เกาหลีเหนือใช้ประโยชน์จากช่องโหว่ VPN เพื่อแฮกสถาบันวิจัยนิวเคลียร์ของเกาหลีใต้

สถาบันวิจัยพลังงานปรมาณูเกาหลี (KAERI) ของรัฐบาลเกาหลีใต้เปิดเผยเมื่อวันศุกร์ว่าเครือข่ายภายในของบริษัทถูกบุกรุกโดยผู้ต้องสงสัยที่คาดว่ามาจากเกาหลีเหนือ

การบุกรุกเกิดขึ้นเมื่อวันที่ 14 พฤษภาคม ผ่านช่องโหว่ของ VPN (โดยยังไม่มีการระบุว่าเป็นของผู้ให้บริการรายใด) และมี IP Address ของผู้โจมตีที่เกี่ยวข้องกับเหตุการณ์นี้ทั้งหมด 13 IP โดยหนึ่งในนั้นคือ IP "27.102.114[.]89" ซึ่งมีประวัติการเชื่อมโยงกับกลุ่มแฮกเกอร์ที่คาดว่าได้รับการสนับสนุนโดยรัฐบาลเกาหลีเหนือชื่อว่า Kimsuky

KAERI ก่อตั้งขึ้นในปี 2502 ในเมืองแดจอน เป็นสถาบันวิจัยที่ได้รับทุนสนับสนุนจากรัฐบาลซึ่งออกแบบ และพัฒนาเทคโนโลยีนิวเคลียร์ที่เกี่ยวข้องกับเครื่องปฏิกรณ์ แท่งเชื้อเพลิง การหลอมรวมของรังสี และความปลอดภัยของนิวเคลียร์

หลังจากการบุกรุก KAERI กล่าวว่าได้ดำเนินการตามขั้นตอนเพื่อบล็อก IP Address ของผู้โจมตี และอัพเดทแพตซ์ของ VPN ที่มีช่องโหว่เรียบร้อยแล้ว โดยสถาบันฯกำลังสืบสวนรายละเอียดผลกระทบจากการบุกรุก และมูลค่าความเสียหายที่เกิดขึ้น

จากรายงานของสำนักข่าว SISA ของเกาหลีใต้ซึ่งเปิดเผยถึงเหตุการณ์การบุกรุกในครั้งนี้ โดยสำนักข่าวอ้างว่า KAERI พยายามปกปิดการโจมตี โดยพยายามปฏิเสธการโจมตีที่เกิดขึ้น ซึ่ง KAERI อ้างว่าเป็นเพียงความผิดพลาดจากพนักงานระดับปฏิบัติการเท่านั้น

ตั้งแต่ปี 2012 Kimsuky (หรือที่รู้จักในชื่อ Velvet Chollima, Black Banshee หรือ Thallium) เป็นกลุ่มแฮกเกอร์ชาวเกาหลีเหนือที่รู้จักในแคมเปญจารกรรมทางอินเทอร์เน็ตที่กำหนดเป้าหมายไปยังสถาบันวิจัย และปฏิบัติการพลังงานนิวเคลียร์ในเกาหลีใต้

เมื่อช่วงต้นเดือนที่ผ่านมา บริษัทผู้เชี่ยวชาญทางด้าน Cyber Security อย่าง Malwarebytes ได้เปิดเผยถึงการโจมตีไปยังเจ้าหน้าที่ระดับสูงของรัฐบาลเกาหลีใต้ โดยใช้วิธีการติดตั้ง Backdoor บนระบบปฏิบัติการ Android และ Windows ที่ชื่อว่า AppleSeed โดยมีเป้าหมายเพื่อรวบรวมข้อมูลที่มีความสำคัญ

โดยมีเป้าหมายคือหน่วยงานที่เกี่ยวข้องกับกระทรวงการต่างประเทศ เอกอัครราชทูตศรีลังกาประจำประเทศ เจ้าหน้าที่ความมั่นคงทางนิวเคลียร์ของสำนักงานพลังงานปรมาณูระหว่างประเทศ (IAEA) และรองกงสุลใหญ่ประจำสถานกงสุลเกาหลีใต้ในฮ่องกง โดยมี IP Address ของ command-and-control (C2) ที่ตรงกัน

ยังไม่มีข้อมูลว่าช่องโหว่ VPN ที่ถูกใช้ในการโจมตีที่เกิดขึ้นเป็นของผู้ให้บริการรายใด แต่ที่ผ่านมามีหลายองค์กรที่ถูกโจมตีด้วยช่องโหว่ของ VPN จากผู้ให้บริการต่างๆเช่น Pulse Secure, SonicWall, Fortinet FortiOS และ Citrix หลายครั้งในช่วงไม่กี่ปีที่ผ่านมา

ที่มา : thehackernews

แจ้งเตือนกลุ่มแฮกเกอร์ LazyScripter พุ่งเป้าโจมตีสายการบินด้วย Remote Access Trojan

กลุ่มนักวิจัยจาก Malwarebytes ออกรายงานแจ้งเตือนกลุ่ม APT ใหม่ภายใต้ชื่อ LazyScripter ซึ่งมีความเคลื่อนไหวมาตั้งแต่ปี 2018 โดยมีจุดน่าสนใจสำคัญคือการมีเป้าหมายการโจมตีอยู่ในอุตสาหกรรมและสายการบิน

สำหรับเทคนิคการโจมตีของ LazyScripter นั้น กลุ่มผู้โจมตีจะมีการใช้อีเมลฟิชชิ่งในการหลอกลวงเหยื่อ เนื้อหาของอีเมลจะเน้นไปที่โครงการ Immigration ที่รัฐบาลแคนาดาสนับสนุนและอีเมลเกี่ยวกับปฏิบัติการของสายการบินเพื่อหลอกให้มีการดาวน์โหลดไฟล์เอกสารอันตราย LazyScripter มีการใช้มัลแวร์ในลักษณะของโทรจันซึ่งเป็นมัลแวร์แบบโอเพนซอร์ส อาทิ Octopus และ Koadic ในปฏิบัติการเป็นส่วนใหญ่ ผู้โจมตียังมีการใช้ GitHub ในการจัดเก็บไฟล์มัลแวร์สำหรับดาวน์โหลดมาใช้อีกด้วย

เนื่องลักษณะของการใช้มัลแวร์แบบโอเพนซอร์ส รวมไปถึงใช้เครื่องมือในการทดสอบเจาะระบบอย่าง Empire framework ในปฏิบัติการ การเชื่อมโยงกลุ่มผู้โจมตีกลุ่มใหม่นี้ให้เข้ากับฐานข้อมูลภัยคุกคามที่เป็นที่รู้จักนั้นย่อมทำได้ยาก ทั้งนี้ Malwarebytes มีการตั้งสมมติฐานเกี่ยวกับความเกี่ยวข้องของ LazyScripter ออกเป็น 2 แนวทาง โดยแนวทางแรกนั้นเกี่ยวข้องกับกลุ่ม MuddyWater ของประเทศอิหร่าน และอีกแนวทางหนึ่งนั้นเกี่ยวข้องกับกลุ่ม APT28 จากรัสเซีย ซึ่งในขณะนี้น้ำหนักค่อนข้างเทไปที่ฝั่งของ MuddyWater มากกว่าทั้งในเรื่องเครื่องมือที่ใช้ พฤติกรรมและเป้าหมาย

ผู้ที่สนใจสามารถอ่านรายงานต้นฉบับของ MalwareBytes ได้ที่ malwarebytes

ที่มา: bleepingcomputer

แจ้งเตือนมัลแวร์บน Mac OS “Silver Sparrow” ติดแล้วกว่า 30,000 ระบบ ยังไม่ทราบจุดประสงค์

บริษัทด้านความปลอดภัย Red Canary, Malwarebytes และ VMware Carbon Black ออกแจ้งเตือนร่วมกันถึงการแพร่กระจายของมัลแวร์ตัวใหม่บน MacOS อีกทั้งยังสามารถทำงานบนชิป Apple M1 ได้ในชื่อ Silver Sparrow

อ้างอิงจากผลการตรวจสอบโดย Malwarebytes มัลแวร์ Silver Sparrow แพร่กระจายไปแล้วกว่า 29,139 ระบบในกว่า 153 ประเทศ ความน่าสนใจของ Silver Sparrow นั้นอยู่ที่แนวทางในการแพร่กระจาย มัลแวร์ Silver Sparrow แพร่กระจายในลักษณะไฟล์ 2 รูปแบบคือ "updater.

อัปเดตสถานการณ์ SolarWinds ส่งท้ายเดือนมกราคม 2021

Symantec ประกาศการค้นพบมัลแวร์ตัวที่ 4 ซึ่งเกี่ยวข้องกับ TEARDROP โดยมัลแวร์ตัวที่ 4 นั้นถูกเรียกว่า RAINDROP โดยมีจุดประสงค์ในการโหลดโค้ดมัลแวร์อื่น ๆ มาใช้งานในระบบที่ถูกโจมตีและยึดครองแล้ว
FireEye ออกรายงาน Remediation and Hardening Strategies for Microsoft 365 to Defend Against UNC2452 ซึ่งอธิบายสรุปพฤติกรรมของผู้โจมตีและแนวทางในการเพิ่มความปลอดภัยให้กับ Microsoft 365 อ้างอิงจากพฤติกรรมของผู้โจมตีเพิ่มเติม รวมไปถึงชุดสคริปต์ Mandiant Azure AD Investigator สำหรับการตรวจสอบตามรายงานด้วย
Microsoft 365 Defender Research Team ออกรายงานการวิเคราะห์ส่วนการโจมตีที่สองซึ่งเป็นพฤติกรรมในช่วงที่ผู้โจมตีเข้าถึงระบบเป้าหมายผ่านมัลแวร์ SUNBURST และส่วนที่มีการติดตั้งมัลแวร์ TEARDROP, RAINDROP และมัลแวร์อื่น ๆ เพื่อใช้ทำ Lateral movement อ่านข้อมูลเพิ่มเติมในส่วนนี้ได้ที่ส่วน Attack Techniques
US-CERT ออกรายงาน Malware Analysis Report รหัส AR21-027A ซึ่งเป็นรายละเอียดเกี่ยวกับมัลแวร์ SUPERNOVA
CheckPoint ออกรายงานการจำลองพฤติกรรมของผู้โจมตีในส่วนของการ Lateral movement จากระบบแบบ On-premise ไปยังระบบคลาวด์ Microsoft 365
ตกเป็นเป้าหมาย+เหยื่อใหม่: MalwareBytes, Qualys, Mimecast, Fidelis, Texas IT และอีกกว่า 32% จาก 2,000 โดเมน C&C ในกลุ่มอุตสาหกรรม

อ่านเพิ่มเติม: i-secure

มัลแวร์ใช้ฟีเจอร์ Microsoft Windows Error Reporting (WER) เพื่อรันโค้ดอันตรายแบบไม่มีไฟล์ (fileless)

Hossein Jazi และ Jérôme Segura จาก MalwareBytes เปิดเผยผลการวิเคราะห์ซึ่งตรวจพบในมัลแวร์สายพันธุ์ใหม่ วิธีการนี้เคยถูกใช้ในมัลแวร์ Netwalker และมัลแวร์เรียกค่าไถ่ Cerber มาก่อนแล้ว

มัลแวร์เริ่มต้นการแพร่กระจายผ่านทางสคริปต์ macro ในไฟล์ทางอีเมล โดยสคริปต์ดังกล่าวนั้นถูกพัฒนามาจากโครงการโอเพนซอร์สสำหรับการประเมินความปลอดภัยระบบชื่อ CactusTorch ซึ่งมีความสามารถในการโหลดไบนารีซึ่งถูกคอมไพล์จาก .Net ไปยังโปรเซสที่ต้องการเพื่อฝังโค้ดที่เป็นอันตรายได้

ในกรณีของมัลแวร์ดังกล่าว มัลแวร์มีการโหลดโมดูลที่มีชื่อว่า Kraken และกำหนดเป้าหมายในการแทรกโค้ดไบนารีไปยังโปรเซส werfault.

Avast Users Having Internet Issues & Malwarebytes Conflicts After Upgrade

ผู้ใช้ Avast พบปัญหาด้านการใช้งานอินเทอร์เน็ตและการใช้งานโปรแกรม Malwarebytes หลังจากทำการอัปเกรดแล้ว

ในสัปดาห์นี้ผู้ใช้ผลิตภัณฑ์ป้องกันไวรัสของ Avast ได้รายงานปัญหาอินเทอร์เน็ตหลังจากอัปเกรด หากผู้ใช้มีโปรแกรม Malwarebytes ติดตั้งอยู่อาจก่อให้เกิดความขัดข้องกับโปรแกรมเช่นกัน หากต้องการให้โปรแกรมทั้งสองทำงานได้อย่างปกติ จะต้องปิดโมดูลการป้องกันของโปรแกรมใดโปรแกรมหนึ่งเพื่อหลีกเลี่ยงปัญหาดังกล่าว

หลังจากอัปเกรดเป็น Avast 18.6.2349 ผู้ใช้จำนวนมากเริ่มร้องเรียนปัญหาที่ไม่สามารถเรียกดูเว็บไซต์ได้ พวกเขาได้ทดสอบ Ping ไปยังที่อยู่ IP ได้แต่ไม่สามารถเข้าถึงเว็บไซต์ผ่านเบราว์เซอร์ได้ แต่เมื่อปิดใช้งานคอมโพเนนต์ Avast WebShield ที่ช่วยปกป้องผู้ใช้จากการเรียกดูไซต์หรือสคริปต์ที่เป็นอันตราย จึงสามารถเรียกดูเว็บได้ตามปกติ

พนักงานของ Avast ชื่อ Filip Braun กล่าวว่าปัญหานี้อาจเกิดจากการอัปเดตที่ล้มเหลว จึงแนะนำให้ผู้ใช้ลองทำการติดตั้งใหม่ และผู้ใช้บางรายระบุว่าพบปัญหาแม้ว่าจะไม่มีการติดตั้ง Malwarebytes ก็ตาม

ทาง Malwarebytes กล่าวว่าถ้าต้องการใช้โมดูลการปกป้องเว็บต่อไป จะต้องปิดการใช้งาน "Real Site Protection" ของ Avast และทาง Malwarebytes กำลังทำงานร่วมกับ Avast / AVG ในการแก้ไขปัญหาเหล่านี้

ที่มา: bleepingcomputer

Cryptocurrency Mining Scripts Now Run Even After You Close Your Browser

MalwareBytes เผยเทคนิคสคริปต์ขุดบิทคอยน์ที่ทำงานได้แม้จะปิดโปรแกรมเบราว์เซอร์ไปแล้ว

Jérôme Segura นักวิเคราะห์มัลแวร์จาก MalwareBytes ได้มีการเผยแพร่ผลการวิเคราะห์มัลแวร์รวมไปถึงเทคนิคใหม่ที่มัลแวร์ขุดบิทคอยน์ใช้งานเพื่อให้มัลแวร์สามารถทำงานได้แม้ผู้ใช้งานจะมีการปิดโปรแกรมเว็บเบราว์เซอร์ไปแล้ว

โดยปกตินั้นมัลแวร์ขุดบิทคอยน์หรือขุดสกุลเงินดิจิตอลอื่นๆ นั้นอาศัยจังหวะที่ผู้ใช้งานเปิดหน้าเว็บไซต์ที่มีสคริปต์อันตรายฝังอยู่ซึ่งจะเริ่มทำการขุดทันที ส่งผลให้ระบบของผู้ใช้นั้นช้าลงเนื่องจากทรัพยากรของระบบส่วนใหญ่ถูกใช้โดยไปโดยมัลแวร์ อย่างไรก็ตามหากผู้ใช้งานทำการปิดหน้าเพจของเว็บไซต์ที่มีการฝังสคริปต์อันตรายนั้นไปหรือทำการปิดโปรแกรมเว็บเบราว์เซอร์ สคริปต์อันตรายดังกล่าวก็จะถูกหยุดการทำงาน

อย่างไรก็ตาม Segura ค้นพบว่า มัลแวร์ขุดบิทคอยน์มีการใช้งานฟีเจอร์ของเว็บเบราว์เซอร์ฟีเจอร์หนึ่งชื่อ Pop-under โดยฟีเจอร์ดังกล่าวนั้นมักถูกใช้งานในการแสดงโฆษณาโดยบังคับให้มีการเรียกโฆษณาขึ้นมาและซ่อนการแสดงผลโฆษณาดังกล่าวไว้เบื้องหลังไม่ให้ผู้ใช้งานเห็นในทันที

สิ่งที่มัลแวร์ทำนั้นคือเมื่อผู้ใช้งานทำการคลิกที่จุดใดๆ ของเว็บเพจ (จำเป็นต้องมีการคลิกก่อนเนื่องจากเบราว์เซอร์รุ่นใหม่บังคับให้การใช้งาน Pop-under จำเป็นต้องมี user interaction) สคริปต์จะทำการสร้างหน้าต่างใหม่เบื้องหลังหน้าเว็บเพจนั้น และทำการแก้ไขขนาดของหน้าต่างใหม่ให้สามารถซ่อนอยู่เบื้องหลังของ taskbar บริเวณขอบขวาล่างของหน้าจอทันทีโดยที่ผู้ใช้งานไม่ทันสังเกต

แนะนำให้ผู้ใช้งานตรวจสอบการทำงานของแต่ละโปรเซสหากพบอาการของระบบที่ผิดปกติ และถ้าเจอโปรเซสใดโปรเซสหนึ่งของระบบที่มีการใช้งานทรัพยากรที่ผิดปกติ ให้ดำเนินการปิดทันที เพราะโปรเซสดังกล่าวอาจเป็นโปรเซสที่เกี่ยวข้องกับหน้าต่างที่ซ่อนอยู่ก็เป็นไปได้

ที่มา : thehackernews

Boobytrapped Word File Installs Locky Ransomware When You Close the Document

นักวิจัยด้านความปลอดภัยจาก Malwarebytes ค้นพบวิธีการแพร่กระจาย Locky ransomware จากกลุ่มซึ่งใช้ชื่อแฝงว่า Locky ID#5 และ Locky ID# 3 ผ่านช่องทางต่างๆ หลายรูปแบบ
Marcelo Rivero นักวิจัยด้านความปลอดภัยจาก Malwarebytes ได้ค้นพบการแพร่กระจาย spam ผ่านไฟล์เอกสารด้วยมาโครสคริปต์โดยการทำงานจะต่างจากปกติคือมาโครสคริปต์จะไม่มีการรันจนกว่าผู้ใช้จะทำการปิดไฟล์เอกสาร ซึ่งจะทำให้โซลูชั่นในการรักษาความปลอดภัยต่างๆ ไม่สามารถ สแกนเจอไฟล์ที่เป็นอันตราย
อีกวิธีที่ใช้ในการแพร่กระจาก Locky คือการส่งอีเมลโดยใช้บัญชีของ Dropbox เพื่อหลอกให้ผู้ใช้ทำการยืนยันตัวตน นอกจากนี้ผู้โจมตียังมีการใช้เทคนิคป๊อปอัป "HoeflerText" ซึ่งจะใช้ประโยชน์จากมัลแวร์และ exploit kit โดยเปลี่ยนเส้นทางการรับส่งข้อมูลไปยังหน้าเว็บที่เป็นอันตรายที่มีข้อความว่า "HoeflerText font missing" แสดงเป็นป๊อปอัพขึ้นมา เพื่อหลอกให้ผู้ใช้ดาวโหลดและติดตั้งฟอนต์ที่แท้จริงแล้วเป็นไฟล์จาวาสคริปต์ (ดาวโหลดเป็นไฟล์สคริปต์ JS) โดยเบราว์เซอร์ที่ได้รับผลกระทบคือ Firefox และในตระกูล Chrome เท่านั้น

ที่มา: hbleepingcomputer

New Mac Adware Mughthesec Will Cause Serious Headaches

แจ้งเตือน Adware บน macOS "Mughthesec" อาจต้องลงเครื่องใหม่ลูกเดียว

นักวิจัยด้านความปลอดภัยจาก MalwareBytes "Thomas Reed" เปิดเผยการค้นพบ Adware ตระกูลใหม่บน macOS ชื่อ Mughthesec ซึ่งถูกพัฒนามาจากมัลแวร์รุ่นเก่าในตระกูล OperatorMac ที่เคยมีการแพร่กระจายมาแล้วในช่วงที่ผ่านมา

มัลแวร์ถูกพัฒนาให้มีความสามารถในการตรวจสอบว่ากำลังถูกวิเคราะห์อยู่หรือไม่ด้วยวิธีการอ้างอิงค่า MAC address จากระบบที่มีการแพร่กระจาย ไฟล์ของมัลแวร์ Mughthesec ยังถูกรับรองโดยใบรับรองของแอปเปิลที่ถูกต้องทำให้มันสามารถผ่านการตรวจสอบจากระบบ GateKeeper ได้

Mughthesec มีการแพร่ระบาดในรูปแบบของไฟล์ชื่อ Player.

WinRAR security flaw opens users to remote attack just by unzipping files

นักวิจัยด้านความปลอดภัยจาก Vulnerability Lab พบช่องโหว่ของ WinRAR v5.21 โปรแกรมยอดนิยมในการใช้บีบอัดไฟล์
โดยช่องโหว่ดังกล่าวเป็นช่องโหว่ Remote Code Execution ช่องโหว่นี้อยู่ในออฟชั่นของการสร้างไฟล์แบบ Self-Extract (SFX) หรือการบีบไฟล์แบบไม่ต้องอาศัยโปรแกรมใดๆในการแตกไฟล์นั่นเอง
ผู้ไม่ประสงค์ดีสามารถใส่โค้ด HTML อันตรายลงในช่อง Text to display in SFX windows และบีบอัพไฟล์ดังกล่าว โดยจะส่งผลกระทบเมื่อผู้ใช้แตกไฟล์นั้น
อย่างไรก็ตาม Malwarebytes บริษัทด้านความมั่นคงปลอดภัยและซอฟต์แวร์จับมัลแวร์ชื่อดัง ออกมายืนยันแล้วว่ามีช่องโหว่ดังกล่าวจริง และยังไม่มีแพทช์ออกมาเพื่อแก้ไขช่องโหว่นี้
และแนะนำผู้ใช้ทั่วไปว่าหากเจอไฟล์ที่ต้องสงสัย และเครื่องของผู้ใช้งานมีโปรแกรม WinRAR SFX เวอร์ชั่น 5.21 ควรหลีกเลี่ยงการใช้งานไฟล์ดังกล่าว

ที่มา : thenextweb