Proofpoint บริษัทรักษาความปลอดภัยทางไซเบอร์ เปิดเผยรายงานการค้นพบแคมเปญ EvilProxy phishing ซึ่งป็น phishing platform ที่กำลังได้รับความนิยม ได้มุ่งเป้าหมายการโจมตีไปยังบัญชีที่มีการป้องกันด้วย MFA โดยทำการส่ง phishing email กว่า 120,000 รายการไปยังองค์กรกว่าร้อยแห่ง เพื่อขโมยบัญชี Microsoft 365 โดยการเลียนแบบแบรนด์ของ Email, การหลบเลี่ยงการตรวจจับ Bot และการเปลี่ยนเส้นทาง open redirection ซึ่งจะส่งผลกระทบต่อบัญชีผู้บริหารระดับสูงเป็นหลัก (more…)

นักวิจัยจาก Fortinet FortiGuard Labs พบว่าหน่วยงานของรัฐที่ไม่ระบุชื่อของสหรัฐอาหรับเอมิเรตส์ ได้ตกเป็นเป้าหมายของการโจมตีโดยใช้แบ็คดอร์ที่มีชื่อว่า PowerExchange ด้วยวิธีการโจมตีโดยใช้ Phishing email พร้อมแนบ ZIP file ที่มีไฟล์โปรแกรมในรูปแบบ .NET และไฟล์ที่ถูกดัดแปลงในรูปแบบ PDF ซึ่งจะทำหน้าที่เป็นดรอปเปอร์เพื่อดำเนินการเพย์โหลดขั้นตอนสุดท้าย ซึ่งจะเป็นการติดตั้งแบ็คดอร์

โดย PowerExchange นั้นถูกเขียนด้วย PowerShell สำหรับการเชื่อมต่อกับ command-and-control (C2) และช่วยให้ผู้โจมตีสามารถเรียกใช้เพย์โหลดได้ตามทีต้องการ และสามารถอัปโหลด และดาวน์โหลดไฟล์จาก C2 ได้

ในส่วนของการแฝงตัวอยู่บนระบบทำได้โดยการใช้ Exchange Web Services (EWS) API เพื่อเชื่อมต่อกับ Exchange Server ของเหยื่อ และใช้ mailbox บนเซิร์ฟเวอร์เพื่อส่ง และรับคำสั่งที่เข้ารหัสจากผู้โจมตี ซึ่งปัจจุบันยังไม่สามารถทราบวิธีการที่ผู้โจมตีใช้เพื่อเข้าถึง domain credentials ในการเชื่อมต่อกับ Exchange Server ของเหยื่อ

ทาง Fortinet ยังพบว่าเซิร์ฟเวอร์ Exchange ถูก Backdoor ด้วยเว็บเชลล์อีกหลายตัว ซึ่งหนึ่งในนั้นถูกเรียกว่า ExchangeLeech (หรือที่รู้จักกันในชื่อ System.

Microsoft ได้ออกประกาศการป้องกันไฟล์แนบบน Microsoft OneNote โดยการบล็อก 120 นามสกุลไฟล์ที่เป็นอันตราย เพื่อป้องกันการโจมตีจากการโจมตีแบบ Phishing

ทาง Microsoft จะทำการปรับปรุง OneNote ให้มีระดับการรักษาความปลอดภัยที่สูงขึ้น ตามแผนงานของ Microsoft 365 ในวันที่ 10 มีนาคมที่ผ่านมา ภายหลังจากที่พบว่า OneNote ได้กลายเป็นเครื่องมือใหม่ของ Hacker ที่ใช้ในการโจมตีแบบฟิชชิ่งเพื่อแพร่กระจายมัลแวร์

โดย Microsoft เริ่มพบการโจมตีโดยการใช้ OneNote ในการฝังไฟล์ และสคริปต์ที่เป็นอันตราย และส่ง phishing email ไปหาเป้าหมาย ภายหลังจากที่ในเดือนธันวาคม 2022 Microsoft ได้ออกอัปเดตแพตซ์ด้านความปลอดภัยเพื่อแก้ไขช่องโหว่ zero-day การ bypass MoTW ที่ถูกนำมาใช้เพื่อแพร่กระจายมัลแวร์ผ่านไฟล์ ISO และ ZIP รวมไปถึงการปิดใช้งาน macro ใน Word และ Excel เป็นค่าเริ่มต้น

การบล็อกนามสกุลไฟล์ที่เป็นอันตราย

Microsoft ได้เผยแพร่รายละเอียดเพิ่มเติมเกี่ยวกับนามสกุลไฟล์ที่จะถูกบล็อก หลังจากแพตซ์อัปเดตความปลอดภัยของ OneNote ใหม่เปิดตัว ทั้งนี้ยังรวมไปถึงไฟล์ที่ถูกบล็อกโดย Outlook, Word, Excel และ PowerPoint โดยประกอบด้วย 120 รายการตามเอกสารการสนับสนุนของ Microsoft 365 ดังนี้

ซึ่งก่อนหน้านี้ทาง OneNote จะมีการแจ้งเตือนด้านความปลอดภัยเมื่อมีการเปิดไฟล์ที่เป็นอันตรายจาก OneNote ว่าไฟล์แนบที่เปิดอาจเป็นไฟล์อันตราย แต่ผู้ใช้งานส่วนใหญ่ก็ยังกดเปิดอยู่ดี แต่หลังจากนี้ OneNote จะทำการบล็อกนามสกุลไฟล์ที่เป็นอันตรายโดยทันที โดยจะแจ้งว่า "Your administrator has blocked your ability to open this file type in OneNote.

นักวิจัยด้านความปลอดภัยของ Mandiant บริษัทด้านความปลอดภัยทางไซเบอร์ เปิดเผยรายงานการพบกลุ่ม Hacker ชาวเกาหลีเหนือในชื่อ APT43 ที่เพิ่งถูกค้นพบ ได้มีการโจมตีโดยมีเป้าหมายไปยัง องค์กรรัฐบาล นักวิชาการ และศูนย์วิจัย ในสหรัฐอเมริกา ยุโรป ญี่ปุ่น และเกาหลีใต้ตั้งแต่ปี 2018

APT43 เป็นกลุ่มผู้โจมตีทางไซเบอร์ ที่มีเป้าหมายในการโจมตีเป็นการเรียกเงินค่าไถ่จากเหยื่อ รวมไปถึงยังพบว่ากลุ่ม APT 43 มีความเกี่ยวข้อง และได้รับการสนับสนุนจากรัฐบาลเกาหลีเหนือ (more…)

Intezer บริษัทด้านความปลอดภัยทางไซเบอร์พบกลุ่ม Hacker ชื่อ Bitter ได้มุ่งเป้าการโจมตียังอุตสาหกรรมพลังงานนิวเคลียร์ของประเทศจีนโดยใช้ Phishing Email เพื่อแพร่กระจายมัลแวร์ไปยังอุปกรณ์ของเป้าหมายด้วย malware downloader

Bitter เป็นกลุ่ม Advanced Persistent Threat (APT) ที่มีเป้าหมายในการโจมตีไปยังองค์กรที่มีชื่อเสียงในภาคพลังงาน วิศวกรรม และรัฐบาลในภูมิภาคเอเชียแปซิฟิก (more…)

นักวิจัยด้านความปลอดภัย AhnLab Security Emergency response Center (ASEC), SEKOIA.IO และ Zscaler เปิดเผยรายงานการพบกลุ่ม Advanced Persistent Threat (APT) สัญชาติเกาหลีเหนือ หรือที่รู้จักกันในชื่อ ScarCruft ได้ปรับปรุง และปรับเปลี่ยนกลยุทธ์เพื่อหลีกเลี่ยงการตรวจจับจากอุปกรณ์ป้องกันด้านความปลอดภัยในระหว่างการโจมตี โดยการใช้ไฟล์ Microsoft Compiled HTML Help (CHM) เพื่อดาวน์โหลดมัลแวร์ไปยังเครื่องเป้าหมาย

ScarCruft หรือที่รู้จักกันในชื่อ APT37, Reaper, RedEyes และ Ricochet Chollima เป็นกลุ่ม Advanced Persistent Threat (APT) สัญชาติเกาหลีเหนือ ที่กำลังถูกพบการปฏิบัติการมากขึ้นตั้งแต่ต้นปี 2023 โดยมีการกำหนดเป้าหมายไปยังหน่วยงานต่าง ๆ ของประเทศเกาหลีใต้เพื่อวัตถุประสงค์ในการจารกรรมข้อมูล โดยถูกพบครั้งแรกตั้งแต่ปี 2012

การโจมตีของ ScarCruft

โดยเมื่อเดือนกุมภาพันธ์ 2023 ทาง ASEC ได้เปิดเผยรายงานการค้นพบแคมเปญการโจมตี ซึ่งได้ใช้ไฟล์ HWP ที่มีช่องโหว่ด้านความปลอดภัยใน Hangul word processing เพื่อเรียกใช้แบ็คดอร์ที่ชื่อว่า M2RAT นอกจากนี้ยังพบว่า Hacker ได้ใช้รูปแบบไฟล์อื่น ๆ เช่น CHM, HTA, LNK, XLL และเอกสาร Microsoft Office ที่ใช้มาโครในการโจมตีแบบ phishing email กับเป้าหมายชาวเกาหลีใต้

เมื่อโจมตีได้สำเร็จ ผู้โจมตีจะทำการเรียกใช้ PowerShell เพื่อโหลดมัลแวร์ที่มีชื่อว่า Chinotto ซึ่งมีความสามารถในการเรียกใช้คำสั่งที่มาจาก C2 Server และส่งข้อมูลที่ขโมยออกมากลับไป รวมไปถึงสามารถบันทึกภาพหน้าจอทุก ๆ ห้าวินาที และบันทึกการกดแป้นพิมพ์ จากนั้นข้อมูลที่รวบรวมจะถูกบันทึกไว้ในไฟล์ ZIP และส่งออกไปยัง C2 Server

โดยข้อมูลเชิงลึกที่เกี่ยวกับการโจมตีต่างๆ ของ ScarCruft ถูกเก็บไว้ใน GitHub repository เพื่อใช้เป็นเครื่องโฮสต์สำหรับเรียกใช้เพย์โหลดที่เป็นอันตรายตั้งแต่เดือนตุลาคม 2020 นอกจากนี้ยังพบว่า ScarCruft ได้สร้างหน้าเว็บ phishing webpage เพื่อหลอกล่อเหยื่อ เช่น Naver, iCloud, Kakao, Mail.

นักวิจัยของ Avast บริษัทด้านความปลอดภัยทางไซเบอร์ เปิดเผยการพบ Hacker ได้ใช้วิธีการ Adobe Acrobat Sign ในการแพร่กระจายมัลแวร์ขโมยข้อมูลที่ชื่อว่า Redline โดยการสร้าง Phishing Email ซึ่งปลอมแปลงเป็นอีเมลจาก Adobe Acrobat Sign เพื่อหลอกเป้าหมาย และหลีกเลี่ยงการตรวจจับจากอุปกรณ์ป้องกันด้านความปลอดภัย

Adobe Acrobat Sign เป็นบริการ e-Signature บนระบบคลาวด์ที่เปิดให้ทดลองใช้ฟรี ซึ่งช่วยให้ผู้ใช้สามารถส่ง ลงนาม ติดตาม และจัดการลายเซ็นอิเล็กทรอนิกส์ได้

Redline info-stealing malware เป็นมัลแวร์ที่สามารถขโมยข้อมูล credentials ของบัญชี, กระเป๋าเงินดิจิตอล, ข้อมูลบัตรเครดิต และข้อมูลอื่น ๆ ที่จัดเก็บไว้ในอุปกรณ์ที่ถูกโจมตี (more…)

NBA (National Basketball Association) ออกประกาศแจ้งเตือนไปยังแฟนกีฬาว่า ปัจจุบันทาง NBA ได้พบเหตุการณ์ที่ทำให้ข้อมูลส่วนบุคคล Personal Information (PI) บางส่วนที่จัดเก็บไว้ในบริการจดหมายข่าวของ third-party ถูกขโมยออกไป (more…)

EclecticIQ บริษัทความปลอดภัยทางไซเบอร์ของเนเธอร์แลนด์ ได้เผยแพร่รายงานการค้นพบการโจมตีโดยกลุ่ม APT ในชื่อ Dark Pink ที่ได้ใช้มัลแวร์ KamiKakaBot โจมตีเป้าหมาย โดยมุ่งเป้าหมายการโจมตีไปยังหน่วยงานรัฐบาล และหน่วยงานทางทหารในประเทศแถบเอเชียตะวันออกเฉียงใต้

Dark Pink หรือ Saaiwc ถูกพบครั้งแรกโดย Group-IB เมื่อต้นปี 2023 โดยเป็นกลุ่ม Advanced Persistent Threat (APT) ที่มีการใช้ Malware ที่สร้างขึ้นมาเอง เช่น TelePowerBot และ KamiKakaBot เพื่อโจมตี และควบคุมเป้าหมายจากระยะไกล รวมไปถึงการขโมยข้อมูลสำคัญออกไป ซึ่งมีการคาดการณ์ว่ากลุ่มผู้โจมตีมีฐานปฏิบัติการอยู่ที่เอเชียแปซิฟิก โดยเริ่มพบการโจมตีครั้งแรกในปี 2021 และเริ่มพบการโจมตีจำนวนมากขึ้นในปี 2022

การโจมตีของ KamiKakaBot

EclecticIQ พบการโจมตีครั้งล่าสุดในเดือนกุมภาพันธ์ 2023 โดยพบว่ามัลแวร์ KamiKakaBot ได้มีการพัฒนา และถูกปรับปรุงให้มีความสามารถในการหลบเลี่ยงการตรวจจับจากอุปกรณ์ป้องกันด้านความปลอดภัย

โดยใช้วิธีการโจมตีด้วยการใช้ Phishing Email หลอกล่อให้เหยื่อทำการเปิดอีเมลที่แนบไฟล์อันตราย .ISO image ซึ่งในตัวไฟล์นั้นจะประกอบไปด้วย ไฟล์สั่งการ (Winword.

นักวิจัยจาก Bitdefender ผู้ให้บริการด้านความปลอดภัยทางไซเบอร์ได้ค้นพบการหลอกลวงด้วย phishing รูปแบบใหม่ ที่ผู้โจมตีใช้ ChatGPT ปลอม ในการหลอกลวงที่มีเป้าหมายทางด้านการเงิน ซึ่งเป้าหมายหลักอยู่ในประเทศไอร์แลนด์, ออสเตรเลีย, เยอรมัน, เดนมาร์ก และ เนเธอร์แลนด์ โดยวิธีการหลอกลวงคือการส่งอีเมล phishing ที่มีลิงก์ ChatGPT ปลอมแนบไปด้วย (more…)