การโจมตีด้วยวิธี FileFix รูปแบบใหม่ ช่วยให้ Hacker สามารถรันสคริปต์ที่เป็นอันตรายได้ในขณะที่ Bypass การป้องกัน Mark of the Web (MoTW) ใน Windows ด้วยการโจมตีจากวิธีที่เบราว์เซอร์จัดการ HTML webpage ที่ถูก saved ไว้ (more…)

พบช่องโหว่ใน WinRAR file archiver solution ที่อาจถูกใช้เพื่อหลีกเลี่ยงการแจ้งเตือนด้านความปลอดภัย Mark of the Web (MotW) ทำให้สามารถเรียกใช้โค้ดที่เป็นอันตรายบน Windows ได้

Mark of the Web เป็นฟังก์ชันการรักษาความปลอดภัยใน Windows ในรูปแบบของ metadata value เพื่อ tag ไฟล์ว่าเป็นไฟล์ที่อาจไม่ปลอดภัย ซึ่งดาวน์โหลดมาจากอินเทอร์เน็ต

เมื่อเปิดไฟล์ executable ที่มี MotW tag Windows จะเตือนผู้ใช้ว่าไฟล์นั้นดาวน์โหลดมาจากอินเทอร์เน็ต และอาจเป็นอันตราย และเสนอตัวเลือกให้ดำเนินการต่อไป หรือยุติการทำงาน

CVE-2025-31334 (คะแนน CVSSv4 6.8/10 ความรุนแรงระดับ Medium) ทำให้ Hacker bypass คำเตือนด้านความปลอดภัย MotW ได้เมื่อเปิด symlink ที่ชี้ไปยังไฟล์ executable ใน WinRAR เวอร์ชันก่อน 7.11

ผู้โจมตีสามารถเรียกใช้โค้ดได้ตามที่ต้องการ โดยใช้ symbolic link ที่สร้างขึ้นเป็นพิเศษ โดยการสร้าง symlink บน Windows ต้องมีสิทธิ์ของผู้ดูแลระบบเท่านั้น

Shimamine Taihei จาก Mitsui Bussan Secure Directions ได้รายงานช่องโหว่นี้ผ่านหน่วยงานส่งเสริมเทคโนโลยีสารสนเทศ (IPA) ในญี่ปุ่น โดยทีมตอบสนองเหตุการณ์ด้านความปลอดภัยทางคอมพิวเตอร์ของญี่ปุ่นได้ประสานงานการเปิดเผยข้อมูลกับผู้พัฒนา WinRAR

โดย WinRAR ตั้งแต่เวอร์ชัน 7.10 เป็นต้นไป มีความเป็นไปได้ในการลบข้อมูล alternate data stream ของ MotW (เช่น Location, IP address) ที่อาจถือเป็นความเสี่ยงต่อความเป็นส่วนตัว

ผู้โจมตีที่ได้รับการสนับสนุนจากรัฐ เคยใช้ประโยชน์จากการ Bypass MotW ในอดีตเพื่อส่งมัลแวร์ต่าง ๆ โดยทำให้ไม่มีคำเตือนด้านความปลอดภัย

เมื่อไม่นานนี้ แฮ็กเกอร์ชาวรัสเซียได้ใช้ประโยชน์จากช่องโหว่ดังกล่าวในโปรแกรม 7-Zip ซึ่งจะไม่มีคำเตือนของ MotW เมื่อทำการ double archiving เพื่อเรียกใช้มัลแวร์ Smokeloader

ที่มา : bleepingcomputer

Kaspersky บริษัทด้านความปลอดภัยจากรัสเซียได้เปิดเผยการค้นพบเทคนิคใหม่ในการโจมตีของกลุ่ม BlueNoroff ที่ใช้ในการ bypass การตรวจจับจาก Windows MotW (Mark of the Web) ซึ่งรวมถึงการใช้ไฟล์ .ISO และ .VHD ในการโจมตีเหยื่อ

การโจมตี

โดยกลุ่ม BlueNoroff จะโจมตีเป้าหมายด้วยการส่งไฟล์ .ISO ที่แนบมากับ Phishing Email ซึ่งภายในมีไฟล์ Microsoft PowerPoint (.PPSX) ที่ถูกฝัง Visual Basic Script (VBScript) เอาไว้ที่จะทำงานเมื่อเป้าหมายเปิดไฟล์ PowerPoint

อีกวิธีการหนึ่งคือการใช้ Windows batch file โดยการใช้ประโยชน์จากเทคนิค living-off-the-land binary (LOLBin) เพื่อทำการดาวน์โหลดเพย์โหลดสำหรับการโจมตีขั้นต่อไป

นอกจากนี้ Kaspersky ยังพบไฟล์ .VHD ซึ่งภายในมีไฟล์ PDF ใบสมัครงานปลอม เมื่อเป้าหมายเปิดไฟล์ PDF จะทำการดาวน์โหลดมัลแวร์ที่ปลอมเป็นโปรแกรม Anti-Virus เพื่อทำการปิดระบบ User-Mode Hooks/ NTDLL.dll hooking ของ Anti-Virus หรือ EDR (Endpoint Detection and Response ) ที่ติดตั้งอยู่บนเครื่อง ทำให้ไม่สามารถตรวจจับการโจมตีได้

กลุ่ม BlueNoroff

BlueNoroff ** ซึ่งมีชื่อเรียกอีกอย่างว่า APT38 เป็นส่วนหนึ่งของกลุ่ม Lazarus threat group ซึ่งเป็นกลุ่ม Hackers ขนาดใหญ่ที่ได้รับการสนับสนุนจากรัฐบาลเกาหลีเหนือ (Nation-State Threat Actor) มีเป้าหมายในการโจมตีคือ การเรียกค่าไถ่จากเหยื่อ โดยได้แทรกซึม และเกี่ยวข้องกับเหตุการณ์โจมตีในหลายภูมิภาคทั้งอเมริกาเหนือและใต้ ยุโรป แอฟริกา และเอเชีย

กลุ่ม BlueNoroff ได้เริ่มต้นโจมตีเป้าหมายในอุตสาหกรรมการเงิน ไม่ว่าจะเป็นเหตุการณ์โจมตีเครือข่ายธนาคาร SWIFT ในปี 2015 และการโจมตีธนาคารในบังคลาเทศ ซึ่งมีมูลค่าความเสียหายถึง 81 ล้านดอลลาร์ ต่อมากลุ่ม BlueNoroff ได้เปลี่ยนเป้ามายการโจมตีมายังอุตสาหกรรม Cryptocurrency ในปี 2018

โดยทาง Kaspersky ได้ค้นพบแคมเปญการโจมตีที่ชื่อ SnatchCrypto เพื่อขโมยเงินจาก cryptocurrency wallets ของเหยื่อ รวมถึงการการสร้างแอป Cryptocurrency ปลอม เพื่อให้เหยื่อดาวน์โหลดแอปพลิเคชั่นซึ่งได้ฝังแบ็คดอร์ในชื่อ “AppleJeus” ที่สามารถขโมย Cryptocurrency ของเหยื่อได้

ในปี 2022 นี้ พบว่ากลุ่ม BlueNoroff ได้สร้างโดเมนปลอมจำนวนมากโดยแอบอ้างเป็นบริษัทร่วมทุน และธนาคารของญี่ปุ่นที่ถูกต้องตามกฎหมาย แสดงให้เห็นว่าบริษัทการเงินในประเทศญี่ปุ่น กำลังตกเป็นเป้าหมายในการโจมตีของกลุ่ม BlueNoroff

จากรายงานของ National Intelligence Service (NIS) ของเกาหลีใต้ กลุ่ม BlueNoroff หรือ APT38 ซึ่งเป็นกลุ่ม Hacker ที่ได้รับการสนับสนุนจากรัฐบาลเกาหลีเหนือ ได้สร้างความเสียหาย และขโมยเงินดิจิทัล และสินทรัพย์ดิจิทัลอื่น ๆ มูลค่ากว่า 1.2 พันล้านดอลลาร์จากเป้าหมายทั่วโลกในช่วงห้าปีที่ผ่านมา

ที่มา : thehackernews

ช่องโหว่ Zero-day ตัวใหม่บน Windows ช่วยให้ผู้โจมตีสามารถใช้ไฟล์ JavaScript ที่เป็นอันตราย เพื่อ bypass คำเตือนด้านความปลอดภัยของ Windows ที่เรียกว่า Mark-of-the-Web ได้ ซึ่งผู้โจมตีสามารถใช้ช่องโหว่ดังกล่าวในการโจมตีด้วยแรนซัมแวร์ได้

ฟีเจอร์ที่เรียกว่า Mark-of-the-Web (MoTW) ของ Windows จะทำการระบุค่าสถานะของไฟล์ว่าถูกดาวน์โหลดมาจากอินเทอร์เน็ต ดังนั้นควรระมัดระวัง เนื่องจากอาจเป็นอันตรายได้

MoTW จะถูกเพิ่มลงในไฟล์ที่ถูกดาวน์โหลดมาจากอินเทอร์เน็ต หรือจากไฟล์แนบในอีเมล ที่เรียกว่า 'Zone.