แฮ็กเกอร์แฝงแอป Cisco Webex ปลอมใน Google Ads เพื่อหลอกให้เหยื่อดาวน์โหลด

ผู้ไม่หวังดีใช้ Google Ads เป็นช่องทางในการหลอกผู้ใช้งานที่ค้นหาซอฟต์แวร์ Webex โดยสร้างโฆษณาที่ดูน่าเชื่อถือ ซึ่งเมื่อทำการดาวน์โหลด จะถูกเปลี่ยนเส้นทางไปยังเว็บไซต์ที่มีมัลแวร์ BatLoader โดย Webex คือโปรแกรมการประชุมทางวิดีโอ และการติดต่อสื่อสาร ซึ่งเป็นส่วนหนึ่งของกลุ่มผลิตภัณฑ์ของ Cisco และใช้โดยองค์กร และธุรกิจต่าง ๆ ทั่วโลก

Malwarebytes รายงานว่าแคมเปญ Malvertising ถูกฝังอยู่ใน Google Search เป็นเวลากว่า 1 สัปดาห์ โดยกลุ่มผู้โจมตีที่คาดว่ามาจากเม็กซิโก

แคมเปญมัลแวร์ที่แฝงใน Google Ad

Malwarebytes รายงานว่าพอร์ทัลดาวน์โหลด Webex ปลอมใน Google Ads อยู่อันดับสูงสุดของผลการค้นหาคำว่า "webex" ซึ่งสิ่งที่ทำให้ดูน่าเชื่อถือคือการใช้โลโก้ Webex จริง และแสดง URL ที่ถูกต้อง "webex.

เกาหลีเหนือใช้ประโยชน์จากช่องโหว่ VPN เพื่อแฮกสถาบันวิจัยนิวเคลียร์ของเกาหลีใต้

สถาบันวิจัยพลังงานปรมาณูเกาหลี (KAERI) ของรัฐบาลเกาหลีใต้เปิดเผยเมื่อวันศุกร์ว่าเครือข่ายภายในของบริษัทถูกบุกรุกโดยผู้ต้องสงสัยที่คาดว่ามาจากเกาหลีเหนือ

การบุกรุกเกิดขึ้นเมื่อวันที่ 14 พฤษภาคม ผ่านช่องโหว่ของ VPN (โดยยังไม่มีการระบุว่าเป็นของผู้ให้บริการรายใด) และมี IP Address ของผู้โจมตีที่เกี่ยวข้องกับเหตุการณ์นี้ทั้งหมด 13 IP โดยหนึ่งในนั้นคือ IP "27.102.114[.]89" ซึ่งมีประวัติการเชื่อมโยงกับกลุ่มแฮกเกอร์ที่คาดว่าได้รับการสนับสนุนโดยรัฐบาลเกาหลีเหนือชื่อว่า Kimsuky

KAERI ก่อตั้งขึ้นในปี 2502 ในเมืองแดจอน เป็นสถาบันวิจัยที่ได้รับทุนสนับสนุนจากรัฐบาลซึ่งออกแบบ และพัฒนาเทคโนโลยีนิวเคลียร์ที่เกี่ยวข้องกับเครื่องปฏิกรณ์ แท่งเชื้อเพลิง การหลอมรวมของรังสี และความปลอดภัยของนิวเคลียร์

หลังจากการบุกรุก KAERI กล่าวว่าได้ดำเนินการตามขั้นตอนเพื่อบล็อก IP Address ของผู้โจมตี และอัพเดทแพตซ์ของ VPN ที่มีช่องโหว่เรียบร้อยแล้ว โดยสถาบันฯกำลังสืบสวนรายละเอียดผลกระทบจากการบุกรุก และมูลค่าความเสียหายที่เกิดขึ้น

จากรายงานของสำนักข่าว SISA ของเกาหลีใต้ซึ่งเปิดเผยถึงเหตุการณ์การบุกรุกในครั้งนี้ โดยสำนักข่าวอ้างว่า KAERI พยายามปกปิดการโจมตี โดยพยายามปฏิเสธการโจมตีที่เกิดขึ้น ซึ่ง KAERI อ้างว่าเป็นเพียงความผิดพลาดจากพนักงานระดับปฏิบัติการเท่านั้น

ตั้งแต่ปี 2012 Kimsuky (หรือที่รู้จักในชื่อ Velvet Chollima, Black Banshee หรือ Thallium) เป็นกลุ่มแฮกเกอร์ชาวเกาหลีเหนือที่รู้จักในแคมเปญจารกรรมทางอินเทอร์เน็ตที่กำหนดเป้าหมายไปยังสถาบันวิจัย และปฏิบัติการพลังงานนิวเคลียร์ในเกาหลีใต้

เมื่อช่วงต้นเดือนที่ผ่านมา บริษัทผู้เชี่ยวชาญทางด้าน Cyber Security อย่าง Malwarebytes ได้เปิดเผยถึงการโจมตีไปยังเจ้าหน้าที่ระดับสูงของรัฐบาลเกาหลีใต้ โดยใช้วิธีการติดตั้ง Backdoor บนระบบปฏิบัติการ Android และ Windows ที่ชื่อว่า AppleSeed โดยมีเป้าหมายเพื่อรวบรวมข้อมูลที่มีความสำคัญ

โดยมีเป้าหมายคือหน่วยงานที่เกี่ยวข้องกับกระทรวงการต่างประเทศ เอกอัครราชทูตศรีลังกาประจำประเทศ เจ้าหน้าที่ความมั่นคงทางนิวเคลียร์ของสำนักงานพลังงานปรมาณูระหว่างประเทศ (IAEA) และรองกงสุลใหญ่ประจำสถานกงสุลเกาหลีใต้ในฮ่องกง โดยมี IP Address ของ command-and-control (C2) ที่ตรงกัน

ยังไม่มีข้อมูลว่าช่องโหว่ VPN ที่ถูกใช้ในการโจมตีที่เกิดขึ้นเป็นของผู้ให้บริการรายใด แต่ที่ผ่านมามีหลายองค์กรที่ถูกโจมตีด้วยช่องโหว่ของ VPN จากผู้ให้บริการต่างๆเช่น Pulse Secure, SonicWall, Fortinet FortiOS และ Citrix หลายครั้งในช่วงไม่กี่ปีที่ผ่านมา

ที่มา : thehackernews

แจ้งเตือนกลุ่มแฮกเกอร์ LazyScripter พุ่งเป้าโจมตีสายการบินด้วย Remote Access Trojan

กลุ่มนักวิจัยจาก Malwarebytes ออกรายงานแจ้งเตือนกลุ่ม APT ใหม่ภายใต้ชื่อ LazyScripter ซึ่งมีความเคลื่อนไหวมาตั้งแต่ปี 2018 โดยมีจุดน่าสนใจสำคัญคือการมีเป้าหมายการโจมตีอยู่ในอุตสาหกรรมและสายการบิน

สำหรับเทคนิคการโจมตีของ LazyScripter นั้น กลุ่มผู้โจมตีจะมีการใช้อีเมลฟิชชิ่งในการหลอกลวงเหยื่อ เนื้อหาของอีเมลจะเน้นไปที่โครงการ Immigration ที่รัฐบาลแคนาดาสนับสนุนและอีเมลเกี่ยวกับปฏิบัติการของสายการบินเพื่อหลอกให้มีการดาวน์โหลดไฟล์เอกสารอันตราย LazyScripter มีการใช้มัลแวร์ในลักษณะของโทรจันซึ่งเป็นมัลแวร์แบบโอเพนซอร์ส อาทิ Octopus และ Koadic ในปฏิบัติการเป็นส่วนใหญ่ ผู้โจมตียังมีการใช้ GitHub ในการจัดเก็บไฟล์มัลแวร์สำหรับดาวน์โหลดมาใช้อีกด้วย

เนื่องลักษณะของการใช้มัลแวร์แบบโอเพนซอร์ส รวมไปถึงใช้เครื่องมือในการทดสอบเจาะระบบอย่าง Empire framework ในปฏิบัติการ การเชื่อมโยงกลุ่มผู้โจมตีกลุ่มใหม่นี้ให้เข้ากับฐานข้อมูลภัยคุกคามที่เป็นที่รู้จักนั้นย่อมทำได้ยาก ทั้งนี้ Malwarebytes มีการตั้งสมมติฐานเกี่ยวกับความเกี่ยวข้องของ LazyScripter ออกเป็น 2 แนวทาง โดยแนวทางแรกนั้นเกี่ยวข้องกับกลุ่ม MuddyWater ของประเทศอิหร่าน และอีกแนวทางหนึ่งนั้นเกี่ยวข้องกับกลุ่ม APT28 จากรัสเซีย ซึ่งในขณะนี้น้ำหนักค่อนข้างเทไปที่ฝั่งของ MuddyWater มากกว่าทั้งในเรื่องเครื่องมือที่ใช้ พฤติกรรมและเป้าหมาย

ผู้ที่สนใจสามารถอ่านรายงานต้นฉบับของ MalwareBytes ได้ที่ malwarebytes

ที่มา: bleepingcomputer

แจ้งเตือนมัลแวร์บน Mac OS “Silver Sparrow” ติดแล้วกว่า 30,000 ระบบ ยังไม่ทราบจุดประสงค์

บริษัทด้านความปลอดภัย Red Canary, Malwarebytes และ VMware Carbon Black ออกแจ้งเตือนร่วมกันถึงการแพร่กระจายของมัลแวร์ตัวใหม่บน MacOS อีกทั้งยังสามารถทำงานบนชิป Apple M1 ได้ในชื่อ Silver Sparrow

อ้างอิงจากผลการตรวจสอบโดย Malwarebytes มัลแวร์ Silver Sparrow แพร่กระจายไปแล้วกว่า 29,139 ระบบในกว่า 153 ประเทศ ความน่าสนใจของ Silver Sparrow นั้นอยู่ที่แนวทางในการแพร่กระจาย มัลแวร์ Silver Sparrow แพร่กระจายในลักษณะไฟล์ 2 รูปแบบคือ "updater.

อัปเดตสถานการณ์ SolarWinds ส่งท้ายเดือนมกราคม 2021

Symantec ประกาศการค้นพบมัลแวร์ตัวที่ 4 ซึ่งเกี่ยวข้องกับ TEARDROP โดยมัลแวร์ตัวที่ 4 นั้นถูกเรียกว่า RAINDROP โดยมีจุดประสงค์ในการโหลดโค้ดมัลแวร์อื่น ๆ มาใช้งานในระบบที่ถูกโจมตีและยึดครองแล้ว
FireEye ออกรายงาน Remediation and Hardening Strategies for Microsoft 365 to Defend Against UNC2452 ซึ่งอธิบายสรุปพฤติกรรมของผู้โจมตีและแนวทางในการเพิ่มความปลอดภัยให้กับ Microsoft 365 อ้างอิงจากพฤติกรรมของผู้โจมตีเพิ่มเติม รวมไปถึงชุดสคริปต์ Mandiant Azure AD Investigator สำหรับการตรวจสอบตามรายงานด้วย
Microsoft 365 Defender Research Team ออกรายงานการวิเคราะห์ส่วนการโจมตีที่สองซึ่งเป็นพฤติกรรมในช่วงที่ผู้โจมตีเข้าถึงระบบเป้าหมายผ่านมัลแวร์ SUNBURST และส่วนที่มีการติดตั้งมัลแวร์ TEARDROP, RAINDROP และมัลแวร์อื่น ๆ เพื่อใช้ทำ Lateral movement อ่านข้อมูลเพิ่มเติมในส่วนนี้ได้ที่ส่วน Attack Techniques
US-CERT ออกรายงาน Malware Analysis Report รหัส AR21-027A ซึ่งเป็นรายละเอียดเกี่ยวกับมัลแวร์ SUPERNOVA
CheckPoint ออกรายงานการจำลองพฤติกรรมของผู้โจมตีในส่วนของการ Lateral movement จากระบบแบบ On-premise ไปยังระบบคลาวด์ Microsoft 365
ตกเป็นเป้าหมาย+เหยื่อใหม่: MalwareBytes, Qualys, Mimecast, Fidelis, Texas IT และอีกกว่า 32% จาก 2,000 โดเมน C&C ในกลุ่มอุตสาหกรรม

อ่านเพิ่มเติม: i-secure

มัลแวร์ใช้ฟีเจอร์ Microsoft Windows Error Reporting (WER) เพื่อรันโค้ดอันตรายแบบไม่มีไฟล์ (fileless)

Hossein Jazi และ Jérôme Segura จาก MalwareBytes เปิดเผยผลการวิเคราะห์ซึ่งตรวจพบในมัลแวร์สายพันธุ์ใหม่ วิธีการนี้เคยถูกใช้ในมัลแวร์ Netwalker และมัลแวร์เรียกค่าไถ่ Cerber มาก่อนแล้ว

มัลแวร์เริ่มต้นการแพร่กระจายผ่านทางสคริปต์ macro ในไฟล์ทางอีเมล โดยสคริปต์ดังกล่าวนั้นถูกพัฒนามาจากโครงการโอเพนซอร์สสำหรับการประเมินความปลอดภัยระบบชื่อ CactusTorch ซึ่งมีความสามารถในการโหลดไบนารีซึ่งถูกคอมไพล์จาก .Net ไปยังโปรเซสที่ต้องการเพื่อฝังโค้ดที่เป็นอันตรายได้

ในกรณีของมัลแวร์ดังกล่าว มัลแวร์มีการโหลดโมดูลที่มีชื่อว่า Kraken และกำหนดเป้าหมายในการแทรกโค้ดไบนารีไปยังโปรเซส werfault.

Avast Users Having Internet Issues & Malwarebytes Conflicts After Upgrade

ผู้ใช้ Avast พบปัญหาด้านการใช้งานอินเทอร์เน็ตและการใช้งานโปรแกรม Malwarebytes หลังจากทำการอัปเกรดแล้ว

ในสัปดาห์นี้ผู้ใช้ผลิตภัณฑ์ป้องกันไวรัสของ Avast ได้รายงานปัญหาอินเทอร์เน็ตหลังจากอัปเกรด หากผู้ใช้มีโปรแกรม Malwarebytes ติดตั้งอยู่อาจก่อให้เกิดความขัดข้องกับโปรแกรมเช่นกัน หากต้องการให้โปรแกรมทั้งสองทำงานได้อย่างปกติ จะต้องปิดโมดูลการป้องกันของโปรแกรมใดโปรแกรมหนึ่งเพื่อหลีกเลี่ยงปัญหาดังกล่าว

หลังจากอัปเกรดเป็น Avast 18.6.2349 ผู้ใช้จำนวนมากเริ่มร้องเรียนปัญหาที่ไม่สามารถเรียกดูเว็บไซต์ได้ พวกเขาได้ทดสอบ Ping ไปยังที่อยู่ IP ได้แต่ไม่สามารถเข้าถึงเว็บไซต์ผ่านเบราว์เซอร์ได้ แต่เมื่อปิดใช้งานคอมโพเนนต์ Avast WebShield ที่ช่วยปกป้องผู้ใช้จากการเรียกดูไซต์หรือสคริปต์ที่เป็นอันตราย จึงสามารถเรียกดูเว็บได้ตามปกติ

พนักงานของ Avast ชื่อ Filip Braun กล่าวว่าปัญหานี้อาจเกิดจากการอัปเดตที่ล้มเหลว จึงแนะนำให้ผู้ใช้ลองทำการติดตั้งใหม่ และผู้ใช้บางรายระบุว่าพบปัญหาแม้ว่าจะไม่มีการติดตั้ง Malwarebytes ก็ตาม

ทาง Malwarebytes กล่าวว่าถ้าต้องการใช้โมดูลการปกป้องเว็บต่อไป จะต้องปิดการใช้งาน "Real Site Protection" ของ Avast และทาง Malwarebytes กำลังทำงานร่วมกับ Avast / AVG ในการแก้ไขปัญหาเหล่านี้

ที่มา: bleepingcomputer

Cryptocurrency Mining Scripts Now Run Even After You Close Your Browser

MalwareBytes เผยเทคนิคสคริปต์ขุดบิทคอยน์ที่ทำงานได้แม้จะปิดโปรแกรมเบราว์เซอร์ไปแล้ว

Jérôme Segura นักวิเคราะห์มัลแวร์จาก MalwareBytes ได้มีการเผยแพร่ผลการวิเคราะห์มัลแวร์รวมไปถึงเทคนิคใหม่ที่มัลแวร์ขุดบิทคอยน์ใช้งานเพื่อให้มัลแวร์สามารถทำงานได้แม้ผู้ใช้งานจะมีการปิดโปรแกรมเว็บเบราว์เซอร์ไปแล้ว

โดยปกตินั้นมัลแวร์ขุดบิทคอยน์หรือขุดสกุลเงินดิจิตอลอื่นๆ นั้นอาศัยจังหวะที่ผู้ใช้งานเปิดหน้าเว็บไซต์ที่มีสคริปต์อันตรายฝังอยู่ซึ่งจะเริ่มทำการขุดทันที ส่งผลให้ระบบของผู้ใช้นั้นช้าลงเนื่องจากทรัพยากรของระบบส่วนใหญ่ถูกใช้โดยไปโดยมัลแวร์ อย่างไรก็ตามหากผู้ใช้งานทำการปิดหน้าเพจของเว็บไซต์ที่มีการฝังสคริปต์อันตรายนั้นไปหรือทำการปิดโปรแกรมเว็บเบราว์เซอร์ สคริปต์อันตรายดังกล่าวก็จะถูกหยุดการทำงาน

อย่างไรก็ตาม Segura ค้นพบว่า มัลแวร์ขุดบิทคอยน์มีการใช้งานฟีเจอร์ของเว็บเบราว์เซอร์ฟีเจอร์หนึ่งชื่อ Pop-under โดยฟีเจอร์ดังกล่าวนั้นมักถูกใช้งานในการแสดงโฆษณาโดยบังคับให้มีการเรียกโฆษณาขึ้นมาและซ่อนการแสดงผลโฆษณาดังกล่าวไว้เบื้องหลังไม่ให้ผู้ใช้งานเห็นในทันที

สิ่งที่มัลแวร์ทำนั้นคือเมื่อผู้ใช้งานทำการคลิกที่จุดใดๆ ของเว็บเพจ (จำเป็นต้องมีการคลิกก่อนเนื่องจากเบราว์เซอร์รุ่นใหม่บังคับให้การใช้งาน Pop-under จำเป็นต้องมี user interaction) สคริปต์จะทำการสร้างหน้าต่างใหม่เบื้องหลังหน้าเว็บเพจนั้น และทำการแก้ไขขนาดของหน้าต่างใหม่ให้สามารถซ่อนอยู่เบื้องหลังของ taskbar บริเวณขอบขวาล่างของหน้าจอทันทีโดยที่ผู้ใช้งานไม่ทันสังเกต

แนะนำให้ผู้ใช้งานตรวจสอบการทำงานของแต่ละโปรเซสหากพบอาการของระบบที่ผิดปกติ และถ้าเจอโปรเซสใดโปรเซสหนึ่งของระบบที่มีการใช้งานทรัพยากรที่ผิดปกติ ให้ดำเนินการปิดทันที เพราะโปรเซสดังกล่าวอาจเป็นโปรเซสที่เกี่ยวข้องกับหน้าต่างที่ซ่อนอยู่ก็เป็นไปได้

ที่มา : thehackernews

Boobytrapped Word File Installs Locky Ransomware When You Close the Document

นักวิจัยด้านความปลอดภัยจาก Malwarebytes ค้นพบวิธีการแพร่กระจาย Locky ransomware จากกลุ่มซึ่งใช้ชื่อแฝงว่า Locky ID#5 และ Locky ID# 3 ผ่านช่องทางต่างๆ หลายรูปแบบ
Marcelo Rivero นักวิจัยด้านความปลอดภัยจาก Malwarebytes ได้ค้นพบการแพร่กระจาย spam ผ่านไฟล์เอกสารด้วยมาโครสคริปต์โดยการทำงานจะต่างจากปกติคือมาโครสคริปต์จะไม่มีการรันจนกว่าผู้ใช้จะทำการปิดไฟล์เอกสาร ซึ่งจะทำให้โซลูชั่นในการรักษาความปลอดภัยต่างๆ ไม่สามารถ สแกนเจอไฟล์ที่เป็นอันตราย
อีกวิธีที่ใช้ในการแพร่กระจาก Locky คือการส่งอีเมลโดยใช้บัญชีของ Dropbox เพื่อหลอกให้ผู้ใช้ทำการยืนยันตัวตน นอกจากนี้ผู้โจมตียังมีการใช้เทคนิคป๊อปอัป "HoeflerText" ซึ่งจะใช้ประโยชน์จากมัลแวร์และ exploit kit โดยเปลี่ยนเส้นทางการรับส่งข้อมูลไปยังหน้าเว็บที่เป็นอันตรายที่มีข้อความว่า "HoeflerText font missing" แสดงเป็นป๊อปอัพขึ้นมา เพื่อหลอกให้ผู้ใช้ดาวโหลดและติดตั้งฟอนต์ที่แท้จริงแล้วเป็นไฟล์จาวาสคริปต์ (ดาวโหลดเป็นไฟล์สคริปต์ JS) โดยเบราว์เซอร์ที่ได้รับผลกระทบคือ Firefox และในตระกูล Chrome เท่านั้น

ที่มา: hbleepingcomputer

New Mac Adware Mughthesec Will Cause Serious Headaches

แจ้งเตือน Adware บน macOS "Mughthesec" อาจต้องลงเครื่องใหม่ลูกเดียว

นักวิจัยด้านความปลอดภัยจาก MalwareBytes "Thomas Reed" เปิดเผยการค้นพบ Adware ตระกูลใหม่บน macOS ชื่อ Mughthesec ซึ่งถูกพัฒนามาจากมัลแวร์รุ่นเก่าในตระกูล OperatorMac ที่เคยมีการแพร่กระจายมาแล้วในช่วงที่ผ่านมา

มัลแวร์ถูกพัฒนาให้มีความสามารถในการตรวจสอบว่ากำลังถูกวิเคราะห์อยู่หรือไม่ด้วยวิธีการอ้างอิงค่า MAC address จากระบบที่มีการแพร่กระจาย ไฟล์ของมัลแวร์ Mughthesec ยังถูกรับรองโดยใบรับรองของแอปเปิลที่ถูกต้องทำให้มันสามารถผ่านการตรวจสอบจากระบบ GateKeeper ได้

Mughthesec มีการแพร่ระบาดในรูปแบบของไฟล์ชื่อ Player.