มัลแวร์ BATLOADER ใช้ Google Ads เพื่อแพร่กระจายมัลแวร์ Vidar Stealer และ Ursnif Payloads [EndUser]

นักวิจัยพบมัลแวร์ "BATLOADER" มีการใช้ Google Ads เพื่อแพร่กระจาย payload สำหรับติดตั้งมัลแวร์ตัวอื่น ๆ เช่น Vidar Stealer และ Ursnif Payloads

บริษัทรักษาความปลอดภัยด้านไซเบอร์ eSentire ได้รายงานเกี่ยวกับโฆษณาที่เป็นมัลแวร์ ซึ่งถูกใช้ในการเลียนแบบแอปพลิเคชัน และบริการต่าง ๆ เช่น Adobe, OpenAPI's ChatGPT, Spotify, Tableau, และ Zoom (more…)

กลุ่ม Lazarus แฮ็กเกอร์ มุ่งเป้าโจมตี VMware servers ด้วยช่องโหว่ Log4Shell

กลุ่มแฮ็กเกอร์สัญชาติเกาหลีเหนือ ที่เป็นรู้จักกันในชื่อกลุ่ม Lazarus ได้ปฏิบัติการโจมตีโดยใช้ช่องโหว่ Log4J เพื่อวาง backdoor รวมถึง payload ที่ใช้สำหรับขโมยข้อมูลบนระบบ VMware Horizon servers

โดยช่องโหว่ CVE-2021-44228 หรือที่เรียกว่า Log4Shell ที่เกิดขึ้นเมื่อปีแล้วนั้น ส่งผลกระทบต่อผลิตภัณฑ์จำนวนมาก ซึ่ง VMware Horizon ก็เป็นหนึ่งในระบบที่ได้รับผลกระทบเช่นกัน

นักวิเคราะห์ที่ ASEC ของ Ahnlab ระบุว่ากลุ่ม Lazarus ได้กำหนดเป้าหมายการโจมตีรอบใหม่ไปยัง VMware Horizon ที่มีช่องโหว่ผ่าน Log4Shell ตั้งแต่เดือนเมษายน 2565 ซึ่งจริงๆแล้วช่องโหว่นี้ ถูกพบตั้งแต่เดือนมกราคม 2565 แต่ผู้ดูแลระบบจำนวนมากยังไม่ได้ทำการอัปเดตแพตช์

รายละเอียดการโจมตี

กลุ่ม Lazraus จะโจมตีโดยใช้ประโยชน์จากช่องโหว่ของ Log4j ผ่าน Apache Tomcat ของ VMware Horizon เพื่อดำเนินการรันคำสั่งบน PowerShell ในการติดตั้ง Backdoor ที่ชื่อว่า NukeSped

ซึ่ง NukeSped (หรือ NukeSpeed) เป็นมัลแวร์ที่เกี่ยวข้องกับแฮ็กเกอร์กลุ่ม DPRK ถูกพบครั้งแรกในฤดูร้อนปี 2561 และเชื่อมโยงกับแคมเปญในปี 2563 ที่ Lazarus จัดเตรียมไว้

หลังจาก NukeSped ถูกติดตั้ง มันจะทำการบันทึกกิจกรรมต่างๆของเครื่องที่ถูกติดตั้ง เช่น การจับภาพหน้าจอ บันทึกการกดปุ่ม การเข้าถึงไฟล์ ฯลฯ นอกจากนี้ NukeSped สามารถบันทึกข้อมูลที่พิมพ์บน Command Line ได้อีกด้วย

ล่าสุดมีรายงานว่า NukeSped มีการขโมยข้อมูลบน USB และยังสามารถเข้าถึงกล้องบน Labtop ได้อีกด้วย

ข้อมูลเพิ่มเติม

นอกจากนี้มีรายงานจากการวิเคราะห์ข้อมูลของ ASEC พบว่า Backdoor นี้ยังสามารถขโมยข้อมูลดังต่อไปนี้ได้อีกด้วย

ข้อมูลบัญชี และประวัติการเข้าใช้งานที่จัดเก็บไว้ใน Google Chrome, Mozilla Firefox, Internet Explorer, Opera และ Naver Whale
ข้อมูลบัญชีอีเมลที่เก็บไว้ใน Outlook Express, MS Office Outlook และ Windows Live Mail
ชื่อไฟล์ที่ใช้ล่าสุดจาก MS Office (PowerPoint, Excel และ Word) และ Hancom 2010
ในบางกรณี พบว่า Lazarus กำลังติดตั้ง Jin Miner แทน NukeSped โดยใช้ประโยชน์จาก Log4Shell ในการทำ cryptocurrency mining
แนวทางการป้องกัน

เพื่อเป็นการป้องกัน ผู้ดูแลระบบควรตรวจสอบ และอัปเดตอุปกรณ์ให้เป็นเวอร์ชันล่าสุดอยู่เสมอ และหมั่นติดตามข่าวสารอย่างใกล้ชิด

ที่มา : bleepingcomputer.

Qakbot Malware is Targeting the Users Via Malicious Email Campaign

โทรจัน Qakbot หรือที่เรียกว่า QBot หรือ Pinkslipbot เป็นโทรจันที่ถูกใช้กลุ่มผู้ไม่หวังดีที่มีเป้าหมายหลักในการโจมตีทางด้านธนาคารและการเงิน พบการใช้งานตั้งแต่ปี 2017 มีการแพร่กระจายผ่าน payload เชื่อมต่อ Server C&C และ ปัจจุบันเริ่มมีการใช้งานไปในวงกว้างมากขึ้น

นักวิจัยด้านความปลอดภัย Alien Labs สังเกตเห็นแคมเปญที่พึ่งเกิดขึ้นใหม่ซึ่งเหยื่อที่ตกเป็นเป้าหมายด้วยอีเมลล์ล่อลวงที่เป็นอันตราย จากผู้รับที่มีความน่าเชื่อถือ หรือมีการติดต่อสื่อสารระหว่างกันอยู่แล้ว

โดย email account และข้อมูลภายในเมล์ที่ถูกขโมยออกไป สามารถสร้างผลกระทบได้ตั้งแต่ขนาดเล็กไปจนถึงขนาดใหญ่ ซึ่งหลายๆองค์กรสามารถถูกกำหนดเป็นเป้าหมาย จาก email ของผู้ตกเป็นเหยื่อก่อนหน้า

เมื่อเปิดไฟล์ที่เป็นอันตราย โดยสถานะไฟล์จะถูกเรียกว่า DocuSign โดยซอฟต์แวร์ยอดนิยมที่ใช้ในการแพร่กระจาย malicious คือ Excel ใช้ประโยชน์จาก Macros Excel 4.0 (XML macros) ทำการซ่อน sheets ดาวน์โหลด QakBot และ payload จากอินเทอเน็ตเชื่อมต่อกับเซิร์ฟเวอร์ผู้โจมตี ก่อนที่จะเข้าสู่ Payload หลัก QakBot loader จะทำการทดสอบสิ่งที่เกิดขึ้นกับเครื่องที่ติดตั้งอยู่เพื่อเลือกว่าจะทำการดาวน์โหลดไฟล์อะไรมาติดตั้งบนเครื่องของเหยื่อต่อไป โดย Qakbot จะมีการเช็คสภาพแวดล้อมของเครื่องว่าเป็น Virtual Machine และหาว่าเครื่องดังกล่าวมีการลงโปรแกรม Antivirus หรือ common security researcher tools ไว้ภายในเครื่องหรือไม่

เพื่อให้การตรวจจับและวิเคราะห์ยากขึ้น QakBot จะเข้ารหัส String และถอดรหัสเมื่อมีการรันโปรเซส เมื่อดำเนินการเสร็จ จะดำเนินการลบข้อมูลออกจาก memory ทันที จุดเด่นของ โทรจัน QakBot ที่ใช้ในการ phishing ในอีเมล์ปลอมจะมีข้อมูล เช่นการจัดส่งใบสั่งงานคำขอเร่งด่วนใบแจ้งหนี้การอ้างสิทธิ์ ฯลฯ อีเมลฟิชชิ่งจะมีรูปแบบสลับกันระหว่าง ไฟล์แนบและลิงค์ QakBot มักใช้เป็นทางคล้ายกับ TrickBot หรือ Emotet ซึ่งนำไปสู่การใช้ประโยชน์ในการติดตั้ง Ransomware ต่อไป

ที่มา : ehackingnews

Revamped DLL side-load attack hits Myanmar

Sophos ออกรายงานการโจมตีทางไซเบอร์ในพม่า ใช้โปรแกรมของ Windows Defender ทำ "DLL side-loading" ในการโจมตี

Sophos ออกรายงานแจ้งเตือนพฤติกรรมการโจมตีโดยกลุ่ม APT จีนในพม่า พุ่งเป้าโจมตีบริษัทเอกชนและด้านการค้าในประเทศพม่า จุดน่าสนใจของการโจมตีอยู่ที่การใช้เทคนิคการโจมตีซึ่งถูกค้นพบในปี 2013 ในชื่อ DLL side-loading เพื่อหลอกให้ระบบเมื่อมีการเอ็กซีคิวต์โปรแกรมใดๆ แล้ว ให้เรียกใช้ DLL ปลอมซึ่งเป็นอันตรายแทน DLL จริง

ในกรณีของการโจมตีที่ตรวจพบ แฮกเกอร์จีนมีการใช้โปรแกรม MsMpEng.

นักสืบไซเบอร์ของแท้! ทีม Check Point วิเคราะห์และแกะรอยไฟล์ Exploit จนพบผู้ขายและเหล่า APT ซึ่งเป็นลูกค้ากลุ่มอื่น ๆ

โค้ด exploit คือชุดของโค้ดซึ่งถูกออกแบบมาเพื่อโจมตีช่องโหว่ โดยไฟล์ exploit จะประกอบไปด้วยส่วนของโค้ดซึ่งใช้โจมตีช่องโหว่จริง ๆ และส่วนของโค้ดที่จะถูกนำมาใช้หลังจากโจมตีช่องโหว่สำเร็จ หรือที่รู้จักกันด้วยคำว่า payload

ทีมนักวิจัยด้านความปลอดภัยจาก Check Point ได้มีการแกะรอยไฟล์ไบนารีไฟล์หนึ่งซึ่งถูกตรวจพบในระบบของลูกค้าซึ่งถูกโจมตี โดยผลการแกะรอยไฟล์ประสานกับการเชื่อมโยงข้อมูลจากระบบ threat intelligence ทำให้ Check Point สามารถระบุตัวผู้ขายโค้ดสำหรับโจมตีช่องโหว่ และผู้ซื้อซึ่งรวมไปถึงกลุ่ม APT อื่น ๆ ได้

แนวทางของการแกะรอยของ Check Point ประกอบด้วยการดำเนินการ 3 ขั้นตอนซ้ำไปซ้ำมาและขยายผลการค้นหาออกไปเรื่อย ๆ ได้แก่

1. วิเคราะห์ไฟล์ไบนารีที่เจอ ระบุหาเอกลักษณ์ของไฟล์นั้น ๆ ซึ่งแฝงอยู่ใน metadata ของไฟล์หรือในส่วน header ของไฟล์เอง
2. นำผลลัพธ์ที่ได้ไปขยายผลในระบบ threat intelligence จนได้ไฟล์ที่มีลักษณะเหมือนกัน จากนั้นนำไฟล์ที่ได้มีวิเคราะห์ต่อไปเรื่อย ๆ
3. เมื่อถึงจุดหนึ่ง ไฟล์ที่ตรวจพบและมีคุณลักษณะเหมือนกันจะเชื่อมโยงกลับไปหาผู้ขายโดยอัตโนมัติ ถ้าข้อมูลในระบบ threat intelligence นั้นมากและมีคุณภาพมากพอ

กลุ่มผู้ขายโค้ดสำหรับโจมตีช่องโหว่ดังกล่าวมีชื่อว่า Volodya โดยลูกค้าซึ่งตรวจพบประวัติการซื้อขายโค้ดประกอบไปด้วยกลุ่ม APT ต่าง ๆ มากมาย ได้แก่ Ursnif, GandCrab, Cerber, Magniber, Turla และ APT28

สำหรับผู้ที่สนใจแนวทางในเชิงเทคนิค ทีมตอบสนองการโจมตีและภัยคุกคามขอแนะนำให้ลองอ่านบล็อกของ Check Point ฉบับเต็มที่ https://research.

Paradise Ransomware Distributed via Uncommon Spam Attachment

Paradise Ransomware แพร่กระจายด้วยไฟล์แนบอีเมลแบบใหม่

ผู้โจมตีได้เริ่มส่งไฟล์แนบ Excel Web Query (ไฟล์นามสกุล IQY) ในแคมเปญ Phishing เพื่อดาวน์โหลดและติดตั้ง Paradise Ransomware บนเหยื่อที่ไม่ระวัง ทั้งนี้ Paradise Ransomware ค่อนข้างเก่าแก่ เกิดขึ้นตั้งเเต่ช่วงเดือนกันยายน 2017 มีการรายงานครั้งแรกโดยเหยื่อในเว็บบอร์ด BleepingComputer ตั้งแต่นั้นมาก็มีผู้ตกเป็นเหยื่ออย่างต่อเนื่องจาก ransomware ตัวนี้ในแคมเปญสแปมใหม่ที่ตรวจพบโดย บริษัทรักษาความปลอดภัยทางอินเทอร์เน็ต LastLine ผู้โจมตีที่ใช้ Paradise Ransomware ถูกพบว่ากำลังส่งอีเมลที่อ้างว่าเป็น offers orders หรือ keys โดยไฟล์แนบคือไฟล์ IQY ที่เมื่อเปิดการเชื่อมต่อกับ URL ที่มีคำสั่ง PowerShell ที่จะถูกดำเนินการเพื่อดาวน์โหลดและติดตั้ง Paradise Ransomware

ไฟล์แนบ IQY มันเป็นเพียงไฟล์ข้อความที่สั่งให้ Excel เรียกใช้คำสั่ง และแสดงผลลัพธ์ใน Excel spreadsheet ปัญหาคือไฟล์เหล่านี้ยังสามารถนำเข้าข้อมูลจาก URLs ที่มีสูตร Excel ที่สามารถเปิดใช้งาน local applications เช่น คำสั่ง PowerShell บนคอมพิวเตอร์ของเหยื่อ
ไฟล์แนบ IQY แบบนี้มีประสิทธิภาพมาก เนื่องจากสิ่งที่แนบมาเป็นเพียงไฟล์ข้อความที่ไม่มีรหัสที่เป็นอันตราย ซึ่งอาจทำให้ตรวจจับได้ยากขึ้นโดยซอฟต์แวร์ความปลอดภัย

เนื่องจาก IQY เหล่านี้ไม่มี Payload (เป็นแค่ URL) พวกมันเป็นสิ่งท้าทายให้องค์กรตรวจจับ องค์กรอาจต้องพึ่งพาบริการด้าน URL ของ 3rd party ที่มีชื่อเสียง หากพวกเขาไม่มีเครื่องมือในการวิเคราะห์และตรวจสอบ URL เหล่านี้ LastLine อธิบายไว้ในรายงานของพวกเขา นอกจากว่าคุณใช้ไฟล์ IQY โดยเฉพาะในองค์กรของคุณหรือที่บ้าน ขอแนะนำให้คุณบล็อคไฟล์เหล่านั้นด้วยซอฟต์แวร์ความปลอดภัย หรือลบอีเมลที่ใช้มันเป็นไฟล์แนบ ไฟล์แนบ IQY ที่ส่งทางอีเมลจากคนที่ไม่รู้จักมักจะเป็นอันตรายและควรถูกลบทิ้ง

ที่มา : bleepingcomputer

Exploit kit targets Android devices, delivers ransomware

Blue Coat ออกมาแจ้งเตือนถึง Ransomware ตัวใหม่ เรียกตัวเองว่า “Cyber.Police” ซึ่งพุ่งเป้าโจมตีอุปกรณ์ Android
ทีมนักวิจัยจาก Blue Coat เรียกมัลแวร์ตัวนี้ว่า “Dogspectus” โดยมีความแตกต่างจาก Ransomware ปกติเล็กน้อย คือ มัลแวร์ดังกล่าวไม่ได้ทำการเข้ารหัสไฟล์ข้อมูลของผู้ใช้ แต่จะทำการบล็อกอุปกรณ์ให้ไม่สามารถใช้งานได้ จากนั้นจะแสดงข้อความสวมรอยเป็นตำรวจไซเบอร์ของ American National Security Agency (เป็นหน่วยงานที่ไม่มีอยู่จริง) ระบุว่า ผู้ใช้ได้กระทำสิ่งผิดกฏหมายจึงต้องล็อกอุปกรณ์ไม่ให้ใช้งาน เพื่อปลดล็อกอุปกรณ์ดังกล่าว เหยื่อจำเป็นต้องซื้อ iTunes Gift Card ราคา $100 จำนวน 2 ใบแล้วส่งโค้ดมาให้ทางแฮกเกอร์ที่แอบอ้างตัวเป็นเจ้าหน้าที่
เป้าหมายหลักของ Ransomware คือ อุปกรณ์ระบบปฏิบัติการ Android เวอร์ชั่น 4.x เนื่องจาก Blue Coat ตรวจพบว่ามีอุปกรณ์ไม่น้อยกว่า 224 เครื่องที่รันเวอร์ชั่น 4.0.3 ถึง 4.4.4 ทำการติดต่อกับเซิร์ฟเวอร์ที่ใช้แพร่กระจาย Ransomware ดังกล่าว แต่ไม่พบอุปกรณ์ที่รัน Android เวอร์ชั่น 5.x หรือ 6.x เลยแม้แต่น้อย
ที่น่าสนใจสำหรับ Ransomware นี้คือ มันแพร่กระจายผ่านทาง Malvertising หรือโฆษณาที่มี Malicious JavaScript ฝังอยู่ โดยสามารถติดตั้ง Payload ได้โดยไม่ต้องอาศัยการปฏิสัมพันธ์ใดๆ กับผู้ใช้
อย่างไรก็ตาม วิธีจัดการกับ Cyber.