Microsoft ประกาศว่า จะทำให้การเปิดใช้งาน VBA Macros ใน Microsoft Office ได้ยากขึ้น VBA Macros เป็นฟีเจอร์ที่มีประโยชน์สำหรับผู้ใช้งาน แต่ก็เป็นจุดอ่อนที่แฮกเกอร์ใช้เป็นช่องทางในการแพร่กระจาย Malware จึงจำเป็นที่ต้องกำจัดจุดอ่อนนี้เพื่อความปลอดภัยของผู้ใช้งานโดยจะเริ่มต้นในช่วงเดือนเมษายนนี้

การใช้ VBA Macros ที่มีอยู่ในเอกสาร Office เป็นวิธีที่นิยมอย่างมากในการแพร่กระจาย malware ที่เป็นอันตราย และการโจมตีแบบฟิชชิ่งจากมัลแวร์ต่างๆเช่น Emotet , TrickBot , Qbot และ Dridex อีกด้วย

“โดยการจัดการในครั้งนี้มีผลเฉพาะกับ Office บนอุปกรณ์ที่ใช้ Windows และแอปพลิเคชันต่อไปนี้เท่านั้น: Access, Excel, PowerPoint, Visio และ Word" Microsoft Office Product Group ได้กล่าวไว้

Microsoft จะเริ่มจัดการฟีเจอร์ Macros ในเวอร์ชัน 2023 ของ Microsoft 365 ซึ่งคาดว่าจะมีผลในต้นเดือนเมษายน 2022

หลังจากตัดสินใจบล็อคฟีเจอร์ Macros แล้ว ผู้ใช้ Office จะไม่สามารถเปิดใช้งาน Macors ได้อีก เพื่อเป็นการหยุดการแพร่กระจายของ Malware บนเครือข่ายโดยอัตโนมัติเมื่อเปิด Office docs ที่อันตราย รวมถึงโทรจันที่พยายามขโมยข้อมูลต่างๆ และเครื่องมือที่เป็นอันตรายที่ใช้โดยแก๊งแรนซัมแวร์

ณ ปัจจุบัน จนกว่าการบล็อกจะมีผลบังคับใช้ ถ้ามีการเปิดเอกสาร จะมีการตรวจสอบว่ามันถูกแท็กด้วย " Mark of the Web " (MoTW) หรือไม่ ซึ่งจะหมายความว่าไฟล์นั้นได้ถูกดาวน์โหลดมาจากอินเทอร์เน็ต

หากพบแท็ก " Mark of the Web " Microsoft จะเปิดเอกสารในโหมดอ่านอย่างเดียว บล็อกการใช้งานเว้นแต่ผู้ใช้จะคลิกที่ปุ่ม ' Enable Editing ' หรือ ' Enable Content ' ที่แสดงที่ด้านบนของเอกสาร

ดังนั้นการลบปุ่มเหล่านี้ออก บล็อกมาโครจากแหล่งที่ไม่น่าเชื่อถือโดยค่าเริ่มต้น เอกสารที่เป็นอันตรายส่วนใหญ่จะไม่สามารถทำงานได้ ซึ่งเป็นการหยุดการแพร่กระจายของมัลแวร์โดยแฮกเกอร์ที่ใช้ช่องโหว่นี้

จากข้อมูลของ Microsoft การปรับปรุงความปลอดภัยที่สำคัญนี้จะเผยแพร่ไปยังช่องทางการอัปเดต Office อื่นๆ เช่น Current Channel, Monthly Enterprise Channel, and Semi-Annual ในภายหลัง

และจะมีการอัปเดตการเปลี่ยนแปลงนี้ให้กับผู้ใช้ Office LTSC, Office 2021, Office 2019, Office 2016 และ Office 2013 ในอนาคต

“เราจะยังคงปรับปรุงการใช้งาน macro สำหรับผู้ใช้งานของเราอย่างต่อเนื่อง ทั้งนี้เพื่อทำให้ยากขึ้นที่จะหลอกให้ผู้ใช้เรียกใช้โค้ดที่เป็นอันตรายผ่าน social engineering ในขณะที่การใช้มาโครที่ถูกต้อง ยังสามารถเปิดใช้งานได้ตามความเหมาะสมผ่าน Publisher ที่เชื่อถือได้ และ/หรือ Location ที่เชื่อถือได้” Tristan Davis จาก Microsoft กล่าว

ถึงกระนั้นหลังจากที่ Office อัปเดตเปิดตัว และบล็อกฟีเจอร์ Macros ในเอกสารที่ดาวน์โหลดจากอินเทอร์เน็ต แต่เราจะยังคงสามารถเปิดใช้งานได้โดยไปที่ properties ของเอกสารและเลือกปุ่ม " Unlock " ที่ด้านล่างขวา

เมื่อเดือนที่แล้ว Microsoft ยังกล่าวด้วยว่า มาโคร Excel 4.0 (XLM) จะถูกปิดใช้งาน เพื่อป้องกันลูกค้าจากเอกสารอันตรายที่ออกแบบมาเพื่อติดตั้งมัลแวร์

การเปลี่ยนแปลงดังกล่าวได้รับการประกาศครั้งแรกในเดือนตุลาคมเมื่อ Microsoft เปิดเผยครั้งแรกว่า จะปิดการใช้งานมาโคร XLM ทั้งหมด หากผู้ใช้หรือผู้ดูแลระบบไม่ได้เปิดหรือปิดฟีเจอร์ด้วยตนเอง

ที่มา : bleepingcomputer

มัลแวร์ RedLine ปลอมเป็นตัวติดตั้งอัปเกรด Windows 11

ผู้โจมตีได้เริ่มเผยแพร่ตัวติดตั้งอัปเกรด Windows 11 ปลอม ให้กับผู้ใช้ Windows 10 ดาวน์โหลด แต่จะเป็นการถูกติดตั้งมัลแวร์ RedLine แทน ซึ่งมัลแวร์ได้ใช้ช่วงเวลาเดียวกันกับที่ทาง Microsoft ได้ประกาศเผยแพร่การอัปเกรด Windows 11 ในการแพร่กระจายตัวติดตั้งปลอมนี้

มัลแวร์ Redline stealer
Redline stealer ** เป็นมัลแวร์ที่ถูกใช้งานอย่างแพร่หลาย มีคุณสมบัติในการขโมยข้อมูล Credentials คุกกี้ของเบราว์เซอร์ บัตรเครดิต และขโมยข้อมูลกระเป๋าเงินดิจิทัล มีความสามารถในการโหลด Payload C2 server

ขั้นตอนของการโจมตี
นักวิจัยของ HP ได้วิเคราะห์แคมเปญนี้ว่า

ผู้โจมตีใช้โดเมน "windows-upgraded[.]com" ซึ่งถูกออกแบบเว็บไซต์ให้เหมือน Windows 11 ที่ถูกต้อง
เมื่อกด "DOWNLOAD NOW" ระบบจะทำการดาวน์โหลดไฟล์
Windows11InstallationAssistant.

 

มัลแวร์ FinFisher ได้รับการอัปเกรดเพื่อแพร่กระจายไปบนอุปกรณ์ Windows โดยใช้ชุดบูต UEFI (Unified Extensible Firmware Interface) โดยใช้ประโยชน์จาก Windows Boot Manager ซึ่งทำให้ Attack Vector ที่นำไปสู่การติดมัลแวร์เปลี่ยนไป ทำให้สามารถหลบเลี่ยงการตรวจจับ และการวิเคราะห์ได้

FinFisher (หรือที่รู้จักในชื่อ FinSpy หรือ Wingbird) ถูกตรวจพบตั้งแต่ปี 2011 โดยเป็นสปายแวร์สำหรับ Windows, macOS และ Linux ที่พัฒนาโดยบริษัท Anglo-German firm Gamma International ซึ่งมักจะจัดหาซอฟแวร์สอดแนมให้กับหน่วยงานบังคับใช้กฎหมาย และหน่วยข่าวกรองโดยเฉพาะ เช่นเดียวกับ Pegasus ของ NSO Group

FinFisher จะรวบรวมข้อมูล Credential ของผู้ใช้ รายชื่อไฟล์ เอกสารสำคัญ บันทึกการกดแป้นพิมพ์ เนื้อหาในอีเมลจาก Thunderbird, Outlook, Apple Mail และ Icedove ดักจับข้อมูลผู้ใช้บน Skype ข้อความแชท การโทร และโอนไฟล์ต่างๆ รวมไปถึงการบันทึกเสียง และวิดีโอโดยการเข้าถึงไมโครโฟน และเว็บแคมของเครื่องเหยื่อ

ในขณะที่เครื่องมือนี้เคยใช้งานผ่านตัวติดตั้งที่ถูกดัดแปลงของแอปพลิเคชัน เช่น TeamViewer, VLC และ WinRAR การอัปเดตที่ตามมาในปี 2014 ทำให้เกิดการติดผ่าน Master Boot Record (MBR) โดยมีเป้าหมายเพื่อโหลดไฟล์ที่เป็นอันตราย ในลักษณะที่ออกแบบมาเพื่อหลบเลี่ยงการตรวจจับ

ฟีเจอร์ล่าสุดที่เพิ่มเข้ามาคือความสามารถในการปรับใช้ UEFI bootkit เพื่อโหลด FinSpy โดยตัวอย่างใหม่แสดงคุณสมบัติแทนที่ Windows UEFI boot loader ด้วยตัวแปรที่เป็นอันตราย และวิธีการหลีกเลี่ยงการตรวจจับอื่นๆ ทีมวิจัย และวิเคราะห์ระดับโลก (GReAT) ของ Kaspersky กล่าวว่าวิธีการติดไวรัสนี้ทำให้ผู้โจมตีสามารถติดตั้ง bootkit ได้โดยไม่ต้องผ่านการตรวจสอบความปลอดภัยของเฟิร์มแวร์

ที่มา : thehackernews.

มัลแวร์ชนิดใหม่ที่มีชื่อว่า FontOnLake พึ่งถูกค้นพบ ได้เริ่มแพร่ระบาดบน Linux โดยซ่อนอยู่ใน Legitimate binaries มัลแวร์ FontOnLake ยังพบว่ามีการแพร่กระจายอยู่ในวงแคบ และด้วยการออกแบบมาอย่างดีทำให้ตัวมันสามารถฝังตัวอยู่บนเครื่องที่ติดมัลแวร์ได้นานขึ้น

ซ่อนอยู่ภายใน Legit utilities

FontOnLake มีหลายโมดูลที่ใช้งานร่วมกัน และเปิดการเชื่อมต่อกลับไปยังผู้ควบคุมตัวมัน เพื่อดำเนินการขโมยข้อมูลที่มีความสำคัญ และพยายามซ่อนตัวอยู่บนเครื่องที่ติดมัลแวร์ให้ได้นานที่สุด

นักวิจัยที่ ESET พบตัวอย่างมัลแวร์จำนวนหนึ่งที่ถูกอัปโหลดไปยัง VirusTotal ตลอดทั้งปีที่ผ่านมา โดยตัวอย่างแรกพบในเดือนพฤษภาคม 2020

FontOnLake ถูกให้ความสนใจเนื่องจากวิธีที่ใช้ในการซ่อนตัว และการออกแบบการทำงานที่ซับซ้อน ซึ่งมีแนวโน้มว่าจะถูกใช้ในการโจมตีแบบกำหนดเป้าหมาย (Target Attack) โดยผู้โจมตีที่มีการใช้ Command and control (C2) เซิร์ฟเวอร์ที่ไม่เหมือนกันเลยจากการตรวจสอบจากตัวอย่างเกือบทั้งหมด รวมไปถึงพอร์ตที่ใช้ด้วย

นักวิจัยของ ESET พบว่าวิธีแพร่กระจายของ FontOnLake นั้นผ่านทางแอพพลิเคชั่นโทรจัน แต่ยังไม่ทราบวิธีการที่ใช้หลอกให้เหยื่อดาวน์โหลดตัวมัน

ในบรรดา Linux utilities ที่ FontOnLake ใช้ได้แก่:

cat - ใช้สำหรับโชว์เนื้อหาของไฟล์
kill - แสดงรายการโปรเซสที่ทำงานอยู่ทั้งหมด
sftp - Secure FTP utility
sshd - OpenSSH เซิร์ฟเวอร์โปรเซส

จากข้อมูลของนักวิจัย ยูทิลิตี้โทรจันมีแนวโน้มที่จะถูกแก้ไขตั้งแต่ระดับซอร์สโค้ด ซึ่งบ่งชี้ว่าผู้โจมตีได้ทำการดัดแปลง และเอาไปแทนที่ยูทิลิตี้เดิมที่ถูกต้องตั้งแต่แรก

นอกเหนือจากการใช้ส่งมัลแวร์เข้าไปที่เครื่องแล้ว ไบนารีที่ถูกดัดแปลงพวกนี้ยังใช้สำหรับการโหลดเพย์โหลดเพิ่มเติม รวบรวมข้อมูล หรือดำเนินการโจมตีอื่นๆ

นักวิจัยค้นพบแบ็คดอร์ที่ถูกพัฒนาขึ้นเองสามตัวที่เขียนด้วยภาษา C++ ซึ่งเชื่อมโยงกับตระกูลมัลแวร์ FontOnLake ซึ่งช่วยให้ผู้โจมตีสามารถเข้าถึงเครื่องที่ถูกยึดไว้จากระยะไกลได้ ฟังก์ชันทั่วไปสำหรับทั้งสามตัวคือการขโมยข้อมูล sshd แอคเคาท์ และ bash command ที่เคยใช้ และส่งไปยังเซิร์ฟเวอร์ C2 โดยมีการใช้คำสั่ง heartbeat ที่สร้างขึ้นเองเพื่อรักษาการเชื่อมต่อกับเซิร์ฟเวอร์ C2 อีกด้วย

Based on open-source rootkit
ในรายงานทางเทคนิคที่เผยแพร่ในสัปดาห์นี้ ESET ตั้งข้อสังเกตว่าการมีอยู่ของ FontOnLake ในระบบที่ถูกบุกรุกนั้นถูกซ่อนด้วย rootkit ซึ่งมีหน้าที่ในการอัปเดตการเชื่อมต่อของ backdoors

 

 

 

 

 

 

 

ตัวอย่าง rootkit ทั้งหมดที่ ESET พบใน kernel เป้าหมายเวอร์ชัน 2.6.32-696.el6.x86_64 และ 3.10.0-229.el7.X86_64 ทั้งสองเวอร์ชันที่ค้นพบนั้นใช้ open-source rootkit project อายุแปดปีที่เรียกว่า Suterusu ที่สามารถซ่อนโปรเซส ไฟล์ และการเชื่อมต่อออกไปภายนอกได้

นักวิจัยเชื่อว่าผู้สร้าง FontOnLake มีความเชี่ยวชาญด้านความปลอดภัยทางไซเบอร์อย่างมาก และมีการปิดการใช้งานเซิร์ฟเวอร์ C2 ที่ใช้ทันทีที่พบว่ามีตัวอย่างถูกอัพโหลดเข้าไปตรวจสอบที่ VirusTotal

ที่มา: bleepingcomputer

Microsoft ได้พบ malware ตัวใหม่ที่ถูกใช้โดยกลุ่ม Nobelium ซึ่งเป็นกลุ่มที่อยู่เบื้องหลังการโจมตี SolarWinds supply chain attacks เมื่อปีที่แล้ว โดยตัว Malware ดังกล่าวมีชื่อว่า FoggyWeb ที่ถูกขนานนามว่าเป็น Backdoor แบบ Passive และมีเป้าหมายที่อยู่ในระดับสูง FoggyWeb เป็น Malware ที่ออกแบบมาเพื่อช่วยให้ผู้โจมตีสามารถ-ขโมยข้อมูลที่สำคัญจาก Active Directory Federation Services (AD FS) ที่ถูกโจมตี หรือ decrypted token-signing certificate และ token-decryption certificate ตลอดจนใช้ดาวน์โหลด และเรียกใช้ malicious component จาก Command-and-Control (C2) Server และดำเนินการบน Server ที่ถูกโจมตี

ล่าสุดทาง Microsoft แจ้งเตือนให้กับลูกค้าที่ตกเป็นเป้าหมายหรือถูกโจมตีโดย Backdoor นี้แล้ว และได้ให้คำแนะนำดังนี้

1.ตรวจสอบโครงสร้างพื้นฐานภายในองค์กรและคลาวด์ว่ามีการกำหนดค่าต่าง ๆ ปลอดภัยหรือไม่ เช่นการตั้ง Group Policy สำหรับการใช้งานต่าง ๆ หรือ กำหนดสิทธิ์การเข้าถึงของผู้ใช้งานให้อยู่ในหลัก Least Privilege แล้วหรือไม่

2.ลบการเข้าถึงของผู้ใช้และแอป และตรวจสอบการกำหนดค่าสำหรับแต่ละรายการ และสร้าง Credentials ใหม่ตามแนวทาง documented industry best practices

3.ใช้ Hardware Security Module (HSM) ตามที่ได้อธิบายไว้ในการรักษาความปลอดภัยของ AD FS Server เพื่อป้องกันการถูกขโมยข้อมูลที่สำคัญโดย FoggyWeb

ที่มา: BleepingComputer

ผู้เชี่ยวชาญเปิดเผยข้อมูลเกี่ยวกับ Malware-as-a-Service ของรัสเซียที่เขียนขึ้นใน Rust

 

มีการพบ Nascent ซึ่งเป็นมัลแวร์ขโมยข้อมูลที่เพิ่งเกิดขึ้นใหม่ มีการขาย และแจกจ่ายบนฟอรัมใต้ดินของรัสเซีย โดยมัลแวร์ถูกเขียนเป็นภาษา Rust โดย Rust เป็นภาษาโปรแกรมภาษาใหม่ที่พัฒนาโดย Mozilla ซึ่งเป็นสัญญาณบ่งบอกถึงแนวโน้มใหม่ที่ผู้โจมตีใช้ภาษาโปรแกรมที่แปลกใหม่มากขึ้นเพื่อหลีกเลี่ยงการรักษาความปลอดภัย หลบเลี่ยงการวิเคราะห์

มีการขนานนามผู้โจมตีนี้ว่า "Ficker Stealer" ซึ่งมีชื่อเสียงในด้านการเผยแพร่มัลแวร์ผ่านลิงก์เว็บโทรจัน และเว็บไซต์ที่ถูกบุกรุก ล่อเหยื่อให้เข้าสู่หน้า Landing Page ที่หลอกลวง โดยอ้างว่าให้บริการดาวน์โหลดฟรีของบริการที่ต้องชำระเงิน เช่น Spotify Music, YouTube Premium และแอปพลิเคชัน Microsoft Store อื่นๆ

Ficker ขายและแจกจ่าย Malware-as-a-Service (MaaS) ผ่านฟอรัมออนไลน์ของรัสเซีย ทีมวิจัย และข่าวกรองของ BlackBerry กล่าวในรายงานว่า "ผู้สร้างซึ่งมีนามแฝงคือ @ficker เสนอแพ็คเกจแบบชำระเงินหลายแบบโดยมีค่าธรรมเนียมการสมัครสมาชิกที่แตกต่างกันเพื่อใช้โปรแกรมที่เป็นอันตรายดังกล่าว"

มีการพบ Malware-as-a-Service ครั้งแรกในเดือนสิงหาคม 2020 เป็นมัลแวร์บน Windows ถูกใช้เพื่อขโมยข้อมูลที่ sensitive รวมถึงข้อมูลการเข้าสู่ระบบ ข้อมูลบัตรเครดิต กระเป๋าเงินดิจิตอล และข้อมูลเบราว์เซอร์ นอกเหนือจากการทำงานเป็นเครื่องมือในการดึงไฟล์ที่ sensitive ยังสามารถทำหน้าที่เป็นตัวดาวน์โหลดเพื่อดาวน์โหลด และเรียกใช้มัลแวร์อีกด้วย

นอกจากนี้ เป็นที่ทราบกันดีว่า Ficker ถูกส่งผ่านแคมเปญสแปม ซึ่งเกี่ยวข้องกับการส่งอีเมลฟิชชิ่งที่กำหนดเป้าหมายด้วยเอกสารแนบ Excel ซึ่งเมื่อเปิดขึ้นจะปล่อยตัวโหลด Hancitor ซึ่งจะทำให้เพย์โหลดทำงาน

มัลแวร์ยังมีการตรวจสอบการป้องกันการวิเคราะห์อื่นๆที่ป้องกันไม่ให้ทำงานในสภาพแวดล้อมเสมือนจริง(VM) และบนเครื่องเหยื่อที่อยู่ในอาร์เมเนีย อาเซอร์ไบจาน เบลารุส คาซัคสถาน รัสเซีย และอุซเบกิสถาน สิ่งที่น่าสังเกตเป็นพิเศษก็คือ Ficker ได้รับการออกแบบมาให้รันคำสั่ง และส่งข้อมูลโดยตรงไปยังผู้โจมตี ซึ่งแตกต่างจากผู้ขโมยข้อมูลแบบเดิมๆที่จะเขียนข้อมูลที่ถูกขโมยลงดิสก์ มัลแวร์ยังมีความสามารถในการจับภาพหน้าจอ ซึ่งช่วยให้ผู้ให้บริการมัลแวร์สามารถจับภาพหน้าจอของเหยื่อจากระยะไกล มัลแวร์ยังช่วยให้สามารถดึงไฟล์และดาวน์โหลดได้

ที่มา: thehackernews

เมื่อวันพุธที่ผ่านมา ( 9 มิถุนายน 2564 ) พบฐานข้อมูลบนคลาวด์เป็นข้อมูลที่ถูกขโมยมากว่า 1.2 TB ประกอบไปด้วยข้อมูล cookie และ credentials ที่มาจากคอมพิวเตอร์ที่ใช้ระบบปฏิบัติการ Windows จำนวน 3.2 ล้านเครื่อง จากมัลแวร์ที่ไม่เคยพบมาก่อน ที่เรียกว่า “nameless”

ในบล็อกของ NordLocker บริษัทซอฟต์แวร์เข้ารหัสไฟล์ที่รวมกับที่เก็บข้อมูลบนคลาวด์ที่เข้ารหัสแบบ end-to-end ได้กล่าวไว้ว่า ไวรัสสามารถหลบซ่อนการตรวจจับพร้อมกับข้อมูลที่ขโมยกว่า 6 ล้านไฟล์ ที่ขโมยมาจากเครื่องเดสก์ท็อป และยังสามารถถ่ายภาพผู้ใช้งานได้หากอุปกรณ์นั้นมีเว็บแคม โดยมัลแวร์จะแพร่กระจายผ่านซอฟต์แวร์ Adobe PhotoShop ที่ละเมิดลิขสิทธิ์ เครื่องมือ Crack Windows และเกมส์ละเมิดลิขสิทธิ์ต่าง ๆ ซึ่งกลุ่มแฮ็กเกอร์ได้ทำการเปิดเผยข้อมูลดังกล่าวโดยไม่ได้ตั้งใจและผู้ให้บริการคลาวด์ได้รับแจ้งว่าให้ทำการ take down โฮสต์ดังกล่าวไป ซึ่งข้อมูลที่ถูกขโมยนั้นอยู่ระหว่าง ปี 2018 ถึง 2020 โดยมี cookie กว่า 2 พันล้านรายการ

Sean Nikkel นักวิเคราะห์ภัยคุกคามทางไซเบอร์อาวุโสของ Digital Shadows ได้กล่าวว่า เรายังคงต้องประสบกับปัญหาทางข้อมูลถูกโจมตีหรือรั่วไหล ตราบใดที่ผู้คนไม่ได้ใช้แนวทางปฏิบัติด้านความปลอดภัยที่ดีทั้งหมด ซึ่งหากบริษัทจัดเก็บข้อมูลไว้บนระบบคลาวด์ จะมีตัวเลือกมากมายสำหรับการรักษาความปลอดภัยบนคลาวด์ และควรจัดหมวดหมู่ของข้อมูลว่าข้อมูลนั้นจำเป็นหรือเป็นข้อมูลที่ไม่ควรเปิดเผย และควรจัดเก็บข้อมูลให้เป็นไปตามการปฏิบัติตามข้อกำหนดด้านความปลอดภัย และตรวจสอบอย่างสม่ำเสมอเพื่อไม่ให้เกิดช่องโหว่ต่าง ๆ และอย่างน้อยที่สุด ให้ทำการเข้ารหัสที่ปลอดภัยให้กับข้อมูล และตรวจสอบ หรือทดสอบระบบเป็นระยะ ๆ

Law Floyd ผู้อำนวยการฝ่ายบริการคลาวด์ของ Telos กล่าวเสริมว่า ผู้เชี่ยวชาญด้านความปลอดภัยควรใช้การควบคุมการเข้าถึงที่เข้มงวดกับฐานข้อมูล และตรวจสอบให้แน่ใจว่า port ที่เปิดให้เข้าถึงฐานข้อมูลนั้นเป็น port ที่จำเป็นเท่านั้น และควรสร้าง policy ที่เหมาะสม รวมทั้งตรวจสอบให้แน่ใจว่าบุคลากรได้รับการศึกษาเกี่ยวกับ policy เหล่านี้อย่างเหมาะสม

ที่มา : scmagazine

แฮกเกอร์ได้มีการใช้ Microsoft Build Engine (MSBuild) ในทางที่ผิด โดยใช้ส่ง Trojan และ Malware ประเภท Fileless ซึ่งมีเป้าหมายในการขโมยข้อมูลบนระบบ Windows

นักวิจัยจากบริษัท Anomali ที่ให้บริการด้านโซลูชันการรักษาความปลอดภัยทางไซเบอร์ กล่าวว่าเมื่อวันพฤหัสที่ผ่านมา (13 May 2021) ไฟล์ที่มีโค้ดอันตรายที่มีการเข้ารหัสและเชลล์โค้ดสำหรับติดตั้ง Blackdoor เพื่อใช้ในการเข้าควบคุมเครื่องของเหยื่อเพื่อขโมยข้อมูลได้มีการถูกสร้างขึ้น

MSBuild คือ เครื่องมือโอเพ่นซอร์สสำหรับ Compile .NET และ Visual Studio ที่ถูกพัฒนาโดยบริษัท Microsoft ที่มีไว้ใช้สำหรับ Compiling source code, Packaging, Testing, Deploying Applications

การใช้ MSBuild เป็นเครื่องมือในการเข้าควบคุมเครื่องเป้าหมายโดยไม่ต้องใช้ไฟล์ (Fileless) เป็นแนวคิดในการหลบหลีกการถูกตรวจจับเนื่องจาก Malware ตัวนี้ถูกสร้างขึ้นโดยใช้ Application ที่ถูกกฎหมายโดยรูปการทำงานจะเป็นการโหลด Code ลงที่ Memory ทำให้ไม่มีการทิ้งร่องรอยบนระบบและสามารถซ่อนตัวได้โดยที่ไม่ถูกตรวจจับ

ตามที่มีการเขียนระบุไว้ว่ามีเพียงผู้ให้บริการโซลูชันการรักษาความปลอดภัยทางไซเบอร์ 2 รายเท่านั้นที่ระบุว่าหนึ่งในไฟล์ MSBuild ที่มีการอัปโหลดไปยัง VirusTotal vyx.

เอฟบีไอพบ spear-phishing สวมรอยเป็นธนาคาร Truist Bank เพื่อกระจายมัลแวร์

ผู้โจมตีแอบอ้างตัวเองเป็น Truist Bank ซึ่งเป็นธนาคารของอเมริกา และทำการส่งสเปียร์ฟิชชิ่ง
ผู้โจมตีจะส่งอีเมลและแนบเว็บไซต์ โดยภายในอีเมลหรือเว็บไซต์นั้นจะมีมัลแวร์หรือโทรจันแบบเข้าถึงระยะไกลได้ (RAT : Remote Administration Tool ) ในการกระจายมัลแวร์ให้กับผู้ที่ตกเป็นเหยื่อ

FBI ได้เผยแพร่เอกสาร TLP:WHITE. โดยมีการกล่าวว่า ในกลุ่มแฮกเกอร์ได้ปรับแต่งแคมเปญฟิชชิ่ง โดยการจดทะเบียนโดเมน หัวข้ออีเมล และแอพพลิชั่น เพื่อแอบอ้างว่าเป็นสถานบันการเงินนั้น ๆ

โดยการทำงานร่วมกันกับ DHS-CISA (Department of Homeland Security's - Cybersecurity and Infrastructure Security Agency) โดยได้มีการออก IOC (Indicators of compromise) เพื่อใช้ในการตรวจจับและป้องกันการโจมตีดังกล่าวแล้ว

มีการโจมตีที่เป้าหมายที่เป็น บริษัทพลังงานหมุนเวียน ในเดือนกุมภาพันธ์ 2564 แฮกเกอร์ได้มีการส่งอีเมลฟิชชิ่งสั่งให้เป้าหมายทำการติดตั้งแอปพลิเคชั่นที่เป็นอันตราย โดยแอบอ้างเป็นแอป Truist Financial SecureBank และต้องดำเนินการให้เสร็จหลังเงินกู้ 62 ล้านดอลลาร์

FBI ได้กล่าวเพิ่มเติมว่า “จำนวนเงินที่หลอกลวงไปนั้นจะขึ้นอยู่กับรูปแบบธุรกิจของเป้าหมาย และในอีเมลล์ฟิชชิ่งยังมีลิงค์สำหรับดาวน์โหลดแอปพลิเคชั่นพร้อมชื่อผู้ใช้และรหัสผ่านสำหรับการเข้าถึงอีกด้วย อีเมลฟิชชิ่งจะดูเหมือนว่าส่งมาจากสถาบันการเงินในสหราชอาณาจักรโดยระบุว่าการกู้ยืมเงินสถาบันการเงินในอเมริกาให้กับเหยื่อนั้นได้รับการยืนยันแล้ว และสามารถเข้าถึงได้ผ่านแอปพลิเคชั่นที่แฮกเกอร์ได้แนบลิงค์มาด้วย”

แฮกเกอร์จะปลอมแปลงโฮสต์ของแอปพลิเคชั่นที่ลงทะเบียนไว้ก่อนการโจมตีโดยการแอบอ้างว่าเป็น Truist และดูเหมือนว่าสถาบันการเงินอื่น ๆ ในอเมริกาและสหราชอาณาจักร เช่น MayBank, FNB America และ Cumberland Private ก็ถูกแอบอ้างในแคมเปญสเปียฟิชชิ่งนี้เช่นกัน

ความสามารถในการขโมยข้อมูลของมัลแวร์ โดยจากการตรวจสอบบน Virustotal พบรายละเอียดเกี่ยวกับความสามารถของมัลแวร์ซึ่งประกอบไปด้วย
- การยกระดับสิทธิ์
- การเชื่อมต่อกับ UDP
- การจัดการรีจิสทรีของระบบ
- จับภาพหน้าจอ
- การฟังการสื่อสารที่เชื่อมต่อเข้ามา
- การตรวจจับการกดแป้นพิมพ์
- ดาวน์โหลดหรือวางไฟล์ไว้บนเครื่อง
- การแทรกโค้ดด้วยการรีโมทจากระยะไกล

และเมื่อเดือนที่แล้ว Michael Page ซึ่งเป็น บริษัท จัดหางานชั้นนำของโลกได้ถูกแอบอ้างในแคมเปญที่คล้ายกันนี้ โดยเป้าหมายจะถูกหลอกให้ติดตั้ง Trojan (Ursnif) ซึ่งเป็นมัลแวร์ที่จะเก็บข้อมูลการใช้งานของเป้าหมาย

จากการดูข้อมูลที่เก็บมาจากระบบที่ติดมัลแวร์พบว่าผู้โจมตีจะสามารถขโมยข้อมูลการเข้าสู่ระบบของเป้าหมายและข้อมูลที่เป็นความลับอื่น ๆ เพื่อที่จะได้เข้าควบคุมบัญชีหรือระบบของเป้าหมาย และจากการวางเหยื่อล่อ (Decoy) พบว่าพฤติกรรมของมัลแวร์เป็นพฤติกรรมที่เคยใช้กลุ่ม Lazarus ซึ่งเป็นกลุ่มที่เชื่อได้ว่าได้รับการสนับสนุนจากรัฐบาลเกาหลีเหนือ

คำแนะนำ
● ควรระวังเมื่อใช้งานอีเมล เช่น ตรวจสอบชื่อผู้ส่ง, ลิ้งค์, ไฟล์แนบ ว่าน่าเชื่อถือหรือไม่
● ไม่ควรตั้งค่าอนุญาตให้เครื่องผู้ใช้สามารถติดตั้งโปรแกรมเองได้
● อัพเดทซอฟต์แวร์แอนตี้ไวรัสให้เป็นปัจจุบันเสมอ

ที่มา : ● bleepingcomputer.

นักวิจัยด้านความปลอดภัย M. Shahpasandi ได้เปิดเผยถึงความเคลื่อนไหวล่าสุดจากผู้ดูแลระบบ Ziggy Ransomware ซึ่งได้ทำการประกาศผ่านทาง Telegram ว่ากำลังปิดระบบการทำงานของ Ziggy Ransomware และจะปล่อยคีย์ถอดรหัสทั้งหมดให้เเก่ผู้ที่ตกเป็นเหยื่อ

ผู้ดูแลระบบ Ziggy Ransomware กล่าวว่าพวกเขารู้สึกผิดเกี่ยวกับการกระทำและมีความกังวลเกี่ยวกับการดำเนินการบังคับใช้กฏหมายซึ่งเกิดขึ้นแล้วกับ Emotet และ Netwalker Ransomware เป็นเหตุให้ผู้ดูแลระบบจึงตัดสินใจปิดระบบและปล่อยคีย์ทั้งหมดให้เเก่ผู้ที่ตกเป็นเหยื่อ

ผู้ดูแลระบบ Ziggy Ransomware ได้ทำการโพสต์ไฟล์ SQL ที่มีคีย์ถอดรหัสจำนวน 922 คีย์สำหรับเหยื่อที่ถูกเข้ารหัส ซึ่งไฟล์ SQL จะแสดงคีย์สามคีย์ที่จำเป็นในการถอดรหัสไฟล์ นอกจากนี้ผู้ดูแลระบบแรนซัมแวร์ยังโพสต์ตัวถอดรหัสและซอร์สโค้ดสำหรับตัวถอดรหัสอื่นที่ทำให้สามารถสร้างซอฟต์แวร์ถอดรหัสแบบออฟไลน์ เพื่อถอดรหัสให้กับเหยื่อที่ติดไวรัสและไม่สามารถเชื่อมต่อกับอินเทอร์เน็ตหรือไม่สามารถเข้าถึงเซิร์ฟเวอร์ที่ดูแลควบคุมได้

ทั้งนี้ BleepingComputer ได้แนะนำให้ผู้ที่ตกเป็นเหยื่อใช้ตัวถอดรหัสของบริษัทรักษาความปลอดภัยอย่าง Emsisoft แทนที่จะเป็นตัวถอดรหัสที่มาจากกลุ่ม Ziggy Ransomware เพื่อ ป้องกันมัลแวร์อื่น ๆ เช่นแบ็คดอร์ที่อาจเเฝงไว้กับตัวถอดรหัส

ที่มา: bleepingcomputer