มัลแวร์บน Apple macOS เวอร์ชันใหม่ที่เรียกว่า XLoader ได้ปรากฏตัวขึ้นโดยการปลอมแปลงฟีเจอร์ที่เป็นอันตรายภายใต้หน้ากากของแอปเพิ่มประสิทธิภาพการทำงานในสำนักงานที่เรียกว่า "OfficeNote"
นักวิจัยด้านความปลอดภัยจาก SentinelOne ชื่อ Dinesh Devadoss และ Phil Stokes ได้ระบุในรายงานการวิเคราะห์เมื่อวันจันทร์ที่ผ่านมา (21 ส.ค. 2023) ว่า "เวอร์ชันใหม่ของ XLoader ถูกรวมอยู่ในไฟล์ Apple disk image ด้วยชื่อ OfficeNote.
นักวิจัยเปิดเผยเวอร์ชันอัปเดตของมัลแวร์ Rustbucket บนระบบปฏิบัติการ Apple macOS ที่มาพร้อมความสามารถที่ดีขึ้น และสามารถหลบเลี่ยงการตรวจจับโดยซอฟต์แวร์รักษาความปลอดภัย
นักวิจัยจาก Elastic Security Labs ระบุในรายงานที่เผยแพร่ในสัปดาห์นี้ว่า Rustbucket เป็นมัลแวร์ที่มีเป้าหมายเป็นระบบ macOS ที่เพิ่มความสามารถในการโจมตีที่ไม่เคยพบมาก่อน โดยใช้โครงสร้างพื้นฐานของเครือข่ายแบบไดนามิกในการควบคุม และสั่งการ
RustBucket เป็นผลงานของกลุ่มผู้โจมตีจากเกาหลีเหนือที่รู้จักในนาม "BlueNoroff" ซึ่งเป็นส่วนหนึ่งของกลุ่มโจมตีขนาดใหญ่ในชื่อ Lazarus Group ซึ่งเป็นกลุ่มแฮ็กเกอร์ภายใต้การกำกับดูแลของหน่วยงาน Reconnaissance General Bureau, RGB
payload ที่สองของมัลแวร์ (second-stage malware) ที่ถูกเขียนด้วยภาษา Swift ซึ่งถูกออกแบบให้ดาวน์โหลดมาจากเซิร์ฟเวอร์ command-and-control (C2) ส่วนมัลแวร์หลักคือไบนารีที่ใช้ภาษา Rust มีคุณสมบัติในการเก็บรวบรวมข้อมูลอย่างละเอียด รวมถึงดึง และเรียกใช้ไบนารี Mach-O หรือ shell scripts บนระบบที่ถูกโจมตี
เป็นครั้งแรกที่มัลแวร์ BlueNoroff มีเป้าหมายเป็นผู้ใช้ macOS โดยเฉพาะ แม้ว่าจะมีเวอร์ชันของ RustBucket ใน .NET ที่มีฟีเจอร์ที่คล้ายกัน
บริษัทความปลอดภัยทางไซเบอร์จากฝรั่งเศส Sekoia ระบุในการวิเคราะห์แคมเปญ RustBucket เมื่อสิ้นเดือนพฤษภาคม 2023 ว่ากิจกรรมของ Bluenoroff ล่าสุดนี้ทำให้เห็นว่าผู้โจมตีพยายามใช้ภาษาที่สามารถรองรับหลายแพลตฟอร์มในการพัฒนามัลแวร์ เพื่อขยายความสามารถ ซึ่งมีความเป็นไปได้สูงที่จะขยายขอบเขตของกลุ่มเป้าหมาย
ลำดับการโจมตีประกอบด้วยไฟล์ติดตั้งบน macOS ที่ติดตั้งโปรแกรมอ่านไฟล์ PDF ซึ่งจะถูกแฝงโปรแกรม backdoor และยังคงใช้งานโปรแกรมได้ตามปกติ สิ่งที่สำคัญในการโจมตี คือ malicious activity จะถูกเรียกใช้เมื่อไฟล์ PDF ที่ถูกใส่ในโปรแกรมตัวอ่าน PDF ที่อันตรายเปิดใช้งาน มัลแวร์จะเริ่มการโจมตีเบื้องต้น รวมถึงอีเมลฟิชชิ่ง และการสร้างข้อมูลปลอมบน social networks เช่น LinkedIn
จาการสังเกตการโจมตี มีลักษณะเป็นการเจาะจง และเน้นไปที่สถาบันทางการเงินที่อยู่ในเอเชีย ยุโรป และสหรัฐอเมริกา โดยการโจมตีนี้เน้นการสร้างรายได้อย่างผิดกฏหมายเพื่อหลีกเลี่ยงบทลงโทษตามกฎหมาย
สิ่งที่ทำให้การตรวจพบเวอร์ชันใหม่
([hxxps[:]//www[.]virustotal.
กลุ่ม LockBit ประกาศการโจมตีห้างสรรพสินค้าประเภทไฮเปอร์มาร์เก็ต, ซูเปอร์มาร์เก็ต และร้านสะดวกซื้อที่มีขนาดใหญ่เป็นอันดับสองของประเทศไทย โดยมีการโพสต์การโจมตีทางไซเบอร์บนเว็บไซต์ของทางกลุ่ม ซึ่งมีการกำหนดเวลาการปล่อยข้อมูลออกสู่สาธารณะในวันที่ 27 เมษายน หากไม่มีการดำเนินการจ่ายค่าไถ่
(more…)
MalwareHunterTeam ทีมนักวิจัยด้านความปลอดภัยทางไซเบอร์ พบตัวเข้ารหัสข้อมูลของ LockBit ransomware ที่มุ่งเป้าหมายการโจมตีไปยัง macOS โดยเฉพาะ ซึ่งเป็นครั้งแรกที่พบปฏิบัติการของกลุ่ม Ransomware ที่มุ่งเป้าหมายการโจมตีไปยัง macOS โดยตรง
โดย MalwareHunterTeam พบตัวเข้ารหัสดังกล่าวจากไฟล์ ZIP บน VirusTotal ที่ถูกอัพโหลดขึ้นไปในเดือนธันวาคม 2022 ซึ่งพบว่ามีตัวเข้ารหัสของ LockBit ransomware อยู่ด้วย ซึ่งพบว่ามีตัวเข้ารหัสสำหรับระบบที่ไม่เคยถูกพบมาก่อนเช่น macOS, ARM, FreeBSD, MIPS และ SPARC CPUs (more…)
เมื่อวันศุกร์ที่ผ่านมา (7 เม.ย. 2566) Apple ออกแพตซ์อัปเดตด้านความปลอดภัยสำหรับ iOS, iPadOS, macOS และเว็บเบราว์เซอร์ Safari เพื่อแก้ไขช่องโหว่ Zero-day สองรายการที่กำลังถูกใช้ในการโจมตีอยู่ในปัจจุบัน (more…)
นักวิจัยภัยคุกคามทางไซเบอร์ของ Uptycs พบ MacStealer มัลแวร์ตัวใหม่ที่กำหนดเป้าหมายการโจมตีไปยัง macOS เพื่อขโมยข้อมูลส่วนบุคคล ที่จัดเก็บไว้ใน iCloud KeyChain และเว็บเบราว์เซอร์ cryptocurrency wallet และไฟล์ข้อมูลที่มีความสำคัญ
MacStealer มุ่งเป้าหมายการโจมตีไปยัง macOS
นักวิจัยพบ MacStealer ในเว็บไซต์ hacking forum แห่งหนึ่งในเดือนมีนาคม 2023 โดยมีผู้นำมาโปรโมต และวางแผนที่จะนำมาขายในราคา $100 พร้อมทั้งโฆษณาว่า MacStealer เป็น Malware-as-a-Srvice (MaaS) ที่สามารถนำไปใช้ร่วมกับแคมเปญการโจมตีของกลุ่ม Hacker (more…)
มัลแวร์สำหรับขโมยข้อมูลตัวใหม่ที่ใช้ภาษา Golang ชื่อว่า Titan Stealer กำลังถูกโฆษณาโดยผู้โจมตีผ่านช่องทาง Telegram
Karthickkumar Kathiresan และ Shilpesh Trivedi นักวิจัยด้านความปลอดภัยของ Uptycs ระบุในรายงานว่า “ผู้โจมตีสามารถขโมยข้อมูลที่หลากหลายจากเครื่อง Windows ที่ถูกโจมตี เช่น ข้อมูล credential บนเบราว์เซอร์, กระเป๋าเงินคริปโต, ข้อมูล FTP client, ข้อมูลบันทึกภาพหน้าจอ และรายละเอียดข้อมูลบนระบบของเหยื่อ”
ไททันถูกพัฒนามาในลักษณะการเป็น builder เพื่อช่วยให้ผู้โจมตีที่นำไปใช้สามารถปรับแต่งไบนารีของมัลแวร์เพื่อปรับเปลี่ยนฟังก์ชันการทำงาน รวมถึงข้อมูลที่ต้องการจะขโมยออกไปจากเครื่องของเหยื่อ
เมื่อเริ่มดำเนินการมัลแวร์จะใช้เทคนิคที่เรียกว่า process hollowing เพื่อ inject เพย์โหลดที่เป็นอันตรายลงในหน่วยความจำของ process ที่ทำงานอยู่ตามปกติเรียกว่า AppLaunch.
นักวิจัยของ Trend Micro ได้เปิดเผยการค้นพบมัลแวร์ Dridex Banking ที่ได้มุ่งเป้าไปที่ระบบปฏิบัติการ macOS ของ Apple โดยการใช้เทคนิคการโจมตีแบบใหม่ที่ไม่เคยถูกพบมาก่อน ด้วยวิธีการส่งไฟล์ที่ฝัง macro ที่เป็นอันตราย โดยที่ Hacker อาจไม่จำเป็นต้องปลอมแปลงไฟล์อันตรายให้เป็นใบแจ้งหนี้ หรือไฟล์เอกสารที่เกี่ยวข้องกับธุรกิจ
Dridex หรือเรียกอีกอย่างว่า Bugat และ Cridex เป็นมัลแวร์ประเภท Information Stealer ที่สามารถรวบรวมข้อมูลสำคัญจากเครื่องที่โดนโจมตี และเรียกใช้โมดูลที่เป็นอันตราย อีกทั้งยังมีความเกี่ยวข้องกับกลุ่ม Hacker ที่ชื่อ Evil Corp (หรือที่รู้จักกันในชื่อ Indrik Spider) ซึ่งได้มาทดแทน Gameover Zeus หรือ Zeus ซึ่งเป็น banking trojan ที่มุ่งเป้าไปที่ระบบปฏิบัติการ Windows โดยการใช้ไฟล์เอกสาร Microsoft Excel ที่ฝัง macro และใช้การส่ง Phishing Email ไปยังเหยื่อเพื่อเรียกใช้งาน payload ที่เป็นอันตราย
จากการวิเคราะห์ตัวอย่าง Dridex ของ Trend Micro พบว่ามีความเกี่ยวข้องกับ Mach-O (Mach object) ซึ่งเป็นไฟล์สั่งการที่ถูกอัปโหลดไปยัง VirusTotal ในเดือนเมษายน 2019 ตั้งแต่นั้นมา มีการตรวจพบ Artifacts ที่เกี่ยวข้องอีก 67 ตัวอย่าง โดยพบครั้งล่าสุดในเดือนธันวาคม 2022
เทคนิคการโจมตี
โดยใน Artifacts จะประกอบไปด้วย ไฟล์เอกสารที่ฝัง macro ที่เป็นอันตราย และสามารถรันคำสั่งอัตโนมัติเมื่อเปิดไฟล์เอกสาร รวมถึงการใช้ Mach-O (Mach object) executable ซึ่งได้รับการออกแบบมาเพื่อค้นหา และเขียนทับไฟล์ ".doc" ทั้งหมดในไดเร็กทอรีของเครื่องที่ถูกโจมตี (~/User/{user name}) ด้วยมาโครที่เป็นอันตรายซึ่งจะคัดลอกจากไฟล์เอกสารที่ฝังไว้ในรูปแบบ hexadecimal dump ถึงแม้ว่าเครื่องที่ถูกโจมตีจะมีการปิดฟีเจอร์การรัน macro ใน Microsoft Word ไปแล้วก็ตาม
อีกทั้งไฟล์ macro ดังกล่าวยังสามารถติดต่อกับเซิร์ฟเวอร์ภายนอกเพื่อดาวน์โหลด Dridex loader ซึ่งรวมถึงไฟล์สั่งการที่จะทำงานบนระบบปฏิบัติการ Windows แต่จะไม่ทำงานใน macOS ทำให้ถึงแม้ Dridex จะมีข้อจำกัดในการส่งผลกระทบต่อผู้ใช้ macOS เนื่องจาก payload เป็นไฟล์ .EXE (ไม่สามารถสั่งการบน macOS ได้) แต่ผู้ใช้งาน macOS ก็ยังได้รับผลกระทบจากการถูกเขียนทับไฟล์ ".doc" อยู่ดี
นักวิจัยระบุว่า หลังจากที่ Microsoft ได้ปิดฟีเจอร์การรัน macro ใน Microsoft Word เป็นค่าเริ่มต้น จึงส่งผลให้เหล่า Hackers ได้ปรับปรุงกลยุทธ์ และวิธีการในการโจมตีให้มีประสิทธิภาพมากขึ้นในการโจมตีเป้าหมาย
ที่มา : thehackernews
Google ได้ประกาศแพตช์อัปเดตให้กับ Google Chrome Browser เพื่อแก้ไขช่องโหว่ Zero-Day ที่มีระดับความรุนแรงสูง
รายละเอียดของช่องโหว่
โดยปกติแล้ว Google จะไม่มีการเปิดเผยรายละเอียดเพิ่มเติมเกี่ยวกับช่องโหว่ Zero-day จนกว่าผู้ใช้งานส่วนใหญ่จะได้รับการอัปเดตแล้ว โดยช่องโหว่ดังกล่าวมีหมายเลข CVE-2022-4135 เป็นช่องโหว่ที่มีระดับความรุนแรงสูง ที่เกิดจาก Heap-based buffer overflow บน GPU component ที่จะทำให้โปรแกรมเกิดข้อผิดพลาด และผู้ไม่หวังดีสามารถรันโค้ดที่เป็นอันตรายได้หากโจมตีสำเร็จ
ช่องโหว่นี้ถูกพบโดย Clement Lecigne จาก Threat Analysis Group เมื่อวันที่ 22 พฤศจิการยนที่ผ่านมา และในการการอัปเดตครั้งนี้ถือเป็นช่องโหว่ Zero-day ครั้งที่ 8 นับตั้งแต่ต้นปี ของ Google โดยช่องโหว่ zero-day 7 รายการก่อนหน้านี้ที่ถูกพบ และแก้ไขไปแล้วในปี 2565 ได้แก่ :
CVE-2022-0609 - Use-after-free in Animation – February 14th, 2022
CVE-2022-1096 - Type confusion in V8 – March 25th, 2022
CVE-2022-1364 - Type confusion in V8 – April 14th, 2022
CVE-2022-2294 - Heap buffer overflow in WebRTC – July 4th, 2022
CVE-2022-2856 - Insufficient validation of untrusted input in Intents - September 2nd, 2022
CVE-2022-3075 - Insufficient data validation in Mojo - August 30th, 2022
CVE-2022-3723 - Type confusion in V8 - October 27th, 2022
Google แนะนำให้ผู้ใช้งานอัปเดตเป็นเวอร์ชัน 107.0.5304.121 สำหรับ macOS และ Linux และเวอร์ชั่น 107.0.5304.121/.122 สำหรับ Windows เพื่อลดความเสี่ยงจากการถูกโจมตีที่อาจเกิดขึ้น
Browser อื่น ๆ ที่อยู่บน Chromium-based เช่น Microsoft Edge, Brave, Opera และ Vivaldi แนะนำให้ผู้ใช้งานทำการอัปเดตเวอร์ชันที่ได้รับการแก้ไขแล้วก่อนการใช้งานเช่นเดียวกัน
ที่มา : thehackernews
นักวิจัยด้านความปลอดภัยทางไซเบอร์พบการโจมตีรูปแบบใหม่ และเฟรมเวิร์ก C2 ที่ชื่อว่า "Alchimist" ซึ่งดูเหมือนจะถูกใช้ในการโจมตีที่มุ่งเป้าไปยังระบบปฏิบัติการ Windows, Linux และ Mac OS
เฟรมเวิร์ก และไฟล์ทั้งหมดถูกเขียนขึ้นด้วยภาษาโปรแกรมมิ่งที่ชื่อว่า GoLang ซึ่งเป็นภาษาที่ทำให้ความเข้ากันได้ของโปรแกรมในแต่ละระบบปฏิบัติการต่าง ๆ ทำได้ง่ายขึ้นมาก
Alchimist มี web-based interface ที่ใช้ภาษาจีน ซึ่งคล้ายกันกับ Manjusaka ที่เป็นเฟรมเวิร์กที่ถูกใช้หลังการโจมตี (post-exploitation) ที่พึ่งถูกพบเมื่อเร็ว ๆ นี้ ซึ่งกำลังเป็นที่นิยมในกลุ่มแฮ็กเกอร์ชาวจีน
นักวิจัยของ Cisco Talos พบว่าทั้ง 2 เฟรมเวิร์คนั้นมีความคล้ายกัน แต่ก็มีความแตกต่างทางเทคนิคมากพอที่จะสรุปได้ว่าผู้เขียนเฟรมเวิร์คทั้งสองตัวต่างคนต่างพัฒนาเฟรมเวิร์กเหล่านี้
วิธีการสร้างการโจมตี
Alchimist ช่วยให้ผู้โจมตีมีเฟรมเวิร์กที่ใช้งานได้ง่าย ซึ่งช่วยให้สามารถสร้าง และกำหนดค่าเพย์โหลดที่ติดตั้งบนอุปกรณ์ที่ถูกโจมตี เพื่อบันทึกภาพหน้าจอจากระยะไกล สั่งรัน commands ต่าง ๆ และดำเนินการเรียกใช้ shellcode จากระยะไกลได้
เฟรมเวิร์กนี้ยังสนับสนุนการสร้าง mechanisms เพื่อติดตั้ง 'Insekt' (RAT) บนอุปกรณ์ของเหยื่อ และช่วยในการสร้าง PowerShell (สำหรับ Windows) และ wget (สำหรับ Linux) สำหรับการปรับใช้ RAT
เพย์โหลดของ Insekt สามารถกำหนดค่าได้บนอินเทอร์เฟซของ Alchimist โดยใช้พารามิเตอร์ต่าง ๆ เช่น C2 IP/URL แพลตฟอร์ม (Windows หรือ Linux) โปรโตคอล (TLS, SNI, WSS/WS)
C2 Address จะถูกกำหนดไว้ในฮาร์ดโค้ด และมี self-signed certificate ซึ่งสร้างขึ้นในระหว่างการคอมไพล์ โดย C2 จะส่งคำสั่ง Ping 10 ครั้งทุกวินาที และหากความพยายามในการเชื่อมต่อทั้งหมดไม่สำเร็จ มัลแวร์จะลองใหม่อีกครั้งหลังจากผ่านไปหนึ่งชั่วโมง
Insekt RAT
เซิร์ฟเวอร์ Alchemist C2 จะส่งคำสั่งเพื่อดำเนินการ ซึ่งเป็นการฝัง Insekt ที่ใช้ดำเนินการบนระบบ Windows และ Linux ที่ถูกโจมตี
พฤติกรรมที่เป็นอันตรายที่ Insekt สามารถทำได้:
รับข้อมูลขนาดไฟล์
รับข้อมูลระบบปฏิบัติการ
เรียกใช้คำสั่งโดยผ่าน cmd.