‘sedexp’ มัลแวร์บน Linux ที่แฝงตัวในระบบ และหลีกเลี่ยงการตรวจจับนานกว่า 2 ปี

Stroz Friedberg ซึ่งเป็น risk management firm ของบริษัท Aon Insurance เป็นผู้ค้นพบ 'sedexp' มัลแวร์บน Linux ซึ่งได้แฝงตัวในระบบ และหลีกเลี่ยงการตรวจจับมาได้ตั้งแต่ปี 2022 ทำให้สามารถสร้าง reverse shell สำหรับการเข้าถึงจากระยะไกล และขยายการโจมตีบนระบบต่อไปได้ โดยใช้เทคนิค persistence “udev rule” ที่ไม่มีอยู่ใน MITRE ATT&CK framework รวมถึงนักวิจัยตั้งข้อสังเกตว่า sedexp เป็น advanced threat ที่ซ่อนตัวอยู่ในเครือข่ายของเป้าหมาย

(more…)

Microsoft Exchange Online แจ้งเตือน Email ว่าเป็นมัลแวร์โดยผิดพลาด

Microsoft กำลังสืบสวนปัญหา false positive ของ Exchange Online ที่ทำให้อีเมลที่มีรูปภาพแนบ ถูกแจ้งเตือนว่าเป็นอันตราย และส่งไปยัง quarantine

โดย Microsoft ได้ระบุถึงการรับทราบปัญหาดังกล่าวแล้วใน Microsoft 365 admin center ว่า "ข้อความอีเมลของผู้ใช้ที่มีรูปภาพอาจถูกระบุว่าเป็นมัลแวร์ และถูก quarantine อย่างไม่ถูกต้อง บริษัทกำลังทำการตรวจสอบติดตามเพื่อหาสาเหตุที่แท้งจริง และพัฒนาแผนการแก้ไข"

ปัญหาดังกล่าวถูกติดตามในชื่อ EX873252 ซึ่งยังส่งผลกระทบต่อข้อความที่มีลายเซ็นเป็นรูปภาพด้วย รวมถึงปัญหาดังกล่าวจะส่งผลต่อการรับส่งข้อมูลขาออกเท่านั้น โดยเฉพาะสำหรับการตอบกลับ และส่งต่ออีเมลที่มาจากภายนอกก่อนหน้านี้เท่านั้น แต่ยังมีผู้ดูแลระบบบางคนที่พบว่าปัญหาดังกล่าวส่งผลกระทบทั้งขาเข้า และภายในองค์กร

ปัจจุบัน Microsoft ได้แก้ไขปัญหาดังกล่าวแล้ว และได้นำดำเนินมาตรการย้ายอีเมลที่ถูกติดแท็กผิดพลาด false positive ว่าเป็นอันตรายออกจาก quarantine ทั้งหมดแล้ว

Microsoft ยังไม่ได้เปิดเผยว่าภูมิภาคใดบ้างที่ได้รับผลกระทบจากปัญหานี้ และได้ให้คำแนะนำในการลดผลกระทบแก่ลูกค้าที่ได้รับผลกระทบแล้ว

ในเดือนตุลาคม 2023 ทาง Microsoft ได้แก้ไขปัญหาที่คล้ายคลึงกันนี้ ซึ่งเกิดจาก anti-spam rule ที่มีข้อบกพร่องทำให้กล่องจดหมายของผู้ดูแลระบบ Microsoft 365 เต็มไปด้วย blind carbon copies (BCC) ของอีเมลขาออกที่ถูกทำเครื่องหมายว่าเป็น spam โดยผิดพลาด

ที่มา : bleepingcomputer

‘Cthulhu Stealer’ มัลแวร์ตัวใหม่บน macOS มีเป้าหมายที่จะขโมยข้อมูลจากผู้ใช้งาน Apple

นักวิจัยด้านความปลอดภัยทางไซเบอร์พบมัลแวร์ขโมยข้อมูลตัวใหม่ที่ออกแบบมาเพื่อโจมตีระบบปฏิบัติการ macOS ของ Apple และรวบรวมข้อมูลหลากหลายประเภท ซึ่งแสดงให้เห็นว่ากลุ่มแฮ็กเกอร์กำลังมุ่งเป้ามาที่ระบบปฏิบัติการนี้เพิ่มมากขึ้นเรื่อย ๆ

(more…)

Fujitsu ยืนยันข้อมูลลูกค้ารั่วไหลในเหตุการณ์การโจมตีทางไซเบอร์ช่วงเดือนมีนาคม

Fujitsu ยืนยันว่าข้อมูลที่เกี่ยวข้องกับบุคคล และธุรกิจของลูกค้าบางรายรั่วไหลในเหตุการณ์การโจมตีทางไซเบอร์ที่ตรวจพบเมื่อต้นปีนี้

บริษัท Fujitsu ระบุว่า การโจมตีไม่ได้เกี่ยวข้องกับแรนซัมแวร์ แต่มีการใช้วิธีการที่ซับซ้อนเพื่อหลีกเลี่ยงการตรวจจับในขณะที่ขโมยข้อมูลออกไป

โดยในช่วงเดือนมีนาคม บริษัทพบว่าระบบของบริษัทหลายระบบติดมัลแวร์ และสังเกตเห็นความเป็นไปได้ที่ข้อมูลที่มีความสำคัญของลูกค้าอาจถูก compromised

Fujitsu ได้แยกคอมพิวเตอร์ที่ได้รับผลกระทบ และเริ่มการสืบสวนโดยได้รับความช่วยเหลือจากผู้เชี่ยวชาญภายนอกเพื่อกำหนดขอบเขตของการรั่วไหล

ผลการตรวจสอบ

ในแถลงการณ์วันนี้ บริษัทระบุว่าได้สรุปการสืบสวนเหตุการณ์ และยืนยันว่าข้อมูลถูกขโมยออกไปโดยมัลแวร์ที่แพร่กระจายจากจุดเริ่มต้นเพียงจุดเดียวไปยังคอมพิวเตอร์ 49 เครื่อง

บริษัทอธิบายเพิ่มเติมว่า "หลังจากมัลแวร์ถูกติดตั้งบนคอมพิวเตอร์เครื่องหนึ่งของบริษัท ถูกพบว่ามันแพร่กระจายไปยังคอมพิวเตอร์เครื่องอื่น ๆ"

"มัลแวร์นี้ไม่ใช่แรนซัมแวร์ แต่ใช้เทคนิคที่ซับซ้อนในการปลอมตัวทำให้ยากต่อการตรวจจับ ซึ่งเกิดจากการโจมตีขั้นสูง"

Fujitsu ระบุว่าคอมพิวเตอร์ที่ติดมัลแวร์ทั้ง 49 เครื่องถูกแยกออกจากระบบอื่น ๆ ทันทีหลังจากพบการโจมตี และมัลแวร์ถูกจำกัดอยู่ในสภาพแวดล้อมเครือข่ายบริษัทในญี่ปุ่นเท่านั้น

บริษัทระบุว่า "คำสั่งในการคัดลอกไฟล์ถูกดำเนินการจากพฤติกรรมของมัลแวร์" ด้วยเหตุนี้ Fujitsu จึงระบุว่ามีความเป็นไปได้ที่ข้อมูลอาจถูกขโมยออกไป "ไฟล์ที่สามารถคัดลอกได้มีข้อมูลส่วนบุคคล และข้อมูลที่เกี่ยวข้องกับธุรกิจของลูกค้า"

Fujitsu อธิบายเพิ่มเติมว่ายังไม่ได้รับรายงานว่าข้อมูลที่ถูก compromised ถูกนำไปใช้ในทางที่ผิด หลังจากการวิเคราะห์มัลแวร์ และเหตุการณ์ Fujitsu ได้ใช้มาตรการการตรวจสอบด้านความปลอดภัยสำหรับคอมพิวเตอร์ทั้งหมดในบริษัท และอัปเดตโซลูชันตรวจจับมัลแวร์เพื่อป้องกันการโจมตีที่คล้ายกัน

ที่มา: bleepingcomputer

มัลแวร์ ValleyRAT กลับมาอีกครั้งพร้อมด้วยกลยุทธ์การขโมยข้อมูลที่ล้ำหน้าขึ้น

นักวิจัยด้านความปลอดภัยทางไซเบอร์พบเวอร์ชันอัปเดตของมัลแวร์ ValleyRAT ซึ่งกำลังถูกแพร่กระจายผ่านแคมเปญการโจมตีครั้งใหม่

(more…)

ฟินแลนด์แจ้งเตือนการโจมตีของมัลแวร์บน Android ทำให้บัญชีธนาคารถูกขโมยได้

สำนักงานขนส่ง และการสื่อสารของฟินแลนด์ (Traficom) แจ้งเตือนเกี่ยวกับแคมเปญมัลแวร์บน Android ที่กำลังพยายามเข้าถึงบัญชีธนาคารออนไลน์ของเหยื่อ (more…)

TheMoon malware แพร่กระจายไปยังเราเตอร์ ASUS กว่า 6,000 เครื่องภายใน 72 ชั่วโมงผ่าน proxy service

TheMoon malware แพร่กระจายไปยังเราเตอร์ ASUS กว่า 6,000 เครื่องภายใน 72 ชั่วโมงผ่าน proxy service

พบ malware botnet เวอร์ชันใหม่ในชื่อ "TheMoon" แพร่กระจายไปยังเราเตอร์ และอุปกรณ์ IoT ในสำนักงานขนาดเล็ก และโฮมออฟฟิศ (SOHO) ที่มีช่องโหว่หลายพันเครื่องใน 88 ประเทศ

(more…)

มัลแวร์ Raspberry Robin พัฒนาขึ้น ด้วยการโจมตีช่องโหว่ที่พบบน Windows อย่างรวดเร็ว

มัลแวร์ Raspberry Robin เวอร์ชันล่าสุดนั้นสามารถซ่อนตัวได้ดีกว่าเดิม และอันตรายมากขึ้นด้วยการโจมตีแบบ one-day exploits กับระบบที่ไม่ได้มีการป้องกันอย่างดีพอ

One-day exploits หมายถึง exploits code ที่ใช้ประโยชน์จากช่องโหว่ของซอฟต์แวร์ที่เพิ่งถูกค้นพบ และผู้พัฒนาซอฟต์แวร์เพิ่งออกแพตช์แก้ไขไปได้ไม่นาน โดยที่การแก้ไขนั้นยังไม่ได้ถูกเผยแพร่ไปยังผู้ใช้งานทุกคน หรือยังไม่ได้ถูกติดตั้งบนระบบที่มีช่องโหว่ทั้งหมด

โดยนับตั้งแต่ที่ผู้พัฒนาเปิดเผยช่องโหว่ พร้อมกับการเผยแพร่แพตช์เพื่อแก้ไขช่องโหว่ ผู้ไม่หวังดีก็จะรีบสร้างโค้ดสำหรับการโจมตี เพื่อใช้โจมตีก่อนที่การอัปเดตแพตช์จะถูกเผยแพร่ไปยังระบบต่าง ๆ ที่มีช่องโหว่ (more…)

มัลแวร์ Info-stealer ที่เขียนด้วยภาษา Python กำลังแพร่กระจายผ่านเอกสาร Excel ที่เป็นอันตราย

Infection Vector

เอกสาร Excel ที่เป็นอันตราย

ในขั้นตอนแรกของการโจมตี คือการใช้เอกสาร Excel ที่มีสคริปต์ VBA ที่รันคำสั่ง PowerShell เพื่อดาวน์โหลด 'Windows Update.

โฆษณารับสมัครงานบน Facebook ปลอม แพร่กระจายมัลแวร์ ‘Ov3r_Stealer’ เพื่อขโมยคริปโตเคอเรนซี และข้อมูลที่สำคัญ

ผู้ไม่หวังดีกำลังใช้โฆษณารับสมัครงานบน Facebook ปลอม เพื่อหลอกล่อเป้าหมายให้ติดตั้งมัลแวร์ขโมยข้อมูลบน Windows ตัวใหม่ที่ชื่อ 'Ov3r_Stealer'

Trustwave SpiderLabs ระบุในรายงานที่แชร์กับ The Hacker News ว่า "มัลแวร์ถูกออกแบบมาเพื่อขโมยข้อมูลส่วนบุคคล และกระเป๋าเงินดิจิทัล และส่งข้อมูลไปที่ Telegram ของผู้ไม่หวังดี"

'Ov3r_Stealer' สามารถดึงข้อมูลที่สำคัญ เช่น IP address location, ข้อมูลฮาร์ดแวร์, รหัสผ่าน, คุกกี้, ข้อมูลบัตรเครดิต, การกรอกข้อมูลอัตโนมัติ, ส่วนขยายของเบราว์เซอร์, กระเป๋าเงินดิจิทัล, เอกสาร Microsoft Office และรายการของโปรแกรมป้องกันไวรัสที่ติดตั้งบนเครื่อง (more…)