กลุ่มแฮ็กเกอร์ชาวอิหร่าน MuddyWater กำลังใช้มัลแวร์ตัวใหม่เพื่อโจมตีไปยังองค์กรต่างๆทั่วโลก

หน่วยงานด้านความปลอดภัยทางไซเบอร์จากสหรัฐอเมริกาได้เปิดเผยมัลแวร์ตัวใหม่ที่ใช้โดยกลุ่ม APT ที่ได้รับการสนับสนุนจากรัฐบาลอิหร่านในการโจมตีที่มุ่งเป้าไปยังรัฐบาล และเครือข่ายการค้าทั่วโลก

ข้อมูลนี้ได้รับการยืนยันเช่นเดียวกันจากสำนักงานสืบสวนกลางแห่งสหรัฐอเมริกา (FBI) สำนักงานความมั่นคงปลอดภัยทางไซเบอร์ และโครงสร้างพื้นฐาน (CISA) กองกำลังปฏิบัติการทางไซเบอร์แห่งชาติของสหรัฐฯ (CNMF) และศูนย์ความมั่นคงทางไซเบอร์แห่งชาติ (NCSC)

ในปีนี้กลุ่ม MuddyWater ถูกเปิดเผยว่ากำลังดำเนินการภายใต้ปฏิบัติการของกระทรวงข่าวกรอง และความมั่นคงของอิหร่าน (MOIS) ที่มุ่งเป้าไปยังองค์กรภาครัฐ และเอกชนหลายราย รวมถึงผู้ให้บริการโทรคมนาคม การป้องกันประเทศ รัฐบาลท้องถิ่น และภาคอุตสาหกรรมน้ำมัน และก๊าซธรรมชาติ ในเอเชีย แอฟริกา ยุโรป และอเมริกาเหนือ

กลุ่ม MuddyWater ยังเป็นที่รู้จักภายใต้ชื่อ Earth Vetala, MERCURY, Static Kitten, Seedworm และ TEMP.Zagros โดยมีเป้าหมายในการโจมตีทางไซเบอร์เพื่อสนับสนุนวัตถุประสงค์ของ MOIS มาตั้งแต่ปี 2018

(more…)

Microsoft ออกสคริปช่วยบรรเทาผลกระทบจากช่องโหว่ใน Exchange

Microsoft ออก Exchange On-premises Mitigation Tool (EOMT) ซึ่งเป็นสคริป PowerShell เพื่อช่วยองค์กรขนาดเล็กในการบรรเทาผลกระทบจากช่องโหว่ ProxyLogon ใน Exchange โดยสคริปดังกล่าวรองรับ Exchange 2013, 2016 และ 2019 โดยสคริปดังกล่าวจะ

ตรวจสอบว่ามีช่องโหว่หรือไม่
บรรเทาผลกระทบจากช่องโหว่ CVE-2021-26855 ด้วย URL Rewrite configuration
ดาวน์โหลดและรัน Microsoft Safety Scanner เพื่อค้นหา webshell ที่อาจมีฝังไว้
ลบไฟล์อันตรายที่ Microsoft Safety Scanner พบ

Microsoft ระบุว่าสคริปดังกล่าวเป็นเพียงการบรรเทาผลกระทบชั่วคราวเท่านั้น ผู้ดูแลระบบควรอัปเดตแพตช์จะเป็นการดีที่สุด สามารถอ่านรายละเอียดของสคริปดังกล่าวได้ที่ microsoft

ที่มา msrc-blog

European Banking Authority ปิดระบบอีเมลทั้งหมดหลังจากที่เซิร์ฟเวอร์ Microsoft Exchange ถูกแฮกด้วยช่องโหว่ Zero-day

European Banking Authority (EBA) ได้ทำการปิดระบบอีเมลทั้งหมดหลังจากที่เซิร์ฟเวอร์ Microsoft Exchange ของ EBA ถูกแฮกด้วยช่องโหว่ Zero-day ที่ถูกพบในเซิร์ฟเวอร์ Microsoft Exchange ซึ่งการโจมตีด้วยช่องโหว่ดังกล่าวกำลังกระจายไปอย่างต่อเนื่องและถูกกำหนดเป้าหมายไปยังองค์กรต่าง ๆ ทั่วโลก

ในสัปดาห์ที่ผ่านมาไมโครซอฟท์ได้ออกเเพตช์ฉุกเฉินสำหรับแก้ไขช่องโหว่ Zero-day ซึ่งช่องโหว่จะส่งผลผลกระทบต่อเซิร์ฟเวอร์ Microsoft Exchange หลายเวอร์ชันและพบการใช้ประโยชน์จากช่องโหว่ในการโจมตีอย่างต่อเนื่องจากกลุ่มแฮกเกอร์

EBA เป็นหน่วยงานส่วนหนึ่งของระบบการกำกับดูแลทางการเงินของสหภาพยุโรปและดูแลการทำงานของภาคธนาคารในสหภาพยุโรป การสืบสวนกำลังถูกดำเนินการเพื่อระบุว่ามีการเข้าถึงข้อมูลใดบ้าง ทั้งนี้คำแนะนำเบื้องต้นที่เผยแพร่เมื่อวันอาทิตย์ที่ผ่านมาได้ระบุว่าผู้โจมตีอาจเข้าถึงข้อมูลส่วนบุคคลที่เก็บไว้ในเซิร์ฟเวอร์อีเมล แต่ผู้เชี่ยวชาญด้านนิติวิทยาศาสตร์ยังไม่พบสัญญาณของการบุกรุกข้อมูลและการสืบสวนยังคงมีอย่างต่อเนื่อง ซึ่ง EBA จะปรับใช้มาตรการรักษาความปลอดภัยเพิ่มเติมและดูแลอย่างใกล้ชิดในมุมมองของการฟื้นฟูการทำงานอย่างเต็มรูปแบบของเซิร์ฟเวอร์อีเมล

หน่วยงาน CISA (Cybersecurity and Infrastructure Security Agency) ได้ออกแจ้งเตือนถึงการใช้ช่องโหว่ Zero-day ของ Microsoft Exchange Server ทั้งในและต่างประเทศอย่างกว้างขวาง โดยเรียกร้องให้ผู้ดูแลระบบใช้เครื่องมือตรวจจับ Indicators of Compromise (IOC) ของ Microsoft เพื่อตรวจหาสัญญาณการบุกรุกภายในองค์กร

ทั้งนี้ Microsoft ได้ออกเครื่องมือ Microsoft Safety Scanner (MSERT) เพื่อใช้ตรวจจับเว็บเชลล์ที่ถูกใช้ในการโจมตีและสคริปต์ PowerShell เพื่อค้นหา IOC ใน log file บน Exchange และ OWA ผู้ดูแลระบบสามารถโหลด MSERT ได้ที่: microsoft

สำหรับสคริปต์ PowerShell สามารถโหลดได้ที่: github

ที่มา: bleepingcomputer

กลุ่มแฮกเกอร์รับจ้างใช้เครืองมือเเฮกชนิดใหม่ที่ชื่อ PowerPepper ในการโจมตีผู้ใช้ล่าสุด

นักวิจัยด้านความปลอดภัยของ Kaspersky ได้เปิดเผยรายละเอียดเกี่ยวกับแบ็คดอร์ PowerShell ใน Windows ที่พึ่งมีการค้นพบ โดยแบ็คดอร์ที่มีการค้นพบนั้นถูกระบุชื่อว่า PowerPepper ตามภาษาที่ถูกใช้เพื่อพัฒนาแบ็คดอร์ เชื่อว่าเป็นแบ็คดอร์ที่ถูกพัฒนามาจากกลุ่ม Advanced Persistent Threat (APT) รับจ้างที่มีชื่อว่า DeathStalker

กลุ่ม DeathStalker เป็นกลุ่ม APT ที่ถูกพบครั้งเเรกในปี 2012 โดยมีการกำหนดเป้าหมายการโจมตีไปยังกลุ่มธุรกิจขนาดเล็กถึงขนาดกลางในหลายสิบประเทศตามคำขอของลูกค้าที่ทำการว่าจ้าง กิจกรรมการโจมตีที่ถูกตรวจพบว่ามีการใช้ PowerPepper ถูกพบครั้งแรกเมื่อต้นเดือนกรกฎาคมที่ผ่านมา การโจมตีส่วนใหญ่เริ่มต้นด้วยอีเมล Spear-phishing ที่มีไฟล์เอกสาร Word ที่เป็นอันตราย ซึ่งเมื่อคลิกแล้วจะดาวน์โหลดและเรียกใช้สคริปต์ PowerShell ชื่อ Powersing เพื่อดำเนินการรันคำสั่งอันตราย จากนั้นมัลแวร์จะใช้ประโยชน์จากโปรโตคอล DNS-over-HTTPS (DoH) เป็นช่องทางการสื่อสารจากเซิร์ฟเวอร์ Command and Control (C&C) ของผู้ประสงค์ร้าย

เพื่อเป็นการป้องกันการตกเป็นเหยื่อผู้ใช้ควรระมัดระวังในการเปิดเอกสารที่แนบมากับอีเมล หรือคลิกลิงก์ในอีเมลจากผู้ส่งที่ไม่รู้จัก หรือผู้ดูแลระบบควรทำจำกัดการใช้งาน PowerShell บนคอมพิวเตอร์ของผู้ใช้ด้วยอีกทางหนึ่ง

ที่มา: thehackernews | securityweek

US shares info on Russian malware used to target parliaments, embassies

หน่วย US Cyber Command เผยแพร่ข้อมูลแบ็คดอร์ซึ่งถูกใช้โดยรัสเซีย พุ่งเป้าหน่วยงานราชการในหลายประเทศ

หน่วย US Cyber Command เผยแพร่ข้อมูลแบ็คดอร์ที่ถูกใช้โดยกลุ่มแฮกเกอร์ Turla และ APT28 ซึ่งเชื่อว่ามีรัฐบาลรัสเซียหนุนหลังปฏิบัติการ กลุ่ม Turla พุ่งเป้าหน่วยงานราชการในหลายประเทศ โดยมีประวัติการโจมตีกองบัญชาการกลางของกองทัพสหรัฐฯ, กระทรวงกลาโหมและองค์การนาซ่าด้วย

ข้อมูลของมัลแวร์ที่เผยแพร่ออกมานั้นมีสองส่วน ส่วนแรกเป็นสคริปต์ซึ่งเกี่ยวข้องกับมัลแวร์ ComRAT ในลักษณะของสคริปต์ PowerShell (https://us-cert.

กลุ่มเรียกค่าไถ่ SunCrypt ปรับแผน ส่งพระรอง “DDoS attack” มาช่วยกระตุ้นให้เหยื่อรีบจ่ายค่าไถ่

กลุ่มแฮกเกอร์ซึ่งอยู่เบื้องหลังการแพร่กระจายของมัลแวร์เรียกค่าไถ่ SunCrypt ซึ่งมีเอกลักษณ์ของการเป็นมัลแวร์เรียกค่าที่ไฟล์มัลแวร์เป็นโค้ด PowerShell นั้นมีการปรับเปลี่ยนกลยุทธิ์ในการกระตุ้นให้เหยื่อจ่ายค่าไถ่โดยการโจมตีแบบ DDoS ใส่ระบบ

DDoS extortion เป็นหนึ่งในวิธีการโจมตีซึ่งมีมานานแล้วและเคยได้รับความนิยมอยู่ช่วงหนึ่ง อ้างอิงจากการรายงานของ Bleeping Computer พฤติกรรมของ SunCrypt แตกต่างจากการทำ DDoS extortion โดยตรงเนื่องจากการโจมตีแบบ DDoS ในรูปแบบนี้เป็นเพียง "พระรอง" ในการกระตุ้นให้เหยื่อรีบจ่ายค่าไถ่หลังจากที่ "พระเอก" คือมัลแวร์เรียกค่าไถ่ทำการเข้ารหัสข้อมูลเสร็จเรียบร้อยแล้ว

จากประสบการณ์ของทางไอ-ซีเคียว วิธีการในลักษณะนี้ถือเป็นลักษณะหนึ่งของการโจมตีแบบ social engineering เช่นเดียวกับการสร้างเงื่อนไขการเพิ่มขึ้นของค่าไถ่หากไม่จ่ายในเวลาที่กำหนด อย่างไรก็ตามวิธีการนี้อาจส่งผลด้านลบต่อธุรกิจของ ransomware มากกว่าเมื่อเทียบกับการเรียกค่าไถ่ให้สูง แล้วรอให้เหยื่อมาต่อราคาลงถึงจุดที่รับได้ เนื่องจากเหยื่ออาจมีความยินดีที่จะจ่ายมากกว่า

ที่มา : bleepingcomputer

Bug in Facebook Messenger for Windows Could’ve Helped Malware Gain Persistence

บัคใน Facebook Messenger สำหรับ Windows ช่วยในการฝังตัวของมัลแวร์ในระบบได้

Reason Labs มีการเปิดเผยถึงรายละเอียดช่องโหว่ในโปรแกรม Facebook Messenger สำหรับ Windows
ผู้โจมตีสามารถใช้ช่องโหว่ในแอปพลิเคชัน Messenger รุ่น 460.16 บน Windows ในการเอ็กซีคิวต์และช่วยในการฝังตัวของมัลแวร์ในระบบได้

การฝังตัวนี้เกิดขึ้นเมื่อ Facebook Messenger มีการเรียกการทำงาน Windows PowerShell จาก C:\Python27 พาธนี้มักจะถูกสร้างเมื่อมีการติดตั้ง Python เวอร์ชัน 2.7 โดยไม่ได้มีอยู่ในการติดตั้งทั่วไปของ Windows ด้วยพฤติกรรมในลักษณะนี้ผู้โจมตีสามารถแทนที่ไฟล์หรือโปรแกรมที่ Facebook Messenger เรียกและไม่มีอยู่จริงนั้นด้วยไฟล์หรือโปรแกรมที่เป็นอันตรายได้

ช่องโหว่นี้ถูกแก้ไขในเวอร์ชัน 480.5 ผู้ใช้ที่ใช้งานในเวอร์ชันที่มีปัญหาควรทำการอัปเดตทันที

ที่มา:thehackernews

Paradise Ransomware Distributed via Uncommon Spam Attachment

Paradise Ransomware แพร่กระจายด้วยไฟล์แนบอีเมลแบบใหม่

ผู้โจมตีได้เริ่มส่งไฟล์แนบ Excel Web Query (ไฟล์นามสกุล IQY) ในแคมเปญ Phishing เพื่อดาวน์โหลดและติดตั้ง Paradise Ransomware บนเหยื่อที่ไม่ระวัง ทั้งนี้ Paradise Ransomware ค่อนข้างเก่าแก่ เกิดขึ้นตั้งเเต่ช่วงเดือนกันยายน 2017 มีการรายงานครั้งแรกโดยเหยื่อในเว็บบอร์ด BleepingComputer ตั้งแต่นั้นมาก็มีผู้ตกเป็นเหยื่ออย่างต่อเนื่องจาก ransomware ตัวนี้ในแคมเปญสแปมใหม่ที่ตรวจพบโดย บริษัทรักษาความปลอดภัยทางอินเทอร์เน็ต LastLine ผู้โจมตีที่ใช้ Paradise Ransomware ถูกพบว่ากำลังส่งอีเมลที่อ้างว่าเป็น offers orders หรือ keys โดยไฟล์แนบคือไฟล์ IQY ที่เมื่อเปิดการเชื่อมต่อกับ URL ที่มีคำสั่ง PowerShell ที่จะถูกดำเนินการเพื่อดาวน์โหลดและติดตั้ง Paradise Ransomware

ไฟล์แนบ IQY มันเป็นเพียงไฟล์ข้อความที่สั่งให้ Excel เรียกใช้คำสั่ง และแสดงผลลัพธ์ใน Excel spreadsheet ปัญหาคือไฟล์เหล่านี้ยังสามารถนำเข้าข้อมูลจาก URLs ที่มีสูตร Excel ที่สามารถเปิดใช้งาน local applications เช่น คำสั่ง PowerShell บนคอมพิวเตอร์ของเหยื่อ
ไฟล์แนบ IQY แบบนี้มีประสิทธิภาพมาก เนื่องจากสิ่งที่แนบมาเป็นเพียงไฟล์ข้อความที่ไม่มีรหัสที่เป็นอันตราย ซึ่งอาจทำให้ตรวจจับได้ยากขึ้นโดยซอฟต์แวร์ความปลอดภัย

เนื่องจาก IQY เหล่านี้ไม่มี Payload (เป็นแค่ URL) พวกมันเป็นสิ่งท้าทายให้องค์กรตรวจจับ องค์กรอาจต้องพึ่งพาบริการด้าน URL ของ 3rd party ที่มีชื่อเสียง หากพวกเขาไม่มีเครื่องมือในการวิเคราะห์และตรวจสอบ URL เหล่านี้ LastLine อธิบายไว้ในรายงานของพวกเขา นอกจากว่าคุณใช้ไฟล์ IQY โดยเฉพาะในองค์กรของคุณหรือที่บ้าน ขอแนะนำให้คุณบล็อคไฟล์เหล่านั้นด้วยซอฟต์แวร์ความปลอดภัย หรือลบอีเมลที่ใช้มันเป็นไฟล์แนบ ไฟล์แนบ IQY ที่ส่งทางอีเมลจากคนที่ไม่รู้จักมักจะเป็นอันตรายและควรถูกลบทิ้ง

ที่มา : bleepingcomputer

Windows Flaw Exploited to Deliver PowerShell Backdoor

ช่องโหว่หมายเลข CVE-2019-0859 ที่ส่งผลให้มีการเพิ่มระดับสิทธิ์ และมีการแอบฝัง PowerShell backdoor ไปยังระบบปฎิบัติการ Windows ได้ ปัจจุบันได้ถูกแก้ไขแพทช์ล่าสุดของ Microsoft และมีการอัพเดทแพทช์ ประจำเดือนเมษายน 2019 แล้ว

ทาง Kaspersky กล่าวว่าช่องโหว่นี้เกิดจากข้อผิดพลาดในการใช้งานฟรี จะถูกใช้โดยนักแสดงการคุกคามที่ไม่มีชื่อในการดำเนินการ PowerShell ซึ่งเป็นงานอัตโนมัติของ Microsoft และการจัดการการกำหนดค่าเพื่อพยายามดาวน์โหลดสคริปต์ขั้นที่สองจาก Pastebin สคริปต์ระยะที่สองนี้เรียกใช้สคริปต์อื่นที่คลายการใช้ shellcode และ shellcode สร้าง HTTP reverse shell ที่ทำให้ผู้โจมตีสามารถควบคุมอุปกรณ์เป้าหมายได้อย่างสมบูรณ์ ส่วนใหญ่จะถูกโจมตีสำหรับ Windows รุ่น 64 บิต (ตั้งแต่ Windows 7 ไปจนถึงรุ่นเก่ากว่าของ Windows 10) และใช้ประโยชน์จากช่องโหว่โดยใช้เทคนิค HMValidateHandle ที่รู้จักกันดีในการเลี่ยง ASLR

ส่วนช่องโหว่อื่นๆของ Windows เช่น (CVE-2019-0803) ที่คล้ายกับช่องโหว่ที่ระบุโดย Kaspersky นั้นได้รับการแก้ไขในเดือนนี้โดย Microsoft ข้อบกพร่องดังกล่าวซึ่งรายงานโดย บริษัท Donghai Zhu ของทีมรักษาความปลอดภัยข่าวกรอง Cloud ของ Alibaba ก็ถูกนำไปใช้เช่นกัน แต่ก็ไม่มีรายละเอียดใด ๆ เกี่ยวกับการโจมตี

ที่มา: www.

Commando VM: The First of Its Kind Windows Offensive Distribution

FireEye เปิดตัวชุดสคริปต์ปรับแต่ง Windows สำหรับงาน Offensive Security "Commando VM" โหลดฟรี!

FireEye ซึ่งเคยฝากผลงานไว้กับ Flare VM ซึ่งเป็นชุดสคริปต์สำหรับปรับแต่ง VM ให้เหมาะสมกับการตรวจสอบและวิเคราะห์ได้ทำการเปิดตัวชุดสคริปต์ที่สองภายใต้ชื่อ Commando VM โดยเป็นชุดสคริปต์ PowerShell ที่สามารถใช้เพื่อปรับแต่งระบบปฏิบัติการ Windows ให้เหมาะสมกับการทดสอบเจาะระบบหรืองานทางด้าน Offensive Security ได้

เมื่อติดตั้งสคริปต์ของ Commando VM ตัวสคริปต์จะทำการดาวโหลดและติดตั้งโปรแกรมกว่า 150 โปรแกรม ซึ่งรวมไปถึงชุดโปรแกรมทดสอบเจาะระบบที่มีเฉพาะระบบปฏิบัติการ Windows เช่น ชุดโปรแกรมที่เกี่ยวข้องกับการทำ Post Exploitation ในสภาพแวดล้อม Active Directory หรือชุด PowerShell สคริปต์รูปแบบต่างๆ

สคริปต์ Commando VM สามารถดาวโหลดได้ฟรีวันนี้ที่ https://github.