นักวิจัยของ Kaspersky เปิดเผยการค้นพบกลุ่ม Hacker ใหม่ ที่มีความสามารถระดับสูง Advanced Persistent Threat (APT) ในชื่อ GoldenJackal ซึ่งมีเป้าหมายการโจมตีไปยังรัฐบาลของประเทศในตะวันออกกลาง และเอเชียใต้
โดย Kaspersky ได้ติดตามการดำเนินการของกลุ่ม GoldenJackal มาตั้งแต่ปี 2020 ซึ่งก่อนหน้านี้ได้มุ่งเป้าหมายการโจมตีไปยัง อัฟกานิสถาน อาเซอร์ไบจาน อิหร่าน อิรัก ปากีสถาน และตุรกี ใน (more…)
Proof-of-Concept สำหรับช่องโหว่ CVE-2023-21716 ซึ่งเป็นช่องโหว่ระดับ critical ใน Microsoft Word ที่ทำให้ผู้โจมตีสามารถเรียกใช้โค้ดที่เป็นอันตรายจากระยะไกลได้ ถูกปล่อยออกสู่สาธาณะในช่วงสัปดาห์ที่ผ่านมา
ช่องโหว่ดังกล่าวได้รับคะแนนระดับความรุนแรง 9.8 จาก 10 คะแนน โดย Microsoft ได้ระบุถึงช่องโหว่ดังกล่าวในการอัปเดตด้านความปลอดภัยของ Patch Tuesday ประจำเดือนกุมภาพันธ์ พร้อมกับแนวทางในการแก้ไขชั่วคราวในกรณีที่ยังไม่สามารถทำการอัปเดตได้สองสามข้อ
โดยเมื่อปีที่ผ่าน Joshua Drake นักวิจัยด้านความปลอดภัยได้ค้นพบช่องโหว่ใน “wwlib.
โดยรายงานจาก Kaspersky ระบุว่า กลุ่มแฮ็กเกอร์ที่คาดว่าได้รับการสนับสนุนจากรัฐบาลจีนที่รู้จักกันในชื่อ Stone Panda กำลังมุ่งเป้าการโจมตีไปที่หน่วยงานของประเทศญี่ปุ่น โดยเป้าหมายประกอบไปด้วยองค์กรสื่อ การทูต องค์กรภาครัฐ และกลุ่มองค์กรที่ทำงานเกี่ยวกับการวิจัย
Stone Panda หรือที่รู้จักกันในชื่ออื่น ๆ ว่า APT10, Bronze Riverside, Cicada และ Potassium เป็นกลุ่มแฮ็กเกอร์ที่เป็นที่รู้จักจากการโจมตีองค์กรต่าง ๆ ที่ถูกระบุว่ามีความสำคัญเชิงกลยุทธ์ต่อประเทศจีน โดยคาดว่ากลุ่มดังกล่าวมีความเคลื่อนไหวมาตั้งแต่ปี 2552
กลุ่มดังกล่าวยังเชื่อมโยงกับการโจมตีโดยการใช้มัลแวร์ เช่น SigLoader, SodaMaster และเว็บเชลล์ที่ชื่อว่า Jackpot กับองค์กรต่าง ๆ ในประเทศญี่ปุ่นหลายแห่งตั้งแต่เดือนเมษายน 2564 โดย Trend Micro กำลังติดตามปฏิบัติการของกลุ่มดังกล่าวอยู่ภายใต้ชื่อ Earth Tengshe
การโจมตีครั้งล่าสุดถูกพบเมื่อระหว่างเดือนมีนาคม-มิถุนายน 2565 โดยเกี่ยวข้องกับการใช้ไฟล์ Microsoft Word ปลอม และไฟล์ self-extracting archive (SFX) ในรูปแบบ RAR ผ่านการโจมตีแบบ spear-phishing เพื่อทำการติดตั้ง backdoor ที่ชื่อว่า LODEINFO
โดยปกติผู้โจมตีจะต้องการให้เหยื่อเปิดใช้งาน macro บนไฟล์เอกสารที่เป็นอันตรายเนื่องจากต้องการให้มัลแวร์ทำงาน แต่พบว่าในเดือนมิถุนายน 2565 Stone Panda ได้เปลี่ยนไปใช้ไฟล์ SFX ที่เมื่อเปิดขึ้นมาแล้วจะแสดงเอกสาร Word ที่ดูปกติ เพื่อปกปิดพฤติกรรมที่เป็นอันตราย
(more…)
นักวิเคราะห์ภัยคุกคามได้ค้นพบแคมเปญเกี่ยวกับการกระจายมัลแวร์รูปแบบใหม่ โดยใช้ไฟล์แนบที่เป็น PDF แล้วฝังการเรียกใช้งานไฟล์เอกสาร Microsoft Word ที่เป็นอันตรายไว้ภายใน
ในรายงานของนักวิจัยจาก HP Wolf Security ได้ระบุว่าไฟล์ PDF ได้ถูกใช้เป็นเครื่องมือในการส่งเอกสารที่มี Macro ที่เป็นอันตราย ที่จะใช้ในการดาวน์โหลด และติดตั้ง Malware ขโมยข้อมูลของเครื่องเหยื่อโดยการฝังเอกสาร Microsoft Word ไว้ในไฟล์ PDFs
โดยในแคมเปญนี้ทางผู้โจมตีจะมีการส่งอีเมล์ที่มีการแนบไฟล์ PDF ที่มีชื่อว่า “Remittance Invoice” ซึ่งรายละเอียดภายในอีเมลระบุว่าจะมีการจ่ายเงินให้กับผู้รับ และเมื่อเปิดไฟล์ PDF ขึ้นมาก็จะมีการแจ้งให้ผู้ใช้เปิดไฟล์ DOCX ที่อยู่ภายใน ซึ่งอาจทำให้เหยื่อหลงเชื่อ และยอมอนุญาตให้เปิดไฟล์ขึ้นมาได้
(more…)
การโจมตีจะเริ่มต้นด้วยฟิชชิ่งอีเมล หรือแคมเปญสเปียร์ฟิชชิ่งที่มีเอกสาร Microsoft Word ที่เป็นอันตราย (.doc) พร้อมด้วยรูปภาพหลอกลวงที่ระบุว่าเป็น Windows 11 Alpha
เมื่อเหยื่อเปิดใช้งานฟังก์ชันการแก้ไขเนื้อหา (Enable Editing and Content) ก็จะเข้าสู่กระบวนการติดตั้ง โดยไฟล์ที่ฝังอยู่กับรูปภาพนั้นคือ VBA macro เมื่อเหยื่อเปิดใช้งานเนื้อหา VBA macro ก็จะทำงานทันที
VBA macro ประกอบไปด้วยข้อมูลขยะมากมาย เป็นกลยุทธ์ทั่วไปที่แฮกเกอร์ใช้เพื่อขัดขวางการวิเคราะห์ข้อมูล เมื่อดึงข้อมูลขยะออกแล้วจะเหลือเพียง VBA macro เมื่อวิเคราะห์ JavaScript เพิ่มเติมนักวิจัยได้พบว่ามี Strings ที่ซับซ้อนควบคู่ไปกับฟังก์ชันการถอดรหัสที่ซับซ้อน
นักวิจัยพบว่าแฮกเกอร์ที่อยู่เบื้องหลังแคมเปญนี้ สั่งให้การโจมตีนี้ไม่ทำงานสำหรับบางประเทศ ได้แก่ รัสเซีย ยูเครน ซอร์เบีย สโลวีเนีย เอสโตเนีย ซึ่งหากตรวจพบภาษาเหล่านี้ จะเรียกใช้ฟังก์ชัน me2XKr เพื่อหยุดการทำงาน
กลุ่ม FIN7 จะมุ่งเป้าการโจมตีไปที่ ภาคโทรคมนาคม การศึกษา การค้าปลีก การเงิน และการบริการในสหรัฐฯ ผ่านการโจมตีที่สร้างขึ้นอย่างตั้งใจ
นอกจากนี้ FIN7 ยังหาวิธีการหลีกเลี่ยงการตรวจจับ และบังคับใช้กฎหมายเพื่อเอาผิดพวกเขา โดยการใช้เทคนิคขั้นสูง และแปลกใหม่เพื่อขัดขวางการตรวจจับอยู่ตลอดเวลา
ในบางครั้งพบว่ากลุ่มนี้เป็นที่รู้จักกันในอีกชื่อว่า Carbanak และมีการเพิ่มกลยุทธ์การสร้างรายได้ที่หลากหลายมากขึ้น ซึ่งทำให้กลุ่มของ FIN7 สามารถขยายผลกระทบของการโจมตีได้ ส่งผลให้แฮกเกอร์กลุ่มนี้มีความได้เปรียบในการแข่งขันกับกลุ่มอื่น ๆ และยังสามารถกำหนดเป้าหมายไปยังอุตสาหกรรมที่หลากหลายได้
แม้ว่า FIN7 จะมีเทคนิคที่โดดเด่นในการขโมยข้อมูลบัตรเครดิตจำนวนมาก แต่ความทะเยอทะยานของพวกเขาไม่ได้จำกัดอยู่เพียงการขโมยข้อมูลบัตรเครดิต เพราะในขณะที่ปัจจุบันมีการเข้ารหัสแบบ end-to-end encryption (E2EE) เพื่อป้องกันไม่ให้ผู้โจมตี หรือแฮกเกอร์ได้ข้อมูลบัตรเครดิตไปได้โดยง่าย พวกเขาจึงหันไปโจมตีแผนกการเงินขององค์กรเป้าหมายแทน
จากการวิเคราะห์ของ Anomali Threat Research ที่ลงไว้เมื่อ 2 กันยายน พ.ศ. 2564 กล่าวว่า "การกำหนดเป้าหมายเฉพาะของโดเมน Clearmind ดูจะเป็นวิธีการทำงานที่ FIN7 ต้องการ" "เป้าหมายของกลุ่มคือการใช้แบ็คดอร์ในรูปแบบ JavaScript ที่คาดว่า FIN7 น่าจะใช้มาตั้งแต่ปี 2561
ที่มา : ehackingnews
แฮกเกอร์กำลังใช้เอกสาร Word เพื่อปล่อย NetSupport Manager RAT
นักวิจัยจาก Cortex XDR ของ Palo Alto Networks เปิดเผยว่าได้พบกับแคมเปญฟิชชิ่งแบบใหม่ซึ่งมีเป้าหมายที่จะทำให้ผู้ใช้ติดไวรัสด้วย NetSupport Manager RAT (Remote Administration Tool)
แม้ว่า NetSupport ไม่เป็นอันตรายและมีการใช้เพื่อวัตถุประสงค์ในการบริหารเครือข่าย และเชื่อว่าแคมเปญนี้จะเริ่มขึ้นตั้งแต่เดือนพฤศจิกายน 2562 ถึงมกราคม 2563 โดยมีเป้าหมายเฉพาะที่อุตสาหกรรมการพิมพ์และภาพยนตร์
กระบวนการโจมตี
ทำการโจมตีโดยส่งอีเมลที่เกี่ยวข้องกับสถานะการคืนเงินหรือการทำธุรกรรมบัตรเครดิตด้วยเอกสาร Word ที่แฝงไวรัสไว้แล้วอ้างว่ามีข้อมูลที่สำคัญและรหัสผ่านสำหรับเปิดเอกสาร นอกจากนี้ผู้ใช้ยังได้รับแจ้งว่าต้องเปิดใช้งานแมโครภายใน Microsoft Word เพื่อป้อนรหัสผ่าน
เมื่อผู้ใช้เปิดเอกสารโค้ดที่ถูกแฝงมาจะถูกรันคำสั่งสร้างสตริง สตริงที่ถูกสร้างจะเรียกใช้งานบน VBA ซึ่งจะใช้เพื่อเรียก cmd.
มัลแวร์เรียกค่าไถ่ Mole (ถูกเรียกตามพฤติกรรมการเปลี่ยนนามสกุลหลังเข้ารหัสไฟล์เป็น .Mole) ได้ถูกตรวจพบโดยทีม Unit 42 จาก Palo Alto เมื่อวานที่ผ่านมา
จุดน่าสนใจของ Mole คือวิธีในการแพร่กระจาย Unit 42 ตรวจพบการแพร่กระจายของ Mole ครั้งแรกในลักษณะของอีเมลที่มีลิงค์ไปยังบริการ Microsoft Word แบบปลอมซึ่งจะร้องขอให้ผู้ใช้ติดตั้งปลั๊กอินเพิ่มเติม (มัลแวร์) โดยให้ดาวโหลดจากลิงค์ของ Google Doc
อีกไม่กี่วันต่อมา ผู้ที่อยู่เบื้องหลังการแพร่กระจายได้เปลี่ยนรูปแบบของปลั๊กอินเพิ่มเติมปลอมโดยให้ดาวโหลดเป็นไฟล์ ZIP เพื่อรันจาวาสคริปต์ที่เป็นอันตราย (เป็นลักษณะของมัลแวร์ downloder ชื่อว่า Nemucod) อีกทั้งยังเพิ่มมัลแวร์ Kovter และ Miuref เข้าเป็นส่วนหนึ่งในการแพร่กระจายอีกด้วย
ลักษณะของอีเมลที่ใช้ในการแพร่กระจายจะมีหัวข้อเมล อาทิ ATTENTION REQUIRED, AUTOMATED, IMPORTANT USPS, WARNING โดยมีชื่อผู้ส่งเป็นคำว่า USPS นำหน้า
IOC ของมัลแวร์เรียกค่าไถ่ Mole
ที่มา: researchcenter