พบแคมเปญการโจมตีใหม่ที่ใช้เทคนิค ClickFix โดยมีการโจมตีทั้งระบบปฏิบัติการ Windows และ Linux ผ่านคำสั่งที่ออกแบบมาให้สามารถติดมัลแวร์ได้บนทั้งสองระบบปฏิบัติการ (more…)

ตั้งแต่ต้นปีที่ผ่านมา กลุ่มแฮ็กเกอร์ ColdRiver ที่ได้รับการสนับสนุนจากรัฐบาลรัสเซีย ได้ใช้มัลแวร์ตัวใหม่ที่มีชื่อว่า LostKeys เพื่อขโมยไฟล์ข้อมูล โดยมีเป้าหมายเป็นรัฐบาลชาติตะวันตก, นักข่าว, ศูนย์วิจัยนโยบาย และองค์กรพัฒนาเอกชน (NGOs) (more…)

Microsoft ได้ปล่อยสคริปต์ PowerShell เพื่อช่วยให้ผู้ใช้งาน Windows และผู้ดูแลระบบอัปเดต bootable media ให้ใช้ certificate ใหม่ชื่อ "Windows UEFI CA 2023" ก่อนที่มาตรการป้องกัน BlackLotus UEFI bootkit จะมีผลบังคับใช้ภายในปลายปีนี้ (more…)

CRIL พบแคมเปญการโจมตีทางไซเบอร์หลายขั้นตอน โดยเริ่มต้นจากไฟล์ ZIP ที่มีไฟล์ shortcut (.lnk) ที่เป็นอันตราย ถึงแม้ว่าจะยังไม่ทราบแหล่งที่มาของไฟล์ ZIP นี้ แต่คาดว่าถูกเผยแพร่ผ่านอีเมลฟิชชิง โดยจากชื่อของไฟล์ LNK คาดว่าแคมเปญนี้มีเป้าหมายเป็นอุตสาหกรรมด้านการดูแลสุขภาพ (Healthcare) (more…)

ความเชี่ยวชาญด้าน Cloud Security, PowerShell กำลังจะกลายเป็นทักษะสำคัญของนักวิเคราะห์ความปลอดภัยทางไซเบอร์

นักวิเคราะห์ความปลอดภัยทางไซเบอร์ควรจะมีทักษะในหลาย ๆ ด้าน เช่น ทักษะการรับมือ และตอบสนองต่อภัยคุกคามทางไซเบอร์ (Incident handling and response), ทักษะการตรวจจับภัยคุกคามเชิงรุก (Threat hunting), ทักษะการจัดเก็บรวบรวม และวิเคราะห์หลักฐานทางดิจิตอล (Digital forensics), ทักษะการใช้งานภาษาคอมพิวเตอร์ทั้ง Python และ Bash scripting

(more…)

ในเดือนเมษายน 2017 นักวิจัยจาก CrowdStrike Falcon Intelligence รายงานถึงกลุ่มแฮ็กเกอร์ที่ไม่เคยถูกพบมาก่อน ซึ่งกำลังโจมตีกลุ่มผู้เชี่ยวชาญในสายงานต่าง ๆ ในสหรัฐฯ ที่มีความสัมพันธ์กับจีน การสืบสวนเพิ่มเติมทำให้พบแคมเปญการโจมตีที่ใหญ่กว่านั้น โดยแสดงให้เห็นถึงเทคนิคการโจมตีที่โดดเด่น ซึ่งกลุ่มดังกล่าวเป็นที่รู้จักจากการโจมตีองค์กรภาค NGOs อย่างกว้างขวาง

Mustang Panda เป็นกลุ่มอาชญากรทางไซเบอร์ที่มีฐานอยู่ในประเทศจีน ถูกพบครั้งแรกในปี 2017 แต่มีแนวโน้มว่าได้ปฏิบัติการมาตั้งแต่ปี 2014 โดยกลุ่มนี้ได้ทำการโจมตีหน่วยงานที่หลากหลาย เช่น องค์กรรัฐบาล, องค์กรไม่แสวงผลกำไร, สถาบันศาสนา และองค์กรนอกภาครัฐอื่น ๆ ในสหรัฐอเมริกา, ยุโรป, มองโกเลีย, เมียนมา, ปากีสถาน, เวียดนาม และภูมิภาคอื่น ๆ

ในแคมเปญที่ดำเนินการในเดือนพฤษภาคม 2024 กลุ่ม Mastang Panda ได้โจมตีหน่วยงานในประเทศเวียดนามโดยใช้เอกสารที่เกี่ยวกับ tax compliance โดยเมื่อสังเกตจากโครงสร้างพื้นฐานที่ใช้ในแคมเปญเดือนพฤษภาคม 2024 นักวิจัยได้ระบุแคมเปญอีกหนึ่งแคมเปญของเดือนเมษายน 2024 ซึ่งเป็นการโจมตีหน่วยงานด้านการศึกษา

ในทั้งสองแคมเปญ การติดมัลแวร์เริ่มต้นจากอีเมลสแปมที่มีไฟล์แนบ ซึ่งไฟล์แนบจะประกอบไปด้วยไฟล์ ZIP และ RAR ที่มีไฟล์ Windows shortcut (LNK) ที่เป็นอันตราย เพื่อเรียกใช้งานไฟล์ PowerShell, Mshta และ batch (bat) หลายไฟล์ ผลลัพธ์สุดท้ายคือไฟล์โหลด DLL ที่เป็นอันตราย ซึ่งจะทำการรัน shellcode ซึ่งสามารถดาวน์โหลด และรันไฟล์ที่อันตรายอื่น ๆ ลงในระบบได้เพิ่มเติม

รายละเอียดทางเทคนิค

CRIL พบหนึ่งแคมเปญในเดือนพฤษภาคม 2024 ที่ใช้ไฟล์ LNK ที่อันตรายชื่อ “Vanban_8647_cuong_che_thi_hanh_quyet_dinh.

CRIL พบการโจมตีโดยใช้ไฟล์ .LNK ที่เป็นอันตราย ซึ่งแฝงตัวเป็นไฟล์เอกสาร PDF ที่เมื่อผู้ใช้งานเปิดไฟล์ .LNK มันจะแสดงคำเชิญเข้าร่วมสัมมนาเกี่ยวกับสิทธิมนุษยชน ซึ่งแสดงให้เห็นว่าผู้โจมตีมุ่งเป้าหมายไปที่บุคคลที่มีความสนใจในประเด็นสิทธิมนุษยชน (more…)

หน่วยงานด้านความมั่นคงปลอดภัยไซเบอร์แห่งชาติของเยอรมนี ออกมาแจ้งเตือนเมื่อวันอังคาร (26 มีนาคม 2024) ที่ผ่านมาว่า พบเซิร์ฟเวอร์ Microsoft Exchange อย่างน้อย 17,000 เครื่องในเยอรมนีที่เปิดให้เข้าถึงได้จากอินเทอร์เน็ต และมีความเสี่ยงต่อช่องโหว่ด้านความปลอดภัยระดับ Critical อย่างน้อยหนึ่งรายการ

ตามรายงานจากสำนักงานสหพันธรัฐเยอรมนีเพื่อความมั่นคงปลอดภัยด้านเทคโนโลยีสารสนเทศ (BSI) พบว่า เซิร์ฟเวอร์ Microsoft Exchange ประมาณ 45,000 เครื่องในเยอรมนีมี Outlook Web Access (OWA) เปิดใช้งาน และสามารถเข้าถึงได้จากอินเทอร์เน็ต

ประมาณ 12% ของเซิร์ฟเวอร์เหล่านี้ ยังคงใช้ Exchange เวอร์ชันเก่า (2010 หรือ 2013) ซึ่งไม่ได้รับการอัปเดตความปลอดภัยมาตั้งแต่เดือนตุลาคม 2020 และเมษายน 2023 ตามลำดับ

สำหรับเซิร์ฟเวอร์ Exchange 2016 หรือ 2019 ที่เข้าถึงได้จากอินเทอร์เน็ต ประมาณ 28% ไม่ได้รับการแพตช์มาอย่างน้อย 4 เดือน ทำให้มีความเสี่ยงต่อช่องโหว่ด้านความปลอดภัยระดับ Critical อย่างน้อยหนึ่งช่องโหว่ ทำให้สามารถถูกโจมตีในลักษณะ code execution ได้จากภายนอก

BSI เตือนว่า โดยรวมอย่างน้อย 37% ของเซิร์ฟเวอร์ Exchange ในเยอรมนี (และในหลายกรณี ยังรวมถึงเครือข่ายเบื้องหลังด้วย) มีช่องโหว่ด้านความปลอดภัยระดับ Critical ซึ่งคิดเป็นจำนวนประมาณ 17,000 ระบบ โดยเฉพาะอย่างยิ่งสถาบันที่ได้รับผลกระทบเหล่านี้ ได้แก่ โรงเรียน, วิทยาลัย, คลินิก, สถานพยาบาล, บริการพยาบาลผู้ป่วยนอก, สถาบันทางการแพทย์อื่น ๆ, ทนายความ และที่ปรึกษาทางกฎหมาย, รัฐบาลท้องถิ่น และบริษัทขนาดกลาง

BSI เคยแจ้งเตือนไปแล้วหลายครั้งตั้งแต่ปี 2021 เกี่ยวกับการใช้ช่องโหว่ด้านความปลอดภัยระดับ Critical ใน Microsoft Exchange และถือว่าเป็นสถานการณ์ความเสี่ยงด้านเทคโนโลยีสารสนเทศ อย่างไรก็ตามสถานการณ์ก็ยังไม่ดีขึ้นนับตั้งแต่ตอนนั้น เนื่องจากผู้ดูแลระบบเซิร์ฟเวอร์ Exchange จำนวนมากยังคงไม่ระมัดระวังมากพอ และไม่รีบทำการอัปเดตแพตซ์ด้านความปลอดภัย

 

BSI แนะนำให้ผู้ดูแลเซิร์ฟเวอร์ที่ยังไม่ได้รับการแพทช์ให้ใช้ Exchange เวอร์ชันล่าสุดเสมอ ติดตั้งอัปเดตความปลอดภัยทั้งหมดที่มีอยู่ และกำหนดค่าเซิร์ฟเวอร์ที่เปิดเผยออนไลน์อย่างปลอดภัย

เพื่อดำเนินการดังกล่าว ผู้ดูแลระบบจำเป็นต้องตรวจสอบระบบของตนเองเป็นประจำว่าได้ทำการอัปเดตแพตซ์ Microsoft Exchange ให้เป็นเวอร์ชันล่าสุดหรือไม่ รวมถึงทำการติดตั้งการอัปเดตความปลอดภัยประจำเดือนมีนาคม 2024 โดยเร็วที่สุด

Exchange Server 2019 CU14 Mar24SU (Build number 15.2.1544.9)
Exchange Server 2019 CU13 Mar24SU (build number 15.2.1258.32)
Exchange Server 2016 CU23 Mar24SU (build number 15.1.2507.37)

BSI ยังแนะนำให้จำกัดการเข้าถึงบริการเซิร์ฟเวอร์ Exchange ที่ใช้เว็บ เช่น Outlook Web Access เฉพาะที่อยู่ IP ที่เชื่อถือได้เท่านั้น หรือ ใช้ VPN เพื่อเข้าถึงบริการเหล่านี้แทนการเปิดให้เข้าถึงได้จากอินเทอร์เน็ตโดยตรง

นอกจากนี้เพื่อป้องกันการใช้ช่องโหว่ CVE-2024-21410 ซึ่งเป็นช่องโหว่การยกระดับสิทธิ์ระดับ Critical ที่ Microsoft เปิดเผยออกมาเมื่อเดือนที่แล้ว ซึ่งต้องเปิดใช้ Extended Protection บนเซิร์ฟเวอร์ Exchange โดยใช้สคริปต์ PowerShell ที่ออกแบบมาเฉพาะ

ในเดือนกุมภาพันธ์ บริการตรวจสอบภัยคุกคาม Shadowserver แจ้งเตือนว่ามีเซิร์ฟเวอร์ Microsoft Exchange จำนวน 28,500 เครื่อง มีช่องโหว่ต่อการถูกโจมตีจากช่องโหว่ CVE-2024-21410 อย่างต่อเนื่อง นอกจากนี้ Shadowserver ยังยืนยันผลการวิจัยของ BSI โดยระบุว่ามีเซิร์ฟเวอร์มากถึง 97,000 เครื่อง ซึ่งรวมถึงกว่า 22,000 เครื่องในเยอรมนี อาจมีความเสี่ยงเนื่องจากไม่ได้เปิดใช้งาน Extended Protection

ตอนนี้ Microsoft ได้เปิดการใช้งาน Extended Protection อัตโนมัติบนเซิร์ฟเวอร์ Exchange หลังจากติดตั้งการอัปเดตประจำเดือนกุมภาพันธ์ 2024 H1 Cumulative Update (CU14)

Microsoft ยังแนะนำให้ผู้ดูแลระบบ Exchange ติดตั้งการอัปเดตความปลอดภัยอย่างเร่งด่วนบนเซิร์ฟเวอร์ on-premises เพื่อให้สามารถป้องกันการโจมตีที่อาจจะเกิดขึ้นได้

ที่มา : bleepingcomputer

ในช่วงสงครามระหว่างรัสเซีย และยูเครน ทั้งองค์กรภาครัฐ, ภาคเกษตร และภาคขนส่งที่ตั้งอยู่ในเมือง Donetsk, Lugansk, และ Crimea ถูกโจมตี ซึ่งส่วนหนึ่งของแคมเปญการโจมตีมีการฝังโมดูลเฟรมเวิร์กการโจมตีใหม่ที่ชื่อ 'CommonMagic'

Kaspersky ระบุในรายงานล่าสุดว่า "ถึงแม้วิธีการในช่วงแรกยังไม่มีรายละเอียดชัดเจน แต่รายละเอียดของขั้นตอนถัดไปแสดงให้เห็นว่ามีการใช้เทคนิค spear phishing หรือเทคนิคที่คล้ายกัน"

Kaspersky พบการโจมตีครั้งแรกในเดือนตุลาคม 2022 ภายใต้ชื่อกลุ่ม 'Bad Magic'

ขั้นตอนการโจมตีจะใช้ URL ที่ตั้งค่าให้ดาวน์โหลดไฟล์ .ZIP ที่อยู่บนเว็บเซิร์ฟเวอร์ที่ถูกควบคุมโดยผู้โจมตี เมื่อเปิดไฟล์จะมีเอกสารปลอม และไฟล์ .LNK ที่เป็นอันตราย ซึ่งจะทำการติดตั้ง backdoor ชื่อ 'PowerMagic'

'PowerMagic' เป็น PowerShell ที่ใช้ในการติดต่อกับ C2 Server เพื่อรันคำสั่งที่เป็นอันตราย และส่งข้อมูลกลับไปยังบริการคลาวด์ต่าง ๆ เช่น Dropbox และ Microsoft OneDrive

PowerMagic ยังทำหน้าที่เป็นช่องทางในการส่งเฟรมเวิร์ก CommonMagic ซึ่งเป็นโมดูลที่สามารถดำเนินการต่าง ๆ เช่น command-and-control (C2) server, เข้ารหัส และถอดรหัสข้อมูลที่ติดต่อสื่อสารกับ C2 Server และติดตั้ง plugins ต่าง ๆ

โดย plugins 2 ตัว มีความสามารถในการจับภาพหน้าจอทุก ๆ 3 วินาที และสามารถรวบรวมไฟล์ที่มีความสำคัญจากอุปกรณ์ที่เชื่อมต่อผ่าน USB ได้

Kaspersky ระบุว่า "ยังไม่พบหลักฐาน และเครื่องมือที่ใช้ที่สามารถเชื่อมโยงการโจมตีกับกลุ่มผู้โจมตีกลุ่มใดกลุ่มหนึ่งได้"

 

ที่มา : thehackernews

Mandiant บริษัทด้านความปลอดภัยทางไซเบอร์ เปิดเผยรายงานการค้นพบกลุ่ม Hacker ชาวเกาหลีเหนือที่ชื่อ UNC2970 ได้มุ่งเป้าหมายการโจมตีไปยังอุตสาหกรรมที่เกี่ยวข้องทางด้านกลาโหม, องค์กรสื่อ และเทคโนโลยีของสหรัฐฯ และยุโรปตั้งแต่เดือนมิถุนายน 2565 ที่ผ่านมา โดยปัจจุบันพบว่าได้มุ่งเป้าหมายไปยังนักวิจัยด้านความปลอดภัยโดยการใช้มัลแวร์ที่ไม่เคยถูกพบมาก่อนผ่านทาง LinkedIn

UNC2970 เป็นชื่อของกลุ่ม Hacker ชาวเกาหลีเหนือที่มีการทำงานร่วมกับ UNC577 (หรือที่รู้จักกันในชื่อ Temp.