Microsoft รายงานถึงการเพิ่มขึ้นของการโจมตีจากการใช้ประโยชน์จากช่องโหว่ Zero-Day โดยมีเป้าหมายไปยังองค์กรต่าง ๆ ทั่วโลก และแนะนำให้องค์กรที่ได้รับผลกระทบแก้ไขช่องโหว่ดังกล่าวโดยทันที ซึ่งการโจมตีรูปแบบนี้สอดคล้องกับคำแนะนำจากหน่วยงานความมั่นคงไซเบอร์ของสหรัฐอเมริกา (CISA) ที่ได้ระบุไว้ในเดือนเมษายนที่ผ่านมา ซึ่งพบว่าผู้ไม่หวังดีมุ่งเป้าไปที่ช่องโหว่ของซอฟต์แวร์ที่ใช้กันอย่างแพร่หลายทั่วโลก เพื่อขโมยทรัพย์สินของเป้าหมาย

Microsoft พบว่ากลุ่มแฮ็กเกอร์ใช้เวลาโดยเฉลี่ย 14 วัน ในการโจมตีช่องโหว่หลังจากที่ได้มีการประกาศสู่สาธารณะ โดยปกติช่องโหว่ระดับ Zero-day จะเกิดขึ้นกับอุปกรณ์ใดอุปกรณ์หนึ่งแบบเฉพาะเจาะจง และมีแนวโน้มที่จะถูกนำไปใช้ในการโจมตีจริง เนื่องจากส่วนใหญ่จะยังไม่มีแพตช์สำหรับแก้ไขออกมา

รายละเอียดช่องโหว่ที่ถูกรายงานโดย Microsoft มีดังต่อไปนี้

CVE-2021-35211 (CVSS score: 10.0) - ช่องโหว่การเรียกใช้โค้ดที่เป็นอันตรายจากระยะไกลของ SolarWinds Serv-U Managed File Transfer Server และ Serv-U Secure FTP software
CVE-2021-40539 (CVSS score: 9.8) - ช่องโหว่ bypass การตรวจสอบสิทธิ์ใน Zoho ManageEngine ADSelfService Plus
CVE-2021-44077 (CVSS score: 9.8) - ช่องโหว่การเรียกใช้โค้ดที่เป็นอันตรายจากระยะไกลที่ไม่ผ่านการตรวจสอบสิทธิ์ใน Zoho ManageEngine ServiceDesk Plus
CVE-2021-42321 (CVSS score: 8.8) - ช่องโหว่การเรียกใช้โค้ดที่เป็นอันตรายจากระยะไกลใน Microsoft Exchange Server
CVE-2022-26134 (CVSS score: 9.8) - ช่องโหว่ Object-Graph Navigation Language (OGNL) ใน Atlassian Confluence

Microsoft เตือนให้ทุกองค์กรรีบอัปเดตแพตช์เพื่อแก้ไขช่องโหว่โดยทันทีหลังจากที่ผู้ให้บริการปล่อยออกมา

 

ที่มา : thehackernews

นักวิจัยจาก Orca security พบว่า Cosmos DB Notebook endpoint ไม่มีการตรวจสอบ Authorization Header ทำให้ใครก็ตามทีรู้ session id สามารถเขียน หรืออ่านไฟล์ที่อยู่ใน Jupyter notebook container ได้

นักวิจัยจึงสามารถ overwrite kernelspec.

Microsoft ประกาศเรื่องการแก้ไขปัญหาที่ทำให้ blocklist ** ของไดรเวอร์ที่มีช่องโหว่ไม่ถูกซิงค์กับระบบที่ใช้ Windows ในเวอร์ชันเก่า โดย blocklist นี้ (จัดเก็บไว้ในไฟล์ DriverSiPolicy.

ผู้เชี่ยวชาญจาก Cluster25 รายงานถึงการโจมตีจากกลุ่ม APT28 (หรือ 'Fancy Bear') ซึ่งเป็นกลุ่มแฮ็กเกอร์จาก Russian GRU (Main Intelligence Directorate of the Russian General Staff) ใช้เทคนิคการรันโค้ดแบบใหม่โดยอาศัยการเคลื่อนไหวของเมาส์บน Slide Present ใน Microsoft PowerPoint เพื่อเรียกใช้สคริปต์ PowerShell ในการส่งมัลแวร์ที่มีชื่อว่า Graphite ซึ่งไฟล์ Microsoft PowerPoint ที่ใช้โจมตีประกอบไปด้วยสองสไลด์ ทั้งสองสไลด์มีคำแนะนำเป็นภาษาอังกฤษ และฝรั่งเศสสำหรับใช้งานการประชุมทางวิดีโอของ Zoom โดยมีไฮเปอร์ลิงก์ที่ทำหน้าที่เป็นทริกเกอร์สำหรับการเรียกใช้สคริปต์ PowerShell ที่เป็นอันตรายผ่านยูทิลิตี้ SyncAppvPublishingServer

ลักษณะการทำงาน

เมื่อเป้าหมายเปิดเอกสาร Microsoft PowerPoint ในโหมด Presentation และวางเมาส์บนไฮเปอร์ลิงก์ สคริปต์ PowerShell ที่เป็นอันตรายจะทำงาน โดยดาวน์โหลดไฟล์ JPEG (“DSC0002.jpeg”) จากบัญชี Microsoft OneDrive

ในไฟล์ JPEG เป็นไฟล์ DLL (lmapi2.dll) ที่เข้ารหัส ในแต่ละไฟล์สตริงในที่ดึงมาต้องการคีย์ XOR ที่แตกต่างกันสำหรับการถอดรหัส เมื่อถอดรหัสแล้วจะถูกวางไว้ในไดเร็กทอรี 'C:\ProgramData\' ซึ่งจะถูก Execute ในภายหลังผ่าน rundll32.exe นอกจากนี้ยังมีการสร้าง Registry เพื่อให้ตัวมันสามารถแฝงตัวอยู่บนระบบได้อีกด้วย
ต่อมา lmapi2.dll จะดึงข้อมูล และถอดรหัสไฟล์ JPEG ไฟล์ที่สอง ซึ่งแต่ละไฟล์ที่ดึงมาต้องการคีย์ XOR ที่แตกต่างกันสำหรับการถอดรหัส เมื่อถอดรหัสแล้วมันจะถูกโหลดลงใน Memory ของระบบในส่วนของ Thread (หน่วยการทำงานย่อยที่อยู่ใน Process) ใหม่ที่ถูกสร้างโดย DLL ก่อนหน้านี้ ผลลัพธ์ที่ได้คือมัลแวร์ Graphite ในรูปแบบ portable executable (PE)
เมื่อมันแวร์ถูกติดตั้งสำเร็จ มันจะใช้ Microsoft Graph API และ OneDrive เพื่อสื่อสารกับ C2 Server นอกจากนี้ผู้โจมตียังเข้าถึง Service โดยใช้ Fix Client ID เพื่อรับโทเค็น OAuth2
ด้วยโทเค็น OAuth2 ที่ได้รับมา มัลแวร์จะทำการ Query Microsoft Graph APIs โดยวิธีการการแจกแจงไฟล์ย่อยที่อยู่ใน Subdirectory ของ OneDrive

จุดประสงค์ของมัลแวร์ Graphite คือการอนุญาตให้ผู้โจมตีโหลดมัลแวร์อื่น ๆ ลงใน Memory ของระบบ โดยใช้ประโยชน์จาก Microsoft Graph API เพื่อใช้ OneDrive เป็น C2 Server

ที่มา : bleepingcomputer

VMware และ Microsoft ออกมาแจ้งเตือนถึงแคมเปญมัลแวร์ Chromeloader ที่กำลังถูกใช้เพื่อแพร่กระจายมัลแวร์

ChromeLoader เป็น extension ของ Chrome browser ที่เป็นอันตราย ซึ่งจัดอยู่ในประเภท pervasive browser hijacker ที่จะปรับเปลี่ยนการตั้งค่าของเบราว์เซอร์เพื่อเปลี่ยนเส้นทางการรับส่งข้อมูลของผู้ใช้

มัลแวร์สามารถเปลี่ยนเส้นทางการรับส่งข้อมูลของผู้ใช้ และดักจับคำค้นหาของผู้ใช้ใน search engines ยอดนิยม ไม่ว่าจะเป็น Google, Yahoo และ Bing โดยโค้ดที่เป็นอันตรายนั้นยังสามารถใช้ PowerShell เพื่อแทรกตัวเองลงในเบราว์เซอร์ และเพิ่ม extension ลงในเบราว์เซอร์ได้ด้วย

ในเดือนพฤษภาคม นักวิจัยจาก Red Canary สังเกตเห็นแคมเปญโฆษณาที่ใช้แพร่กระจายมัลแวร์ ChromeLoader ที่จะทำการดักจับเบราว์เซอร์ของเหยื่อ โดยในสัปดาห์นี้ VMware และ Microsoft ได้ออกมาเตือนถึงแคมเปญมัลแวร์ Chromeloader ที่กำลังถูกใช้ในการโจมตี ซึ่งจะติดตั้ง extension บนเบราว์เซอร์ที่เป็นอันตราย, มัลแวร์ node-WebKit และแรนซัมแวร์

Microsoft มองว่าแคมเปญนี้มาจากผู้โจมตีที่ชื่อว่า DEV-0796 ซึ่งผู้โจมตีนั้นพยายามสร้างรายได้จากการคลิกที่สร้างโดย browser node-webkit หรือ extension บนเบราว์เซอร์ที่เป็นอันตราย ซึ่งจะแอบติดตั้งไว้บนอุปกรณ์ของเหยื่อ

แคมเปญนี้จะเริ่มต้นการโจมตีด้วยไฟล์ ISO ที่จะถูกดาวน์โหลดเมื่อผู้ใช้คลิกโฆษณาที่เป็นอันตรายหรือ YouTube comments เมื่อทำการเปิดไฟล์ ISO เบราว์เซอร์ node-webkit (NW.js) หรือ extension ของเบราว์เซอร์จะถูกติดตั้ง ซึ่งผู้เชี่ยวชาญยังสังเกตเห็นว่าผู้โจมตีใช้ไฟล์ DMG เพื่อกำหนดเป้าหมายบนระบบ macOS อีกด้วย

VMware ได้เผยแพร่รายงานที่ให้รายละเอียดทางเทคนิคเกี่ยวกับ Chromeloader หลายตัวที่บริษัทสังเกตเห็นตั้งแต่เดือนสิงหาคม และล่าสุดเมื่อปลายเดือนสิงหาคม ChromeLoader ถูกใช้เพื่อติดตั้ง ZipBombs ลงบนระบบที่ถูกโจมตี มัลแวร์นี้ถูกใช้เพื่อทำลายระบบของผู้ใช้ด้วยการโหลดข้อมูลที่มากจนเกินไป

ผู้เชี่ยวชาญยังสังเกตเห็นการใช้ ChromeLoader เพื่อดาวน์โหลด Enigma Ransomware ซึ่งส่งออกเป็นไฟล์แนบ HTML ที่พบในไฟล์ ISO โดยเมื่อเปิดไฟล์แนบ ก็จะมีการเปิดเบราว์เซอร์ และเรียกใช้จาวาสคริปต์ที่ฝังอยู่

เทคนิคการโจมตีอื่น ๆ ที่โดดเด่น คือ OpenSubtitles ในเวอร์ชันปลอม ซึ่งเป็นโปรแกรมที่ช่วยให้ผู้ใช้ค้นหาคำบรรยายสำหรับภาพยนตร์ และรายการทีวีที่เป็นที่นิยม และ Flbmusic.

พบการโจมตีทางไซเบอร์แบบหลายขั้นตอนที่ไม่ค่อยได้พบเห็นมาก่อน ซึ่งจะมีการพยายามหลอกให้ผู้ใช้เล่น Malicious Video และหลังจากนั้นก็จะนำผู้ใช้งานไปยังหน้า Microsoft ที่ปลอมขึ้นมาเพื่อใช้ในการขโมย credentials

บริษัท Perception Point ได้เผยแพร่รายงานเกี่ยวกับแคมเปญ Phishing ให้เห็นว่าการโจมตีจะเริ่มต้นจากอีเมลใบแจ้งหนี้จากบริษัทรักษาความปลอดภัยทางด้านการสื่อสารของอังกฤษ (Egress) โดยอีเมลนั้นมาจากผู้ส่งที่ถูกต้องของ Egress ซึ่งอาจเป็นไปได้ว่าพนักงานรายนั้นโดนแฮ็กเกอร์ Take over Email ไปเรียบร้อยแล้ว และนำมาใช้ในการโจมตีแบบ Phishing email

สรุปรายละเอียดการโจมตี

แฮ็กเกอร์ได้มีการเข้าควบคุมอีเมลของหนึ่งในพนักงานของบริษัทรักษาความปลอดภัยทางด้านการสื่อสารของอังกฤษ (Egress)
จากนั้นจะทำการส่งอีเมลโดยมีใจความว่าเป็นใบ invoice จาก Egress
เมื่อเหยื่อทำการคลิกที่ไฟล์นั้นจะถูก Redirect ไปที่ Powtoon ที่เป็น Video-Platform เพื่อเล่น Video ที่เป็นอันตราย
เมื่อ Video เล่นเสร็จจะนำไปยังหน้า Microsoft ที่มีการปลอมแปลงขึ้นมาเพื่อขโมยข้อมูลของเหยื่อ

ค่อนข้างเป็นที่แน่ชัดว่าเป็น account takeover แน่นอน เนื่องจากว่าอีเมลมีลายเซ็นของพนักงานจาก Egress ที่ถูกต้อง และอีเมลนั้นผ่านการตรวจสอบสิทธิ์อีเมลตามมาตรฐาน (SPF: Sender Policy Framework) และถูกส่งมาจาก Microsoft Outlook ทำให้มีความน่าเชื่อถือสูง และการโจมตีนี้จะเป็นอันตรายมากขึ้น หากผู้รับนั้นรู้จักผู้ส่ง ซึ่งจะทำให้ผู้รับนั้นเกิดความไว้วางใจ และไม่เกิดความสงสัย

แนวทางการป้องกัน

ไม่ควรใช้อีเมลของบริษัทไปทำการสมัครบริการต่าง ๆ ที่นอกเหนือจากการใช้งานของบริษัท
สร้าง Awareness ให้กับพนักงาน
ติดตามข่าวสารอยู่อย่างสม่ำเสมอ

ที่มา : darkreading

เมื่อวันพุธที่ผ่านมา Threat Intelligence ของ Microsoft ออกมาแจ้งเตือนถึงกลุ่มผู้โจมตีด้วย ransomware ซึ่งคาดว่ามาจากประเทศอิหร่าน ที่ใช้ชื่อว่า "Phosphorus"

โดย Microsoft กำลังติดตามข้อมูลของกลุ่ม DEV-0270 (หรือที่รู้จักในชื่อ Nemesis Kitten) ซึ่งกำลังดำเนินการภายใต้บริษัทนามแฝงที่ชื่อว่า Secnerd และ Lifeweb โดยพบข้อมูลของระบบ และเครื่องมือที่ใช้ในการโจมตีของทางกลุ่ม และทั้งสององค์กรมีลักษณะเดียวกัน

DEV-0270 ใช้ประโยชน์จากช่องโหว่ที่มีระดับความรุนแรงสูง เพื่อเข้าถึงอุปกรณ์ต่าง ๆ และยังเป็นที่รู้จักจากการใช้ช่องโหว่ใหม่ ๆ รูปแบบอื่นในการโจมตี และกลุ่ม DEV-0270 ยังมีการใช้วิธีการอย่าง living off the land binaries(LOLBINs) ในการค้นหา และเข้าถึงข้อมูลที่สำคัญ จนไปถึงการใช้เครื่องมืออย่าง BitLocker เพื่อเข้ารหัสไฟล์บนเครื่องของเหยื่อที่ถูกโจมตี

การใช้ BitLocker และ DiskCryptor ransomware โดยกลุ่มผู้โจมตีจากอิหร่าน เริ่มปรากฏให้เห็นเมื่อต้นเดือนพฤษภาคม จากรายงานของ Secureworks ที่เปิดเผยการโจมตีโดยกลุ่มที่มีชื่อว่า Cobalt Mirage (หรือที่รู้จักในชื่อ Cobalt Illusion) และ TunnelVision ซึ่งคาดว่าก็มีความเกี่ยวข้องกับกลุ่ม Phosphorus

โดย DEV-0270 จะใช้วิธีการสแกนช่องโหว่จากอินเทอร์เน็ต เพื่อค้นหาเซิร์ฟเวอร์ และอุปกรณ์ที่มีความเสี่ยงที่จะถูกโจมตีได้จากช่องโหว่ของ Microsoft Exchange Server, Fortinet FortiGate SSL-VPN และ Apache Log4j จากนั้นจึงจะทำการสำรวจข้อมูลของเครือข่ายของเหยื่อเพิ่มเติม รวมไปถึงขโมยข้อมูล credential

เมื่อสามารถเข้าถึงเครือข่ายของเหยื่อที่ถูกโจมตี มันจะพยายามแฝงตัวอยู่บนระบบให้ได้นานที่สุดด้วยการแอบสร้าง scheduled task สำหรับสั่งการทำงานบนเครื่องของเหยื่อ

จากนั้น DEV-0270 จะใช้วิธีการโจมตีเพื่อยกระดับสิทธิ์เป็น System เพื่อให้สามารถปิดการทำงานของ Microsoft Defender Antivirus จากนั้นจึงทำการโจมตีต่อไปยังเครื่องอื่น ๆ บนเครือข่ายของเหยื่อ และใช้ BitLocker เข้ารหัสไฟล์บนเครื่องเหยื่อ

เครื่องมือที่ผู้โจมตีใช้ส่วนมากจะเป็น WMI, net, CMD, PowerShell commands และเข้าไปกำหนดค่า Registry อีกทั้งผู้โจมตียังมีการติดตั้ง และปลอมแปลง binaries ที่สร้างขึ้นเพื่อปลอมเป็น Process ที่ดูปกติ เพื่อแฝงตัวอยู่บนเครื่องเหยื่ออีกด้วย

แนะนำให้ผู้ใช้งานอัปเดตแพตช์เซิร์ฟเวอร์ Exchange ที่เชื่อมต่อกับอินเทอร์เน็ตโดยด่วน เพื่อลดความเสี่ยงจากการถูกโจมตี รวมไปถึงจำกัดการเข้าถึงอุปกรณ์เครือข่ายของ Fortinet SSL-VPN และตั้งรหัสผ่านให้รัดกุม และทำการสำรองข้อมูลอย่างสม่ำเสมอ

ที่มา : thehackernews

Microsoft ได้ตัดสินใจที่จะดำเนินการบล็อกมาโคร Excel 4.0 (XLM หรือ XL4) และ Visual Basic for Applications (VBA) เป็นค่าเริ่มต้นในแอป Office ต่าง ๆ ทำให้ผู้โจมตีอาจจะต้องปรับเปลี่ยนวิธีการ และเทคนิคขั้นตอนที่ใช้ในการโจมตี (TTP) ใหม่ ซึ่งทำให้ปริมาณการใช้มาโคร VBA และ XL4 ลดลงถึง 66% จากเดือนตุลาคม 2564 จนถึงมิถุนายน 2565

นักวิจัยจาก Proofpoint ระบุว่า ผู้โจมตีอาจจะเปลี่ยนวิธีการจากการฝังมาโครไว้ในไฟล์เอกสารไปยังทางเลือกอื่นมากขึ้น เช่น ไฟล์ ISO และ RAR รวมถึงไฟล์ Windows Shortcut (LNK) ในการแพร่กระจายมัลแวร์

ถึงแม้ว่าอีเมลฟิชชิ่งที่มีการใช้มาโคร VBA ในเอกสาร Office เป็นรูปแบบการโจมตีที่มีประสิทธิภาพสูง ซึ่งทำให้ผู้โจมตีสามารถสั่งรันโค้ดที่เป็นอันตรายบนเครื่องของผู้ใช้งานได้ทันทีหลังจากหลอกให้ผู้รับเปิดใช้งานไฟล์เอกสารที่เป็นอันตราย

แต่จากการที่ Microsoft ตัดสินใจที่จะบล็อกมาโครในไฟล์เอกสารเป็นค่าเริ่มต้น ทำให้การโจมตีด้วยการใช้ไฟล์แนบ ISO, RAR และ LNK เพิ่มขึ้นเกือบ 175% จากช่วงเวลาเดียวกัน โดยผู้โจมตีอย่างน้อย 10 ราย เริ่มใช้ไฟล์ LNK ตั้งแต่เดือนกุมภาพันธ์ พ.ศ. 2565

โดยมัลแวร์ที่เป็นที่รู้จักที่เริ่มเปลี่ยนวิธีการโจมตีดังกล่าว เช่น Emotet, IceID, Qakbot และ Bumblebee

ที่มา : thehackernews

นักวิจัยจาก Palo Alto Unit 42 พบช่องโหว่ FabricScape (CVE-2022-30137) บน Service Fabric ของ Microsoft ที่มักถูกใช้งานบน Azure ซึ่งทำให้ผู้โจมตีสามารถยกระดับสิทธิ์บน Linux containers เพื่อเพิ่มสิทธิ์ของ user เป็น root และเข้าควบคุม Fabric Nodes ทุกตัวใน cluster ได้โดยที่เงื่อนไขในการโจมตีช่องโหว่นี้จำเป็นต้องมีการตั้งค่าเปิด Fabric runtime access ซึ่งถูกเปิดเป็น default ใน container ทุกตัว

ข้อมูลจาก Microsoft พบว่า Service Fabric ถูกใช้งานบนแอปพลิเคชันจำนวนมาก เช่น Azure Service Fabric, Azure SQL Database และ Azure CosmosDB รวมถึงผลิตภัณฑ์อื่นๆ ของ Microsoft อย่าง Cortana และ Microsoft Power BI

(more…)

Microsoft ได้ทำการแผยแพร่อัปเดต Windows แบบ Out-of-band (OOB) เพื่อแก้ไขปัญหาเกี่ยวกับการลงชื่อเข้าใช้ Azure Active Directory และ Microsfot 365 บน Arm Devices หลังจากที่มีการอัพเดตแพตซ์ในรอบ Patch Tuesday ของเดือนมิถุนายน 2565

ในการอัปเดท OOB ครั้งนี้ ผู้ใช้งานสามารถอัปเดตโดยอัตโนมัติผ่านทาง Windows Update และยังสามารถดาวน์โหลด และติดตั้งด้วยตัวเองผ่าน Microsoft Update Catalog (KB5016139 สำหรับ Windows 10 และ KB5016138 สำหรับ Windows 11)

Microsoft ได้ระบุเกี่ยวกับปัญหาที่พบว่า ปัญหานี้มีผลเฉพาะกับอุปกรณ์ที่ใช้ Windows ARM-based และจะทำให้ผู้ใช้งานไม่สามารถลงชื่อเข้าใช้โดย Azure Active Directory (ADD) รวมถึงแอป และบริการที่ใช้ AAD เพื่อลงชื่อเข้าใช้ เช่น VPN, Microsoft Teams และ MS Outlook ก็อาจได้รับผลกระทบด้วยเช่นกัน

เวอร์ชั่น Windows ที่ได้รับผลกระทบจากปัญหานี้มีดังนี้

Windows 11 21H2

Windows 10 21H2

Windows 10 21H1

Windows 10 20H2

โดยอาจมีผลกระทบกับการใช้งานบางส่วนดังนี้

App และ Service ที่ใช้ Azure Active Directory (Azure AD) ในการลงชื่อเข้าใช้
VPN connections
Microsoft Teams desktop
OneDrive for Business
Outlook Desktop client

Microsoft ได้ระบุเพิ่มเติมเกี่ยวกับการอัปเดตว่า หากผู้ใช้งานที่ยังไม่ได้ทำการอัปเดท Patch Tuesday ของเมื่อวันที่ 14 มิถุนายน 2565 ที่ผ่านมา ให้อัปเดทจาก OOB Update นี้ได้เลย เนื่องจากเป็น OOB update แบบรวมของวันที่ 14 มิถุนายนมาให้แล้ว แต่ถ้าหากมีการอัปเดตของวันที่ 14 มิถุนายนมาแล้ว ก็จะมีการดาวน์โหลดเฉพาะแพคเกจใหม่ที่มีอยู่ในอัปเดตไปติดตั้งเท่านั้น

ในส่วนขอองค์กรที่ยังไม่สามารถอัปเดตการแก้ไขนี้ได้ในทันที สามารถใช้งานผ่านทางรูปแบบ Website ไปก่อนได้ เช่น OneDrive, Microsoft Teams และ Outlook.