ระบบที่เกี่ยวข้องกับมหกรรมโอลิมปิกฤดูหนาวประจำปี 2018 ซึ่งจัดขึ้นที่เมืองพย็องชัง เกาหลีใต้ ถูกรบกวนและโจมตีอย่างหนักในช่วงก่อนและระหว่างพิธีเปิดเป็นเวลากว่า 12 ชั่วโมง ส่งผลให้หลายระบบล่มและไม่สามารถให้บริการได้ เชื่อ "เกาหลีเหนือ", "จีน" และ "รัสเซีย" อยู่เบื้องหลังการโจมตี

Cisco Talos ได้ออกมาให้รายละเอียดเกี่ยวกับการโจมตีภายใต้ชื่อแคมเปญ "Olympic Destroyer" ในภายหลังว่า การโจมตีทางไซเบอร์ในครั้งนี้นั้นมุ่งหวังไปที่การทำลายและขัดขวางการทำงานของระบบเป็นสำคัญ หลังจากมีการตรวจพบมัลแวร์ที่มุ่งลบข้อมูลและแพร่กระจายโดยอาศัยการหาข้อมูลการเข้าถึงระบบจากเครื่องที่มีการติดเชื้อแล้ว

ในขณะนี้รายละเอียดที่ยังไม่ชัดเจนคือวิธีการที่ผู้โจมตีทำการปล่อยมัลแวร์เข้ามาในระบบ อย่างไรก็ตามการทำงานของมัลแวร์ประเภทนี้นั้นเผยให้เห็นเด่นชัดถึงจุดประสงค์การโจมตี มัลแวร์มีการแพร่กระจายโดยอาศัยโปรแกรท PsExec หลังจากนั้นจึงมีการลบข้อมูลสำคัญ เช่น ไฟล์สำรองของระบบและบันทึกการทำงาน รวมไปถึงปิดการใช้งานฟังก์ชันการกู้คืนระบบและทุกเซอร์วิสเพื่อทำให้ระบบไม่สามารถเปิดใช้งานได้

ที่มา : Bleepingcomputer

สรุปย่อ

ทีมนักวิจัยด้านความปลอดภัย Unit 42 จาก Palo Alto Networks ได้ประกาศสถิติการแพร่กระจายของมัลแวร์ประเภท miner ซึ่งพุ่งเป้าไปที่การสร้างผลกำไรในสกุลเงินออนไลน์แบบเสมือนย้อนหลัง 4 เดือน โดยพบว่ายอดดาวโหลดไฟล์โปรแกรมของมัลแวร์ประเภทดังกล่าวในอันดับที่ 1 นั้นมีที่มาจากประเทศไทยกว่า 3,500,000 ครั้ง และมากกว่าอันดับ 2 เกือบเท่าตัว

ทีมตอบสนองการโจมตีและภัยคุกคามจากบริษัทขอแนะนำให้ทำการตรวจสอบการแพร่กระจายของมัลแวร์ตามคำแนะนำในหัวข้อ "ขั้นตอนแนะนำในการจัดการกับภัยคุกคาม" ด้านล่างโดยด่วนที่สุด

ทำความรู้จักกับภัยคุกคามประเภทมัลแวร์ขุดบิทคอยน์
กระบวนการหนึ่งที่สำคัญของระบบเงินแบบไม่มีศูนย์กลาง (decentralized system) คือการที่ผู้ใช้งานในระบบนั้นมีหน้าที่ในการช่วยกันตรวจสอบธุรกรรมที่เกิดขึ้นว่าถูกต้องหรือไม่ และเพื่อจูงใจให้เกิดการตรวจสอบต่อไปเรื่อยๆ ผู้ที่ช่วยในการตรวจสอบธุรกรรมก็จะได้รับ "ผลตอบแทน" นั้นเป็นรางวัล กระบวนการที่ผู้ใช้งานช่วยกันพิสูจน์ความถูกต้องของธุรกรรมนั้นถูกเรียกชื่อตามวิธีการว่า mining

อย่างไรก็ตามการ mining เพื่อให้ได้ผลตอบแทนนั้นแท้จริงเปรียบเสมือนกับการแก้ปัญหาโจทย์ทางคณิตศาสตร์รูปแบบหนึ่งที่เป็นงานที่คอมพิวเตอร์ถนัด การแย่งชิงเพื่อให้สามารถแก้โจทย์ปัญหาได้ก่อนจึงเกิดขึ้นในรูปแบบของการทุ่มพลังในการประมวลผลของคอมพิวเตอร์หลายสิบหรือหลายร้อยเครื่องเพื่อแข่งขันกันว่าผู้ใดจะได้ "คำตอบที่ถูกต้อง" หรือ "ผลตอบแทน" ก่อนกัน

แน่นอนว่าทุกๆ คนนั้นอยากเป็นผู้ชนะ และชัยชนะที่มาพร้อมกับผลตอบแทนมูลค่าสูงย่อมทำให้เกิดการแข่งขันที่สกปรก ผู้ประสงค์ร้ายหรือแฮกเกอร์จึงอาศัยการโจมตีช่องโหว่ของระบบคอมพิวเตอร์ต่างๆ เพื่อแพร่กระจายโปรแกรมสำหรับ mining ซึ่งเมื่อเริ่มทำงานแล้ว โปรแกรม mining จะดึงทรัพยากรของระบบคอมพิวเตอร์ทั้งหมดเพื่อใช้ในการกระบวนการ mining โดยมีปลายทางเพื่อสร้างผลตอบแทนให้กับเจ้าของกระเป๋าหรือเจ้าของบัญชีที่ควบคุมมัลแวร์ให้มากที่สุด
การแพร่กระจายของมัลแวร์ขุดบิทคอยน์
สำหรับมัลแวร์ miner ซึ่งพุ่งเป้าไปที่สกุลเงิน Monero นั้น ทีม Unit 42 ได้ทำการสรุปวิธีการที่ผู้ประสงค์ร้ายใช้ในการแพร่กระจายมัลแวร์ซึ่งมีความแตกต่างกันตามช่วงเวลาตามรายละเอียดดังนี้

ในส่วนของการดาวโหลดและติดตั้งตัวเองนั้น ผู้ประสงค์ร้ายได้มีการใช้งานบริการ Adf.

Patrick Wardle ได้วิเคราะห์มัลแวร์ตัวใหม่ที่ออกแบบมาเพื่อโจมตีไปที่การตั้งค่า DNS บนอุปกรณ์ macOS ชื่อ OSX / MaMi หรือ "SBMaMiSettings" ปัจจุบันสามารถตรวจจับได้โดย ESET และ Ikarus มีชื่อ Signature ว่า OSX / DNSChanger.

พบมัลแวร์ Digmine ซึ่งติดตั้ง Monero cryptocurrency miner และ Chrome extension ที่เป็นอันตรายโดยแพร่กระจายไปยังเหยื่อรายใหม่ผ่าน Facebook Messenger โดยเหยื่อจะได้รับไฟล์ชื่อ video_xxxx.

นักวิจัยด้านความปลอดภัยได้แจ้งเตือนเกี่ยวกับมัลแวร์ตัวใหม่ ถูกออกแบบมาเพื่อรวบรวมข้อมูลเกี่ยวกับบัญชีธนาคารและบัตรเครดิต ซึ่งอาจเชื่อมโยงกับอาชญากรรมไซเบอร์กลุ่มที่มีชื่อว่า "Cron"

Catelites Bot มีลักษณะคล้ายคลึงกับ CronBot banking Trojan ซึ่งพบว่าเคยถูกใช้ในการโจรกรรมเงินไป 900,000 เหรียญ แม้ในท้ายที่สุดกลุ่มของผู้ที่อยู่เบื้องหลังมัลแวร์นี้ จะถูกจับกุมในช่วงต้นปีที่ผ่านมาโดยทางการรัสเซีย ส่วนใหญ่มัลแวร์ตัวนี้จะถูกแพร่กระจายอยู่ในระบบ Android ผ่านทางแอพพลิเคชั่นปลอมที่อยู่บน third-party stores, โฆษณา และหน้า phishing เมื่อเหยื่อหลงเชื่อ จะมีการร้องขอสิทธิ์ Admin ของเครื่อง หากอนุญาตมัลแวร์ดังกล่าวจะทำการลบไอคอนเดิม และแทนที่ด้วยไอคอนปลอมที่ดูคล้ายคลึงกับแอพพลิเคชั่นที่มีความน่าเชื่อถืออื่นๆ เพื่อหลอกให้เหยื่อป้อนรายละเอียดบัตรเครดิตลงไป

จากข่าวรายงานอีกว่า มัลแวร์ตัวนี้ยังมีฟังก์ชันการทำงานที่ทำให้มันสามารถปลอมแปลงตนเองให้มีหน้าตาคล้ายกับแอพพลิเคชันด้านการเงินที่ถูกต้องกว่า 2,200 แห่ง และซ้อนทับตัวเองแทนแอพพลิเคชั่นตัวจริงที่มีการเรียกใช้งาน เพื่อใช้ข้อมูลที่ได้นั้นเข้าถึงบัญชีธนาคาร และบัตรเครดิตของผู้ใช้งาน

ที่มา : infosecurity-magazine

HackRead ประกาศแจ้งเตือนผู้ใช้งานหลังจากตรวจพบการหลอกลวงในลักษณะใหม่ซึ่งอาศัยการโจมตีพฤติกรรมของผู้ใช้งานร่วมกับการใช้ Google AdWords

Google AdWords คือบริการโฆษณาออนไลน์ที่ช่วยโปรโมทโฆษณาให้ผู้ใช้หากมีการจ่ายเงินให้ Google เพื่อแสดงโฆษณาในช่องโฆษณาที่โดดเด่นในระหว่างผลลัพธ์ของเครื่องมือค้นหา ตัวอย่างเช่นหากผู้ใช้ค้นหาด้วย Google โดยใช้คำว่า "ดาวน์โหลด Antivirus" ช่องด้านบนจะแสดงโฆษณา ในบางกรณีผลการค้นหาสี่อันดับแรกจะแสดงโฆษณาที่จ่ายโดยคนหรือ บริษัท เพื่อให้ได้ยอดขายหรือการเข้าชมอย่างรวดเร็ว

เมื่อคลิกที่ "ดาวน์โหลด Chrome" ผู้ใช้จะถูกนำไปที่ลิงก์ Google โหลดไฟล์มีชื่อว่า ChromeSetup.

MalwareBytes เผยเทคนิคสคริปต์ขุดบิทคอยน์ที่ทำงานได้แม้จะปิดโปรแกรมเบราว์เซอร์ไปแล้ว

Jérôme Segura นักวิเคราะห์มัลแวร์จาก MalwareBytes ได้มีการเผยแพร่ผลการวิเคราะห์มัลแวร์รวมไปถึงเทคนิคใหม่ที่มัลแวร์ขุดบิทคอยน์ใช้งานเพื่อให้มัลแวร์สามารถทำงานได้แม้ผู้ใช้งานจะมีการปิดโปรแกรมเว็บเบราว์เซอร์ไปแล้ว

โดยปกตินั้นมัลแวร์ขุดบิทคอยน์หรือขุดสกุลเงินดิจิตอลอื่นๆ นั้นอาศัยจังหวะที่ผู้ใช้งานเปิดหน้าเว็บไซต์ที่มีสคริปต์อันตรายฝังอยู่ซึ่งจะเริ่มทำการขุดทันที ส่งผลให้ระบบของผู้ใช้นั้นช้าลงเนื่องจากทรัพยากรของระบบส่วนใหญ่ถูกใช้โดยไปโดยมัลแวร์ อย่างไรก็ตามหากผู้ใช้งานทำการปิดหน้าเพจของเว็บไซต์ที่มีการฝังสคริปต์อันตรายนั้นไปหรือทำการปิดโปรแกรมเว็บเบราว์เซอร์ สคริปต์อันตรายดังกล่าวก็จะถูกหยุดการทำงาน

อย่างไรก็ตาม Segura ค้นพบว่า มัลแวร์ขุดบิทคอยน์มีการใช้งานฟีเจอร์ของเว็บเบราว์เซอร์ฟีเจอร์หนึ่งชื่อ Pop-under โดยฟีเจอร์ดังกล่าวนั้นมักถูกใช้งานในการแสดงโฆษณาโดยบังคับให้มีการเรียกโฆษณาขึ้นมาและซ่อนการแสดงผลโฆษณาดังกล่าวไว้เบื้องหลังไม่ให้ผู้ใช้งานเห็นในทันที

สิ่งที่มัลแวร์ทำนั้นคือเมื่อผู้ใช้งานทำการคลิกที่จุดใดๆ ของเว็บเพจ (จำเป็นต้องมีการคลิกก่อนเนื่องจากเบราว์เซอร์รุ่นใหม่บังคับให้การใช้งาน Pop-under จำเป็นต้องมี user interaction) สคริปต์จะทำการสร้างหน้าต่างใหม่เบื้องหลังหน้าเว็บเพจนั้น และทำการแก้ไขขนาดของหน้าต่างใหม่ให้สามารถซ่อนอยู่เบื้องหลังของ taskbar บริเวณขอบขวาล่างของหน้าจอทันทีโดยที่ผู้ใช้งานไม่ทันสังเกต

Recommendation

MalwareBytes แนะนำให้ผู้ใช้งานตรวจสอบการทำงานของแต่ละโปรเซสหากพบอาการของระบบที่ผิดปกติ และถ้าเจอโปรเซสใดโปรเซสหนึ่งของระบบที่มีการใช้งานทรัพยากรที่ผิดปกติ ให้ดำเนินการปิดทันที เพราะโปรเซสดังกล่าวอาจเป็นโปรเซสที่เกี่ยวข้องกับหน้าต่างที่ซ่อนอยู่ก็เป็นไปได้

ที่มา : thehackernews , malwarebytes

ทีมความปลอดภัยจาก Google พบ Adroid Malware ตัวใหม่ชื่อว่า Tizi ซึ่งถูกใช้กับเป้าหมายในประเทศแถบแอฟริกา ถูกจัดให้อยู่ในหมวด Spyware ซึ่งทาง Google บอกว่า malware ตัวนี้มีความสามารถหลากหลาย แต่จะมุ่งเน้นไปในส่วนของแอพพลิเคชั่น และกิจกรรมบนเครื่องที่เกี่ยวข้องกับ Social Media เป็นหลัก

กลุ่มวิเคราะห์ภัยคุกคาม และวิศวกรด้านความปลอดภัยของ Google Play Protection ได้ระบุว่า Tizi สามารถถูกใช้เพื่อจุดประสงค์ ดังต่อไปนี้

ขโมยข้อมูลจากแอพพลิเคชั่น social media ที่มีชื่อเสียงต่างๆ เช่น Facebook,Twitter,Whatsapp, Skype และ LinkedIn เป็นต้น
สามารถบันทึกการสนทนาจาก WhatsApp, Viber และ Skype
สามารถบันทึกภาพหน้าจอโดยไม่แจ้งเตือนผู้ใช้งาน
สามารถส่ง หรือดักข้อความ SMS บนเครื่องเหยื่อ
ส่งข้อมูล GPS ของเครื่องผ่าน SMS ไปยัง C&C
อื่นๆ

วิศวกรจาก Google ยังกล่าวว่า Tizi ถูกพบตั้งแต่กันยายน 2017 จากการสแกนโดยใช้ Google Play Protect ทำให้พบแอพพลิเคชั่นที่มีการติด malware ตัวนี้ถูกลงไว้บนเครื่องของผู้ใช้งาน เมื่อทำการตรวจสอบย้อนหลังพบว่ามีแอพพลิเคชั่นที่ติด malware ตัวนี้ตั้งแต่ปี 2015 ซึ่งทาง Google ได้บล็อกบัญชีผู้พัฒนาแอพพลิเคชั่นดังกล่าว และทำการลบแอพพลิเคชั่นดังกล่าวออกจากเครื่องที่มีการติดตั้งแล้ว จากข้อมูลที่นักวิจัยรวบรวมมาพบว่าผู้ได้รับผลกระทบส่วนใหญ่อยู่ในแอฟริกา และใช้ช่องโหว่เก่าในการโจมตีเครื่อง ทำให้เครื่องที่มีการ patch ตั้งแต่ เมษายน 2016 เป็นต้นมาจะไม่ได้รับผลกระทบจากช่องโหว่ข้างต้น
Google ได้แนะนำขั้นตอนสำหรับการเพิ่มความปลอดภัยบนเครื่อง Android ของตนเอง ดังนี้

1. ตรวจสอบความผิดปกติของสิทธิ์บนแอพพลิเคชั่นที่ได้อนุญาตให้เข้าถึงความสามารถต่างๆบนเครื่อง เช่น เป็นแอพพลิเคชั่น flashlight แต่มีการร้องขอการเข้าถึง SMS บนเครื่อง เป็นต้น
2. เปิดใช้งาน Lock Screen บนเครื่องเพื่อความปลอดภัย
3. Patch เครื่องของตนเองให้เป็นระบบปฏิบัติการล่าสุดอยู่เสมอ
4. ตั้งค่าให้เครื่องแสดงตำแหน่งของตนเอง สำหรับการระบุตำแหน่งของเครื่องได้เมื่อสูญหาย
5. เปิดใช้งาน Google Play Protection เพื่อป้องกันการลงแอพพลิเคชั่นที่มีความเสี่ยง และช่วย Scan เครื่องเพื่อตรวจสอบความปลอดภัย

ที่มา: bleepingcomputer

มัลแวร์ wp-vcd กลับมาอีกครั้ง ผู้ใช้งาน WordPress ควรระมัดระวัง โดยมัลแวร์จะเข้าไปซ่อนตัวในไฟล์ของ WordPress จากนั้นจะเพิ่มผู้ใช้งานให้มีสิทธิ์เป็นผู้ดูแลระบบอย่างลับๆ และเข้าควบคุมเว็ปไซต์ที่ติดมัลแวร์ตัวนี้
Manuel D’Orso นักวิจัยด้านความปลอดภัยของอิตาลีได้ค้นพบมัลแวร์นี้เป็นครั้งแรก โดยพบว่ามัลแวร์ตัวนี้ถูกโหลดเข้ามาโดยการ include ไฟล์ wp-vcd.

แจ้งเตือนการโจมตีผ่านไฟล์เอกสารรูปแบบใหม่ ไม่ต้องใช้มาโครสคริตป์

นักวิจัยด้านความปลอดภัย Etienne Stalmans และ Saif El-Sherei จาก Sensepost ได้เผยแพร่วิธีในการควบคุมการทำงานของไฟล์เอกสารเพื่อให้ดาวโหลดและติดตั้งมัลแวร์รูปแบบใหม่โดยใช้ฟีเจอร์ของ Microsoft Office เรียกว่า Dynamic Data Exchange (DDE)

Dynamic Data Exchange (DDE) นั้นเป็นฟีเจอร์ที่อนุญาตให้ Microsoft Office สามารถเรียกใช้แอปพลิเคชันอื่นได้เพื่อการรับส่งข้อมูลระหว่างกัน โดยในการใช้งาน DDE ในการโจมตีนั้นจะไม่มีการปรากฎถึงคำเตือนด้านความปลอดภัยที่มักจะปรากฎเมื่อใช้งานมาโครสคริปต์ แต่จะมีการปรากฎของการแจ้งเตือนถึงผู้ใช้งานว่าจะมีการเรียกใช้งานโปรแกรมอื่น ซึ่งอ้างอิงจาก Sensepost คำเตือนเหล่านี้ก็สามรถถูกแก้ไขได้ด้วย

วิธีการใช้งาน DDE ในการโจมตีนั้นมีการตรวจพบแล้วโดย Cisco Talos เพื่อการแพร่กระจายมัลแวร์ DNSMessenger

แนะนำให้ผู้ใช้งานเพิ่มความระมัดระวังในการเปิดไฟล์เอกสาร และหากต้องการวิธีในตรวจสอบ แจ้งเตือนและป้องกันการโจมตีในลักษณะนี้สามารถติดต่อไอ-ซีเคียวเพื่อรับคำปรึกษาได้ทันทีครับ

ที่มา : bleepingcomputer , thehackernews