เมื่ออาทิตย์ที่ผ่านมา FBI และ NSA ได้มีการเปิดเผยการแจ้งเตือนซึ่งเป็นผลมาจากการทำงานร่วมกันของทั้งสองหน่วยงาน โดยเป็นการแจ้งเตือนและผลการวิเคราะห์มัลแวร์ตัวใหม่บน Linux "Drovorub" อ้างอิงจากรายงานของทั้งสองหน่วยงาน มัลแวร์ Drovorub ถูกตรวจจับว่ามีการใช้งานในการโจมตีจริงแล้ว และเชื่อมโยงกลับไปยังกลุ่มแฮกเกอร์ APT28 หรือ Fancy Bear ที่มีรัฐบาลรัสเซียหนุนหลัง

การวิเคราะห์มัลแวร์ Drovorub บ่งชี้ให้เห็นศักยภาพที่หลากหลายของมัลแวร์ ตัวมัลแวร์เองถูกออกแบบมาให้เป็น kernel module rootkit แต่ยังมีฟังก์ชันการทำงานเช่นเดียวกับโทรจันโดยทั่วไป อาทิ การรับส่งไฟล์และการสร้างช่องทางลับเพื่อการ pivoting ด้วยลักษณะของการเป็น rootkit ระดับ kernel มัลแวร์ Drovorub จะมีการซ่อนตัวเองจากความพยายามในการค้นหาโปรเซส, ไฟล์, socket หรือพฤติกรรมการทำงานต่างๆ ผ่านการ hook หรือเป็นลอจิคการทำงานของโปรแกรม เช่น เมื่อผู้ใช้งานมีการใช้คำสั่ง ps เพื่อดูรายการโปรเซส มัลแวร์ Drovorub จะทำการแก้ไขผลลัพธ์อยู่เบื้องหลังเพื่อทำให้โปรเซสที่เกี่ยวข้องกับมัลแวร์ไม่แสดงในผลลัพธ์ของคำสั่ง

นอกเหนือจากการวิเคราะห์การทำงาน รายงานร่วมของ FBI และ NSA ยังพูดถึงวิธีในการตรวจจับการทำงานของมัลแวร์ทั้งในมุม network และ endpoint รวมไปถึงการทำ memory analysis เพื่อตรวจหาการมีอยู่ของมัลแวร์ รวมไปถึงคำแนะนำจากทั้งสองหน่วยงานในการป้องกันและลดผลกระทบ ผู้ที่สนใจสามารถอ่านเพิ่มเติมได้จากรายงานของ FBI และ NSA (media.

หน่วยงานความมั่นคงปลอดภัยไซเบอร์ของสหรัฐอเมริกาและโครงสร้างพื้นฐาน (CISA) และศูนย์รักษาความปลอดภัยไซเบอร์แห่งชาติของสหราชอาณาจักร (NCSC) ได้ออกแจ้งเตือนเกี่ยวกับการโจมตีด้วยมัลเเวร์ QSnatch ไปยังอุปกรณ์ QNAP NAS หลังพบทวีความรุนเเรงมากขึ้นจากการพบผู้ติดเชื้อจำนวน 7,000 เครื่องในเดือนตุลาคม 2562 ซึ่งปัจุบันนั้นพบว่าได้เพิ่มจำนวนมากขึ้นเป็น 62,000 เครื่องในปัจจุบัน

ในรายงานของ CISA และ NCSC ได้ระบุว่า QSnatch ถูกพบครั้งเเรกในปี 2014 โดยมัลเเวร์ QSnatch พุ่งเป้าไปที่ QNAP NAS โดยปัจจุบัน มิถุนายน 2563 มีอุปกรณ์ติดเชื้อประมาณ 62,000 เครื่องทั่วโลกซึ่งประมาณ 7,600 เครื่องอยู่ในสหรัฐอเมริกาและ 3,900 เครื่องอยู่ในสหราชอาณาจักรและจากการค้นพบล่าสุดพบว่ามัลเเวร์ QSnatch นั้นได้เพิ่มความสามารถดังนี้

สร้างการเข้าสู่ระบบของผู้ดูแลระบบอุปกรณ์ปลอมและทำการบันทึกข้อมูลหลังจากนั้นจะส่งต่อไปยังหน้าเข้าสู่ระบบที่ถูกต้อง
การสแกน Credential
SSH backdoor
Exfiltration
Webshell สำหรับการเข้าถึงระยะไกล

ทั้งนี้ CISA และ NCSC ยังไม่พบสาเหตุหรือช่องโหว่ที่มัลเเวร์ QSnatch ใช้ในการระบาด แต่ CISA และ NCSC ได้ระบุว่าเมื่อมัลแวร์ QSnatch เข้ามาสู่ระบบ มัลแวร์จะทำการ Inject เข้าสู่ Firmware เพื่อที่จะสามารถควบคุมอุปกรณ์ได้อย่างสมบูรณ์และจะทำการบล็อกฟีเจอร์การอัปเดต Firmware เพื่อทำการฝังตัวและเปิดช่องทางให้สามาถกลับเข้ามาใช้ช่องโหว่อีกครั้ง

ทั้งนี้ผู้ที่สนใจสามารถอ่านข้อมูลเพิ่มเติมได้ที่: https://us-cert.

บริษัทผู้ให้บริการรักษาความปลอดภัยบนไซเบอร์ REDTEAM.PL จากประเทศโปแลนด์ ได้เปิดเผยถึงมัลแวร์ตัวใหม่จากกลุ่มผู้พัฒนา Black Kingdom Ransomware ซึ่งทำมีเป้าหมายการโจมตีเครือข่ายขององค์กรต่างๆ ด้วยช่องโหว่จาก Pulse Secure VPN (CVE-2019-11510) ที่ยังไม่ได้ทำการเเพตซ์ความปลอดภัยบนซอฟต์แวร์ Pulse Secure VPN

Black Kingdom Ransomware ถูกพบครั้งแรกในปลายเดือนกุมภาพันธ์โดยนักวิจัยด้านความปลอดภัย GrujaRS
โดยมัลแวร์จะเข้ารหัสไฟล์และเปลี่ยนนามสกุลของไฟล์เป็น .DEMON หลังจากเข้ารหัสไฟล์แล้วจะทิ้งโน๊ตหมายเหตุเรียกค่าไถ่การเข้ารหัสไฟล์ ซึ่งเป้นเงินจำนวน $10,000 หรือ 312,000 บาท

ข้อเเนะนำ
ผู้ใช้งานหรือผู้ดูแลระบบขององค์กรควรทำการตรวจสอบซอฟต์แวร์ Pulse Secure VPN และทำการอัปเดตเเพตซ์ความปลอดภัยเป็นเวอร์ชั่นล่าสุดและควรระมัดระวังในการเปิดเอกสารหรือดาวน์โหลดไฟล์จากเเหล่งที่มาที่ไม่รู้จัก เพื่อป้องกันการถูกโจมตีด้วย Ransomware

ทั้งนี้นักวิจัยได้ทำการวิเคราะห์ Black Kingdom Ransomware และ IOCs ผู้ที่สนใจสามารถเข้าไปดูได้ที่: any.

ANY.RUN เว็บไซต์ที่ให้บริการวิเคราะห์พฤติกรรมการทำงานของมัลแวร์ (Sandbox) ได้เผยแพร่ 15 อันดับของมัลแวร์ที่ถูกอัพโหลดเพื่อตรวจสอบเมื่อสัปดาห์ที่แล้ว โดยมี 3 อันดับแรก ดังต่อไปนี้

พบว่าอันดับ 1 ตกเป็นของ Agent Tesla มัลแวร์สาย Assassin ที่จะแฝงตัวเพื่อทำภารกิจสอดส่องพฤติกรรมการทำงานของผู้ใช้งาน และดักจับการพิมพ์ที่อาจเป็นรหัสผ่านบนเครื่องที่ตกเป็นเหยื่อ เมื่อสบโอกาสก็จะนำข้อมูลที่ได้ไปเผด็จศึก พบว่าไฟล์ของมัลแวร์อันดับต้นๆ ที่ถูกส่งมาตรวจสอบจะอยู่ในรูปแบบไฟล์ ZIP และ EXE ที่มีชื่อไฟล์เป็นพวกเอกสารการสั่งซื้อ เช่น Purchase Order (PO) หรือ Shipping Document เป็นต้น

(อย่างไรก็ตาม จากการตรวจสอบล่าสุด พบว่าโดน Emotet เตะลงมาแล้ว)

อันดับที่ 2 ตกเป็นของ Emotet มัลแวร์สาย Alchemist ที่พบว่ามีการเล่นแร่แปรธาตุมักจะสอดแทรกความสามารถใหม่ตลอดเวลา จากการที่พบว่ามัลแวร์ตระกูลนี้จะหลายเวอร์ชั่นมาก ตั้งแต่ที่มีการพบครั้งแรกเมื่อปี 2014 โดยหลักๆ ตัวมันเองจะเป็นมัลแวร์ตั้งต้น (dropper) เพื่อไปดาวน์โหลดพรรคพวกตัวอื่นๆ เข้ามาต่อไป พบว่าตัวอย่างไฟล์ที่ถูกส่งมาให้ตรวจสอบก็ยังคงเป็นไฟล์เอกสาร Microsoft Office ที่มีการฝัง Macro ไว้ และเอกสารปลอมที่มีนามสกุลเป็น EXE ด้วย

(จุดที่น่าสังเกตคือ ถ้าดูตามสถิติโดยรวมทั้งหมดและล่าสุดแล้ว พบว่า Emotet ถูกจัดว่าเป็นอันดับ 1 ที่ถูกพบมากที่สุด)

อันดับที่ 3 พบว่าเป็น LokiBot มัลแวร์สาย Thief ที่มีจุดหมายเพื่อแฝงตัวเข้ามาขโมยข้อมูลออกไปเป็นหลัก ไม่ว่าจะ Web Browsers, FTP, E-mail และแอพพลิเคชั่นอื่นๆ ที่มีการใช้งานอยู่บนเครื่อง ก็อีกเช่นเดียวกันตัวอย่างไฟล์ที่พบว่าถูกส่งขึ้นมาตรวจสอบ หนีไม่พ้นไฟล์เอกสาร Microsoft Office ที่มีชื่อไฟล์เป็นเอกสารที่เกี่ยวกับกระบวนการสั่งซื้อ เช่น Payment, Invoice และ Quotation เป็นต้น

จะเห็นว่าไฟล์มัลแวร์ที่ถูกส่งขึ้นมาตรวจสอบนั้นจะอยู่ในรูปแบบไฟล์เอกสาร หรือเหมือนว่าจะเป็นไฟล์เอกสาร และมีชื่อไฟล์เพื่อหลอกให้เชื่อว่าเป็นเอกสารเกี่ยวกับกระบวนการสั่งซื้อ ดังนั้นหากคุณเป็นฝ่ายจัดซื้อ หรือฝ่ายบัญชีของบริษัท

คุณกำลังตกเป็นเป้าหมายของผู้ไม่หวังดีอยู่นะ !!! ระวังตัวมากๆ นะครับ

ที่มา: https://any.

การค้นหาเท็กซ์บุ๊คและเรียงความอิเล็กทรอนิกส์บนอินเตอร์เน็ตทำให้กลุ่มนักเรียนมีโอกาสถูกโจมตีจากการค้นพบของนักวิจัย Kaspersky Lab พบการโจมตีมากกว่า 365,000 ครั้งในหนึ่งปี

หลังจากการตรวจสอบการโจมตีด้วยเอกสารแพร่กระจายมัลแวร์ที่ใช้ชื่อไฟล์เกี่ยวกับการศึกษาในผู้ใช้ Kaspersky พบว่ามีผู้เป็นเหยื่อกว่า 365,000 ครั้งในหนึ่งปีการศึกษา มัลแวร์ส่วนมากที่พบในการโจมตีดังกล่าวคือ MediaGet torrent application downloader, WinLNK.Agent.

พบการโจมตีด้วยมัลแวร์ Cardinal RAT อีกครั้ง โดยรอบนี้พุ่งเป้าไปที่บริษัทเทคโนโลยีทางการเงินในอิสราเอล

นักวิจัยจาก Palo Alto Networks เป็นผู้พบการกลับมาของมัลแวร์ในครั้งนี้ หลังจากที่พบครั้งแรกเมื่อปี 2017 มัลแวร์จะถูกดาวน์โหลดผ่านมัลแวร์ตั้งต้นที่ถูกเรียกว่า“ Carp” ที่จะมีการใช้ Macro ในเอกสาร Microsoft Excel เพื่อติดตั้ง Cardinal RAT บนเครื่องเหยื่อ มัลแวร์สามารถขโมยชื่อผู้ใช้และรหัสผ่าน, ล้างคุกกี้จากเบราว์เซอร์, keylogger และถ่ายภาพหน้าจอของเครื่องเหยื่อ

Cardinal RAT รุ่นล่าสุด (รุ่น 1.7.2) มีการเปลี่ยนแปลงที่สำคัญที่สุดคือการเพิ่มวิธีหลบหลีกการตรวจจับจาก Anti-virus ด้วยการใช้ steganography (การซ่อนชุดคำสั่งในไฟล์รูปภาพ) นักวิจัยยังค้นพบความสัมพันธ์ที่เป็นไปได้ระหว่าง Cardinal RAT กับมัลแวร์ที่ชื่อว่า "EVILNUM" โดยพบว่าบริษัทที่พบ Cardinal RAT จะมีการพบ EVILNUM ด้วย มัลแวร์ทั้งสองมีเป้าหมายเป็นบริษัทการเงินเหมือนกัน และลักษณะการโจมตีเหยื่อจะมีการส่งไฟล์แนบเป็นเอกสารที่มีการฝังโค๊ดอันตรายมาหลอกลวงเหยื่อเหมือนกัน ในเอกสารจะมีการระบุข้อมูลเป็นชื่อหรือเลขส่วนตัวที่เกี่ยวข้องกับการซื้อขาย forex หรือสกุลเงินดิจิตอลเหมือนกัน

ดังนั้นเพื่อลดความเสี่ยง องค์กรควรมีระบบตรวจสอบ spam ที่มีประสิทธิภาพ, ไม่อนุญาตให้อีเมลที่มีการแนบไฟล์เป็น .LNK หรือ zip ไฟล์ที่มี .LNK ไฟล์อยู่ข้างในไฟล์เดียว และอีเมลที่มีไฟล์แนบเป็นเอกสารที่มี Macro จากภายนอก สามารถส่งมาถึงผู้ใช้งานในองค์กรได้

ที่มา: threatpost.

นักวิจัยได้มีการเปิดเผยข้อมูลเกี่ยวกับ Phishing Campaign ล่าสุดที่พุ่งเป้าไปยังผู้ใช้งาน Online banking มีการพยายามปลอมเป็น Google เพื่อขโมยข้อมูลสำคัญ

จากรายงานของนักวิจัยจาก Sucuri ระบุว่าผู้โจมตีมีเป้าหมายเป็นผู้ใช้งานและธนาคารในโปแลนด์ โดยอาศัยการแอบอ้างว่าเป็นระบบ Google reCAPTCHA
อีเมลดังกล่าวจะมีเนื้อหาที่แจ้งว่าพบการทำรายการ (transaction) ที่ผิดปกติ หากพบว่าเป็นรายการที่ไม่ถูกต้องให้กดปุ่ม "verify" เพื่อยืนยันความผิดปกติที่เกิดขึ้น แทนที่จะใช้เป็นการเปลี่ยนเส้นทาง (redirect) ไปยังหน้าปลอมของธนาคารเหมือนการหลอกลวงอื่นๆ แต่กลับเป็นการเปิด PHP ที่จะแสดงหน้า error 404 ปลอมขึ้นมาแทน หน้าดังกล่าวจะมีสคริปต์สำหรับตรวจสอบว่าเป็นการเรียกจาก Google crawler หรือไม่ หากพบว่าไม่ใช่ก็จะแสดงหน้า Google reCAPTCHA ที่ถูกเขียนด้วย JavaScript และ HTML ขึ้นมา หากเหยื่อหลงเชื่อกด CAPTCHA สคริปต์จะทำการตรวจสอบว่าเรียกมาจากอุปกรณ์ใด หากเป็น Android จะมีการดาวน์โหลดไฟล์ .apk หากไม่ใช่จะทำการดาวน์โหลด .zip แทน แต่จากตัวอย่างที่พบส่วนมากจะเป็นมัลแวร์บน Android โดยตัวมัลแวร์จะทำการเก็บข้อมูลสถานะของอุปกรณ์มือถือ, ตำแหน่งที่ใช้งาน และรายชื่อผู้ติดต่อ, มีการตรวจสอบรายการข้อความบนเครื่อง และทำการส่งข้อความ หรือโทรศัพท์ออกไปผ่านเครื่องของเหยื่อ, มีการบันทึกเสียงผู้ใช้งาน รวมถึงขโมยข้อมูลสำคัญอื่นๆ ออกไป

มัลแวร์ดังกล่าวถูกตรวจจับได้แล้วด้วย anti-virus หลายๆ ตัว ที่มีการให้ signature แตกต่างกันออกไป ยกตัวอย่างเช่น Banker, BankBot, Evo-gen, Artemis และอื่นๆ การหลีกเลี่ยงที่จะตกเป็นเหยื่อ ผู้ใช้งานควรจะมีการสังเกตและตรวจสอบความถูกต้องของอีเมลที่ได้รับมาทั้งชื่อผู้ส่ง (sender), เนื้อหา (content) และลิงก์ที่ถูกระบุมาในอีเมลว่าถูกต้องจริงๆ หรือไม่ก่อนทำการเปิดไฟล์แนบ หรือกดลิงก์ใดๆ

ที่มา: www.

มีการพบ Application ที่เป็นมัลแวร์หลุดรอดจากกระบวนการตรวจสอบของ App store บน iOS

Golduck ถูกพบว่าเป็นมัลแวร์ที่จะทำการแพร่กระจาย adware และอาจมีความสามารถในการควบคุมเครื่องได้ ถูกพบครั้งแรกใน Application บนระบบ Android แต่ล่าสุดมีการพบใน Application ที่อยู่ใน Apple App Store และพบว่ามี Application มากกว่า 12 รายการ ที่มีพฤติกรรมการถ่ายโอนข้อมูลไปยังเซิร์ฟเวอร์อันตรายที่เกี่ยวข้องกับ Golduck (C&C) ซึ่งข้อมูลจะประกอบไปด้วย IP Address และข้อมูลตำแหน่ง ประเภทอุปกรณ์และจำนวนโฆษณาที่แสดงบนอุปกรณ์

นักวิจัย Wandera ได้แจ้งรายชื่อเกมส์ 14 รายการตามรายการด้านล่าง ที่มีการเชื่อมต่อกับเซิร์ฟเวอร์ที่เกี่ยวข้องกับการทำงานของมัลแวร์ Golduck ไปยัง Apple โดยล่าสุดทาง Apple ได้นำ Application เหล่านั้นออกจาก Apple Store เป็นที่เรียบร้อยแล้ว และ Application ดังกล่าวส่วนใหญ่ถูกพัฒนาโดยผู้พัฒนาเพียง 3 ราย ได้แก่ Nguyen Hue, Gaing Thi, Tran Tu
• Commando Metal: Classic Contra
• Super Pentron Adventure: Super Hard
• Classic Tank vs Super Bomber
• Super Adventure of Maritron
• Roy Adventure Troll Game
• Trap Dungeons: Super Adventure
• Bounce Classic Legend
• Block Game
• Classic Bomber: Super Legend
• Brain It On: Stickman Physics
• Bomber Game: Classic Bomberman
• Classic Brick – Retro Block
• The Climber Brick
• Chicken Shoot Galaxy Invaders

ที่มา:bleepingcomputer.

อาชญากรไซเบอร์กำลังกำหนดเป้าหมายไปยังเครื่องของเหยื่อเพื่อทำการโจมตี โดยโจมตีผ่านทางช่องโหว่ของโปรแกรมเว็บเบราว์เซอร์และส่วนเสริมก่อนที่จะติดตั้งมัลแวร์ที่สามารถขโมยข้อมูลและปล่อยแรนซัมแวร์เข้าสู่ระบบได้ อ้างอิงจากนักวิจัยของ Malwarebytes ซึ่งมีการค้นพบว่าการแพร่กระจายของมัลแวร์ในรูปแบบใหม่นั้นอาศัยทั้งการขโมยข้อมูลและเข้ารหัสในตัวด้วยมัลแวร์สองประเภทคือ Vidar และ GandCrab

Vidar คือมัลแวร์รูปแบบใหม่ซึ่งมีเป้าหมายคือการขโมยข้อมูลจำนวนมหาศาลของผู้ตกเป็นเหยื่อ เช่น รหัสผ่าน เอกสาร ภาพหน้าจอ ประวัติเบราว์เซอร์ ข้อมูลการส่งข้อความ รายละเอียดบัตรเครดิต และอื่นๆ

Vidar ยังสามารถกำหนดเป้าหมายเป็นกระเป๋าเงินเสมือนที่เก็บ Bitcoin และ Cryptocurrencies อื่นๆ ได้ มัลแวร์ตัวนี้มีความสามารถสูงในการปรับแต่งตัวเองและกำลังได้รับความนิยมในกลุ่มแฮกเกอร์ต่างๆ ด้วย สำหรับที่มาของชื่อมัลแวร์ Vidar นั้น ดูเหมือนว่าจะได้รับการตั้งชื่อตามเทพพระเจ้านอร์ส “Víðarr the Silent” ชื่อที่ผู้เขียนอาจเลือกเพื่อสะท้อนความสามารถที่ซ่อนเร้น

Vidar ได้รับการออกแบบมาให้ทำงานอย่างลับๆ ทำให้ผู้ที่ตกเป็นเหยื่อไม่ทราบว่าระบบของพวกเขาถูกโจมตีขณะที่ผู้โจมตีทำให้ข้อมูลส่วนตัวถูกส่งคำสั่งออกไปและควบคุมเครื่องเซิร์ฟเวอร์ (C&C) และยังทำให้เครื่องของเหยื่อทำงานเป็นตัวดาวโหลดมัลแวร์อื่นๆ และทำให้เกิดการแพร่กระจายของ GandCrab Ransomware อีกด้วย

ที่มา:zdnet.

ทีมงานวิจัยของ McAfee ได้พบกับแคมเปญมัลแวร์ใหม่ๆ ซึ่งมีเป้าหมายโจมตีไปยังองค์กรภาคเอกชนและภาครัฐหลายสิบองค์กรทั่วโลก

แคมเปญมัลแวร์ ที่ได้รับการขนานนามว่า “Operation Sharpshooter” ซึ่งมีเป้าหมายมากกว่า 100 องค์กรใน 24 ประเทศภายในเวลาเพียงไม่กี่สัปดาห์ องค์กรที่ได้รับผลกระทบจากมัลแวร์ดังกล่าว ได้แก่ องค์กรเกี่ยวกับพลังงาน นิวเคลียร์ ความปลอดภัย และบริษัทเกี่ยวกับการเงิน โดยพบว่ามีองค์กรที่ได้รับผลกระทบอย่างน้อย 87 หน่วยงานทั่วโลก ในระยะเวลาเพียงสองเดือนเท่านั้น

สคริปต์อันตรายในไฟล์เอกสารลวงที่จะซ่อนเนื้อหาสคริปต์ที่เป็นอันตราย ซึ่งจะโจมตีอัตโนมัติหลังจากโหลดข้อมูลจากอีเมล์หลอกลวง (phishing email) หรือมีการเชื่อมโยงไปยังเอกสาร Microsoft Word ในบัญชี Dropbox ที่จะทำให้ติดตั้งและฝังสคริปต์ Rising Sun ภายในเครื่อง และยังทำหน้าที่เป็น backdoor ที่ทำการสอดแนมบนเครือข่ายของเหยื่ออีกด้วย

ภัยคุกคามระดับสูงแบบใหม่นี้อาศัยการทำงานกับ Fileless Malware (หรือเรียกว่ามัลแวร์ที่ไม่มีไฟล์ มีลักษณะการทำงานโดยอาศัยการส่ง Payload เข้าไปทำงานใน Ram ผ่านสคริปต์ PowerShell และรันคำสั่งโดยไม่มีไฟล์หรือสร้างโฟลเดอร์บนฮาร์ดดิสก์ ทำให้ไม่สามารถตรวจจับได้) และเครื่องมือสำหรับเจาะช่องโหว่หรือโจมตีที่มีการใช้โค๊ดจากโทรจันที่ถูกสร้างโดยกลุ่มแฮ็กเกอร์ Lazarus ที่เป็นกลุ่มอาชญากรรมทางไซเบอร์ที่อยู่ในเกาหลีเหนือ ซึ่งเป็นกลุ่มแฮ็กเกอร์ที่แพร่ WannaCry Ransomware และอาชญากรรมไซเบอร์อื่นๆ ทั่วโลก เป็นต้น

ที่มา : E Hacking News