เมื่อวันพุธที่ผ่านมา Threat Intelligence ของ Microsoft ออกมาแจ้งเตือนถึงกลุ่มผู้โจมตีด้วย ransomware ซึ่งคาดว่ามาจากประเทศอิหร่าน ที่ใช้ชื่อว่า "Phosphorus"

โดย Microsoft กำลังติดตามข้อมูลของกลุ่ม DEV-0270 (หรือที่รู้จักในชื่อ Nemesis Kitten) ซึ่งกำลังดำเนินการภายใต้บริษัทนามแฝงที่ชื่อว่า Secnerd และ Lifeweb โดยพบข้อมูลของระบบ และเครื่องมือที่ใช้ในการโจมตีของทางกลุ่ม และทั้งสององค์กรมีลักษณะเดียวกัน

DEV-0270 ใช้ประโยชน์จากช่องโหว่ที่มีระดับความรุนแรงสูง เพื่อเข้าถึงอุปกรณ์ต่าง ๆ และยังเป็นที่รู้จักจากการใช้ช่องโหว่ใหม่ ๆ รูปแบบอื่นในการโจมตี และกลุ่ม DEV-0270 ยังมีการใช้วิธีการอย่าง living off the land binaries(LOLBINs) ในการค้นหา และเข้าถึงข้อมูลที่สำคัญ จนไปถึงการใช้เครื่องมืออย่าง BitLocker เพื่อเข้ารหัสไฟล์บนเครื่องของเหยื่อที่ถูกโจมตี

การใช้ BitLocker และ DiskCryptor ransomware โดยกลุ่มผู้โจมตีจากอิหร่าน เริ่มปรากฏให้เห็นเมื่อต้นเดือนพฤษภาคม จากรายงานของ Secureworks ที่เปิดเผยการโจมตีโดยกลุ่มที่มีชื่อว่า Cobalt Mirage (หรือที่รู้จักในชื่อ Cobalt Illusion) และ TunnelVision ซึ่งคาดว่าก็มีความเกี่ยวข้องกับกลุ่ม Phosphorus

โดย DEV-0270 จะใช้วิธีการสแกนช่องโหว่จากอินเทอร์เน็ต เพื่อค้นหาเซิร์ฟเวอร์ และอุปกรณ์ที่มีความเสี่ยงที่จะถูกโจมตีได้จากช่องโหว่ของ Microsoft Exchange Server, Fortinet FortiGate SSL-VPN และ Apache Log4j จากนั้นจึงจะทำการสำรวจข้อมูลของเครือข่ายของเหยื่อเพิ่มเติม รวมไปถึงขโมยข้อมูล credential

เมื่อสามารถเข้าถึงเครือข่ายของเหยื่อที่ถูกโจมตี มันจะพยายามแฝงตัวอยู่บนระบบให้ได้นานที่สุดด้วยการแอบสร้าง scheduled task สำหรับสั่งการทำงานบนเครื่องของเหยื่อ

จากนั้น DEV-0270 จะใช้วิธีการโจมตีเพื่อยกระดับสิทธิ์เป็น System เพื่อให้สามารถปิดการทำงานของ Microsoft Defender Antivirus จากนั้นจึงทำการโจมตีต่อไปยังเครื่องอื่น ๆ บนเครือข่ายของเหยื่อ และใช้ BitLocker เข้ารหัสไฟล์บนเครื่องเหยื่อ

เครื่องมือที่ผู้โจมตีใช้ส่วนมากจะเป็น WMI, net, CMD, PowerShell commands และเข้าไปกำหนดค่า Registry อีกทั้งผู้โจมตียังมีการติดตั้ง และปลอมแปลง binaries ที่สร้างขึ้นเพื่อปลอมเป็น Process ที่ดูปกติ เพื่อแฝงตัวอยู่บนเครื่องเหยื่ออีกด้วย

แนะนำให้ผู้ใช้งานอัปเดตแพตช์เซิร์ฟเวอร์ Exchange ที่เชื่อมต่อกับอินเทอร์เน็ตโดยด่วน เพื่อลดความเสี่ยงจากการถูกโจมตี รวมไปถึงจำกัดการเข้าถึงอุปกรณ์เครือข่ายของ Fortinet SSL-VPN และตั้งรหัสผ่านให้รัดกุม และทำการสำรองข้อมูลอย่างสม่ำเสมอ

ที่มา : thehackernews

Microsoft ได้ตัดสินใจที่จะดำเนินการบล็อกมาโคร Excel 4.0 (XLM หรือ XL4) และ Visual Basic for Applications (VBA) เป็นค่าเริ่มต้นในแอป Office ต่าง ๆ ทำให้ผู้โจมตีอาจจะต้องปรับเปลี่ยนวิธีการ และเทคนิคขั้นตอนที่ใช้ในการโจมตี (TTP) ใหม่ ซึ่งทำให้ปริมาณการใช้มาโคร VBA และ XL4 ลดลงถึง 66% จากเดือนตุลาคม 2564 จนถึงมิถุนายน 2565

นักวิจัยจาก Proofpoint ระบุว่า ผู้โจมตีอาจจะเปลี่ยนวิธีการจากการฝังมาโครไว้ในไฟล์เอกสารไปยังทางเลือกอื่นมากขึ้น เช่น ไฟล์ ISO และ RAR รวมถึงไฟล์ Windows Shortcut (LNK) ในการแพร่กระจายมัลแวร์

ถึงแม้ว่าอีเมลฟิชชิ่งที่มีการใช้มาโคร VBA ในเอกสาร Office เป็นรูปแบบการโจมตีที่มีประสิทธิภาพสูง ซึ่งทำให้ผู้โจมตีสามารถสั่งรันโค้ดที่เป็นอันตรายบนเครื่องของผู้ใช้งานได้ทันทีหลังจากหลอกให้ผู้รับเปิดใช้งานไฟล์เอกสารที่เป็นอันตราย

แต่จากการที่ Microsoft ตัดสินใจที่จะบล็อกมาโครในไฟล์เอกสารเป็นค่าเริ่มต้น ทำให้การโจมตีด้วยการใช้ไฟล์แนบ ISO, RAR และ LNK เพิ่มขึ้นเกือบ 175% จากช่วงเวลาเดียวกัน โดยผู้โจมตีอย่างน้อย 10 ราย เริ่มใช้ไฟล์ LNK ตั้งแต่เดือนกุมภาพันธ์ พ.ศ. 2565

โดยมัลแวร์ที่เป็นที่รู้จักที่เริ่มเปลี่ยนวิธีการโจมตีดังกล่าว เช่น Emotet, IceID, Qakbot และ Bumblebee

ที่มา : thehackernews

นักวิจัยจาก Palo Alto Unit 42 พบช่องโหว่ FabricScape (CVE-2022-30137) บน Service Fabric ของ Microsoft ที่มักถูกใช้งานบน Azure ซึ่งทำให้ผู้โจมตีสามารถยกระดับสิทธิ์บน Linux containers เพื่อเพิ่มสิทธิ์ของ user เป็น root และเข้าควบคุม Fabric Nodes ทุกตัวใน cluster ได้โดยที่เงื่อนไขในการโจมตีช่องโหว่นี้จำเป็นต้องมีการตั้งค่าเปิด Fabric runtime access ซึ่งถูกเปิดเป็น default ใน container ทุกตัว

ข้อมูลจาก Microsoft พบว่า Service Fabric ถูกใช้งานบนแอปพลิเคชันจำนวนมาก เช่น Azure Service Fabric, Azure SQL Database และ Azure CosmosDB รวมถึงผลิตภัณฑ์อื่นๆ ของ Microsoft อย่าง Cortana และ Microsoft Power BI

(more…)

Microsoft ได้ทำการแผยแพร่อัปเดต Windows แบบ Out-of-band (OOB) เพื่อแก้ไขปัญหาเกี่ยวกับการลงชื่อเข้าใช้ Azure Active Directory และ Microsfot 365 บน Arm Devices หลังจากที่มีการอัพเดตแพตซ์ในรอบ Patch Tuesday ของเดือนมิถุนายน 2565

ในการอัปเดท OOB ครั้งนี้ ผู้ใช้งานสามารถอัปเดตโดยอัตโนมัติผ่านทาง Windows Update และยังสามารถดาวน์โหลด และติดตั้งด้วยตัวเองผ่าน Microsoft Update Catalog (KB5016139 สำหรับ Windows 10 และ KB5016138 สำหรับ Windows 11)

Microsoft ได้ระบุเกี่ยวกับปัญหาที่พบว่า ปัญหานี้มีผลเฉพาะกับอุปกรณ์ที่ใช้ Windows ARM-based และจะทำให้ผู้ใช้งานไม่สามารถลงชื่อเข้าใช้โดย Azure Active Directory (ADD) รวมถึงแอป และบริการที่ใช้ AAD เพื่อลงชื่อเข้าใช้ เช่น VPN, Microsoft Teams และ MS Outlook ก็อาจได้รับผลกระทบด้วยเช่นกัน

เวอร์ชั่น Windows ที่ได้รับผลกระทบจากปัญหานี้มีดังนี้

Windows 11 21H2

Windows 10 21H2

Windows 10 21H1

Windows 10 20H2

โดยอาจมีผลกระทบกับการใช้งานบางส่วนดังนี้

App และ Service ที่ใช้ Azure Active Directory (Azure AD) ในการลงชื่อเข้าใช้
VPN connections
Microsoft Teams desktop
OneDrive for Business
Outlook Desktop client

Microsoft ได้ระบุเพิ่มเติมเกี่ยวกับการอัปเดตว่า หากผู้ใช้งานที่ยังไม่ได้ทำการอัปเดท Patch Tuesday ของเมื่อวันที่ 14 มิถุนายน 2565 ที่ผ่านมา ให้อัปเดทจาก OOB Update นี้ได้เลย เนื่องจากเป็น OOB update แบบรวมของวันที่ 14 มิถุนายนมาให้แล้ว แต่ถ้าหากมีการอัปเดตของวันที่ 14 มิถุนายนมาแล้ว ก็จะมีการดาวน์โหลดเฉพาะแพคเกจใหม่ที่มีอยู่ในอัปเดตไปติดตั้งเท่านั้น

ในส่วนขอองค์กรที่ยังไม่สามารถอัปเดตการแก้ไขนี้ได้ในทันที สามารถใช้งานผ่านทางรูปแบบ Website ไปก่อนได้ เช่น OneDrive, Microsoft Teams และ Outlook.

Microsoft กำลังตรวจสอบปัญหาที่เพิ่งพบหลังการอัปเดตแพตซ์ของ Windows ในช่วง Patch Tuesday ของเดือนมิถุนายน 2022 ซึ่งทำให้เกิดปัญหาการในเชื่อมต่อเมื่อใช้ Wi-Fi hotspots
Wi-Fi hotspots จะช่วยให้ผู้ใช้งานสามารถแชร์ Wi-Fi, Ethernet, หรือเชื่อมต่ออินเทอร์เน็ตมือถือกับอุปกรณ์อื่นในเครือข่าย
โดยมีรายงานที่พบว่าอุปกรณ์ที่มีการติดตั้งแพตซ์อัปเดตในเดือน มิถุนายน อาจใช้ฟีเจอร์ Wi-Fi hotspots ไม่ได้
"เมื่อมีการเชื่อมต่อกับ Wi-Fi hotspots พบว่าอุปกรณ์กลับไม่สามารถเชื่อมต่อกับอินเทอร์เน็ตได้ " Microsoft อธิบาย

เวอร์ชัน Windows ทั้งหมดที่ได้รับผลกระทบจากปัญหานี้มีทั้งไคลเอ็นต์ และเซิร์ฟเวอร์ดังต่อไปนี้

Client: Windows 11, version 21H2; Windows 10, version 21H2; Windows 10, version 21H1; Windows 10, version 20H2; Windows 10 Enterprise LTSC 2019; Windows 10 Enterprise LTSC 2016; Windows 10 Enterprise 2015 LTSB; Windows 8.1; Windows 7 SP1
Server: Windows Server 2022; Windows Server, version 20H2; Windows Server 2019; Windows Server 2016; Windows Server 2012 R2; Windows Server 2012; Windows Server 2008 R2 SP1; Windows Server 2008 SP2
โดย Microsoft กำลังตรวจสอบ และแก้ไขปัญหาการเชื่อมต่อ Wi-Fi hotspots นี้ เพื่อแก้ไขปัญหาในการอัปเดต Windows ในครั้งต่อไป

วิธีแก้ปัญหาคือให้ปิดการใช้งาน Wi-Fi hotspots
Microsoft ระบุว่ายังไม่มีวิธีการแก้ปัญหาสำหรับ Bug ดังกล่าว จนกว่าจะมีการแก้ปัญหาในการอัปเดตในครั้งถัดไป จึงแนะนำให้ผู้ใช้งานปิดการใช้งาน Wi-Fi hotspots ไปก่อน และใช้วิธีการอื่นในการเชื่อมต่ออินเทอร์เน็ต

โดยการอัปเดต Windows ในเดือนนี้ ยังอาจทำให้เกิดปัญหาในการสำรองข้อมูลในระบบบน Windows Server หลายเวอร์ชัน โดยจะทำให้แอพพลิเคชันบางอย่างไม่สามารถสำรองข้อมูลโดยใช้ Volume Shadow Copy Service (VSS) ได้

ปัญหานี้เกิดจากการแก้ไขช่องโหว่ด้านความปลอดภัยในการยกระดับสิทธิ์ (CVE-2022-30154) ใน Microsoft File Server Shadow Copy Agent Service (RVSS)

ที่มา : bleepingcomputer.

Microsoft ได้เผยแพร่การอัปเดตด้านความปลอดภัยบน Windows ในรอบเดือนมิถุนายน 2565 เพื่อแก้ไขช่องโหว่ระดับ Critical บน Windows ที่ถูกเรียกว่า Follina และกำลังถูกใช้ในการโจมตีอย่างต่อเนื่อง

"Microsoft แนะนำให้ผู้ใช้งานอัปเดตแพตช์เพื่อป้องกันการโจมตีจากช่องโหว่ดังกล่าว แต่หากมีการตั้งค่าให้มีการอัปเดตแพตช์เองโดยอัตโนมัติ ผู้ใช้งานไม่จำเป็นต้องดำเนินการใดๆ เพิ่มเติมอีก" Microsoft ระบุในคำแนะนำการอัปเดต

ช่องโหว่หมายเลข CVE-2022-3019 เป็นช่องโหว่ด้านความปลอดภัยในการเรียกใช้โค้ดที่เป็นอันตรายจากระยะไกลบน Microsoft Windows Support Diagnostic Tool (MSDT) ที่ส่งผลกระทบกับ Windows ทุกเวอร์ชัน

ผู้โจมตีที่ใช้ประโยชน์จากช่องโหว่ดังกล่าวได้สำเร็จ จะสามารถสั่งรันโค้ดที่เป็นอันตราย เพื่อติดตั้งโปรแกรม ดู เปลี่ยนแปลง หรือลบข้อมูล หรือแม้แต่สร้างบัญชี Windows ใหม่ได้

นักวิจัยด้านความปลอดภัย nao_sec เป็นผู้พบช่องโหว่ดังกล่าว ที่พบว่าผู้โจมตีจะสามารถสั่งรัน PowerShell ที่เป็นอันตรายผ่าน MSDT โดยที่ Microsoft อธิบายว่าเป็นการโจมตีในรูปแบบ Arbitrary Code Execution (ACE) เมื่อเปิด หรือ preview เอกสาร Word

การอัปเดตในครั้งไม่ได้ป้องกัน Microsoft Office จากการโหลด Windows protocol URI handler โดยอัตโนมัติ แต่จะใช้วิธีบล็อกการทำงานจาก PowerShell injection เพื่อปิดช่องทางการโจมตีในรูปแบบนี้

พบการโจมตีอย่างต่อเนื่อง

ช่องโหว่ Follina ถูกใช้ในการโจมตีมาระยะหนึ่งแล้ว ตามที่นักวิจัยด้านความปลอดภัยของ Proofpoint เปิดเผยว่ากลุ่มแฮ็กเกอร์ TA413 ของจีนใช้ประโยชน์จากช่องโหว่ในการโจมตีที่กำหนดเป้าหมายไปยังชาว Tibetan และกลุ่มผู้โจมตีบางกลุ่มก็ใช้การโจมตีแบบฟิชชิงกับหน่วยงานรัฐบาลสหรัฐฯ และสหภาพยุโรป

ตอนนี้ช่องโหว่ Follina กำลังถูกใช้โดยกลุ่ม TA570 ซึ่งใช้แคมเปญฟิชชิ่งจากช่องโหว่ดังกล่าวเพื่อแพร่กระจายมัลแวร์ Qbot

CrazymanArmy ของ Shadow Chaser Group นักวิจัยด้านความปลอดภัยที่เคยรายงาน Zero-day ดังกล่าวไปให้กับ Microsoft ในเดือนเมษายนที่ผ่านมาระบุว่า Microsoft ปฏิเสธการแจ้งเตือนในครั้งแรกของเขาว่าไม่ใช่ช่องโหว่ด้านความปลอดภัย แต่สุดท้ายหลังจากมีการปิดหัวข้อการแจ้งเตือนดังกล่าว ระบบของ Microsoft กลับระบุว่าการแจ้งเตือนของเขาเป็นช่องโหว่แบบ Remote code execution

ที่มา: bleepingcomputer.

Microsoft กล่าวว่ากลุ่มผู้โจมตีโดยใช้ BlackCat ransomware กำลังโจมตีเซิร์ฟเวอร์ Microsoft Exchange ที่ยังไม่ได้อัปเดตแพตช์

ผู้เชี่ยวชาญด้านความปลอดภัยของ Microsoft พบว่ามีเหตุการณ์หนึ่งที่ผู้โจมตีใช้วิธีเคลื่อนย้ายไปยังระบบต่างๆบนเครือข่ายของเหยื่อ เพื่อขโมยข้อมูลประจำตัว และข้อมูลสำคัญต่างๆ และส่งข้อมูลสำคัญกลับไปยังเซิร์ฟเวอร์ภายนอก เพื่อนำมาใช้ข่มขู่เรียกค่าไถ่จากเหยื่อซ้ำอีกครั้งหนึ่ง

โดยสองสัปดาห์หลังจากที่ผู้โจมตีเข้าถึงเครือข่ายของเหยื่อครั้งแรกได้จากทาง Exchange server ผู้โจมตีก็ได้ติดตั้ง Blackcat ransomware payloads บนระบบต่างๆของเหยื่อทั้งหมดโดยใช้ PsExec

ผู้เชี่ยวชาญจาก Microsoft กล่าวว่า "นอกจากช่องทางปกติที่ผู้โจมตีมักใช้ในการเข้าถึงระบบของเหยื่อเช่น remote desktop และข้อมูลบัญชีผู้ใช้งานระบบที่ถูกขโมยมา เรายังพบการโจมตีโดยใช้ช่องโหว่จาก Microsoft Exchange เพื่อเข้าถึงระบบของเหยื่ออีกด้วย"

แม้ว่าจะไม่ได้มีการระบุถึงช่องโหว่ของ Exchange ที่ถูกใช้ในการโจมตี แต่ Microsoft ก็ระบุถึงลิงก์ไปยังคำแนะนำด้านความปลอดภัยตั้งแต่เดือนมีนาคม 2021 ที่เป็นคำแนะนำในการตรวจสอบ และการลดความเสี่ยงจากการถูกโจมตีด้วยช่องโหว่ที่ชื่อว่า ProxyLogon

นอกจากนี้แม้ว่า Microsoft จะไม่ระบุชื่อกลุ่มผู้โจมตีที่มีการใช้งาน BlackCat ransomware ในครั้งนี้ แต่ว่ากลุ่มอาชญากรไซเบอร์หลายกลุ่มก็มีการใช้งาน ransomware ตัวดังกล่าวในการโจมตี เนื่องจาก BlackCat ransomware มีการให้บริการในลักษณะ Ransomware as a Service (RaaS) ซึ่งทำให้ตัวมันถูกนำไปใช้งานจากผู้โจมตีกลุ่มใดก็ได้

อาชญากรไซเบอร์ส่วนใหญ่หันมาใช้ BlackCat ransomware
หนึ่งในนั้นคือกลุ่มอาชญากรไซเบอร์ที่มีเป้าหมายทางด้านการเงินที่มีชื่อว่า FIN12 ซึ่งเป็นที่รู้จักก่อนหน้านี้จากการเริ่มใช้แรนซัมแวร์ Ryuk, Conti และ Hive ในการโจมตีที่กำหนดเป้าหมายไปที่องค์กรด้านการดูแลสุขภาพเป็นหลัก

โดยบริษัท Mandiant ระบุว่า การโจมตีจาก FIN12 ใช้เวลาอยู่บนระบบของเหยื่อน้อยมาก ก่อนที่จะเผยตัวตนออกมาให้เหยื่อรู้ตัวด้วยการติดตั้ง ransomware เนื่องจากบางครั้งพวกเขาข้ามขั้นตอนในการขโมยข้อมูล และใช้เวลาเพียงไม่ถึงสองวันในการติดตั้งเพย์โหลดการเข้ารหัสไฟล์บนเครือข่ายทั้งหมดของเป้าหมาย

Microsoft ได้กล่าวเพิ่มเติมว่า "เราสังเกตเห็นว่ากลุ่มนี้ได้เปลี่ยนมาใช้ BlackCat ransomware ตั้งแต่เดือนมีนาคม 2022" โดยการเปลี่ยนไปใช้ BlackCat จากเดิมที่เคยใช้ Hive นั้น Microsoft สงสัยว่าเป็นเพราะการถูกเผยแพร่เกี่ยวกับ methodologies สำหรับการถอดรหัสของ Hive ransomware

BlackCat ransomware ยังถูกใช้โดยกลุ่มผุ้โจมตีที่ชื่อ DEV-0504 ซึ่งโดยทั่วไปแล้วจะทำการขโมยข้อมูลโดยใช้ Stealbit ซึ่งเป็นเครื่องมือที่กลุ่ม LockBit มอบให้กับบริษัทที่มาใช้บริการ RaaS

DEV-0504 ยังมีการใช้ ransomware ตัวอื่นๆอีกมากตั้งแต่เดือนธันวาคม 2564 รวมไปถึง BlackMatter, Conti, LockBit 2.0, Revil และ Ryuk

ดังนั้นเพื่อป้องกันการโจมตีจาก BlackCat ransomware Microsoft แนะนำให้องค์กรตรวจสอบสถานะข้อมูลประจำตัว ตรวจสอบการเข้าถึงเครือข่ายจากภายนอก และอัปเดตเซิร์ฟเวอร์ Exchange ที่มีช่องโหว่โดยเร็วที่สุด

ถูกใช้ในการโจมตีด้วย ransomware มากกว่า 100 ครั้ง

ในเดือนเมษายน FBI ออกมาแจ้งเตือนว่า BlackCat ransomware ถูกใช้เพื่อเข้ารหัสเครือข่ายขององค์กรอย่างน้อย 60 แห่งทั่วโลกระหว่างเดือนพฤศจิกายน 2564 ถึงมีนาคม 2565

FBI ได้กล่าวในขณะนั้นว่า "นักพัฒนา และผู้ที่เกี่ยวข้องกับการฟอกเงินจำนวนมากของกลุ่ม BlackCat/ALPHV มีความเชื่อมโยงกับกลุ่ม Darkside/Blackmatter ซึ่งบ่งบอกว่าพวกเขามีเครือข่ายที่กว้างขวาง และมีประสบการณ์กับการโจมตีด้วยแรนซัมแวร์"

อย่างไรก็ตาม จำนวนเหยื่อ BlackCat ที่แท้จริงนั้นมีแนวโน้มว่าจะสูงขึ้นมาก เนื่องจากมีการส่งตัวอย่างไปตรวจสอบมากกว่า 480 ตัวอย่าง บนแพลตฟอร์ม ID-Ransomware ระหว่างเดือนพฤศจิกายน 2564 ถึงมิถุนายน 2565

ในการแจ้งเตือนเมื่อเดือนเมษายน FBI ยังขอให้ผู้ดูแลระบบ และทีมรักษาความปลอดภัยที่ตรวจพบการถูกโจมตีจาก BlackCat แบ่งปันข้อมูลเหตุการณ์ที่เกี่ยวข้องกับ FBI Cyber ​​Squad ในพื้นที่ทันที

เนื่องจากข้อมูลที่เป็นประโยชน์จะช่วยติดตาม และระบุตัวผู้โจมตีได้ เช่น "บันทึก IP ที่แสดงการเข้าถึงระบบจาก IP ต่างประเทศ, ที่อยู่กระเป๋า Bitcoin หรือ Monero และ ID ของการทำธุรกรรม, ข้อมูลที่ใช้ติดต่อสื่อสารกับผู้โจมตี และตัวอย่างของไฟล์ที่เข้ารหัส เป็นต้น

ที่มา : bleepingcomputer.

Microsoft แจ้งเตือนแคมเปญ web skimming ใหม่ ที่มีความสามารถในการหลีกเลี่ยงการตรวจสอบ

ผู้โจมตีที่อยู่เบื้องหลังแคมเปญ web skimming ได้ใช้โค้ด JavaScript เพื่อเลียนแบบสคริปต์ Google Analytics และ Meta Pixel เพื่อหลีกเลี่ยงการตรวจจับ

โดยนักวิจัยด้านความปลอดภัยของ Microsoft พบว่ามีแคมเปญ web skimming ที่ใช้เทคนิค obfuscation หลายอย่างเพื่อหลีกเลี่ยงการตรวจจับ โดยผู้โจมตีจะใช้วิธีการ obfuscation กับ skimming script ด้วยการเข้ารหัส PHP Code ซึ่งถูกฝังอยู่ในไฟล์รูปภาพ โดย code นี้จะทำงานก็ต่อเมื่อถูกโหลดเข้าสู่หน้าเว็บไซต์

ผู้เชี่ยวชาญยังสังเกตเห็นเว็บแอปพลิเคชันที่ถูกโจมตี และฝัง JavaScript ที่ปลอมแปลงเป็นสคริปต์ของ Google Analytics และ Meta Pixel (เดิมคือ Facebook Pixel) รวมถึง skimming script บางตัวที่ป้องกันการถูกดีบักด้วย

"web skimming" คือการโจมตีรูปแบบหนึ่งที่ผู้โจมตีใช้ในการขโมยข้อมูลการชำระเงินของผู้เข้าใช้งานเว็บไซต์ที่เกี่ยวข้องกับการชำระเงิน โดยผุ้โจมตีจะใช้ประโยชน์จากช่องโหว่ในแพลตฟอร์ม e-commerce และ CMS เพื่อแทรกสคริปต์ skimming ลงในหน้าเพจของแพลตฟอร์มนั้นๆ หรือในบางกรณีผู้โจมตีก็จะใช้ประโยชน์จากช่องโหว่ของ third party plugins ที่ถูกติดตั้งบนแพลตฟอร์ม

“พบไฟล์รูปภาพที่เป็นอันตราย 2 ไฟล์ ที่ถูกอัปโหลดไปยังเซิร์ฟเวอร์ Magento โดยรูปภาพทั้งสองมีสคริปต์ PHP ที่มี JavaScript ที่เข้ารหัสด้วย Base64”

Microsoft ยังสังเกตเห็นการปลอมแปลงเป็นสคริปต์ Google Analytics และ Meta Pixel (เดิมคือ Facebook Pixel) เพื่อหลีกเลี่ยงการตรวจจับ โดยผู้โจมตีจะใช้ Base64-encoded string ไว้ในโค้ด Google Tag Manager ปลอม ซึ่งหาก decode string นี้ออกมาจะได้ URL trafficapps[.]business/data[.]php?p=form

“ด้วยทริคการหลบหลีกที่มากขึ้นที่ถูกใช้ในแคมเปญ skimming องค์กรควรตรวจสอบให้แน่ใจว่าแพลตฟอร์ม e-commerce, CMS และปลั๊กอินที่ติดตั้งได้รับการอัปเดตแพตช์ด้านความปลอดภัยเป็นเวอร์ชันล่าสุด และแนะนำให้ดาวน์โหลดปลั๊กอินจากThird Party จากแหล่งที่น่าเชื่อเถือเท่านั้น” Microsoft สรุป

ที่มา : securityaffairs.

 

Microsoft ได้ออกอัปเดตแพตซ์แบบ out-of-band ในช่วงเย็นวันพฤหัสบดีที่ผ่านมา เพื่อแก้ไขปัญหาใหม่ที่พบซึ่งส่งผลต่อแอปบน Microsoft Store

โดยในระบบที่ได้รับผลกระทบ ผู้ใช้งานอาจประสบปัญหาในการเปิด หรือติดตั้งแอปจาก Microsoft Store โดยในบางกรณีอาจยังพบ error code : 0xC002001B

ปัญหาที่นี้ส่งผลต่ออุปกรณ์ที่ใช้ Windows 10 (เวอร์ชัน 21H2, 21H1 และ 20H2) ซึ่งผู้ใช้งานที่ได้ติดตั้ง KB5011831 ที่เผยแพร่ตั้งแต่วันที่ 25 เมษายนที่ผ่านมา

"หลังจากติดตั้ง KB5011831 หรือแพตซ์หลังจากนั้น ผู้ใช้งานอาจพบข้อความ error code:0xC002001B เมื่อพยายามติดตั้งแอปจาก Microsoft Store" Microsoft อธิบาย

"แอปบน Microsoft Store บางแอปอาจเปิดไม่ได้เช่นกัน โดย Windows ที่ได้รับผลกระทบ จะพบว่ามีการใช้งาน CPU ซึ่งรองรับ Control-flow Enforcement Technology (CET) เช่น CPU Intel Gen.

เมื่อวันอังคารที่ 17 พ.ค. ที่ผ่านมา Microsoft ได้แจ้งเตือนการตรวจพบแคมเปญที่เป็นอันตราย โดยมีเป้าหมายการโจมตีไปยัง SQL Server โดยการใช้ Built-in PowerShell binary เพื่อพยายามแฝงตัวอยู่บนเครื่องเหยื่อให้ได้นานที่สุด

รายละเอียดการโจมตี

การโจมตีดังกล่าวเกิดจากยูทิลิตี้ชื่อ sqlps.