บริษัทโตโยต้ามอเตอร์คอร์ปอเรชั่น พบบริการคลาวด์อีก 2 รายการ ที่มีการตั้งค่าไม่ถูกต้อง ซึ่งทำให้ข้อมูลส่วนบุคคลของเจ้าของรถยนต์รั่วไหลมานานกว่าเจ็ดปี

การค้นพบนี้เกิดขึ้นหลังจากที่ผู้ผลิตรถยนต์ญี่ปุ่นได้ดำเนินการสำรวจอย่างละเอียดในระบบคลาวด์ทั้งหมดที่ถูกจัดการโดยบริษัท TOYOTA Connected Corporation หลังจากค้นพบเซิร์ฟเวอร์ที่มีการตั้งค่าไม่ถูกต้อง ที่ทำให้มีการเปิดเผยข้อมูล location ของลูกค้ากว่า 2 ล้านคนเป็นเวลากว่า 10 ปี

Toyota ประกาศว่า "เราได้ดำเนินการตรวจสอบระบบคลาวด์ทั้งหมดที่ถูกจัดการโดยบริษัท TOYOTA Connected Corporation (TC) และพบว่าข้อมูลบางส่วนที่ประกอบไปด้วยข้อมูลลูกค้าสามารถเข้าถึงได้จากภายนอก"

การรั่วไหลของข้อมูลครั้งแรกบนบริการคลาวด์ ได้เปิดเผยข้อมูลส่วนบุคคลของลูกค้าโตโยต้าในเอเชีย และโอเชียเนีย ตั้งแต่เดือนตุลาคม 2016 ถึงพฤษภาคม 2023

ฐานข้อมูลที่ควรจะเข้าถึงได้เฉพาะผู้จัดจำหน่าย และผู้ให้บริการถูกเผยแพร่ออกสู่สาธารณะ ทำให้ข้อมูลของลูกค้ารั่วไหล โดยมีข้อมูลดังต่อไปนี้

ที่อยู่
ชื่อ
หมายเลขโทรศัพท์
ที่อยู่อีเมล
รหัสลูกค้า
หมายเลขทะเบียนรถยนต์
หมายเลขระบุตัวรถยนต์ (VIN)

ผู้ผลิตรถยนต์สัญชาติญี่ปุ่นไม่ได้ชี้แจ้งว่ามีลูกค้าจำนวนเท่าไรที่ได้รับผลกระทบจากการรั่วไหลนี้

การรั่วไหลของข้อมูลครั้งที่ 2 บนบริการคลาวด์ เกิดขึ้นระหว่างวันที่ 9 กุมภาพันธ์ 2015 ถึงวันที่ 12 พฤษาภม 2023 และมีข้อมูลที่มีความสำคัญเกี่ยวกับระบบนำทางของรถยนต์ เช่น ไอดีของอุปกรณ์ภายในรถยนต์ (navigation terminal), การอัปเดตข้อมูลของแผนที่ และวันที่สร้างข้อมูล(ไม่มีข้อมูลตำแหน่งของยานพาหนะ) ของลูกค้าประมาณ 260,000 รายในประเทศญี่ปุ่น

การรั่วไหลข้อมูลนี้ มีผลกระทบต่อลูกค้าที่สมัครสมาชิกในระบบนำทาง G-BOOK ด้วย G-BOOK mX หรือ G-BOOX mX Pro และลูกค้าบางรายที่สมัครสมาชิก G-Link/G-Link Lite และต่ออายุการใช้งานของแผนที่โดยใช้บริการ Toyota's on Demand ระหว่างวันที่ 9 กุมภาพันธ์ 2015 ถึงวันที่ 31 มีนาคม 2022 รถยนต์ที่ได้รับผลกระทบเป็นรุ่นของยี่ห้อย่อยของโตโยต้าชื่อ Lexus และรถยนต์รุ่น LS, GS, HS, IS, ISF, ISC, LFA, SC, CT, และ RX ที่ขายในช่วงปี 2009 ถึง 2015

โตโยต้าระบุว่า รายการข้อมูลจะถูกลบอัตโนมัติจากระบบคลาวด์หลังจากผ่านไประยะเวลาหนึ่ง ดังนั้นจึงมีข้อมูลที่ถูกเปิดเผยจำกัดในแต่ละช่วงเวลา

รายละเอียดของฐานข้อมูลที่เปิดเผยครั้งแรก (โตโยต้า)

โตโยต้าระบุว่า ถึงแม้ข้อมูลจะถูกเข้าถึงจากภายนอกได้ ก็ไม่เพียงพอที่จะสามารถสรุปรายละเอียดเกี่ยวกับตัวตนของลูกค้า หรือเข้าถึงระบบของรถยนต์ได้

โดยบริษัทได้ใช้ระบบที่ตรวจสอบการกำหนดค่าคลาวด์ และการตั้งค่าฐานข้อมูลทั้งหมดอย่างสม่ำเสมอเพื่อป้องกันการรั่วไหลเช่นนี้อีกในอนาคต

อ้างอิง : https://www.

ในวันพฤหัสบดีที่ผ่านมา (25 พ.ค. 2023) Splunk ประกาศการอัปเดตแพตซ์ด้านความปลอดภัยของ Splunk Enterprise เพื่อแก้ไขช่องโหว่ที่มีระดับความรุนแรงสูงหลายรายการ รวมถึงบางรายการที่มีผลกระทบต่อ third-party packages ที่ใช้ผลิตภัณฑ์นี้

ช่องโหว่ที่รุนแรงที่สุดคือ CVE-2023-32707 ซึ่งเป็นช่องโหว่การยกระดับสิทธิ์ ทำให้ผู้ใช้งานที่มีสิทธิ์ต่ำที่มีความสามารถ 'edit_user' ยกระดับสิทธิ์เป็นผู้ดูแลระบบผ่าน web request ที่ถูกสร้างขึ้นโดยเฉพาะ

Splunk อธิบายว่า "สาเหตุเกิดขึ้นเนื่องจากความสามารถ 'edit_user' ไม่เป็นไปตามการตั้งค่า 'grantableRoles' ในไฟล์ configuration authorize.

ผู้เชี่ยวชาญด้านความปลอดภัยได้พบแคมเปญ Magecart ใหม่ ซึ่งมีเป้าหมายในการขโมยข้อมูลส่วนบุคคลที่สำคัญ (PII) และข้อมูลบัตรเครดิตจากเว็บไซต์ e-commerce

โดยนักวิจัยจากบริษัท Akamai ระบุว่าพบเหยื่ออยู่ในประเทศต่าง ๆ ทั่วทวีปอเมริกาเหนือ, ละตินอเมริกา และยุโรป

แคมเปญการโจมตีใหม่นี้ มีลักษณะเฉพาะด้วยวิธีการที่ผู้ไม่หวังดีจะสร้าง C2 server บนเว็บไซต์ที่ดูเหมือนถูกต้องตามปกติ ด้วยการโจมตีโดยใช้ช่องโหว่ที่เป็นที่รู้จักอย่างแพร่หลายเป็นส่วนใหญ่เพื่อดำเนินการตามแคมเปญนี้

รายละเอียดการโจมตี

ในขั้นตอนแรกของการดำเนินการ ผู้ไม่หวังดีจะค้นหาเว็บไซต์ที่มีช่องโหว่ แล้วดำเนินการโจมตีเว็บไซต์เหล่านั้น และทำให้เว็บไซต์ที่ถูกโจมตีทำหน้าที่เป็น C2 server

ด้วยการใช้เว็บไซต์ที่มีชื่อเสียงเป็นเครื่องมือ ผู้ไม่หวังดีจะสามารถหลีกเลี่ยงการตรวจจับ และหลีกเลี่ยงการบล็อกการเชื่อมต่อได้ ซึ่งทำให้ไม่จำเป็นต้องสร้าง C2 server เป็นของตัวเอง
ต่อจากนั้น ผู้ไม่หวังดีจะดำเนินการแทรก JavaScript ลงในเว็บไซต์ e-commerce ที่เป็นเป้าหมาย ซึ่งในส่วนของ JavaScript จะทำหน้าที่ดึงโค้ดที่เป็นอันตรายจากเว็บไซต์ที่ถูกโจมตีก่อนหน้านี้

การเข้ารหัสเพื่อหลีกเลี่ยงการตรวจสอบ

เพื่อเพิ่มประสิทธิภาพในการโจมตี ผู้ไม่หวังดีได้ใช้การเข้ารหัสแบบ Base64 เพื่อซ่อนเครื่องมือในการคัดลอกข้อมูลบัตรเครดิต
เทคนิคการเข้ารหัสนี้ไม่เพียงแค่ซ่อนที่อยู่ URL ของโฮสต์ แต่ยังใช้โครงสร้างที่คล้ายกับบริการของ third-party ที่มีชื่อเสียง เช่น Google Tag Manager หรือ Facebook Pixel

สิ่งที่สำคัญของการโจมตี

แคมเปญนี้มุ่งเป้าไปที่องค์กรด้านการค้าเป็นหลัก และมีขอบเขตการโจมตีเป็นวงกว้าง บางองค์กรที่ตกเป็นเป้าหมายมีผู้เข้าใช้งานเว็บไซต์มากกว่าแสนคนต่อเดือน
เนื่องจากเหตุการณ์นี้ มีผลกระทบต่อบุคคลอย่างน้อยหลักพันคน และอาจมีผลกระทบต่อบุคคลจำนวนหมื่นคน หรืออาจเป็นจำนวนที่มากกว่านั้น ซึ่งอาจเสี่ยงต่อการถูกขโมยข้อมูลบัตรเครดิต และข้อมูลส่วนบุคคล
การโจมตีแบบ skimming ทำให้อันตรายอย่างมากต่อองค์กรที่เกี่ยวข้องกับการค้าทางดิจิทัล ผลกระทบอาจสร้างความเสียหายต่อชื่อเสี่ยง และผลเสียด้านอื่น ๆ

การโจมตีเพิ่มเติม

แคมเปญการโจมตี Magecart ที่มีชื่อเสียงจำนวนมาก ยังไม่ได้รับการตรวจพบเป็นระยะเวลาหลายเดือน หรือหลายปี
เพียงแค่ในปี 2022 ปีเดียวมีการโจมตีทั้งหมด 9,290 โดเมน และเป็นโดเมนที่เกี่ยวกับการค้าดิจิทัลที่ได้รับผลกระทบจากแคมเปญการโจมตี Magecart มีจำนวน 2,468 โดเมนที่ถูกโจมตีต่อเนื่องตลอดทั้งปี แสดงให้เห็นถึงอันตรายที่เกิดขึ้นกับองค์กรด้านการค้า

แคมเปญนี้ถือเป็นการแจ้งเตือนให้ระวังการโจมตีแบบ skimming ซึ่งผู้ไม่หวังดีจะปรับเปลี่ยนกลยุทธ์เพื่อซ่อนการดำเนินการ และทำให้การตรวจจับยากขึ้น ทำให้เครื่องมือวิเคราะห์ และตรวจจับแบบเดิมอาจไม่สามารถใช้งานกับการโจมตี web skimming ได้ เนื่องจากผู้ไม่หวังดีได้เปลี่ยนวิธีการตลอดเวลา และใช้เทคนิคที่ซับซ้อนขึ้นเรื่อย ๆ เพื่อหลีกเลี่ยงการวิเคราะห์แบบเดิม

อ้างอิง : https://cyware.

GobRAT เป็น RAT ที่ใช้ภาษา Golang-based ซึ่งกำลังมุ่งเป้าหมายไปที่เราเตอร์ที่ใช้ Linux ในประเทศญี่ปุ่น โดยอาจใช้ช่องโหว่ที่มีอยู่แล้วเพื่อโจมตี เครื่องมือนี้มีความสามารถหลากหลาย และมุ่งเป้าหมายไปที่สถาปัตยกรรมที่หลากหลาย เช่น x86, x86-64, ARM, และ MIPS

ปฏิบัติการ GobRAT

JPCERT Coordination Center ได้เผยแพร่รายงานที่ยืนยันว่า GobRAT ได้แพร่กระจายในเราเตอร์ของญี่ปุ่นตั้งแต่เดือนกุมภาพันธ์ที่ผ่านมา

การโจมตีเริ่มต้นด้วยการสแกนเปิดหาเราเตอร์ที่มี WEBUI ที่เข้าถึงได้จากอินเทอร์เน็ต
มันจะพยายามเชื่อมต่อโดยอาจใช้ช่องโหว่ที่มีอยู่ก่อนแล้ว จากนั้นจึงเริ่มการติดตั้งมัลแวร์โดยเรียกใช้สคริปต์หลายรายการ
สคริปต์แรกคือ Loader Script ที่ปิดการทำงานของไฟร์วอล เพื่อดาวน์โหลด GobRAT และรันสคริปต์เพิ่มเติม เช่น Start Script และ Daemon Script
สคริปต์ Start Script ทำหน้าที่เรียกใช้ GobRAT โดยปลอมเป็น process Apache daemon (apache) ส่วนสคริปต์ Daemon Script จะตรวจสอบสถานะของ Start Script ทุก ๆ 20 วินาที เพื่อตรวจสอบให้แน่ใจว่าสคริปต์กำลังทำงานอยู่

รายละเอียด GobRAT

GobRAT ประกอบไปด้วย UPX v4 series และใช้โปรโคตอล TLS เพื่อสื่อสารกับ C2 Server

หลังจากติดตั้งมัลแวร์แล้ว GobRAT จะสแกนเครื่องที่ถูกโจมตีเพื่อเก็บข้อมูล เช่น IP address, MAC address, เวลาที่เครื่องทำงาน และสถานะของการเชื่อมต่อในเครือข่าย
ในซอร์สโค้ด คำสั่งสำหรับการเชื่อมต่อกับ C2 และคำสั่ง Linux จะถูกเข้ารหัสไว้ โดยโปรแกรมจะใช้โหมด AES128 CTR เพื่อถอดรหัสคำสั่งเหล่านั้น
GobRAT รองรับรายการคำสั่งทั้งหมด 22 รายการ เพื่อการดำเนินการที่หลากหลาย รวมถึงการรับข้อมูลเครื่อง, อ่าน และเขียนไฟล์, เริ่มต้นการเชื่อมต่อ SOCKS5 socket, และการดำเนินการ reverse shell
มัลแวร์จะพยายาม log in เข้าใช้บริการ Telnet, SSHD, MySQL, Redis, และ PostgreSQL บนเครื่องอื่น ๆ ทั่วทั้งเครือข่าย

GobRAT เป็นซอฟต์แวร์ที่ใช้ภาษา Golang-based อีกหนึ่งตัวที่พยายามใช้ช่องโหว่ในเราท์เตอร์ที่เผยแพร่ในอินเทอร์เน็ต การปล่อยให้เราท์เตอร์ขององค์กรสามารถเข้าถึงได้จากอินเทอร์เน็ตโดยไม่มีการตรวจสอบความปลอดภัยที่เหมาะสม เป็นการเชื้อเชิญให้ GobRAT และภัยคุกคามอื่น ๆ สามารถนำมาใช้เป็นช่องทางในการโจมตีได้

อ้างอิง :https://cyware.

Emby รายงานว่าเพื่อความปลอดภัย Emby ได้ปิดการใช้งานการเข้าถึงเซิร์ฟเวอร์ โดยไม่เปิดเผยจำนวนเซิร์ฟเวอร์ที่ได้รับผลกระทบจากการโจมตี ซึ่งส่วนใหญ่ถูกโจมตีโดยใช้ช่องโหว่ที่เป็นที่รู้จักก่อนหน้านี้ และการตั้งค่าบัญชีผู้ดูแลระบบที่ไม่ปลอดภัย

โดยบริษัทตรวจพบการทำงานของ plugin ที่เป็นอันตรายบนระบบ ดังนั้นเพื่อความปลอดภัยบริษัทจึงทำการปิดเซิร์ฟเวอร์เป็นมาตราการป้องกันไว้ก่อน ในขณะเดียวกันบริษัทได้แจ้งให้ผู้ใช้งานทราบเกี่ยวกับเซิร์ฟเวอร์ที่ได้รับผลกระทบ

การโจมตีเกิดขึ้นในช่วงกลางเดือนพฤษภาคม 2023 โดยผู้โจมตีกำหนดเป้าหมายไปยังเซิร์ฟเวอร์ Emby ที่เข้าถึงได้จากอินเตอร์เน็ต และเข้าสู่ระบบได้ด้วยสิทธิ์ของผู้ดูแลระบบโดยไม่ต้องใส่รหัสผ่าน

Emby อธิบายในการโจมตีนี้ว่า ผู้โจมตีได้พยายามเข้าสู่ระบบจากภายนอกโดยใช้ช่องโหว่ที่เรียกว่า Proxy Header เพื่อทำให้เซิร์ฟเวอร์ให้สิทธิ์การเข้าถึง และได้รับสิทธิ์เป็นผู้ดูแลระบบ ซึ่งช่องโหว่นี้เป็นที่รู้จักตั้งแต่เดือนกุมภาพันธ์ 2020 และพึ่งได้รับการแก้ไขในเวอร์ชันเบต้า

โดยผู้โจมตีได้ทำการติดตั้ง backdoor เพื่อเข้าควบคุม Emby เซิร์ฟเวอร์ ผ่านการติดตั้ง plugin ที่เป็นอันตราย และเก็บรวบรวม credential ทั้งหมดที่ถูกใช้ในการลงชื่อเข้าใช้บนเซิร์ฟเวอร์

หลังจากการวิเคราะห์ และประเมินความเป็นไปได้ในการแก้ไขปัญหาที่เกิดขึ้น ทีม Emby ได้เผยแพร่การอัปเดตเซิร์ฟเวอร์ ซึ่งสามารถตรวจจับการทำงานของ plugin ที่น่าสงสัย และป้องกันไม่ให้สามารถติดตั้งได้อีก

เพื่อเพิ่มความระมัดระวังเนื่องจากความรุนแรงของสถานการณ์ ทาง Emby ได้ป้องกันการทำงานของเซิร์ฟเวอร์ที่ถูกโจมตีโดยการปิดการใช้งานชั่วคราว เพื่อป้องกันการทำงานของ plugin ที่เป็นอันตราย เพื่อให้ผู้ดูแลระบบสามารถแก้ไขปัญหาได้โดยตรง

เพื่อเพิ่มระดับความปลอดภัย Emby แนะนำให้ตรวจสอบพฤติกรรมที่น่าสงสัยเพิ่มเติมดังนี้

แนะนำให้ผู้ดูแลระบบ Emby ลบไฟล์ helper.

บริษัท Barracuda ผู้ให้บริการด้านความปลอดภัยของอีเมล และบริการรักษาความปลอดภัยบนเครือข่าย แจ้งเตือนผู้ใช้งานเกี่ยวกับช่องโหว่ระดับ Critical ที่กำลังถูกนำมาใช้โจมตีระบบ Email Security Gateway (ESG) ของบริษัท

ช่องโหว่ zero-day นี้มีหมายเลข CVE-2023-2868 โดยเป็นช่องโหว่ remote code injection ที่ส่งผลกระทบกับ Barracuda Email Security Gateway เวอร์ชัน 5.1.3.001 ถึง 9.2.0.006 โดย Barracuda ระบุว่าปัญหาของช่องโหว่เกิดจากองค์ประกอบที่ทำหน้าที่ตรวจสอบไฟล์แนบของอีเมลที่เข้าสู่ระบบ

ส่วนจากคำแนะนำของสถาบันมาตรฐาน และเทคโนโลยีแห่งชาติ (NIST) ระบุว่าช่องโหว่นี้เกิดจากกระบวนการประมวลผลไฟล์ .tar (tape archives)

โดยช่องโหว่นี้เกิดจากการตรวจสอบอินพุตที่ไม่สมบูรณ์ของไฟล์ .tar ที่ผู้ใช้ส่งเข้ามา ซึ่งเกี่ยวข้องกับชื่อของไฟล์ที่อยู่ในเอกสารเหล่านั้น ทำให้ผู้โจมตีสามารถจัดรูปแบบชื่อไฟล์เหล่านี้ในลักษณะที่เฉพาะเจาะจงได้ ซึ่งทำให้สามารถรันคำสั่งบนระบบจากภายนอกผ่านตัวดำเนินการ qx ของ Perl ด้วยสิทธิ์ของ Email Security Gateway

ในวันที่ 19 พฤษภาคม 2023 ทาง Barracuda ได้ตรวจพบช่องโหว่ดังกล่าว และทำการอัปเดตอุปกรณ์ ESG ทั่วโลกด้วยการติดตั้งแพตช์ในวันถัดมา นอกจากนี้ยังมีการอัปเดตแพตซ์ครั้งที่สองในวันที่ 21 พฤษภาคม เพื่อเพิ่มประสิทธิภาพในการแก้ไขช่องโหว่

จากการตรวจสอบของบริษัทพบว่า มีการนำช่องโหว่ CVE-2023-2868 มาใช้ในการโจมตีอย่างต่อเนื่อง ส่งผลให้มีการเข้าถึงอุปกรณ์ Email Gateway ได้บางส่วน

ด้วยความที่มีลูกค้ามากกว่า 200,000 รายทั่วโลก บริษัทไม่ได้เปิดเผยขอบเขตของผู้ที่ถูกโจมตี แต่ได้ติดต่อกับผู้ใช้งานที่ได้รับผลกระทบโดยตรงทั้งหมด และให้คำแนะนำในการแก้ไขปัญหา และแนะนำให้ลูกค้าตรวจสอบระบบของตนเอง และคอยดูสถานการณ์อย่างใกล้ชิด

ปัจจุบันยังไม่ทราบรายละเอียดของกลุ่มแฮ็กเกอร์ที่อยู่เบื้องหลังการโจมตี แต่มีข้อสังเกตว่าในช่วงที่ผ่านมากลุ่มแฮ็กเกอร์ที่มาจากประเทศจีน และรัสเซีย มักจะใช้มัลแวร์ที่ออกแบบมาโดยเฉพาะในการโจมตีอุปกรณ์ Cisco, Fortinet, และ SonicWall ที่มีช่องโหว่ในช่วงเดือนที่ผ่านมา

ที่มา: https://thehackernews.

นักวิจัยจาก Fortinet FortiGuard Labs พบว่าหน่วยงานของรัฐที่ไม่ระบุชื่อของสหรัฐอาหรับเอมิเรตส์ ได้ตกเป็นเป้าหมายของการโจมตีโดยใช้แบ็คดอร์ที่มีชื่อว่า PowerExchange ด้วยวิธีการโจมตีโดยใช้ Phishing email พร้อมแนบ ZIP file ที่มีไฟล์โปรแกรมในรูปแบบ .NET และไฟล์ที่ถูกดัดแปลงในรูปแบบ PDF ซึ่งจะทำหน้าที่เป็นดรอปเปอร์เพื่อดำเนินการเพย์โหลดขั้นตอนสุดท้าย ซึ่งจะเป็นการติดตั้งแบ็คดอร์

โดย PowerExchange นั้นถูกเขียนด้วย PowerShell สำหรับการเชื่อมต่อกับ command-and-control (C2) และช่วยให้ผู้โจมตีสามารถเรียกใช้เพย์โหลดได้ตามทีต้องการ และสามารถอัปโหลด และดาวน์โหลดไฟล์จาก C2 ได้

ในส่วนของการแฝงตัวอยู่บนระบบทำได้โดยการใช้ Exchange Web Services (EWS) API เพื่อเชื่อมต่อกับ Exchange Server ของเหยื่อ และใช้ mailbox บนเซิร์ฟเวอร์เพื่อส่ง และรับคำสั่งที่เข้ารหัสจากผู้โจมตี ซึ่งปัจจุบันยังไม่สามารถทราบวิธีการที่ผู้โจมตีใช้เพื่อเข้าถึง domain credentials ในการเชื่อมต่อกับ Exchange Server ของเหยื่อ

ทาง Fortinet ยังพบว่าเซิร์ฟเวอร์ Exchange ถูก Backdoor ด้วยเว็บเชลล์อีกหลายตัว ซึ่งหนึ่งในนั้นถูกเรียกว่า ExchangeLeech (หรือที่รู้จักกันในชื่อ System.

นักวิจัยด้านความปลอดภัยทางไซเบอร์พบพฤติกรรมคล้ายแบ็คดอร์ในระบบของ Gigabyte ซึ่งทำให้เฟิร์มแวร์ UEFI ของอุปกรณ์สามารถส่งไฟล์ปฏิบัติการ (executable file) ของ Windows และเรียกข้อมูลอัปเดตในรูปแบบที่ไม่ปลอดภัยได้

บริษัทความปลอดภัยด้านเฟิร์มแวร์ 'Eclypsium' ระบุว่า พวกเขาตรวจพบความผิดปกติครั้งแรกในเดือนเมษายน 2023 ซึ่งต่อมา Gigabyte ได้ทราบปัญหา และดำเนินการแก้ไขปัญหาดังกล่าวเรียบร้อยแล้ว

John Loucaides รองประธานบริหารฝ่ายกลยุทธ์ของ Eclypsium ให้ข้อมูลกับ The Hacker News ว่า "พวกเขาพบว่าเฟิร์มแวร์ Gigabyte ส่วนใหญ่มีไฟล์ปฏิบัติการแบบ Windows Native Binary ถูกฝังอยู่ภายในเฟิร์มแวร์ UEFI"

ไฟล์ปฏิบัติการของ Windows ที่ตรวจพบ จะถูกเก็บลงดิสก์ และทำงานเป็นส่วนหนึ่งของ process เริ่มต้น Windows คล้ายการโจมตีแบบ double agent ของ LoJack ซึ่งไฟล์ปฏิบัติการนี้จะดาวน์โหลด และเรียกใช้ไบนารีเพิ่มเติมด้วยวิธีการที่ไม่ปลอดภัย

จากรายงานของ Eclypsium ไฟล์ปฏิบัติการนี้จะถูกฝังอยู่ในเฟิร์มแวร์ UEFI และจะถูกเขียนลงดิสก์โดยเฟิร์มแวร์ ซึ่งเป็นส่วนหนึ่งของกระบวนการบูตระบบ และจากนั้นจะถูกเรียกใช้ในลักษณะ update service

แอปพลิเคชันถูกพัฒนาด้วย .NET โดยทำการตั้งค่าให้ดาวน์โหลด และเรียกใช้เพย์โหลดจากเซิร์ฟเวอร์อัปเดตของ Gigabyte ผ่าน HTTP ธรรมดา ซึ่งทำให้กระบวนการดังกล่าวอาจตกเป็นเป้าหมายของการโจมตีแบบ adversary-in-the-middle (AitM) ผ่านเราท์เตอร์ที่ถูกโจมตี

Loucaides ระบุว่า "ซอฟต์แวร์มีจุดประสงค์ให้ดูเหมือนเป็นแอปพลิเคชันสำหรับการอัปเดตที่ดูถูกต้องตามปกติ และอาจส่งผลกระทบต่อ Gigabyte systems ประมาณ 364 ระบบ โดยมีอุปกรณ์ประมาณ 7 ล้านเครื่อง"

เนื่องจากผู้ไม่หวังดีพยายามมองหาวิธีที่จะไม่ถูกตรวจจับอยู่เสมอ และทิ้งร่องรอยการโจมตีให้น้อยที่สุด ช่องโหว่ในการอัปเดตเฟิร์มแวร์ที่มีสิทธิ์พิเศษอาจเป็นการเปิดทางให้เกิดการโจมตีบน UEFI bootkits ซึ่งจะหลบเลี่ยงอุปกรณ์ด้านความปลอดภัยได้ทั้งหมด

สิ่งที่แย่ไปกว่านั้นคือ UEFI code อยู่บนเมนบอร์ด มัลแวร์ที่ถูกฝังในเฟิร์มแวร์สามารถคงอยู่ถาวรแม้ว่าไดรฟ์จะถูกฟอร์แมต และติดตั้งระบบปฏิบัติการใหม่ก็ตาม

แนะนำให้องค์กรต่าง ๆ ควรอัปเดตเฟิร์มแวร์เป็นเวอร์ชันล่าสุดเพื่อลดความเสี่ยงที่อาจเกิดขึ้น นอกจากนี้ยังแนะนำให้ตรวจสอบ และปิดการใช้งานคุณสมบัติ "APP Center Download & Install" ในการตั้งค่า UEFI/BIOS และตั้งรหัสผ่าน BIOS เพื่อป้องกันการเปลี่ยนแปลงที่อาจเป็นอันตราย

อ้างอิง : https://thehackernews.

CERT-UA ของยูเครน เตือนถึงการโจมตีครั้งใหม่โดย Armageddon APT. ที่เชื่อมโยงกับรัสเซีย

Ukraine Computer Emergency Response Team (CERT-UA) ได้รายงาน phishing campaign ที่ใช้ข้อความโดยมี subject ชื่อ “On revenge in Kherson!” และมีไฟล์แนบ "Plan Kherson.

แฮ็กเกอร์ใช้วิธีการซ่อนมัลแวร์ใน Windows Event Logs

นักวิจัยด้านความปลอดภัยได้ตรวจพบแคมเปญการโจมตีซึ่งใช้ Windows event logs เพื่อจัดเก็บมัลแวร์ ซึ่งเป็นเทคนิคที่ไม่เคยถูกใช้ในการโจมตีมาก่อน โดยวิธีการนี้ทำให้ผู้โจมตีสามารถวาง fileless มัลแวร์ บน file system ได้ ซึ่งวิธีการนี้จะประกอบไปด้วยเทคนิค และโมดูลที่ออกแบบมาเพื่อหลบเลี่ยงการตรวจจับเป็นจำนวนมาก

การเพิ่ม Payload ไปยัง Windows event logs

นักวิจัยจาก Kaspersky ได้รวบรวมตัวอย่างมัลแวร์ที่สามารถตรวจจับได้ และถูกระบุว่าเป็นภัยคุกคามบนคอมพิวเตอร์ของผู้ใช้งาน จากการตรวจสอบพบว่ามัลแวร์เป็นส่วนหนึ่งของแคมเปญ “very targeted” และมีการใช้ชุดเครื่องมือจำนวนมากที่เป็นทั้งแบบ Custom และที่มีจำหน่ายในเชิงพาณิชย์

โดยส่วนที่น่าสนใจของการโจมตีคือการ injecting shellcode payloads เข้าไปใน Windows event logs สำหรับ Key Management Services (KMS) ซึ่งเป็นการดำเนินการโดย custom malware dropper

Denis Legezo หัวหน้านักวิจัยด้านความปลอดภัยของ Kaspersky กล่าวว่าวิธีนี้ถูกใช้เป็นครั้งแรกในแคมเปญการโจมตีจากมัลแวร์

โดยตัว Dropper จะคัดลอกไฟล์จัดการ OS error ที่ชื่อไฟล์ว่า WerFault.