อาชญากรไซเบอร์กำลังหันมาใช้แพลตฟอร์ม short video เช่น TikTok และ Instagram Reels เป็นเครื่องมือในการแพร่กระจายมัลแวร์มากขึ้น (more…)

Microsoft ได้เผยแพร่วิธีลดผลกระทบสำหรับ YellowKey ซึ่งเป็นช่องโหว่ Zero-Day ของ Windows BitLocker ที่เพิ่งถูกเปิดเผยเมื่อไม่นานมานี้ โดยช่องโหว่ดังกล่าวทำให้ผู้ไม่หวังดีสามารถเข้าถึงไดรฟ์ที่ถูก protected ไว้ได้ (more…)

กลุ่มแฮ็กเกอร์ชาวเกาหลีเหนือที่ชื่อว่า Konni (หรือเป็นที่รู้จักในชื่อ Opal Sleet, TA406) กำลังใช้มัลแวร์ PowerShell ที่สร้างขึ้นโดย AI เพื่อมุ่งเป้าโจมตีนักพัฒนา และวิศวกรในวงการ Blockchain

เชื่อกันว่ากลุ่ม Konni มีความเชื่อมโยงกับกลุ่ม APT37 และ Kimsuky โดยกลุ่มนี้มีการเคลื่อนไหวมาตั้งแต่อย่างน้อยปี 2014 และถูกตรวจพบว่าได้มุ่งเป้าโจมตีองค์กรต่าง ๆ ในเกาหลีใต้, รัสเซีย, ยูเครน และหลาย ๆ ประเทศในยุโรป

จากการวิเคราะห์ตัวอย่างโดยนักวิจัยของ Check Point พบว่าแคมเปญล่าสุดของกลุ่มผู้ไม่หวังดีเน้นเป้าหมายไปที่ภูมิภาคเอเชียแปซิฟิก เนื่องจากมีการส่งตัวอย่างมัลแวร์ดังกล่าวเข้ามาตรวจสอบจากประเทศญี่ปุ่น, ออสเตรเลีย และอินเดีย

การโจมตีเริ่มต้นเมื่อเหยื่อได้รับลิงก์ที่ฝากไว้บน Discord ซึ่งจะส่งไฟล์ ZIP ที่ภายในประกอบด้วยไฟล์ PDF สำหรับล่อลวง และไฟล์ LNK shortcut (.LNK) ที่เป็นอันตราย

ไฟล์ LNK ดังกล่าวจะสั่งทำงานตัว PowerShell loader ที่ฝังอยู่ เพื่อแตกไฟล์เอกสาร DOCX และไฟล์ CAB archive ออกมา โดยภายในประกอบด้วย PowerShell Backdoor, ไฟล์ Batch สองไฟล์ และไฟล์ Executable สำหรับหลบเลี่ยงระบบ UAC (User Account Control)

เมื่อเปิดไฟล์ shortcut เอกสาร DOCX จะถูกเปิดขึ้นพร้อมกับการสั่งรันไฟล์ Batch หนึ่งไฟล์ที่รวมอยู่ในไฟล์ Cabinet นั้น

เอกสาร DOCX ที่ใช้หลอกลวง แสดงให้เห็นเจตนาว่าแฮ็กเกอร์ต้องการโจมตีเข้าสู่ development environments ซึ่งจะช่วยให้พวกเขาสามารถเข้าถึง Assets ที่สำคัญ ได้แก่ โครงสร้างพื้นฐาน, ข้อมูล API credentials, การเข้าถึง Wallet และท้ายที่สุดคือเหรียญ Cryptocurrency ที่ถือครองอยู่"

ไฟล์ Batch ไฟล์แรกจะสร้าง Staging Directory สำหรับตัว Backdoor และไฟล์ Batch ไฟล์ที่สอง จะสร้าง Scheduled Task ให้ทำงานทุกชั่วโมง โดยอำพรางตัวเป็น Startup Task ของ OneDrive

Task ดังกล่าวจะอ่านสคริปต์ PowerShell ที่ถูกเข้ารหัสแบบ XOR จาก Disk และทำการถอดรหัสเพื่อสั่งประมวลผลภายในหน่วยความจำ จากนั้นในขั้นตอนสุดท้าย มันจะลบตัวเองทิ้งเพื่อกำจัดร่องรอยของการติดมัลแวร์

Backdoor ที่ถูกสร้างขึ้นโดย AI

ตัว PowerShell backdoor ดัวกล่าวจะถูกอำพรางไว้อย่างซับซ้อน โดยอาศัยการเข้ารหัส String ที่อิงตามหลัก Arithmetic การสร้าง String ขึ้นใหม่ในขณะที่โปรแกรมกำลังทำงาน และการสั่งทำงาน Logic ส่วนสุดท้ายผ่านคำสั่ง ‘Invoke-Expression’

นักวิจัยระบุว่ามัลแวร์ PowerShell ตัวนี้ แสดงให้เห็นอย่างชัดเจนว่าถูกพัฒนาขึ้นโดยมี AI เข้ามาช่วยเหลือ มากกว่าจะเป็นมัลแวร์ที่เขียนขึ้นโดย Operator ตามวิธีแบบดั้งเดิม

หลักฐานที่นำไปสู่ข้อสรุปดังกล่าว ได้แก่ การมีส่วนเอกสารกำกับที่ชัดเจน และเป็นโครงสร้างอยู่ที่ส่วนบนของสคริปต์ ซึ่งถือเป็นเรื่องที่ผิดปกติสำหรับการพัฒนามัลแวร์ รวมไปถึงการจัดวางรูปแบบโค้ดที่เป็นระเบียบแบ่งเป็นสัดส่วน และการปรากฏอยู่ของคอมเมนต์ที่เขียนว่า “# <– your permanent project UUID”

Check Point อธิบายว่า "การใช้ถ้อยคำเช่นนี้เป็นลักษณะเด่นอย่างมากของโค้ดที่สร้างขึ้นโดย LLM (Large Language Model) ซึ่งตัวโมเดลจะระบุคำแนะนำแก่ผู้ใช้อย่างชัดเจนถึงวิธีการปรับแก้ค่าที่เว้นว่างไว้ (Placeholder value)"

"คอมเมนต์ลักษณะนี้มักพบได้ทั่วไปในสคริปต์ และบทเรียนสอนเขียนโค้ดที่สร้างขึ้นโดย AI"

ก่อนที่จะเริ่มทำงาน มัลแวร์จะทำการตรวจสอบ Hardware, Software และกิจกรรมของผู้ใช้ เพื่อให้มั่นใจว่ามันไม่ได้กำลังถูกรันอยู่ในสภาพแวดล้อมสำหรับการวิเคราะห์ จากนั้นจึงจะสร้าง Host ID ที่ไม่ซ้ำกันขึ้นมา

ลำดับถัดไป ขึ้นอยู่กับระดับสิทธิ์การสั่งการ ที่ตัวมัลแวร์มีอยู่บนเครื่องที่ถูกโจมตีระบบ มัลแวร์จะเลือกดำเนินการตามเส้นทางที่แตกต่างกัน ดังที่แสดงในแผนภาพต่อไปนี้

เมื่อ Backdoor ทำงานอย่างสมบูรณ์บนอุปกรณ์ที่ติดมัลแวร์ มันจะติดต่อไปยังเซิร์ฟเวอร์ C2 เป็นระยะเพื่อส่งข้อมูล Metadata พื้นฐานของเครื่อง Host และส่ง Request ข้อมูลไปยังเซิร์ฟเวอร์ในช่วงเวลาแบบสุ่ม

หากการตอบกลับจาก C2 มีโค้ด PowerShell แนบมาด้วย มันจะแปลงโค้ดนั้นให้เป็น Script block และสั่งประมวลผลแบบ Asynchronously โดยอาศัยการทำงานอยู่เบื้องหลัง

ทาง Check Point ระบุว่า การโจมตีเหล่านี้เป็นฝีมือของกลุ่มผู้ไม่หวังดี Konni โดยอ้างอิงจากรูปแบบตัว Launcher ในอดีต ความซ้ำซ้อนของชื่อไฟล์หลอกลวง และชื่อสคริปต์ รวมถึงความคล้ายคลึงกันในโครงสร้าง Execution chain เมื่อเทียบกับการโจมตีก่อนหน้านี้

นักวิจัยได้เผยแพร่ Indicators of compromise (IoCs) ที่เกี่ยวข้องกับแคมเปญล่าสุดนี้ เพื่อช่วยให้ฝ่ายป้องกันสามารถปกป้อง Assets ของตนได้

ที่มา : bleepingcomputer

พบแคมเปญที่มีความเชื่อมโยงกับรัสเซีย กำลังแพร่กระจายมัลแวร์ขโมยข้อมูล StealC V2 ผ่านไฟล์ Blender ที่เป็นอันตราย ซึ่งถูกอัปโหลดไปยังตลาดซื้อขาย 3D model เช่น CGTrader (more…)

พบแคมเปญการโจมตีใหม่ที่ใช้เทคนิค ClickFix โดยมีการโจมตีทั้งระบบปฏิบัติการ Windows และ Linux ผ่านคำสั่งที่ออกแบบมาให้สามารถติดมัลแวร์ได้บนทั้งสองระบบปฏิบัติการ (more…)

ตั้งแต่ต้นปีที่ผ่านมา กลุ่มแฮ็กเกอร์ ColdRiver ที่ได้รับการสนับสนุนจากรัฐบาลรัสเซีย ได้ใช้มัลแวร์ตัวใหม่ที่มีชื่อว่า LostKeys เพื่อขโมยไฟล์ข้อมูล โดยมีเป้าหมายเป็นรัฐบาลชาติตะวันตก, นักข่าว, ศูนย์วิจัยนโยบาย และองค์กรพัฒนาเอกชน (NGOs) (more…)

Microsoft ได้ปล่อยสคริปต์ PowerShell เพื่อช่วยให้ผู้ใช้งาน Windows และผู้ดูแลระบบอัปเดต bootable media ให้ใช้ certificate ใหม่ชื่อ "Windows UEFI CA 2023" ก่อนที่มาตรการป้องกัน BlackLotus UEFI bootkit จะมีผลบังคับใช้ภายในปลายปีนี้ (more…)

CRIL พบแคมเปญการโจมตีทางไซเบอร์หลายขั้นตอน โดยเริ่มต้นจากไฟล์ ZIP ที่มีไฟล์ shortcut (.lnk) ที่เป็นอันตราย ถึงแม้ว่าจะยังไม่ทราบแหล่งที่มาของไฟล์ ZIP นี้ แต่คาดว่าถูกเผยแพร่ผ่านอีเมลฟิชชิง โดยจากชื่อของไฟล์ LNK คาดว่าแคมเปญนี้มีเป้าหมายเป็นอุตสาหกรรมด้านการดูแลสุขภาพ (Healthcare) (more…)

ความเชี่ยวชาญด้าน Cloud Security, PowerShell กำลังจะกลายเป็นทักษะสำคัญของนักวิเคราะห์ความปลอดภัยทางไซเบอร์

นักวิเคราะห์ความปลอดภัยทางไซเบอร์ควรจะมีทักษะในหลาย ๆ ด้าน เช่น ทักษะการรับมือ และตอบสนองต่อภัยคุกคามทางไซเบอร์ (Incident handling and response), ทักษะการตรวจจับภัยคุกคามเชิงรุก (Threat hunting), ทักษะการจัดเก็บรวบรวม และวิเคราะห์หลักฐานทางดิจิตอล (Digital forensics), ทักษะการใช้งานภาษาคอมพิวเตอร์ทั้ง Python และ Bash scripting

(more…)

ในเดือนเมษายน 2017 นักวิจัยจาก CrowdStrike Falcon Intelligence รายงานถึงกลุ่มแฮ็กเกอร์ที่ไม่เคยถูกพบมาก่อน ซึ่งกำลังโจมตีกลุ่มผู้เชี่ยวชาญในสายงานต่าง ๆ ในสหรัฐฯ ที่มีความสัมพันธ์กับจีน การสืบสวนเพิ่มเติมทำให้พบแคมเปญการโจมตีที่ใหญ่กว่านั้น โดยแสดงให้เห็นถึงเทคนิคการโจมตีที่โดดเด่น ซึ่งกลุ่มดังกล่าวเป็นที่รู้จักจากการโจมตีองค์กรภาค NGOs อย่างกว้างขวาง

Mustang Panda เป็นกลุ่มอาชญากรทางไซเบอร์ที่มีฐานอยู่ในประเทศจีน ถูกพบครั้งแรกในปี 2017 แต่มีแนวโน้มว่าได้ปฏิบัติการมาตั้งแต่ปี 2014 โดยกลุ่มนี้ได้ทำการโจมตีหน่วยงานที่หลากหลาย เช่น องค์กรรัฐบาล, องค์กรไม่แสวงผลกำไร, สถาบันศาสนา และองค์กรนอกภาครัฐอื่น ๆ ในสหรัฐอเมริกา, ยุโรป, มองโกเลีย, เมียนมา, ปากีสถาน, เวียดนาม และภูมิภาคอื่น ๆ

ในแคมเปญที่ดำเนินการในเดือนพฤษภาคม 2024 กลุ่ม Mastang Panda ได้โจมตีหน่วยงานในประเทศเวียดนามโดยใช้เอกสารที่เกี่ยวกับ tax compliance โดยเมื่อสังเกตจากโครงสร้างพื้นฐานที่ใช้ในแคมเปญเดือนพฤษภาคม 2024 นักวิจัยได้ระบุแคมเปญอีกหนึ่งแคมเปญของเดือนเมษายน 2024 ซึ่งเป็นการโจมตีหน่วยงานด้านการศึกษา

ในทั้งสองแคมเปญ การติดมัลแวร์เริ่มต้นจากอีเมลสแปมที่มีไฟล์แนบ ซึ่งไฟล์แนบจะประกอบไปด้วยไฟล์ ZIP และ RAR ที่มีไฟล์ Windows shortcut (LNK) ที่เป็นอันตราย เพื่อเรียกใช้งานไฟล์ PowerShell, Mshta และ batch (bat) หลายไฟล์ ผลลัพธ์สุดท้ายคือไฟล์โหลด DLL ที่เป็นอันตราย ซึ่งจะทำการรัน shellcode ซึ่งสามารถดาวน์โหลด และรันไฟล์ที่อันตรายอื่น ๆ ลงในระบบได้เพิ่มเติม

รายละเอียดทางเทคนิค

CRIL พบหนึ่งแคมเปญในเดือนพฤษภาคม 2024 ที่ใช้ไฟล์ LNK ที่อันตรายชื่อ “Vanban_8647_cuong_che_thi_hanh_quyet_dinh.