Hacker ใช้ไฟล์ปฏิบัติการของ Microsoft Office เพื่อดาวน์โหลดมัลแวร์

นักวิจัยด้านความปลอดภัยเผยแพร่การค้นพบ LOLBAS files ซึ่งเป็นไบนารี และสคริปต์ที่มีใช้งานอยู่ใน Windows อย่างถูกต้อง ซึ่งสามารถถูกนำไปใช้เพื่อวัตถุประสงค์ที่เป็นอันตรายได้ โดยพบการเรียกใช้ไฟล์ executable ของ Microsoft’s Outlook email client และ Access database management system รวมไปถึง LOLBAS files สำหรับ Microsoft Publisher application และยังสามารถทำการดาวน์โหลดเพย์โหลดจากเซิร์ฟเวอร์ภายนอกได้อีกด้วย (more…)

HotRat: มัลแวร์ AsyncRAT สายพันธุ์ใหม่ กำลังแพร่กระจายผ่านซอฟต์แวร์ละเมิดลิขสิทธิ์

มัลแวร์ AsyncRAT สายพันธุ์ใหม่ที่ชื่อว่า HotRat กำลังแพร่กระจายผ่านซอฟต์แวร์ และยูทิลิตี้ละเมิดลิขสิทธิ์ อย่างเช่น วิดีโอเกม ซอฟต์แวร์แก้ไขภาพ และเสียง และ Microsoft Office

Martin a Milánek นักวิจัยด้านความปลอดภัยของ Avast ระบุว่า "มัลแวร์ HotRat มีความสามารถหลากหลายรูปแบบในการโจมตี รวมถึงการขโมยข้อมูลการเข้าสู่ระบบ ข้อมูลกระเป๋าเงินดิจิตอล การจับภาพหน้าจอ บันทึกการกดแป้นพิมพ์ การติดตั้งมัลแวร์เพิ่มเติม และการเข้าถึง หรือแก้ไขข้อมูลบนคลิปบอร์ด"

(more…)

นักวิจัยเปิดเผยเทคนิคการแพร่กระจายมัลแวร์แบบใหม่ของกลุ่ม ScarCruft

นักวิจัยด้านความปลอดภัย AhnLab Security Emergency response Center (ASEC), SEKOIA.IO และ Zscaler เปิดเผยรายงานการพบกลุ่ม Advanced Persistent Threat (APT) สัญชาติเกาหลีเหนือ หรือที่รู้จักกันในชื่อ ScarCruft ได้ปรับปรุง และปรับเปลี่ยนกลยุทธ์เพื่อหลีกเลี่ยงการตรวจจับจากอุปกรณ์ป้องกันด้านความปลอดภัยในระหว่างการโจมตี โดยการใช้ไฟล์ Microsoft Compiled HTML Help (CHM) เพื่อดาวน์โหลดมัลแวร์ไปยังเครื่องเป้าหมาย

ScarCruft หรือที่รู้จักกันในชื่อ APT37, Reaper, RedEyes และ Ricochet Chollima เป็นกลุ่ม Advanced Persistent Threat (APT) สัญชาติเกาหลีเหนือ ที่กำลังถูกพบการปฏิบัติการมากขึ้นตั้งแต่ต้นปี 2023 โดยมีการกำหนดเป้าหมายไปยังหน่วยงานต่าง ๆ ของประเทศเกาหลีใต้เพื่อวัตถุประสงค์ในการจารกรรมข้อมูล โดยถูกพบครั้งแรกตั้งแต่ปี 2012

การโจมตีของ ScarCruft

โดยเมื่อเดือนกุมภาพันธ์ 2023 ทาง ASEC ได้เปิดเผยรายงานการค้นพบแคมเปญการโจมตี ซึ่งได้ใช้ไฟล์ HWP ที่มีช่องโหว่ด้านความปลอดภัยใน Hangul word processing เพื่อเรียกใช้แบ็คดอร์ที่ชื่อว่า M2RAT นอกจากนี้ยังพบว่า Hacker ได้ใช้รูปแบบไฟล์อื่น ๆ เช่น CHM, HTA, LNK, XLL และเอกสาร Microsoft Office ที่ใช้มาโครในการโจมตีแบบ phishing email กับเป้าหมายชาวเกาหลีใต้

เมื่อโจมตีได้สำเร็จ ผู้โจมตีจะทำการเรียกใช้ PowerShell เพื่อโหลดมัลแวร์ที่มีชื่อว่า Chinotto ซึ่งมีความสามารถในการเรียกใช้คำสั่งที่มาจาก C2 Server และส่งข้อมูลที่ขโมยออกมากลับไป รวมไปถึงสามารถบันทึกภาพหน้าจอทุก ๆ ห้าวินาที และบันทึกการกดแป้นพิมพ์ จากนั้นข้อมูลที่รวบรวมจะถูกบันทึกไว้ในไฟล์ ZIP และส่งออกไปยัง C2 Server

โดยข้อมูลเชิงลึกที่เกี่ยวกับการโจมตีต่างๆ ของ ScarCruft ถูกเก็บไว้ใน GitHub repository เพื่อใช้เป็นเครื่องโฮสต์สำหรับเรียกใช้เพย์โหลดที่เป็นอันตรายตั้งแต่เดือนตุลาคม 2020 นอกจากนี้ยังพบว่า ScarCruft ได้สร้างหน้าเว็บ phishing webpage เพื่อหลอกล่อเหยื่อ เช่น Naver, iCloud, Kakao, Mail.

Microsoft แจ้งเตือนการใช้ Phishing Kits จำนวนมากเพื่อส่งอีเมลหลายล้านฉบับต่อวัน [EndUser]

เครื่องมือโอเพ่นซอร์สสำหรับการโจมตีแบบ adversary-in-the-middle (AiTM) ถูกพบกำลังถูกนำมาใช้โดยผู้โจมตี

Microsoft Threat Intelligence กำลังติดตามกลุ่มแฮ็กเกอร์ที่อยู่เบื้องหลังการพัฒนาชุดเครื่องมือดังกล่าวภายใต้ชื่อ DEV -1101

การโจมตี AiTM phishing คือความพยายามในการขโมย และดักจับข้อมูลรหัสผ่าน และคุกกี้เซสชั่นของเป้าหมายโดยการติดตั้ง proxy เซิร์ฟเวอร์ระหว่างผู้ใช้กับเว็บไซต์ การโจมตีดังกล่าวมีประสิทธิภาพมาก เนื่องจากมีความสามารถในการหลีกเลี่ยงการป้องกันจาก multi-factor authentication (MFA)

DEV-1101 อยู่เบื้องหลัง Phishing Kits ที่กลุ่มผู้โจมตีรายอื่นสามารถซื้อ หรือเช่าไปใช้ได้ ซึ่งจะช่วยลดความยุ่งยากในการเริ่มการโจมตีด้วย Phishing ได้

เครื่องมือโอเพ่นซอร์สจาก DEV-1101 มาพร้อมกับฟีเจอร์ที่ทำให้สามารถตั้งค่าหน้า Landing Page ฟิชชิ่งที่เลียนแบบ Microsoft Office และ Outlook รวมถึงการจัดการการโจมตีได้จากอุปกรณ์พกพา และแม้แต่ใช้การตรวจสอบจาก CAPTCHA เพื่อหลีกเลี่ยงการตรวจจับ

นับตั้งแต่เปิดตัวบริการดังกล่าวในเดือนพฤษภาคม 2565 เครื่องมือมีการปรับปรุงหลายอย่าง ที่สำคัญที่สุดคือความสามารถในการจัดการเซิร์ฟเวอร์ผ่าน Telegram bot ซึ่งปัจจุบันมีราคา 300 ดอลลาร์สำหรับรายเดือนปกติ และ 1,000 ดอลลาร์สำหรับระดับ VIP

Microsoft ระบุว่าได้ตรวจพบแคมเปญฟิชชิ่งจํานวนมาก ซึ่งครอบคลุมอีเมลฟิชชิ่งนับล้านฉบับต่อวันจากหลากหลายกลุ่มที่ใช้ประโยชน์จากเครื่องมือดังกล่าว

ซึ่งรวมถึงกลุ่ม DEV-0928 ที่ Microsoft ระบุว่าเป็นหนึ่งในผู้สนับสนุนที่สำคัญของ DEV-1101 และเชื่อมโยงกับแคมเปญ Phishing ซึ่งประกอบด้วยอีเมลมากกว่าหนึ่งล้านฉบับตั้งแต่เดือนกันยายน 2565

ลำดับการโจมตีเริ่มต้นด้วยข้อความอีเมลในธีมเอกสารที่มีลิงก์ไปยังเอกสาร PDF ซึ่งเมื่อคลิกแล้ว จะนำผู้รับไปยังหน้าเข้าสู่ระบบที่ปลอมเป็น portal ลงชื่อเข้าใช้ของ Microsoft แต่ก่อนหน้านั้นจะมีการให้ผู้ใช้งานกรอกข้อมูล Captcha ก่อน การใส่หน้า CAPTCHA ลงไปทำให้สามารถป้องกันการถูกตรวจสอบจากระบบอัตโนมัติ แต่ทำให้มั่นใจได้ว่าเหยื่อเป็นผู้เข้าใช้งานเอง

 

ที่มา : thehackernews

พบ Hacker ใช้ Add-in ของ Microsoft Visual Studio ในการโจมตีเป้าหมาย

นักวิจัยด้านความปลอดภัยของ Deep Instinct บริษัทด้านความปลอดภัยทางไซเบอร์ ค้นพบการโจมตีที่ใช้ Microsoft Visual Studio Tools for Office (VSTO) เพื่อแฝงตัว และเรียกใช้คำสั่งที่เป็นอันตรายบนเครื่องเป้าหมาย ผ่าน Add-in ของ Microsoft Office เข้าไปใน VBA macros ของไฟล์เอกสารเพื่อดาวน์โหลดมัลแวร์

นับตั้งแต่ Microsoft ได้ประกาศ Block การทำงานของ macro VBA และ XL4 เป็นค่าเริ่มต้น (default) เหล่า Hackers จึงต้องปรับเปลี่ยนวิธีการโจมตีเป้าหมายใหม่ ไม่ว่าจะเป็น ไฟล์ .ZIP, .ISO และ .LNK เพื่อแพร่กระจายมัลแวร์ รวมไปถึงการใช้ VSTO ในการสร้างมัลแวร์ที่ใช้ .NET และฝังลงใน Add-in ของ Microsoft Office

การโจมตีด้วย VSTO

Microsoft Visual Studio Tools for Office (VSTO) เป็นชุดพัฒนาซอฟต์แวร์ซึ่งเป็นส่วนหนึ่งของ Visual Studio IDE ของ Microsoft ซึ่งใช้ในการสร้างโปรแกรมเสริม และเป็นส่วนขยายสำหรับแอปพลิเคชัน Microsoft Office ที่สามารถสั่งรันโค้ดบนเครื่องได้

โดย Add-in เหล่านี้สามารถรวมเข้ากับไฟล์เอกสาร หรือดาวน์โหลดจากภายนอก และเริ่มการทำงานเมื่อเปิดใช้เอกสารด้วยเอป Microsoft Office ที่เกี่ยวข้องเช่น Word, Excel ซึ่ง Hacker จะใช้วิธีการ local VSTO ทำให้ไม่ต้องทำการหลบเลี่ยงการตรวจจับด้านความปลอดภัยเพื่อเรียกใช้คำสั่งเพิ่มเติม

นอกจากนี้นักวิจัยยังได้พบการโจมตีโดยใช้ VSTO add-ins จากภายนอกอีกด้วย โดยค้นพบจากพารามิเตอร์ "custom.

Top 10 Routinely Exploited Vulnerabilities

DHS, CISA และ FBI เปิดเผยช่องโหว่ยอดนิยม Top 10 ที่ใช้ในการโจมตีช่วง 2016-2019

กระทรวงความมั่นคงแห่งมาตุภูมิ (DHS), สำนักงานความปลอดภัยทางไซเบอร์และโครงสร้างพื้นฐาน (CISA) และ สำนักงานสืบสวนกลางแห่งสหรัฐอเมริกา (FBI) ได้ออกรายงานช่องโหว่ 10 อันดับแรกของซอฟต์แวร์ที่ถูกใช้โจมตีมากที่สุดในช่วงระหว่างปี 2559 ถึงปี 2562 รายละอียดช่องโหว่มีดังนี้

CVE-2017-11882: ช่องโหว่การเรียกใช้โค้ดโจมตีระยะไกลใน Microsoft Office
CVE-2017-0199: ช่องโหว่การเรียกใช้โค้ดโจมตีระยะไกลใน Microsoft Office
CVE-2017-5638: ช่องโหว่การเรียกใช้โค้ดโจมตีระยะไกลบน Apache Struts
CVE-2012-0158: ช่องโหว่การเรียกใช้โค้ดโจมตีระยะไกลใน Microsoft Windows ActiveX
CVE-2019-0604: ช่องโหว่การเรียกใช้โค้ดโจมตีระยะไกลใน Microsoft SharePoint
CVE-2017-0143: ช่องโหว่การเรียกใช้โค้ดโจมตีระยะไกลใน Microsoft SMB
CVE-2018-4878: ช่องโหว่การเรียกใช้โค้ดโดยไม่ได้รับอนุญาตบน Adobe Flash Player
CVE-2017-8759: ช่องโหว่การเรียกใช้โค้ดโจมตีระยะไกลใน Microsoft .NET Framwework
CVE-2015-1641: ช่องโหว่การเรียกใช้โค้ดโดยไม่ได้รับอนุญาตใน Microsoft Office
CVE-2018-7600: ช่องโหว่การเรียกใช้โค้ดโจมตีระยะไกลบน Drupal
US-CERT ได้ออกคำแนะนำในการลดความเสี่ยงจากการโจมตีโดยเเนะนำผู้ใช้งานให้ทำการและอัพเดทแพตซ์ด้านความปลอดภัยให้เป็นเวอร์ชั่นล่าสุดอยู่เสมอ

ที่มา: us-cert

ObliqueRAT linked to threat group launching attacks against government targets

ObliqueRAT เชื่อมโยงกับกลุ่มภัยคุกคามที่เริ่มโจมตีโดยมีรัฐบาลเป็นเป้าหมาย เน้นภูมิภาคเอเชียตะวันออกเฉียงใต้
นักวิจัยเปิดเผย Remote Access Trojan (RAT) ตัวใหม่ที่ดูเหมือนจะเป็นงานฝีมือของกลุ่มภัยคุกคามที่เชี่ยวชาญในการโจมตีรัฐบาล นักวิจัยของ Cisco Talos กล่าวว่ามัลแวร์ที่ถูกเรียกว่า ObliqueRAT กำลังถูกปล่อยในแคมเปญใหม่ที่มุ่งเน้นไปที่เป้าหมายในเอเชียตะวันออกเฉียงใต้ แคมเปญล่าสุดเริ่มขึ้นในเดือนมกราคม 2563 และกำลังดำเนินการอยู่อย่างต่อเนื่อง
อาชญากรไซเบอร์ที่อยู่เบื้องหลังโครงการนี้ใช้ฟิชชิ่งอีเมลเป็นจุดเริ่มต้นในการโจมตี อีเมลดังกล่าวแนบเอกสาร Microsoft Office ที่เป็นอันตราย ซึ่งจะทำการแพร่ RAT ตามมา
เอกสารแนบจะมีชื่อที่ไม่น่าสงสัย เช่น Company-Terms.

Microsoft Office December Security Updates Fix Remote Execution Bugs

Microsoft Office ออกอัปเดตแก้ไขช่องโหว่รันคำสั่งจากระยะไกล
Microsoft Office ออกอัปเดตแพตช์รักษาความปลอดภัย 16 รายการ โดยช่องโหว่ที่สำคัญคือ CVE-2019-1462 ของ PowerPoint รุ่น 2010, 2013 และ 2016 ถ้าผู้โจมตีทำการโจมตีช่องโหว่ดังกล่าวสำเร็จ จะทำให้สามารถรันคำสั่งอันตรายได้ด้วยสิทธิ์ของผู้ที่ใช้งาน PowerPoint ซึ่งในกรณีที่ผู้ใช้งานมีสิทธิ์ administrative ผู้โจมตีก็จะได้สิทธิ์ในการควบคุมเครื่อง
นอกจากนี้ยังมีการแก้ไขช่องโหว่ในโปรแกรมตระกูล Microsoft Office อีกหลายรายการ ผู้ใช้งานและผู้ดูแลระบบสามารถดูรายละเอียดแพตช์รักษาความปลอดภัยทั้งหมดได้ที่ Support Microsoft

ที่มา : Microsoft Office December Security Updates Fix Remote Execution Bugs

Logical Bug in Microsoft Word’s ‘Online Video’ Allows Code Execution

Microsoft Office ได้รับผลกระทบจากช่องโหว่ของ feature “online video” ใน Word ทำให้ผู้โจมตีสามารถรันคำสั่งที่เป็นอันตรายได้

นักวิจัยด้านความปลอดภัย Cymulate กล่าวว่า ปัญหาดังกล่าวส่งผลกระทบต่อผู้ใช้งาน Microsoft Office 2016 และก่อนหน้า เป็นปัญหาเมื่อมีการแนบ online video บนเอกสาร ปัญหาเกี่ยวข้องกับไฟล์ document.

DarkHydrus Relies on Open-Source Tools for Phishing Attacks

DarkHydrus ใช้ Open-Source เป็นเครื่องมือสำหรับช่วยการโจมตี spear-phishing ซึ่งออกแบบมาเพื่อขโมยข้อมูล Credential จากรัฐบาลและสถาบันการศึกษาในตะวันออกกลาง

นักวิจัยของ Palo Alto Networks Unit 42 พบว่ากลุ่มที่มีชื่อว่า "DarkHydrus" ได้ใช้เครื่องมือ Open-Source จาก GitHub ที่ชื่อว่า "Phishery" ช่วยในการโจมตีเพื่อขโมยมูล Credential โดยก่อนหน้านี้เคยใช้เป็น Meterpreter, Cobalt Strike, Invoke-Obfuscation, Mimikatz, PowerShellEmpire และ Veil ร่วมกับเอกสารที่เป็น Microsoft Office เพื่อรับคำสั่งจากระยะไกล

ย้อนกลับไปเมื่อเดือนมิถุนายนพบว่ากลุ่มดังกล่าวได้ทำการโจมตีสถาบันการศึกษา โดยการส่งอีเมลล์ที่ใช้ Subject ว่า "Project Offer" และแนบเอกสารไฟล์ Word เพื่อหลอกให้ผู้ใช้กรอกชื่อผู้ใช้และรหัสผ่าน จากนั้นจึงส่งกลับไปยังเซิร์ฟเวอร์ที่เตรียมไว้

การโจมตีในลักษณะนี้ไม่ใช่วิธีการใหม่ ตัวอย่างเช่น WannaCry และ NotPetya เมื่อปีที่แล้ว ก็ได้มีการใช้ Mimikatz ช่วยในการขโมยข้อมูล Credential และใช้ PsExec เพื่อรับคำสั่งจากระยะไกล

ที่มา: bleepingcomputer