Nikoci นักวิจัยด้านความปลอดภัยได้เปิดเผยช่องโหว่ใน Google Drive ที่สามารถทำให้ผู้โจมตีหลอกให้ผู้ใช้งานติดตั้งมัลแวร์ได้ หลังพบผู้ใช้ได้รับผลกระทบจากการดาวน์โหลดไฟล์ที่มีมัลแวร์ซ่อนอยู่

ช่องโหว่ของ Google Drive ซึ่งยังไม่ได้รับการแก้ไขนั้นทำให้ผู้โจมตีสามารถเผยแพร่มัลแวร์ผ่าน Google Drive โดยผู้ประสงค์ร้ายสามารถใช้เมนู "Manage versions" โดยมีขั้นตอนเพียงแค่ทำการอัปโหลดไฟล์ปกติลงบน Google Drive ก่อนและหลังจากนั้นทำการอัปเดตไฟล์ใหม่ด้วยไฟล์ที่เป็นอันตรายที่มีชื่อเดียวกันเเทนไฟล์ที่ทำการอัปโหลดครั้งเเรกผ่าน "Manage versions"

จุดอ่อนของฟีเจอร์นี้อยู่ในข้อเท็จจริงที่ Google Drive จะไม่ตรวจสอบว่าไฟล์ที่อัปโหลดไปใหม่นั้นเป็นไฟล์ชนิดเดียวกันหรือไม่ ทำให้ผู้โจมตีสามารถซ่อนมัลแวร์ได้อย่างแนบเนียนและทำการกระจายมัลแวร์ไปสู่เป้าหมาย โดยช่องโหว่นี้แฮกเกอร์สามารถปรับใช้เทคนิค Spear-phishing attack เพื่อหลอกผู้ใช้ให้ทำการดาวน์โหลดและติดตั้งซอฟเเวร์ผ่านทาง Google Drive โดยไฟล์ดังกล่าวอาจเป็นไฟล์ที่่มีมัลแวร์ซ่อนอยู่

ปัจจุบัน Google ยังไม่ได้แก้ปัญหานี้ ในขณะเดียวกันเว็บเบราว์เซอร์อย่าง Google Chrome ก็มักจะเชื่อถือไฟล์ที่ดาวน์โหลดจาก Google Drive แม้ว่าไฟล์จะถูกตรวจพบโดยซอฟต์แวร์ Antivirus ตัวอื่นๆ ว่าเป็นอันตรายก็ตาม

คำแนะนำ: ก่อนที่จะดาวน์โหลดไฟล์ควรตรวจสอบที่มาของไฟล์ก่อนโหลด ทั้งนี้ควรทำการสแกนและอัปเดตฐานข้อมูล Antivirus อยู่เสมอเพื่อป้องกันมัลแวร์ที่อาจถูกซ่อนอยู่ในไฟล์

ที่มา: thehackernews.

หน่วยงาน Cybersecurity and Infrastructure Security Agency (CISA) ออกมาแจ้งเตือนเกี่ยวกับโทรจันใหม่ซึ่งเชื่อมโยงกับการโจมตีโดยกลุ่มแฮกเกอร์สัญชาติเกาหลีเหนือภายใต้ชื่อ BLINDINGCAN โดยมัลแวร์ดังกล่าวพุ่งเป้าโจมตีหน่วยงานทางการทหาร การบินและอวกาศของสหรัฐฯ

มัลแวร์ BLINDINGCAN เชื่อมโยงกับปฏิบัติการการโจมตีชื่อ North Star ซึ่งถูกตรวจพบโดย McAfee และปฏิบัติการ DreamJob ซึ่งถูกตรวจพบโดย ClearSky โดยแฮกเกอร์สัญชาติเกาหลีเหนือจะมีการแอบอ้างและปลอมตัวเพื่อให้เป้าหมายหลงเชื่อและมีการส่งมัลแวร์ผ่านทางอีเมลไปยังเป้าหมาย (ดูรายละเอียดของทั้งสองปฏิบัติการได้จากลิงค์ท้ายข่าว)

มัลแวร์ BLIDINGCAN จะถูกติดตั้งเพื่อฝังตัวอยู่ในระบบเป้าหมายเพื่อให้ผู้โจมตีใช้มัลแวร์เป็นช่องทางในการเข้าถึงระบบเป้าหมาย โดยตัวมัลแวร์ยังมีคุณสมบัติของโทรจันที่ทำให้มันสามารถดำเนินการเกี่ยวกับไฟล์ รวมไปถึงเก็บข้อมูลต่างๆ ในระบบได้

ประกาศจาก CISA ได้มีการแนบข้อมูลตัวบ่งชี้ภัยคุกคามมาแล้วในลักษณะของ Malware Analysis Report รหัส AR20-232A ผู้ดูแลระบบสามารถนำข้อมูลดังกล่าวไปใช้เพื่อระบุหาการมีอยู่หรือป้องกันภัยคุกคามได้ทันที

ดูรายละเอียดตัวบ่งชี้ภัยคุกคามได้ที่ https://us-cert.

เมื่ออาทิตย์ที่ผ่านมา FBI และ NSA ได้มีการเปิดเผยการแจ้งเตือนซึ่งเป็นผลมาจากการทำงานร่วมกันของทั้งสองหน่วยงาน โดยเป็นการแจ้งเตือนและผลการวิเคราะห์มัลแวร์ตัวใหม่บน Linux "Drovorub" อ้างอิงจากรายงานของทั้งสองหน่วยงาน มัลแวร์ Drovorub ถูกตรวจจับว่ามีการใช้งานในการโจมตีจริงแล้ว และเชื่อมโยงกลับไปยังกลุ่มแฮกเกอร์ APT28 หรือ Fancy Bear ที่มีรัฐบาลรัสเซียหนุนหลัง

การวิเคราะห์มัลแวร์ Drovorub บ่งชี้ให้เห็นศักยภาพที่หลากหลายของมัลแวร์ ตัวมัลแวร์เองถูกออกแบบมาให้เป็น kernel module rootkit แต่ยังมีฟังก์ชันการทำงานเช่นเดียวกับโทรจันโดยทั่วไป อาทิ การรับส่งไฟล์และการสร้างช่องทางลับเพื่อการ pivoting ด้วยลักษณะของการเป็น rootkit ระดับ kernel มัลแวร์ Drovorub จะมีการซ่อนตัวเองจากความพยายามในการค้นหาโปรเซส, ไฟล์, socket หรือพฤติกรรมการทำงานต่างๆ ผ่านการ hook หรือเป็นลอจิคการทำงานของโปรแกรม เช่น เมื่อผู้ใช้งานมีการใช้คำสั่ง ps เพื่อดูรายการโปรเซส มัลแวร์ Drovorub จะทำการแก้ไขผลลัพธ์อยู่เบื้องหลังเพื่อทำให้โปรเซสที่เกี่ยวข้องกับมัลแวร์ไม่แสดงในผลลัพธ์ของคำสั่ง

นอกเหนือจากการวิเคราะห์การทำงาน รายงานร่วมของ FBI และ NSA ยังพูดถึงวิธีในการตรวจจับการทำงานของมัลแวร์ทั้งในมุม network และ endpoint รวมไปถึงการทำ memory analysis เพื่อตรวจหาการมีอยู่ของมัลแวร์ รวมไปถึงคำแนะนำจากทั้งสองหน่วยงานในการป้องกันและลดผลกระทบ ผู้ที่สนใจสามารถอ่านเพิ่มเติมได้จากรายงานของ FBI และ NSA (media.

หน่วยงานความมั่นคงปลอดภัยไซเบอร์ของสหรัฐอเมริกาและโครงสร้างพื้นฐาน (CISA) และศูนย์รักษาความปลอดภัยไซเบอร์แห่งชาติของสหราชอาณาจักร (NCSC) ได้ออกแจ้งเตือนเกี่ยวกับการโจมตีด้วยมัลเเวร์ QSnatch ไปยังอุปกรณ์ QNAP NAS หลังพบทวีความรุนเเรงมากขึ้นจากการพบผู้ติดเชื้อจำนวน 7,000 เครื่องในเดือนตุลาคม 2562 ซึ่งปัจุบันนั้นพบว่าได้เพิ่มจำนวนมากขึ้นเป็น 62,000 เครื่องในปัจจุบัน

ในรายงานของ CISA และ NCSC ได้ระบุว่า QSnatch ถูกพบครั้งเเรกในปี 2014 โดยมัลเเวร์ QSnatch พุ่งเป้าไปที่ QNAP NAS โดยปัจจุบัน มิถุนายน 2563 มีอุปกรณ์ติดเชื้อประมาณ 62,000 เครื่องทั่วโลกซึ่งประมาณ 7,600 เครื่องอยู่ในสหรัฐอเมริกาและ 3,900 เครื่องอยู่ในสหราชอาณาจักรและจากการค้นพบล่าสุดพบว่ามัลเเวร์ QSnatch นั้นได้เพิ่มความสามารถดังนี้

สร้างการเข้าสู่ระบบของผู้ดูแลระบบอุปกรณ์ปลอมและทำการบันทึกข้อมูลหลังจากนั้นจะส่งต่อไปยังหน้าเข้าสู่ระบบที่ถูกต้อง
การสแกน Credential
SSH backdoor
Exfiltration
Webshell สำหรับการเข้าถึงระยะไกล

ทั้งนี้ CISA และ NCSC ยังไม่พบสาเหตุหรือช่องโหว่ที่มัลเเวร์ QSnatch ใช้ในการระบาด แต่ CISA และ NCSC ได้ระบุว่าเมื่อมัลแวร์ QSnatch เข้ามาสู่ระบบ มัลแวร์จะทำการ Inject เข้าสู่ Firmware เพื่อที่จะสามารถควบคุมอุปกรณ์ได้อย่างสมบูรณ์และจะทำการบล็อกฟีเจอร์การอัปเดต Firmware เพื่อทำการฝังตัวและเปิดช่องทางให้สามาถกลับเข้ามาใช้ช่องโหว่อีกครั้ง

ทั้งนี้ผู้ที่สนใจสามารถอ่านข้อมูลเพิ่มเติมได้ที่: https://us-cert.

บริษัทผู้ให้บริการรักษาความปลอดภัยบนไซเบอร์ REDTEAM.PL จากประเทศโปแลนด์ ได้เปิดเผยถึงมัลแวร์ตัวใหม่จากกลุ่มผู้พัฒนา Black Kingdom Ransomware ซึ่งทำมีเป้าหมายการโจมตีเครือข่ายขององค์กรต่างๆ ด้วยช่องโหว่จาก Pulse Secure VPN (CVE-2019-11510) ที่ยังไม่ได้ทำการเเพตซ์ความปลอดภัยบนซอฟต์แวร์ Pulse Secure VPN

Black Kingdom Ransomware ถูกพบครั้งแรกในปลายเดือนกุมภาพันธ์โดยนักวิจัยด้านความปลอดภัย GrujaRS
โดยมัลแวร์จะเข้ารหัสไฟล์และเปลี่ยนนามสกุลของไฟล์เป็น .DEMON หลังจากเข้ารหัสไฟล์แล้วจะทิ้งโน๊ตหมายเหตุเรียกค่าไถ่การเข้ารหัสไฟล์ ซึ่งเป้นเงินจำนวน $10,000 หรือ 312,000 บาท

ข้อเเนะนำ
ผู้ใช้งานหรือผู้ดูแลระบบขององค์กรควรทำการตรวจสอบซอฟต์แวร์ Pulse Secure VPN และทำการอัปเดตเเพตซ์ความปลอดภัยเป็นเวอร์ชั่นล่าสุดและควรระมัดระวังในการเปิดเอกสารหรือดาวน์โหลดไฟล์จากเเหล่งที่มาที่ไม่รู้จัก เพื่อป้องกันการถูกโจมตีด้วย Ransomware

ทั้งนี้นักวิจัยได้ทำการวิเคราะห์ Black Kingdom Ransomware และ IOCs ผู้ที่สนใจสามารถเข้าไปดูได้ที่: any.

ANY.RUN เว็บไซต์ที่ให้บริการวิเคราะห์พฤติกรรมการทำงานของมัลแวร์ (Sandbox) ได้เผยแพร่ 15 อันดับของมัลแวร์ที่ถูกอัพโหลดเพื่อตรวจสอบเมื่อสัปดาห์ที่แล้ว โดยมี 3 อันดับแรก ดังต่อไปนี้

พบว่าอันดับ 1 ตกเป็นของ Agent Tesla มัลแวร์สาย Assassin ที่จะแฝงตัวเพื่อทำภารกิจสอดส่องพฤติกรรมการทำงานของผู้ใช้งาน และดักจับการพิมพ์ที่อาจเป็นรหัสผ่านบนเครื่องที่ตกเป็นเหยื่อ เมื่อสบโอกาสก็จะนำข้อมูลที่ได้ไปเผด็จศึก พบว่าไฟล์ของมัลแวร์อันดับต้นๆ ที่ถูกส่งมาตรวจสอบจะอยู่ในรูปแบบไฟล์ ZIP และ EXE ที่มีชื่อไฟล์เป็นพวกเอกสารการสั่งซื้อ เช่น Purchase Order (PO) หรือ Shipping Document เป็นต้น

(อย่างไรก็ตาม จากการตรวจสอบล่าสุด พบว่าโดน Emotet เตะลงมาแล้ว)

อันดับที่ 2 ตกเป็นของ Emotet มัลแวร์สาย Alchemist ที่พบว่ามีการเล่นแร่แปรธาตุมักจะสอดแทรกความสามารถใหม่ตลอดเวลา จากการที่พบว่ามัลแวร์ตระกูลนี้จะหลายเวอร์ชั่นมาก ตั้งแต่ที่มีการพบครั้งแรกเมื่อปี 2014 โดยหลักๆ ตัวมันเองจะเป็นมัลแวร์ตั้งต้น (dropper) เพื่อไปดาวน์โหลดพรรคพวกตัวอื่นๆ เข้ามาต่อไป พบว่าตัวอย่างไฟล์ที่ถูกส่งมาให้ตรวจสอบก็ยังคงเป็นไฟล์เอกสาร Microsoft Office ที่มีการฝัง Macro ไว้ และเอกสารปลอมที่มีนามสกุลเป็น EXE ด้วย

(จุดที่น่าสังเกตคือ ถ้าดูตามสถิติโดยรวมทั้งหมดและล่าสุดแล้ว พบว่า Emotet ถูกจัดว่าเป็นอันดับ 1 ที่ถูกพบมากที่สุด)

อันดับที่ 3 พบว่าเป็น LokiBot มัลแวร์สาย Thief ที่มีจุดหมายเพื่อแฝงตัวเข้ามาขโมยข้อมูลออกไปเป็นหลัก ไม่ว่าจะ Web Browsers, FTP, E-mail และแอพพลิเคชั่นอื่นๆ ที่มีการใช้งานอยู่บนเครื่อง ก็อีกเช่นเดียวกันตัวอย่างไฟล์ที่พบว่าถูกส่งขึ้นมาตรวจสอบ หนีไม่พ้นไฟล์เอกสาร Microsoft Office ที่มีชื่อไฟล์เป็นเอกสารที่เกี่ยวกับกระบวนการสั่งซื้อ เช่น Payment, Invoice และ Quotation เป็นต้น

จะเห็นว่าไฟล์มัลแวร์ที่ถูกส่งขึ้นมาตรวจสอบนั้นจะอยู่ในรูปแบบไฟล์เอกสาร หรือเหมือนว่าจะเป็นไฟล์เอกสาร และมีชื่อไฟล์เพื่อหลอกให้เชื่อว่าเป็นเอกสารเกี่ยวกับกระบวนการสั่งซื้อ ดังนั้นหากคุณเป็นฝ่ายจัดซื้อ หรือฝ่ายบัญชีของบริษัท

คุณกำลังตกเป็นเป้าหมายของผู้ไม่หวังดีอยู่นะ !!! ระวังตัวมากๆ นะครับ

ที่มา: https://any.

การค้นหาเท็กซ์บุ๊คและเรียงความอิเล็กทรอนิกส์บนอินเตอร์เน็ตทำให้กลุ่มนักเรียนมีโอกาสถูกโจมตีจากการค้นพบของนักวิจัย Kaspersky Lab พบการโจมตีมากกว่า 365,000 ครั้งในหนึ่งปี

หลังจากการตรวจสอบการโจมตีด้วยเอกสารแพร่กระจายมัลแวร์ที่ใช้ชื่อไฟล์เกี่ยวกับการศึกษาในผู้ใช้ Kaspersky พบว่ามีผู้เป็นเหยื่อกว่า 365,000 ครั้งในหนึ่งปีการศึกษา มัลแวร์ส่วนมากที่พบในการโจมตีดังกล่าวคือ MediaGet torrent application downloader, WinLNK.Agent.

พบการโจมตีด้วยมัลแวร์ Cardinal RAT อีกครั้ง โดยรอบนี้พุ่งเป้าไปที่บริษัทเทคโนโลยีทางการเงินในอิสราเอล

นักวิจัยจาก Palo Alto Networks เป็นผู้พบการกลับมาของมัลแวร์ในครั้งนี้ หลังจากที่พบครั้งแรกเมื่อปี 2017 มัลแวร์จะถูกดาวน์โหลดผ่านมัลแวร์ตั้งต้นที่ถูกเรียกว่า“ Carp” ที่จะมีการใช้ Macro ในเอกสาร Microsoft Excel เพื่อติดตั้ง Cardinal RAT บนเครื่องเหยื่อ มัลแวร์สามารถขโมยชื่อผู้ใช้และรหัสผ่าน, ล้างคุกกี้จากเบราว์เซอร์, keylogger และถ่ายภาพหน้าจอของเครื่องเหยื่อ

Cardinal RAT รุ่นล่าสุด (รุ่น 1.7.2) มีการเปลี่ยนแปลงที่สำคัญที่สุดคือการเพิ่มวิธีหลบหลีกการตรวจจับจาก Anti-virus ด้วยการใช้ steganography (การซ่อนชุดคำสั่งในไฟล์รูปภาพ) นักวิจัยยังค้นพบความสัมพันธ์ที่เป็นไปได้ระหว่าง Cardinal RAT กับมัลแวร์ที่ชื่อว่า "EVILNUM" โดยพบว่าบริษัทที่พบ Cardinal RAT จะมีการพบ EVILNUM ด้วย มัลแวร์ทั้งสองมีเป้าหมายเป็นบริษัทการเงินเหมือนกัน และลักษณะการโจมตีเหยื่อจะมีการส่งไฟล์แนบเป็นเอกสารที่มีการฝังโค๊ดอันตรายมาหลอกลวงเหยื่อเหมือนกัน ในเอกสารจะมีการระบุข้อมูลเป็นชื่อหรือเลขส่วนตัวที่เกี่ยวข้องกับการซื้อขาย forex หรือสกุลเงินดิจิตอลเหมือนกัน

ดังนั้นเพื่อลดความเสี่ยง องค์กรควรมีระบบตรวจสอบ spam ที่มีประสิทธิภาพ, ไม่อนุญาตให้อีเมลที่มีการแนบไฟล์เป็น .LNK หรือ zip ไฟล์ที่มี .LNK ไฟล์อยู่ข้างในไฟล์เดียว และอีเมลที่มีไฟล์แนบเป็นเอกสารที่มี Macro จากภายนอก สามารถส่งมาถึงผู้ใช้งานในองค์กรได้

ที่มา: threatpost.

นักวิจัยได้มีการเปิดเผยข้อมูลเกี่ยวกับ Phishing Campaign ล่าสุดที่พุ่งเป้าไปยังผู้ใช้งาน Online banking มีการพยายามปลอมเป็น Google เพื่อขโมยข้อมูลสำคัญ

จากรายงานของนักวิจัยจาก Sucuri ระบุว่าผู้โจมตีมีเป้าหมายเป็นผู้ใช้งานและธนาคารในโปแลนด์ โดยอาศัยการแอบอ้างว่าเป็นระบบ Google reCAPTCHA
อีเมลดังกล่าวจะมีเนื้อหาที่แจ้งว่าพบการทำรายการ (transaction) ที่ผิดปกติ หากพบว่าเป็นรายการที่ไม่ถูกต้องให้กดปุ่ม "verify" เพื่อยืนยันความผิดปกติที่เกิดขึ้น แทนที่จะใช้เป็นการเปลี่ยนเส้นทาง (redirect) ไปยังหน้าปลอมของธนาคารเหมือนการหลอกลวงอื่นๆ แต่กลับเป็นการเปิด PHP ที่จะแสดงหน้า error 404 ปลอมขึ้นมาแทน หน้าดังกล่าวจะมีสคริปต์สำหรับตรวจสอบว่าเป็นการเรียกจาก Google crawler หรือไม่ หากพบว่าไม่ใช่ก็จะแสดงหน้า Google reCAPTCHA ที่ถูกเขียนด้วย JavaScript และ HTML ขึ้นมา หากเหยื่อหลงเชื่อกด CAPTCHA สคริปต์จะทำการตรวจสอบว่าเรียกมาจากอุปกรณ์ใด หากเป็น Android จะมีการดาวน์โหลดไฟล์ .apk หากไม่ใช่จะทำการดาวน์โหลด .zip แทน แต่จากตัวอย่างที่พบส่วนมากจะเป็นมัลแวร์บน Android โดยตัวมัลแวร์จะทำการเก็บข้อมูลสถานะของอุปกรณ์มือถือ, ตำแหน่งที่ใช้งาน และรายชื่อผู้ติดต่อ, มีการตรวจสอบรายการข้อความบนเครื่อง และทำการส่งข้อความ หรือโทรศัพท์ออกไปผ่านเครื่องของเหยื่อ, มีการบันทึกเสียงผู้ใช้งาน รวมถึงขโมยข้อมูลสำคัญอื่นๆ ออกไป

มัลแวร์ดังกล่าวถูกตรวจจับได้แล้วด้วย anti-virus หลายๆ ตัว ที่มีการให้ signature แตกต่างกันออกไป ยกตัวอย่างเช่น Banker, BankBot, Evo-gen, Artemis และอื่นๆ การหลีกเลี่ยงที่จะตกเป็นเหยื่อ ผู้ใช้งานควรจะมีการสังเกตและตรวจสอบความถูกต้องของอีเมลที่ได้รับมาทั้งชื่อผู้ส่ง (sender), เนื้อหา (content) และลิงก์ที่ถูกระบุมาในอีเมลว่าถูกต้องจริงๆ หรือไม่ก่อนทำการเปิดไฟล์แนบ หรือกดลิงก์ใดๆ

ที่มา: www.

มีการพบ Application ที่เป็นมัลแวร์หลุดรอดจากกระบวนการตรวจสอบของ App store บน iOS

Golduck ถูกพบว่าเป็นมัลแวร์ที่จะทำการแพร่กระจาย adware และอาจมีความสามารถในการควบคุมเครื่องได้ ถูกพบครั้งแรกใน Application บนระบบ Android แต่ล่าสุดมีการพบใน Application ที่อยู่ใน Apple App Store และพบว่ามี Application มากกว่า 12 รายการ ที่มีพฤติกรรมการถ่ายโอนข้อมูลไปยังเซิร์ฟเวอร์อันตรายที่เกี่ยวข้องกับ Golduck (C&C) ซึ่งข้อมูลจะประกอบไปด้วย IP Address และข้อมูลตำแหน่ง ประเภทอุปกรณ์และจำนวนโฆษณาที่แสดงบนอุปกรณ์

นักวิจัย Wandera ได้แจ้งรายชื่อเกมส์ 14 รายการตามรายการด้านล่าง ที่มีการเชื่อมต่อกับเซิร์ฟเวอร์ที่เกี่ยวข้องกับการทำงานของมัลแวร์ Golduck ไปยัง Apple โดยล่าสุดทาง Apple ได้นำ Application เหล่านั้นออกจาก Apple Store เป็นที่เรียบร้อยแล้ว และ Application ดังกล่าวส่วนใหญ่ถูกพัฒนาโดยผู้พัฒนาเพียง 3 ราย ได้แก่ Nguyen Hue, Gaing Thi, Tran Tu
• Commando Metal: Classic Contra
• Super Pentron Adventure: Super Hard
• Classic Tank vs Super Bomber
• Super Adventure of Maritron
• Roy Adventure Troll Game
• Trap Dungeons: Super Adventure
• Bounce Classic Legend
• Block Game
• Classic Bomber: Super Legend
• Brain It On: Stickman Physics
• Bomber Game: Classic Bomberman
• Classic Brick – Retro Block
• The Climber Brick
• Chicken Shoot Galaxy Invaders

ที่มา:bleepingcomputer.