ReversingLabs พบการเผยแพร่แพ็คเกจ Python ที่เป็นอันตรายบน PyPI ในชื่อ SentinelOne SDK ที่น่าเชื่อถือจากบริษัทรักษาความปลอดภัยทางไซเบอร์ของอเมริกา โดยมีเป้าหมายคือการขโมยข้อมูลจากนักพัฒนาที่ดาวน์โหลดแพ็คเกจ

โดยที่ SentinelOne เป็นบริษัทซอฟต์แวร์การรักษาความปลอดภัยทางไซเบอร์ที่มีชื่อเสียงทางด้าน Endpoint detection and response (EDR)

โดย Hacker เขียนอธิบายใน SentinelOne SDK package ที่เผยแพร่เอาไว้ว่าเป็นแพ็คเกจ Python ที่รวบรวมฟังก์ชัน SentinelOne API ไว้อย่างครบถ้วน

แต่จากการตรวจสอบแพ็คเกจ Python นี้ พบว่าเป็นสำเนาของ SentinelOne SDK จริง เนื่องจากมี auth tokens, secrets และ API keys ที่ถูกต้อง แต่ไฟล์ถูกดัดแปลงด้วยการฝังโทรจันเอาไว้ รวมไปถึงโค้ดที่เป็นอันตรายเพื่อทำการเก็บรวบรวมข้อมูล และส่งข้อมูลกลับไปยัง Hacker เช่น ข้อมูลประวัติ Bash/ Zsh, SSH keys, ไฟล์ .gitconfig, ไฟล์ hosts, ข้อมูลค่า AWS configuration, ข้อมูลค่า Kube configuration และอื่น ๆ โดยคาดว่าเป็นการโจมตีที่มุ่งเป้าหมายไปยังบริการคลาวด์ และเซิร์ฟเวอร์ของนักพัฒนา รวมไปถึงมัลแวร์ดังกล่าวยังสามารถเก็บรวบรวมข้อมูลในระบบปฏิบัติการ Linux ได้อีกด้วย

ReversingLabs ยังพบว่า มีอีก 5 แพ็คเกจที่ชื่อคล้ายกัน และถูกอัปโหลดโดยผู้เผยแพร่คนเดียวกัน ระหว่างวันที่ 8 ถึง 11 ธันวาคม 2022 ซึ่งแพ็คเกจเหล่านี้ไม่มีไฟล์ api.

AWS CodeArtifact ทำหน้าที่เป็น private repository เพื่อเก็บ software package ที่ใช้ภายในองค์กร

CodeArtifact มีช่องโหว่ที่หากผู้โจมตีทราบชื่อ package ที่ใช้ภายใน แล้วนำ malicious package ที่เป็นชื่อเดียวกันแต่มีเลข version สูงกว่า upload ไปยัง public repository เมื่อ package manager จะ install package ตัว CodeArtifact จะไปดึง malicious package จาก public repository แทนที่จะเป็น internal package ที่ถูก upload ไว้ใน CodeArtifact

วิธีการแก้ไข

ตั้งแต่เดือนพฤษภาคม 2022 เป็นต้นมา AWS เพิ่ม feature ใหม่ Package Origin Controls โดย Default package ที่ถูก upload ไปยัง CodeArtifact เมือมี package manager install ตัว CodeArtifact จะไม่ดึง package ที่มีชื่อเดียวกันจาก public repository เพื่อป้องกันการโจมตีในลักษณะ dependency confusion

สำหรับ package ทีถูก upload ไปก่อนหน้าพฤษภาคม 2022 ต้องแก้ Origin controls Upstream เป็น Block

ที่มา: zego.

ในไตรมาสที่ 3 ของปี 2020 พบว่าประมาณ 38% ของมัลแวร์ที่ดาวน์โหลดได้ทั้งหมดถูกซ่อนอยู่ในไฟล์ Microsoft Office – ในไตรมาสแรกของปี 2021 อัตรานี้ลดลงเล็กน้อยเป็น 34% แต่คาดว่าจะกลับมาสร้างสถิติใหม่อีกครั้งในระดับ 43% ในไตรมาสถัดไป

Microsoft Office มีผู้ใช้งานออนไลน์หลายสิบล้านคนต่อวันทั่วโลก ในขณะเดียวกันไฟล์เหล่านี้ก็ถูกใช้โดยอาชญากรไซเบอร์เพื่อกระจายมัลแวร์ และเป็นวิธีที่สามารถทำกำไรให้กับอาชญากรได้

ดังนั้นเพื่อหลอกล่อผู้ใช้งานให้ดาวน์โหลดมัลแวร์ แฮ็กเกอร์จะสร้าง malicious macros ในไฟล์เอกสารของ Office และส่งไฟล์เหล่านี้ไปยังผู้ใช้งานผ่านอีเมล ซึ่งโดยปกติแล้วเมื่อมีการเปิดไฟล์ ผู้ใช้งานมักจะถูกหลอกให้เปิดการใช้งาน macros ที่ Microsoft Office จึงทำให้เมื่อผู้ใช้งานเปิดไฟล์เอกสารที่ผู้โจมตีสร้างขึ้นจึงทำให้ malicious macros ที่อยู่ในเอกสารสามารถทำงานได้ทันที

นักวิจัยของ Atlas VPN ระบุว่าเกือบ 43% ของการดาวน์โหลดมัลแวร์ทั้งหมดถูกซ่อนอยู่ในไฟล์ของ MS Office ไฟล์แบบนี้ค่อนข้างเป็นที่นิยมในหมู่ไม่หวังดี เนื่องจากสามารถหาวิธีหลบเลี่ยงการตรวจจับจากซอฟต์แวร์ antivirus ส่วนใหญ่ได้อย่างง่ายดาย

เป็นที่น่าสังเกตว่าการค้นพบของ Atlas VPN เป็นการอิงจากรายงานอื่นที่ชื่อว่า Netskope Threat Lab Cloud and Threat Report: July 2021 Edition ซึ่งครอบคลุมถึงวิธีที่อาชญากรไซเบอร์ใช้ประโยชน์จาก Office docs

ในงานวิจัยของ Netskope Threat Lab ได้ประเมินเอกสารจากแพลตฟอร์มที่แตกต่างกัน ได้แก่ Google Docs และ ไฟล์ PDF ไม่ใช่แค่จาก Microsoft Office 365

ตามรายงานในไตรมาสที่สองของปี 2020 ประมาณ 14% ของมัลแวร์ที่สามารถดาวน์โหลดได้ ทั้งหมดถูกพบซ่อนอยู่ในที่ Office documents และไตรมาสที่สามของปี 2020 ร้อยละนี้เพิ่มขึ้นถึง 38% ส่วนใหญ่เกิดจากการเพิ่มขึ้นของผู้ใช้งานที่ต้องทำงานจากที่บ้าน

ในไตรมาสแรกของปี 2021 อัตรานี้ลดลงเล็กน้อยอยู่ที่ 34% แต่คาดว่าจะกลับมาสร้างสถิติใหม่อีกครั้งในระดับ 43% ในไตรมาสถัดไป

นักวิจัยระบุว่า EMOTET เป็นหนึ่งในมัลแวร์ที่อันตรายที่สุดที่พบในไฟล์ Microsoft Word และด้วยความพยายามร่วมกันของหน่วยงานบังคับใช้กฎหมายทั่วโลก และบริษัทรักษาความปลอดภัยทางไซเบอร์ได้จัดการ EMOTET ได้ในปี 2021

แต่ EMOTET ไม่ได้หายไป เพราะตัวมันเป็นมัลแวร์ที่สามารถนำไปสู่ติดตั้งมัลแวร์ที่เป็นอันตรายชนิดอื่น เช่น ransomware, information stealers, trojans

อย่างไรก็ตามการวิจัยของ Trend Micro ยืนยันว่า EMOTET ยังคงถูกแพร่กระจายโดยเครื่องที่ยึดครองโดยผู้โจมตี (compromised) ตัวอย่างเช่น EMOTET มีความเกี่ยวข้องกับการโจมตีของ Trickbot และ Ryuk ซึ่งเป็นหนึ่งในตระกูล ransomware ที่โด่งดังที่สุด

ที่มา : hackread.

โทรจัน Qakbot หรือที่เรียกว่า QBot หรือ Pinkslipbot เป็นโทรจันที่ถูกใช้กลุ่มผู้ไม่หวังดีที่มีเป้าหมายหลักในการโจมตีทางด้านธนาคารและการเงิน พบการใช้งานตั้งแต่ปี 2017 มีการแพร่กระจายผ่าน payload เชื่อมต่อ Server C&C และ ปัจจุบันเริ่มมีการใช้งานไปในวงกว้างมากขึ้น

นักวิจัยด้านความปลอดภัย Alien Labs สังเกตเห็นแคมเปญที่พึ่งเกิดขึ้นใหม่ซึ่งเหยื่อที่ตกเป็นเป้าหมายด้วยอีเมลล์ล่อลวงที่เป็นอันตราย จากผู้รับที่มีความน่าเชื่อถือ หรือมีการติดต่อสื่อสารระหว่างกันอยู่แล้ว

โดย email account และข้อมูลภายในเมล์ที่ถูกขโมยออกไป สามารถสร้างผลกระทบได้ตั้งแต่ขนาดเล็กไปจนถึงขนาดใหญ่ ซึ่งหลายๆองค์กรสามารถถูกกำหนดเป็นเป้าหมาย จาก email ของผู้ตกเป็นเหยื่อก่อนหน้า

เมื่อเปิดไฟล์ที่เป็นอันตราย โดยสถานะไฟล์จะถูกเรียกว่า DocuSign โดยซอฟต์แวร์ยอดนิยมที่ใช้ในการแพร่กระจาย malicious คือ Excel ใช้ประโยชน์จาก Macros Excel 4.0 (XML macros) ทำการซ่อน sheets ดาวน์โหลด QakBot และ payload จากอินเทอเน็ตเชื่อมต่อกับเซิร์ฟเวอร์ผู้โจมตี ก่อนที่จะเข้าสู่ Payload หลัก QakBot loader จะทำการทดสอบสิ่งที่เกิดขึ้นกับเครื่องที่ติดตั้งอยู่เพื่อเลือกว่าจะทำการดาวน์โหลดไฟล์อะไรมาติดตั้งบนเครื่องของเหยื่อต่อไป โดย Qakbot จะมีการเช็คสภาพแวดล้อมของเครื่องว่าเป็น Virtual Machine และหาว่าเครื่องดังกล่าวมีการลงโปรแกรม Antivirus หรือ common security researcher tools ไว้ภายในเครื่องหรือไม่

เพื่อให้การตรวจจับและวิเคราะห์ยากขึ้น QakBot จะเข้ารหัส String และถอดรหัสเมื่อมีการรันโปรเซส เมื่อดำเนินการเสร็จ จะดำเนินการลบข้อมูลออกจาก memory ทันที จุดเด่นของ โทรจัน QakBot ที่ใช้ในการ phishing ในอีเมล์ปลอมจะมีข้อมูล เช่นการจัดส่งใบสั่งงานคำขอเร่งด่วนใบแจ้งหนี้การอ้างสิทธิ์ ฯลฯ อีเมลฟิชชิ่งจะมีรูปแบบสลับกันระหว่าง ไฟล์แนบและลิงค์ QakBot มักใช้เป็นทางคล้ายกับ TrickBot หรือ Emotet ซึ่งนำไปสู่การใช้ประโยชน์ในการติดตั้ง Ransomware ต่อไป

ที่มา : ehackingnews

พบ Backdoor ตัวใหม่ “Stantinko” ถูกติดตั้งอยู่ในเครื่องทั่วโลกเป็นจำนวนกว่าครึ่งล้านเครื่อง ซึ่งตัวมันจะทำการ Inject Malware ที่ไม่พึงประสงค์ผ่านส่วนเสริมของ Browser ในระหว่างที่กำลังใช้งานอินเตอร์เน็ตอยู่ และทำการสร้าง backdoor ไว้ในเครื่องของเหยื่อ หน้าตาของ Stantinko ที่เห็นภายนอกจะดูเป็นมิตรจึงทำให้ดูไม่น่าสงสัย วิธีการหลบหลีกไม่ให้ถูกตรวจเจอของ Stantinko คือจะซ่อน malicious code ไว้ใน Windows Registry.

จากการตรวจสอบปลั๊กอินของ CMS WordPress ที่มีชื่อว่า Social Media widget พบมีการฝังโค๊ดที่เป็นลักษณะสแปมเข้าไปในเพจของผู้ใช้ปลั๊กอินนี้ ซึ่งปลั๊กอินตัวนี้มียอดการดาวน์โหลดกว่า 935,000 ครั้ง นั้นหมายความว่ากว่า 1,000 เว็บไซต์ตกเป็นเหยื่อของการโจมตีครั้งนี้  โดยการทำงานของปลั๊กอินนี้จะฝังโค๊ด URL: http ://i.aaur.