หน่วยงานด้านความมั่นคงปลอดภัยไซเบอร์แห่งชาติของเยอรมนี ออกมาแจ้งเตือนเมื่อวันอังคาร (26 มีนาคม 2024) ที่ผ่านมาว่า พบเซิร์ฟเวอร์ Microsoft Exchange อย่างน้อย 17,000 เครื่องในเยอรมนีที่เปิดให้เข้าถึงได้จากอินเทอร์เน็ต และมีความเสี่ยงต่อช่องโหว่ด้านความปลอดภัยระดับ Critical อย่างน้อยหนึ่งรายการ

ตามรายงานจากสำนักงานสหพันธรัฐเยอรมนีเพื่อความมั่นคงปลอดภัยด้านเทคโนโลยีสารสนเทศ (BSI) พบว่า เซิร์ฟเวอร์ Microsoft Exchange ประมาณ 45,000 เครื่องในเยอรมนีมี Outlook Web Access (OWA) เปิดใช้งาน และสามารถเข้าถึงได้จากอินเทอร์เน็ต

ประมาณ 12% ของเซิร์ฟเวอร์เหล่านี้ ยังคงใช้ Exchange เวอร์ชันเก่า (2010 หรือ 2013) ซึ่งไม่ได้รับการอัปเดตความปลอดภัยมาตั้งแต่เดือนตุลาคม 2020 และเมษายน 2023 ตามลำดับ

สำหรับเซิร์ฟเวอร์ Exchange 2016 หรือ 2019 ที่เข้าถึงได้จากอินเทอร์เน็ต ประมาณ 28% ไม่ได้รับการแพตช์มาอย่างน้อย 4 เดือน ทำให้มีความเสี่ยงต่อช่องโหว่ด้านความปลอดภัยระดับ Critical อย่างน้อยหนึ่งช่องโหว่ ทำให้สามารถถูกโจมตีในลักษณะ code execution ได้จากภายนอก

BSI เตือนว่า โดยรวมอย่างน้อย 37% ของเซิร์ฟเวอร์ Exchange ในเยอรมนี (และในหลายกรณี ยังรวมถึงเครือข่ายเบื้องหลังด้วย) มีช่องโหว่ด้านความปลอดภัยระดับ Critical ซึ่งคิดเป็นจำนวนประมาณ 17,000 ระบบ โดยเฉพาะอย่างยิ่งสถาบันที่ได้รับผลกระทบเหล่านี้ ได้แก่ โรงเรียน, วิทยาลัย, คลินิก, สถานพยาบาล, บริการพยาบาลผู้ป่วยนอก, สถาบันทางการแพทย์อื่น ๆ, ทนายความ และที่ปรึกษาทางกฎหมาย, รัฐบาลท้องถิ่น และบริษัทขนาดกลาง

BSI เคยแจ้งเตือนไปแล้วหลายครั้งตั้งแต่ปี 2021 เกี่ยวกับการใช้ช่องโหว่ด้านความปลอดภัยระดับ Critical ใน Microsoft Exchange และถือว่าเป็นสถานการณ์ความเสี่ยงด้านเทคโนโลยีสารสนเทศ อย่างไรก็ตามสถานการณ์ก็ยังไม่ดีขึ้นนับตั้งแต่ตอนนั้น เนื่องจากผู้ดูแลระบบเซิร์ฟเวอร์ Exchange จำนวนมากยังคงไม่ระมัดระวังมากพอ และไม่รีบทำการอัปเดตแพตซ์ด้านความปลอดภัย

 

BSI แนะนำให้ผู้ดูแลเซิร์ฟเวอร์ที่ยังไม่ได้รับการแพทช์ให้ใช้ Exchange เวอร์ชันล่าสุดเสมอ ติดตั้งอัปเดตความปลอดภัยทั้งหมดที่มีอยู่ และกำหนดค่าเซิร์ฟเวอร์ที่เปิดเผยออนไลน์อย่างปลอดภัย

เพื่อดำเนินการดังกล่าว ผู้ดูแลระบบจำเป็นต้องตรวจสอบระบบของตนเองเป็นประจำว่าได้ทำการอัปเดตแพตซ์ Microsoft Exchange ให้เป็นเวอร์ชันล่าสุดหรือไม่ รวมถึงทำการติดตั้งการอัปเดตความปลอดภัยประจำเดือนมีนาคม 2024 โดยเร็วที่สุด

Exchange Server 2019 CU14 Mar24SU (Build number 15.2.1544.9)
Exchange Server 2019 CU13 Mar24SU (build number 15.2.1258.32)
Exchange Server 2016 CU23 Mar24SU (build number 15.1.2507.37)

BSI ยังแนะนำให้จำกัดการเข้าถึงบริการเซิร์ฟเวอร์ Exchange ที่ใช้เว็บ เช่น Outlook Web Access เฉพาะที่อยู่ IP ที่เชื่อถือได้เท่านั้น หรือ ใช้ VPN เพื่อเข้าถึงบริการเหล่านี้แทนการเปิดให้เข้าถึงได้จากอินเทอร์เน็ตโดยตรง

นอกจากนี้เพื่อป้องกันการใช้ช่องโหว่ CVE-2024-21410 ซึ่งเป็นช่องโหว่การยกระดับสิทธิ์ระดับ Critical ที่ Microsoft เปิดเผยออกมาเมื่อเดือนที่แล้ว ซึ่งต้องเปิดใช้ Extended Protection บนเซิร์ฟเวอร์ Exchange โดยใช้สคริปต์ PowerShell ที่ออกแบบมาเฉพาะ

ในเดือนกุมภาพันธ์ บริการตรวจสอบภัยคุกคาม Shadowserver แจ้งเตือนว่ามีเซิร์ฟเวอร์ Microsoft Exchange จำนวน 28,500 เครื่อง มีช่องโหว่ต่อการถูกโจมตีจากช่องโหว่ CVE-2024-21410 อย่างต่อเนื่อง นอกจากนี้ Shadowserver ยังยืนยันผลการวิจัยของ BSI โดยระบุว่ามีเซิร์ฟเวอร์มากถึง 97,000 เครื่อง ซึ่งรวมถึงกว่า 22,000 เครื่องในเยอรมนี อาจมีความเสี่ยงเนื่องจากไม่ได้เปิดใช้งาน Extended Protection

ตอนนี้ Microsoft ได้เปิดการใช้งาน Extended Protection อัตโนมัติบนเซิร์ฟเวอร์ Exchange หลังจากติดตั้งการอัปเดตประจำเดือนกุมภาพันธ์ 2024 H1 Cumulative Update (CU14)

Microsoft ยังแนะนำให้ผู้ดูแลระบบ Exchange ติดตั้งการอัปเดตความปลอดภัยอย่างเร่งด่วนบนเซิร์ฟเวอร์ on-premises เพื่อให้สามารถป้องกันการโจมตีที่อาจจะเกิดขึ้นได้

ที่มา : bleepingcomputer

ในช่วงสงครามระหว่างรัสเซีย และยูเครน ทั้งองค์กรภาครัฐ, ภาคเกษตร และภาคขนส่งที่ตั้งอยู่ในเมือง Donetsk, Lugansk, และ Crimea ถูกโจมตี ซึ่งส่วนหนึ่งของแคมเปญการโจมตีมีการฝังโมดูลเฟรมเวิร์กการโจมตีใหม่ที่ชื่อ 'CommonMagic'

Kaspersky ระบุในรายงานล่าสุดว่า "ถึงแม้วิธีการในช่วงแรกยังไม่มีรายละเอียดชัดเจน แต่รายละเอียดของขั้นตอนถัดไปแสดงให้เห็นว่ามีการใช้เทคนิค spear phishing หรือเทคนิคที่คล้ายกัน"

Kaspersky พบการโจมตีครั้งแรกในเดือนตุลาคม 2022 ภายใต้ชื่อกลุ่ม 'Bad Magic'

ขั้นตอนการโจมตีจะใช้ URL ที่ตั้งค่าให้ดาวน์โหลดไฟล์ .ZIP ที่อยู่บนเว็บเซิร์ฟเวอร์ที่ถูกควบคุมโดยผู้โจมตี เมื่อเปิดไฟล์จะมีเอกสารปลอม และไฟล์ .LNK ที่เป็นอันตราย ซึ่งจะทำการติดตั้ง backdoor ชื่อ 'PowerMagic'

'PowerMagic' เป็น PowerShell ที่ใช้ในการติดต่อกับ C2 Server เพื่อรันคำสั่งที่เป็นอันตราย และส่งข้อมูลกลับไปยังบริการคลาวด์ต่าง ๆ เช่น Dropbox และ Microsoft OneDrive

PowerMagic ยังทำหน้าที่เป็นช่องทางในการส่งเฟรมเวิร์ก CommonMagic ซึ่งเป็นโมดูลที่สามารถดำเนินการต่าง ๆ เช่น command-and-control (C2) server, เข้ารหัส และถอดรหัสข้อมูลที่ติดต่อสื่อสารกับ C2 Server และติดตั้ง plugins ต่าง ๆ

โดย plugins 2 ตัว มีความสามารถในการจับภาพหน้าจอทุก ๆ 3 วินาที และสามารถรวบรวมไฟล์ที่มีความสำคัญจากอุปกรณ์ที่เชื่อมต่อผ่าน USB ได้

Kaspersky ระบุว่า "ยังไม่พบหลักฐาน และเครื่องมือที่ใช้ที่สามารถเชื่อมโยงการโจมตีกับกลุ่มผู้โจมตีกลุ่มใดกลุ่มหนึ่งได้"

 

ที่มา : thehackernews

Mandiant บริษัทด้านความปลอดภัยทางไซเบอร์ เปิดเผยรายงานการค้นพบกลุ่ม Hacker ชาวเกาหลีเหนือที่ชื่อ UNC2970 ได้มุ่งเป้าหมายการโจมตีไปยังอุตสาหกรรมที่เกี่ยวข้องทางด้านกลาโหม, องค์กรสื่อ และเทคโนโลยีของสหรัฐฯ และยุโรปตั้งแต่เดือนมิถุนายน 2565 ที่ผ่านมา โดยปัจจุบันพบว่าได้มุ่งเป้าหมายไปยังนักวิจัยด้านความปลอดภัยโดยการใช้มัลแวร์ที่ไม่เคยถูกพบมาก่อนผ่านทาง LinkedIn

UNC2970 เป็นชื่อของกลุ่ม Hacker ชาวเกาหลีเหนือที่มีการทำงานร่วมกับ UNC577 (หรือที่รู้จักกันในชื่อ Temp.

ผู้เชี่ยวชาญตรวจพบแคมเปญที่เป็นอันตราย โดยพบการส่งมัลแวร์ 'Matanbuchus' ผ่าน Phishing Email เพื่อติดตั้ง Cobalt Strike บนเครื่องที่ถูกบุกรุก ซึ่ง Cobalt Strike เป็นซอร์ฟแวร์ที่ใช้สำหรับการทดสอบการเจาะระบบ แต่ปัจจุบันมักถูกใช้ในการโจมตีเพื่อหาช่องทางการปล่อย Payloads อื่นๆที่เป็นอันตรายได้

รายละเอียดเบื้องต้น

Matanbuchus เป็นโครงการ Malware-as-a-Service (MaaS) ที่ถูกพบครั้งแรกในเดือนกุมภาพันธ์ 2564 มีการโฆษณาบน Dark Web โดยโปรโมตว่าสามารถรันไฟล์ exe ได้โดยตรงบน System ของเครื่อง

จากนั้นผู้เชี่ยวชาญจาก Palo Alto Networks ได้ทำวิเคราะห์มัลแวร์เมื่อเดือนมิถุนายน พ.ศ. 2564 และทำการรวบรวมข้อมูลเพื่อทำการ Mapping Network Path และ Infrastructure ของมัลแวร์ รวมไปถึงคำสั่งบน PowerShell ที่ใช้ในการติดตั้ง Payloads

ลักษณะการโจมตี

ปัจจุบัน ผู้เชี่ยวชาญชื่อ Brad Duncan ได้นำตัวอย่างมัลแวร์มาตรวจสอบการทำงาน สรุปได้ดังนี้

1. หัวข้อของ Subject จะขึ้นต้นด้วยคำว่า RE: เพื่อหลอกให้ผู้ใช้งานว่าเป็นอีเมลตอบกลับการสนทนาที่เกิดขึ้นก่อนหน้า
2. ในอีเมลจะมีไฟล์ ZIP ที่ข้างในมีไฟล์ HTML อยู่ มันจะทำหน้าที่สร้างไฟล์ ZIP ใหม่อีกอัน ซึ่งข้างในเป็นไฟล์ MSI ที่มีลายเซ็นแบบดิจิทัลด้วยใบรับรองที่ออกโดย DigiCert ให้กับ "Westeast Tech Consulting, Corp"

3. หากผู้ใช้งานคลิกติดตั้งไฟล์ .MSI จะมีหน้า Install ขึ้นมา ซึ่งลักษณะ Fonts จะเป็น Adobe Acrobat catalog update จากนั้นจะมีรายงานว่ามีการติดตั้งผิดพลาด เพื่อเบี่ยงเบนความสนใจของเป้าหมายจากสิ่งที่เกิดขึ้นเบื้องหลัง
4. สิ่งที่เกิดขึ้นเบื้องหลังการติดตั้งไฟล์ MSI ปลอมคือ Payloads Matanbuchus สองรายการ ("main.

Microsoft ได้เผยแพร่การอัปเดตด้านความปลอดภัยบน Windows ในรอบเดือนมิถุนายน 2565 เพื่อแก้ไขช่องโหว่ระดับ Critical บน Windows ที่ถูกเรียกว่า Follina และกำลังถูกใช้ในการโจมตีอย่างต่อเนื่อง

"Microsoft แนะนำให้ผู้ใช้งานอัปเดตแพตช์เพื่อป้องกันการโจมตีจากช่องโหว่ดังกล่าว แต่หากมีการตั้งค่าให้มีการอัปเดตแพตช์เองโดยอัตโนมัติ ผู้ใช้งานไม่จำเป็นต้องดำเนินการใดๆ เพิ่มเติมอีก" Microsoft ระบุในคำแนะนำการอัปเดต

ช่องโหว่หมายเลข CVE-2022-3019 เป็นช่องโหว่ด้านความปลอดภัยในการเรียกใช้โค้ดที่เป็นอันตรายจากระยะไกลบน Microsoft Windows Support Diagnostic Tool (MSDT) ที่ส่งผลกระทบกับ Windows ทุกเวอร์ชัน

ผู้โจมตีที่ใช้ประโยชน์จากช่องโหว่ดังกล่าวได้สำเร็จ จะสามารถสั่งรันโค้ดที่เป็นอันตราย เพื่อติดตั้งโปรแกรม ดู เปลี่ยนแปลง หรือลบข้อมูล หรือแม้แต่สร้างบัญชี Windows ใหม่ได้

นักวิจัยด้านความปลอดภัย nao_sec เป็นผู้พบช่องโหว่ดังกล่าว ที่พบว่าผู้โจมตีจะสามารถสั่งรัน PowerShell ที่เป็นอันตรายผ่าน MSDT โดยที่ Microsoft อธิบายว่าเป็นการโจมตีในรูปแบบ Arbitrary Code Execution (ACE) เมื่อเปิด หรือ preview เอกสาร Word

การอัปเดตในครั้งไม่ได้ป้องกัน Microsoft Office จากการโหลด Windows protocol URI handler โดยอัตโนมัติ แต่จะใช้วิธีบล็อกการทำงานจาก PowerShell injection เพื่อปิดช่องทางการโจมตีในรูปแบบนี้

พบการโจมตีอย่างต่อเนื่อง

ช่องโหว่ Follina ถูกใช้ในการโจมตีมาระยะหนึ่งแล้ว ตามที่นักวิจัยด้านความปลอดภัยของ Proofpoint เปิดเผยว่ากลุ่มแฮ็กเกอร์ TA413 ของจีนใช้ประโยชน์จากช่องโหว่ในการโจมตีที่กำหนดเป้าหมายไปยังชาว Tibetan และกลุ่มผู้โจมตีบางกลุ่มก็ใช้การโจมตีแบบฟิชชิงกับหน่วยงานรัฐบาลสหรัฐฯ และสหภาพยุโรป

ตอนนี้ช่องโหว่ Follina กำลังถูกใช้โดยกลุ่ม TA570 ซึ่งใช้แคมเปญฟิชชิ่งจากช่องโหว่ดังกล่าวเพื่อแพร่กระจายมัลแวร์ Qbot

CrazymanArmy ของ Shadow Chaser Group นักวิจัยด้านความปลอดภัยที่เคยรายงาน Zero-day ดังกล่าวไปให้กับ Microsoft ในเดือนเมษายนที่ผ่านมาระบุว่า Microsoft ปฏิเสธการแจ้งเตือนในครั้งแรกของเขาว่าไม่ใช่ช่องโหว่ด้านความปลอดภัย แต่สุดท้ายหลังจากมีการปิดหัวข้อการแจ้งเตือนดังกล่าว ระบบของ Microsoft กลับระบุว่าการแจ้งเตือนของเขาเป็นช่องโหว่แบบ Remote code execution

ที่มา: bleepingcomputer.

เมื่อวันอังคารที่ 17 พ.ค. ที่ผ่านมา Microsoft ได้แจ้งเตือนการตรวจพบแคมเปญที่เป็นอันตราย โดยมีเป้าหมายการโจมตีไปยัง SQL Server โดยการใช้ Built-in PowerShell binary เพื่อพยายามแฝงตัวอยู่บนเครื่องเหยื่อให้ได้นานที่สุด

รายละเอียดการโจมตี

การโจมตีดังกล่าวเกิดจากยูทิลิตี้ชื่อ sqlps.

หน่วยงานด้านความปลอดภัยทางไซเบอร์จากสหรัฐอเมริกาได้เปิดเผยมัลแวร์ตัวใหม่ที่ใช้โดยกลุ่ม APT ที่ได้รับการสนับสนุนจากรัฐบาลอิหร่านในการโจมตีที่มุ่งเป้าไปยังรัฐบาล และเครือข่ายการค้าทั่วโลก

ข้อมูลนี้ได้รับการยืนยันเช่นเดียวกันจากสำนักงานสืบสวนกลางแห่งสหรัฐอเมริกา (FBI) สำนักงานความมั่นคงปลอดภัยทางไซเบอร์ และโครงสร้างพื้นฐาน (CISA) กองกำลังปฏิบัติการทางไซเบอร์แห่งชาติของสหรัฐฯ (CNMF) และศูนย์ความมั่นคงทางไซเบอร์แห่งชาติ (NCSC)

ในปีนี้กลุ่ม MuddyWater ถูกเปิดเผยว่ากำลังดำเนินการภายใต้ปฏิบัติการของกระทรวงข่าวกรอง และความมั่นคงของอิหร่าน (MOIS) ที่มุ่งเป้าไปยังองค์กรภาครัฐ และเอกชนหลายราย รวมถึงผู้ให้บริการโทรคมนาคม การป้องกันประเทศ รัฐบาลท้องถิ่น และภาคอุตสาหกรรมน้ำมัน และก๊าซธรรมชาติ ในเอเชีย แอฟริกา ยุโรป และอเมริกาเหนือ

กลุ่ม MuddyWater ยังเป็นที่รู้จักภายใต้ชื่อ Earth Vetala, MERCURY, Static Kitten, Seedworm และ TEMP.Zagros โดยมีเป้าหมายในการโจมตีทางไซเบอร์เพื่อสนับสนุนวัตถุประสงค์ของ MOIS มาตั้งแต่ปี 2018

(more…)

Microsoft ออก Exchange On-premises Mitigation Tool (EOMT) ซึ่งเป็นสคริป PowerShell เพื่อช่วยองค์กรขนาดเล็กในการบรรเทาผลกระทบจากช่องโหว่ ProxyLogon ใน Exchange โดยสคริปดังกล่าวรองรับ Exchange 2013, 2016 และ 2019 โดยสคริปดังกล่าวจะ

ตรวจสอบว่ามีช่องโหว่หรือไม่
บรรเทาผลกระทบจากช่องโหว่ CVE-2021-26855 ด้วย URL Rewrite configuration
ดาวน์โหลดและรัน Microsoft Safety Scanner เพื่อค้นหา webshell ที่อาจมีฝังไว้
ลบไฟล์อันตรายที่ Microsoft Safety Scanner พบ

Microsoft ระบุว่าสคริปดังกล่าวเป็นเพียงการบรรเทาผลกระทบชั่วคราวเท่านั้น ผู้ดูแลระบบควรอัปเดตแพตช์จะเป็นการดีที่สุด สามารถอ่านรายละเอียดของสคริปดังกล่าวได้ที่ microsoft

ที่มา msrc-blog

European Banking Authority (EBA) ได้ทำการปิดระบบอีเมลทั้งหมดหลังจากที่เซิร์ฟเวอร์ Microsoft Exchange ของ EBA ถูกแฮกด้วยช่องโหว่ Zero-day ที่ถูกพบในเซิร์ฟเวอร์ Microsoft Exchange ซึ่งการโจมตีด้วยช่องโหว่ดังกล่าวกำลังกระจายไปอย่างต่อเนื่องและถูกกำหนดเป้าหมายไปยังองค์กรต่าง ๆ ทั่วโลก

ในสัปดาห์ที่ผ่านมาไมโครซอฟท์ได้ออกเเพตช์ฉุกเฉินสำหรับแก้ไขช่องโหว่ Zero-day ซึ่งช่องโหว่จะส่งผลผลกระทบต่อเซิร์ฟเวอร์ Microsoft Exchange หลายเวอร์ชันและพบการใช้ประโยชน์จากช่องโหว่ในการโจมตีอย่างต่อเนื่องจากกลุ่มแฮกเกอร์

EBA เป็นหน่วยงานส่วนหนึ่งของระบบการกำกับดูแลทางการเงินของสหภาพยุโรปและดูแลการทำงานของภาคธนาคารในสหภาพยุโรป การสืบสวนกำลังถูกดำเนินการเพื่อระบุว่ามีการเข้าถึงข้อมูลใดบ้าง ทั้งนี้คำแนะนำเบื้องต้นที่เผยแพร่เมื่อวันอาทิตย์ที่ผ่านมาได้ระบุว่าผู้โจมตีอาจเข้าถึงข้อมูลส่วนบุคคลที่เก็บไว้ในเซิร์ฟเวอร์อีเมล แต่ผู้เชี่ยวชาญด้านนิติวิทยาศาสตร์ยังไม่พบสัญญาณของการบุกรุกข้อมูลและการสืบสวนยังคงมีอย่างต่อเนื่อง ซึ่ง EBA จะปรับใช้มาตรการรักษาความปลอดภัยเพิ่มเติมและดูแลอย่างใกล้ชิดในมุมมองของการฟื้นฟูการทำงานอย่างเต็มรูปแบบของเซิร์ฟเวอร์อีเมล

หน่วยงาน CISA (Cybersecurity and Infrastructure Security Agency) ได้ออกแจ้งเตือนถึงการใช้ช่องโหว่ Zero-day ของ Microsoft Exchange Server ทั้งในและต่างประเทศอย่างกว้างขวาง โดยเรียกร้องให้ผู้ดูแลระบบใช้เครื่องมือตรวจจับ Indicators of Compromise (IOC) ของ Microsoft เพื่อตรวจหาสัญญาณการบุกรุกภายในองค์กร

ทั้งนี้ Microsoft ได้ออกเครื่องมือ Microsoft Safety Scanner (MSERT) เพื่อใช้ตรวจจับเว็บเชลล์ที่ถูกใช้ในการโจมตีและสคริปต์ PowerShell เพื่อค้นหา IOC ใน log file บน Exchange และ OWA ผู้ดูแลระบบสามารถโหลด MSERT ได้ที่: microsoft

สำหรับสคริปต์ PowerShell สามารถโหลดได้ที่: github

ที่มา: bleepingcomputer

นักวิจัยด้านความปลอดภัยของ Kaspersky ได้เปิดเผยรายละเอียดเกี่ยวกับแบ็คดอร์ PowerShell ใน Windows ที่พึ่งมีการค้นพบ โดยแบ็คดอร์ที่มีการค้นพบนั้นถูกระบุชื่อว่า PowerPepper ตามภาษาที่ถูกใช้เพื่อพัฒนาแบ็คดอร์ เชื่อว่าเป็นแบ็คดอร์ที่ถูกพัฒนามาจากกลุ่ม Advanced Persistent Threat (APT) รับจ้างที่มีชื่อว่า DeathStalker

กลุ่ม DeathStalker เป็นกลุ่ม APT ที่ถูกพบครั้งเเรกในปี 2012 โดยมีการกำหนดเป้าหมายการโจมตีไปยังกลุ่มธุรกิจขนาดเล็กถึงขนาดกลางในหลายสิบประเทศตามคำขอของลูกค้าที่ทำการว่าจ้าง กิจกรรมการโจมตีที่ถูกตรวจพบว่ามีการใช้ PowerPepper ถูกพบครั้งแรกเมื่อต้นเดือนกรกฎาคมที่ผ่านมา การโจมตีส่วนใหญ่เริ่มต้นด้วยอีเมล Spear-phishing ที่มีไฟล์เอกสาร Word ที่เป็นอันตราย ซึ่งเมื่อคลิกแล้วจะดาวน์โหลดและเรียกใช้สคริปต์ PowerShell ชื่อ Powersing เพื่อดำเนินการรันคำสั่งอันตราย จากนั้นมัลแวร์จะใช้ประโยชน์จากโปรโตคอล DNS-over-HTTPS (DoH) เป็นช่องทางการสื่อสารจากเซิร์ฟเวอร์ Command and Control (C&C) ของผู้ประสงค์ร้าย

เพื่อเป็นการป้องกันการตกเป็นเหยื่อผู้ใช้ควรระมัดระวังในการเปิดเอกสารที่แนบมากับอีเมล หรือคลิกลิงก์ในอีเมลจากผู้ส่งที่ไม่รู้จัก หรือผู้ดูแลระบบควรทำจำกัดการใช้งาน PowerShell บนคอมพิวเตอร์ของผู้ใช้ด้วยอีกทางหนึ่ง

ที่มา: thehackernews | securityweek