กลุ่มเรียกค่าไถ่ SunCrypt ปรับแผน ส่งพระรอง “DDoS attack” มาช่วยกระตุ้นให้เหยื่อรีบจ่ายค่าไถ่

กลุ่มแฮกเกอร์ซึ่งอยู่เบื้องหลังการแพร่กระจายของมัลแวร์เรียกค่าไถ่ SunCrypt ซึ่งมีเอกลักษณ์ของการเป็นมัลแวร์เรียกค่าที่ไฟล์มัลแวร์เป็นโค้ด PowerShell นั้นมีการปรับเปลี่ยนกลยุทธิ์ในการกระตุ้นให้เหยื่อจ่ายค่าไถ่โดยการโจมตีแบบ DDoS ใส่ระบบ

DDoS extortion เป็นหนึ่งในวิธีการโจมตีซึ่งมีมานานแล้วและเคยได้รับความนิยมอยู่ช่วงหนึ่ง อ้างอิงจากการรายงานของ Bleeping Computer พฤติกรรมของ SunCrypt แตกต่างจากการทำ DDoS extortion โดยตรงเนื่องจากการโจมตีแบบ DDoS ในรูปแบบนี้เป็นเพียง "พระรอง" ในการกระตุ้นให้เหยื่อรีบจ่ายค่าไถ่หลังจากที่ "พระเอก" คือมัลแวร์เรียกค่าไถ่ทำการเข้ารหัสข้อมูลเสร็จเรียบร้อยแล้ว

จากประสบการณ์ของทางไอ-ซีเคียว วิธีการในลักษณะนี้ถือเป็นลักษณะหนึ่งของการโจมตีแบบ social engineering เช่นเดียวกับการสร้างเงื่อนไขการเพิ่มขึ้นของค่าไถ่หากไม่จ่ายในเวลาที่กำหนด อย่างไรก็ตามวิธีการนี้อาจส่งผลด้านลบต่อธุรกิจของ ransomware มากกว่าเมื่อเทียบกับการเรียกค่าไถ่ให้สูง แล้วรอให้เหยื่อมาต่อราคาลงถึงจุดที่รับได้ เนื่องจากเหยื่ออาจมีความยินดีที่จะจ่ายมากกว่า

ที่มา : bleepingcomputer

Bug in Facebook Messenger for Windows Could’ve Helped Malware Gain Persistence

บัคใน Facebook Messenger สำหรับ Windows ช่วยในการฝังตัวของมัลแวร์ในระบบได้

Reason Labs มีการเปิดเผยถึงรายละเอียดช่องโหว่ในโปรแกรม Facebook Messenger สำหรับ Windows
ผู้โจมตีสามารถใช้ช่องโหว่ในแอปพลิเคชัน Messenger รุ่น 460.16 บน Windows ในการเอ็กซีคิวต์และช่วยในการฝังตัวของมัลแวร์ในระบบได้

การฝังตัวนี้เกิดขึ้นเมื่อ Facebook Messenger มีการเรียกการทำงาน Windows PowerShell จาก C:\Python27 พาธนี้มักจะถูกสร้างเมื่อมีการติดตั้ง Python เวอร์ชัน 2.7 โดยไม่ได้มีอยู่ในการติดตั้งทั่วไปของ Windows ด้วยพฤติกรรมในลักษณะนี้ผู้โจมตีสามารถแทนที่ไฟล์หรือโปรแกรมที่ Facebook Messenger เรียกและไม่มีอยู่จริงนั้นด้วยไฟล์หรือโปรแกรมที่เป็นอันตรายได้

ช่องโหว่นี้ถูกแก้ไขในเวอร์ชัน 480.5 ผู้ใช้ที่ใช้งานในเวอร์ชันที่มีปัญหาควรทำการอัปเดตทันที

ที่มา:thehackernews

Paradise Ransomware Distributed via Uncommon Spam Attachment

Paradise Ransomware แพร่กระจายด้วยไฟล์แนบอีเมลแบบใหม่

ผู้โจมตีได้เริ่มส่งไฟล์แนบ Excel Web Query (ไฟล์นามสกุล IQY) ในแคมเปญ Phishing เพื่อดาวน์โหลดและติดตั้ง Paradise Ransomware บนเหยื่อที่ไม่ระวัง ทั้งนี้ Paradise Ransomware ค่อนข้างเก่าแก่ เกิดขึ้นตั้งเเต่ช่วงเดือนกันยายน 2017 มีการรายงานครั้งแรกโดยเหยื่อในเว็บบอร์ด BleepingComputer ตั้งแต่นั้นมาก็มีผู้ตกเป็นเหยื่ออย่างต่อเนื่องจาก ransomware ตัวนี้ในแคมเปญสแปมใหม่ที่ตรวจพบโดย บริษัทรักษาความปลอดภัยทางอินเทอร์เน็ต LastLine ผู้โจมตีที่ใช้ Paradise Ransomware ถูกพบว่ากำลังส่งอีเมลที่อ้างว่าเป็น offers orders หรือ keys โดยไฟล์แนบคือไฟล์ IQY ที่เมื่อเปิดการเชื่อมต่อกับ URL ที่มีคำสั่ง PowerShell ที่จะถูกดำเนินการเพื่อดาวน์โหลดและติดตั้ง Paradise Ransomware

ไฟล์แนบ IQY มันเป็นเพียงไฟล์ข้อความที่สั่งให้ Excel เรียกใช้คำสั่ง และแสดงผลลัพธ์ใน Excel spreadsheet ปัญหาคือไฟล์เหล่านี้ยังสามารถนำเข้าข้อมูลจาก URLs ที่มีสูตร Excel ที่สามารถเปิดใช้งาน local applications เช่น คำสั่ง PowerShell บนคอมพิวเตอร์ของเหยื่อ
ไฟล์แนบ IQY แบบนี้มีประสิทธิภาพมาก เนื่องจากสิ่งที่แนบมาเป็นเพียงไฟล์ข้อความที่ไม่มีรหัสที่เป็นอันตราย ซึ่งอาจทำให้ตรวจจับได้ยากขึ้นโดยซอฟต์แวร์ความปลอดภัย

เนื่องจาก IQY เหล่านี้ไม่มี Payload (เป็นแค่ URL) พวกมันเป็นสิ่งท้าทายให้องค์กรตรวจจับ องค์กรอาจต้องพึ่งพาบริการด้าน URL ของ 3rd party ที่มีชื่อเสียง หากพวกเขาไม่มีเครื่องมือในการวิเคราะห์และตรวจสอบ URL เหล่านี้ LastLine อธิบายไว้ในรายงานของพวกเขา นอกจากว่าคุณใช้ไฟล์ IQY โดยเฉพาะในองค์กรของคุณหรือที่บ้าน ขอแนะนำให้คุณบล็อคไฟล์เหล่านั้นด้วยซอฟต์แวร์ความปลอดภัย หรือลบอีเมลที่ใช้มันเป็นไฟล์แนบ ไฟล์แนบ IQY ที่ส่งทางอีเมลจากคนที่ไม่รู้จักมักจะเป็นอันตรายและควรถูกลบทิ้ง

ที่มา : bleepingcomputer

Windows Flaw Exploited to Deliver PowerShell Backdoor

ช่องโหว่หมายเลข CVE-2019-0859 ที่ส่งผลให้มีการเพิ่มระดับสิทธิ์ และมีการแอบฝัง PowerShell backdoor ไปยังระบบปฎิบัติการ Windows ได้ ปัจจุบันได้ถูกแก้ไขแพทช์ล่าสุดของ Microsoft และมีการอัพเดทแพทช์ ประจำเดือนเมษายน 2019 แล้ว

ทาง Kaspersky กล่าวว่าช่องโหว่นี้เกิดจากข้อผิดพลาดในการใช้งานฟรี จะถูกใช้โดยนักแสดงการคุกคามที่ไม่มีชื่อในการดำเนินการ PowerShell ซึ่งเป็นงานอัตโนมัติของ Microsoft และการจัดการการกำหนดค่าเพื่อพยายามดาวน์โหลดสคริปต์ขั้นที่สองจาก Pastebin สคริปต์ระยะที่สองนี้เรียกใช้สคริปต์อื่นที่คลายการใช้ shellcode และ shellcode สร้าง HTTP reverse shell ที่ทำให้ผู้โจมตีสามารถควบคุมอุปกรณ์เป้าหมายได้อย่างสมบูรณ์ ส่วนใหญ่จะถูกโจมตีสำหรับ Windows รุ่น 64 บิต (ตั้งแต่ Windows 7 ไปจนถึงรุ่นเก่ากว่าของ Windows 10) และใช้ประโยชน์จากช่องโหว่โดยใช้เทคนิค HMValidateHandle ที่รู้จักกันดีในการเลี่ยง ASLR

ส่วนช่องโหว่อื่นๆของ Windows เช่น (CVE-2019-0803) ที่คล้ายกับช่องโหว่ที่ระบุโดย Kaspersky นั้นได้รับการแก้ไขในเดือนนี้โดย Microsoft ข้อบกพร่องดังกล่าวซึ่งรายงานโดย บริษัท Donghai Zhu ของทีมรักษาความปลอดภัยข่าวกรอง Cloud ของ Alibaba ก็ถูกนำไปใช้เช่นกัน แต่ก็ไม่มีรายละเอียดใด ๆ เกี่ยวกับการโจมตี

ที่มา: www.

Commando VM: The First of Its Kind Windows Offensive Distribution

FireEye เปิดตัวชุดสคริปต์ปรับแต่ง Windows สำหรับงาน Offensive Security "Commando VM" โหลดฟรี!

FireEye ซึ่งเคยฝากผลงานไว้กับ Flare VM ซึ่งเป็นชุดสคริปต์สำหรับปรับแต่ง VM ให้เหมาะสมกับการตรวจสอบและวิเคราะห์ได้ทำการเปิดตัวชุดสคริปต์ที่สองภายใต้ชื่อ Commando VM โดยเป็นชุดสคริปต์ PowerShell ที่สามารถใช้เพื่อปรับแต่งระบบปฏิบัติการ Windows ให้เหมาะสมกับการทดสอบเจาะระบบหรืองานทางด้าน Offensive Security ได้

เมื่อติดตั้งสคริปต์ของ Commando VM ตัวสคริปต์จะทำการดาวโหลดและติดตั้งโปรแกรมกว่า 150 โปรแกรม ซึ่งรวมไปถึงชุดโปรแกรมทดสอบเจาะระบบที่มีเฉพาะระบบปฏิบัติการ Windows เช่น ชุดโปรแกรมที่เกี่ยวข้องกับการทำ Post Exploitation ในสภาพแวดล้อม Active Directory หรือชุด PowerShell สคริปต์รูปแบบต่างๆ

สคริปต์ Commando VM สามารถดาวโหลดได้ฟรีวันนี้ที่ https://github.

Transaction Reversal Fraud – Global

Diebold ประกาศแจ้งเตือนการโจมตี Jackpotting และมัลแวร์ในเอทีเอ็ม พร้อม Fraud แบบใหม่จาก NCR

Diebold และ NCR บริษัทผู้ผลิตและจัดจำหน่ายระบบเอทีเอ็มและ POS รายใหญ่ออกประกาศด้านความปลอดภัยในระยะเวลาไล่เลี่ยกันเมื่อวานที่ผ่านมา โดยในประกาศของ Diebold นั้นโฟกัสไปที่การโจมตีด้วยวิธีการ Jackpotting และการค้นพบมัลแวร์ในเอทีเอ็ม สว่นประกาศจาก NCR นั้นเน้นไปที่เรื่องของเทคนิคการ Fraud "Transaction Reversal Fraud (TRF)" และวิธีการป้องกัน

Diebold ประกาศหลังจากตรวจพบเพิ่มขึ้นของการโจมตีในรูปแบบ Jackpotting กับระบบเอทีเอ็มซึ่งอยู่ในยุโรปและละตินอเมริกาโดยพุ่งเป้าไปที่ตู้รุ่น Opteva ที่มีการใช้งานตัวจ่ายเงินรุ่น Advacned Function Dispenser (AFD) 1.x ผู้โจมตีอาศัยทั้งการเข้าถึงทางกายภาพและทางซอฟต์แวร์เพื่อข้ามผ่านการตรวจสอบและยืนยันอุปกรณ์ โดยมีจุดมุ่งหมายเพื่อทำให้เกิดการเชื่อมต่อกับอุปกรณ์ภายนอกที่สามารถใช้เพื่อควบคุมระบบของเอทีเอ็มให้สามารถสั่งจ่ายเงินได้ อย่างไรก็ตามการโจมตีส่วนมากที่ตรวจพบนั้นไม่ประสบความสำเร็จด้วยเหตุผลทางด้านเทคนิค Diebold แนะนำให้ผู้ใช้งานทำการอัปเดตซอฟต์แวร์ให้เป็นรุ่นล่าสุดเพื่อป้องกันการโจมตีนี้

ในขณะเดียวกัน Diebold ได้ประกาศการค้นพบมัลแวร์ที่พุ่งเป้าโจมตีระบบเอทีเอ็มภายใต้ชื่อ "Peralta" โดยมัลแวร์ชนิดดังกล่าวนั้นถูกออกแบบมาเพื่อสร้างการโจมตีแบบ Jackpotting โดยใช้ซอฟต์แวร์แทนที่จะเป็นการโจมตีทางกายภาพกับระบบเอทีเอ็ม ในการโจมตีนั้น ผู้โจมตีใช้วิธีการถอดฮาร์ดดิสก์ของเอทีเอ็มที่อยู่บริเวณด้านบนของตู้ออกก่อนจะทำการแก้ไขข้อมูลในฮาร์ดดิสก์เพื่อสอดแทรกมัลแวร์ โดยมัลแวร์จะทำการโจมตีช่องโหว่รหัส MS16-032 ซึ่งมีการแพตช์ไปแล้วเพื่อยกระดับสิทธิ์ด้วยสคริปต์ PowerShell หลังจากนั้นจึงทำการเริ่มการทำงานของส่วนหลักของมัลแวร์ที่จะเริ่มการทำงานโดยอัตโนมัติเมื่อระบบของเอทีเอ็มถูกเปิด และคอยรอรับคำสั่งที่เป็นชุดของการกดแป้นพิมพ์ต่อ

สำหรับประกาศจากทาง NCR นั้น ได้มีการแจ้งเตือนความถีที่เพิ่มขึ้นของรูปแบบการโจมตีที่มีชื่อเรียกว่า Transaction Reversal Fraud (TRF) ซึ่งเป็นการโจมตีเพื่อขโมยเงินจากเอทีเอ็มออกโดยอาศัยการทำให้เกิด "ข้อผิดพลาด" ในกระบวนการถอนเงินที่เกือบสำเร็จ ซึ่งส่งผลให้บริเวณของส่วนจ่ายเงินยังเปิดอยู่และชิงเอาเงินออกมาก่อนที่เงินจะถูกส่งคืนกลับเซฟได้

กระบวนการป้องกันการโจมตีและภัยคุกคามทั้งหมดสามารถตรวจสอบเพิ่มเติมได้จากลิงค์แหล่งที่มาส่วนท้ายบทความ

ที่มา : response

Criminals exploit PowerPoint vulnerability to spread malware

อาชญากรใช้ประโยชน์จากช่องโหว่ของ PowerPoint เพื่อแพร่กระจาย Malware

การโจมตีนี้พบในองค์กรที่อยู่ในกลุ่มอุตสาหกรรมการผลิตอุปกรณ์อิเล็กทรอนิกส์ โดยช่องโหว่นี้ช่วยให้สามารถหลีกเลี่ยงการตรวจจับจากโปรแกรม Antivirus ได้ การโจมตีเริ่มต้นด้วย Spear-Phishing Email ที่มีข้อความจากบริษัทผลิตสายเคเบิล ที่มีการแนบไฟล์ PowerPoint เมื่อมีการเปิดไฟล์จะทำให้เกิดการโจมตีผ่านช่องโหว่ของ Microsoft (CVE-2017-0199) ซึ่งทำงานโดยการรันคำสั่งบางอย่างให้มีการดาวน์โหลดไฟล์มาลงที่เครื่อง จากนั้นจะมีการสั่งให้รันไฟล์ที่ชื่อว่า 'RATMAN.EXE' ผ่าน PowerShell ทำให้ผู้โจมตีสามารถใช้ความสามารถ keylog, screenlog, เข้าถึงไมโครโฟนและกล้องบนเครื่องที่ถูกโจมตีสำเร็จ รวมทั้งสามารถดาวน์โหลด และสั่งให้ Malware อื่นๆทำงานได้เช่นเดียวกัน

ตอนนี้ Microsoft ได้เผยแพร่ Patches เพื่อแก้ไขช่องโหว่เป็นที่เรียบร้อยแล้วตั้งแต่เดือนเมษายนที่ผ่านมา จึงขอแนะนำให้ผู้ใช้ทุกคนทำการอัพเดทระบบ และเครื่องของตนเอง รวมถึงตรวจดู Email ที่ได้รับมาอย่างถี่ถ้วนก่อนทำการเปิดไฟล์ที่แนบมา จะเป็นการป้องกันการถูกโจมตีผ่านช่องโหว่นี้ได้ดีที่สุด

ที่มา: itproportal

PowerPoint File Downloads Malware When You Hover a Link, No Macros Required

Security Researcher พบไฟล์ Powerpoint ซึ่งพยายามให้ user รัน powershell หลังจากที่เมาส์วางไว้เหนือ link ใน slide ของ Powershell โดยไม่จำเป็นต้องเปิดการใช้งาน Macro แต่อย่างใด

โดยปกติ file malware ที่เป็น document ใดๆ จะมีการพยายามรันผ่าน Macro, Javascript, VBA แต่ตัวที่ Security Researcher คนนี้พบ กลับไม่ต้องพึ่งสิ่งเหล่านั้นแต่อย่างใด ขอเพียงแค่นำเมาส์ไปวางไว้เหนือ Link URL ก็จะพยายามให้ user รัน powershell ที่ถูกซ่อนไว้ทันที โดย Powerpoint ไฟล์ดังกล่าว จะมี slide แค่ slide เดียว โดย slide ดังกล่าวจะมี Link URL พร้อมกับข้อความเขียนไว้ว่า "Loading…Please wait" ซึ่งวิธีการที่ทำให้ส่วน Link URL ดังกล่าวกระทำการเปิด powershell เมื่อมีเมาส์ไปอยู่เหนือคำ "Loading.

Intrusions Affecting Multiple Victims Across Multiple Sectors

NCCIC ออกประกาศแจ้งเตือนการตรวจพบการโจมตีในวงกว้างหลายระบบและฝังมัลแวร์ PLUGX/SOGU และ REDLEAVES National Cybersecurity and Communications Integration Center (NCCIC) หนึ่งในหน่วยงานภายใต้ Department of Homeland Security (NHS) ออกประกาศแจ้งเตือนการโจมตีในวงกว้างที่เกี่ยวข้องกับหลายองค์กรและหลายระบบ ซึ่งน่าจะมีจุดเริ่มต้นย้อนกลับไปในได้ถึงในเดือนพฤษภาคม 2016 ที่ผ่านมา

เป้าหมายการโจมตีครั้งนี้อยู่ที่ระบบคอมพิวเตอร์และเครือข่ายของบริษัททั่วไปและบริษัทที่เป็นผู้ให้บริการทางด้านเทคโนโลยีสารสนเทศ
ลักษณะ เทคนิคและวิธีการโจมตีที่ผู้โจมตีใช้นั้น ในเบื้องต้น NCCIC ได้พูดถึงประเด็นการเข้าถึงข้อมูลที่เป็นรหัสผ่านหรือข้อมูลที่ใช้ในการยืนยันตัวเพื่อเข้าไปในระบบและดำเนินการฝังมัลแวร์เพื่อเข้าสู่ระบบอื่นๆ โดยวิธีการที่ผู้โจมตีใช้มักจะเป็นเครื่องมือบนภาษาสคริปต์ PowerShell เป็นหลัก

เมื่อมัลแวร์ที่ติดตั้งบนเครื่องของเหยื่อได้แล้ว มัลแวร์จะมีการติดต่อไปยังเซิร์ฟเวอร์ที่ใช้ออกคำสั่งและควบคุม (C2) โดยมีการเข้ารหัสข้อมูลที่มีการรับส่งกันด้วยอัลกอริธึมการเข้ารหัส RC4 ผ่านพอร์ต 443 ไปยังโดเมนปลายทางที่มีการเปลี่ยนหมายเลขไอพีอยู่ตลอดเวลา และในบังคับก็มีการเลียนแบบ C2 เป็นเว็บไซต์ของ Windows Update เพื่อให้สังเกตได้ยากขึ้น มัลแวร์ที่ผู้โจมตีมีการใช้งานนั้นบางส่วนยังไม่ถูกตรวจจับได้ด้วยวิธีการแบบ signature-based ทำให้ยังไม่สามารถระบุประเภทได้ แต่บางส่วนก็สามารถระบุประเภทได้โดยเป็นมัลแวร์ PLUGX/SOGU และ REDLEAVES อย่างไรก็ตาม NCCIC ยังตรวจพบมัลแวร์ที่รันอยู่บนหน่วยความจำอย่างเดียว (fileless) โดยไม่ทิ้งหลักฐานที่เป็นไฟล์อยู่บนเครื่องอีกด้วย

ตัวอย่างของ IOC สามารถตรวจสอบได้จากไฟล์ STIX และ xlsx รวมไปถึงรายละเอียดการวิเคราะห์มัลแวร์ในเบื้องต้นสามารถตรวจสอบได้จากลิงค์แหล่งที่มาด้านล่าง

ที่มา: us-cert.

PowerWare, New Ransomware Written in PowerShell, Targets Organizations via Microsoft Word

นักวิจัยด้านความปลอดภัยจาก Carbon Black พบ Ransomware หรือมัลแวร์เรียกค่าไถ่สายพันธ์ใหม่ PowerWare ransomware มีเป้าหมายเป็นองค์กรที่ใช้งานโปรแกรม Microsoft Word และใช้งาน PowerShell โดย PowerWare จะแพร่กระจายอีเมล์โดยการแนบไฟล์ Word เมื่อผู้ใช้เปิดไฟล์ Word และเปิดการใช้งาน Macro จะส่งผลให้ Macro ไปเรียกใช้งาน cmd.