Transaction Reversal Fraud – Global

Diebold ประกาศแจ้งเตือนการโจมตี Jackpotting และมัลแวร์ในเอทีเอ็ม พร้อม Fraud แบบใหม่จาก NCR

Diebold และ NCR บริษัทผู้ผลิตและจัดจำหน่ายระบบเอทีเอ็มและ POS รายใหญ่ออกประกาศด้านความปลอดภัยในระยะเวลาไล่เลี่ยกันเมื่อวานที่ผ่านมา โดยในประกาศของ Diebold นั้นโฟกัสไปที่การโจมตีด้วยวิธีการ Jackpotting และการค้นพบมัลแวร์ในเอทีเอ็ม สว่นประกาศจาก NCR นั้นเน้นไปที่เรื่องของเทคนิคการ Fraud "Transaction Reversal Fraud (TRF)" และวิธีการป้องกัน

Diebold ประกาศหลังจากตรวจพบเพิ่มขึ้นของการโจมตีในรูปแบบ Jackpotting กับระบบเอทีเอ็มซึ่งอยู่ในยุโรปและละตินอเมริกาโดยพุ่งเป้าไปที่ตู้รุ่น Opteva ที่มีการใช้งานตัวจ่ายเงินรุ่น Advacned Function Dispenser (AFD) 1.x ผู้โจมตีอาศัยทั้งการเข้าถึงทางกายภาพและทางซอฟต์แวร์เพื่อข้ามผ่านการตรวจสอบและยืนยันอุปกรณ์ โดยมีจุดมุ่งหมายเพื่อทำให้เกิดการเชื่อมต่อกับอุปกรณ์ภายนอกที่สามารถใช้เพื่อควบคุมระบบของเอทีเอ็มให้สามารถสั่งจ่ายเงินได้ อย่างไรก็ตามการโจมตีส่วนมากที่ตรวจพบนั้นไม่ประสบความสำเร็จด้วยเหตุผลทางด้านเทคนิค Diebold แนะนำให้ผู้ใช้งานทำการอัปเดตซอฟต์แวร์ให้เป็นรุ่นล่าสุดเพื่อป้องกันการโจมตีนี้

ในขณะเดียวกัน Diebold ได้ประกาศการค้นพบมัลแวร์ที่พุ่งเป้าโจมตีระบบเอทีเอ็มภายใต้ชื่อ "Peralta" โดยมัลแวร์ชนิดดังกล่าวนั้นถูกออกแบบมาเพื่อสร้างการโจมตีแบบ Jackpotting โดยใช้ซอฟต์แวร์แทนที่จะเป็นการโจมตีทางกายภาพกับระบบเอทีเอ็ม ในการโจมตีนั้น ผู้โจมตีใช้วิธีการถอดฮาร์ดดิสก์ของเอทีเอ็มที่อยู่บริเวณด้านบนของตู้ออกก่อนจะทำการแก้ไขข้อมูลในฮาร์ดดิสก์เพื่อสอดแทรกมัลแวร์ โดยมัลแวร์จะทำการโจมตีช่องโหว่รหัส MS16-032 ซึ่งมีการแพตช์ไปแล้วเพื่อยกระดับสิทธิ์ด้วยสคริปต์ PowerShell หลังจากนั้นจึงทำการเริ่มการทำงานของส่วนหลักของมัลแวร์ที่จะเริ่มการทำงานโดยอัตโนมัติเมื่อระบบของเอทีเอ็มถูกเปิด และคอยรอรับคำสั่งที่เป็นชุดของการกดแป้นพิมพ์ต่อ

สำหรับประกาศจากทาง NCR นั้น ได้มีการแจ้งเตือนความถีที่เพิ่มขึ้นของรูปแบบการโจมตีที่มีชื่อเรียกว่า Transaction Reversal Fraud (TRF) ซึ่งเป็นการโจมตีเพื่อขโมยเงินจากเอทีเอ็มออกโดยอาศัยการทำให้เกิด "ข้อผิดพลาด" ในกระบวนการถอนเงินที่เกือบสำเร็จ ซึ่งส่งผลให้บริเวณของส่วนจ่ายเงินยังเปิดอยู่และชิงเอาเงินออกมาก่อนที่เงินจะถูกส่งคืนกลับเซฟได้

กระบวนการป้องกันการโจมตีและภัยคุกคามทั้งหมดสามารถตรวจสอบเพิ่มเติมได้จากลิงค์แหล่งที่มาส่วนท้ายบทความ

ที่มา : response

Criminals exploit PowerPoint vulnerability to spread malware

อาชญากรใช้ประโยชน์จากช่องโหว่ของ PowerPoint เพื่อแพร่กระจาย Malware

การโจมตีนี้พบในองค์กรที่อยู่ในกลุ่มอุตสาหกรรมการผลิตอุปกรณ์อิเล็กทรอนิกส์ โดยช่องโหว่นี้ช่วยให้สามารถหลีกเลี่ยงการตรวจจับจากโปรแกรม Antivirus ได้ การโจมตีเริ่มต้นด้วย Spear-Phishing Email ที่มีข้อความจากบริษัทผลิตสายเคเบิล ที่มีการแนบไฟล์ PowerPoint เมื่อมีการเปิดไฟล์จะทำให้เกิดการโจมตีผ่านช่องโหว่ของ Microsoft (CVE-2017-0199) ซึ่งทำงานโดยการรันคำสั่งบางอย่างให้มีการดาวน์โหลดไฟล์มาลงที่เครื่อง จากนั้นจะมีการสั่งให้รันไฟล์ที่ชื่อว่า 'RATMAN.EXE' ผ่าน PowerShell ทำให้ผู้โจมตีสามารถใช้ความสามารถ keylog, screenlog, เข้าถึงไมโครโฟนและกล้องบนเครื่องที่ถูกโจมตีสำเร็จ รวมทั้งสามารถดาวน์โหลด และสั่งให้ Malware อื่นๆทำงานได้เช่นเดียวกัน

ตอนนี้ Microsoft ได้เผยแพร่ Patches เพื่อแก้ไขช่องโหว่เป็นที่เรียบร้อยแล้วตั้งแต่เดือนเมษายนที่ผ่านมา จึงขอแนะนำให้ผู้ใช้ทุกคนทำการอัพเดทระบบ และเครื่องของตนเอง รวมถึงตรวจดู Email ที่ได้รับมาอย่างถี่ถ้วนก่อนทำการเปิดไฟล์ที่แนบมา จะเป็นการป้องกันการถูกโจมตีผ่านช่องโหว่นี้ได้ดีที่สุด

ที่มา: itproportal

PowerPoint File Downloads Malware When You Hover a Link, No Macros Required

Security Researcher พบไฟล์ Powerpoint ซึ่งพยายามให้ user รัน powershell หลังจากที่เมาส์วางไว้เหนือ link ใน slide ของ Powershell โดยไม่จำเป็นต้องเปิดการใช้งาน Macro แต่อย่างใด

โดยปกติ file malware ที่เป็น document ใดๆ จะมีการพยายามรันผ่าน Macro, Javascript, VBA แต่ตัวที่ Security Researcher คนนี้พบ กลับไม่ต้องพึ่งสิ่งเหล่านั้นแต่อย่างใด ขอเพียงแค่นำเมาส์ไปวางไว้เหนือ Link URL ก็จะพยายามให้ user รัน powershell ที่ถูกซ่อนไว้ทันที โดย Powerpoint ไฟล์ดังกล่าว จะมี slide แค่ slide เดียว โดย slide ดังกล่าวจะมี Link URL พร้อมกับข้อความเขียนไว้ว่า "Loading…Please wait" ซึ่งวิธีการที่ทำให้ส่วน Link URL ดังกล่าวกระทำการเปิด powershell เมื่อมีเมาส์ไปอยู่เหนือคำ "Loading.

Intrusions Affecting Multiple Victims Across Multiple Sectors

NCCIC ออกประกาศแจ้งเตือนการตรวจพบการโจมตีในวงกว้างหลายระบบและฝังมัลแวร์ PLUGX/SOGU และ REDLEAVES National Cybersecurity and Communications Integration Center (NCCIC) หนึ่งในหน่วยงานภายใต้ Department of Homeland Security (NHS) ออกประกาศแจ้งเตือนการโจมตีในวงกว้างที่เกี่ยวข้องกับหลายองค์กรและหลายระบบ ซึ่งน่าจะมีจุดเริ่มต้นย้อนกลับไปในได้ถึงในเดือนพฤษภาคม 2016 ที่ผ่านมา

เป้าหมายการโจมตีครั้งนี้อยู่ที่ระบบคอมพิวเตอร์และเครือข่ายของบริษัททั่วไปและบริษัทที่เป็นผู้ให้บริการทางด้านเทคโนโลยีสารสนเทศ
ลักษณะ เทคนิคและวิธีการโจมตีที่ผู้โจมตีใช้นั้น ในเบื้องต้น NCCIC ได้พูดถึงประเด็นการเข้าถึงข้อมูลที่เป็นรหัสผ่านหรือข้อมูลที่ใช้ในการยืนยันตัวเพื่อเข้าไปในระบบและดำเนินการฝังมัลแวร์เพื่อเข้าสู่ระบบอื่นๆ โดยวิธีการที่ผู้โจมตีใช้มักจะเป็นเครื่องมือบนภาษาสคริปต์ PowerShell เป็นหลัก

เมื่อมัลแวร์ที่ติดตั้งบนเครื่องของเหยื่อได้แล้ว มัลแวร์จะมีการติดต่อไปยังเซิร์ฟเวอร์ที่ใช้ออกคำสั่งและควบคุม (C2) โดยมีการเข้ารหัสข้อมูลที่มีการรับส่งกันด้วยอัลกอริธึมการเข้ารหัส RC4 ผ่านพอร์ต 443 ไปยังโดเมนปลายทางที่มีการเปลี่ยนหมายเลขไอพีอยู่ตลอดเวลา และในบังคับก็มีการเลียนแบบ C2 เป็นเว็บไซต์ของ Windows Update เพื่อให้สังเกตได้ยากขึ้น มัลแวร์ที่ผู้โจมตีมีการใช้งานนั้นบางส่วนยังไม่ถูกตรวจจับได้ด้วยวิธีการแบบ signature-based ทำให้ยังไม่สามารถระบุประเภทได้ แต่บางส่วนก็สามารถระบุประเภทได้โดยเป็นมัลแวร์ PLUGX/SOGU และ REDLEAVES อย่างไรก็ตาม NCCIC ยังตรวจพบมัลแวร์ที่รันอยู่บนหน่วยความจำอย่างเดียว (fileless) โดยไม่ทิ้งหลักฐานที่เป็นไฟล์อยู่บนเครื่องอีกด้วย

ตัวอย่างของ IOC สามารถตรวจสอบได้จากไฟล์ STIX และ xlsx รวมไปถึงรายละเอียดการวิเคราะห์มัลแวร์ในเบื้องต้นสามารถตรวจสอบได้จากลิงค์แหล่งที่มาด้านล่าง

ที่มา: us-cert.

PowerWare, New Ransomware Written in PowerShell, Targets Organizations via Microsoft Word

นักวิจัยด้านความปลอดภัยจาก Carbon Black พบ Ransomware หรือมัลแวร์เรียกค่าไถ่สายพันธ์ใหม่ PowerWare ransomware มีเป้าหมายเป็นองค์กรที่ใช้งานโปรแกรม Microsoft Word และใช้งาน PowerShell โดย PowerWare จะแพร่กระจายอีเมล์โดยการแนบไฟล์ Word เมื่อผู้ใช้เปิดไฟล์ Word และเปิดการใช้งาน Macro จะส่งผลให้ Macro ไปเรียกใช้งาน cmd.