พบแคมเปญมัลแวร์ StrelaStealer กำลังมุ่งเป้าโจมตีเพื่อขโมยข้อมูลบัญชีอีเมล โดยส่งผลกระทบต่อองค์กรกว่า 100 แห่งทั่วสหรัฐอเมริกา และยุโรป

StrelaStealer ถูกพบครั้งแรกในเดือนพฤศจิกายน 2022 โดยเป็นมัลแวร์สำหรับขโมยข้อมูลตัวใหม่ที่มีความสามารถในการขโมยข้อมูลบัญชีอีเมลจาก Outlook และ Thunderbird โดยมีความสามารถเด่น คือการใช้วิธีการติดมัลแวร์แบบ polyglot file (การรวมรูปแบบไฟล์สองรูปแบบขึ้นไปเข้าด้วยกันในลักษณะที่แต่ละรูปแบบสามารถทำงานได้โดยไม่มีข้อผิดพลาด เช่นไฟล์ JAR และ MSI) เพื่อหลบเลี่ยงการตรวจจับจากซอฟต์แวร์รักษาความปลอดภัย

ในช่วงแรกมัลแวร์ StrelaStealer มุ่งเป้าหมายการโจมตีไปยังผู้ใช้งานชาวสเปนเป็นส่วนใหญ่

ต่อมาตามรายงานล่าสุดโดย Unit42 ของ Palo Alto Networks พบว่ามัลแวร์ StrelaStealer ได้เปลี่ยนแปลงเป้าหมายการโจมตีไปยังผู้ใช้งานจากสหรัฐอเมริกาและยุโรปแทน

รวมถึงพบว่า StrelaStealer ได้เผยแพร่ผ่านทางแคมเปญฟิชชิ่งเพิ่มขึ้นอย่างมากในเดือนพฤศจิกายน 2023 โดยพบว่าได้มีการกำหนดเป้าหมายไปที่องค์กรมากกว่า 250 แห่ง จนถึง 500 แห่งในสหรัฐอเมริกา รวมถึงพบการกำหนดเป้าหมายอย่างน้อย 100 แห่งในยุโรป ซึ่งปริมาณการโจมตีผ่านแคมเปญฟิชชิ่งเพิ่มขึ้นอย่างต่อเนื่องจนถึงปี 2024 ตามข้อมูลการบันทึกกิจกรรมระหว่างปลายเดือนมกราคม 2024 ถึงต้นเดือนกุมภาพันธ์ 2024 ของนักวิเคราะห์ของ Unit42 ซึ่ง StrelaStealer ใช้ภาษาอังกฤษ และภาษายุโรปอื่น ๆ เพื่อปรับใช้ตามการโจมตีเป้าหมาย

ซึ่งหน่วยงานเป้าหมายในการโจมตีส่วนใหญ่เป็นองค์กรทางด้านเทคโนโลยีขั้นสูง ตามด้วยภาคส่วนต่าง ๆ เช่น ภาคการเงิน บริการด้านกฎหมาย ภาคการผลิต รัฐบาล สาธารณูปโภคและพลังงาน ประกันภัย และการก่อสร้าง

วิธีการโจมตีรูปแบบใหม่

วิธีการติดมัลแวร์แบบเดิมของ StrelaStealer ตั้งแต่ปลายปี 2022 คือการส่งอีเมลที่แนบไฟล์ .ISO ที่มีไฟล์ .Lnk shortcut และไฟล์ HTML ซึ่งใช้หลายภาษาเพื่อเรียกใช้ 'rundll32.exe' และดำเนินการเพย์โหลดของมัลแวร์

ต่อมาได้เปลี่ยนมาใช้วิธีการโจมตีโดยใช้ไฟล์แนบ ZIP เพื่อวางไฟล์ JScript บนระบบของเหยื่อ ซึ่งเมื่อวางไฟล์สำเร็จ สคริปต์จะปล่อย batch file และ base64-encode ซึ่งจะถอดรหัสเป็นไฟล์ DLL และดำเนินการผ่าน rundll32.exe อีกครั้งเพื่อปรับใช้เพย์โหลด StrelaStealer รวมถึงยังใช้วิธีการโจมตีที่สร้างความสับสนในระหว่างการโจมตีเพื่อทำให้การวิเคราะห์การโจมตียากยิ่งขึ้น และลบ PDB string เพื่อหลบเลี่ยงการตรวจจับโดยเครื่องมือที่ใช้ signature ในการตรวจจับ โดยฟังก์ชันหลักของ StrelaStealer ยังคงเหมือนเดิม นั่นคือเพื่อขโมยข้อมูลการเข้าสู่ระบบอีเมลจากไคลเอนต์อีเมลยอดนิยม และส่งไปยัง command and control (C2) server ของ Hacker

ดังนั้นผู้ใช้งานจึงควรระมัดระวังเมื่อได้รับอีเมลไม่พึงประสงค์ที่อ้างว่าเกี่ยวข้องกับการชำระเงิน หรือใบแจ้งหนี้ และหลีกเลี่ยงการดาวน์โหลดไฟล์แนบจากผู้ส่งที่ไม่รู้จัก เพื่อป้องกันการโจมตี

ที่มา : bleepingcomputer

นักวิจัยด้านความปลอดภัยเผยแพร่การค้นพบ LOLBAS files ซึ่งเป็นไบนารี และสคริปต์ที่มีใช้งานอยู่ใน Windows อย่างถูกต้อง ซึ่งสามารถถูกนำไปใช้เพื่อวัตถุประสงค์ที่เป็นอันตรายได้ โดยพบการเรียกใช้ไฟล์ executable ของ Microsoft’s Outlook email client และ Access database management system รวมไปถึง LOLBAS files สำหรับ Microsoft Publisher application และยังสามารถทำการดาวน์โหลดเพย์โหลดจากเซิร์ฟเวอร์ภายนอกได้อีกด้วย (more…)

Cisco Talos เปิดเผยรายงานการพบแคมเปญการโจมตีที่มุ่งเป้าหมายการโจมตีไปยังบัญชี Gmail, Outlook ของเป้าหมาย ซึ่งเกี่ยวข้องกับมัลแวร์บอตเน็ตที่ชื่อ Horabot ผ่านการใช้ banking trojan (more…)

Microsoft ระบุ Indicators of compromise (IoCs) ที่เกี่ยวข้องกับการโจมตีจากช่องโหว่ของ Outlook ที่เพิ่งได้รับการแก้ไขไปเมื่อต้นเดือนมีนาคมที่ผ่านมา

โดยช่องโหว่ดังกล่าวมีหมายเลข CVE-2023-23397 (CVSS score: 9.8) เป็นช่องโหว่ระดับ Critical เกี่ยวกับการยกระดับสิทธิ์ ซึ่งถูกใช้ในการโจมตีเพื่อขโมย NT Lan Manager (NTLM) hashes โดยไม่ต้องมีการดำเนินการใด ๆ จากผู้ใช้งาน

ช่องโหว่นี้จะทำให้ Net-NTLMv2 hash ของเหยื่อถูกขโมยออกไป ซึ่งผู้โจมตีสามารถนำไปใช้กับบริการอื่น ๆ เพื่อใช้ในการยืนยันตัวตนได้
(more…)

เครื่องมือโอเพ่นซอร์สสำหรับการโจมตีแบบ adversary-in-the-middle (AiTM) ถูกพบกำลังถูกนำมาใช้โดยผู้โจมตี

Microsoft Threat Intelligence กำลังติดตามกลุ่มแฮ็กเกอร์ที่อยู่เบื้องหลังการพัฒนาชุดเครื่องมือดังกล่าวภายใต้ชื่อ DEV -1101

การโจมตี AiTM phishing คือความพยายามในการขโมย และดักจับข้อมูลรหัสผ่าน และคุกกี้เซสชั่นของเป้าหมายโดยการติดตั้ง proxy เซิร์ฟเวอร์ระหว่างผู้ใช้กับเว็บไซต์ การโจมตีดังกล่าวมีประสิทธิภาพมาก เนื่องจากมีความสามารถในการหลีกเลี่ยงการป้องกันจาก multi-factor authentication (MFA)

DEV-1101 อยู่เบื้องหลัง Phishing Kits ที่กลุ่มผู้โจมตีรายอื่นสามารถซื้อ หรือเช่าไปใช้ได้ ซึ่งจะช่วยลดความยุ่งยากในการเริ่มการโจมตีด้วย Phishing ได้

เครื่องมือโอเพ่นซอร์สจาก DEV-1101 มาพร้อมกับฟีเจอร์ที่ทำให้สามารถตั้งค่าหน้า Landing Page ฟิชชิ่งที่เลียนแบบ Microsoft Office และ Outlook รวมถึงการจัดการการโจมตีได้จากอุปกรณ์พกพา และแม้แต่ใช้การตรวจสอบจาก CAPTCHA เพื่อหลีกเลี่ยงการตรวจจับ

นับตั้งแต่เปิดตัวบริการดังกล่าวในเดือนพฤษภาคม 2565 เครื่องมือมีการปรับปรุงหลายอย่าง ที่สำคัญที่สุดคือความสามารถในการจัดการเซิร์ฟเวอร์ผ่าน Telegram bot ซึ่งปัจจุบันมีราคา 300 ดอลลาร์สำหรับรายเดือนปกติ และ 1,000 ดอลลาร์สำหรับระดับ VIP

Microsoft ระบุว่าได้ตรวจพบแคมเปญฟิชชิ่งจํานวนมาก ซึ่งครอบคลุมอีเมลฟิชชิ่งนับล้านฉบับต่อวันจากหลากหลายกลุ่มที่ใช้ประโยชน์จากเครื่องมือดังกล่าว

ซึ่งรวมถึงกลุ่ม DEV-0928 ที่ Microsoft ระบุว่าเป็นหนึ่งในผู้สนับสนุนที่สำคัญของ DEV-1101 และเชื่อมโยงกับแคมเปญ Phishing ซึ่งประกอบด้วยอีเมลมากกว่าหนึ่งล้านฉบับตั้งแต่เดือนกันยายน 2565

ลำดับการโจมตีเริ่มต้นด้วยข้อความอีเมลในธีมเอกสารที่มีลิงก์ไปยังเอกสาร PDF ซึ่งเมื่อคลิกแล้ว จะนำผู้รับไปยังหน้าเข้าสู่ระบบที่ปลอมเป็น portal ลงชื่อเข้าใช้ของ Microsoft แต่ก่อนหน้านั้นจะมีการให้ผู้ใช้งานกรอกข้อมูล Captcha ก่อน การใส่หน้า CAPTCHA ลงไปทำให้สามารถป้องกันการถูกตรวจสอบจากระบบอัตโนมัติ แต่ทำให้มั่นใจได้ว่าเหยื่อเป็นผู้เข้าใช้งานเอง

 

ที่มา : thehackernews

Deep Instinct บริษัทด้านความปลอดภัยทางไซเบอร์ได้เผยแพร่การพบโทรจันการเข้าถึงจากระยะไกล (remote access trojans RAT) ของ StrRAT และ Ratty ได้ใช้แคมเปญใหม่โดยการใช้ไฟล์ polyglot MSI/JAR และ CAB/JAR เพื่อหลบเลี่ยงการตรวจจับจากเครื่องมือรักษาความปลอดภัย และ Anti-Virus ซึ่งเป็นที่น่าสนใจมากขึ้น เนื่องจาก StrRAT และ Ratty เป็น RAT malware ที่เคยถูกพบมานานแล้ว

polyglot files คือ ไฟล์หลากหลายภาษารวมกันในรูปแบบไฟล์ตั้งแต่สองรูปแบบขึ้นไป ซึ่ง Hackers ได้ใช้ไฟล์หลายภาษาที่ฝังคำสั่งที่เป็นอันตราย เพื่อหลบเลี่ยงการตรวจจับจากเครื่องมือรักษาความปลอดภัย และเรียกใช้โดยแอปพลิเคชันที่แตกต่างกันหลายรายการได้โดยไม่มีข้อผิดพลาด โดยล่าสุดที่พบการใช้วิธีการนี้ในการโจมตีคือ มัลแวร์ StrelaStealer ที่กำหนดเป้าหมายไปยังบัญชีผู้ใช้งาน Outlook และ Thunderbird

วิธีการโจมตี

Deep Instinct ได้อธิบายวิธีการโจมตีไว้ว่า ด้วยการรวมรูปแบบ JAR และ MSI ไว้ในไฟล์เดียว โดยไฟล์ JAR เป็นไฟล์ archive ที่จะถูกระบุโดยบันทึกที่ส่วนท้าย ในขณะที่ใน MSI ตัวระบุประเภทไฟล์คือ "magic header" ที่จุดเริ่มต้นของไฟล์ รูปแบบทั้งคู่นี้ทำให้สามารถดำเนินการเป็น MSI ใน Windows และดำเนินการเป็นไฟล์ JAR โดย Java runtime (JAR ไม่ใช่ไฟล์เรียกทำงานจึงไม่ได้รับการตรวจสอบจาก Anti-Virus ทำให้สามารถซ่อนคำสั่งที่เป็นอันตรายได้) รวมไปถึงการใช้การรวมรูปแบบ CAB/JAR แทน MSI เนื่องจากพวกเขามี magic header สำหรับการตีความประเภทไฟล์เช่นกัน

โดยพบว่า แคมเปญนี้ถูกเผยแพร่โดย Sendgrid และ URL shortening เช่น Cutt.

มัลแวร์ที่มีความสามารถในการขโมยข้อมูลตัวใหม่ชื่อ 'StrelaStealer' กำลังถูกนำมาใช้เพื่อขโมยข้อมูล credential ของบัญชีอีเมลจาก Outlook และ Thunderbird อย่างแพร่หลายในปัจจุบัน โดยพฤติกรรมของมัลแวร์ตัวนี้จะพยายามขโมยข้อมูลจากแหล่งข้อมูลต่าง ๆ ทั้งเบราว์เซอร์, cryptocurrency wallet apps, แอพเกมบนคลาวด์ และคลิปบอร์ดอื่น ๆ นักวิเคราะห์จาก DCSO CyTec ซึ่งเป็นผู้ค้นพบมัลแวร์ดังกล่าวรายงานว่า พบพฤติกรรมของมัลแวร์ครั้งแรกเมื่อต้นเดือนพฤศจิกายน พ.ศ. 2565 โดยตัวมัลแวร์มีการกำหนดเป้าหมายไปยังผู้ใช้งานในประเทศสเปน

ไฟล์ที่เป็นอันตราย

StrelaStealer เข้าถึงระบบของเหยื่อผ่านทางอีเมลโดยจะแนบไฟล์ที่เป็นอันตรายมาด้วย ซึ่งส่วนใหญ่จะเป็นไฟล์ ISO และมีไฟล์ติดตั้ง 'msinfo32.exe' อยู่ภายใน หรือในบางกรณีจะมีไฟล์ LNK ('Factura.

ข้อมูลเบื้องต้น
ผู้เชี่ยวชาญจาก ThreatLabz ของ Zscaler ตรวจพบแคมเปญนี้ในเดือนพฤษภาคม โดยพบว่าการโจมตีในครั้งนี้มุ่งเป้าไปที่หน่วยงานต่างๆของสหรัฐอเมริกา นอกจากนี้ยังมีบริษัทด้านความปลอดภัยของซอฟต์แวร์ ผู้ให้บริการโซลูชันด้านความปลอดภัย การทหาร การดูแลสุขภาพ และเภสัชกรรมที่ตกเป็นเป้าหมายอีกด้วย
ซึ่ง Zscaler ที่เป็นบริษัทที่ตรวจพบแคมเปญนี้ก็เป็นหนึ่งในองค์กรเป้าหมายด้วยเช่นเดียวกัน

ลักษณะการโจมตี
1. การโจมตีเริ่มต้นจากการส่งอีเมลไปยังเป้าหมาย โดยระบุว่ามีข้อความเสียงอยู่ในไฟล์แนบ
2. เมื่อเป้าหมายเปิดไฟล์แนบ สคริป HTML จะทำงาน และเปลี่ยนเส้นทางไปยังหน้าใส่ CAPTCHA ซึ่งการใส่ CAPTCHA จะช่วยให้ผู้โจมตีสามารถหลบเลี่ยงเครื่องมือสแกน URL แบบอัตโนมัติได้
3. หลังจากใส่ CAPTCHA เสร็จมันจะเปลี่ยนเส้นทางเป็น Login Microsoft ปลอมที่เป็นชื่อของเอนทิตีเป้าหมาย และโดเมนของผู้โจมตีเพื่อให้ใส่อีเมล และรหัสผ่าน หากผู้ใช้งานใส่รหัสผ่านเสร็จ จะมีแจ้งเตือนขึ้นว่าไม่มีบัญชีผู้ใช้งานนี้

นอกจากนี้ยังพบว่าฟิลด์ "From" ของอีเมลจะถูกสร้างขึ้นให้สอดคล้องกับบริษัทของผู้รับ เช่น เมื่อมีการกำหนดเป้าหมายพนักงานของ Zscaler URL ของหน้าจะใช้รูปแบบ zscaler.

Affected Platform : Microsoft Office Outlook

Microsoft ได้เผยแพร่โปรแกรมสำหรับแก้ไขปัญหาช่องโหว่ที่มีผลต่อ Microsoft Office การใช้ช่องโหว่ดังกล่าวอาจทำให้ผู้บุกรุกสามารถควบคุมระบบที่ไม่ได้รับการอัพเดตได้

CVE-2017-8663 | ช่องโหว่ของ Microsoft Office Outlook ที่เกิดขึ้นจากหน่วยความจำ
ช่องโหว่นี้จะเปิดโอกาสให้ผู้ไม่หวังดีสามารถส่งไฟล์อันตรายผ่านทาง Microsoft Office Outlook ที่ไม่ได้รับการอัพเดต เมื่อเหยื่อทำการเปิดไฟล์แล้ว จะทำให้ผู้ไม่หวังดีสามารถเข้ามาควบคุมเครื่องได้ และสามารถติดตั้งโปรแกรม เปลี่ยนหรือลบข้อมูล ทำได้แม้กระทั่งการสร้างบัญชีใหม่ที่มีสิทธิ์การเข้าถึงระบบอย่างเต็มรูปแบบ โดยการอัพเดตความปลอดภัยนี้จะแก้ไขปัญหาช่องโหว่โดยการที่ Microsoft Office Outlook จะช่วยทำการวิเคราะห์ และแยกแยะเนื้อหาของอีเมล์ให้

CVE-2017-8572 | ช่องโหว่ของ Microsoft Office Outlook ที่จะเปิดเผยข้อมูลของหน่วยความจำที่ถูกใช้งาน
ช่องโหว่จะเปิดเผยข้อมูลของหน่วยความจำที่มีการใช้งาน โดยผู้ไม่หวังดีจะใช้ข้อมูลนี้เพื่อระบุตำแหน่งของหน่วยความจำที่ใช้ในการสร้างวัตถุ(Object) และจะใช้ช่องโหว่นี้เพื่อสร้างไฟล์เอกสารที่มีการฝัง script ไว้ เมื่อเหยื่อเปิดไฟล์ขึ้นมา จะทำให้ผู้ไม่หวังดีสามารถเข้าถึงคอมพิวเตอร์หรือข้อมูลของเหยื่อได้ โดยการอุดช่องโหว่นี้งจะทำการเปลี่ยนวิธีการจัดการฟังก์ชันบางอย่างในหน่วยความจำ

ที่มา : us-cert

ทีมนักวิจัยของ Symantec ได้ออกมาประกาศแจ้งเตือนผู้ที่ใช้งาน Gmail, Outlook และ Yahoo Mail ว่าให้ระวังเทคนิคการหลอกลวงรูปแบบใหม่ของผู้ไม่ประสงค์ดี เริ่มต้นโดยผู้ไม่ประสงค์ดีต้องทราบอีเมล์และเบอร์โทรศัพท์ของเหยื่อก่อน ซึ่งปัจจุบันนี้ข้อมูล 2 อันนี้หาได้ง่ายมากจาก Social Network ต่างๆ เช่น Facebook, LinkedIn หรือจากการสอบถามผู้อื่น จากนั้นผู้ไม่ประสงค์ดีจะระบุอีเมล์ของเหยื่อและใช้ฟีเจอร์ Password Recovery ที่ใช้สำหรับกรณีที่เจ้าของอีเมล์ลืมรหัสผ่านของตนเอง มาเป็นเครื่องมือในการแอบหลอกขโมยรหัสผ่าน

หลังจากที่เรียกใช้ฟีเจอร์ Password Recovery แล้ว ระบบอีเมล์จะทำการส่ง Verification Code ไปยังมือถือของเหยื่อตามเบอร์โทรศัพท์ที่ได้ลงทะเบียนไว้ ผู้ไม่ประสงค์ดีจะทำการส่งข้อความตามไปทันที ใจความประมาณว่า “Google has detected unusual activity on your account.