ข้อมูลเบื้องต้น
ผู้เชี่ยวชาญจาก ThreatLabz ของ Zscaler ตรวจพบแคมเปญนี้ในเดือนพฤษภาคม โดยพบว่าการโจมตีในครั้งนี้มุ่งเป้าไปที่หน่วยงานต่างๆของสหรัฐอเมริกา นอกจากนี้ยังมีบริษัทด้านความปลอดภัยของซอฟต์แวร์ ผู้ให้บริการโซลูชันด้านความปลอดภัย การทหาร การดูแลสุขภาพ และเภสัชกรรมที่ตกเป็นเป้าหมายอีกด้วย
ซึ่ง Zscaler ที่เป็นบริษัทที่ตรวจพบแคมเปญนี้ก็เป็นหนึ่งในองค์กรเป้าหมายด้วยเช่นเดียวกัน

ลักษณะการโจมตี
1. การโจมตีเริ่มต้นจากการส่งอีเมลไปยังเป้าหมาย โดยระบุว่ามีข้อความเสียงอยู่ในไฟล์แนบ
2. เมื่อเป้าหมายเปิดไฟล์แนบ สคริป HTML จะทำงาน และเปลี่ยนเส้นทางไปยังหน้าใส่ CAPTCHA ซึ่งการใส่ CAPTCHA จะช่วยให้ผู้โจมตีสามารถหลบเลี่ยงเครื่องมือสแกน URL แบบอัตโนมัติได้
3. หลังจากใส่ CAPTCHA เสร็จมันจะเปลี่ยนเส้นทางเป็น Login Microsoft ปลอมที่เป็นชื่อของเอนทิตีเป้าหมาย และโดเมนของผู้โจมตีเพื่อให้ใส่อีเมล และรหัสผ่าน หากผู้ใช้งานใส่รหัสผ่านเสร็จ จะมีแจ้งเตือนขึ้นว่าไม่มีบัญชีผู้ใช้งานนี้

นอกจากนี้ยังพบว่าฟิลด์ "From" ของอีเมลจะถูกสร้างขึ้นให้สอดคล้องกับบริษัทของผู้รับ เช่น เมื่อมีการกำหนดเป้าหมายพนักงานของ Zscaler URL ของหน้าจะใช้รูปแบบ zscaler.

พบฟังก์ชันบางอย่างบน Microsoft 365 ที่อาจทำให้ผู้โจมตีสามารถเข้ารหัสเพื่อเรียกค่าไถ่ไฟล์ที่จัดเก็บไว้ใน SharePoint และ OneDrive ได้

โดย Proofpoint ระบุว่าการโจมตีด้วยแรนซัมแวร์บน cloud ในครั้งนี้ อาจทำให้ผุ้โจมตีสามารถเข้ารหัสไฟล์ที่เก็บไว้ใน SharePoint และ OneDrive ในลักษณะที่ทำให้ไม่สามารถกู้คืนได้ หากไม่มีการสำรองข้อมูลไว้ภายนอก หรือกุญแจสำหรับถอดรหัสจากผู้โจมตี

การโจมตีสามารถทำได้โดยใช้ Microsoft APIs, command-line interface (CLI) scripts และ PowerShell scripts ซึ่งการโจมตีเกิดขึ้นได้จากฟีเจอร์ของ Microsoft 365 ที่เรียกว่า AutoSave ที่จะสร้างสำเนาของไฟล์เวอร์ชันเก่าเมื่อผู้ใช้แก้ไขไฟล์ที่จัดเก็บไว้ใน OneDrive หรือ SharePoint Online

โดยเริ่มต้นจากการที่ผู้โจมตีสามารถเข้าถึงบัญชี SharePoint Online หรือ OneDrive ของเหยื่อได้ ซึ่งหลักๆช่องทางที่พบการโจมตีได้บ่อยที่สุดที่จะทำให้ได้บัญชีของเหยื่อมานั้น จะเป็นการโจมตีบัญชีโดยตรงผ่านการโจมตีแบบ phishing หรือ brute-force attacks หรือหลอกให้เหยื่อให้สิทธิ์บนแอปพลิเคชัน OAuth แก่ผู้โจมตี หรือเข้าควบคุมเซสชันเว็บของผู้ใช้ที่เข้าสู่ระบบ จากนั้นจึงค่อยขโมยข้อมูลของเหยื่อ และเริ่มกระบวนการเข้ารหัสไฟล์

โดยบางองค์กรอาจมีการตั้งค่า limit เวอร์ชันของ AutoSave บน SharePoint Online หรือ OneDrive ไว้ ซึ่งเวอร์ชันที่เก่าที่สุดก็จะถูกลบทิ้งไปตามจำนวนที่ถูกกำหนดไว้ เช่นหากตั้งไว้ที่ 100 เวอร์ชัน เพื่อมีการสร้างเวอร์ชันที่ 101 เวอร์ชันที่ 1.0 ก็จะถูกลบออกไปเป็นต้น ซึ่งผู้โจมตีจะใช้วิธีการลดจำนวนเวอร์ชันที่จะถูก AutoSave ไว้บนระบบของ Microsoft 365 ลงมาเป็นค่าต่ำๆเช่น 1 เวอร์ชัน จากนั้นก็ทำการเข้ารหัสไฟล์ทั้งหมด 2 ครั้ง ดังนั้นไฟล์ปกติ(ที่ยังไม่ถูกเข้ารหัส) ก็จะถูกลบหายไปทั้งหมดแล้ว เมื่อถึงจุดนี้ผู้โจมตีก็สามารถเรียกค่าไถ่จากองค์กรได้

(more…)

Microsoft Defender For Endpoint ติดแท็กการอัปเดต Google Chrome ที่ผ่าน Google Update ว่าเป็นพฤติกรรมที่ต้องสงสัย

ตามรายงานของผู้ดูแลระบบ Windows โซลูชันความปลอดภัย (เดิมเรียกว่า Microsoft Defender ATP) ได้เริ่มทำเครื่องหมายการอัปเดต Chrome ว่าน่าสงสัยตั้งแต่เย็นที่ผ่านมา ผู้ที่พบปัญหานี้รายงานว่ามีการแจ้งเตือนบน Defender for Endpoint ของ Windows ว่า "มีเหตุการณ์ที่เกี่ยวข้องกับการหลบเลี่ยงการป้องกัน"

ในคำแนะนำของ Microsoft 365 Defender ที่ออกหลังจากการพบการแจ้งเตือนเหล่านี้ Microsoft เปิดเผยว่าเป็น trigger ที่ผิดพลาด โดยถือเป็น false positive และไม่ได้เกิดจากพฤติกรรมที่เป็นอันตราย

"ผู้ดูแลระบบอาจได้รับการแจ้งเตือนที่เป็น false positive สำหรับ Google Update บน Microsoft Defender" Microsoft กล่าว

ประมาณหนึ่งชั่วโมงครึ่งต่อมาได้มีการอัพเดทคำแนะนำ โดย Microsoft กล่าวว่า จุดที่เป็น false Positive ได้รับการแก้ไขแล้ว

"เราพิจารณาแล้วว่าเป็น false positive และเราได้อัปเดตสำหรับการแจ้งเตือนนี้ เพื่อแก้ไขปัญหาที่พบเรียบร้อยแล้ว" โฆษกของ Microsoft กล่าวกับ BleepingComputer (more…)

ทีมข่าวกรองภัยคุกคาม Microsoft 365 เรียกมัลแวร์โทรจันใหม่นี้ว่า "UpdateAgent" icrosoft กล่าวว่า UpdateAgent ได้ผ่านการทำซ้ำหลายครั้งหรือมีการติดมัลแวร์ในอุปกรณ์หลายครั้ง ส่งผลให้มีความสามารถ "การเพิ่มความก้าวหน้าของความสามารถที่ซับซ้อน" โดยนับตั้งแต่รายงานการโจมตีครั้งแรกเมื่อเดือนกันยายน 2563 จนถึงปัจจุบัน

ความสามารถของ UpdateAgent คือ เข้าถึงการใช้สิทธิ์ของผู้ใช้ที่มีอยู่ในทางที่ผิดอย่างลับ ๆ และหลีกเลี่ยง macOS Gatekeeper ซึ่งเป็น feature ด้านความปลอดภัยบนระบบ macOS

มัลแวร์ UpdateAgent แพร่กระจายผ่านการดาวน์โหลด หรือป๊อปอัปโฆษณาที่ปลอมแปลงเป็นซอฟต์แวร์ที่ดูปกติ เช่น video applications, support agent เป็นต้น และพบว่ามัลแวร์ UpdateAgent สามารถใช้ประโยชน์จากโครงสร้างพื้นฐานของคลาวด์ เช่น Amazon S3 และ CloudFront เพื่อทำให้อุปกรณ์ที่ติดมัลแวร์แล้วสามารถติดซ้ำได้อีกครั้ง ซึ่งรวมถึง Adware ในรูปแบบไฟล์ .DMG หรือ .ZIP

เมื่อติดมัลแวร์แล้ว มัลแวร์ Adload จะใช้วิธีการ ad injection และเทคนิค man-in-middle(MitM) เพื่อเปลี่ยนเส้นทางการใช้งานอินเทอร์เน็ตของผู้ใช้ให้ผ่านทางเซิฟเวอร์ของผู้โจมตี แล้วแทรกโฆษณาหลอกลวงในหน้าเว็บหรือผลลัพธ์ของเครื่องมือค้นหา เพื่อเพิ่มโอกาสในการติดมัลแวร์อื่นๆบนเครื่องๆได้อีก

นักวิจัยเตือนว่า "UpdateAgent มีเอกลักษณ์เฉพาะตัวด้วยการอัพเกรดเทคนิคในการพยายามฝังตัวอยู่บนเครื่องเหยื่ออย่างต่อเนื่อง ซึ่งบ่งชี้ว่าโทรจันนี้มีแนวโน้มที่จะใช้เทคนิคที่ซับซ้อนมากขึ้นในแคมเปญต่อไปในอนาคต"

ที่มา : thehackernews

Microsoft ประกาศว่า จะทำให้การเปิดใช้งาน VBA Macros ใน Microsoft Office ได้ยากขึ้น VBA Macros เป็นฟีเจอร์ที่มีประโยชน์สำหรับผู้ใช้งาน แต่ก็เป็นจุดอ่อนที่แฮกเกอร์ใช้เป็นช่องทางในการแพร่กระจาย Malware จึงจำเป็นที่ต้องกำจัดจุดอ่อนนี้เพื่อความปลอดภัยของผู้ใช้งานโดยจะเริ่มต้นในช่วงเดือนเมษายนนี้

การใช้ VBA Macros ที่มีอยู่ในเอกสาร Office เป็นวิธีที่นิยมอย่างมากในการแพร่กระจาย malware ที่เป็นอันตราย และการโจมตีแบบฟิชชิ่งจากมัลแวร์ต่างๆเช่น Emotet , TrickBot , Qbot และ Dridex อีกด้วย

“โดยการจัดการในครั้งนี้มีผลเฉพาะกับ Office บนอุปกรณ์ที่ใช้ Windows และแอปพลิเคชันต่อไปนี้เท่านั้น: Access, Excel, PowerPoint, Visio และ Word" Microsoft Office Product Group ได้กล่าวไว้

Microsoft จะเริ่มจัดการฟีเจอร์ Macros ในเวอร์ชัน 2023 ของ Microsoft 365 ซึ่งคาดว่าจะมีผลในต้นเดือนเมษายน 2022

หลังจากตัดสินใจบล็อคฟีเจอร์ Macros แล้ว ผู้ใช้ Office จะไม่สามารถเปิดใช้งาน Macors ได้อีก เพื่อเป็นการหยุดการแพร่กระจายของ Malware บนเครือข่ายโดยอัตโนมัติเมื่อเปิด Office docs ที่อันตราย รวมถึงโทรจันที่พยายามขโมยข้อมูลต่างๆ และเครื่องมือที่เป็นอันตรายที่ใช้โดยแก๊งแรนซัมแวร์

ณ ปัจจุบัน จนกว่าการบล็อกจะมีผลบังคับใช้ ถ้ามีการเปิดเอกสาร จะมีการตรวจสอบว่ามันถูกแท็กด้วย " Mark of the Web " (MoTW) หรือไม่ ซึ่งจะหมายความว่าไฟล์นั้นได้ถูกดาวน์โหลดมาจากอินเทอร์เน็ต

หากพบแท็ก " Mark of the Web " Microsoft จะเปิดเอกสารในโหมดอ่านอย่างเดียว บล็อกการใช้งานเว้นแต่ผู้ใช้จะคลิกที่ปุ่ม ' Enable Editing ' หรือ ' Enable Content ' ที่แสดงที่ด้านบนของเอกสาร

ดังนั้นการลบปุ่มเหล่านี้ออก บล็อกมาโครจากแหล่งที่ไม่น่าเชื่อถือโดยค่าเริ่มต้น เอกสารที่เป็นอันตรายส่วนใหญ่จะไม่สามารถทำงานได้ ซึ่งเป็นการหยุดการแพร่กระจายของมัลแวร์โดยแฮกเกอร์ที่ใช้ช่องโหว่นี้

จากข้อมูลของ Microsoft การปรับปรุงความปลอดภัยที่สำคัญนี้จะเผยแพร่ไปยังช่องทางการอัปเดต Office อื่นๆ เช่น Current Channel, Monthly Enterprise Channel, and Semi-Annual ในภายหลัง

และจะมีการอัปเดตการเปลี่ยนแปลงนี้ให้กับผู้ใช้ Office LTSC, Office 2021, Office 2019, Office 2016 และ Office 2013 ในอนาคต

“เราจะยังคงปรับปรุงการใช้งาน macro สำหรับผู้ใช้งานของเราอย่างต่อเนื่อง ทั้งนี้เพื่อทำให้ยากขึ้นที่จะหลอกให้ผู้ใช้เรียกใช้โค้ดที่เป็นอันตรายผ่าน social engineering ในขณะที่การใช้มาโครที่ถูกต้อง ยังสามารถเปิดใช้งานได้ตามความเหมาะสมผ่าน Publisher ที่เชื่อถือได้ และ/หรือ Location ที่เชื่อถือได้” Tristan Davis จาก Microsoft กล่าว

ถึงกระนั้นหลังจากที่ Office อัปเดตเปิดตัว และบล็อกฟีเจอร์ Macros ในเอกสารที่ดาวน์โหลดจากอินเทอร์เน็ต แต่เราจะยังคงสามารถเปิดใช้งานได้โดยไปที่ properties ของเอกสารและเลือกปุ่ม " Unlock " ที่ด้านล่างขวา

เมื่อเดือนที่แล้ว Microsoft ยังกล่าวด้วยว่า มาโคร Excel 4.0 (XLM) จะถูกปิดใช้งาน เพื่อป้องกันลูกค้าจากเอกสารอันตรายที่ออกแบบมาเพื่อติดตั้งมัลแวร์

การเปลี่ยนแปลงดังกล่าวได้รับการประกาศครั้งแรกในเดือนตุลาคมเมื่อ Microsoft เปิดเผยครั้งแรกว่า จะปิดการใช้งานมาโคร XLM ทั้งหมด หากผู้ใช้หรือผู้ดูแลระบบไม่ได้เปิดหรือปิดฟีเจอร์ด้วยตนเอง

ที่มา : bleepingcomputer

 

 

 

 

 

 

 

 

ช่องโหว่ใหม่บน Azure AD ทำให้ผู้ไม่หวังดีสามารถเดารหัสผ่านจำนวนมากได้โดยที่ไม่ถูกตรวจจับ

นักวิจัย Secureworks Counter Threat Unit (CTU) พบช่องโหว่ที่เกิดขึ้นบน Microsoft Azure Active Directory ที่ยังไม่ได้รับการ Patch ทำให้ผู้ไม่หวังดีทำการโจมตีด้วยการ Brute-force attacks โดยระบุว่าช่องโหว่ดังกล่าวทำให้ผู้ไม่หวังดีสามารถเดารหัสผ่านได้เรื่อยๆด้วยวิธีการ Brute-force บน Microsoft Azure Active Directory โดยไม่ถูกตรวจจับได้จากพฤติกรรมการพยายามเข้าสู่ระบบหลายๆครั้ง

Azure Active Directory เป็น solution ในการจัดการการเข้าถึงข้อมูล และการเข้าถึงบนระบบ Cloud ของ Microsoft ซึ่งออกแบบมาให้เป็น การเข้าถึงแบบ single sing-on (SSO) และ แบบ multi-factor authentication นอกจากนี้ยังเป็นองค์ประกอบหลักของการใช้งาน Microsoft 365(Office 365) อีกด้วย

จุดอ่อนดังกล่าวเกิดขึ้นที่ระบบ Single Sign-On feature ที่อนุญาตให้ผู้ใช้งานเข้าใช้ได้อัตโนมัติ เมื่อใช้อุปกรณ์ขององค์กรที่เชื่อมต่อกับเครือข่ายภายในโดยไม่ต้องทำการใส่ Password เพื่อให้การโจมตีนี้สำเร็จจะต้องอาศัย Kerberos protocol เพื่อหา User Object บน Azure AD และ ticket-granting ticket (TGT) ที่อนุญาตให้เข้าถึงข้อมูลต่างๆในระบบ ผ่าน UserNameMixed ซึ่งเป็นส่วนสร้าง Token และ error code ของ User โดยที่ไม่มีการสร้างข้อมูลเพื่อเก็บการเข้าถึงแบบ Autologon's authentication

โดยทาง Microsoft ได้ออกมาแจ้งให้กับผู้ใช้งานทราบว่า รายละเอียดดังกล่าวที่นักวิจัยได้แจ้งมา ระบุไม่ได้เป็นช่องโหว่ในด้านความปลอดภัยและยืนยันว่าการเข้าถึงในลักษณะดังกล่าวมีการป้องกัน โดย Token ที่ถูกสร้างด้วย UserNameMixed API ไม่สามารถใช้ในการเข้าถึงข้อมูลได้ ซึ่ง Azure AD มีเงื่อนไขในการตรวจสอบบน Conditional Access, Azure AD Multi-Factor Authentication, Azure AD Identity Protection และจะต้องมีการบันทึกข้อมูลในการเข้าถึงเมื่อมีการเข้าสู่ระบบ

ที่มา : thehackernews

Symantec ประกาศการค้นพบมัลแวร์ตัวที่ 4 ซึ่งเกี่ยวข้องกับ TEARDROP โดยมัลแวร์ตัวที่ 4 นั้นถูกเรียกว่า RAINDROP โดยมีจุดประสงค์ในการโหลดโค้ดมัลแวร์อื่น ๆ มาใช้งานในระบบที่ถูกโจมตีและยึดครองแล้ว
FireEye ออกรายงาน Remediation and Hardening Strategies for Microsoft 365 to Defend Against UNC2452 ซึ่งอธิบายสรุปพฤติกรรมของผู้โจมตีและแนวทางในการเพิ่มความปลอดภัยให้กับ Microsoft 365 อ้างอิงจากพฤติกรรมของผู้โจมตีเพิ่มเติม รวมไปถึงชุดสคริปต์ Mandiant Azure AD Investigator สำหรับการตรวจสอบตามรายงานด้วย
Microsoft 365 Defender Research Team ออกรายงานการวิเคราะห์ส่วนการโจมตีที่สองซึ่งเป็นพฤติกรรมในช่วงที่ผู้โจมตีเข้าถึงระบบเป้าหมายผ่านมัลแวร์ SUNBURST และส่วนที่มีการติดตั้งมัลแวร์ TEARDROP, RAINDROP และมัลแวร์อื่น ๆ เพื่อใช้ทำ Lateral movement อ่านข้อมูลเพิ่มเติมในส่วนนี้ได้ที่ส่วน Attack Techniques
US-CERT ออกรายงาน Malware Analysis Report รหัส AR21-027A ซึ่งเป็นรายละเอียดเกี่ยวกับมัลแวร์ SUPERNOVA
CheckPoint ออกรายงานการจำลองพฤติกรรมของผู้โจมตีในส่วนของการ Lateral movement จากระบบแบบ On-premise ไปยังระบบคลาวด์ Microsoft 365
ตกเป็นเป้าหมาย+เหยื่อใหม่: MalwareBytes, Qualys, Mimecast, Fidelis, Texas IT และอีกกว่า 32% จาก 2,000 โดเมน C&C ในกลุ่มอุตสาหกรรม

อ่านเพิ่มเติม: i-secure

แคมเปญฟิชชิงที่ปลอมแปลงหน้าลงชื่อเข้าใช้ Microsoft 365

ATP Office 365 ได้เปิดเผยถึงข้อมูลแคมเปญฟิชชิงที่ผู้ไม่หวังดีเริ่มทำการปลอมแปลงหน้าลงชื่อเข้าใช้ของ Azure AD และ Microsoft 365 รูปแบบใหม่หลังจาก Microsoft ได้ทำการอัปเดตหน้าลงชื่อเข้าใช้ใหม่ประมาณสามเดือนที่ผ่านมา

การปรับปรุงหน้าลงชื่อเข้าใช้ของ Microsoft นั้นต้องการลดความต้องการแบนด์วิดท์ที่จำเป็นสำหรับการโหลดหน้าลงชื่อเข้าใช้ Azure AD และ Microsoft 365 และหวังให้ผู้ใช้เห็นความเเตกต่างจากเว็บไซต์ฟิชชิ่งที่ไม่ได้ทำการปรับปรุงหน้าชื่อเข้าใช้

เเต่จากการเปิดเผยข้อมูลของ ATP Office 365 นั้นพบว่าผู้โจมตีที่ได้ทำการปรับปรุงหน้าลงชื่อเข้าใช้ของ Azure AD และ Microsoft 365 เป็นรูปแบบใหม่ด้วย นั้นทำให้ผู้โจมตีมีความน่าเชื่อถือมากขึ้น โดยทำให้ผู้โจมตีสามารถหลอกล่อเหยื่อให้การเปิดไฟล์ที่แนบและทำให้สามารถรีไดเร็คไปหน้า Landing Page ฟิชชิ่งที่ทำการลอกเลียนแบบหน้าลงชื่อเข้าใช้ Azure AD และ Microsoft 365

Microsoft ได้เเนะนำให้ผู้ใช้ทำการตรวจสอบเเหล่งที่มาของอีเมลที่เปิดอ่านและทำการตรวจสอบทุกครั้งที่เปิดหน้า Landing Page ลงชื่อเข้าใช้เพื่อป้องกันการฟิชชิงข้อมูลของผู้ใช้

ที่มา : bleepingcomputer

US-CERT ออกคำแนะนำในการรักษาความปลอดภัยให้กับการใช้งาน Microsoft 365 โดยแนะนำให้ปฏิบัติดังต่อไปนี้

เปิดการใช้งานการยืนยันตัวตนหลายปัจจัยให้กับบัญชีผู้ดูแลระบบ [1]
ใช้หลัก Least Privilege เพื่อป้องกันไม่ให้ Global Administrator ถูกโจมตีด้วยการสร้างบัญชีอื่นๆ แยกออกมาโดยให้สิทธิ์ที่จำเป็นเท่านั้น [2],[3]
เปิดการใช้งาน Audit Log โดย Audit Log จะเก็บเหตุการณ์ที่เกิดจากผลิตภัณฑ์ต่างๆ ในเครือ Microsoft 365 เช่น Exchange Online, SharePoint Online, OneDrive เป็นต้น [4]
ปิดการใช้งานอีเมลโปรโตคอลที่ล้าสมัยอย่าง POP3, IMAP หรือ SMTP [5]
เปิดการใช้งานการยืนยันตัวตนหลายปัจจัยให้กับบัญชีการใช้งานทั้งหมด
เปิดการใช้งานการแจ้งเตือนเหตุการณ์ผิดปกติ [6]
ส่ง log ของ Microsoft 365 ไปยัง SIEM ของค์กรเพื่อช่วยในการตรวจจับ [7]

ที่มา: https://www.