นักวิจัยด้านความปลอดภัยจาก Yair ค้นพบวิธีการใช้ช่องโหว่จากความสามารถของ Endpoint Detection and Response (EDR) และ Anti-Virus (AV) ที่ใช้กันอย่างแพร่หลายอย่าง Microsoft, SentinelOne, TrendMicro, Avast และ AVG ที่อยู่บนระบบของเหยื่อ เพื่อปกปิดพฤติกรรมการโจมตี, หลีกเลี่ยงการใช้สิทธิผู้ใช้งานระดับสูงในการโจมตี และสามารถลบทำลายข้อมูลได้ ซึ่งเป็นการโจมตีลักษณะเดียวกับ Wipers Malware โดยตั้งชื่อว่า “Aikido Wiper”

Wipers Malware คือ มัลแวร์ชนิดพิเศษที่มีเป้าหมายในการลบ หรือทำลายข้อมูลในระบบที่ถูกโจมตี และป้องกันไม่ให้เหยื่อสามารถกู้คืนข้อมูลได้

การค้นพบช่องโหว่

AV และ EDR มีความสามารถในการสแกนไฟล์ของคอมพิวเตอร์ เพื่อค้นหาไฟล์ที่เป็นอันตราย รวมถึงโหมด Real-Time Protection ที่จะสแกนไฟล์โดยอัตโนมัติ เมื่อไฟล์ถูกสร้างขึ้น และทำการวิเคราะห์ว่าไฟล์นั้นเป็นอันตรายหรือไม่ และถ้าพบว่าไฟล์นั้นเป็นอันตราย ก็จะถูกลบ (Deleted)/ กักกัน(Quarantined) ทันที โดยมี 2 กระบวนการ คือ กระบวนการแรก AV หรือ EDR ระบุได้ว่าไฟล์นั้นเป็นอันตราย และกระบวนการถัดมา AV หรือ EDR ดำเนินการลบไฟล์ที่เป็นอันตราย

แต่ถ้าหากเกิดมีการเปลี่ยนแปลงที่อยู่ของไฟล์ จะทำให้ AV หรือ EDR เปลี่ยนเปลี่ยนแปลงที่อยู่ของไฟล์ที่จะดำเนินการลบไปด้วย ซึ่งวิธีการนี้คือช่องโหว่ที่เรียกว่า time-of-check to time-of-use (TOCTOU)

ลักษณะการโจมตี

นักวิจัยได้ทำการทดสอบการใช้ช่องโหว่ time-of-check to time-of-use (TOCTOU) ด้วยขั้นตอนดังนี้

สร้างไฟล์ที่เป็นอันตรายที่ C:\temp\Windows\System32\drivers\ Mimikatz (ซึ่งไฟล์ Mimikatz จะถูกเปลี่ยนชื่อไฟล์เป็น ndis.

Emotet เป็น Trojan Banking ที่เคยประสบความสำเร็จ และได้รับความนิยมอย่างมากมาก่อน ซึ่งในช่วงต้นปี 2021 นั้น มีการรณรงค์ให้มีการป้องกัน Malware ดังกล่าว ทำให้ Campaign ของการโจมตีหยุดชะงักไปช่วงหนึ่ง แต่ Emotet ก็กลับมาอีกครั้งในปีเดียวกัน พร้อมกับเทคนิคหลาย ๆ อย่างแบบเดิม รวมถึงเทคนิคการใช้ Auto_Open Macros ภายใน XLS document ที่พบมากขึ้นในช่วงต้นเดือนพฤศจิกายน 2022 ที่ผ่านมานี้ ซึ่งกำลังถูกแพร่กระจายไปยังหลาย ๆ ประเทศทั่วโลก

เทคนิคการโจมตี

ในช่วงเริ่มต้นการโจมตี Emotet จะมีการส่งไฟล์ MS Office ที่เป็นอันตราย (maldocs) ผ่านทาง Phishing Email โดยในการส่ง Malware จะมีการแนบไฟล์ XLS มากับอีเมลโดยตรง หรือมาในรูปแบบ file Zip ซึ่งภายใน Phishing Email นั้นจะไม่ค่อยมีเนื้อหาอะไร โดยส่วนใหญ่ที่พบจะมีเพียงชื่อไฟล์ และรหัสผ่านเท่านั้น
โดยในการส่ง Phishing เข้ามา มักจะมาในรูปแบบของผู้ส่งใหม่ หรืออาจจะมาในรูปแบบ Reply email จากเหยื่อที่ถูกโจมตีสำเร็จก่อนหน้า ตามภาพด้านล่าง

จากนั้น Emotet จะโน้มน้าวให้เหยื่อคัดลอกตัว maldoc นี้ ไปยังโฟลเดอร์ที่ได้รับอนุญาตเป็นพิเศษ ที่ไม่ได้มีการเปิดใช้งานการป้องกัน Macro ไว้ เพื่อหลีกเลี่ยงการตรวจจับจาก Microsoft’s protection ดังรูปด้านล่าง ที่จะมีการแนะนำให้ย้ายไฟล์ดังกล่าวไปโฟลเดอร์ที่ Emotet ได้ระบุไว้

และหากเหยื่อหลงเชื่อเอาไฟล์ดังกล่าวไปไว้ตามคำแนะนำของ Emotet แล้ว หลังจากเปิดไฟล์ขึ้นมา จะไม่มีข้อความเกี่ยวกับ Macro ที่ถูกบล็อคอยู่อีกต่อไป ซึ่งหลังจากนี้ไฟล์ที่เปิดขึ้นมาจะไม่มีข้อจำกัดใด ๆ ในการรัน Macro

หลังจากเปิดเอกสารขึ้นมาแล้วอาจจะดูเหมือนว่าภายในเอกสารนั้นไม่มีอะไร แต่ว่าเบื้องหลังนั้นมี VBA macro ซ่อนอยู่ ซึ่งจะมีที่อยู่ของ C2 Server ของ Emotet อยู่ ซึ่งสามารถตรวจสอบได้โดยการยกเลิกการซ่อน sheets (Un-hiding) และคัดลอกข้อความไปวางบน Text Editor เราก็จะเห็นเนื้อหาที่ซ่อนอยู่บน sheets นั้น ๆ ได้ตามภาพด้านล่าง

หลังจากที่เปิดไฟล์เอกสารขึ้นมา จะมีการ request ไปยัง 1 ใน URL จากรูปด้านบน ซึ่งจะเห็นว่าวิธีการดังกล่าวจะเหมือนกับวิธีของ Malware ตัวอื่น ๆ ที่ใช้ในอดีต เช่น Qakbot ซึ่งจะใช้ไฟล์ XLSB และเมื่อมีการเชื่อมต่อไปยังปลายทางข้างต้นแล้ว มันจะทำการดาวน์โหลดไฟล์ตามชื่อในภาพด้านบน ไปวางไว้บน C:\\Window\System32

จาก TimeStamp จะพบว่าไฟล์เอกสารพวกนี้ถูกสร้างขึ้นในช่วงต้นเดือนพฤศจิการยน 2022 ที่ผ่านมา ดังเช่นตัวอย่างของ maldoc ด้านล่างที่ได้จัดกลุ่มตามช่วงเวลาที่สร้างขึ้นมา

แนวทางการป้องกัน

พิจารณาการเพิ่ม IOC บนอุปกรณ์ Firewall
ติดตั้ง Anti-Virus หรือ Endpoint Protection บนเครื่องคอมพิวเตอร์ภายในองค์กรเพื่อป้องกันการเปิดไฟล์ที่เป็นอันตราย
พิจารณาการจัด Awareness Training ให้กับพนักงานภายในองค์กร

ที่มา : blog.

หน่วยงานทางด้านความปลอดภัยทางไซเบอร์ของยูเครน (CERT-UA) ประกาศแจ้งเตือนการแพร่กระจายของแรนซัมแวร์สายพันธุ์ใหม่ที่ชื่อว่า Somnia โดยระบุว่าเป็นปฏิบัติการภายใต้ชื่อว่า 'From Russia with Love' (FRwL) โดยกลุ่ม Z-Team หรืออีกชื่อหนึ่งคือ UAC-0118 โดยการฝังมัลแวร์ไว้บนเว็บไซต์ปลอมเพื่อใช้สำหรับขโมยข้อมูล และเพื่อขัดขวางการทำงานขององค์กรต่าง ๆ ในยูเครน

โดยกลุ่มแฮ็กเกอร์ได้ใช้เว็บไซต์ปลอมที่เลียนแบบซอฟต์แวร์ "Advanced IP Scanner" เพื่อหลอกให้พนักงานขององค์กรต่าง ๆ ในยูเครนให้ดาวน์โหลดโปรแกรมมาติดตั้ง ซึ่งจริง ๆ แล้วโปรแกรมดังกล่าวคือมัลแวร์ Vidar stealer ซึ่งจะถูกใช้เพื่อขโมย Telegram session เพื่อเข้าควบคุมบัญชี Telegram ของเหยื่อ

โดย **CERT-UA ระบุว่าแฮ็กเกอร์จะใช้บัญชี Telegram ของเหยื่อเพื่อขโมยข้อมูลการเชื่อมต่อ VPN (authentication และ certificates) โดยถ้าบัญชี VPN ไม่ได้มีการเปิดใช้งาน multi-factor authentication แฮ็กเกอร์จะใช้บัญชีดังกล่าวเพื่อเข้าถึงเครือข่ายขององค์กรของเหยื่อ

จากนั้นแฮ็กเกอร์จะติดตั้ง Cobalt Strike beacon, Netscan, Rclone, Anydesk, และ Ngrok เพื่อปฏิบัติการรูปแบบอื่นๆ บนเครือข่ายของเหยื่อต่อไป

CERT-UA ระบุว่าตั้งแต่ฤดูใบไม้ผลิปี 2022 เป็นต้นมา ปฏิบัติการ FRwL ได้ทำการโจมตีคอมพิวเตอร์ขององค์กรยูเครนไปแล้วหลายครั้ง โดยประเภทไฟล์ที่เป็นเป้าหมายในการโจมตีของ Somnia ประกอบไปด้วย ไฟล์เอกสาร, รูปภาพ, ฐานข้อมูล, ไฟล์วิดีโอ และอื่น ๆ

โดย Somnia จะต่อท้ายนามสกุลไฟล์ที่ถูกเข้ารหัสด้วย .somnia แต่จะไม่มีการเรียกเงินค่าไถ่จากเหยื่อในกรณีที่เหยื่อต้องการจ่ายเงินสำหรับตัวถอดรหัสของไฟล์ที่ถูกเข้ารหัสไว้ เนื่องจากเป้าหมายของ Somnia คือการขัดขวางกระบวนการทำงานของเป้าหมายมากกว่าที่จะเป็นการสร้างรายได้จากการโจมตี ดังนั้นมัลแวร์ดังกล่าวน่าจะถูกสร้างมาเพื่อทำลายล้างมากกว่าการเรียกค่าไถ่แบบเดียวกับแรนซัมแวร์อื่นๆ

แนวทางการป้องกัน

ตรวจสอบแหล่งที่มาของไฟล์ก่อนดาวน์โหลด
เปิดใช้งาน Multi-Factor Authentication

ที่มา : bleepingcomputer

กลุ่ม BlackByte ransomware มีการใช้งานเครื่องมือเวอร์ชันใหม่ในการขโมยข้อมูล ซึ่งเป็นเครื่องมือที่ถูกสร้างขึ้นเองชื่อว่า 'ExByte' เพื่อใช้ขโมยข้อมูลจากอุปกรณ์ Windows ที่ถูกโจมตีได้อย่างรวดเร็ว

การขโมยข้อมูลนี้เป็นส่วนหนึ่งของขั้นตอนที่สำคัญที่สุดในการโจมตีแบบ double-extortion โดย BleepingComputer ระบุว่าบริษัทต่างๆ จะยอมจ่ายค่าไถ่เพื่อป้องกันการรั่วไหลของข้อมูลมากกว่าการรับตัวถอดรหัส

ด้วยเหตุนี้ทำให้การทำงานของกลุ่มแรนซัมแวร์ รวมถึง ALPHV และ LockBit มีการพัฒนาอย่างต่อเนื่องเพื่อปรับปรุงเครื่องมือที่ใช้สำหรับขโมยข้อมูล

กลุ่มแฮ็กเกอร์อื่น ๆ เช่น Karakurt ไม่สนใจกับการเข้ารหัสในเครื่อง โดยจะมุ่งเน้นในการโจมตีเพื่อขโมยข้อมูลเท่านั้น

เครื่องมือที่ใช้สำหรับการขโมยข้อมูล Exbyte

Exbyte ถูกพบโดยนักวิจัยด้านความปลอดภัยที่ Symantec ซึ่งระบุว่าผู้โจมตีใช้เครื่องมือในการขโมยข้อมูลแบบ Go-based เพื่ออัปโหลดไฟล์ที่ถูกขโมยโดยตรงไปยังบริการจัดเก็บข้อมูลระบบคลาวด์ของ Mega

เมื่อเริ่มดำเนินการ เครื่องมือจะทำการตรวจสอบการป้องกันการวิเคราะห์ เพื่อตรวจสอบการทำงานว่าอยู่ใน SANDBOX หรือไม่ และตรวจหาโปรแกรม debuggers และกระบวนการป้องกันมัลแวร์

processes ที่ Exbyte จะทำการตรวจสอบ คือ:

MegaDumper 1.0 by CodeCracker / SnD
Import reconstructor
x64dbg
x32dbg
OLLYDBG
WinDbg
The Interactive Disassembler
Immunity Debugger – [CPU]

นอกจากนี้ มัลแวร์ยังตรวจสอบการมีอยู่ของไฟล์ DLL ต่อไปนี้:

avghooka.

แคมเปญฟิชชิ่งทาง SMS มุ่งเป้าการโจมตีไปยังลูกค้าของธนาคารอินเดีย โดยการปลอมเป็นแอปพลิเคชันของธนาคารเพื่อที่จะใช้มัลแวร์ในการขโมยข้อมูล

ทีมนักวิจัยจาก Microsoft 365 Defender ระบุว่า ข้อความฟิชชิ่งจะมีลิงก์ที่เปลี่ยนเส้นทางของผู้ใช้งานไปยังเว็บไซต์ที่จะทำให้ผู้ใช้งานดาวน์โหลดแอปพลิเคชันปลอมของธนาคาร ICICI Bank

นักวิจัย Shivang Desai, Abhishek Pustakala และ Harshita Tripathi ระบุว่า "ความสามารถของมัลแวร์ทำให้ผู้โจมตีสามารถดักจับการแจ้งเตือนที่สำคัญของอุปกรณ์ เช่น ข้อความเข้า ซึ่งเป็นความพยายามในการดักจับข้อความจาก two-factor authentication (2FA)

รูปแบบการโจมตีเป็นรูปแบบเดียวกันกับ Social Engineering โดยปกติ เช่นใช้โลโก้ และชื่อแบรนด์ที่คุ้นเคย เพื่อหลอกให้ผู้ใช้งานติดตั้งแอปพลิเคชันปลอม

การโจมตีนี้เกิดขึ้นในลักษณะเดียวกันกับการเผยแพร่แอปธนาคารปลอมที่เกิดขึ้นกับธนาคารอินเดียอื่น ๆ เช่น State Bank of India (SBI) และ Axis Bank ในอดีต

เมื่อติดตั้งแล้ว แอปพลิเคชันปลอมไม่เพียงแต่ขอการอนุญาตในการเข้าถึงบัญชี แต่ยังขอให้ผู้ใช้งานป้อนข้อมูลบัตรเครดิต/เดบิตของตนซึ่งเป็นส่วนหนึ่งของกระบวนการลงชื่อเข้าใช้ ซึ่งในขณะนั้นโทรจันจะรอคำสั่งเพิ่มเติมจากผู้โจมตี

คำสั่งเหล่านี้จะทำให้มัลแวร์สามารถรวบรวมข้อมูลของระบบ บันทึกการโทร ดักจับการโทร ตลอดจนขโมยข้อมูลประจำตัวสำหรับบัญชีอีเมล เช่น Gmail, Outlook และ Yahoo

ที่มา : thehackernews

กลุ่มแฮ็กเกอร์กลุ่มใหม่ที่คาดว่าได้รับการสนับสนุนจากรัฐบาลอิหร่านชื่อ APT42 ถูกพบว่ามีการใช้มัลแวร์บน Android ที่ถูกสร้างขึ้นเพื่อโจมตีเป้าหมายที่ต้องการ

บริษัทผู้เชี่ยวชาญด้านความปลอดภัยทางอินเทอร์เน็ต ได้รวบรวมหลักฐานเพียงพอที่จะระบุได้ว่า APT42 เป็นกลุ่มผู้โจมตีที่ได้รับการสนับสนุนจากรัฐบาลอิหร่าน ซึ่งมีส่วนเกี่ยวข้องในการสอดแนมทางอินเทอร์เน็ตต่อบุคคล และองค์กรที่รัฐบาลอิหร่านให้ความสนใจเป็นพิเศษ

APT42 ถูกพบครั้งแรกเมื่อ 7 ปีที่แล้ว และเกี่ยวข้องกับแคมเปญ spear-phishing ที่มุ่งเป้าไปที่เจ้าหน้าที่ของรัฐ ผู้กำหนดนโยบาย นักข่าว นักวิชาการทั่วโลก และผู้คัดค้านชาวอิหร่าน

เป้าหมายของแฮ็กเกอร์คือการขโมยข้อมูลบัญชี ในหลายกรณีกลุ่มแฮ็กเกอร์ยังติดตั้งมัลแวร์บน Android ที่สามารถติดตามการเข้าถึงอุปกรณ์ จัดเก็บ และดึงข้อมูลการสื่อสารของเหยื่อได้

เป้าหมายของแคมเปญ

จากข้อมูลของ Mandiant ผู้ค้นพบ APT42 พบว่ากลุ่ม APT42 ได้ปฏิบัติการมาแล้วอย่างน้อย 30 ครั้งใน 14 ประเทศตั้งแต่ปี 2558 ซึ่งอาจเป็นข้อมูลเพียงบางส่วนเท่านั้น

กลุ่ม APT42 เปลี่ยนเป้าหมายหลายครั้งเพื่อให้ตรงกับความสนใจในการรวบรวมข่าวกรองที่เปลี่ยนแปลงไป ตัวอย่างเช่น ในปี 2563 ใช้อีเมลฟิชชิงที่แอบอ้างเป็นผู้เชี่ยวชาญวัคซีนของมหาวิทยาลัยอ็อกซ์ฟอร์ดเพื่อกำหนดเป้าหมายเป็นบริษัทเภสัชภัณฑ์จากต่างประเทศ

ในปี 2564 APT42 ใช้ที่อยู่อีเมลขององค์กรสื่อของสหรัฐฯ ที่ถูกแฮ็ก เพื่อกำหนดเป้าหมายเหยื่อด้วยคำขอสัมภาษณ์ปลอม ๆ โดยทำการติดต่อกับพวกเขาเป็นเวลานานกว่า 37 วันก่อนที่จะโจมตีด้วยการหลอกเอาข้อมูล

ไม่นานมานี้ ในเดือนกุมภาพันธ์ พ.ศ. 2565 แฮ็กเกอร์ได้ปลอมเป็นสำนักข่าวของอังกฤษมีเป้าหมายเป็นอาจารย์ด้านรัฐศาสตร์ในเบลเยียม และสหรัฐอาหรับเอมิเรตส์

ในกรณีส่วนใหญ่ แฮ็กเกอร์จะมุ่งเป้าไปที่การเก็บรวบรวมข้อมูลประจำตัว โดยหลอกเหยื่อไปยังหน้าฟิชชิ่งที่ดูเหมือนเป็น login portals ที่ถูกต้อง ด้วยการส่งลิงก์ที่ถูกย่อให้สั้นลง หรือไฟล์แนบ PDF ที่นำไปสู่หน้าที่ให้กรอกข้อมูลประจำตัว รวมไปถึงเก็บข้อมูล MFA ได้ด้วย

Android malware

มัลแวร์บนอุปกรณ์ Android ที่ใช้ในแคมเปญของกลุ่ม APT42 จะช่วยให้ผู้โจมตีติดตามเป้าหมายได้อย่างใกล้ชิด ขโมยข้อมูลการโทร SMS และแอบบันทึกเสียง

Mandiant ระบุว่า “สปายแวร์บน Android นั้นแพร่กระจายไปยังเป้าหมายที่เป็นชาวอิหร่านเป็นหลัก ผ่านทางข้อความ SMS ที่มีลิงก์ไปยังแอพส่งข้อความหรือ VPN ที่สามารถช่วยหลีกเลี่ยงข้อจำกัดที่รัฐบาลกำหนด”

Mandiant ระบุในรายงานว่า “มัลแวร์ Android โจมตีบุคคลที่รัฐบาลอิหร่านให้ความสนใจและใช้วิธีการที่มีประสิทธิภาพ เพื่อให้ได้ข้อมูลที่สำคัญเกี่ยวกับเป้าหมาย รวมทั้งข้อมูลบนโทรศัพท์มือถือ รายชื่อผู้ติดต่อ และข้อมูลส่วนบุคคล”

Mandiant ยังรายงานการค้นพบแลนดิ้งเพจสำหรับการดาวน์โหลดแอป IM เป็นภาษาอาหรับ ดังนั้น ผู้โจมตีอาจติดตั้งมัลแวร์ Android นอกประเทศอิหร่านได้ด้วย

มัลแวร์ยังมีความสามารถในการบันทึกการใช้งานโทรศัพท์ เปิดไมโครโฟน และบันทึกภาพ และถ่ายภาพตามคำสั่ง อ่านข้อความ และติดตามตำแหน่ง GPS ของเหยื่อแบบ real time

ที่มา : bleepingcomputer

ผู้เชี่ยวชาญจาก Symentec พบพฤติกรรมการโจมตีที่มุ่งเน้นไปที่หน่วยงานรัฐในแถบเอเชีย เป้าหมายในครั้งนี้มีทั้งบริษัทการบินอวกาศและการป้องกันประเทศ, บริษัทโทรคมนาคมและองค์กรไอที โดยแฮ็กเกอร์ที่อยู่เบื้องหลังเหตุการณ์ดังกล่าวเป็นกลุ่มเดียวกับกลุ่มที่ใช้ "ShadowPad" RAT ในแคมเปญก่อนหน้านี้ แต่ในครั้งนี้ผู้โจมตีมีการใช้ Tools ที่หลากหลายมากขึ้นและจากการวิเคราะห์ของผู้เชี่ยวชาญ พบว่าการโจมตีนี้เกิดขึ้นตั้งแต่ต้นปี 2564 และยังดำเนินการต่อเนื่องมาจนถึงปัจจุบัน เป้าหมายของการโจมตีมีหน่วยงานรัฐดังต่อไปนี้

บริษัทส่วนงานราชการ/สำนักนายกรัฐมนตรี
สถาบันของรัฐที่เชื่อมโยงกับการเงิน
บริษัทการบินอวกาศและการป้องกันของรัฐ
บริษัทโทรคมนาคมของรัฐ
หน่วยงานด้านไอทีของรัฐ
หน่วยงานสื่อของรัฐ

ลักษณะการโจมตี

การโจมตีเริ่มต้นด้วยการติดตั้งไฟล์ . DLL ที่เป็นอันตราย โดยใช้วิธีการ Execute จากโปรแกรมปกติที่ที่อยู่บนเครื่องเพื่อโหลดไฟล์ .dat จากนั้นไฟล์จะถูกส่งไปยังเครื่องเป้าหมายผ่านวิธีการ side-loaded ซึ่งในครั้งนี้ผู้โจมตีใช้ Bitdefender Crash Handler ที่มีอายุ 11 ปีในการโจมตี
เมื่อไฟล์ .dat เข้ามาในเครื่องแล้ว ข้างในจะมีเพย์โหลดที่ประกอบไปด้วย Shellcode อยู่ ซึ่ง Shellcode นี้สามารถใช้คำสั่งเพื่อดึงเพย์โหลดอื่นๆ ที่เป็นอันตรายมาติดตั้งเพิ่มเติมได้ โดยเป็นการเรียกจาก Memory โดยตรง
สามวันหลังจาก Backdoor ถูกติดตั้งบนเครื่องเป้าหมาย ผู้โจมตีได้ทำการติดตั้งโปรแกรม ProcDump ลงไปเพื่อขโมย Credential ของผู้ใช้งานจาก Local Security Authority Server Service (LSASS) ซึ่งในวันเดียวกัน ทีม Penetration Testing ของบริษัท LadonGo ได้ทดสอบเจาะระบบโดยใช้วิธี DLL hijacking เพื่อทำการ side-loaded ด้วยเช่นกัน
อีกสองสัปดาห์ต่อมา ผู้โจมตีได้ทำการติดตั้ง Mimikatz ซึ่งเป็นหนึ่งในเครื่องมือที่ใช้กันแพร่หลายในการขโมยข้อมูลประจำตัว
ต่อมา ผู้โจมตีเริ่มมีการใช้ PsExec ในการเรียกใช้งาน Crash Handler เพื่อทำการ DLL hijacking ติดตั้งโหลดเพย์โหลดบนคอมพิวเตอร์อื่น ๆ ในเครือข่าย
หนึ่งเดือนหลังจากการโจมตีครั้งแรก ผู้โจมตีได้สิทธิ์ High Privileged บนระบบที่สามารถสร้าง Account ใหม่ได้ นอกจากนี้ยังได้รับสิทธิ์ในการเข้าสู่ User Credentials และ log files บน Active Direcory ได้อีกด้วย
เหตุการณ์สุดท้าย พบว่าผู้โจมตีมีการใช้ Fscan ในการโจมตีผ่านช่องโหว่ CVE-2021-26855 (Proxylogon) บน Exchange Servers บนเครือข่าย

จากเหตุการณ์ดังกล่าว ผู้เชี่ยวชาญพบหนึ่งใน Tools ที่ใช้ในการโจมตีครั้งนี้คือ (Infostealer.

Lampion Malware กลับมาแพร่กระจายในจำนวนมากอีกครั้ง ผ่านแคมเปญฟิชชิ่งโดยการใช้ WeTransfer

WeTransfer เป็นบริษัท File-Share ที่เป็นที่รู้จัก และสามารถใช้งานได้ฟรี ดังนั้นผู้โจมตีไม่ต้องลงทุนหาวิธีในการหลีกเลี่ยงการตรวจจับจากซอฟแวร์ด้านความปลอดภัย เมื่อมีการแนบ URL ของ WeTransfer มาใน Email

จากรายงานของบริษัทด้าน Email Security อย่าง Cofense ระบุว่า Lampions ได้ส่ง Phishing Email จากบัญชีบริษัทที่ถูกโจมตี และโน้มน้าวให้ผู้ใช้งานทำการดาวน์โหลดเอกสาร "หลักฐานการชำระเงิน" จาก WeTransfer

เมื่อทำการดาวน์โหลด ไฟล์ที่เป้าหมายได้รับจะเป็น ZIP file ที่มี File VBS(Virtual Basic script) อยู่ด้วย และเหยื่อจะต้องเปิดไฟล์เพื่อดำเนินการต่อไป

จากนั้น WScript จะสร้าง VBS ไฟล์มาทั้งหมด 4 ไฟล์ ด้วยการสุ่มชื่อ โดยไฟล์แรกจะเป็นไฟล์เปล่า ๆ ไฟล์ที่ 2 จะมี function การทำงานเล็กน้อย ไฟล์ที่ 3 จะใช้เพื่อรัน script ของไฟล์ที่ 4

นักวิเคราะห์ของ Cofense ระบุว่ามีขั้นตอนพิเศษบางอย่างที่ยังไม่ชัดเจน แต่การโจมตีในลักษณะแยกส่วนแบบนี้เพื่อทำให้ผู้โจมตีสามารถสลับไฟล์ที่ใช้ได้ง่าย

script ไฟล์ที่ 4 นั้น จะทำการเปิด WScript ใหม่เพื่อเชื่อมต่อกลับไปยัง URL hardcode สองรายการ เพื่อไปดึงไฟล์ DLL สองไฟล์ที่ซ่อนอยู่ภายในไฟล์ ZIP ที่ใส่รหัสผ่าน โดย URL จะชี้ไปที่ instances บน Amazon AWS

รหัสผ่านของไฟล์ ZIP นั้นคือ hardcode ที่อยู่ภายใน script ทำให้การแตกไฟล์นั้นไม่จำเป็นต้องให้เหยื่อดำเนินการ จากนั้น DLL payload จะถูกโหลดลงใน memory ทำให้ Lampion สามารถดำเนินการอย่างเงียบ ๆ ได้

จากนั้น Lampion จะทำการขโมยข้อมูลบัญชีธนาคารจากเครื่องเป้าหมายด้วยการแทรก login forms ซ้อนทับบนแบบฟอร์ม login ตามปกติ เมื่อผู้ใช้งานใส่ข้อมูลเพื่อทำการเข้าสู่ระบบ ข้อมูลนั้นจะถูกขโมย และส่งไปยัง C2 ของผู้โจมตี

Trojan Lampion ถูกพบมาตั้งแต่ปี 2019 โดยมุ่งเป้าไปที่ผู้ใช้ภาษาสเปน ต่อมาในปี 2021 Lampion ถูกพบว่าใช้ Malware บนบริการของ cloud เป็นครั้งแรก รวมถึง Google Drive และ pCloud และล่าสุดเมื่อ มีนาคม 2022 Cyware ได้รายงานว่ามีการแพร่กระจายด้วยการใช้ hostname ที่มีส่วนเกี่ยวข้องกับกลุ่ม Bazaar และ LockBit อีกทั้งยังมีรายงานอีกว่า Lampion พยายามเขียน Malware ให้มีความซับซ้อน และวิเคราะห์ได้ยากยิ่งขึ้น

สุดท้ายนี้รายงานล่าสุดของ Cofense ระบุว่า Lampion เป็นภัยคุกคามที่ยังคงอันตรายอยู่ และแนะนำให้ผู้ใช้งานควรระมัดระวังการใช้งาน Email ที่ขอให้ดาวน์โหลดไฟล์แม้ไฟล์นั้นจะอยู่บน Cloud service ที่เป็นที่รู้จักก็ตาม

ที่มา: bleepingcomputer

 

มัลแวร์บน IoT ตัวใหม่ RapperBot ถูกพบว่ามีการพัฒนาความสามารถขึ้นอย่างรวดเร็วตั้งแต่ที่ถูกพบครั้งแรกเมื่อช่วงกลางเดือนมิถุนายน 2022 “มัลแวร์ตัวนี้นำ Source code ส่วนใหญ่มาจาก Mirai botnet แต่สิ่งที่แตกต่างจากมัลแวร์ IoT ตัวอื่น ๆ คือความสามารถแบบ Built-in ในการ Brute-force Credentials และเข้าถึง SSH Server แทนการเข้าถึง Telnet เหมือนอย่าง Mirai botnet” Fortinet FortiGuard Labs ระบุในรายงาน
ชื่อของมัลแวร์ตัวนี้ได้มาจากการที่มี URL ที่ลิงก์ไปยังวิดีโอเพลงแร็ปบน Youtube ในเวอร์ชันแรก ๆ ปัจจุบันพบว่าจำนวน SSH Server ที่ถูกเข้าควบคุมมีเพิ่มมากขึ้น โดยมัลแวร์ตัวนี้ได้ใช้ Unique IP addresses มากกว่า 3,500 IP ในการ Scan และ Brute-force ไปยัง Server ต่าง ๆ

(more…)

แฮ็กเกอร์ใช้วิธีการซ่อนมัลแวร์ใน Windows Event Logs

นักวิจัยด้านความปลอดภัยได้ตรวจพบแคมเปญการโจมตีซึ่งใช้ Windows event logs เพื่อจัดเก็บมัลแวร์ ซึ่งเป็นเทคนิคที่ไม่เคยถูกใช้ในการโจมตีมาก่อน โดยวิธีการนี้ทำให้ผู้โจมตีสามารถวาง fileless มัลแวร์ บน file system ได้ ซึ่งวิธีการนี้จะประกอบไปด้วยเทคนิค และโมดูลที่ออกแบบมาเพื่อหลบเลี่ยงการตรวจจับเป็นจำนวนมาก

การเพิ่ม Payload ไปยัง Windows event logs

นักวิจัยจาก Kaspersky ได้รวบรวมตัวอย่างมัลแวร์ที่สามารถตรวจจับได้ และถูกระบุว่าเป็นภัยคุกคามบนคอมพิวเตอร์ของผู้ใช้งาน จากการตรวจสอบพบว่ามัลแวร์เป็นส่วนหนึ่งของแคมเปญ “very targeted” และมีการใช้ชุดเครื่องมือจำนวนมากที่เป็นทั้งแบบ Custom และที่มีจำหน่ายในเชิงพาณิชย์

โดยส่วนที่น่าสนใจของการโจมตีคือการ injecting shellcode payloads เข้าไปใน Windows event logs สำหรับ Key Management Services (KMS) ซึ่งเป็นการดำเนินการโดย custom malware dropper

Denis Legezo หัวหน้านักวิจัยด้านความปลอดภัยของ Kaspersky กล่าวว่าวิธีนี้ถูกใช้เป็นครั้งแรกในแคมเปญการโจมตีจากมัลแวร์

โดยตัว Dropper จะคัดลอกไฟล์จัดการ OS error ที่ชื่อไฟล์ว่า WerFault.