พบผู้โจมตีกำลังใช้ไฟล์แนบ RPMSG ที่เข้ารหัส ซึ่งจะถูกส่งผ่านบัญชี Microsoft 365 เพื่อใช้ในการขโมยข้อมูล credentials ด้วยการโจมตีฟิชชิ่งแบบกำหนดเป้าหมาย ซึ่งถูกออกแบบมาเพื่อหลบเลี่ยงการตรวจจับโดยอีเมลเกตเวย์
ไฟล์ RPMSG (restricted permission message files) เป็นไฟล์แนบข้อความอีเมลเข้ารหัสที่สร้างขึ้นโดยใช้ Microsoft's Rights Management Services (RMS) เพื่อการป้องกันเพิ่มเติมสำหรับข้อมูลที่มีความสำคัญ โดยการจำกัดการเข้าถึงเฉพาะผู้รับที่ได้รับอนุญาตเท่านั้น

ผู้รับที่ต้องการอ่านอีเมล จะต้องถูกตรวจสอบสิทธิ์โดยใช้บัญชี Microsoft หรือขอรับ one-time passcode เพื่อถอดรหัส   โดย Trustwave พบว่า ข้อกำหนดสำหรับการตรวจสอบสิทธิ์ของ RPMSG กำลังถูกใช้เพื่อหลอกเป้าหมายให้ส่งข้อมูล credentials ของ Microsoft โดยใช้แบบฟอร์มเข้าสู่ระบบปลอม

ลักษณะการทำงาน

เริ่มต้นด้วยอีเมลที่จะถูกส่งมาจากบัญชี Microsoft 365 ที่ถูกโจมตี ในกรณีนี้มาจากบริษัท Talus Pay ซึ่งเป็นบริษัทประมวลผลการชำระเงิน
ผู้รับคือผู้ใช้งานในแผนกเรียกเก็บเงินของบริษัทผู้รับ ซึ่งอีเมลจะแสดงข้อความที่มีการเข้ารหัสจาก Microsoft
อีเมลของผู้โจมตีจะขอให้เป้าหมายคลิกปุ่ม "Read the message" เพื่อถอดรหัส และเปิดข้อความที่ได้รับการป้องกัน โดยจะถูกเปลี่ยนเส้นทางไปยังหน้าเว็บ Office 365 พร้อมกับคำขอให้ลงชื่อเข้าใช้บัญชี Microsoft
หลังจากผ่านการตรวจสอบสิทธิ์แล้ว ผู้รับก็จะเห็นอีเมลของผู้โจมตี ซึ่งหลังจากคลิกปุ่ม "Click here to Continue" ก็จะถูกนำไปสู่เอกสาร SharePoint ปลอม ที่อยู่บนบริการ InDesign ของ Adobe

จากนั้นเมื่อคลิก "Click Here to View Document" ก็จะถูกนำไปสู่หน้าว่าง และข้อความว่า "Loading.

นักวิจัยจาก Cisco Talos เปิดเผยการค้นพบกลุ่ม Hacker Phishing-as-a-Service (PhaaS) ในชื่อ 'Greatness' ที่พบการโจมตีเป็นจำนวนมากไปยังองค์กรเป้าหมายที่ใช้ Microsoft 365 ในสหรัฐอเมริกา แคนาดา สหราชอาณาจักร ออสเตรเลีย และแอฟริกาใต้ (more…)

Microsoft ประกาศในวันนี้ถึงความพร้อมใช้งานของฟีเจอร์การตั้งเวลาหมดอายุของ session ที่ไม่ได้มีการใช้งาน ของผู้ใช้งานทั่วไปสำหรับ Microsoft 365 เพื่อช่วยปกป้องข้อมูลสำคัญบนอุปกรณ์ที่มีการใช้ร่วมกัน หรืออุปกรณ์ที่ไม่ใช่ของบริษัทที่มีการเปิดทิ้งไว้โดยไม่มีผู้ดูแล

เมื่อมีการเปิดใช้งาน ฟีเจอร์ดังกล่าวจะช่วยป้องกันการรั่วไหลของข้อมูลหากพนักงานลืมล็อกเอาต์จากเครื่อง โดยหลังจากที่ผู้ดูแลระบบ Microsoft 365 หรือ Office 365 เปิดใช้งานฟีเจอร์ใหม่นี้ ผู้ใช้งานที่ถึงระยะเวลาที่กำหนดเมื่อไม่มีการใช้งาน (ในเว็บเบราว์เซอร์ทั้งหมดที่ทำงานอยู่บนทุกอุปกรณ์) จะได้รับการแจ้งเตือนว่ากำลังจะออกจากระบบโดยอัตโนมัติ

(more…)

ข้อมูลเบื้องต้น
ผู้เชี่ยวชาญจาก ThreatLabz ของ Zscaler ตรวจพบแคมเปญนี้ในเดือนพฤษภาคม โดยพบว่าการโจมตีในครั้งนี้มุ่งเป้าไปที่หน่วยงานต่างๆของสหรัฐอเมริกา นอกจากนี้ยังมีบริษัทด้านความปลอดภัยของซอฟต์แวร์ ผู้ให้บริการโซลูชันด้านความปลอดภัย การทหาร การดูแลสุขภาพ และเภสัชกรรมที่ตกเป็นเป้าหมายอีกด้วย
ซึ่ง Zscaler ที่เป็นบริษัทที่ตรวจพบแคมเปญนี้ก็เป็นหนึ่งในองค์กรเป้าหมายด้วยเช่นเดียวกัน

ลักษณะการโจมตี
1. การโจมตีเริ่มต้นจากการส่งอีเมลไปยังเป้าหมาย โดยระบุว่ามีข้อความเสียงอยู่ในไฟล์แนบ
2. เมื่อเป้าหมายเปิดไฟล์แนบ สคริป HTML จะทำงาน และเปลี่ยนเส้นทางไปยังหน้าใส่ CAPTCHA ซึ่งการใส่ CAPTCHA จะช่วยให้ผู้โจมตีสามารถหลบเลี่ยงเครื่องมือสแกน URL แบบอัตโนมัติได้
3. หลังจากใส่ CAPTCHA เสร็จมันจะเปลี่ยนเส้นทางเป็น Login Microsoft ปลอมที่เป็นชื่อของเอนทิตีเป้าหมาย และโดเมนของผู้โจมตีเพื่อให้ใส่อีเมล และรหัสผ่าน หากผู้ใช้งานใส่รหัสผ่านเสร็จ จะมีแจ้งเตือนขึ้นว่าไม่มีบัญชีผู้ใช้งานนี้

นอกจากนี้ยังพบว่าฟิลด์ "From" ของอีเมลจะถูกสร้างขึ้นให้สอดคล้องกับบริษัทของผู้รับ เช่น เมื่อมีการกำหนดเป้าหมายพนักงานของ Zscaler URL ของหน้าจะใช้รูปแบบ zscaler.

พบฟังก์ชันบางอย่างบน Microsoft 365 ที่อาจทำให้ผู้โจมตีสามารถเข้ารหัสเพื่อเรียกค่าไถ่ไฟล์ที่จัดเก็บไว้ใน SharePoint และ OneDrive ได้

โดย Proofpoint ระบุว่าการโจมตีด้วยแรนซัมแวร์บน cloud ในครั้งนี้ อาจทำให้ผุ้โจมตีสามารถเข้ารหัสไฟล์ที่เก็บไว้ใน SharePoint และ OneDrive ในลักษณะที่ทำให้ไม่สามารถกู้คืนได้ หากไม่มีการสำรองข้อมูลไว้ภายนอก หรือกุญแจสำหรับถอดรหัสจากผู้โจมตี

การโจมตีสามารถทำได้โดยใช้ Microsoft APIs, command-line interface (CLI) scripts และ PowerShell scripts ซึ่งการโจมตีเกิดขึ้นได้จากฟีเจอร์ของ Microsoft 365 ที่เรียกว่า AutoSave ที่จะสร้างสำเนาของไฟล์เวอร์ชันเก่าเมื่อผู้ใช้แก้ไขไฟล์ที่จัดเก็บไว้ใน OneDrive หรือ SharePoint Online

โดยเริ่มต้นจากการที่ผู้โจมตีสามารถเข้าถึงบัญชี SharePoint Online หรือ OneDrive ของเหยื่อได้ ซึ่งหลักๆช่องทางที่พบการโจมตีได้บ่อยที่สุดที่จะทำให้ได้บัญชีของเหยื่อมานั้น จะเป็นการโจมตีบัญชีโดยตรงผ่านการโจมตีแบบ phishing หรือ brute-force attacks หรือหลอกให้เหยื่อให้สิทธิ์บนแอปพลิเคชัน OAuth แก่ผู้โจมตี หรือเข้าควบคุมเซสชันเว็บของผู้ใช้ที่เข้าสู่ระบบ จากนั้นจึงค่อยขโมยข้อมูลของเหยื่อ และเริ่มกระบวนการเข้ารหัสไฟล์

โดยบางองค์กรอาจมีการตั้งค่า limit เวอร์ชันของ AutoSave บน SharePoint Online หรือ OneDrive ไว้ ซึ่งเวอร์ชันที่เก่าที่สุดก็จะถูกลบทิ้งไปตามจำนวนที่ถูกกำหนดไว้ เช่นหากตั้งไว้ที่ 100 เวอร์ชัน เพื่อมีการสร้างเวอร์ชันที่ 101 เวอร์ชันที่ 1.0 ก็จะถูกลบออกไปเป็นต้น ซึ่งผู้โจมตีจะใช้วิธีการลดจำนวนเวอร์ชันที่จะถูก AutoSave ไว้บนระบบของ Microsoft 365 ลงมาเป็นค่าต่ำๆเช่น 1 เวอร์ชัน จากนั้นก็ทำการเข้ารหัสไฟล์ทั้งหมด 2 ครั้ง ดังนั้นไฟล์ปกติ(ที่ยังไม่ถูกเข้ารหัส) ก็จะถูกลบหายไปทั้งหมดแล้ว เมื่อถึงจุดนี้ผู้โจมตีก็สามารถเรียกค่าไถ่จากองค์กรได้

(more…)

Microsoft Defender For Endpoint ติดแท็กการอัปเดต Google Chrome ที่ผ่าน Google Update ว่าเป็นพฤติกรรมที่ต้องสงสัย

ตามรายงานของผู้ดูแลระบบ Windows โซลูชันความปลอดภัย (เดิมเรียกว่า Microsoft Defender ATP) ได้เริ่มทำเครื่องหมายการอัปเดต Chrome ว่าน่าสงสัยตั้งแต่เย็นที่ผ่านมา ผู้ที่พบปัญหานี้รายงานว่ามีการแจ้งเตือนบน Defender for Endpoint ของ Windows ว่า "มีเหตุการณ์ที่เกี่ยวข้องกับการหลบเลี่ยงการป้องกัน"

ในคำแนะนำของ Microsoft 365 Defender ที่ออกหลังจากการพบการแจ้งเตือนเหล่านี้ Microsoft เปิดเผยว่าเป็น trigger ที่ผิดพลาด โดยถือเป็น false positive และไม่ได้เกิดจากพฤติกรรมที่เป็นอันตราย

"ผู้ดูแลระบบอาจได้รับการแจ้งเตือนที่เป็น false positive สำหรับ Google Update บน Microsoft Defender" Microsoft กล่าว

ประมาณหนึ่งชั่วโมงครึ่งต่อมาได้มีการอัพเดทคำแนะนำ โดย Microsoft กล่าวว่า จุดที่เป็น false Positive ได้รับการแก้ไขแล้ว

"เราพิจารณาแล้วว่าเป็น false positive และเราได้อัปเดตสำหรับการแจ้งเตือนนี้ เพื่อแก้ไขปัญหาที่พบเรียบร้อยแล้ว" โฆษกของ Microsoft กล่าวกับ BleepingComputer (more…)

ทีมข่าวกรองภัยคุกคาม Microsoft 365 เรียกมัลแวร์โทรจันใหม่นี้ว่า "UpdateAgent" icrosoft กล่าวว่า UpdateAgent ได้ผ่านการทำซ้ำหลายครั้งหรือมีการติดมัลแวร์ในอุปกรณ์หลายครั้ง ส่งผลให้มีความสามารถ "การเพิ่มความก้าวหน้าของความสามารถที่ซับซ้อน" โดยนับตั้งแต่รายงานการโจมตีครั้งแรกเมื่อเดือนกันยายน 2563 จนถึงปัจจุบัน

ความสามารถของ UpdateAgent คือ เข้าถึงการใช้สิทธิ์ของผู้ใช้ที่มีอยู่ในทางที่ผิดอย่างลับ ๆ และหลีกเลี่ยง macOS Gatekeeper ซึ่งเป็น feature ด้านความปลอดภัยบนระบบ macOS

มัลแวร์ UpdateAgent แพร่กระจายผ่านการดาวน์โหลด หรือป๊อปอัปโฆษณาที่ปลอมแปลงเป็นซอฟต์แวร์ที่ดูปกติ เช่น video applications, support agent เป็นต้น และพบว่ามัลแวร์ UpdateAgent สามารถใช้ประโยชน์จากโครงสร้างพื้นฐานของคลาวด์ เช่น Amazon S3 และ CloudFront เพื่อทำให้อุปกรณ์ที่ติดมัลแวร์แล้วสามารถติดซ้ำได้อีกครั้ง ซึ่งรวมถึง Adware ในรูปแบบไฟล์ .DMG หรือ .ZIP

เมื่อติดมัลแวร์แล้ว มัลแวร์ Adload จะใช้วิธีการ ad injection และเทคนิค man-in-middle(MitM) เพื่อเปลี่ยนเส้นทางการใช้งานอินเทอร์เน็ตของผู้ใช้ให้ผ่านทางเซิฟเวอร์ของผู้โจมตี แล้วแทรกโฆษณาหลอกลวงในหน้าเว็บหรือผลลัพธ์ของเครื่องมือค้นหา เพื่อเพิ่มโอกาสในการติดมัลแวร์อื่นๆบนเครื่องๆได้อีก

นักวิจัยเตือนว่า "UpdateAgent มีเอกลักษณ์เฉพาะตัวด้วยการอัพเกรดเทคนิคในการพยายามฝังตัวอยู่บนเครื่องเหยื่ออย่างต่อเนื่อง ซึ่งบ่งชี้ว่าโทรจันนี้มีแนวโน้มที่จะใช้เทคนิคที่ซับซ้อนมากขึ้นในแคมเปญต่อไปในอนาคต"

ที่มา : thehackernews

Microsoft ประกาศว่า จะทำให้การเปิดใช้งาน VBA Macros ใน Microsoft Office ได้ยากขึ้น VBA Macros เป็นฟีเจอร์ที่มีประโยชน์สำหรับผู้ใช้งาน แต่ก็เป็นจุดอ่อนที่แฮกเกอร์ใช้เป็นช่องทางในการแพร่กระจาย Malware จึงจำเป็นที่ต้องกำจัดจุดอ่อนนี้เพื่อความปลอดภัยของผู้ใช้งานโดยจะเริ่มต้นในช่วงเดือนเมษายนนี้

การใช้ VBA Macros ที่มีอยู่ในเอกสาร Office เป็นวิธีที่นิยมอย่างมากในการแพร่กระจาย malware ที่เป็นอันตราย และการโจมตีแบบฟิชชิ่งจากมัลแวร์ต่างๆเช่น Emotet , TrickBot , Qbot และ Dridex อีกด้วย

“โดยการจัดการในครั้งนี้มีผลเฉพาะกับ Office บนอุปกรณ์ที่ใช้ Windows และแอปพลิเคชันต่อไปนี้เท่านั้น: Access, Excel, PowerPoint, Visio และ Word" Microsoft Office Product Group ได้กล่าวไว้

Microsoft จะเริ่มจัดการฟีเจอร์ Macros ในเวอร์ชัน 2023 ของ Microsoft 365 ซึ่งคาดว่าจะมีผลในต้นเดือนเมษายน 2022

หลังจากตัดสินใจบล็อคฟีเจอร์ Macros แล้ว ผู้ใช้ Office จะไม่สามารถเปิดใช้งาน Macors ได้อีก เพื่อเป็นการหยุดการแพร่กระจายของ Malware บนเครือข่ายโดยอัตโนมัติเมื่อเปิด Office docs ที่อันตราย รวมถึงโทรจันที่พยายามขโมยข้อมูลต่างๆ และเครื่องมือที่เป็นอันตรายที่ใช้โดยแก๊งแรนซัมแวร์

ณ ปัจจุบัน จนกว่าการบล็อกจะมีผลบังคับใช้ ถ้ามีการเปิดเอกสาร จะมีการตรวจสอบว่ามันถูกแท็กด้วย " Mark of the Web " (MoTW) หรือไม่ ซึ่งจะหมายความว่าไฟล์นั้นได้ถูกดาวน์โหลดมาจากอินเทอร์เน็ต

หากพบแท็ก " Mark of the Web " Microsoft จะเปิดเอกสารในโหมดอ่านอย่างเดียว บล็อกการใช้งานเว้นแต่ผู้ใช้จะคลิกที่ปุ่ม ' Enable Editing ' หรือ ' Enable Content ' ที่แสดงที่ด้านบนของเอกสาร

ดังนั้นการลบปุ่มเหล่านี้ออก บล็อกมาโครจากแหล่งที่ไม่น่าเชื่อถือโดยค่าเริ่มต้น เอกสารที่เป็นอันตรายส่วนใหญ่จะไม่สามารถทำงานได้ ซึ่งเป็นการหยุดการแพร่กระจายของมัลแวร์โดยแฮกเกอร์ที่ใช้ช่องโหว่นี้

จากข้อมูลของ Microsoft การปรับปรุงความปลอดภัยที่สำคัญนี้จะเผยแพร่ไปยังช่องทางการอัปเดต Office อื่นๆ เช่น Current Channel, Monthly Enterprise Channel, and Semi-Annual ในภายหลัง

และจะมีการอัปเดตการเปลี่ยนแปลงนี้ให้กับผู้ใช้ Office LTSC, Office 2021, Office 2019, Office 2016 และ Office 2013 ในอนาคต

“เราจะยังคงปรับปรุงการใช้งาน macro สำหรับผู้ใช้งานของเราอย่างต่อเนื่อง ทั้งนี้เพื่อทำให้ยากขึ้นที่จะหลอกให้ผู้ใช้เรียกใช้โค้ดที่เป็นอันตรายผ่าน social engineering ในขณะที่การใช้มาโครที่ถูกต้อง ยังสามารถเปิดใช้งานได้ตามความเหมาะสมผ่าน Publisher ที่เชื่อถือได้ และ/หรือ Location ที่เชื่อถือได้” Tristan Davis จาก Microsoft กล่าว

ถึงกระนั้นหลังจากที่ Office อัปเดตเปิดตัว และบล็อกฟีเจอร์ Macros ในเอกสารที่ดาวน์โหลดจากอินเทอร์เน็ต แต่เราจะยังคงสามารถเปิดใช้งานได้โดยไปที่ properties ของเอกสารและเลือกปุ่ม " Unlock " ที่ด้านล่างขวา

เมื่อเดือนที่แล้ว Microsoft ยังกล่าวด้วยว่า มาโคร Excel 4.0 (XLM) จะถูกปิดใช้งาน เพื่อป้องกันลูกค้าจากเอกสารอันตรายที่ออกแบบมาเพื่อติดตั้งมัลแวร์

การเปลี่ยนแปลงดังกล่าวได้รับการประกาศครั้งแรกในเดือนตุลาคมเมื่อ Microsoft เปิดเผยครั้งแรกว่า จะปิดการใช้งานมาโคร XLM ทั้งหมด หากผู้ใช้หรือผู้ดูแลระบบไม่ได้เปิดหรือปิดฟีเจอร์ด้วยตนเอง

ที่มา : bleepingcomputer

 

 

 

 

 

 

 

 

ช่องโหว่ใหม่บน Azure AD ทำให้ผู้ไม่หวังดีสามารถเดารหัสผ่านจำนวนมากได้โดยที่ไม่ถูกตรวจจับ

นักวิจัย Secureworks Counter Threat Unit (CTU) พบช่องโหว่ที่เกิดขึ้นบน Microsoft Azure Active Directory ที่ยังไม่ได้รับการ Patch ทำให้ผู้ไม่หวังดีทำการโจมตีด้วยการ Brute-force attacks โดยระบุว่าช่องโหว่ดังกล่าวทำให้ผู้ไม่หวังดีสามารถเดารหัสผ่านได้เรื่อยๆด้วยวิธีการ Brute-force บน Microsoft Azure Active Directory โดยไม่ถูกตรวจจับได้จากพฤติกรรมการพยายามเข้าสู่ระบบหลายๆครั้ง

Azure Active Directory เป็น solution ในการจัดการการเข้าถึงข้อมูล และการเข้าถึงบนระบบ Cloud ของ Microsoft ซึ่งออกแบบมาให้เป็น การเข้าถึงแบบ single sing-on (SSO) และ แบบ multi-factor authentication นอกจากนี้ยังเป็นองค์ประกอบหลักของการใช้งาน Microsoft 365(Office 365) อีกด้วย

จุดอ่อนดังกล่าวเกิดขึ้นที่ระบบ Single Sign-On feature ที่อนุญาตให้ผู้ใช้งานเข้าใช้ได้อัตโนมัติ เมื่อใช้อุปกรณ์ขององค์กรที่เชื่อมต่อกับเครือข่ายภายในโดยไม่ต้องทำการใส่ Password เพื่อให้การโจมตีนี้สำเร็จจะต้องอาศัย Kerberos protocol เพื่อหา User Object บน Azure AD และ ticket-granting ticket (TGT) ที่อนุญาตให้เข้าถึงข้อมูลต่างๆในระบบ ผ่าน UserNameMixed ซึ่งเป็นส่วนสร้าง Token และ error code ของ User โดยที่ไม่มีการสร้างข้อมูลเพื่อเก็บการเข้าถึงแบบ Autologon's authentication

โดยทาง Microsoft ได้ออกมาแจ้งให้กับผู้ใช้งานทราบว่า รายละเอียดดังกล่าวที่นักวิจัยได้แจ้งมา ระบุไม่ได้เป็นช่องโหว่ในด้านความปลอดภัยและยืนยันว่าการเข้าถึงในลักษณะดังกล่าวมีการป้องกัน โดย Token ที่ถูกสร้างด้วย UserNameMixed API ไม่สามารถใช้ในการเข้าถึงข้อมูลได้ ซึ่ง Azure AD มีเงื่อนไขในการตรวจสอบบน Conditional Access, Azure AD Multi-Factor Authentication, Azure AD Identity Protection และจะต้องมีการบันทึกข้อมูลในการเข้าถึงเมื่อมีการเข้าสู่ระบบ

ที่มา : thehackernews

Symantec ประกาศการค้นพบมัลแวร์ตัวที่ 4 ซึ่งเกี่ยวข้องกับ TEARDROP โดยมัลแวร์ตัวที่ 4 นั้นถูกเรียกว่า RAINDROP โดยมีจุดประสงค์ในการโหลดโค้ดมัลแวร์อื่น ๆ มาใช้งานในระบบที่ถูกโจมตีและยึดครองแล้ว
FireEye ออกรายงาน Remediation and Hardening Strategies for Microsoft 365 to Defend Against UNC2452 ซึ่งอธิบายสรุปพฤติกรรมของผู้โจมตีและแนวทางในการเพิ่มความปลอดภัยให้กับ Microsoft 365 อ้างอิงจากพฤติกรรมของผู้โจมตีเพิ่มเติม รวมไปถึงชุดสคริปต์ Mandiant Azure AD Investigator สำหรับการตรวจสอบตามรายงานด้วย
Microsoft 365 Defender Research Team ออกรายงานการวิเคราะห์ส่วนการโจมตีที่สองซึ่งเป็นพฤติกรรมในช่วงที่ผู้โจมตีเข้าถึงระบบเป้าหมายผ่านมัลแวร์ SUNBURST และส่วนที่มีการติดตั้งมัลแวร์ TEARDROP, RAINDROP และมัลแวร์อื่น ๆ เพื่อใช้ทำ Lateral movement อ่านข้อมูลเพิ่มเติมในส่วนนี้ได้ที่ส่วน Attack Techniques
US-CERT ออกรายงาน Malware Analysis Report รหัส AR21-027A ซึ่งเป็นรายละเอียดเกี่ยวกับมัลแวร์ SUPERNOVA
CheckPoint ออกรายงานการจำลองพฤติกรรมของผู้โจมตีในส่วนของการ Lateral movement จากระบบแบบ On-premise ไปยังระบบคลาวด์ Microsoft 365
ตกเป็นเป้าหมาย+เหยื่อใหม่: MalwareBytes, Qualys, Mimecast, Fidelis, Texas IT และอีกกว่า 32% จาก 2,000 โดเมน C&C ในกลุ่มอุตสาหกรรม

อ่านเพิ่มเติม: i-secure