พบการโจมตีทางไซเบอร์แบบหลายขั้นตอนที่ไม่ค่อยได้พบเห็นมาก่อน ซึ่งจะมีการพยายามหลอกให้ผู้ใช้เล่น Malicious Video และหลังจากนั้นก็จะนำผู้ใช้งานไปยังหน้า Microsoft ที่ปลอมขึ้นมาเพื่อใช้ในการขโมย credentials

บริษัท Perception Point ได้เผยแพร่รายงานเกี่ยวกับแคมเปญ Phishing ให้เห็นว่าการโจมตีจะเริ่มต้นจากอีเมลใบแจ้งหนี้จากบริษัทรักษาความปลอดภัยทางด้านการสื่อสารของอังกฤษ (Egress) โดยอีเมลนั้นมาจากผู้ส่งที่ถูกต้องของ Egress ซึ่งอาจเป็นไปได้ว่าพนักงานรายนั้นโดนแฮ็กเกอร์ Take over Email ไปเรียบร้อยแล้ว และนำมาใช้ในการโจมตีแบบ Phishing email

สรุปรายละเอียดการโจมตี

แฮ็กเกอร์ได้มีการเข้าควบคุมอีเมลของหนึ่งในพนักงานของบริษัทรักษาความปลอดภัยทางด้านการสื่อสารของอังกฤษ (Egress)
จากนั้นจะทำการส่งอีเมลโดยมีใจความว่าเป็นใบ invoice จาก Egress
เมื่อเหยื่อทำการคลิกที่ไฟล์นั้นจะถูก Redirect ไปที่ Powtoon ที่เป็น Video-Platform เพื่อเล่น Video ที่เป็นอันตราย
เมื่อ Video เล่นเสร็จจะนำไปยังหน้า Microsoft ที่มีการปลอมแปลงขึ้นมาเพื่อขโมยข้อมูลของเหยื่อ

ค่อนข้างเป็นที่แน่ชัดว่าเป็น account takeover แน่นอน เนื่องจากว่าอีเมลมีลายเซ็นของพนักงานจาก Egress ที่ถูกต้อง และอีเมลนั้นผ่านการตรวจสอบสิทธิ์อีเมลตามมาตรฐาน (SPF: Sender Policy Framework) และถูกส่งมาจาก Microsoft Outlook ทำให้มีความน่าเชื่อถือสูง และการโจมตีนี้จะเป็นอันตรายมากขึ้น หากผู้รับนั้นรู้จักผู้ส่ง ซึ่งจะทำให้ผู้รับนั้นเกิดความไว้วางใจ และไม่เกิดความสงสัย

แนวทางการป้องกัน

ไม่ควรใช้อีเมลของบริษัทไปทำการสมัครบริการต่าง ๆ ที่นอกเหนือจากการใช้งานของบริษัท
สร้าง Awareness ให้กับพนักงาน
ติดตามข่าวสารอยู่อย่างสม่ำเสมอ

ที่มา : darkreading

Lampion Malware กลับมาแพร่กระจายในจำนวนมากอีกครั้ง ผ่านแคมเปญฟิชชิ่งโดยการใช้ WeTransfer

WeTransfer เป็นบริษัท File-Share ที่เป็นที่รู้จัก และสามารถใช้งานได้ฟรี ดังนั้นผู้โจมตีไม่ต้องลงทุนหาวิธีในการหลีกเลี่ยงการตรวจจับจากซอฟแวร์ด้านความปลอดภัย เมื่อมีการแนบ URL ของ WeTransfer มาใน Email

จากรายงานของบริษัทด้าน Email Security อย่าง Cofense ระบุว่า Lampions ได้ส่ง Phishing Email จากบัญชีบริษัทที่ถูกโจมตี และโน้มน้าวให้ผู้ใช้งานทำการดาวน์โหลดเอกสาร "หลักฐานการชำระเงิน" จาก WeTransfer

เมื่อทำการดาวน์โหลด ไฟล์ที่เป้าหมายได้รับจะเป็น ZIP file ที่มี File VBS(Virtual Basic script) อยู่ด้วย และเหยื่อจะต้องเปิดไฟล์เพื่อดำเนินการต่อไป

จากนั้น WScript จะสร้าง VBS ไฟล์มาทั้งหมด 4 ไฟล์ ด้วยการสุ่มชื่อ โดยไฟล์แรกจะเป็นไฟล์เปล่า ๆ ไฟล์ที่ 2 จะมี function การทำงานเล็กน้อย ไฟล์ที่ 3 จะใช้เพื่อรัน script ของไฟล์ที่ 4

นักวิเคราะห์ของ Cofense ระบุว่ามีขั้นตอนพิเศษบางอย่างที่ยังไม่ชัดเจน แต่การโจมตีในลักษณะแยกส่วนแบบนี้เพื่อทำให้ผู้โจมตีสามารถสลับไฟล์ที่ใช้ได้ง่าย

script ไฟล์ที่ 4 นั้น จะทำการเปิด WScript ใหม่เพื่อเชื่อมต่อกลับไปยัง URL hardcode สองรายการ เพื่อไปดึงไฟล์ DLL สองไฟล์ที่ซ่อนอยู่ภายในไฟล์ ZIP ที่ใส่รหัสผ่าน โดย URL จะชี้ไปที่ instances บน Amazon AWS

รหัสผ่านของไฟล์ ZIP นั้นคือ hardcode ที่อยู่ภายใน script ทำให้การแตกไฟล์นั้นไม่จำเป็นต้องให้เหยื่อดำเนินการ จากนั้น DLL payload จะถูกโหลดลงใน memory ทำให้ Lampion สามารถดำเนินการอย่างเงียบ ๆ ได้

จากนั้น Lampion จะทำการขโมยข้อมูลบัญชีธนาคารจากเครื่องเป้าหมายด้วยการแทรก login forms ซ้อนทับบนแบบฟอร์ม login ตามปกติ เมื่อผู้ใช้งานใส่ข้อมูลเพื่อทำการเข้าสู่ระบบ ข้อมูลนั้นจะถูกขโมย และส่งไปยัง C2 ของผู้โจมตี

Trojan Lampion ถูกพบมาตั้งแต่ปี 2019 โดยมุ่งเป้าไปที่ผู้ใช้ภาษาสเปน ต่อมาในปี 2021 Lampion ถูกพบว่าใช้ Malware บนบริการของ cloud เป็นครั้งแรก รวมถึง Google Drive และ pCloud และล่าสุดเมื่อ มีนาคม 2022 Cyware ได้รายงานว่ามีการแพร่กระจายด้วยการใช้ hostname ที่มีส่วนเกี่ยวข้องกับกลุ่ม Bazaar และ LockBit อีกทั้งยังมีรายงานอีกว่า Lampion พยายามเขียน Malware ให้มีความซับซ้อน และวิเคราะห์ได้ยากยิ่งขึ้น

สุดท้ายนี้รายงานล่าสุดของ Cofense ระบุว่า Lampion เป็นภัยคุกคามที่ยังคงอันตรายอยู่ และแนะนำให้ผู้ใช้งานควรระมัดระวังการใช้งาน Email ที่ขอให้ดาวน์โหลดไฟล์แม้ไฟล์นั้นจะอยู่บน Cloud service ที่เป็นที่รู้จักก็ตาม

ที่มา: bleepingcomputer

 

เมื่อวันพุธที่ 7 กันยายน 2565 Cisco ได้ออกแพตช์เพื่อแก้ไขช่องโหว่บนอุปกรณ์ของตน โดยในครั้งนี้มีแพตช์ของ NVIDIA Data Plane Development Kit (MLNX_DPDK) ที่พบเมื่อปลายเดือนกรกฎาคมด้วย โดยมีรายละเอียดดังต่อไปนี้

CVE-2022-28199 (คะแนน CVSS: 8.6) ช่องโหว่นี้เกิดจากการบริหารจัดการ Network Stack ของ MLNX_DPDK ที่ผิดพลาด ทำให้ผู้ไม่หวังดีสามารถโจมตีจนทำให้เกิดการปฏิเสธการให้บริการ (DoS) ได้ รวมไปถึงส่งผลกระทบทั้งในด้านความถูกต้อง และความน่าเชื่อถือของข้อมูล โดยอุปกรณ์ที่ได้รับผลกระทบในช่องโหว่นี้ได้แก่

Cisco Catalyst 8000V Edge Software
Adaptive Security Virtual Appliance (ASAv)
Secure Firewall Threat Defense Virtual (ชื่อเดิมคือ FTDv)

ต่อมาคือ CVE-2022-20696 (คะแนน CVSS: 7.5) ช่องโหว่นี้เกิดขึ้นกับอุปกรณ์ Cisco SD-WAN vManage Software โดยพบว่า Port Container ของ Messaging Server ไม่มีกลไกลการป้องกันที่ดีพอ ผู้ไม่หวังดีสามารถใช้ช่องโหว่นี้เชื่อมต่อเข้า Server โดยไม่ผ่านการตรวจสอบสิทธิ์ ทำการเรียกดู และแก้ไขข้อความได้
ช่องโหว่สุดท้ายเกิดจากอินเทอร์เฟซการส่งข้อความของ Cisco Webex Application (CVE-2022-20863, คะแนน CVSS: 4.3) ที่ไม่สามารถแสดงอักขระพิเศษได้อย่างถูกต้อง ผู้ไม่หวังดีสามารถเข้าถึงจากระยะไกลโดยไม่ผ่านการตรวจสอบสิทธิ์ ทำการแก้ไขลิงก์หรือเนื้อหาอื่นๆ ภายในอินเทอร์เฟซเพื่อทำการโจมตีแบบ Phishing หรือ Spoofing ได้

นอกจากนี้ Cisco ยังชี้แจงรายละเอียดเกี่ยวกับ (CVE-2022-20923, คะแนน CVSS: 4.0) ซึ่งเกี่ยวกับ Authentication Bug ของเราเตอร์ Cisco Small Business รุ่น RV110W, RV130, RV130W, และ RV215W ว่าจะไม่ทำการแก้ไขช่องโหว่นี้แล้ว เนื่องจากผลิตภัณฑ์ใกล้จะ end-of-life (EOL) โดยแนะนำให้ผู้ใช้งานอุปกรณ์เหล่านี้เปลี่ยนไปใช้เราเตอร์ Cisco Small Business รุ่น RV132W, RV160, หรือ RV160W แทน

ที่มา : thehackernews

ผู้เชี่ยวชาญจาก Resecurity รายงานเกี่ยวกับแคมเปญ Phishing-as-a-Service (PhaaS) ที่ใช้ชื่อว่า EvilProxy หรืออีกชื่อคือ Moloch โดยถูกพบครั้งแรกเมื่อต้นเดือนพฤษภาคม 2565 ซึ่งมีเป้าหมายคือการขโมย Token สำหรับ Bypass MFA (Multi-factor authentication) บนระบบ Apple, Google, Facebook, Microsoft, Twitter, GitHub, GoDaddy, และ PyPI โดยแคมเปญนี้ใช้วิธีการ Reverse Proxy เพื่อหลีกเลี่ยง MFA ซึ่ง Reverse proxy จะเป็น Server ที่อยู่ระหว่างผู้ใช้งานกับ Server ปลายทางที่ถูกต้อง

ลักษณะการโจมตี

เมื่อผู้ใช้งานเข้าสู่ไซต์ Phishing EvilProxy จะแสดงหน้า login ที่เป็นของเว็บไซต์ปลายทางจริง ซึ่งทำให้หากผู้ใช้งานมีการเรียกใช้งานเมนูต่าง ๆ บนไซต์ มันจะทำการส่งต่อ Request ที่ถูกเรียกไปยัง Server ปลายทางจริง และทำการ Return สิ่งที่ Server ปลายทางจริงตอบกลับไปยังผู้ใช้งาน
เมื่อผู้ใช้งานกรอกข้อมูลประจำตัว และ MFA บนไซต์ Phishing แล้ว Request เหล่านี้ก็จะถูกส่งไปยัง Server ปลางทางตามปกติ เมื่อผู้ใช้งานเข้าสู่ระบบสำเร็จ Cookie Session นั้นจะถูกส่งกลับคืนมายังผู้ใช้งาน
ระหว่างที่ Cookie Session ถูกส่งกลับคืนมายังผู้ใช้ EvilProxy จะทำการดักจับ Session ดังกล่าว และเปลี่ยนเส้นทางการใช้งานของผู้ใช้งานไปยังปลายทางอื่น โดยผู้โจมตีจะใช้ Cookie Session ที่ได้มานี้เพื่อลงชื่อเข้าใช้ไซต์ในฐานะผู้ใช้งานได้

นอกจากนี้ EvilProxy ยังมีระบบ anti-analysis และ anti-bot เพื่อป้องกันนักวิจัยด้านความปลอดภัยวิเคราะห์พฤติกรรมของมันอีกด้วย

จากการตรวจสอบเพิ่มเติมจาก Resecurity พบว่า EvilProxy มี GUI ที่ใช้งานง่าย และมีหลายแพ็คเกจให้เลือกใช้งาน เช่น แพ็คเกจขโมย Cookie Session ราคาเริ่มต้นที่ 150 ดอลลาร์สำหรับ 10 วัน, 250 ดอลลาร์สำหรับ 20 วัน หรือ 400 ดอลลาร์สำหรับ 1 เดือน นอกจากนี้ยังมีฟังก์ชันอื่นๆ เช่น ขโมยบัญชี Google โดยราคาจะเพิ่มขึ้นตามฟังก์ชันที่เลือก ล่าสุดยังมีรายงานว่า EvilProxy ได้อัพโหลดวิดิโอสอนการใช้งานอย่างละเอียดให้กับลูกค้า ทำให้ผู้ไม่หวังดีที่ไม่มีทักษะก็สามารถโจมตีผู้อื่นได้เช่นกัน

IOC

ที่มา : resecurity , bleepingcomputer

กลุ่มแฮ็กเกอร์ TA558 เพิ่มวิธีการโจมตีรูปแบบใหม่ในปีนี้ โดยการใช้แคมเปญฟิชชิ่งที่กำหนดเป้าหมายเป็นกลุ่มธุรกิจโรงแรม และบริษัทหลายแห่งในด้านการบริการ และการท่องเที่ยว

แฮ็กเกอร์ใช้ remote access trojans (RATs) ในการเข้าถึงระบบเป้าหมาย เพื่อขโมยข้อมูลสำคัญ และขโมยเงินจากเหยื่อ โดยกลุ่ม TA558 ถูกพบพฤติกรรมครั้งแรกตั้งแต่ปี 2018 แต่เมื่อเร็วๆ Proofpoint พบว่ากลุ่มดังกล่าวมีปริมาณการโจมตีที่สูงขึ้น ซึ่งอาจเชื่อมโยงกับการฟื้นตัวของการท่องเที่ยวหลังจาก COVID-19

แคมเปญของกลุ่ม TA558 ล่าสุด
ในปี 2022 กลุ่ม TA558 ได้เปลี่ยนจากการใช้มาโครในไฟล์เอกสารอีเมลฟิชชิ่ง มาเป็นใช้ไฟล์แนบในรูปแบบ RAR และ ISO หรือ URL ที่ฝังอยู่ในข้อความ

แฮ็กเกอร์รายอื่นๆ ก็มีการเปลี่ยนมาใช้รูปแบบดังกล่าวมากขึ้นเช่นเดียวกัน เนื่องจาก Microsoft มีการบล็อก block VBA และ XL4 macros ใน Office เป็นค่าเริ่มต้น

อีเมลฟิชชิ่งที่ถูกใช้ในการโจมตีจะมีข้อความเป็นภาษาอังกฤษ, สเปน และ โปรตุเกส โดยจะกำหนดเป้าหมายไปยังบริษัทในอเมริกาเหนือ, ยุโรปตะวันตก และละตินอเมริกา

หัวข้ออีเมลจะเกี่ยวกับการจองโรงแรม และบริการกับบริษัทท่องเที่ยว โดยอ้างว่ามาจากผู้จัดประชุม, ตัวแทนสำนักงานท่องเที่ยว และอื่นๆ ที่ผู้รับอาจให้ความสนใจ เมื่อเหยื่อคลิก URL ในเนื้อหาข้อความซึ่งระบุว่าเป็นลิงก์การจอง มันจะทำการดาวน์โหลดไฟล์ ISO มาจากเซิร์ฟเวอร์ภายนอก

ภายในไฟล์ ISO จะมีไฟล์แบตช์ที่จะเรียกใช้สคริปต์ PowerShell เพื่อโหลด RAT ลงมาติดตั้งบนคอมพิวเตอร์ของเหยื่อ และสร้าง scheduled task เพื่อให้มีนสามารถแฝงตัวอยู่บนระบบได้อย่างต่อเนื่อง

หลังจากติดตั้ง RAT แล้ว กลุ่ม TA558 จะเจาะเข้าไปในเครือข่ายของเหยื่อเพื่อขโมยข้อมูลลูกค้า, ข้อมูลบัตรเครดิต และเปลี่ยนแปลงเว็บไซต์ที่เกี่ยวข้องกับการชำระเงิน

ในเดือนกรกฎาคม พ.ศ. 2565 The Marino Boutique Hotel ในเมืองลิสบอน ประเทศโปรตุเกส ถูกแฮ็กบัญชี Booking.

Twitter เจอกับปัญหาข้อมูลรั่วไหล หลังจากที่มีผู้โจมตีประกาศขายข้อมูลที่มีหมายเลขโทรศัพท์ และที่อยู่อีเมลของผู้ใช้งานกว่า 5.4 ล้านบัญชี โดยข้อมูลนี้ได้ถูกประกาศขายลงใน Darkweb ในราคา 30,000 ดอลลาร์สหรัฐ

เมื่อวันที่ 21 กรกฎาคม ที่ผ่านมามีผู้ใช้งาน Darkweb ชื่อว่า “Devil” ได้ประกาศในฟอรั่มของตัวเองว่าฐานข้อมูลที่ขโมยมาได้นั้นมีข้อมูลเกี่ยวกับบัญชีต่าง ๆ รวมถึงคนดัง บริษัทต่าง ๆ และผู้ใช้รายอื่น ๆ แบบสุ่ม

BleepingComputer สอบถามไปยังแฮ็กเกอร์ผู้ประกาศขายข้อมูลได้ระบุว่าพวกเขาใช้ช่องโหว่ในการรวบรวมข้อมูลมาตั้งแต่เดือนธันวาคม 2564 และตอนนี้ข้อมูลที่พวกเขาเสนอขายในราคา 30,000 ดอลลาร์สหรัฐ ก็มีผู้ที่สนใจติดต่อมาแล้ว

ช่องโหว่นี้ได้ถูกพบโดยผู้ใช้ HackerOne ที่มีชื่อว่า “zhirinovskiy” และได้ส่งรายงานช่องโหว่ให้กับทาง Twitter ตั้งแต่เมื่อวันที่ 1 มกราคม ที่ผ่านมา และหลังจากที่มีการโพสน์รายงานช่องโหว่หลังจากนั้น 5 วัน ทาง Twitter ได้มีการแก้ไขช่องโหว่ดังกล่าวแล้ว และได้ให้รางวัล Bugbounty กับ zhirinovskiy เป็นเงิน 5,040$

ลักษณะการโจมตี

ในส่วนของวิธีการโจมตีนั้น ได้มีการใช้ช่องโหว่ที่ผู้โจมตีสามารถค้นหาบัญชีผู้ใช้ Twitter ได้จากหมายเลขโทรศัพท์ หรืออีเมล ถึงแม้ว่าผู้ใช้จะปิดฟังก์ชั่นนี้ในตัวเลือกความเป็นส่วนตัว (Privacy option) แล้วก็ตาม โดยช่องโหว่นี้เกิดขึ้นเฉพาะกับ Android client ของ Twitter

ซึ่งทาง zhirinovskiy ก็ได้บอกถึงขั้นตอน และวิธีการโจมตีโดยทำการทดสอบให้ดูดังนี้

ก่อนที่จะเริ่มทำการทดลองให้ทำการ Disable discoverability ในการตั้งค่าบัญชี Twitter ก่อน

1. ในขั้นตอนแรกจะทำการสร้าง LoginFlow โดยส่งคำขอ POST ไปที่ hxxps://api.

ผู้เชี่ยวชาญจาก TrustWave ตรวจพบการโจมตีในรูปแบบของ Facebook Messenger Chatbots เพื่อขโมย Credentials ของเป้าหมายที่ใช้สำหรับจัดการ Page ต่างๆ  ซึ่งปกติ Chatbots เป็นโปรแกรมที่ถูกพัฒนาสำหรับช่วยเหลือผู้ใช้งาน มักถูกใช้เพื่อตอบคำถามง่ายๆ หรือคัดแยกผู้ใช้งานก่อนที่จะถูกส่งไปยังพนักงานจริง

ลักษณะการทำงาน

การโจมตีแบบ Phishing เริ่มต้นด้วยผู้โจมตีทำการส่งอีเมลแจ้งผู้รับว่า Facebook Page ของพวกเขาละเมิดต่อมาตรฐานชุมชน โดยให้เวลา 48 ชั่วโมงในการอุทธรณ์คำตัดสิน มิฉะนั้นเพจของพวกเขาจะถูกลบ และทำการแนบลิงค์ "Appeal Now" ให้ผู้ใช้งานกดเพื่อเข้าไปหน้า Chatbots

เมื่อผู้ใช้งานเข้าลิงค์มา จะปรากฎหน้า Messenger ของ Chatbots ที่ปลอมตัวเป็นเจ้าหน้าที่ฝ่ายสนับสนุนลูกค้าของ Facebook แต่หน้า Page Facebook ที่เชื่อมโยงกับ Chatbots เป็นหน้าธุรกิจทั่วไปที่มีผู้ติดตามเป็นศูนย์และไม่มีโพสต์

ต่อมา Chatbots จะส่งปุ่ม "Appeal Now" ให้กับผู้ใช้งาน Messenger ซึ่งจะนำพาไปยังเว็บไซต์ที่ปลอมเป็น "Facebook Support Inbox" แต่ URL ไม่ใช่โดเมนของ Facebook
หน้า Facebook Support Inbox ปลอมจะเป็นกล่องข้อความให้ผู้ใช้งานกรอกที่อยู่อีเมล ชื่อเต็ม ชื่อเพจ และหมายเลขโทรศัพท์ หากกดปุ่ม Submit จะมีหน้าต่าง Pop-Up ขึ้นมาให้กรอกรหัสผ่านเพื่อเข้าสู่ขั้นตอนต่อไป

หลังจากใส่รหัสผ่านแล้ว ผู้ใช้งานจะถูกเปลี่ยนเส้นทางไปยังหน้า 2FA ปลอม ซึ่งมีหน้าให้กรอก OTP ที่ได้รับทาง SMS ตามหมายเลขโทรศัพท์ที่ระบุไว้ จากนั้นมันจะทำการเลี่ยนเส้นทางไปยังหน้า Facebook จริงที่เกี่ยวข้องกับการละเมิดของผู้ใช้งานด้านทรัพย์สินทางปัญญา และลิขสิทธิ์

เนื่องจากครั้งนี้เป็นการโจมตีแบบ Phishing จากระบบอัตโนมัติที่ส่งหาเป้าหมายจำนวนมาก และไม่ได้ระบุว่าเป้าหมายเป็นใคร ทำให้มีผู้หลงกลจำนวนมาก นอกจากนี้การตรวจจับก็เป็นไปได้ยาก เนื่องจากปัจจุบันไซต์จำนวนมากใช้ AI และ Chatbots เป็นส่วนหนึ่งของหน้าสนับสนุน ทำให้ดูเหมือนเป็นเรื่องปกติกับผู้ใช้งาน

แนวทางการป้องกัน

ไม่เปิดหรือคลิกลิงค์บนอีเมลจากผู้ส่งที่ไม่รู้จัก
ตรวจสอบ URL ทุกครั้งบนหน้าเว็บที่มีการร้องขอข้อมูลการเข้าสู่ระบบ
ติดตามข่าวสารอย่างสม่ำเสมอ

ที่มา : bleepingcomputer

Qbot เริ่มนำช่องโหว่ Windows MSDT zero-day มาใช้ในการโจมตีแบบฟิชชิ่ง

ช่องโหว่ Zero-day ของ Windows หรือที่รู้จักในชื่อ Follina ซึ่งปัจจุบันยังไม่ได้รับการแก้ไขจาก Microsoft ถูกนำไปใช้ประโยชน์ด้วยการโจมตีผ่านทางอีเมลล์ฟิชชิ่งที่มีไฟล์แนบที่เป็นอันตรายซึ่งจะทำให้เหยื่อติดมัลแวร์ Qbot

Proofpoint รายงานเมื่อวันจันทร์ว่ามีการใช้ zero-day ดังกล่าวมาใช้โจมตีในรูปแบบฟิชชิ่ง ซึ่งกำหนดเป้าหมายไปยังหน่วยงานรัฐบาลของสหรัฐอเมริกา และสหภาพยุโรป

โดยเมื่อสัปดาห์ที่ผ่านมา บริษัทผู้เชี่ยวชาญด้านความปลอดภัยทางไซเบอร์พึ่งจะเปิดเผยว่าพบกลุ่มแฮ็คเกอร์ TA413 ของจีนใช้ประโยชน์จากช่องโหว่ดังกล่าวในการโจมตีที่กำหนดเป้าหมายไปยังชาวทิเบตเช่นเดียวกัน

ตามรายงานที่นักวิจัยด้านความปลอดภัยของ Proofpoint ได้เผยแพร่ในวันนี้พบว่ากลุ่ม TA570 ได้เริ่มใช้เอกสาร Microsoft Office .docx ที่เป็นอันตรายเพื่อโจมตีโดยใช้ช่องโหว่ Follina CVE-2022-30190 และทำให้เหยื่อติดมัลแวร์ Qbot

ผู้โจมตีใช้วิธีการแนบไฟล์ HTML ไปในอีเมล ซึ่งหากเหยื่อคลิกเปิดไฟล์ มันจะทำการดาวน์โหลดไฟล์ ZIP ที่มีไฟล์ IMG อยู่ภายใน และภายไฟล์ IMG จะประกอบไปด้วยไฟล์ DLL, Word และ shortcut files

ซึ่งไฟล์ shortcut จะโหลด Qbot DLL ที่มากับไฟล์ IMG ส่วนไฟล์ .docx จะเชื่อมต่อกับเซิร์ฟเวอร์ภายนอกเพื่อโหลดไฟล์ HTML ที่ใช้ประโยชน์จากช่องโหว่ Follina เพื่อเรียกใช้โค้ด PowerShell ที่จะดาวน์โหลด และรัน Qbot DLL อีกตัวหนึ่ง

เป็นอีกครั้งในปีนี้ที่เครือข่ายของ Qbot พยายามเปลี่ยนวิธีการโจมตี โดยครั้งแรกในช่วงเดือนกุมภาพันธ์ มันจะใช้กลอุบายที่เก่าที่เรียกว่า Squibbledoo เพื่อแพร่กระจายมัลแวร์ผ่านเอกสาร Microsoft Office โดยใช้ regsvr32.exe

อีกครั้งในเดือนเมษายน หลังจากที่ Microsoft เริ่มเปิดตัวฟีเจอร์ VBA macro autoblock สำหรับผู้ใช้ Office บน Windows กลุ่มแฮ็คเกอร์จึงหยุดใช้เอกสาร Microsoft Office ที่มีมาโครที่เป็นอันตราย และเปลี่ยนเป็นไฟล์แนบไฟล์ ZIP ที่ใส่รหัสผ่าน ที่ภายในมีตัวติดตั้งแบบ MSI Windows Installer แทน

Qbot คืออะไร?

Qbot (หรือที่รู้จักว่า Qakbot, Quakbot และ Pinkslipbot) เป็นมัลแวร์บน Windows ที่ถูกใช้เพื่อขโมยข้อมูลธนาคาร และด้วยความสามารถของมันที่แพร่กระจายบนระบบในลักษณะ worm ทำให้มันสามารถแพร่กระจายไปบนเครือข่ายของเหยื่อได้เป็นจำนวนมากผ่านการโจมตีด้วยวิธีการ brute-force บัญชีผู้ดูแลระบบบน Active Directory

มัลแวร์นี้ถูกใช้มาตั้งแต่ปี 2550 เพื่อเก็บข้อมูลธนาคาร, ข้อมูลส่วนบุคคล, ข้อมูลทางการเงิน และเป็นแบ็คดอร์เพื่อแอบติดตั้ง Cobalt Strike beacons

บริษัทในเครือ Ransomware ที่เชื่อมโยงกับการดำเนินการในลักษณะ Ransomware as a Service (RaaS) (รวมถึง REvil, PwndLocker, Egregor, ProLock และ MegaCortex) ต่างก็ใช้ Qbot เพื่อเข้าถึงเครือข่ายองค์กร

ที่มา: www.

Ransomware Quantum เป็นสายพันธุ์ที่ค้นพบครั้งแรกในเดือนสิงหาคม พ.ศ. 2564 โดยพบว่าเป็นวิธีการโจมตีที่รวดเร็ว และทวีความรุนแรงขึ้นอย่างมาก เนื่องจากทำให้ทีม Security มีเวลาตอบสนองเพียงเล็กน้อยเท่านั้น

ผู้โจมตีกำลังใช้มัลแวร์ IcedID ในการทำเรื่อง Initial Access ซึ่งเป็นหนึ่งใน Attack Vectors ที่ใช้เพื่อติดตั้ง Cobalt Strike สำหรับการเข้าถึงจากระยะไกล และนำไปสู่การขโมยข้อมูล และการเข้ารหัสโดยใช้ Quantum Locke

รายละเอียดทางเทคนิคของการโจมตีของ Quantum ransomware ได้รับการวิเคราะห์โดยนักวิจัยด้านความปลอดภัยที่ The DFIR Report ซึ่งกล่าวว่าการโจมตีใช้เวลาเพียง 3 ชั่วโมง 44 นาทีตั้งแต่การโจมตีครั้งแรกไปจนถึงการเข้ารหัสที่เสร็จสมบูรณ์

(more…)

Static Web Apps เป็นบริการของ Microsoft Azure ที่นักพัฒนาสามารถใช้สำหรับสร้าง และให้บริการเว็บโฮสติ้งสำหรับเนื้อหาต่างๆบนเว็บเพจ

นักวิจัยด้านความปลอดภัยจาก MalwareHunterTeam พบว่าฟีเจอร์ในการสร้าง branding และ web hosting สามารถทำให้ผู้โจมตีใช้เป็นหน้า landing pages ของฟิชชิ่งได้ เนื่องจาก static web apps จะได้รับ TLS certificate ที่ถูกต้องจาก wildcard domain .1.azurestaticapps.