Microsoft ระบุ Indicators of compromise (IoCs) ที่เกี่ยวข้องกับการโจมตีจากช่องโหว่ของ Outlook ที่เพิ่งได้รับการแก้ไขไปเมื่อต้นเดือนมีนาคมที่ผ่านมา
โดยช่องโหว่ดังกล่าวมีหมายเลข CVE-2023-23397 (CVSS score: 9.8) เป็นช่องโหว่ระดับ Critical เกี่ยวกับการยกระดับสิทธิ์ ซึ่งถูกใช้ในการโจมตีเพื่อขโมย NT Lan Manager (NTLM) hashes โดยไม่ต้องมีการดำเนินการใด ๆ จากผู้ใช้งาน
ช่องโหว่นี้จะทำให้ Net-NTLMv2 hash ของเหยื่อถูกขโมยออกไป ซึ่งผู้โจมตีสามารถนำไปใช้กับบริการอื่น ๆ เพื่อใช้ในการยืนยันตัวตนได้
(more…)
เครื่องมือโอเพ่นซอร์สสำหรับการโจมตีแบบ adversary-in-the-middle (AiTM) ถูกพบกำลังถูกนำมาใช้โดยผู้โจมตี
Microsoft Threat Intelligence กำลังติดตามกลุ่มแฮ็กเกอร์ที่อยู่เบื้องหลังการพัฒนาชุดเครื่องมือดังกล่าวภายใต้ชื่อ DEV -1101
การโจมตี AiTM phishing คือความพยายามในการขโมย และดักจับข้อมูลรหัสผ่าน และคุกกี้เซสชั่นของเป้าหมายโดยการติดตั้ง proxy เซิร์ฟเวอร์ระหว่างผู้ใช้กับเว็บไซต์ การโจมตีดังกล่าวมีประสิทธิภาพมาก เนื่องจากมีความสามารถในการหลีกเลี่ยงการป้องกันจาก multi-factor authentication (MFA)
DEV-1101 อยู่เบื้องหลัง Phishing Kits ที่กลุ่มผู้โจมตีรายอื่นสามารถซื้อ หรือเช่าไปใช้ได้ ซึ่งจะช่วยลดความยุ่งยากในการเริ่มการโจมตีด้วย Phishing ได้
เครื่องมือโอเพ่นซอร์สจาก DEV-1101 มาพร้อมกับฟีเจอร์ที่ทำให้สามารถตั้งค่าหน้า Landing Page ฟิชชิ่งที่เลียนแบบ Microsoft Office และ Outlook รวมถึงการจัดการการโจมตีได้จากอุปกรณ์พกพา และแม้แต่ใช้การตรวจสอบจาก CAPTCHA เพื่อหลีกเลี่ยงการตรวจจับ
นับตั้งแต่เปิดตัวบริการดังกล่าวในเดือนพฤษภาคม 2565 เครื่องมือมีการปรับปรุงหลายอย่าง ที่สำคัญที่สุดคือความสามารถในการจัดการเซิร์ฟเวอร์ผ่าน Telegram bot ซึ่งปัจจุบันมีราคา 300 ดอลลาร์สำหรับรายเดือนปกติ และ 1,000 ดอลลาร์สำหรับระดับ VIP
Microsoft ระบุว่าได้ตรวจพบแคมเปญฟิชชิ่งจํานวนมาก ซึ่งครอบคลุมอีเมลฟิชชิ่งนับล้านฉบับต่อวันจากหลากหลายกลุ่มที่ใช้ประโยชน์จากเครื่องมือดังกล่าว
ซึ่งรวมถึงกลุ่ม DEV-0928 ที่ Microsoft ระบุว่าเป็นหนึ่งในผู้สนับสนุนที่สำคัญของ DEV-1101 และเชื่อมโยงกับแคมเปญ Phishing ซึ่งประกอบด้วยอีเมลมากกว่าหนึ่งล้านฉบับตั้งแต่เดือนกันยายน 2565
ลำดับการโจมตีเริ่มต้นด้วยข้อความอีเมลในธีมเอกสารที่มีลิงก์ไปยังเอกสาร PDF ซึ่งเมื่อคลิกแล้ว จะนำผู้รับไปยังหน้าเข้าสู่ระบบที่ปลอมเป็น portal ลงชื่อเข้าใช้ของ Microsoft แต่ก่อนหน้านั้นจะมีการให้ผู้ใช้งานกรอกข้อมูล Captcha ก่อน การใส่หน้า CAPTCHA ลงไปทำให้สามารถป้องกันการถูกตรวจสอบจากระบบอัตโนมัติ แต่ทำให้มั่นใจได้ว่าเหยื่อเป็นผู้เข้าใช้งานเอง
ที่มา : thehackernews
Deep Instinct บริษัทด้านความปลอดภัยทางไซเบอร์ได้เผยแพร่การพบโทรจันการเข้าถึงจากระยะไกล (remote access trojans RAT) ของ StrRAT และ Ratty ได้ใช้แคมเปญใหม่โดยการใช้ไฟล์ polyglot MSI/JAR และ CAB/JAR เพื่อหลบเลี่ยงการตรวจจับจากเครื่องมือรักษาความปลอดภัย และ Anti-Virus ซึ่งเป็นที่น่าสนใจมากขึ้น เนื่องจาก StrRAT และ Ratty เป็น RAT malware ที่เคยถูกพบมานานแล้ว
polyglot files คือ ไฟล์หลากหลายภาษารวมกันในรูปแบบไฟล์ตั้งแต่สองรูปแบบขึ้นไป ซึ่ง Hackers ได้ใช้ไฟล์หลายภาษาที่ฝังคำสั่งที่เป็นอันตราย เพื่อหลบเลี่ยงการตรวจจับจากเครื่องมือรักษาความปลอดภัย และเรียกใช้โดยแอปพลิเคชันที่แตกต่างกันหลายรายการได้โดยไม่มีข้อผิดพลาด โดยล่าสุดที่พบการใช้วิธีการนี้ในการโจมตีคือ มัลแวร์ StrelaStealer ที่กำหนดเป้าหมายไปยังบัญชีผู้ใช้งาน Outlook และ Thunderbird
วิธีการโจมตี
Deep Instinct ได้อธิบายวิธีการโจมตีไว้ว่า ด้วยการรวมรูปแบบ JAR และ MSI ไว้ในไฟล์เดียว โดยไฟล์ JAR เป็นไฟล์ archive ที่จะถูกระบุโดยบันทึกที่ส่วนท้าย ในขณะที่ใน MSI ตัวระบุประเภทไฟล์คือ "magic header" ที่จุดเริ่มต้นของไฟล์ รูปแบบทั้งคู่นี้ทำให้สามารถดำเนินการเป็น MSI ใน Windows และดำเนินการเป็นไฟล์ JAR โดย Java runtime (JAR ไม่ใช่ไฟล์เรียกทำงานจึงไม่ได้รับการตรวจสอบจาก Anti-Virus ทำให้สามารถซ่อนคำสั่งที่เป็นอันตรายได้) รวมไปถึงการใช้การรวมรูปแบบ CAB/JAR แทน MSI เนื่องจากพวกเขามี magic header สำหรับการตีความประเภทไฟล์เช่นกัน
โดยพบว่า แคมเปญนี้ถูกเผยแพร่โดย Sendgrid และ URL shortening เช่น Cutt.
มัลแวร์ที่มีความสามารถในการขโมยข้อมูลตัวใหม่ชื่อ 'StrelaStealer' กำลังถูกนำมาใช้เพื่อขโมยข้อมูล credential ของบัญชีอีเมลจาก Outlook และ Thunderbird อย่างแพร่หลายในปัจจุบัน โดยพฤติกรรมของมัลแวร์ตัวนี้จะพยายามขโมยข้อมูลจากแหล่งข้อมูลต่าง ๆ ทั้งเบราว์เซอร์, cryptocurrency wallet apps, แอพเกมบนคลาวด์ และคลิปบอร์ดอื่น ๆ นักวิเคราะห์จาก DCSO CyTec ซึ่งเป็นผู้ค้นพบมัลแวร์ดังกล่าวรายงานว่า พบพฤติกรรมของมัลแวร์ครั้งแรกเมื่อต้นเดือนพฤศจิกายน พ.ศ. 2565 โดยตัวมัลแวร์มีการกำหนดเป้าหมายไปยังผู้ใช้งานในประเทศสเปน
ไฟล์ที่เป็นอันตราย
StrelaStealer เข้าถึงระบบของเหยื่อผ่านทางอีเมลโดยจะแนบไฟล์ที่เป็นอันตรายมาด้วย ซึ่งส่วนใหญ่จะเป็นไฟล์ ISO และมีไฟล์ติดตั้ง 'msinfo32.exe' อยู่ภายใน หรือในบางกรณีจะมีไฟล์ LNK ('Factura.
ข้อมูลเบื้องต้น
ผู้เชี่ยวชาญจาก ThreatLabz ของ Zscaler ตรวจพบแคมเปญนี้ในเดือนพฤษภาคม โดยพบว่าการโจมตีในครั้งนี้มุ่งเป้าไปที่หน่วยงานต่างๆของสหรัฐอเมริกา นอกจากนี้ยังมีบริษัทด้านความปลอดภัยของซอฟต์แวร์ ผู้ให้บริการโซลูชันด้านความปลอดภัย การทหาร การดูแลสุขภาพ และเภสัชกรรมที่ตกเป็นเป้าหมายอีกด้วย
ซึ่ง Zscaler ที่เป็นบริษัทที่ตรวจพบแคมเปญนี้ก็เป็นหนึ่งในองค์กรเป้าหมายด้วยเช่นเดียวกัน
ลักษณะการโจมตี
1. การโจมตีเริ่มต้นจากการส่งอีเมลไปยังเป้าหมาย โดยระบุว่ามีข้อความเสียงอยู่ในไฟล์แนบ
2. เมื่อเป้าหมายเปิดไฟล์แนบ สคริป HTML จะทำงาน และเปลี่ยนเส้นทางไปยังหน้าใส่ CAPTCHA ซึ่งการใส่ CAPTCHA จะช่วยให้ผู้โจมตีสามารถหลบเลี่ยงเครื่องมือสแกน URL แบบอัตโนมัติได้
3. หลังจากใส่ CAPTCHA เสร็จมันจะเปลี่ยนเส้นทางเป็น Login Microsoft ปลอมที่เป็นชื่อของเอนทิตีเป้าหมาย และโดเมนของผู้โจมตีเพื่อให้ใส่อีเมล และรหัสผ่าน หากผู้ใช้งานใส่รหัสผ่านเสร็จ จะมีแจ้งเตือนขึ้นว่าไม่มีบัญชีผู้ใช้งานนี้
นอกจากนี้ยังพบว่าฟิลด์ "From" ของอีเมลจะถูกสร้างขึ้นให้สอดคล้องกับบริษัทของผู้รับ เช่น เมื่อมีการกำหนดเป้าหมายพนักงานของ Zscaler URL ของหน้าจะใช้รูปแบบ zscaler.
Affected Platform : Microsoft Office Outlook
Microsoft ได้เผยแพร่โปรแกรมสำหรับแก้ไขปัญหาช่องโหว่ที่มีผลต่อ Microsoft Office การใช้ช่องโหว่ดังกล่าวอาจทำให้ผู้บุกรุกสามารถควบคุมระบบที่ไม่ได้รับการอัพเดตได้
CVE-2017-8663 | ช่องโหว่ของ Microsoft Office Outlook ที่เกิดขึ้นจากหน่วยความจำ
ช่องโหว่นี้จะเปิดโอกาสให้ผู้ไม่หวังดีสามารถส่งไฟล์อันตรายผ่านทาง Microsoft Office Outlook ที่ไม่ได้รับการอัพเดต เมื่อเหยื่อทำการเปิดไฟล์แล้ว จะทำให้ผู้ไม่หวังดีสามารถเข้ามาควบคุมเครื่องได้ และสามารถติดตั้งโปรแกรม เปลี่ยนหรือลบข้อมูล ทำได้แม้กระทั่งการสร้างบัญชีใหม่ที่มีสิทธิ์การเข้าถึงระบบอย่างเต็มรูปแบบ โดยการอัพเดตความปลอดภัยนี้จะแก้ไขปัญหาช่องโหว่โดยการที่ Microsoft Office Outlook จะช่วยทำการวิเคราะห์ และแยกแยะเนื้อหาของอีเมล์ให้
CVE-2017-8572 | ช่องโหว่ของ Microsoft Office Outlook ที่จะเปิดเผยข้อมูลของหน่วยความจำที่ถูกใช้งาน
ช่องโหว่จะเปิดเผยข้อมูลของหน่วยความจำที่มีการใช้งาน โดยผู้ไม่หวังดีจะใช้ข้อมูลนี้เพื่อระบุตำแหน่งของหน่วยความจำที่ใช้ในการสร้างวัตถุ(Object) และจะใช้ช่องโหว่นี้เพื่อสร้างไฟล์เอกสารที่มีการฝัง script ไว้ เมื่อเหยื่อเปิดไฟล์ขึ้นมา จะทำให้ผู้ไม่หวังดีสามารถเข้าถึงคอมพิวเตอร์หรือข้อมูลของเหยื่อได้ โดยการอุดช่องโหว่นี้งจะทำการเปลี่ยนวิธีการจัดการฟังก์ชันบางอย่างในหน่วยความจำ
ที่มา : us-cert
ทีมนักวิจัยของ Symantec ได้ออกมาประกาศแจ้งเตือนผู้ที่ใช้งาน Gmail, Outlook และ Yahoo Mail ว่าให้ระวังเทคนิคการหลอกลวงรูปแบบใหม่ของผู้ไม่ประสงค์ดี เริ่มต้นโดยผู้ไม่ประสงค์ดีต้องทราบอีเมล์และเบอร์โทรศัพท์ของเหยื่อก่อน ซึ่งปัจจุบันนี้ข้อมูล 2 อันนี้หาได้ง่ายมากจาก Social Network ต่างๆ เช่น Facebook, LinkedIn หรือจากการสอบถามผู้อื่น จากนั้นผู้ไม่ประสงค์ดีจะระบุอีเมล์ของเหยื่อและใช้ฟีเจอร์ Password Recovery ที่ใช้สำหรับกรณีที่เจ้าของอีเมล์ลืมรหัสผ่านของตนเอง มาเป็นเครื่องมือในการแอบหลอกขโมยรหัสผ่าน
หลังจากที่เรียกใช้ฟีเจอร์ Password Recovery แล้ว ระบบอีเมล์จะทำการส่ง Verification Code ไปยังมือถือของเหยื่อตามเบอร์โทรศัพท์ที่ได้ลงทะเบียนไว้ ผู้ไม่ประสงค์ดีจะทำการส่งข้อความตามไปทันที ใจความประมาณว่า “Google has detected unusual activity on your account.
โครงการ Zero-Day Initiative (ZDI) ของเอชพีเปิดเผยบั๊ก CVE-2014-1770 หรือ ZDI-14-140 ที่เปิดเผยให้กับไมโครซอฟท์ตั้งแต่ช่วงเดือนตุลาคมปีที่แล้ว จนตอนนี้บั๊กนี้ครบระยะเวลารอแพตซ์จากผู้ผลิต 180 วัน ทาง ZDI ก็เปิดเผยบั๊กนี้ออกมา
บั๊กนี้อาศัยช่องโหว่ของออปเจกต์ CMarkup ทำให้แฮกเกอร์สามารถนำพอยเตอร์กลับมาใช้ใหม่ได้หลังคืนหน่วยความจำไปแล้ว (use-after-free) และแฮกเกอร์สามารถรันโค้ดภายใต้โปรเซสปัจจุบันได้
ไมโครซอฟท์ตอบกลับมายัง ZDI ยืนยันว่าพบบั๊กนี้จริงโดยผู้ใช้ต้องถูกล่อให้เปิดหน้าเว็บ หรือเปิดไฟล์ที่เจาะช่องโหว่นี้ การเปิดเว็บที่ถูกควบคุมเฉพาะเช่น การเปิดเว็บที่ฝังมาบนอีเมล์ใน Outlook หรือ Windows Mail ไม่สามารถเจาะช่องโหว่นี้ได้ และแนะนำให้ติดตั้ง Enhanced Mitigation Experience Toolkit (EMET) เพื่อลดความเสี่ยงจากบั๊กนี้
ทาง ZDI แจ้งไมโครซอฟท์ครั้งสุดท้ายเมื่อวันที่ 8 ที่ผ่านมาว่าครบกำหนดการเปิดเผยบั๊ก แล้วจึงเปิดเผยบั๊กออกมาในวันนี้
ที่มา : theregister