Bitwarden โปรแกรมจัดการรหัสผ่าน ตกเป็นเป้าหมายของแคมเปญฟิชชิ่งผ่านโฆษณาของ Google

Bitwarden และผู้ให้บริการแอปพลิเคชันจัดการรหัสผ่านอื่น ๆ กำลังตกเป็นเป้าหมายในแคมเปญฟิชชิงผ่านโฆษณาของ Google เพื่อขโมยข้อมูลส่วนตัวของผู้ใช้งาน

เนื่องจากปัจจุบันองค์กรต่าง ๆ ต้องมีการใช้รหัสผ่านจำนวนมากบนระบบ จึงทำให้มีความจำเป็นต้องใช้โปรแกรมจัดการรหัสผ่าน โดยนอกจาก KeePass ที่มีการเก็บข้อมูลแบบ Local แล้ว โปรแกรมจัดการรหัสผ่านส่วนใหญ่จะใช้ระบบคลาวด์ ซึ่งทำให้ผู้ใช้งานสามารถเข้าถึงรหัสผ่านผ่านเว็ปไซต์ และแอปพลิเคชันบนมือถือได้ (more…)

ผู้ไม่หวังดีหันมาใช้โอเพ่นซอร์สอย่าง Silver แทน C2 Frameworks ยอดนิยมอย่าง Cobalt Strike และ Metasploit

Silver เป็น command-and-control framework ที่ถูกสร้างขึ้นเพื่อใช้ทำ penetration testers (ทดสอบเจาะระบบ) ที่กำลังได้รับความสนใจจากกลุ่มผู่ไม่หวังดีมากขึ้น เพื่อใช้เป็นเครื่องมือทางเลือกแทน Cobalt Strike และ Metasploit ซึ่งเหตุการณ์นี้ถูกพบโดย Cybereason เมื่อสัปดาห์ที่ผ่านมา

(more…)

BitRAT malware ใช้ข้อมูลที่ขโมยมาจากธนาคารโคลอมเบียในการโจมตีแบบ Phishing

Qualys บริษัทด้านความปลอดภัยทางไซเบอร์รายงานการพบ BitRAT malware ได้นำข้อมูลที่ขโมยมาของลูกค้าธนาคารในโคลอมเบียมาใช้ในการโจมตีด้วย Email Phishing เพื่อทำการติดตั้ง BitRAT malware ซึ่งเป็นโทรจันที่ใช้ในการควบคุม และสั่งการจากระยะไกล (Remote Access Trojan) รวมไปถึงยังมีความสามารถในการโจมตีเป้าหมายได้หลากหลายวิธี เช่น การบันทึกวิดีโอ และเสียง, การโจรกรรมข้อมูล, การโจมตีแบบ DDoS, การขุด cryptocurrency และการส่ง payload ของการโจมตีอื่น ๆ เพิ่มเติม

การโจมตีของ BitRAT

BitRAT malware จะถูกส่งไปยังคอมพิวเตอร์ของเหยื่อผ่านทางไฟล์ Excel ซึ่งฝัง macro ที่เป็นอันตรายไว้ภายใน เมื่อเหยื่อเปิดไฟล์ขึ้นมา มันจะเรียกใช้ไฟล์ INF ที่ถูกเข้ารหัสไว้ และทำการดาวน์โหลด payload จาก GitHub repository โดยใช้ไลบรารี WinHTTP บนเครื่องที่ถูกโจมตี และดำเนินการด้วยฟังก์ชัน WinExec รวมถึงการย้ายตัวดาวน์โหลดไปยัง Windows startup โฟลเดอร์ เพื่อให้มันสามารถแฝงตัวอยู่บนเครื่องเหยื่อ และทำงานได้อีกครั้งโดยอัตโนมัติหากมีการรีบูตระบบ (Persistence)

โดย BitRAT malware ถูกพบตั้งแต่เดือนสิงหาคม 2020 และได้ถูกนำมาประกาศขายบน dark web ในราคาเพียง $20 ซึ่งสามารถใช้งานได้ตลอดไป โดยพบว่ามีกลุ่ม Hackers นำมัลแวร์ดังกล่าวมาประยุกต์ใช้ร่วมกับวิธีการโจมตีของตัวเอง เช่น phishing, watering holes และ Remote Access Trojan

 

ที่มา : bleepingcomputer

Agenda Ransomware เปลี่ยนมาใช้ภาษา Rust ในการโจมตี โดยมีเป้าหมายซึ่งเป็นหน่วยงานพื้นฐานที่สำคัญ พบประเทศไทยคือหนึ่งในเป้าหมาย

นักวิจัยจาก Trend Micro ได้เปิดเผยข้อมูลการพบกลุ่ม Agenda Ransomware เปลี่ยนมาใช้ภาษา Rust ในการโจมตีเป้าหมายในลักษณะ Cross-Platform Malware โดยก่อนหน้านี้ ได้พบการโจมตีด้วยวิธีเดียวกันนี้จากกลุ่ม BlackCat, Hive, Luna, และ RansomExx.

Emotet Malware กลับมาอยู่ภายใต้ความสนใจของนักวิจัยอีกครั้ง

Emotet เป็น Trojan Banking ที่เคยประสบความสำเร็จ และได้รับความนิยมอย่างมากมาก่อน ซึ่งในช่วงต้นปี 2021 นั้น มีการรณรงค์ให้มีการป้องกัน Malware ดังกล่าว ทำให้ Campaign ของการโจมตีหยุดชะงักไปช่วงหนึ่ง แต่ Emotet ก็กลับมาอีกครั้งในปีเดียวกัน พร้อมกับเทคนิคหลาย ๆ อย่างแบบเดิม รวมถึงเทคนิคการใช้ Auto_Open Macros ภายใน XLS document ที่พบมากขึ้นในช่วงต้นเดือนพฤศจิกายน 2022 ที่ผ่านมานี้ ซึ่งกำลังถูกแพร่กระจายไปยังหลาย ๆ ประเทศทั่วโลก

เทคนิคการโจมตี

ในช่วงเริ่มต้นการโจมตี Emotet จะมีการส่งไฟล์ MS Office ที่เป็นอันตราย (maldocs) ผ่านทาง Phishing Email โดยในการส่ง Malware จะมีการแนบไฟล์ XLS มากับอีเมลโดยตรง หรือมาในรูปแบบ file Zip ซึ่งภายใน Phishing Email นั้นจะไม่ค่อยมีเนื้อหาอะไร โดยส่วนใหญ่ที่พบจะมีเพียงชื่อไฟล์ และรหัสผ่านเท่านั้น
โดยในการส่ง Phishing เข้ามา มักจะมาในรูปแบบของผู้ส่งใหม่ หรืออาจจะมาในรูปแบบ Reply email จากเหยื่อที่ถูกโจมตีสำเร็จก่อนหน้า ตามภาพด้านล่าง

จากนั้น Emotet จะโน้มน้าวให้เหยื่อคัดลอกตัว maldoc นี้ ไปยังโฟลเดอร์ที่ได้รับอนุญาตเป็นพิเศษ ที่ไม่ได้มีการเปิดใช้งานการป้องกัน Macro ไว้ เพื่อหลีกเลี่ยงการตรวจจับจาก Microsoft’s protection ดังรูปด้านล่าง ที่จะมีการแนะนำให้ย้ายไฟล์ดังกล่าวไปโฟลเดอร์ที่ Emotet ได้ระบุไว้

และหากเหยื่อหลงเชื่อเอาไฟล์ดังกล่าวไปไว้ตามคำแนะนำของ Emotet แล้ว หลังจากเปิดไฟล์ขึ้นมา จะไม่มีข้อความเกี่ยวกับ Macro ที่ถูกบล็อคอยู่อีกต่อไป ซึ่งหลังจากนี้ไฟล์ที่เปิดขึ้นมาจะไม่มีข้อจำกัดใด ๆ ในการรัน Macro

หลังจากเปิดเอกสารขึ้นมาแล้วอาจจะดูเหมือนว่าภายในเอกสารนั้นไม่มีอะไร แต่ว่าเบื้องหลังนั้นมี VBA macro ซ่อนอยู่ ซึ่งจะมีที่อยู่ของ C2 Server ของ Emotet อยู่ ซึ่งสามารถตรวจสอบได้โดยการยกเลิกการซ่อน sheets (Un-hiding) และคัดลอกข้อความไปวางบน Text Editor เราก็จะเห็นเนื้อหาที่ซ่อนอยู่บน sheets นั้น ๆ ได้ตามภาพด้านล่าง

หลังจากที่เปิดไฟล์เอกสารขึ้นมา จะมีการ request ไปยัง 1 ใน URL จากรูปด้านบน ซึ่งจะเห็นว่าวิธีการดังกล่าวจะเหมือนกับวิธีของ Malware ตัวอื่น ๆ ที่ใช้ในอดีต เช่น Qakbot ซึ่งจะใช้ไฟล์ XLSB และเมื่อมีการเชื่อมต่อไปยังปลายทางข้างต้นแล้ว มันจะทำการดาวน์โหลดไฟล์ตามชื่อในภาพด้านบน ไปวางไว้บน C:\\Window\System32

จาก TimeStamp จะพบว่าไฟล์เอกสารพวกนี้ถูกสร้างขึ้นในช่วงต้นเดือนพฤศจิการยน 2022 ที่ผ่านมา ดังเช่นตัวอย่างของ maldoc ด้านล่างที่ได้จัดกลุ่มตามช่วงเวลาที่สร้างขึ้นมา

แนวทางการป้องกัน

พิจารณาการเพิ่ม IOC บนอุปกรณ์ Firewall
ติดตั้ง Anti-Virus หรือ Endpoint Protection บนเครื่องคอมพิวเตอร์ภายในองค์กรเพื่อป้องกันการเปิดไฟล์ที่เป็นอันตราย
พิจารณาการจัด Awareness Training ให้กับพนักงานภายในองค์กร

ที่มา : blog.

QBot ใช้ช่องโหว่ zero-day บน Windows เพื่อ bypass Mark of the Web (MoTW) ฟีเจอร์ และติดตั้งมัลแวร์ลงบนเครื่องเหยื่อได้

พบการโจมตีแบบ phishing รูปแบบใหม่ โดยการใช้ช่องโหว่ Zero-day บน Windows เพื่อแพร่กระจายมัลแวร์ Qbot โดยทำให้ Windows ไม่แสดงคำเตือนด้านความปลอดภัย (Mark of the Web) เมื่อผู้ใช้งานพยายามเปิดไฟล์ ซึ่งโดยปกติ Windows จะแสดงคำเตือนลักษณะดังกล่าวเมื่อมีการเปิดไฟล์ที่ต้องสงสัยที่ถูกดาวน์โหลดมาจากอินเทอร์เน็ต หรือจากไฟล์แนบในอีเมล ซึ่งจะถูกเรียกว่า Mark of the Web (MoTW)

เมื่อเดือนที่ผ่านมา ทีมข่าวกรองด้านภัยคุกคามของ HP รายงานว่ามีการโจมตีแบบ phishing ที่ใช้แพร่กระจายมัลแวร์เรียกค่าไถ่ Magniber โดยการใช้ไฟล์ JavaScript

โดยไฟล์ JavaScript เหล่านี้ไม่ใช่ไฟล์ในลักษณะที่ใช้กันทั่วไปในเว็บไซต์ แต่ไฟล์ .JS ที่ถูกใช้โดยผู้โจมตีเป็นไฟล์แบบสแตนด์อโลนที่มีนามสกุล '.JS' ที่จะถูกเรียกใช้งานโดย Windows Script Host (wscript.

Cuba ransomware มุ่งเป้าโจมตีหน่วยงานรัฐบาลของยูเครน

ทีมรับมือเหตุฉุกเฉินทางคอมพิวเตอร์ของประเทศยูเครน (CERT-UA) ได้แจ้งเตือนเกี่ยวกับการโจมตีของ Cuba Ransomware ที่อาจเกิดขึ้นกับระบบที่สำคัญในประเทศ

ตั้งแต่วันที่ 21 ตุลาคม CERT-UA สังเกตเห็นการโจมตีรูปแบบใหม่ของอีเมลฟิชชิ่งที่แอบอ้างเป็นบริการของกองทัพยูเครน เพื่อหลอกให้ผู้ใช้งานคลิก Link เพื่อติดตั้งมัลแวร์

อีเมลที่แพร่กระจายไปทั่วยูเครน (CERT-UA)

จากอีเมล์ที่ส่งมาจะมี Link ที่หลอกให้ผู้ใช้งานคลิกเพื่อดาวน์โหลดเอกสารชื่อ "Наказ_309.pdf" โดยจะแสดงการแจ้งเตือนปลอมที่ระบุว่าจำเป็นต้องอัปเดตซอฟต์แวร์สำหรับเปิดอ่าน PDF ก่อน

เว็บไซต์จะหลอกให้ผู้ใช้คลิกที่ปุ่ม "ดาวน์โหลด" ซึ่งจะนำไปสู่การดาวน์โหลดไฟล์ปฏิบัติการ ("AcroRdrDCx642200120169_uk_UA.exe") ที่คล้ายกับโปรแกรมติดตั้ง Acrobat Reader

โดยไฟล์ติดตั้ง และเรียกใช้ไฟล์ DLL "rmtpak.

พบแอปพลิเคชันปลอมของธนาคารอินเดีย ที่กำหนดเป้าหมายไปยังผู้ใช้งาน Android โดยการใช้มัลแวร์ขโมยข้อมูล

แคมเปญฟิชชิ่งทาง SMS มุ่งเป้าการโจมตีไปยังลูกค้าของธนาคารอินเดีย โดยการปลอมเป็นแอปพลิเคชันของธนาคารเพื่อที่จะใช้มัลแวร์ในการขโมยข้อมูล

ทีมนักวิจัยจาก Microsoft 365 Defender ระบุว่า ข้อความฟิชชิ่งจะมีลิงก์ที่เปลี่ยนเส้นทางของผู้ใช้งานไปยังเว็บไซต์ที่จะทำให้ผู้ใช้งานดาวน์โหลดแอปพลิเคชันปลอมของธนาคาร ICICI Bank

นักวิจัย Shivang Desai, Abhishek Pustakala และ Harshita Tripathi ระบุว่า "ความสามารถของมัลแวร์ทำให้ผู้โจมตีสามารถดักจับการแจ้งเตือนที่สำคัญของอุปกรณ์ เช่น ข้อความเข้า ซึ่งเป็นความพยายามในการดักจับข้อความจาก two-factor authentication (2FA)

รูปแบบการโจมตีเป็นรูปแบบเดียวกันกับ Social Engineering โดยปกติ เช่นใช้โลโก้ และชื่อแบรนด์ที่คุ้นเคย เพื่อหลอกให้ผู้ใช้งานติดตั้งแอปพลิเคชันปลอม

การโจมตีนี้เกิดขึ้นในลักษณะเดียวกันกับการเผยแพร่แอปธนาคารปลอมที่เกิดขึ้นกับธนาคารอินเดียอื่น ๆ เช่น State Bank of India (SBI) และ Axis Bank ในอดีต

เมื่อติดตั้งแล้ว แอปพลิเคชันปลอมไม่เพียงแต่ขอการอนุญาตในการเข้าถึงบัญชี แต่ยังขอให้ผู้ใช้งานป้อนข้อมูลบัตรเครดิต/เดบิตของตนซึ่งเป็นส่วนหนึ่งของกระบวนการลงชื่อเข้าใช้ ซึ่งในขณะนั้นโทรจันจะรอคำสั่งเพิ่มเติมจากผู้โจมตี

คำสั่งเหล่านี้จะทำให้มัลแวร์สามารถรวบรวมข้อมูลของระบบ บันทึกการโทร ดักจับการโทร ตลอดจนขโมยข้อมูลประจำตัวสำหรับบัญชีอีเมล เช่น Gmail, Outlook และ Yahoo

ที่มา : thehackernews

พบเทคนิคการโจมตีแบบหลายขั้นตอนเพื่อขโมยข้อมูลของเป้าหมาย

พบการโจมตีทางไซเบอร์แบบหลายขั้นตอนที่ไม่ค่อยได้พบเห็นมาก่อน ซึ่งจะมีการพยายามหลอกให้ผู้ใช้เล่น Malicious Video และหลังจากนั้นก็จะนำผู้ใช้งานไปยังหน้า Microsoft ที่ปลอมขึ้นมาเพื่อใช้ในการขโมย credentials

บริษัท Perception Point ได้เผยแพร่รายงานเกี่ยวกับแคมเปญ Phishing ให้เห็นว่าการโจมตีจะเริ่มต้นจากอีเมลใบแจ้งหนี้จากบริษัทรักษาความปลอดภัยทางด้านการสื่อสารของอังกฤษ (Egress) โดยอีเมลนั้นมาจากผู้ส่งที่ถูกต้องของ Egress ซึ่งอาจเป็นไปได้ว่าพนักงานรายนั้นโดนแฮ็กเกอร์ Take over Email ไปเรียบร้อยแล้ว และนำมาใช้ในการโจมตีแบบ Phishing email

สรุปรายละเอียดการโจมตี

แฮ็กเกอร์ได้มีการเข้าควบคุมอีเมลของหนึ่งในพนักงานของบริษัทรักษาความปลอดภัยทางด้านการสื่อสารของอังกฤษ (Egress)
จากนั้นจะทำการส่งอีเมลโดยมีใจความว่าเป็นใบ invoice จาก Egress
เมื่อเหยื่อทำการคลิกที่ไฟล์นั้นจะถูก Redirect ไปที่ Powtoon ที่เป็น Video-Platform เพื่อเล่น Video ที่เป็นอันตราย
เมื่อ Video เล่นเสร็จจะนำไปยังหน้า Microsoft ที่มีการปลอมแปลงขึ้นมาเพื่อขโมยข้อมูลของเหยื่อ

ค่อนข้างเป็นที่แน่ชัดว่าเป็น account takeover แน่นอน เนื่องจากว่าอีเมลมีลายเซ็นของพนักงานจาก Egress ที่ถูกต้อง และอีเมลนั้นผ่านการตรวจสอบสิทธิ์อีเมลตามมาตรฐาน (SPF: Sender Policy Framework) และถูกส่งมาจาก Microsoft Outlook ทำให้มีความน่าเชื่อถือสูง และการโจมตีนี้จะเป็นอันตรายมากขึ้น หากผู้รับนั้นรู้จักผู้ส่ง ซึ่งจะทำให้ผู้รับนั้นเกิดความไว้วางใจ และไม่เกิดความสงสัย

แนวทางการป้องกัน

ไม่ควรใช้อีเมลของบริษัทไปทำการสมัครบริการต่าง ๆ ที่นอกเหนือจากการใช้งานของบริษัท
สร้าง Awareness ให้กับพนักงาน
ติดตามข่าวสารอยู่อย่างสม่ำเสมอ

ที่มา : darkreading

Lampion malware กลับมาอีกครั้งด้วย WeTransfer phishing

Lampion Malware กลับมาแพร่กระจายในจำนวนมากอีกครั้ง ผ่านแคมเปญฟิชชิ่งโดยการใช้ WeTransfer

WeTransfer เป็นบริษัท File-Share ที่เป็นที่รู้จัก และสามารถใช้งานได้ฟรี ดังนั้นผู้โจมตีไม่ต้องลงทุนหาวิธีในการหลีกเลี่ยงการตรวจจับจากซอฟแวร์ด้านความปลอดภัย เมื่อมีการแนบ URL ของ WeTransfer มาใน Email

จากรายงานของบริษัทด้าน Email Security อย่าง Cofense ระบุว่า Lampions ได้ส่ง Phishing Email จากบัญชีบริษัทที่ถูกโจมตี และโน้มน้าวให้ผู้ใช้งานทำการดาวน์โหลดเอกสาร "หลักฐานการชำระเงิน" จาก WeTransfer

เมื่อทำการดาวน์โหลด ไฟล์ที่เป้าหมายได้รับจะเป็น ZIP file ที่มี File VBS(Virtual Basic script) อยู่ด้วย และเหยื่อจะต้องเปิดไฟล์เพื่อดำเนินการต่อไป

จากนั้น WScript จะสร้าง VBS ไฟล์มาทั้งหมด 4 ไฟล์ ด้วยการสุ่มชื่อ โดยไฟล์แรกจะเป็นไฟล์เปล่า ๆ ไฟล์ที่ 2 จะมี function การทำงานเล็กน้อย ไฟล์ที่ 3 จะใช้เพื่อรัน script ของไฟล์ที่ 4

นักวิเคราะห์ของ Cofense ระบุว่ามีขั้นตอนพิเศษบางอย่างที่ยังไม่ชัดเจน แต่การโจมตีในลักษณะแยกส่วนแบบนี้เพื่อทำให้ผู้โจมตีสามารถสลับไฟล์ที่ใช้ได้ง่าย

script ไฟล์ที่ 4 นั้น จะทำการเปิด WScript ใหม่เพื่อเชื่อมต่อกลับไปยัง URL hardcode สองรายการ เพื่อไปดึงไฟล์ DLL สองไฟล์ที่ซ่อนอยู่ภายในไฟล์ ZIP ที่ใส่รหัสผ่าน โดย URL จะชี้ไปที่ instances บน Amazon AWS

รหัสผ่านของไฟล์ ZIP นั้นคือ hardcode ที่อยู่ภายใน script ทำให้การแตกไฟล์นั้นไม่จำเป็นต้องให้เหยื่อดำเนินการ จากนั้น DLL payload จะถูกโหลดลงใน memory ทำให้ Lampion สามารถดำเนินการอย่างเงียบ ๆ ได้

จากนั้น Lampion จะทำการขโมยข้อมูลบัญชีธนาคารจากเครื่องเป้าหมายด้วยการแทรก login forms ซ้อนทับบนแบบฟอร์ม login ตามปกติ เมื่อผู้ใช้งานใส่ข้อมูลเพื่อทำการเข้าสู่ระบบ ข้อมูลนั้นจะถูกขโมย และส่งไปยัง C2 ของผู้โจมตี

Trojan Lampion ถูกพบมาตั้งแต่ปี 2019 โดยมุ่งเป้าไปที่ผู้ใช้ภาษาสเปน ต่อมาในปี 2021 Lampion ถูกพบว่าใช้ Malware บนบริการของ cloud เป็นครั้งแรก รวมถึง Google Drive และ pCloud และล่าสุดเมื่อ มีนาคม 2022 Cyware ได้รายงานว่ามีการแพร่กระจายด้วยการใช้ hostname ที่มีส่วนเกี่ยวข้องกับกลุ่ม Bazaar และ LockBit อีกทั้งยังมีรายงานอีกว่า Lampion พยายามเขียน Malware ให้มีความซับซ้อน และวิเคราะห์ได้ยากยิ่งขึ้น

สุดท้ายนี้รายงานล่าสุดของ Cofense ระบุว่า Lampion เป็นภัยคุกคามที่ยังคงอันตรายอยู่ และแนะนำให้ผู้ใช้งานควรระมัดระวังการใช้งาน Email ที่ขอให้ดาวน์โหลดไฟล์แม้ไฟล์นั้นจะอยู่บน Cloud service ที่เป็นที่รู้จักก็ตาม

ที่มา: bleepingcomputer