GobRAT ที่ใช้ภาษา Go กำลังมุ่งเป้าหมายไปที่เราเตอร์ที่ใช้ Linux ในประเทศญี่ปุ่น

GobRAT เป็น RAT ที่ใช้ภาษา Golang-based ซึ่งกำลังมุ่งเป้าหมายไปที่เราเตอร์ที่ใช้ Linux ในประเทศญี่ปุ่น โดยอาจใช้ช่องโหว่ที่มีอยู่แล้วเพื่อโจมตี เครื่องมือนี้มีความสามารถหลากหลาย และมุ่งเป้าหมายไปที่สถาปัตยกรรมที่หลากหลาย เช่น x86, x86-64, ARM, และ MIPS

ปฏิบัติการ GobRAT

JPCERT Coordination Center ได้เผยแพร่รายงานที่ยืนยันว่า GobRAT ได้แพร่กระจายในเราเตอร์ของญี่ปุ่นตั้งแต่เดือนกุมภาพันธ์ที่ผ่านมา

การโจมตีเริ่มต้นด้วยการสแกนเปิดหาเราเตอร์ที่มี WEBUI ที่เข้าถึงได้จากอินเทอร์เน็ต
มันจะพยายามเชื่อมต่อโดยอาจใช้ช่องโหว่ที่มีอยู่ก่อนแล้ว จากนั้นจึงเริ่มการติดตั้งมัลแวร์โดยเรียกใช้สคริปต์หลายรายการ
สคริปต์แรกคือ Loader Script ที่ปิดการทำงานของไฟร์วอล เพื่อดาวน์โหลด GobRAT และรันสคริปต์เพิ่มเติม เช่น Start Script และ Daemon Script
สคริปต์ Start Script ทำหน้าที่เรียกใช้ GobRAT โดยปลอมเป็น process Apache daemon (apache) ส่วนสคริปต์ Daemon Script จะตรวจสอบสถานะของ Start Script ทุก ๆ 20 วินาที เพื่อตรวจสอบให้แน่ใจว่าสคริปต์กำลังทำงานอยู่

รายละเอียด GobRAT

GobRAT ประกอบไปด้วย UPX v4 series และใช้โปรโคตอล TLS เพื่อสื่อสารกับ C2 Server

หลังจากติดตั้งมัลแวร์แล้ว GobRAT จะสแกนเครื่องที่ถูกโจมตีเพื่อเก็บข้อมูล เช่น IP address, MAC address, เวลาที่เครื่องทำงาน และสถานะของการเชื่อมต่อในเครือข่าย
ในซอร์สโค้ด คำสั่งสำหรับการเชื่อมต่อกับ C2 และคำสั่ง Linux จะถูกเข้ารหัสไว้ โดยโปรแกรมจะใช้โหมด AES128 CTR เพื่อถอดรหัสคำสั่งเหล่านั้น
GobRAT รองรับรายการคำสั่งทั้งหมด 22 รายการ เพื่อการดำเนินการที่หลากหลาย รวมถึงการรับข้อมูลเครื่อง, อ่าน และเขียนไฟล์, เริ่มต้นการเชื่อมต่อ SOCKS5 socket, และการดำเนินการ reverse shell
มัลแวร์จะพยายาม log in เข้าใช้บริการ Telnet, SSHD, MySQL, Redis, และ PostgreSQL บนเครื่องอื่น ๆ ทั่วทั้งเครือข่าย

GobRAT เป็นซอฟต์แวร์ที่ใช้ภาษา Golang-based อีกหนึ่งตัวที่พยายามใช้ช่องโหว่ในเราท์เตอร์ที่เผยแพร่ในอินเทอร์เน็ต การปล่อยให้เราท์เตอร์ขององค์กรสามารถเข้าถึงได้จากอินเทอร์เน็ตโดยไม่มีการตรวจสอบความปลอดภัยที่เหมาะสม เป็นการเชื้อเชิญให้ GobRAT และภัยคุกคามอื่น ๆ สามารถนำมาใช้เป็นช่องทางในการโจมตีได้

อ้างอิง :https://cyware.

Emby ปิดการทำงานเซิร์ฟเวอร์ Media ของผู้ใช้งานที่ถูกโจมตีล่าสุด

Emby รายงานว่าเพื่อความปลอดภัย Emby ได้ปิดการใช้งานการเข้าถึงเซิร์ฟเวอร์ โดยไม่เปิดเผยจำนวนเซิร์ฟเวอร์ที่ได้รับผลกระทบจากการโจมตี ซึ่งส่วนใหญ่ถูกโจมตีโดยใช้ช่องโหว่ที่เป็นที่รู้จักก่อนหน้านี้ และการตั้งค่าบัญชีผู้ดูแลระบบที่ไม่ปลอดภัย

โดยบริษัทตรวจพบการทำงานของ plugin ที่เป็นอันตรายบนระบบ ดังนั้นเพื่อความปลอดภัยบริษัทจึงทำการปิดเซิร์ฟเวอร์เป็นมาตราการป้องกันไว้ก่อน ในขณะเดียวกันบริษัทได้แจ้งให้ผู้ใช้งานทราบเกี่ยวกับเซิร์ฟเวอร์ที่ได้รับผลกระทบ

การโจมตีเกิดขึ้นในช่วงกลางเดือนพฤษภาคม 2023 โดยผู้โจมตีกำหนดเป้าหมายไปยังเซิร์ฟเวอร์ Emby ที่เข้าถึงได้จากอินเตอร์เน็ต และเข้าสู่ระบบได้ด้วยสิทธิ์ของผู้ดูแลระบบโดยไม่ต้องใส่รหัสผ่าน

Emby อธิบายในการโจมตีนี้ว่า ผู้โจมตีได้พยายามเข้าสู่ระบบจากภายนอกโดยใช้ช่องโหว่ที่เรียกว่า Proxy Header เพื่อทำให้เซิร์ฟเวอร์ให้สิทธิ์การเข้าถึง และได้รับสิทธิ์เป็นผู้ดูแลระบบ ซึ่งช่องโหว่นี้เป็นที่รู้จักตั้งแต่เดือนกุมภาพันธ์ 2020 และพึ่งได้รับการแก้ไขในเวอร์ชันเบต้า

โดยผู้โจมตีได้ทำการติดตั้ง backdoor เพื่อเข้าควบคุม Emby เซิร์ฟเวอร์ ผ่านการติดตั้ง plugin ที่เป็นอันตราย และเก็บรวบรวม credential ทั้งหมดที่ถูกใช้ในการลงชื่อเข้าใช้บนเซิร์ฟเวอร์

หลังจากการวิเคราะห์ และประเมินความเป็นไปได้ในการแก้ไขปัญหาที่เกิดขึ้น ทีม Emby ได้เผยแพร่การอัปเดตเซิร์ฟเวอร์ ซึ่งสามารถตรวจจับการทำงานของ plugin ที่น่าสงสัย และป้องกันไม่ให้สามารถติดตั้งได้อีก

เพื่อเพิ่มความระมัดระวังเนื่องจากความรุนแรงของสถานการณ์ ทาง Emby ได้ป้องกันการทำงานของเซิร์ฟเวอร์ที่ถูกโจมตีโดยการปิดการใช้งานชั่วคราว เพื่อป้องกันการทำงานของ plugin ที่เป็นอันตราย เพื่อให้ผู้ดูแลระบบสามารถแก้ไขปัญหาได้โดยตรง

เพื่อเพิ่มระดับความปลอดภัย Emby แนะนำให้ตรวจสอบพฤติกรรมที่น่าสงสัยเพิ่มเติมดังนี้

แนะนำให้ผู้ดูแลระบบ Emby ลบไฟล์ helper.

Barracuda แจ้งเตือนช่องโหว่ Zero-Day ที่กำลังถูกนำมาใช้โจมตี Email Security Gateway

บริษัท Barracuda ผู้ให้บริการด้านความปลอดภัยของอีเมล และบริการรักษาความปลอดภัยบนเครือข่าย แจ้งเตือนผู้ใช้งานเกี่ยวกับช่องโหว่ระดับ Critical ที่กำลังถูกนำมาใช้โจมตีระบบ Email Security Gateway (ESG) ของบริษัท

ช่องโหว่ zero-day นี้มีหมายเลข CVE-2023-2868 โดยเป็นช่องโหว่ remote code injection ที่ส่งผลกระทบกับ Barracuda Email Security Gateway เวอร์ชัน 5.1.3.001 ถึง 9.2.0.006 โดย Barracuda ระบุว่าปัญหาของช่องโหว่เกิดจากองค์ประกอบที่ทำหน้าที่ตรวจสอบไฟล์แนบของอีเมลที่เข้าสู่ระบบ

ส่วนจากคำแนะนำของสถาบันมาตรฐาน และเทคโนโลยีแห่งชาติ (NIST) ระบุว่าช่องโหว่นี้เกิดจากกระบวนการประมวลผลไฟล์ .tar (tape archives)

โดยช่องโหว่นี้เกิดจากการตรวจสอบอินพุตที่ไม่สมบูรณ์ของไฟล์ .tar ที่ผู้ใช้ส่งเข้ามา ซึ่งเกี่ยวข้องกับชื่อของไฟล์ที่อยู่ในเอกสารเหล่านั้น ทำให้ผู้โจมตีสามารถจัดรูปแบบชื่อไฟล์เหล่านี้ในลักษณะที่เฉพาะเจาะจงได้ ซึ่งทำให้สามารถรันคำสั่งบนระบบจากภายนอกผ่านตัวดำเนินการ qx ของ Perl ด้วยสิทธิ์ของ Email Security Gateway

ในวันที่ 19 พฤษภาคม 2023 ทาง Barracuda ได้ตรวจพบช่องโหว่ดังกล่าว และทำการอัปเดตอุปกรณ์ ESG ทั่วโลกด้วยการติดตั้งแพตช์ในวันถัดมา นอกจากนี้ยังมีการอัปเดตแพตซ์ครั้งที่สองในวันที่ 21 พฤษภาคม เพื่อเพิ่มประสิทธิภาพในการแก้ไขช่องโหว่

จากการตรวจสอบของบริษัทพบว่า มีการนำช่องโหว่ CVE-2023-2868 มาใช้ในการโจมตีอย่างต่อเนื่อง ส่งผลให้มีการเข้าถึงอุปกรณ์ Email Gateway ได้บางส่วน

ด้วยความที่มีลูกค้ามากกว่า 200,000 รายทั่วโลก บริษัทไม่ได้เปิดเผยขอบเขตของผู้ที่ถูกโจมตี แต่ได้ติดต่อกับผู้ใช้งานที่ได้รับผลกระทบโดยตรงทั้งหมด และให้คำแนะนำในการแก้ไขปัญหา และแนะนำให้ลูกค้าตรวจสอบระบบของตนเอง และคอยดูสถานการณ์อย่างใกล้ชิด

ปัจจุบันยังไม่ทราบรายละเอียดของกลุ่มแฮ็กเกอร์ที่อยู่เบื้องหลังการโจมตี แต่มีข้อสังเกตว่าในช่วงที่ผ่านมากลุ่มแฮ็กเกอร์ที่มาจากประเทศจีน และรัสเซีย มักจะใช้มัลแวร์ที่ออกแบบมาโดยเฉพาะในการโจมตีอุปกรณ์ Cisco, Fortinet, และ SonicWall ที่มีช่องโหว่ในช่วงเดือนที่ผ่านมา

ที่มา: https://thehackernews.

Hacker ชาวอิรักใช้ PowerExchange Backdoor ตัวใหม่ โจมตีรัฐบาลสหรัฐอาหรับเอมิเรตส์

นักวิจัยจาก Fortinet FortiGuard Labs พบว่าหน่วยงานของรัฐที่ไม่ระบุชื่อของสหรัฐอาหรับเอมิเรตส์ ได้ตกเป็นเป้าหมายของการโจมตีโดยใช้แบ็คดอร์ที่มีชื่อว่า PowerExchange ด้วยวิธีการโจมตีโดยใช้ Phishing email พร้อมแนบ ZIP file ที่มีไฟล์โปรแกรมในรูปแบบ .NET และไฟล์ที่ถูกดัดแปลงในรูปแบบ PDF ซึ่งจะทำหน้าที่เป็นดรอปเปอร์เพื่อดำเนินการเพย์โหลดขั้นตอนสุดท้าย ซึ่งจะเป็นการติดตั้งแบ็คดอร์

โดย PowerExchange นั้นถูกเขียนด้วย PowerShell สำหรับการเชื่อมต่อกับ command-and-control (C2) และช่วยให้ผู้โจมตีสามารถเรียกใช้เพย์โหลดได้ตามทีต้องการ และสามารถอัปโหลด และดาวน์โหลดไฟล์จาก C2 ได้

ในส่วนของการแฝงตัวอยู่บนระบบทำได้โดยการใช้ Exchange Web Services (EWS) API เพื่อเชื่อมต่อกับ Exchange Server ของเหยื่อ และใช้ mailbox บนเซิร์ฟเวอร์เพื่อส่ง และรับคำสั่งที่เข้ารหัสจากผู้โจมตี ซึ่งปัจจุบันยังไม่สามารถทราบวิธีการที่ผู้โจมตีใช้เพื่อเข้าถึง domain credentials ในการเชื่อมต่อกับ Exchange Server ของเหยื่อ

ทาง Fortinet ยังพบว่าเซิร์ฟเวอร์ Exchange ถูก Backdoor ด้วยเว็บเชลล์อีกหลายตัว ซึ่งหนึ่งในนั้นถูกเรียกว่า ExchangeLeech (หรือที่รู้จักกันในชื่อ System.

ช่องโหว่ระดับ Critical ของเฟิร์มแวร์ใน Gigabyte systems กระทบกับอุปกรณ์กว่า 7 ล้านเครื่อง

นักวิจัยด้านความปลอดภัยทางไซเบอร์พบพฤติกรรมคล้ายแบ็คดอร์ในระบบของ Gigabyte ซึ่งทำให้เฟิร์มแวร์ UEFI ของอุปกรณ์สามารถส่งไฟล์ปฏิบัติการ (executable file) ของ Windows และเรียกข้อมูลอัปเดตในรูปแบบที่ไม่ปลอดภัยได้

บริษัทความปลอดภัยด้านเฟิร์มแวร์ 'Eclypsium' ระบุว่า พวกเขาตรวจพบความผิดปกติครั้งแรกในเดือนเมษายน 2023 ซึ่งต่อมา Gigabyte ได้ทราบปัญหา และดำเนินการแก้ไขปัญหาดังกล่าวเรียบร้อยแล้ว

John Loucaides รองประธานบริหารฝ่ายกลยุทธ์ของ Eclypsium ให้ข้อมูลกับ The Hacker News ว่า "พวกเขาพบว่าเฟิร์มแวร์ Gigabyte ส่วนใหญ่มีไฟล์ปฏิบัติการแบบ Windows Native Binary ถูกฝังอยู่ภายในเฟิร์มแวร์ UEFI"

ไฟล์ปฏิบัติการของ Windows ที่ตรวจพบ จะถูกเก็บลงดิสก์ และทำงานเป็นส่วนหนึ่งของ process เริ่มต้น Windows คล้ายการโจมตีแบบ double agent ของ LoJack ซึ่งไฟล์ปฏิบัติการนี้จะดาวน์โหลด และเรียกใช้ไบนารีเพิ่มเติมด้วยวิธีการที่ไม่ปลอดภัย

จากรายงานของ Eclypsium ไฟล์ปฏิบัติการนี้จะถูกฝังอยู่ในเฟิร์มแวร์ UEFI และจะถูกเขียนลงดิสก์โดยเฟิร์มแวร์ ซึ่งเป็นส่วนหนึ่งของกระบวนการบูตระบบ และจากนั้นจะถูกเรียกใช้ในลักษณะ update service

แอปพลิเคชันถูกพัฒนาด้วย .NET โดยทำการตั้งค่าให้ดาวน์โหลด และเรียกใช้เพย์โหลดจากเซิร์ฟเวอร์อัปเดตของ Gigabyte ผ่าน HTTP ธรรมดา ซึ่งทำให้กระบวนการดังกล่าวอาจตกเป็นเป้าหมายของการโจมตีแบบ adversary-in-the-middle (AitM) ผ่านเราท์เตอร์ที่ถูกโจมตี

Loucaides ระบุว่า "ซอฟต์แวร์มีจุดประสงค์ให้ดูเหมือนเป็นแอปพลิเคชันสำหรับการอัปเดตที่ดูถูกต้องตามปกติ และอาจส่งผลกระทบต่อ Gigabyte systems ประมาณ 364 ระบบ โดยมีอุปกรณ์ประมาณ 7 ล้านเครื่อง"

เนื่องจากผู้ไม่หวังดีพยายามมองหาวิธีที่จะไม่ถูกตรวจจับอยู่เสมอ และทิ้งร่องรอยการโจมตีให้น้อยที่สุด ช่องโหว่ในการอัปเดตเฟิร์มแวร์ที่มีสิทธิ์พิเศษอาจเป็นการเปิดทางให้เกิดการโจมตีบน UEFI bootkits ซึ่งจะหลบเลี่ยงอุปกรณ์ด้านความปลอดภัยได้ทั้งหมด

สิ่งที่แย่ไปกว่านั้นคือ UEFI code อยู่บนเมนบอร์ด มัลแวร์ที่ถูกฝังในเฟิร์มแวร์สามารถคงอยู่ถาวรแม้ว่าไดรฟ์จะถูกฟอร์แมต และติดตั้งระบบปฏิบัติการใหม่ก็ตาม

แนะนำให้องค์กรต่าง ๆ ควรอัปเดตเฟิร์มแวร์เป็นเวอร์ชันล่าสุดเพื่อลดความเสี่ยงที่อาจเกิดขึ้น นอกจากนี้ยังแนะนำให้ตรวจสอบ และปิดการใช้งานคุณสมบัติ "APP Center Download & Install" ในการตั้งค่า UEFI/BIOS และตั้งรหัสผ่าน BIOS เพื่อป้องกันการเปลี่ยนแปลงที่อาจเป็นอันตราย

อ้างอิง : https://thehackernews.

Ukraine CERT-UA warns of new attacks launched by Russia-linked Armageddon APT

CERT-UA ของยูเครน เตือนถึงการโจมตีครั้งใหม่โดย Armageddon APT. ที่เชื่อมโยงกับรัสเซีย

Ukraine Computer Emergency Response Team (CERT-UA) ได้รายงาน phishing campaign ที่ใช้ข้อความโดยมี subject ชื่อ “On revenge in Kherson!” และมีไฟล์แนบ "Plan Kherson.

Hackers are now hiding malware in Windows Event Logs

แฮ็กเกอร์ใช้วิธีการซ่อนมัลแวร์ใน Windows Event Logs

นักวิจัยด้านความปลอดภัยได้ตรวจพบแคมเปญการโจมตีซึ่งใช้ Windows event logs เพื่อจัดเก็บมัลแวร์ ซึ่งเป็นเทคนิคที่ไม่เคยถูกใช้ในการโจมตีมาก่อน โดยวิธีการนี้ทำให้ผู้โจมตีสามารถวาง fileless มัลแวร์ บน file system ได้ ซึ่งวิธีการนี้จะประกอบไปด้วยเทคนิค และโมดูลที่ออกแบบมาเพื่อหลบเลี่ยงการตรวจจับเป็นจำนวนมาก

การเพิ่ม Payload ไปยัง Windows event logs

นักวิจัยจาก Kaspersky ได้รวบรวมตัวอย่างมัลแวร์ที่สามารถตรวจจับได้ และถูกระบุว่าเป็นภัยคุกคามบนคอมพิวเตอร์ของผู้ใช้งาน จากการตรวจสอบพบว่ามัลแวร์เป็นส่วนหนึ่งของแคมเปญ “very targeted” และมีการใช้ชุดเครื่องมือจำนวนมากที่เป็นทั้งแบบ Custom และที่มีจำหน่ายในเชิงพาณิชย์

โดยส่วนที่น่าสนใจของการโจมตีคือการ injecting shellcode payloads เข้าไปใน Windows event logs สำหรับ Key Management Services (KMS) ซึ่งเป็นการดำเนินการโดย custom malware dropper

Denis Legezo หัวหน้านักวิจัยด้านความปลอดภัยของ Kaspersky กล่าวว่าวิธีนี้ถูกใช้เป็นครั้งแรกในแคมเปญการโจมตีจากมัลแวร์

โดยตัว Dropper จะคัดลอกไฟล์จัดการ OS error ที่ชื่อไฟล์ว่า WerFault.

นักวิจัยเชื่อมโยงการโจมตี CryptoCore ในการแลกเปลี่ยน Cryptocurrency กับ เกาหลีเหนือ

มีการเปิดเผยหลักฐานใหม่ ที่เกี่ยวข้องกับการโจมตีการแลกเปลี่ยนสกุลเงินดิจิทัลในช่วง 3 ปีที่ผ่านมา โดยคาดกันว่าแฮกเกอร์ได้รับการสนับสนุนจากประเทศเกาหลีเหนือ ซึ่งการโจมตีดังกล่าวมีความเป็นไปได้ที่จะเกี่ยวข้องกับกลุ่ม Lazarus (aka APT38 or Hidden Cobra)

นักวิจัยด้านความปลอดภัยทางไซเบอร์ของอิสราเอล ClearSky กล่าวว่าแคมเปญนี้มีชื่อว่า "CryptoCore" ซึ่งกำหนดเป้าหมายการโจมตีเป็นการแลกเปลี่ยนคริปโตในอิสราเอล, ญี่ปุ่น, ยุโรปและสหรัฐอเมริกา ส่งผลให้มีการขโมยสกุลเงิน มูลค่าหลายล้านดอลลาร์ การค้นพบนี้เป็นผลมาจากการปะติดปะต่อจากรายงานที่คล้ายคลึงกันซึ่งมีรายละเอียดจากทาง F-Secure, CERT JPCERT / CC และ NTT Security ในช่วงไม่กี่เดือนที่ผ่านมา

นับตั้งแต่ปี 2552 กลุ่ม Hidden Cobra ได้ดำเนินการจารกรรมสกุลเงินดิจิทัล โดยมีการกำหนดเป้าหมายให้สอดคล้องกับผลประโยชน์ทางเศรษฐกิจและภูมิรัฐศาสตร์ของเกาหลีเหนือ ซึ่งส่วนใหญ่เน้นไปทางการเงินเพื่อหลีกเลี่ยงการคว่ำบาตรระหว่างประเทศ ซึ่งไม่กี่ปีที่ผ่านมาได้ขยายการโจมตีเพิ่มเติมไปที่อุตสาหกรรมการป้องกันและการบินและอวกาศ

CyptoCore หรือ CryptoMimic, Dangerous Password, CageyChameleon, และ Leery Turtle, ไม่ได้มีความแตกต่างกันมาก โดยกลุ่ม Lazarus ซึ่งมุ่งเน้นไปที่การขโมยสกุลเงินดิจิทัลเป็นหลักเช่นกัน ในปี 2018 มีการใช้ประโยชน์จาก spear-phishing เพื่อเป็นการขโมยรหัสผ่านและบัญชีของเหยื่อเพื่อทำการโอนเงินไปยังบัญชีของผู้โจมตี

ปัจจุบันกลุ่ม Lazarus มีการขโมยเงินไปแล้วประมาณ 200 ล้านดอลลาร์ตามรายงานของ ClearSky ที่เผยแพร่ในเดือนมิถุนายน 2020 ซึ่งเชื่อมโยง CryptoCore กับเหยื่อ 5 รายที่อยู่ในสหรัฐอเมริกา ญี่ปุ่น เมื่อรวมกับงานวิจัยล่าสุดแสดงให้เห็นว่าการดำเนินการดังกล่าวส่งผลกระทบเป็นวงกว้างมากกว่าที่บันทึกไว้ก่อนหน้านี้ รวมถึงมีการพัฒนาการโจมตีหลายส่วนไปพร้อม ๆ กันอีกด้วยในปัจจุบัน

ที่มา : thehackernews

Microsoft แจ้งเตือน มัลแวร์ขโมยข้อมูลปลอมตัวเป็น Ransomware

เมื่อวันพฤหัสบดีที่ผ่านมา ทาง Microsoft ออกมาแจ้งเตือนถึง campaign "massive email" โดยมัลแวร์ชื่อ STRRAT ซึ่งใช้ Java-based เพื่อขโมยข้อมูลที่เป็นความลับจากระบบ ในขณะที่ปลอมตัวเป็นมัลแวร์เรียกค่าไถ่

RAT(Remote Access Trojan) ตัวนี้ จะมีพฤติกรรมคล้าย ransomware โดยจะเปลี่ยนชื่อไฟล์ ต่อท้ายด้วยนามสกุล .crimson โดยที่ไม่ได้ทำการเข้ารหัสจริง ๆ ซึ่งถ้าส่วนที่ต่อท้ายนามสกุลของไฟล์นี้ถูกลบออกไป ก็จะสามารถเปิดไฟล์ได้ตามปกติ

ทาง Microsoft พบเห็นการโจมตีเมื่อสัปดาห์ที่แล้ว จาก spam emails ซึ่งถูกส่งจาก email account ที่ถูกยึด มี subject ชื่อ "Outgoing Payments" เพื่อล่อให้ผู้รับเปิดเอกสาร PDF ที่เป็นอันตรายซึ่งอ้างว่าเป็นการโอนเงิน แต่ในความเป็นจริงแล้วเป็นการ เชื่อมต่อกับโดเมนหลอกลวงเพื่อดาวน์โหลดมัลแวร์ STRRAT และยังมีการเชื่อมต่อไปยัง command-and-control server อีกด้วย มัลแวร์ตัวนี้ยังมีคุณสมบัติที่สามารถรวบรวมรหัสผ่านของเบราว์เซอร์, บันทึกการกดแป้นพิมพ์, การเรียกใช้คำสั่งควบคุมจากระยะไกล และสคริปต์ PowerShell

STRRAT ถูกพบครั้งแรกในเดือนมิถุนายนปี 2020 โดย G Data บริษัทรักษาความปลอดภัยทางไซเบอร์ของเยอรมันที่สังเกตเห็น Windows malware (เวอร์ชัน 1.2) ในอีเมลฟิชชิ่งที่มีไฟล์แนบ Jar (หรือ Java Archive) ที่เป็นอันตราย

มัลแวร์มีเป้าหมายในการขโมยข้อมูล credentials ของเบราว์เซอร์, email clients และ passwords ผ่าน keylogging" ส่งผลกระทบกับเบราว์เซอร์และ email clients ดังต่อไปนี้ : Firefox, Internet Explorer, Chrome, Foxmail, Outlook, Thunderbird

Microsoft ตั้งข้อสังเกตว่าเวอร์ชัน 1.5 มีความซับซ้อนมากกว่าเวอร์ชันก่อนหน้า ซึ่งบ่งบอกว่าผู้ที่อยู่เบื้องหลังการโจมตี กำลังพัฒนาเครื่องมืออย่างเต็มที่ และพฤติกรรมการเข้ารหัสแบบหลอก ๆ ยังคงเป็นสัญญาณว่ากลุ่มนี้อาจมีเป้าหมายที่จะสร้างรายได้อย่างรวดเร็ว จากผู้ใช้ที่ไม่สงสัยในการข่มขู่ด้วย Ransomware

Indicators of compromise (IoCs) ที่เกี่ยวข้องกับแคมเปญสามารถเข้าถึงได้ผ่าน GitHub

ที่มา : thehackernews

สายการบินในอินเดียถูกโจมตีทางไซเบอร์ทำให้ข้อมูลลูกค้าถูกบุกรุกนับล้าน

เซิร์ฟเวอร์ที่เก็บข้อมูลของสายการบินแห่งชาติของอินเดีย (Air India) ถูกโจมตีทางไซเบอร์ ส่งผลกระทบต่อข้อมูลของลูกค้าประมาณ 4.5 ล้านรายทั่วโลกถูกบุกรุก
จากรายงานพบว่ามีการโจมตีครั้งแรกในเดือน กุมภาพันธ์ รายละเอียดข้อมูลที่ถูกบุกรุกนั้นประกอบไปด้วย หนังสือเดินทาง, ข้อมูลตั๋ว รวมไปถึงข้อมูลบัตรเครดิต "แต่ในส่วนของ ข้อมูลด้านความปลอดภัยของบัตรเครดิต หมายเลข CVV หรือ CVC นั้นไม่ได้ถูกเก็บอยู่บนเซิร์ฟเวอร์ข้อมูลที่ถูกโจมตี" และ "หลังจากการโจมตีที่เกิดขึ้นยังไม่พบสัญญาณหรือพฤติกรรมที่ผิดปกติเพิ่มเติม" ตามที่สายการบินแห่งชาติของอินเดีย กล่าว
ปัจจุบันนั้นยังไม่มีการออกมายอมรับ หรือรู้ตัวของผู้อยู่เบื้องหลังการโจมตีครั้งนี้
ทาง Air India เองก็ได้ออกมาประกาศให้ลูกค้าของตนนั้นดำเนินการเปลี่ยนรหัสผ่านการเข้าถึงบัญชีผู้ใช้ของพวกเขาบนเว็บไซต์
เมื่อปีที่แล้ว British Airways เองก็ถูกปรับ 20 ล้านปอนด์ (ประมาณ 800 ล้านบาท) เนื่องจากการละเมิดข้อมูลซึ่งส่งผลกระทบต่อข้อมูลส่วนบุคคลและข้อมูลบัตรเครดิตของลูกค้ามากกว่า 400,000 ราย เมื่อปี 2018
นอกจากนี้ในปีเดียวกัน EasyJet ยังออกมายอมรับว่าข้อมูล อีเมล และรายละเอียดการเดินทางของลูกค้าประมาณ 9 ล้านราย ถูกขโมยในการโจมตีทางไซเบอร์เช่นเดียวกัน

ที่มา : bbc