Ransomware Quantum เป็นสายพันธุ์ที่ค้นพบครั้งแรกในเดือนสิงหาคม พ.ศ. 2564 โดยพบว่าเป็นวิธีการโจมตีที่รวดเร็ว และทวีความรุนแรงขึ้นอย่างมาก เนื่องจากทำให้ทีม Security มีเวลาตอบสนองเพียงเล็กน้อยเท่านั้น

ผู้โจมตีกำลังใช้มัลแวร์ IcedID ในการทำเรื่อง Initial Access ซึ่งเป็นหนึ่งใน Attack Vectors ที่ใช้เพื่อติดตั้ง Cobalt Strike สำหรับการเข้าถึงจากระยะไกล และนำไปสู่การขโมยข้อมูล และการเข้ารหัสโดยใช้ Quantum Locke

รายละเอียดทางเทคนิคของการโจมตีของ Quantum ransomware ได้รับการวิเคราะห์โดยนักวิจัยด้านความปลอดภัยที่ The DFIR Report ซึ่งกล่าวว่าการโจมตีใช้เวลาเพียง 3 ชั่วโมง 44 นาทีตั้งแต่การโจมตีครั้งแรกไปจนถึงการเข้ารหัสที่เสร็จสมบูรณ์

(more…)

Static Web Apps เป็นบริการของ Microsoft Azure ที่นักพัฒนาสามารถใช้สำหรับสร้าง และให้บริการเว็บโฮสติ้งสำหรับเนื้อหาต่างๆบนเว็บเพจ

นักวิจัยด้านความปลอดภัยจาก MalwareHunterTeam พบว่าฟีเจอร์ในการสร้าง branding และ web hosting สามารถทำให้ผู้โจมตีใช้เป็นหน้า landing pages ของฟิชชิ่งได้ เนื่องจาก static web apps จะได้รับ TLS certificate ที่ถูกต้องจาก wildcard domain .1.azurestaticapps.

Morphisec Labs ตรวจพบการโจมตีรอบใหม่ของ Remcos trojan โดยใช้อีเมลฟิชชิ่งซึ่งมีเป้าหมายเป็นธุรกรรมทางการเงิน ซึ่งในครั้งนี้ผู้โจมตีจะปลอมตัวเป็นสถาบันทางการเงิน และหลอกล่อให้ผู้ใช้เปิดไฟล์ Excel ที่เป็นอันตรายซึ่งบอกว่ามีข้อมูล "Confidential" บางอย่าง

จากการวิเคราะห์ของ Morphisec พบว่าผู้โจมตีจะปลอมตัวว่ามาจากบริการต่างๆ เช่น Wells Fargo, FIS Global และ ACH Payment

การโจมตีจะดำเนินไปหลายขั้นตอน ส่วนใหญ่จะขึ้นอยู่กับการสั่งการจาก C2 Server ซึ่งเก็บไฟล์ที่ใช้สั่งการสำหรับแต่ละขั้นตอนไว้

โดยผู้โจมตียังใช้ไฟล์ .xls ที่ใส่รหัสผ่านเพื่อหลีกเลี่ยงการตรวจจับ และรหัสผ่านจะอยู่ในเนื้อหาของอีเมล

(more…)

แคมเปญ Phishing ขนาดใหญ่นี้ได้ใช้โดเมนหลายร้อยโดเมน เพื่อขโมยข้อมูล Credential ของผู้ใช้ Naver ซึ่งเป็นแพลตฟอร์มออนไลน์ในประเทศเกาหลีใต้ที่ให้บริการในลักษณะคล้ายกับ Google  จากข้อมูลของระบบที่เกี่ยวข้องกับการโจมตีนั้นมีความเชื่อมโยงกับ TrickBot botnet โดยการโจมตีครั้งนี้แสดงให้เห็นความพยายามของอาชญากรไซเบอร์ในการเก็บรวบรวมข้อมูล Login ของผู้ใช้เพื่อนำไปใช้ในการโจมตีอื่น ๆ

Naver ให้บริการเซอร์วิสต่าง ๆ ที่หลากหลายคล้ายกับ Google ตั้งแต่การค้นหาบนเว็บไปจนถึง Email ข่าว และ NAVER Knowledge iN ซึ่งเป็นแพลตฟอร์ม Q&A ออนไลน์  นอกจากทำให้เข้าถึงบัญชีผู้ใช้บริการของ Naver ได้แล้ว Credential ที่ผู้โจมตีได้ไปจากผู้ใช้ Naver ยังอาจจะทำให้ผู้โจมตีสามารถเข้าถึงบัญชีผู้ใช้ในองค์กรต่าง ๆ ได้ด้วย เนื่องจากพบมีผู้ใช้งานมีการใช้ Password ซ้ำกันในบริการต่างๆ

(more…)

แคมเปญฟิชชิ่งในรูปแบบของกรมสรรพากร ซึ่งมักพบทุกปีในฤดูกาลเสียภาษีประจำปี จึงเป็นที่น่าสนใจว่ามีอะไรเปลี่ยนไปบ้างในปัจจุบัน

นักวิจัยที่ Cofense บริษัทรักษาความปลอดภัยทางไซเบอร์ได้กล่าวว่า "อีเมลปลอมมีความพยายามทำให้ตัวมันดูมีความน่าเชื่อถือมากขึ้น และมีเทคนิคที่มากกว่าปีก่อนหน้านี้ โดยแคมเปญฟิชชิ่งล่าสุดนี้จะมีการใส่โลโก้ IRS ไว้ มีการส่งให้โดยระบุเฉพาะบุคคลที่เป็นเป้าหมาย และไฟล์ที่แนบมากับอีเมลต้องใส่รหัสผ่านที่ระบุมาในเนื้อหาอีเมลจึงจะเปิดได้"

นักวิจัยที่ Cofense ยังกล่าวอีกว่า การเปิด และบันทึกแบบฟอร์ม W-9 (คำขอหมายเลขประจำตัวผู้เสียภาษีอากร และใบรับรอง) อาจส่งผลให้ Emotet แพร่กระจายตัวเองบนระบบของผู้รับเมื่อเปิดสเปรดชีต Office-macro-laden ที่อยู่ในไฟล์ ที่มีการเข้ารหัสไว้ด้วยรหัสผ่านที่แนบมาในอีเมล หาก Macro ถูกเปิดใช้งาน ไฟล์ Emotet.

ในวันเสาร์ที่ผ่านมา พบผู้โจมตีได้ทำการขโมย NFT หลายร้อยชิ้น จากผู้ใช้งาน OpenSea จนก่อให้เกิดความแตกตื่นกับผู้ใช้งานเว็บไซต์

Spreadsheet ที่รวบรวมโดย PeckShield บริษัทให้บริการรักษาความปลอดภัยบน Blockchain แสดงจำนวน NFT ที่ถูกขโมยจากการโจมตีนี้ว่ามีทั้งหมด 254 ชิ้น ซึ่งรวมถึง NFT จาก Decentraland และ Bored Ape Yacht Club ด้วย

การโจมตีจำนวนมากเกิดขึ้นเมื่อวันเสาร์ เวลา 5PM ถึง 8PM Eastern Time (วันอาทิตย์ 5 นาฬิกา ถึง 8 นาฬิกา เวลาไทย) โดยมีเป้าหมายเป็นผู้ใช้งานทั้งหมด 32 บัญชี

Molly White เจ้าของบล็อก web3isgoinggreat.

 

 

 

 

 

 

 

ฟีเจอร์ commenting ของ Google Docs ถูกนำไปใช้โจมตีด้วย spear-phishing

พบรูปแบบใหม่ในการโจมตีแบบ phishing เกิดขึ้นในเดือนธันวาคม 2021, โดยผู้ไม่หวังดีใช้ประโยชน์จากฟีเจอร์ commenting ของ Google Docs เพื่อส่งอีเมล phishing ที่ดูแล้วน่าเชื่อถือ

Google Docs ถูกใช้งานจากผู้ใช้งานจำนวนมาก เนื่องจากสามารถทำงานร่วมกันในไฟล์เดียวกันจากที่ใดก็ได้ ดังนั้นผู้ใช้งานส่วนใหญ่ที่ได้รับอีเมลแจ้งเตือนจาก Google Docs จึงไม่ค่อยให้ความระมัดระวังมากนัก

เนื่องจากผู้โจมตีใช้ฟีเจอร์ของ Google เองในการส่งอีเมล phishing พวกนี้ ทำให้อุปกรณ์จำพวก email security ไม่ได้ระบุว่าอีเมลพวกนี้เป็นอันตราย

จริง ๆ แล้ววิธีการนี้ถูกใช้ตั้งแต่เดือนตุลาคมปีที่แล้ว โดย Google เองก็พยายามแก้ไขปัญหานี้อยู่ในเบื้องต้น แต่ยังไม่สามารถแก้ไขได้ทั้งหมด

ล่าสุดพบว่ามีจำนวน phishing ลักษณะนี้เพิ่มขึ้นจำนวนมาก โดยนักวิเคราะห์ภัยคุกคามจาก Avanan ได้แบ่งปันข้อมูลรายงานกับ Bleeping Computer ก่อนเผยแพร่รายงานออกสู่สาธารณะ

วิธีการที่ผู้โจมตีใช้

แฮกเกอร์จะใช้บัญชี Google ของตนเพื่อสร้าง Google Docs แล้วใส่ comment ใน Docs จากนั้นก็แท็กเป้าหมายด้วย @ หลังจากนั้น Google จะส่งอีเมลแจ้งเตือนไปยังอีเมลของเป้าหมายเพื่อแจ้งให้ทราบว่ามีผู้ใช้รายอื่น comment ในเอกสาร และแท็กถึงพวกเขา

 

 

 

 

 

 

 

comment ในอีเมลอาจมีลิงก์ที่เป็นอันตรายซึ่งนำไปสู่หน้าเว็บที่มีการฝัง malware หรือ หน้าเว็บ phishing โดยอีเมลของผู้โจมตีจะไม่แสดงในการแจ้งเตือน และผู้รับจะเห็นเพียงชื่อเท่านั้น ทำให้สามารถแอบอ้างเป็นบุคคลอื่นได้ง่าย และเพิ่มโอกาสความสำเร็จให้กับผู้โจมตีอีกด้วย

 

 

 

 

 

 

 

เทคนิคเดียวกันนี้ใช้ได้กับฟีเจอร์ comment ของ Google Slide เช่นกัน และ Avanan รายงานว่าพบผู้โจมตีใช้ประโยชน์จาก Google Workspace service อีกด้วย ที่อันตรายคือผู้โจมตีไม่จำเป็นต้องแชร์เอกสารกับเป้าหมาย เนื่องจากการแท็กถึงพวกเขานั้นก็เพียงพอที่จะส่งการแจ้งเตือนที่มีเนิ้อหาที่เป็นอันตราย

เริ่มพบการโจมตีเป็นวงกว้าง และมาตรการป้องกัน

จากข้อมูลของ Avanan ผู้โจมตีที่อยู่เบื้องหลังการโจมตีเหล่านี้ดูเหมือนจะมุ่งเป้าไปที่ผู้ใช้งาน Outlook แต่กลุ่มเป้าหมายไม่ได้จำกัดอยู่เพียงผู้ใช้เหล่านั้น แคมเปญ spear-phishing ที่กำลังดำเนินอยู่นี้้ใช้บัญชี Google มากกว่า 100 บัญชีและมีการส่งอีเมลไปถึง 500 อีเมลในกว่า 30 องค์กรแล้ว

วิธีที่จะลดความเสี่ยงของแคมเปญนี้ และแคมเปญที่คล้ายคลึงกันคือ

-ยืนยันว่าอีเมลผู้ส่งตรงกับเพื่อนร่วมงานของคุณ (หรือบุคคลที่อ้างสิทธิ์)
-หลีกเลี่ยงการคลิกลิงก์ที่ส่งมาถึงทางอีเมล และถูกฝังอยู่ใน comment
-ปรับใช้มาตรการรักษาความปลอดภัยเพิ่มเติมที่ใช้ในการแชร์ไฟล์ที่เข้มงวดมากยิ่งขึ้นใน Google Workspace
-ใช้โซลูชันความปลอดภัยทางอินเทอร์เน็ตซึ่งมีการป้องกัน phishing URL

ที่มา : bleepingcomputer

ปัจจุบันกลุ่มผู้โจมตีฟิชชิ่งกำลังเปลี่ยนการกำหนดเป้าหมายการโจมตีอีเมลฟิชชิงเป็นกลุ่มพนักงานทั่วไปแทนกลุ่มผู้บริหารระดับสูง เพราะบุคคลกลุ่มนี้ก็ยังเป็นกลุ่มที่สามารถเข้าถึงระบบ หรือข้อมูลที่สำคัญภายในองค์กรได้

จากรายงานของนักวิจัยจาก Avanan พบว่าครึ่งหนึ่งของอีเมลฟิชชิ่งทั้งหมดที่ได้ทำการวิเคราะห์ในช่วงไม่กี่เดือนที่ผ่านมา มีการแอบอ้างเป็นพนักงานทั่วไปของบริษัทโดย 77% ของเป้าหมายในการส่งอีเมลฟิชชิ่ง จะเป็นการส่งไปยังพนักงานในระดับเดียวกัน ซึ่งก่อนหน้านี้ส่วนใหญ่อีเมลฟิชชิ่งจะถูกปลอมแปลงเป็นอีเมลที่ส่งจากผู้บริหารระดับสูง (Chief Executive Officer (CEO)) และ ผู้บริหารสูงสุดทางด้านการเงิน (Chief Financial Officer (CFO)) โดยมีเป้าหมายเพื่อหลอกให้พนักงานทั่วไปในบริษัทให้หลงเชื่อ เนื่องจากเป็นอีเมลที่มาจากผู้บริหารระดับสูง หรือผู้บังคับบัญชาจะยิ่งเพิ่มโอกาสให้ผู้รับหลงเชื่อข้อความในอีเมลเหล่านั้นได้ง่ายขึ้น แต่ปัจจุบันในกลุ่มผู้บริหารระดังสูงมีการเพิ่มความระมัดระวังมากขึ้น และองค์กรขนาดใหญ่มีการเพิ่มการป้องกันความปลอดภัยสำหรับบัญชีที่สำคัญเพิ่มขึ้นอีกด้วย จึงทำให้ผู้โจมตีเปลี่ยนเป้าหมายในการปลอมแปลงอีเมลเป็นกลุ่มของพนักงานทั่วไปแทน

จากรายงานของทาง Avanan ระบุว่าผู้โจมตีใช้เทคนิคในการโจมตีโดยอาศัย Docusign ซึ่งเป็นแพลตฟอร์มระบบจัดการลายมือชื่ออิเล็กทรอนิกส์ หรือ e-Signature ที่สามารถระบุตัวตนผู้ทำธุรกรรมกับเอกสารหรือข้อมูลอิเล็กทรอนิกส์บนคลาวด์ที่ถูกต้องตามกฎหมาย

ผู้โจมตีใช้ DocuSign เป็นทางเลือกเพื่อหลอกลวงให้ผู้รับลงลายมือชื่ออิเล็กทรอนิกส์สำหรับเอกสารจากอีเมลที่ทำการส่ง และขอให้ผู้รับป้อนข้อมูลประจำตัวเพื่อเปิดดูเอกสารและลงชื่อ

แม้ว่าอีเมลจะถูกสร้างมาเพื่อให้ดูเหมือนว่าเป็นข้อความที่ถูกต้องจาก Docusign แต่อีเมลเหล่านั้นไม่ได้ถูกส่งจากแพลตฟอร์ม เพราะหากเป็นอีเมลจริงของ DocuSign ผู้ใช้จะไม่ถูกขอให้ป้อนรหัสผ่าน แต่จะส่งอีเมลรหัสการตรวจสอบสิทธิ์ไปยังผู้รับแทน ด้วยความเร่งรีบในการทำงานประจำวัน มีแนวโน้มว่าพนักงานหลายคนอาจถูกหลอกโดยข้อความเหล่านี้ และเข้าใจว่าข้อความนี้เป็นคำขอจาก DocuSign จริง และทำการป้อนข้อมูลที่สำคัญลงไปทำให้ข้อมูลเหล่านั้นถูกส่งต่อให้กับผู้โจมตี

ดังนั้นเมื่อผู้ใช้ได้รับอีเมล สิ่งสำคัญคือต้องใช้เวลาและประเมินอีเมลเพื่อหาสัญญาณของการหลอกลวง รวมถึงไฟล์แนบที่ไม่พึงประสงค์ การสะกดคำผิด และการคำขอให้ทำการป้อนข้อมูลประจำตัวลงในอีเมลถือว่าเป็นสิ่งสำคัญในการพิจารณา

การโจมตีฟิชชิ่งโดยการอาศัย Docusign นั้นไม่ใช่เรื่องใหม่ และถูกใช้โดยผู้โจมตีจำนวนมากเพื่อขโมยข้อมูลสำหรับการเข้าสู่ระบบ และการแพร่กระจายมัลแวร์ โดยในช่วงเดือนสิงหาคม 2019 ผู้โจมตีใช้ DocuSign landing pages took พยายามหลอกล่อให้ผู้ใช้งานป้อนข้อมูลประจำตัวที่สำคัญสำหรับบริการอีเมลทั้งหมดของผู้ใช้

ที่มา : bleepingcomputer

Google แจ้งว่าเจ้าของบัญชี YouTube ต่างๆ อาจตกเป็นเป้าหมายของมัลแวร์ขโมยรหัสผ่านในการโจมตีแบบ Phishing โดยนักวิจัยจากกลุ่มการวิเคราะห์ภัยคุกคาม (TAG) ของ Google ตรวจพบแคมเปญนี้ครั้งแรกเมื่อปลายปี 2019

ผู้โจมตีใช้วิธีการ Social Engineering และอีเมล Phishing ในการหลอกให้ผู้ใช้งาน Youtube ติดตั้งมัลแวร์เพื่อขโมยข้อมูล

Channels ที่โดนโจมตีแบบ Pass-the-cookie

มัลแวร์ที่ถูกพบว่าใช้ในการโจมตีด้วย เช่น RedLine, Vidar, Predator The Thief, Nexus stealer, Azorult, Raccoon, Grand Stealer, Vikro Stealer, Masad และ Kantal รวมถึง Open-source เช่น AdamantiumThief และ Sorano

เมื่อมัลแวร์เข้าไปยังระบบของเป้าหมายแล้ว มัลแวร์จะถูกใช้เพื่อขโมย Credentials และคุกกี้ของเบราว์เซอร์ ซึ่งจะทำให้ให้ผู้โจมตีเข้าใช้บัญชีของเหยื่อได้จากการ pass-the-cookie แม้ว่าเทคนิคนี้มีมานานแล้ว แต่การกลับมาของเทคนิคนี้อาจเกิดจากการใช้งาน Multi-factor authentication (MFA) ที่มากขึ้น ทำให้ยากต่อการขโมยข้อมูลโดยตรง มัลแวร์ที่ตรวจพบส่วนใหญ่สามารถขโมยทั้งรหัสผ่าน และคุกกี้ของผู้ใช้งานได้

Google ระบุโดเมนอย่างน้อย 1,011 โดเมนที่เชื่อมโยงกับการโจมตีเหล่านี้ และบัญชีประมาณ 15,000 บัญชีที่สร้างขึ้นโดยเฉพาะสำหรับแคมเปญนี้ และใช้เพื่อส่งอีเมล Phishing ที่มีลิงก์ที่สามารถเปลี่ยนเส้นทางไปยังหน้า Landing Page ของมัลแวร์ ทำการส่งไปยังอีเมลของเจ้าของบัญชี YouTube

ช่อง YouTube จำนวนมากที่โดนการโจมตี ถูกเปลี่ยนชื่อในภายหลังเพื่อแอบอ้างเป็นผู้บริหารระดับสูงด้านเทคโนโลยี หรือบริษัทแลกเปลี่ยนสกุลเงินดิจิทัล ส่วนอื่นๆ ถูกขายในตลาดซื้อขายบัญชีใต้ดิน ซึ่งมีมูลค่าระหว่าง 3 ถึง 4,000 ดอลลาร์ ขึ้นอยู่กับจำนวน Subscribers ของพวกเขา

Shen กล่าวเสริมว่า Threat Analysis Group ของ Google ลดอีเมล Phishing ที่เชื่อมโยงกับการโจมตีเหล่านี้ใน Gmail 99.6% ตั้งแต่เดือนพฤษภาคม 2021 ทำการบล็อกข้อความที่ส่งถึงเป้าหมาย 1.6 ล้านข้อความ แสดงคำเตือนหน้า Phishing ประมาณ 62K Safe Browsing บล็อกไฟล์ 2.4K และกู้คืนบัญชีประมาณ 4K ได้สำเร็จ ด้วยความพยายามในการตรวจจับที่เพิ่มขึ้น สังเกตเห็นว่าผู้โจมตีเปลี่ยนจาก Gmail ไปยังผู้ให้บริการอีเมลรายอื่น (ส่วนใหญ่เป็น email.

การ Phishing แบบใหม่ที่ใช้การลอกเลียนแบบบริการจาก PayPal ผู้โจมตีใช้ออโต้สคริปต์ และช่องทาง Live Chat ในการโจมตีเพื่อหลีกเลี่ยงการตรวจจับของ Email Gateways จากพฤติกรรมของผู้โจมตีชี้ให้เห็นถึงความจำเป็นที่องค์กรต้องเพิ่มการป้องกันการโจมตีประเภทนี้ ซึ่งอาจมีเป้าหมายเป็นข้อมูลส่วนตัวของผู้ใช้งาน นักวิจัยของ Cofense Phishing Defense Center ระบุว่าผู้โจมตีแคมเปญนี้ไม่เพียงแต่สร้างหน้าแบบฟอร์มที่ปลอมแปลงเท่านั้น แต่ยังมีการใช้อีเมลที่สร้างขึ้นมาอย่างแนบเนียน ซึ่งดูเผินๆแล้วจะเหมือนเป็นอีเมลที่ถูกต้อง นอกจากว่าผู้ใช้งานจะเข้าไปดูในส่วนของอีเมลเฮดเดอร์

โดยหัวข้ออีเมลจะเป็นเรื่องการพยายามขอติดต่อผ่าน Live Chat เพื่อหารือเกี่ยวกับประกาศบริการที่เกี่ยวข้องกับบัญชี PayPal ของเป้าหมาย ดังนั้นจึงเป็นการเร่งให้เป้าหมายพยายามติดต่อรีบแก้ไขปัญหาอย่างรวดเร็ว อย่างไรก็ตามผู้โจมตีไม่ได้พยายามปิดบังชื่อผู้ส่งมากพอ ทำให้บางครั้งก็ยังสามารถระบุได้ว่าอีเมลดังกล่าวไม่ใช่อีเมลที่ถูกส่งมาจาก PayPal จริงๆ

นักวิจัย Geoghagan อธิบายว่าเมื่อวางเมาส์ไว้ที่ปุ่มที่ระบุว่า "ยืนยันบัญชีของคุณ" จะสังเกตได้ว่าจะไม่ใช่ ​​URL ของ PayPal แต่จะเป็น ​​URL direct[.]lc[.]chat หากผู้ใช้งานที่ใช้งาน PayPal อยู่เป็นประจำอาจจะสังเกตได้จากขั้นตอนนี้ เพราะ Live Chat จริงๆของ PayPal ที่ถูกต้องนั้นโฮสต์อยู่ในโดเมนของ PayPal และกำหนดให้คุณเข้าสู่ระบบก่อนเพื่อใช้งานเท่านั้น แต่หากเหยื่อหลงเชื่อเข้า Live Chat หลอกลวง ผู้โจมตีจะใช้ออโต้สคริปต์เพื่อเริ่มการสื่อสาร โดยจะพยายามขอรายละเอียดเกี่ยวกับอีเมล และหมายเลขโทรศัพท์จากเหยื่อ เพื่อใช้ในการพยายามหาข้อมูลในด้านอื่นๆต่อ

เมื่อผู้โจมตีได้รับหมายเลขโทรศัพท์ และรายละเอียดข้อมูลอีเมล ผู้โจมตีจะพยายามหาวิธีเข้าถึงข้อมูลบัตรเครดิตของเหยื่อ สุดท้ายรหัสยืนยันจะถูกส่งทาง SMS ไปยังหมายเลขโทรศัพท์ของเป้าหมายที่ให้ไว้ก่อนหน้านี้ เพื่อยืนยันว่าหมายเลขโทรศัพท์ที่เหยื่อให้มาใช้งานได้จริง และเหยื่อสามารถเข้าถึงอุปกรณ์ที่รับ SMS ได้จริง เมื่อได้ข้อมูลมากพอ ผู้โจมตีจะพยายามโทรหาเป้าหมายโดยตรงเพื่อดำเนินการหลอกลวงในขั้นตอนถัดไป

ที่มา: bankinfosecurity