AtlasCross กลุ่มแฮกเกอร์ใหม่ อ้างเป็นสภากาชาดอเมริกัน โจมตีแบบ Phishing

NSFocus รายงานว่ากลุ่มแฮกเกอร์ AtlasCross แตกต่างจากกลุ่มแฮกเกอร์อื่นๆ ในเรื่องขั้นตอนการโจมตี , เครื่องมือที่ใช้โจมตี , วัตถุประสงค์การโจมตี , แนวโน้มพฤติกรรม และอื่นๆ โดยพบโทรจันใหม่สองตัว DangerAds และ AtlasAgent ที่เกี่ยวข้องกับการโจมตี

การโจมตีเริ่มต้นด้วยข้อความ Phishing ที่อ้างว่ามาจากสภากาชาดอเมริกัน โดยขอให้ผู้รับเข้าร่วมในการบริจาคเลือดเดือนกันยายน 2023 โดยในอีเมลมีไฟล์แนบเอกสาร Word ที่เปิดใช้งานมาโคร (.docm) ซึ่งต้องการให้ผู้รับคลิกเปิดใช้งานเนื้อหา เพื่อดูเนื้อหาที่ซ่อนอยู่

เมื่อผู้รับกดเปิดใช้งาน มาโครจะแยกไฟล์ ZIP บนอุปกรณ์ Windows และวางไฟล์ชื่อ KB4495667.pkg ซึ่งเป็นตัวสร้างโทรจัน DangerAds และเป็นตัวโหลดมัลแวร์ โดยจะสร้าง Scheduled task ชื่อ Microsoft Office Updates เพื่อเปิดใช้ DangerAds ทุกวันเป็นเวลาสามวัน

DangerAds ทำหน้าที่เป็นตัวโหลดมัลแวร์ , ประเมินข้อมูลของระบบ และเรียกใช้ Shellcode หากพบ Strings ที่กำหนดไว้ในชื่อผู้ใช้หรือชื่อโดเมนของระบบ ซึ่งเป็นการกำหนดขอบเขตเป้าหมายที่แคบของกลุ่มแฮกเกอร์ AtlasCross

หากพบ Strings ที่กำหนดไว้ DangerAds จะโหลด x64.dll ซึ่งเป็นโทรจัน AtlasAgent เป็นโทรจันภาษา C++ แบบ Custom ฟังก์ชันหลักประกอบด้วยการแยกโฮสต์และรายละเอียด Process , ป้องกันการเปิดโปรแกรมหลายโปรแกรม , เรียกใช้ Shellcode และการดาวน์โหลดไฟล์จากเซิร์ฟเวอร์ C2 ของผู้โจมตี

เมื่อทำงานครั้งแรกมัลแวร์จะส่งข้อมูลไปยังเซิร์ฟเวอร์ของผู้โจมตี เช่น ชื่อเครื่อง , IP เครื่อง , ข้อมูล Network adapter , ข้อมูล Network card , เวอร์ชันของระบบปฏิบัติการ และ Process ที่รันอยู่ จากนั้นเซิร์ฟเวอร์ของผู้โจมตีจะตอบกลับคำสั่งให้ AtlasAgent ทำงานต่างๆ ซึ่งสามารถทำได้โดยใช้ Threads ใหม่ หรือกระบวนที่มีอยู่ ทำให้เครื่องมือรักษาความปลอดภัยตรวจจับและหยุดได้ยากขึ้น

AtlasAgent รองรับคำสั่งต่อไปนี้

รับข้อมูลระบบคอมพิวเตอร์
Reverse Shell
รับข้อมูลจาก CnC และจัดเก็บไว้ในไฟล์ที่ระบุ
Debugging field
หยุดโปรแกรมชั่วคราวเป็นระยะเวลาหนึ่งโดยใช้ฟังก์ชัน Sleep
รับข้อมูลของ Process
แทรก Shellcode หรือคำสั่งลงใน Threads ของกระบวนการที่ระบุ
ใช้งานพารามิเตอร์ฟังก์ชัน
เรียกใช้ Shellcode โดยตรง หรือสร้าง Threads เพื่อรัน Shellcode
สร้าง Mutex (Mutually exclusive)

ที่มา : bleepingcomputer

พบแคมเปญการโจมตีแบบ Phishing โดยการใช้ Microsoft Teams เพื่อติดตั้งมัลแวร์ DarkGate

นักวิจัยที่ Truesec บริษัทด้านความปลอดภัย พบแคมเปญการโจมตี phishing รูปแบบใหม่ ที่ใช้ Microsoft Teams messages ในการส่งไฟล์แนบที่เป็นอันตรายซึ่งติดตั้งมัลแวร์ DarkGate Loader เอาไว้ โดยพบว่าแคมเปญดังกล่าวได้เริ่มการโจมตีในเดือนสิงหาคม 2023 หลังจากที่พบข้อความฟิชชิ่งของ Microsoft Teams ถูกส่งโดยบัญชี external Office 365 accounts สองบัญชีไปยังองค์กรอื่น เพื่อให้ดาวน์โหลด และเปิดไฟล์ ZIP อันตราย (more…)

SuperBear โทรจันตัวใหม่ ปรากฏตัวในการโจมตีแบบ phishing ที่มุ่งเป้าไปที่นักเคลื่อนไหวชาวเกาหลีใต้

การโจมตี phishing รอบใหม่ที่มุ่งเป้าการโจมตีไปที่กลุ่ม civil society ในเกาหลีใต้ นำไปสู่การค้นพบโทรจันตัวใหม่ที่ชื่อว่า SuperBear

Interlabs ระบุในรายงานว่า การโจมตีดังกล่าวได้มุ่งเป้าไปที่นักเคลื่อนไหวคนหนึ่ง ที่ได้รับการติดต่อในช่วงปลายเดือนสิงหาคม 2023 และได้รับไฟล์ LNK ที่เป็นอันตรายจากผู้ที่แอบอ้างเป็นสมาชิกขององค์กร

เมื่อไฟล์ LNK ถูกเรียกใช้งาน มันจะรันคำสั่ง PowerShell เพื่อเรียกใช้สคริปต์ Visual Basic ซึ่งจะดึงเอา payloads การโจมตีถัดไปจากเว็บไซต์ WordPress ที่ถูกโจมตี

ซึ่งประกอบไปด้วยไฟล์ไบนารี Autoit3.exe ("solmir.

แฮ็กเกอร์ชาวเบลารุสกำหนดเป้าหมายการโจมตีไปยังโปแลนด์ และยูเครนด้วย RAT, Phishing

แฮ็กเกอร์ที่มีความเชื่อมโยงกับรัฐบาลเบลารุสกำลังกำหนดเป้าหมายการโจมตีไปยังหน่วยงานรัฐบาล และกองทัพในยูเครน และโปแลนด์ด้วยแคมเปญ Spear-Phishing เพื่อแอบติดตั้ง Trojans ที่ใช้เพื่อเข้าถึงได้จากระยะไกล

นักวิจัยจาก Cisco Talos บริษัทรักษาความปลอดภัยทางไซเบอร์ระบุว่า เป้าหมายของผู้โจมตีคือการขโมยข้อมูล และการควบคุมระบบเป้าหมายจากระยะไกล และพบการติดตั้ง payload ของมัลแวร์ njRAT ที่ใช้ขโมยข้อมูล โดยการโจมตีดังกล่าวเริ่มตั้งแต่เดือนเมษายน 2565

เมื่อเร็ว ๆ นี้ทีม Computer Emergency Response ของยูเครนได้ระบุเหตุการณ์ในเดือนกรกฎาคมที่เกิดจากกลุ่มแฮ็กเกอร์ Ghostwriter หรือที่รู้จักกันในชื่อ UNC1151 โดย Mandiant ระบุว่าแฮ็กเกอร์มีความสัมพันธ์ใกล้ชิดกับรัฐบาลเบลารุส ซึ่งเป็นพันธมิตรที่ใกล้ชิดที่สุดของรัสเซียหลังจากการรุกรานยูเครนในเดือนกุมภาพันธ์ 2565 และในรายงานบางฉบับระบุว่ากลุ่ม Ghostwriter นั้นยังมีความเชื่อมโยงกับแฮ็กเกอร์ชาวรัสเซียที่กำหนดเป้าหมายเป็นบุคลากรทางทหารของยูเครน และหน่วยงานราชการของโปแลนด์อย่างต่อเนื่อง

(more…)

พบการโจมตีฟิชชิ่งบน Microsoft 365 โดยใช้ข้อความ RPMSG ที่เข้ารหัส

พบผู้โจมตีกำลังใช้ไฟล์แนบ RPMSG ที่เข้ารหัส ซึ่งจะถูกส่งผ่านบัญชี Microsoft 365 เพื่อใช้ในการขโมยข้อมูล credentials ด้วยการโจมตีฟิชชิ่งแบบกำหนดเป้าหมาย ซึ่งถูกออกแบบมาเพื่อหลบเลี่ยงการตรวจจับโดยอีเมลเกตเวย์
ไฟล์ RPMSG (restricted permission message files) เป็นไฟล์แนบข้อความอีเมลเข้ารหัสที่สร้างขึ้นโดยใช้ Microsoft's Rights Management Services (RMS) เพื่อการป้องกันเพิ่มเติมสำหรับข้อมูลที่มีความสำคัญ โดยการจำกัดการเข้าถึงเฉพาะผู้รับที่ได้รับอนุญาตเท่านั้น

ผู้รับที่ต้องการอ่านอีเมล จะต้องถูกตรวจสอบสิทธิ์โดยใช้บัญชี Microsoft หรือขอรับ one-time passcode เพื่อถอดรหัส   โดย Trustwave พบว่า ข้อกำหนดสำหรับการตรวจสอบสิทธิ์ของ RPMSG กำลังถูกใช้เพื่อหลอกเป้าหมายให้ส่งข้อมูล credentials ของ Microsoft โดยใช้แบบฟอร์มเข้าสู่ระบบปลอม

ลักษณะการทำงาน

เริ่มต้นด้วยอีเมลที่จะถูกส่งมาจากบัญชี Microsoft 365 ที่ถูกโจมตี ในกรณีนี้มาจากบริษัท Talus Pay ซึ่งเป็นบริษัทประมวลผลการชำระเงิน
ผู้รับคือผู้ใช้งานในแผนกเรียกเก็บเงินของบริษัทผู้รับ ซึ่งอีเมลจะแสดงข้อความที่มีการเข้ารหัสจาก Microsoft
อีเมลของผู้โจมตีจะขอให้เป้าหมายคลิกปุ่ม "Read the message" เพื่อถอดรหัส และเปิดข้อความที่ได้รับการป้องกัน โดยจะถูกเปลี่ยนเส้นทางไปยังหน้าเว็บ Office 365 พร้อมกับคำขอให้ลงชื่อเข้าใช้บัญชี Microsoft
หลังจากผ่านการตรวจสอบสิทธิ์แล้ว ผู้รับก็จะเห็นอีเมลของผู้โจมตี ซึ่งหลังจากคลิกปุ่ม "Click here to Continue" ก็จะถูกนำไปสู่เอกสาร SharePoint ปลอม ที่อยู่บนบริการ InDesign ของ Adobe

จากนั้นเมื่อคลิก "Click Here to View Document" ก็จะถูกนำไปสู่หน้าว่าง และข้อความว่า "Loading.

Microsoft ประกาศแจ้งเตือนแคมเปญ Phishing ที่มุ่งเป้าหมายไปยังนักบัญชี [EndUser]

Microsoft แจ้งเตือนพบการโจมตี phishing campaign ที่กำลังมุ่งเป้าหมายไปยัง บริษัทบัญชี และผู้จัดการทางด้านภาษี ด้วยมัลแวร์ Remcos Remote Access Trojan (RAT) เพื่อโจมตี และเข้าถึงระบบของเป้าหมายได้จากระยะไกล

โดยแคมเปญดังกล่าวที่มุ่งเป้าหมายไปยัง บริษัทบัญชี และผู้จัดการทางด้านภาษีนั้น เป็นช่วงเวลาเดียวกับช่วงสิ้นสุดฤดูกาลภาษีประจำปีของสหรัฐอเมริกา ซึ่งนักบัญชีต่างพยายามรวบรวมเอกสารภาษีของลูกค้าเพื่อกรอก และยื่นแบบแสดงรายการภาษี จึงเป็นโอกาสที่ Hacker จะสามารถส่ง Phishing Mail ไปโดยที่เป้าหมายไม่ได้ระวังตัว (more…)

Microsoft OneNote ประกาศบล็อก 120 นามสกุลไฟล์ที่อาจเป็นอันตราย [EndUser]

Microsoft ได้ออกประกาศการป้องกันไฟล์แนบบน Microsoft OneNote โดยการบล็อก 120 นามสกุลไฟล์ที่เป็นอันตราย เพื่อป้องกันการโจมตีจากการโจมตีแบบ Phishing

ทาง Microsoft จะทำการปรับปรุง OneNote ให้มีระดับการรักษาความปลอดภัยที่สูงขึ้น ตามแผนงานของ Microsoft 365 ในวันที่ 10 มีนาคมที่ผ่านมา ภายหลังจากที่พบว่า OneNote ได้กลายเป็นเครื่องมือใหม่ของ Hacker ที่ใช้ในการโจมตีแบบฟิชชิ่งเพื่อแพร่กระจายมัลแวร์

โดย Microsoft เริ่มพบการโจมตีโดยการใช้ OneNote ในการฝังไฟล์ และสคริปต์ที่เป็นอันตราย และส่ง phishing email ไปหาเป้าหมาย ภายหลังจากที่ในเดือนธันวาคม 2022 Microsoft ได้ออกอัปเดตแพตซ์ด้านความปลอดภัยเพื่อแก้ไขช่องโหว่ zero-day การ bypass MoTW ที่ถูกนำมาใช้เพื่อแพร่กระจายมัลแวร์ผ่านไฟล์ ISO และ ZIP รวมไปถึงการปิดใช้งาน macro ใน Word และ Excel เป็นค่าเริ่มต้น

การบล็อกนามสกุลไฟล์ที่เป็นอันตราย

Microsoft ได้เผยแพร่รายละเอียดเพิ่มเติมเกี่ยวกับนามสกุลไฟล์ที่จะถูกบล็อก หลังจากแพตซ์อัปเดตความปลอดภัยของ OneNote ใหม่เปิดตัว ทั้งนี้ยังรวมไปถึงไฟล์ที่ถูกบล็อกโดย Outlook, Word, Excel และ PowerPoint โดยประกอบด้วย 120 รายการตามเอกสารการสนับสนุนของ Microsoft 365 ดังนี้

ซึ่งก่อนหน้านี้ทาง OneNote จะมีการแจ้งเตือนด้านความปลอดภัยเมื่อมีการเปิดไฟล์ที่เป็นอันตรายจาก OneNote ว่าไฟล์แนบที่เปิดอาจเป็นไฟล์อันตราย แต่ผู้ใช้งานส่วนใหญ่ก็ยังกดเปิดอยู่ดี แต่หลังจากนี้ OneNote จะทำการบล็อกนามสกุลไฟล์ที่เป็นอันตรายโดยทันที โดยจะแจ้งว่า "Your administrator has blocked your ability to open this file type in OneNote.

Emotet แพร่กระจายผ่านแบบฟอร์มภาษี W-9 ปลอมจาก IRS

แคมเปญฟิชชิ่ง Emotet รูปแบบใหม่ ที่มุ่งเป้าไปยังผู้เสียภาษีในสหรัฐฯ โดยการปลอมแปลงเป็นแบบฟอร์ม W-9 ที่ถูกส่งโดยหน่วยงาน Internal Revenue Service และบริษัทของเหยื่อ

Emotet เป็นมัลแวร์ที่มักแพร่กระจายผ่านทางอีเมลฟิชชิ่ง โดยในอดีตมีการใช้งานเอกสาร Microsoft Word และ Excel ที่มีการฝังมาโครไว้เพื่อทำการติดตั้งมัลแวร์

อย่างไรก็ตาม หลังจากที่ Microsoft ได้ทำการแก้ไขโดยการบล็อกมาโครเป็นค่าเริ่มต้นบน office ทาง Emotet ก็เปลี่ยนไปใช้ไฟล์ Microsoft OneNote ที่มีการฝังสคริปต์แทน เพื่อทำการติดตั้งมัลแวร์

เมื่อ Emotet ถูกติดตั้งแล้ว มัลแวร์จะทำหน้าที่ขโมยอีเมลของเหยือเพื่อใช้ในการโจมตีแบบ reply-chain, ส่งอีเมลสแปมเพิ่มเติม รวมถึงติดตั้งมัลแวร์อื่น ๆ เพื่อเปิดช่องทางการเข้าถึงระบบของเหยื่อสำหรับกลุ่มผู้โจมตีอื่น ๆ หรือกลุ่ม Ransomware

Emotet เตรียมพร้อมสำหรับช่วงเก็บภาษีของสหรัฐฯ

การทำงานของ Emotet มักใช้แคมเปญฟิชชิ่งที่มีธีมให้สอดคล้องกับวันหยุดพิเศษ และกิจกรรมทางธุรกิจที่เกิดขึ้นทุกปี เช่น ช่วงเวลาการเก็บภาษีของสหรัฐฯ ในปัจจุบัน

ในแคมเปญฟิชชิ่งล่าสุด (more…)

ผู้ให้บริการด้านการดูแลสุขภาพ ILS ยืนยันเหตุการณ์ข้อมูลผู้ใช้งานรั่วไหลกว่า 4.2 ล้านราย

Independent Living Systems (ILS) ซึ่งเป็นผู้ให้บริการด้านการดูแลสุขภาพในไมอามี่ ยืนยันการรั่วไหลของข้อมูลส่วนบุคคลของผู้ใช้งานกว่า 4,226,508 ราย

จำนวนผู้ใช้งานที่ได้รับผลกระทบถือว่าเป็นจำนวนมากที่สุดในภาคการดูแลสุขภาพที่มีการเปิดเผยออกมาในปีนี้จากการแจ้งเตือนที่ถูกส่งไปยังสำนักงานอัยการสูงสุด โดยบริษัทพบว่าเครือข่ายถูกโจมตีในวันที่ 5 กรกฎาคม 2022

ในระหว่างการตรวจสอบ บริษัทพบว่าผู้โจมตีสามารถเข้าถึงระบบ ILS ได้ระหว่างวันที่ 30 มิถุนายนถึง 5 กรกฎาคม 2022 และสามารถเข้าถึงข้อมูลในช่วงเวลาดังกล่าวได้ โดยจากการตรวจสอบของ ILS พบว่าผู้โจมตีสามารถเข้าถึงระบบ ILS ได้บางระบบ (more…)

Microsoft แจ้งเตือนการโจมตีแบบ business email compromise อาจใช้เวลาเพียงไม่กี่ชั่วโมง

เมื่อเร็ว ๆ นี้ ทีม Security Intelligence ของ Microsoft ได้ทำการตรวจสอบการโจมตีแบบ business email compromise (BEC) และพบว่าผู้โจมตีใช้เวลาในการปฏิบัติการอย่างรวดเร็ว โดยบางขั้นตอนใช้เวลาเพียงไม่กี่นาทีเท่านั้น

โดยนับตั้งแต่การ login เข้าใช้งาน โดยใช้ข้อมูล credentials ที่ขโมยมา การลงทะเบียน Domain ปลอมที่ใกล้เคียงกับโดเมนจริง และการปลอมตัวเป็นคู่สนทนาในอีเมล แฮ็กเกอร์ใช้เวลาเพียงไม่กี่ชั่วโมงเท่านั้น

ลักษณะการโจมตี

BEC เป็นประเภทของการโจมตีทางไซเบอร์ที่ผู้โจมตีสามารถเข้าถึงบัญชีอีเมลขององค์กรเป้าหมายผ่านทาง Phishing, Social Engineering หรือการซื้อข้อมูล credentials บัญชีบน dark web

จากนั้นแฮ็กเกอร์จะปลอมเป็นบุคคลที่น่าเชื่อถือ เช่น ผู้บริหารระดับสูง หรือซัพพลายเออร์ เพื่อหลอกพนักงานที่ทำงานในแผนกการเงิน หรือบริษัทคู่ค้าให้โอนเงินไปยังบัญชีของแฮ็กเกอร์

จากข้อมูลของ FBI ตั้งแต่เดือนมิถุนายน 2016 จนถึงเดือนกรกฎาคม 2019 การโจมตีในรูปแบบ BEC ส่งผลให้เกิดความเสียหายมูลค่ากว่า 43 พันล้านดอลลาร์ ซึ่งนับเฉพาะกรณีที่ถูกรายงานต่อหน่วยงานบังคับใช้กฎหมายเท่านั้น

Twitter ของนักวิเคราะห์จาก Microsoft อธิบายการโจมตีแบบ BEC ที่ได้ทำการการตรวจสอบพบว่า เริ่มต้นจากแฮ็กเกอร์ทำการโจมตีแบบ adversary-in-the-middle (AITM) เพื่อขโมย session cookie ของเป้าหมาย ทำให้หลบเลี่ยงการป้องกันจาก MFA ได้

แฮ็กเกอร์เข้าสู่ระบบบัญชีของเหยื่อเมื่อวันที่ 5 มกราคม 2023 และใช้เวลาสองชั่วโมงในการค้นหา mailbox เพื่อหาหัวข้ออีเมลที่เหมาะสำหรับการหลอกลวงแบบ Thread hijacking

Thread hijacking คือการปลอมตัวด้วยการส่งอีเมลในหัวข้อที่อยู่ระหว่างการติดต่อพูดคุยกัน ทำให้วิธีนี้เป็นเทคนิคที่มีประสิทธิภาพมาก เนื่องจากทำให้ผู้รับมีแนวโน้มที่จะเชื่อถือมากขึ้น

หลังจากนั้นแฮ็กเกอร์ได้ลงทะเบียน Domain ปลอมโดยใช้ตัวอักษร homoglyph เพื่อทำให้ดูเหมือนกับเว็บไซต์ขององค์กรเป้าหมาย 5 นาทีต่อมา แฮ็กเกอร์ได้สร้าง inbox rule เพื่อดึงอีเมลจากองค์กรเป้าหมายไปยังโฟลเดอร์เฉพาะ

ในนาทีต่อมา แฮ็กเกอร์ได้ส่งอีเมลที่เป็นอันตรายไปยังคู่ค้าทางธุรกิจเพื่อขอเปลี่ยนบัญชีสำหรับการโอนเงิน และลบข้อความที่ส่งออกทันทีเพื่อลดโอกาสที่ผู้ใช้จะพบการส่งอีเมลดังกล่าว ซึ่งหากนับตั้งแต่การลงชื่อเข้าใช้ครั้งแรกจนถึงการลบอีเมลที่ส่งออก เวลาผ่านไปทั้งหมดเพียง 127 นาที ซึ่งสะท้อนให้เห็นถึงการปฏิบัติการอย่างรวดเร็วของแฮ็กเกอร์

Microsoft 365 Defender แจ้งเตือนเกี่ยวกับการหลอกลวงแบบ BEC ภายใน 20 นาที หลังจากที่แฮ็กเกอร์ลบอีเมลที่ทำการส่งออกไป และขัดขวางการโจมตีด้วยการ disable การใช้งานบัญชีของผู้ใช้

ในการทดสอบ และประเมินผลการตรวจจับของ BEC ใน environments ของลูกค้าองค์กรหลายสิบแห่งพบว่าได้รับการป้องกันที่ดีขึ้น เมื่อบัญชีถูกปิดใช้งานอัตโนมัติโดย Microsoft 365 Defender

ความสามารถในการทำงานอัตโนมัติแบบใหม่ดังกล่าว ทำให้ทีม SOC สามารถควบคุม และตรวจสอบการดำเนินการทั้งหมดที่ดำเนินการโดย Microsoft 365 Defender

Microsoft ระบุว่าได้หยุดการโจมตีในลักษณะ BEC ได้ทั้งหมด 38 ครั้ง ที่มีการกำหนดเป้าหมายไปยัง 27 องค์กร โดยการใช้ eXtended Detection and Response (XDR) ทั้งอุปกรณ์ Endpoint, Identity, Email และ SaaS

 

ที่มา : bleepingcomputer