ผู้ไม่หวังดีกำลังใช้ประโยชน์จากผลลัพธ์การค้นหาที่ถูกแก้ไข และโฆษณาปลอมบน Google เพื่อหลอกลวงผู้ใช้ที่กำลังดาวน์โหลดซอฟต์แวร์ที่ถูกต้อง เช่น WinSCP ให้ติดตั้งมัลแวร์แทน

บริษัทด้านความปลอดภัยทางไซเบอร์ Securonix กำลังติดตามพฤติกรรมที่เกิดขึ้นนี้ภายใต้ชื่อ SEO#LURKER

นักวิจัยด้านความปลอดภัย Den Iuzvyk, Tim Peck และ Oleg Kolesnikov ระบุในรายงานที่แชร์กับ The Hacker News ว่าโฆษณาที่เป็นอันตรายจะนำผู้ใช้ไปยังเว็บไซต์ WordPress ที่ถูกโจมตีชื่อ gameeweb[.]com ซึ่งจะนำผู้ใช้ไปยังเว็บไซต์ phishing ที่ถูกควบคุมโดยผู้โจมตี

โดยผู้โจมตีจะใช้ Google's Dynamic Search Ads (DSAs) เพื่อสร้างโฆษณาโดยอัตโนมัติขึ้น โดยใช้เนื้อหาของเว็บไซต์เพื่อนำโฆษณาที่เป็นอันตราย ที่จะพาผู้ใช้ไปยังเว็บไซต์ที่ติดมัลแวร์ (more…)

นอกจากกลุ่ม Sandworm และ APT28 หรือที่รู้จักกันในชื่อ Fancy Bear กลุ่มแฮ็กเกอร์ชาวรัสเซียอีกกลุ่มหนึ่งที่ได้รับการสนับสนุนจากรัฐบาล APT29 กำลังใช้ประโยชน์จากช่องโหว่ CVE-2023-38831 ใน WinRAR สำหรับการโจมตีทางไซเบอร์ (more…)

D-Link ผู้ให้บริการโซลูชันเครือข่ายของไต้หวัน ออกมายืนยันเหตุการณ์ข้อมูลรั่วไหล ภายหลังจากการถูกโจมตีเครือข่าย และถูกนำข้อมูลไปประกาศขายบน BreachForums เมื่อต้นเดือนที่ผ่านมา

จากเหตุการณ์ในครั้งนี้ ผู้โจมตีได้เข้าถึงเครือข่ายภายในของ D-Link ซึ่งมีข้อมูลลูกค้าจำนวน 3 ล้านบรรทัด และซอร์สโค้ดของ D-View รวมถึงข้อมูลของเจ้าหน้าที่รัฐบาลจำนวนมาก โดยผู้โจมตีอ้างว่าได้ขโมยซอร์สโค้ดของซอฟต์แวร์การจัดการเครือข่าย D-View ของ D-Link และข้อมูลส่วนบุคคลของลูกค้า พนักงาน และข้อมูลเกี่ยวกับ CEO ของบริษัทจำนวนหลายล้านรายการออกไป โดยประกอบด้วยข้อมูลดังต่อไปนี้

ชื่อ
อีเมล
ที่อยู่
หมายเลขโทรศัพท์
วันที่ลงทะเบียนบัญชี
วันที่เข้าสู่ระบบครั้งล่าสุดของผู้ใช้งาน

ข้อมูลนี้ถูกนำไปประกาศขายบนฟอรัม ตั้งแต่วันอาทิตย์ที่ 1 ตุลาคม 2023 โดยผู้โจมตีเรียกร้องเงิน 500 ดอลลาร์ สำหรับข้อมูลลูกค้าที่ขโมยมา และซอร์สโค้ดของ D-View (more…)

แฮ็กเกอร์กำลังใช้เทคนิคใหม่ โดยการใช้ตัวอักษรฟอนต์ขนาดศูนย์ในอีเมล เพื่อทำให้อีเมลที่เป็นอันตรายดูเหมือนถูกสแกนอย่างปลอดภัยโดยเครื่องมือรักษาความปลอดภัยใน Microsoft Outlook

แม้ว่าเทคนิคการฟิชชิงแบบ ZeroFont จะเคยถูกใช้มาแล้วในอดีต แต่นี่เป็นครั้งแรกที่มีการบันทึกว่าถูกใช้ในรูปแบบนี้

ในรายงานใหม่ของนักวิเคราะห์จาก ISC Sans ชื่อ Jan Kopriva นักวิจัยเตือนว่าเทคนิคนี้อาจมีผลต่อประสิทธิภาพในการดำเนินการการโจมตีฟิชชิงอย่างมาก และผู้ใช้ควรรับรู้ถึงวิธีการดังกล่าว และการใช้งานในการโจมตีจริง

การโจมตีแบบ ZeroFont

วิธีการโจมตี ZeroFont ซึ่งจัดทำเอกสารโดย Avanan ในปี 2018 เป็นเทคนิคการฟิชชิงที่ใช้ประโยชน์จากช่องโหว่ที่ใช้ AI และnatural language processing (NLP) ในแพลตฟอร์มความปลอดภัยของอีเมล

วิธีการโจมตีนี้เกี่ยวข้องกับการแทรกคำ หรืออักขระที่ซ่อนอยู่ในอีเมลโดยการตั้งค่าขนาดฟอนต์เป็นศูนย์ ซึ่งทำให้เป้าหมายไม่สามารถมองเห็นข้อความนั้นได้ แต่ยังคงอ่านได้ด้วย NLP algorithms

การโจมตีนี้มุ่งเน้นการหลีกเลี่ยงอุปกรณ์ตรวจสอบด้านความปลอดภัยโดยการแทรกคำ หรือข้อความที่ไม่เป็นอันตราย แต่เป็นคำศัพท์ที่มองไม่เห็นลงในเนื้อหาที่เป็นข้อความที่มองเห็นได้ ซึ่งส่งผลให้ AI ตีความเนื้อหา และตรวจสอบความปลอดภัยผิดพลาด

ในรายงานปี 2018 Avanan เตือนว่า ZeroFont สามารถหลีกเลี่ยง Advanced Threat Protection (ATP) ของ Microsoft Office 365 ได้ แม้ว่าอีเมลจะมีคำที่เป็นอันตรายก็ตาม

การซ่อนการสแกนไวรัสปลอม

ในอีเมลฟิชชิ่งตัวใหม่ที่ Kopriva พบ ผู้โจมตีใช้การโจมตีแบบ ZeroFont เพื่อปรับแต่งการแสดงตัวอย่างข้อความบนโปรแกรมอีเมลที่ใช้กันอย่างแพร่หลาย เช่น Microsoft Outlook

อีเมลที่ระบุถึงนั้น แสดงข้อความที่เป็นอันตรายปรากฏขึ้นเป็นข้อความปกติในอีเมลของ Outlook แต่มีเนื้อหาที่แตกต่างกันเมื่อดูตัวอย่างอีเมล

หน้าต่างรายการอีเมลจะแสดงข้อความ 'Scanned and secured by Isc®Advanced Threat protection (APT): 9/22/2023T6:42 AM' ในขณะที่ส่วนเริ่มต้นของอีเมลในมุมมองการดูตัวอย่าง/อ่าน แสดงข้อความว่า 'Job Offer | Employment Opportunity.

NSFocus รายงานว่ากลุ่มแฮกเกอร์ AtlasCross แตกต่างจากกลุ่มแฮกเกอร์อื่นๆ ในเรื่องขั้นตอนการโจมตี , เครื่องมือที่ใช้โจมตี , วัตถุประสงค์การโจมตี , แนวโน้มพฤติกรรม และอื่นๆ โดยพบโทรจันใหม่สองตัว DangerAds และ AtlasAgent ที่เกี่ยวข้องกับการโจมตี

การโจมตีเริ่มต้นด้วยข้อความ Phishing ที่อ้างว่ามาจากสภากาชาดอเมริกัน โดยขอให้ผู้รับเข้าร่วมในการบริจาคเลือดเดือนกันยายน 2023 โดยในอีเมลมีไฟล์แนบเอกสาร Word ที่เปิดใช้งานมาโคร (.docm) ซึ่งต้องการให้ผู้รับคลิกเปิดใช้งานเนื้อหา เพื่อดูเนื้อหาที่ซ่อนอยู่

เมื่อผู้รับกดเปิดใช้งาน มาโครจะแยกไฟล์ ZIP บนอุปกรณ์ Windows และวางไฟล์ชื่อ KB4495667.pkg ซึ่งเป็นตัวสร้างโทรจัน DangerAds และเป็นตัวโหลดมัลแวร์ โดยจะสร้าง Scheduled task ชื่อ Microsoft Office Updates เพื่อเปิดใช้ DangerAds ทุกวันเป็นเวลาสามวัน

DangerAds ทำหน้าที่เป็นตัวโหลดมัลแวร์ , ประเมินข้อมูลของระบบ และเรียกใช้ Shellcode หากพบ Strings ที่กำหนดไว้ในชื่อผู้ใช้หรือชื่อโดเมนของระบบ ซึ่งเป็นการกำหนดขอบเขตเป้าหมายที่แคบของกลุ่มแฮกเกอร์ AtlasCross

หากพบ Strings ที่กำหนดไว้ DangerAds จะโหลด x64.dll ซึ่งเป็นโทรจัน AtlasAgent เป็นโทรจันภาษา C++ แบบ Custom ฟังก์ชันหลักประกอบด้วยการแยกโฮสต์และรายละเอียด Process , ป้องกันการเปิดโปรแกรมหลายโปรแกรม , เรียกใช้ Shellcode และการดาวน์โหลดไฟล์จากเซิร์ฟเวอร์ C2 ของผู้โจมตี

เมื่อทำงานครั้งแรกมัลแวร์จะส่งข้อมูลไปยังเซิร์ฟเวอร์ของผู้โจมตี เช่น ชื่อเครื่อง , IP เครื่อง , ข้อมูล Network adapter , ข้อมูล Network card , เวอร์ชันของระบบปฏิบัติการ และ Process ที่รันอยู่ จากนั้นเซิร์ฟเวอร์ของผู้โจมตีจะตอบกลับคำสั่งให้ AtlasAgent ทำงานต่างๆ ซึ่งสามารถทำได้โดยใช้ Threads ใหม่ หรือกระบวนที่มีอยู่ ทำให้เครื่องมือรักษาความปลอดภัยตรวจจับและหยุดได้ยากขึ้น

AtlasAgent รองรับคำสั่งต่อไปนี้

รับข้อมูลระบบคอมพิวเตอร์
Reverse Shell
รับข้อมูลจาก CnC และจัดเก็บไว้ในไฟล์ที่ระบุ
Debugging field
หยุดโปรแกรมชั่วคราวเป็นระยะเวลาหนึ่งโดยใช้ฟังก์ชัน Sleep
รับข้อมูลของ Process
แทรก Shellcode หรือคำสั่งลงใน Threads ของกระบวนการที่ระบุ
ใช้งานพารามิเตอร์ฟังก์ชัน
เรียกใช้ Shellcode โดยตรง หรือสร้าง Threads เพื่อรัน Shellcode
สร้าง Mutex (Mutually exclusive)

ที่มา : bleepingcomputer

นักวิจัยที่ Truesec บริษัทด้านความปลอดภัย พบแคมเปญการโจมตี phishing รูปแบบใหม่ ที่ใช้ Microsoft Teams messages ในการส่งไฟล์แนบที่เป็นอันตรายซึ่งติดตั้งมัลแวร์ DarkGate Loader เอาไว้ โดยพบว่าแคมเปญดังกล่าวได้เริ่มการโจมตีในเดือนสิงหาคม 2023 หลังจากที่พบข้อความฟิชชิ่งของ Microsoft Teams ถูกส่งโดยบัญชี external Office 365 accounts สองบัญชีไปยังองค์กรอื่น เพื่อให้ดาวน์โหลด และเปิดไฟล์ ZIP อันตราย (more…)

การโจมตี phishing รอบใหม่ที่มุ่งเป้าการโจมตีไปที่กลุ่ม civil society ในเกาหลีใต้ นำไปสู่การค้นพบโทรจันตัวใหม่ที่ชื่อว่า SuperBear

Interlabs ระบุในรายงานว่า การโจมตีดังกล่าวได้มุ่งเป้าไปที่นักเคลื่อนไหวคนหนึ่ง ที่ได้รับการติดต่อในช่วงปลายเดือนสิงหาคม 2023 และได้รับไฟล์ LNK ที่เป็นอันตรายจากผู้ที่แอบอ้างเป็นสมาชิกขององค์กร

เมื่อไฟล์ LNK ถูกเรียกใช้งาน มันจะรันคำสั่ง PowerShell เพื่อเรียกใช้สคริปต์ Visual Basic ซึ่งจะดึงเอา payloads การโจมตีถัดไปจากเว็บไซต์ WordPress ที่ถูกโจมตี

ซึ่งประกอบไปด้วยไฟล์ไบนารี Autoit3.exe ("solmir.

แฮ็กเกอร์ที่มีความเชื่อมโยงกับรัฐบาลเบลารุสกำลังกำหนดเป้าหมายการโจมตีไปยังหน่วยงานรัฐบาล และกองทัพในยูเครน และโปแลนด์ด้วยแคมเปญ Spear-Phishing เพื่อแอบติดตั้ง Trojans ที่ใช้เพื่อเข้าถึงได้จากระยะไกล

นักวิจัยจาก Cisco Talos บริษัทรักษาความปลอดภัยทางไซเบอร์ระบุว่า เป้าหมายของผู้โจมตีคือการขโมยข้อมูล และการควบคุมระบบเป้าหมายจากระยะไกล และพบการติดตั้ง payload ของมัลแวร์ njRAT ที่ใช้ขโมยข้อมูล โดยการโจมตีดังกล่าวเริ่มตั้งแต่เดือนเมษายน 2565

เมื่อเร็ว ๆ นี้ทีม Computer Emergency Response ของยูเครนได้ระบุเหตุการณ์ในเดือนกรกฎาคมที่เกิดจากกลุ่มแฮ็กเกอร์ Ghostwriter หรือที่รู้จักกันในชื่อ UNC1151 โดย Mandiant ระบุว่าแฮ็กเกอร์มีความสัมพันธ์ใกล้ชิดกับรัฐบาลเบลารุส ซึ่งเป็นพันธมิตรที่ใกล้ชิดที่สุดของรัสเซียหลังจากการรุกรานยูเครนในเดือนกุมภาพันธ์ 2565 และในรายงานบางฉบับระบุว่ากลุ่ม Ghostwriter นั้นยังมีความเชื่อมโยงกับแฮ็กเกอร์ชาวรัสเซียที่กำหนดเป้าหมายเป็นบุคลากรทางทหารของยูเครน และหน่วยงานราชการของโปแลนด์อย่างต่อเนื่อง

(more…)

พบผู้โจมตีกำลังใช้ไฟล์แนบ RPMSG ที่เข้ารหัส ซึ่งจะถูกส่งผ่านบัญชี Microsoft 365 เพื่อใช้ในการขโมยข้อมูล credentials ด้วยการโจมตีฟิชชิ่งแบบกำหนดเป้าหมาย ซึ่งถูกออกแบบมาเพื่อหลบเลี่ยงการตรวจจับโดยอีเมลเกตเวย์
ไฟล์ RPMSG (restricted permission message files) เป็นไฟล์แนบข้อความอีเมลเข้ารหัสที่สร้างขึ้นโดยใช้ Microsoft's Rights Management Services (RMS) เพื่อการป้องกันเพิ่มเติมสำหรับข้อมูลที่มีความสำคัญ โดยการจำกัดการเข้าถึงเฉพาะผู้รับที่ได้รับอนุญาตเท่านั้น

ผู้รับที่ต้องการอ่านอีเมล จะต้องถูกตรวจสอบสิทธิ์โดยใช้บัญชี Microsoft หรือขอรับ one-time passcode เพื่อถอดรหัส   โดย Trustwave พบว่า ข้อกำหนดสำหรับการตรวจสอบสิทธิ์ของ RPMSG กำลังถูกใช้เพื่อหลอกเป้าหมายให้ส่งข้อมูล credentials ของ Microsoft โดยใช้แบบฟอร์มเข้าสู่ระบบปลอม

ลักษณะการทำงาน

เริ่มต้นด้วยอีเมลที่จะถูกส่งมาจากบัญชี Microsoft 365 ที่ถูกโจมตี ในกรณีนี้มาจากบริษัท Talus Pay ซึ่งเป็นบริษัทประมวลผลการชำระเงิน
ผู้รับคือผู้ใช้งานในแผนกเรียกเก็บเงินของบริษัทผู้รับ ซึ่งอีเมลจะแสดงข้อความที่มีการเข้ารหัสจาก Microsoft
อีเมลของผู้โจมตีจะขอให้เป้าหมายคลิกปุ่ม "Read the message" เพื่อถอดรหัส และเปิดข้อความที่ได้รับการป้องกัน โดยจะถูกเปลี่ยนเส้นทางไปยังหน้าเว็บ Office 365 พร้อมกับคำขอให้ลงชื่อเข้าใช้บัญชี Microsoft
หลังจากผ่านการตรวจสอบสิทธิ์แล้ว ผู้รับก็จะเห็นอีเมลของผู้โจมตี ซึ่งหลังจากคลิกปุ่ม "Click here to Continue" ก็จะถูกนำไปสู่เอกสาร SharePoint ปลอม ที่อยู่บนบริการ InDesign ของ Adobe

จากนั้นเมื่อคลิก "Click Here to View Document" ก็จะถูกนำไปสู่หน้าว่าง และข้อความว่า "Loading.

Microsoft แจ้งเตือนพบการโจมตี phishing campaign ที่กำลังมุ่งเป้าหมายไปยัง บริษัทบัญชี และผู้จัดการทางด้านภาษี ด้วยมัลแวร์ Remcos Remote Access Trojan (RAT) เพื่อโจมตี และเข้าถึงระบบของเป้าหมายได้จากระยะไกล

โดยแคมเปญดังกล่าวที่มุ่งเป้าหมายไปยัง บริษัทบัญชี และผู้จัดการทางด้านภาษีนั้น เป็นช่วงเวลาเดียวกับช่วงสิ้นสุดฤดูกาลภาษีประจำปีของสหรัฐอเมริกา ซึ่งนักบัญชีต่างพยายามรวบรวมเอกสารภาษีของลูกค้าเพื่อกรอก และยื่นแบบแสดงรายการภาษี จึงเป็นโอกาสที่ Hacker จะสามารถส่ง Phishing Mail ไปโดยที่เป้าหมายไม่ได้ระวังตัว (more…)