมอุปกรณ์ iOS, Android, Linux และ MacOS ได้

ช่องโหว่ Bluetooth ใน Android, Linux, macOS, iOS

ผู้ไม่หวังดีสามารถใช้ช่องโหว่ใหม่นี้ โดยไม่ต้องมีการการยืนยันจากผู้ใช้ เพื่อที่จะเชื่อมต่อกับ Bluetooth keyboard Emulated และควบคุมการใช้งานคีย์บอร์ด

ทุกช่องโหว่ที่ถูกพบโดยนักวิจัยด้านความปลอดภัย และมีผลกระทบต่อระบบ iOs, Android, Linux, และ macOS มีดังนี้

CVE-2024-0230
CVE-2023-45866
CVE-2024-21306

อุปกรณ์ HID (Human Interface Device) ใช้รายงานสำหรับการสื่อสาร โดยการรวมข้อมูลเข้าไปในหมวดหมู่ต่าง ๆ เช่น รายงานข้อมูล input (keypresses, mouse actions), รายงานข้อมูล output (commands, state changes), และรายงานคุณสมบัติ (device settings)

รายงานเหล่านี้ไม่ขึ้นอยู่กับช่องทางการสื่อสาร เพราะมีการส่งถึงโฮสต์ผ่านทาง USB หรือ Bluetooth โดยระบบ Bluetooth HID ใช้ L2CAP sockets กับพอร์ต 17 สำหรับ HID Control (feature reports, high latency) และพอร์ต 19 สำหรับ HID Interrupt (input/output reports, low latency)

การเชื่อมต่อ Bluetooth HID ที่เป็นที่รู้จัก จำเป็นต้องมีการเชื่อมต่อกับทั้งสองพอร์ต การเชื่อมต่อคีย์บอร์ดไปที่พอร์ต 17 และ 19 นั้นมักเกี่ยวข้องกับการจับคู่ และการสร้างคีย์เชื่อมต่อ (link key) เพื่อการเข้ารหัสข้อมูล โดยการทำ bonding จะทำให้ระบบบันทึกคีย์เพื่อให้สามารถใช้ในครั้งถัดไปได้

ในขณะเดียวกัน การจับคู่นอกย่านความถี่ช่วยให้สามารถจับคู่ และเชื่อมต่อผ่านช่องสัญญาณที่ไม่ใช่ Bluetooth เช่น NFC หรือ USB ความสามารถในการจับคู่มีการตรวจสอบความถูกต้องที่โฮสต์ หรืออุปกรณ์ต่อพ่วง

ระบบปฏิบัติการ Linux ที่ได้รับผลกระทบ

Ubuntu
Debian
Redhat
Amazon Linux
Fedora
Gentoo
Arch
OpenEmbedded
Yocto
NixOS

อุปกรณ์ที่มีช่องโหว่จะอนุญาตให้ทำการจับคู่ได้โดยไม่ต้องมีการยืนยันจากผู้ใช้ โดยรองรับการจับคู่แป้นพิมพ์ที่ไม่ผ่านการรับรองความถูกต้อง

ความสำเร็จในการบังคับจับคู่ และการกดแป้นพิมพ์ ขึ้นอยู่กับความสามารถในการค้นหาโฮสต์, ความสามารถในการจับคู่ NoInputNoOutput และการเข้าถึง L2CAP ที่เป็นพอร์ต 17 และ 19

Linux และ Android จะเปิดเผยพอร์ตเมื่ออยู่ในโหมด Discoverable ในขณะที่ macOS, iOS, และ Windows จะจำกัดการเข้าถึงอุปกรณ์ที่รู้จักเท่านั้น การโจมตีบน Linux และ Android ส่วนใหญ่สามารถทำงานได้กับอะแดปเตอร์ Bluetooth, ในขณะที่ macOS, iOS, และ Windows จำเป็นต้องใช้อะแดปเตอร์ที่ใช้เทคโนโลยี Broadcom

ที่มา : cybersecuritynews.

SpectralBlur: Backdoor ตัวใหม่บน macOS จากแฮ็กเกอร์ชาวเกาหลีเหนือ

นักวิจัยด้านความปลอดภัยทางไซเบอร์พบ backdoor ตัวใหม่บน macOS ชื่อ SpectralBlur ซึ่งมีความเชื่อมโยงกับมัลแวร์ที่เป็นที่รู้จักกันดี ซึ่งเชื่อมโยงกับผู้โจมตีชาวเกาหลีเหนือ

(more…)

มัลแวร์ XLoader บน macOS เวอร์ชันใหม่ ปลอมตัวเป็นแอปเพิ่มประสิทธิภาพการทำงาน ‘OfficeNote’

มัลแวร์บน Apple macOS เวอร์ชันใหม่ที่เรียกว่า XLoader ได้ปรากฏตัวขึ้นโดยการปลอมแปลงฟีเจอร์ที่เป็นอันตรายภายใต้หน้ากากของแอปเพิ่มประสิทธิภาพการทำงานในสำนักงานที่เรียกว่า "OfficeNote"

นักวิจัยด้านความปลอดภัยจาก SentinelOne ชื่อ Dinesh Devadoss และ Phil Stokes ได้ระบุในรายงานการวิเคราะห์เมื่อวันจันทร์ที่ผ่านมา (21 ส.ค. 2023) ว่า "เวอร์ชันใหม่ของ XLoader ถูกรวมอยู่ในไฟล์ Apple disk image ด้วยชื่อ OfficeNote.

มัลแวร์ตัวใหม่ ‘Rustbucket’ มุ่งเป้าหมายไปยังกลุ่มผู้ใช้ macOS

นักวิจัยเปิดเผยเวอร์ชันอัปเดตของมัลแวร์ Rustbucket บนระบบปฏิบัติการ Apple macOS ที่มาพร้อมความสามารถที่ดีขึ้น และสามารถหลบเลี่ยงการตรวจจับโดยซอฟต์แวร์รักษาความปลอดภัย

นักวิจัยจาก Elastic Security Labs ระบุในรายงานที่เผยแพร่ในสัปดาห์นี้ว่า Rustbucket เป็นมัลแวร์ที่มีเป้าหมายเป็นระบบ macOS ที่เพิ่มความสามารถในการโจมตีที่ไม่เคยพบมาก่อน โดยใช้โครงสร้างพื้นฐานของเครือข่ายแบบไดนามิกในการควบคุม และสั่งการ

RustBucket เป็นผลงานของกลุ่มผู้โจมตีจากเกาหลีเหนือที่รู้จักในนาม "BlueNoroff" ซึ่งเป็นส่วนหนึ่งของกลุ่มโจมตีขนาดใหญ่ในชื่อ Lazarus Group ซึ่งเป็นกลุ่มแฮ็กเกอร์ภายใต้การกำกับดูแลของหน่วยงาน Reconnaissance General Bureau, RGB

payload ที่สองของมัลแวร์ (second-stage malware) ที่ถูกเขียนด้วยภาษา Swift ซึ่งถูกออกแบบให้ดาวน์โหลดมาจากเซิร์ฟเวอร์ command-and-control (C2) ส่วนมัลแวร์หลักคือไบนารีที่ใช้ภาษา Rust มีคุณสมบัติในการเก็บรวบรวมข้อมูลอย่างละเอียด รวมถึงดึง และเรียกใช้ไบนารี Mach-O หรือ shell scripts บนระบบที่ถูกโจมตี

เป็นครั้งแรกที่มัลแวร์ BlueNoroff มีเป้าหมายเป็นผู้ใช้ macOS โดยเฉพาะ แม้ว่าจะมีเวอร์ชันของ RustBucket ใน .NET ที่มีฟีเจอร์ที่คล้ายกัน

บริษัทความปลอดภัยทางไซเบอร์จากฝรั่งเศส Sekoia ระบุในการวิเคราะห์แคมเปญ RustBucket เมื่อสิ้นเดือนพฤษภาคม 2023 ว่ากิจกรรมของ Bluenoroff ล่าสุดนี้ทำให้เห็นว่าผู้โจมตีพยายามใช้ภาษาที่สามารถรองรับหลายแพลตฟอร์มในการพัฒนามัลแวร์ เพื่อขยายความสามารถ ซึ่งมีความเป็นไปได้สูงที่จะขยายขอบเขตของกลุ่มเป้าหมาย

ลำดับการโจมตีประกอบด้วยไฟล์ติดตั้งบน macOS ที่ติดตั้งโปรแกรมอ่านไฟล์ PDF ซึ่งจะถูกแฝงโปรแกรม backdoor และยังคงใช้งานโปรแกรมได้ตามปกติ สิ่งที่สำคัญในการโจมตี คือ malicious activity จะถูกเรียกใช้เมื่อไฟล์ PDF ที่ถูกใส่ในโปรแกรมตัวอ่าน PDF ที่อันตรายเปิดใช้งาน มัลแวร์จะเริ่มการโจมตีเบื้องต้น รวมถึงอีเมลฟิชชิ่ง และการสร้างข้อมูลปลอมบน social networks เช่น LinkedIn

จาการสังเกตการโจมตี มีลักษณะเป็นการเจาะจง และเน้นไปที่สถาบันทางการเงินที่อยู่ในเอเชีย ยุโรป และสหรัฐอเมริกา โดยการโจมตีนี้เน้นการสร้างรายได้อย่างผิดกฏหมายเพื่อหลีกเลี่ยงบทลงโทษตามกฎหมาย

สิ่งที่ทำให้การตรวจพบเวอร์ชันใหม่
([hxxps[:]//www[.]virustotal.

กลุ่ม LockBit ขู่ปล่อยข้อมูลรั่วไหลของห้างซูเปอร์มาร์เก็ตชื่อดังของไทย

กลุ่ม LockBit  ประกาศการโจมตีห้างสรรพสินค้าประเภทไฮเปอร์มาร์เก็ต, ซูเปอร์มาร์เก็ต และร้านสะดวกซื้อที่มีขนาดใหญ่เป็นอันดับสองของประเทศไทย โดยมีการโพสต์การโจมตีทางไซเบอร์บนเว็บไซต์ของทางกลุ่ม ซึ่งมีการกำหนดเวลาการปล่อยข้อมูลออกสู่สาธารณะในวันที่ 27 เมษายน หากไม่มีการดำเนินการจ่ายค่าไถ่
(more…)

พบตัวเข้ารหัสข้อมูลของ LockBit ransomware ที่มุ่งเป้าหมายไปยัง macOS [EndUser]

MalwareHunterTeam ทีมนักวิจัยด้านความปลอดภัยทางไซเบอร์ พบตัวเข้ารหัสข้อมูลของ LockBit ransomware ที่มุ่งเป้าหมายการโจมตีไปยัง macOS โดยเฉพาะ ซึ่งเป็นครั้งแรกที่พบปฏิบัติการของกลุ่ม Ransomware ที่มุ่งเป้าหมายการโจมตีไปยัง macOS โดยตรง

โดย MalwareHunterTeam พบตัวเข้ารหัสดังกล่าวจากไฟล์ ZIP บน VirusTotal ที่ถูกอัพโหลดขึ้นไปในเดือนธันวาคม 2022 ซึ่งพบว่ามีตัวเข้ารหัสของ LockBit ransomware อยู่ด้วย ซึ่งพบว่ามีตัวเข้ารหัสสำหรับระบบที่ไม่เคยถูกพบมาก่อนเช่น macOS, ARM, FreeBSD, MIPS และ SPARC CPUs (more…)

Apple ออกแพตซ์อัปเดตเพื่อแก้ไขช่องโหว่ Zero-day สำหรับ iOS, iPadOS, macOS และ Safari [EndUser]

เมื่อวันศุกร์ที่ผ่านมา (7 เม.ย. 2566) Apple ออกแพตซ์อัปเดตด้านความปลอดภัยสำหรับ iOS, iPadOS, macOS และเว็บเบราว์เซอร์ Safari เพื่อแก้ไขช่องโหว่ Zero-day สองรายการที่กำลังถูกใช้ในการโจมตีอยู่ในปัจจุบัน (more…)