Trezor แจ้งเตือนแคมเปญฟิชชิ่งที่ปลอมเป็นการแจ้งเตือนการละเมิดข้อมูลของ Trezor โดยมีเป้าหมายเพื่อขโมยกระเป๋าเงินดิจิทัล และทรัพย์สินของเป้าหมาย

โดย Trezor เป็นฮาร์ดแวร์วอลเล็ต (Hardware Wallet) ที่ผู้ใช้งานสามารถจัดเก็บเงินดิจิทัลแบบออฟไลน์ได้ แทนที่จะเก็บในกระเป๋าเงินบนคลาวด์ หรือกระเป๋าเงินที่จัดเก็บไว้ในอุปกรณ์ของตน การใช้กระเป๋าเงินแบบฮาร์ดแวร์ เช่น Trezor จัดเป็นกระเป๋าเงินดิจิทัลประเภทหนึ่งที่มีความปลอดภัยจากมัลแวร์ และจากการถูกโจมตีอุปกรณ์ของผู้ใช้งาน เนื่องจากกระเป๋าเงินไม่ได้ออกแบบมาเพื่อเชื่อมต่อกับอุปกรณ์ของผู้ใช้งาน

โดยหากมีการตั้งค่า Trezor wallet ใหม่ ผู้ใช้จะได้รับ word recovery seed สำหรับการกู้คืน 12 หรือ 24 คำ ที่สามารถใช้เพื่อกู้คืน wallet ได้ หากอุปกรณ์ถูกขโมย สูญหาย หรือทำงานผิดปกติ ทำให้ใครก็ตามที่สามารถเข้าถึง recovery seed ก็จะสามารถกู้คืนกระเป๋าเงินในอุปกรณ์ของตนเองได้ ทำให้เหตุการณ์นี้จึงตกเป็นเป้าหมายของผู้โจมตี (more…)

TricGate Packer ที่ถูกพัฒนาบนพื้นฐาน Shellcode ที่ประสบความสำเร็จจากการให้บริการในการช่วยผู้ไม่หวังดีหลาย ๆ กลุ่ม ในการซ่อนมัลแวร์อันตราย เช่น TrickBot, Emotet, AZORult, AgentTesla และ REvil จากการตรวจจับจากอุปกรณ์ Security โดยที่ไม่ถูกตรวจพบมาเลยกว่า 6 ปี (more…)

เมื่อช่วงกลางเดือนกันยายน 2565 ที่ผ่านมา มีแคมเปญ Phishing ที่มีความเกี่ยวข้องกับ RMM Software เช่น ConnectWisre Control และ AnyDesk ซึ่งเป็น Software เกี่ยวกับการรีโมท หรือจัดการไฟล์ต่าง ๆ ซึ่งหน่วยงานรัฐบาลของสหรัฐอย่างน้อย 2 แห่งได้ตกเป็นเหยื่อการโจมตีของแคมเปญดังกล่าว (more…)

นักวิจัยจาก Trend Micro บริษัทด้านความปลอดภัยทางไซเบอร์ได้ค้นพบ กลุ่ม ransomware ในชื่อ Mimic ที่มีการใช้ API ของ ‘Everything‘ เครื่องมือค้นหาของ Windows เพื่อค้นหาไฟล์ที่กำหนดเป้าหมายสำหรับการเข้ารหัสข้อมูล

Mimic ransomware เป็นกลุ่มแรนซัมแวร์ที่ใช้ command line arguments กำหนดเป้าหมายไฟล์ รวมทั้งยังสามารถใช้ multiple processor threads เพื่อเพิ่มความเร็วของกระบวนการเข้ารหัสข้อมูล (more…)

BleepingComputer พบว่า Hackers ได้ปรับเปลี่ยนวิธีการโจมตี โดยการหันมาใช้ Microsoft OneNote ที่ฝังมัลแวร์แนบไปกับ Phishing Email เพื่อเข้าถึงเครื่องเหยื่อจากระยะไกล รวมถึงติดตั้งเพย์โหลดที่เป็นอันตราย เพื่อขโมยไฟล์, รหัสผ่านที่บันทึกไว้บนเบราว์เซอร์, ข้อมูลกระเป๋าเงิน cryptocurrency, การบันทึกภาพหน้าจอ และบันทึกวิดีโอโดยใช้เว็บแคม

โดยการหันมาใช้ Microsoft OneNote ในการโจมตี เกิดขึ้นจากการที่ Microsoft ได้ปิดการใช้งาน macro เป็นค่าเริ่มต้นใน Microsoft Office ซึ่งมักจะเป็นวิธีที่ Hackers เรียกใช้สคริปต์เพื่อติดตั้งมัลแวร์ ทำให้ Hackers ไม่สามารถแพร่กระจายมัลแวร์ผ่านไฟล์แนบรูปแบบ Word และ Excel ได้ จึงต้องหาวิธีการโจมตีในรูปแบบอื่น ๆ มาใช้แทน

Microsoft OneNote ** เป็นแอปพลิเคชันสมุดบันทึกดิจิทัลบนเดสก์ท็อปที่สามารถดาวน์โหลดได้ฟรี และถูกรวมอยู่ใน Microsoft Office 2019 และ Microsoft 365 เนื่องจาก Microsoft OneNote เป็นแอปพลิเคชันที่ถูกติดตั้งโดยค่าเริ่มต้นจากการติดตั้ง Microsoft Office 365 ทำให้ถึงผู้ใช้ Windows จะไม่ได้ใช้แอปพลิเคชันนี้ ก็ยังสามารถเปิดไฟล์ได้

การโจมตีโดย OneNote

Trustwave SpiderLabs บริษัทด้านความปลอดภัยทางไซเบอร์ ได้พบการโจมตีด้วย Phishing Email ที่แนบไฟล์ OneNote ที่เป็นอันตราย ตั้งแต่ช่วงกลางเดือนธันวาคมที่ผ่านมา ซึ่งหัวข้อของ Phishing Email จะประกอบไปด้วยการแจ้งเตือนการจัดส่งของจาก DHL, ใบแจ้งหนี้, แบบฟอร์มการโอนเงินของ ACH, แบบร่าง mechanical และ เอกสารการจัดส่ง

โดยใน OneNote จะอนุญาตให้ผู้ใช้สามารถแทรกไฟล์แนบลงในโปรแกรม NoteBook ได้ ซึ่งเมื่อดับเบิลคลิกจะเป็นการเปิดไฟล์แนบขึ้นมา Hacker จึงได้แนบไฟล์ VBS ที่เป็นอันตรายลงในโปรแกรม NoteBook ซึ่งจะเรียกใช้สคริปต์โดยอัตโนมัติเมื่อดับเบิลคลิก จากนั้นมันจะทำการดาวน์โหลดและติดตั้งมัลแวร์จากเซิร์ฟเวอร์ภายนอก

Hacker จะทำการสร้างไฟล์แนบที่ดูเหมือนไอคอนของไฟล์ใน OneNote ที่เขียนว่า ‘Double click to view file' เหนือไฟล์แนบ VBS ที่เป็นอันตราย ซึ่งมีไฟล์แนบหลายไฟล์ หากผู้ใช้ดับเบิลคลิกที่ใดก็ตามบนแถบ ก็จะเปิดใช้งานทันที

เมื่อเปิดใช้งานเอกสารแนบของ OneNote โปรแกรมจะเตือนว่า ‘การทำเช่นนั้นอาจเป็นอันตรายต่อคอมพิวเตอร์ และข้อมูลของคุณ’ แต่ส่วนใหญ่เหยื่อจะไม่ได้สนใจข้อความดังกล่าว และคลิกปุ่มตกลง

เมื่อคลิกปุ่มตกลงจะเป็นการเปิดสคริปต์ VBS เพื่อดาวน์โหลด และติดตั้งมัลแวร์บนอุปกรณ์ รวมถึงแสดงเอกสาร OneNote ปลอมเพื่อให้เหยื่อไม่สงสัย

นอกจากนี้ยังพบวิธีการโจมตีประเภทอื่น ๆ เช่นการส่ง Phishing Email ที่แนบไฟล์อิมเมจ ISO และไฟล์ ZIP ที่ใส่รหัสผ่าน และใช้ช่องโหว่บน Windows เพื่อหลบเลี่ยงการตรวจสอบจาก mark-of-the-web flags แต่ปัจจุบัน Microsoft ได้แก้ไขช่องโหว่ดังกล่าวไปแล้ว

การป้องกัน

ไม่เปิดอ่านไฟล์จาก E-mail ที่ไม่รู้จัก หรือไม่น่าเชื่อถือ
อ่านคำเตือนที่แสดงโดยระบบปฏิบัติการ หรือแอปพลิเคชันทุกครั้ง ก่อนกดตกลง

ที่มา : bleepingcomputer

Kaspersky บริษัทด้านความปลอดภัยจากรัสเซียได้เปิดเผยการค้นพบเทคนิคใหม่ในการโจมตีของกลุ่ม BlueNoroff ที่ใช้ในการ bypass การตรวจจับจาก Windows MotW (Mark of the Web) ซึ่งรวมถึงการใช้ไฟล์ .ISO และ .VHD ในการโจมตีเหยื่อ

การโจมตี

โดยกลุ่ม BlueNoroff จะโจมตีเป้าหมายด้วยการส่งไฟล์ .ISO ที่แนบมากับ Phishing Email ซึ่งภายในมีไฟล์ Microsoft PowerPoint (.PPSX) ที่ถูกฝัง Visual Basic Script (VBScript) เอาไว้ที่จะทำงานเมื่อเป้าหมายเปิดไฟล์ PowerPoint

อีกวิธีการหนึ่งคือการใช้ Windows batch file โดยการใช้ประโยชน์จากเทคนิค living-off-the-land binary (LOLBin) เพื่อทำการดาวน์โหลดเพย์โหลดสำหรับการโจมตีขั้นต่อไป

นอกจากนี้ Kaspersky ยังพบไฟล์ .VHD ซึ่งภายในมีไฟล์ PDF ใบสมัครงานปลอม เมื่อเป้าหมายเปิดไฟล์ PDF จะทำการดาวน์โหลดมัลแวร์ที่ปลอมเป็นโปรแกรม Anti-Virus เพื่อทำการปิดระบบ User-Mode Hooks/ NTDLL.dll hooking ของ Anti-Virus หรือ EDR (Endpoint Detection and Response ) ที่ติดตั้งอยู่บนเครื่อง ทำให้ไม่สามารถตรวจจับการโจมตีได้

กลุ่ม BlueNoroff

BlueNoroff ** ซึ่งมีชื่อเรียกอีกอย่างว่า APT38 เป็นส่วนหนึ่งของกลุ่ม Lazarus threat group ซึ่งเป็นกลุ่ม Hackers ขนาดใหญ่ที่ได้รับการสนับสนุนจากรัฐบาลเกาหลีเหนือ (Nation-State Threat Actor) มีเป้าหมายในการโจมตีคือ การเรียกค่าไถ่จากเหยื่อ โดยได้แทรกซึม และเกี่ยวข้องกับเหตุการณ์โจมตีในหลายภูมิภาคทั้งอเมริกาเหนือและใต้ ยุโรป แอฟริกา และเอเชีย

กลุ่ม BlueNoroff ได้เริ่มต้นโจมตีเป้าหมายในอุตสาหกรรมการเงิน ไม่ว่าจะเป็นเหตุการณ์โจมตีเครือข่ายธนาคาร SWIFT ในปี 2015 และการโจมตีธนาคารในบังคลาเทศ ซึ่งมีมูลค่าความเสียหายถึง 81 ล้านดอลลาร์ ต่อมากลุ่ม BlueNoroff ได้เปลี่ยนเป้ามายการโจมตีมายังอุตสาหกรรม Cryptocurrency ในปี 2018

โดยทาง Kaspersky ได้ค้นพบแคมเปญการโจมตีที่ชื่อ SnatchCrypto เพื่อขโมยเงินจาก cryptocurrency wallets ของเหยื่อ รวมถึงการการสร้างแอป Cryptocurrency ปลอม เพื่อให้เหยื่อดาวน์โหลดแอปพลิเคชั่นซึ่งได้ฝังแบ็คดอร์ในชื่อ “AppleJeus” ที่สามารถขโมย Cryptocurrency ของเหยื่อได้

ในปี 2022 นี้ พบว่ากลุ่ม BlueNoroff ได้สร้างโดเมนปลอมจำนวนมากโดยแอบอ้างเป็นบริษัทร่วมทุน และธนาคารของญี่ปุ่นที่ถูกต้องตามกฎหมาย แสดงให้เห็นว่าบริษัทการเงินในประเทศญี่ปุ่น กำลังตกเป็นเป้าหมายในการโจมตีของกลุ่ม BlueNoroff

จากรายงานของ National Intelligence Service (NIS) ของเกาหลีใต้ กลุ่ม BlueNoroff หรือ APT38 ซึ่งเป็นกลุ่ม Hacker ที่ได้รับการสนับสนุนจากรัฐบาลเกาหลีเหนือ ได้สร้างความเสียหาย และขโมยเงินดิจิทัล และสินทรัพย์ดิจิทัลอื่น ๆ มูลค่ากว่า 1.2 พันล้านดอลลาร์จากเป้าหมายทั่วโลกในช่วงห้าปีที่ผ่านมา

ที่มา : thehackernews

Microsoft ตรวจพบผู้ไม่หวังดีสามารถเข้าถึง Microsoft Exchange ของผู้ใช้งานที่อยู่บนระบบคลาวด์ได้สำเร็จด้วยการโจมตีแบบ Credential Stuffing Attacks เป้าหมายในการโจมตีครั้งนี้คือ Deploy OAuth Application ที่เป็นอันตราย และส่ง Phishing Email เพื่อขโมยข้อมูลบัตรเครดิตของผู้ใช้ สาเหตุหลักๆที่ทำให้เกิดเหตุการณ์นี้คือบัญชี High Privileged บนระบบคลาวด์ไม่ได้เปิดใช้งาน Multi-factor Authentication (MFA) ทำให้ผู้ไม่หวังดีสามารถเข้าถึงระบบได้

Credential Stuffing Attack เป็นการโจมตีในรูปแบบการใช้ข้อมูลต่าง ๆ ที่เคยรั่วไหลออกมาก่อนหน้าจากเว็ปไซต์ หรือบริการต่าง ๆ เช่น อีเมล และรหัสผ่าน และนำไปลองใช้เข้าสู่ระบบบนเว็บไซต์อื่น ๆ โดยสาเหตุที่ทำให้สามารถเข้าถึงข้อมูลได้เป็นจำนวนมาก เนื่องจากผู้ใช้งานส่วนใหญ่ตั้งบัญชีผู้ใช้ และรหัสผ่านเดียวกันในเว็ปไซต์ และบริการต่างๆ

ลักษณะการโจมตี

เมื่อผู้โจมตีเข้าถึง Microsoft Exchange Server บนคลาวด์ได้สำเร็จแล้ว จะทำการสร้าง OAuth Application สำหรับเปิดการเชื่อมต่อที่เป็นอันตรายมายัง Exchange Server
เมื่อเปิดการเชื่อมต่อถึงระบบ ผู้โจมตีจะอาศัยช่องทางนี้สร้าง Transport Rule ในการส่งข้อมูลเพื่อหลบการตรวจจับจากอุปกรณ์ต่างๆ จากนั้นจะส่ง Phishing Email ไปยัง Exchange Server
เมื่อนำข้อมูลเข้า Exchange Server เรียบร้อยแล้ว มันจะทำการปิด Connection จากภายนอกทั้งหมด รวมถึงลบ Transport Rule ในการส่งข้อมูล เพื่อป้องกันไม่ให้ถูกตรวจพบ ในระหว่างนี้ OAuth Application จะไม่มีการทำงานจนกว่าจะมีการนำเข้าข้อมูลใหม่อีกครั้ง
แคมเปญอีเมลเหล่านี้มีโครงสร้างพื้นฐานของเคมเปญมาจาก Amazon SES และ Mail Chimp ที่ใช้กันทั่วไปในการส่งอีเมล

หลังจากตรวจพบการโจมตี Microsoft ได้ลบ Application ทั้งหมดที่เชื่อมโยงกับแคมเปญนี้ มีการส่งการแจ้งเตือน และแนะนำมาตรการแก้ไขให้กับลูกค้าที่ได้รับผลกระทบทั้งหมด นอกจากนี้ยังพบว่าผู้โจมตียังมีการส่งอีเมลสแปมจำนวนมากภายในระยะเวลาอันสั้นด้วยวิธีการอื่น ๆ เช่น การเชื่อมต่อ Mail Server กับ IP อันตราย หรือการส่งโดยตรงจากระบบคลาวด์ที่มีการใช้งานอย่างถูกต้อง

ที่มา : bleepingcomputer

 

ผู้เชี่ยวชาญตรวจพบแคมเปญที่เป็นอันตราย โดยพบการส่งมัลแวร์ 'Matanbuchus' ผ่าน Phishing Email เพื่อติดตั้ง Cobalt Strike บนเครื่องที่ถูกบุกรุก ซึ่ง Cobalt Strike เป็นซอร์ฟแวร์ที่ใช้สำหรับการทดสอบการเจาะระบบ แต่ปัจจุบันมักถูกใช้ในการโจมตีเพื่อหาช่องทางการปล่อย Payloads อื่นๆที่เป็นอันตรายได้

รายละเอียดเบื้องต้น

Matanbuchus เป็นโครงการ Malware-as-a-Service (MaaS) ที่ถูกพบครั้งแรกในเดือนกุมภาพันธ์ 2564 มีการโฆษณาบน Dark Web โดยโปรโมตว่าสามารถรันไฟล์ exe ได้โดยตรงบน System ของเครื่อง

จากนั้นผู้เชี่ยวชาญจาก Palo Alto Networks ได้ทำวิเคราะห์มัลแวร์เมื่อเดือนมิถุนายน พ.ศ. 2564 และทำการรวบรวมข้อมูลเพื่อทำการ Mapping Network Path และ Infrastructure ของมัลแวร์ รวมไปถึงคำสั่งบน PowerShell ที่ใช้ในการติดตั้ง Payloads

ลักษณะการโจมตี

ปัจจุบัน ผู้เชี่ยวชาญชื่อ Brad Duncan ได้นำตัวอย่างมัลแวร์มาตรวจสอบการทำงาน สรุปได้ดังนี้

1. หัวข้อของ Subject จะขึ้นต้นด้วยคำว่า RE: เพื่อหลอกให้ผู้ใช้งานว่าเป็นอีเมลตอบกลับการสนทนาที่เกิดขึ้นก่อนหน้า
2. ในอีเมลจะมีไฟล์ ZIP ที่ข้างในมีไฟล์ HTML อยู่ มันจะทำหน้าที่สร้างไฟล์ ZIP ใหม่อีกอัน ซึ่งข้างในเป็นไฟล์ MSI ที่มีลายเซ็นแบบดิจิทัลด้วยใบรับรองที่ออกโดย DigiCert ให้กับ "Westeast Tech Consulting, Corp"

3. หากผู้ใช้งานคลิกติดตั้งไฟล์ .MSI จะมีหน้า Install ขึ้นมา ซึ่งลักษณะ Fonts จะเป็น Adobe Acrobat catalog update จากนั้นจะมีรายงานว่ามีการติดตั้งผิดพลาด เพื่อเบี่ยงเบนความสนใจของเป้าหมายจากสิ่งที่เกิดขึ้นเบื้องหลัง
4. สิ่งที่เกิดขึ้นเบื้องหลังการติดตั้งไฟล์ MSI ปลอมคือ Payloads Matanbuchus สองรายการ ("main.