มัลแวร์ QBot เริ่มใช้ช่องโหว่ DLL hijacking ในโปรแกรม WordPad บนวินโดวส์ 10 เพื่อทำให้คอมพิวเตอร์ติดมัลแวร์ เพื่อหลีกเลี่ยงการตรวจจับจากซอฟต์แวร์รักษาความปลอดภัย

DLL คือไฟล์ไลบรารีที่มีฟังก์ชันที่สามารถถูกใช้โดยโปรแกรมมากกว่าหนึ่งโปรแกรมในเวลาเดียวกัน โดยเมื่อมีการเปิดแอปพลิเคชัน แอปพลิเคชันจะพยายามโหลด DLL ที่จำเป็นต้องเรียกใช้งาน ซึ่งวินโดวส์จะจัดลำดับความสำคัญของ DLL ให้กับไฟล์ DLL ที่อยู่ในโฟลเดอร์เดียวกันกับไฟล์ของแอปพลิเคชัน โดยจะโหลดก่อนเป็นอันดับแรก

DLL hijacking คือวิธีการที่ผู้โจมตีสร้าง DLL ที่เป็นอันตรายซึ่งมีชื่อเดียวกันกับไฟล์ DLL ที่ถูกต้อง และวางไว้ในเส้นทางการค้นหาไฟล์ DLL ของวินโดวส์ก่อน ซึ่งมักจะเป็นโฟลเดอร์เดียวกับไฟล์ของแอปพลิเคชัน ทำให้เมื่อเรียกใช้ไฟล์ของแอปพลิเคชันนั้น มันจะโหลด DLL ของมัลแวร์แทนไฟล์ที่ถูกต้อง และดำเนินการคำสั่งที่เป็นอันตราย

QBot หรือที่รู้จักกันในชื่อ Qakbot เป็นมัลแวร์ชื่อดังบนวินโดวส์ ซึ่งเดิมทีเป็นโทรจันที่ถูกใช้สำหรับขโมยข้อมูลธนาคาร แต่ต่อมาถูกพัฒนาจนกลายมาเป็นมัลแวร์เริ่มต้นของกลุ่มแรนซัมแวร์ต่าง ๆ ได้แก่ Black Basta, Egregor และ Prolock ซึ่งร่วมมือกันในการใช้มัลแวร์เพื่อเข้าถึงเครือข่ายขององค์กรเพื่อทำการเรียกค่าไถ่

ProxyLife นักวิจัยด้านความปลอดภัยให้ข้อมูลกับ BleepingComputer ว่า แคมเปญฟิชชิ่งของ QBot แคมเปญใหม่ เริ่มใช้วิธีการโจมตีแบบ DLL hijacking ในโปรแกรม WordPad บน Windows 10

แม้ว่า BleepingComputer จะยังไม่เห็นอีเมลฟิชชิ่งต้นฉบับ แต่มีข้อมูลของลิงก์ที่ใช้สำหรับดาวน์โหลดไฟล์ ซึ่งเมื่อคลิกลิงก์มันจะทำการดาวน์โหลดไฟล์ ZIP มา ซึ่งไฟล์ ZIP นี้จะประกอบด้วยไฟล์สองไฟล์คือ document.

Qbot (หรือที่รู้จักกันในชื่อ QakBot) ซึ่งในอดีตถูกใช้เป็น Banking Trojan แต่ต่อมาได้พัฒนาเป็นมัลแวร์ที่สามารถใช้เพื่อเข้าถึงเครือข่ายขององค์กร การเข้าถึงทำได้โดยการ dropping payloads เช่น Cobalt Strike, Brute Ratel และมัลแวร์อื่น ๆ ที่ใช้เพื่อให้ผู้โจมตีสามารถเข้าถึงอุปกรณ์ได้

โดย QBot มีการแพร่กระจายผ่านแคมเปญฟิชชิงโดยการใช้ไฟล์ PDF และ Windows Script Files (WSF) เพื่อทำการติดตั้งมัลแวร์บน Windows เมื่อสามารถเข้าถึงเครื่องเหยื่อได้ ผู้โจมตีจะ (more…)

พบการโจมตีแบบ phishing รูปแบบใหม่ โดยการใช้ช่องโหว่ Zero-day บน Windows เพื่อแพร่กระจายมัลแวร์ Qbot โดยทำให้ Windows ไม่แสดงคำเตือนด้านความปลอดภัย (Mark of the Web) เมื่อผู้ใช้งานพยายามเปิดไฟล์ ซึ่งโดยปกติ Windows จะแสดงคำเตือนลักษณะดังกล่าวเมื่อมีการเปิดไฟล์ที่ต้องสงสัยที่ถูกดาวน์โหลดมาจากอินเทอร์เน็ต หรือจากไฟล์แนบในอีเมล ซึ่งจะถูกเรียกว่า Mark of the Web (MoTW)

เมื่อเดือนที่ผ่านมา ทีมข่าวกรองด้านภัยคุกคามของ HP รายงานว่ามีการโจมตีแบบ phishing ที่ใช้แพร่กระจายมัลแวร์เรียกค่าไถ่ Magniber โดยการใช้ไฟล์ JavaScript

โดยไฟล์ JavaScript เหล่านี้ไม่ใช่ไฟล์ในลักษณะที่ใช้กันทั่วไปในเว็บไซต์ แต่ไฟล์ .JS ที่ถูกใช้โดยผู้โจมตีเป็นไฟล์แบบสแตนด์อโลนที่มีนามสกุล '.JS' ที่จะถูกเรียกใช้งานโดย Windows Script Host (wscript.

มัลแวร์ QBot ใช้ Calculator ใน Windows 7 เพื่อโจมตีในรูปแบบ DLL side-loading เพื่อติดตั้ง payload ที่เป็นอันตรายบนเครื่องของเหยื่อ  DLL side-loading เป็นการโจมตีโดยใช้ประโยชน์จากการทำงานของ Dynamic Link Libraries (DLLs) ใน Windows โดยการปลอมแปลง DLL และนำไปวางไว้ในโฟลเดอร์ที่จะทำให้ระบบปฏิบัติการโหลด DLL ของมัลแวร์ แทนที่จะเป็นไฟล์ DLL ที่ถูกต้อง
QBot หรือที่รู้จักในชื่อ Qakbot เป็นมัลแวร์ที่พัฒนามาจาก banking trojan สู่การเป็นมัลแวร์ malware dropper และมักถูกใช้โดยกลุ่มแรนซัมแวร์เพื่อติดตั้ง Cobalt Strike beacons  นักวิจัยด้านความปลอดภัย ProxyLife พบว่า Qakbot ใช้โปรแกรม Calculator ใน Windows7 ในการโจมตีแบบ DLL side-loading ตั้งแต่วันที่ 17 กรกฎาคม และวิธีนี้ยังคงถูกใช้ในแคมเปญการโจมตีอื่น ๆ จากรายงานของ ProxyLife และนักวิจัยจาก Cyble พบว่า อีเมลที่ใช้ในแคมเปญล่าสุดมีไฟล์แนบ HTML ที่จะดาวน์โหลดไฟล์ ZIP ที่เข้ารหัส ซึ่งภายในมีไฟล์ ISO  รหัสผ่านสำหรับเปิดไฟล์ ZIP จะแสดงในไฟล์ HTML ไฟล์ โดยสาเหตุของการใส่รหัสในไฟล์ archive ก็เพื่อหลีกเลี่ยงการตรวจจับจากอุปกรณ์ทางด้านความปลอดภัย

(more…)

Qbot เริ่มนำช่องโหว่ Windows MSDT zero-day มาใช้ในการโจมตีแบบฟิชชิ่ง

ช่องโหว่ Zero-day ของ Windows หรือที่รู้จักในชื่อ Follina ซึ่งปัจจุบันยังไม่ได้รับการแก้ไขจาก Microsoft ถูกนำไปใช้ประโยชน์ด้วยการโจมตีผ่านทางอีเมลล์ฟิชชิ่งที่มีไฟล์แนบที่เป็นอันตรายซึ่งจะทำให้เหยื่อติดมัลแวร์ Qbot

Proofpoint รายงานเมื่อวันจันทร์ว่ามีการใช้ zero-day ดังกล่าวมาใช้โจมตีในรูปแบบฟิชชิ่ง ซึ่งกำหนดเป้าหมายไปยังหน่วยงานรัฐบาลของสหรัฐอเมริกา และสหภาพยุโรป

โดยเมื่อสัปดาห์ที่ผ่านมา บริษัทผู้เชี่ยวชาญด้านความปลอดภัยทางไซเบอร์พึ่งจะเปิดเผยว่าพบกลุ่มแฮ็คเกอร์ TA413 ของจีนใช้ประโยชน์จากช่องโหว่ดังกล่าวในการโจมตีที่กำหนดเป้าหมายไปยังชาวทิเบตเช่นเดียวกัน

ตามรายงานที่นักวิจัยด้านความปลอดภัยของ Proofpoint ได้เผยแพร่ในวันนี้พบว่ากลุ่ม TA570 ได้เริ่มใช้เอกสาร Microsoft Office .docx ที่เป็นอันตรายเพื่อโจมตีโดยใช้ช่องโหว่ Follina CVE-2022-30190 และทำให้เหยื่อติดมัลแวร์ Qbot

ผู้โจมตีใช้วิธีการแนบไฟล์ HTML ไปในอีเมล ซึ่งหากเหยื่อคลิกเปิดไฟล์ มันจะทำการดาวน์โหลดไฟล์ ZIP ที่มีไฟล์ IMG อยู่ภายใน และภายไฟล์ IMG จะประกอบไปด้วยไฟล์ DLL, Word และ shortcut files

ซึ่งไฟล์ shortcut จะโหลด Qbot DLL ที่มากับไฟล์ IMG ส่วนไฟล์ .docx จะเชื่อมต่อกับเซิร์ฟเวอร์ภายนอกเพื่อโหลดไฟล์ HTML ที่ใช้ประโยชน์จากช่องโหว่ Follina เพื่อเรียกใช้โค้ด PowerShell ที่จะดาวน์โหลด และรัน Qbot DLL อีกตัวหนึ่ง

เป็นอีกครั้งในปีนี้ที่เครือข่ายของ Qbot พยายามเปลี่ยนวิธีการโจมตี โดยครั้งแรกในช่วงเดือนกุมภาพันธ์ มันจะใช้กลอุบายที่เก่าที่เรียกว่า Squibbledoo เพื่อแพร่กระจายมัลแวร์ผ่านเอกสาร Microsoft Office โดยใช้ regsvr32.exe

อีกครั้งในเดือนเมษายน หลังจากที่ Microsoft เริ่มเปิดตัวฟีเจอร์ VBA macro autoblock สำหรับผู้ใช้ Office บน Windows กลุ่มแฮ็คเกอร์จึงหยุดใช้เอกสาร Microsoft Office ที่มีมาโครที่เป็นอันตราย และเปลี่ยนเป็นไฟล์แนบไฟล์ ZIP ที่ใส่รหัสผ่าน ที่ภายในมีตัวติดตั้งแบบ MSI Windows Installer แทน

Qbot คืออะไร?

Qbot (หรือที่รู้จักว่า Qakbot, Quakbot และ Pinkslipbot) เป็นมัลแวร์บน Windows ที่ถูกใช้เพื่อขโมยข้อมูลธนาคาร และด้วยความสามารถของมันที่แพร่กระจายบนระบบในลักษณะ worm ทำให้มันสามารถแพร่กระจายไปบนเครือข่ายของเหยื่อได้เป็นจำนวนมากผ่านการโจมตีด้วยวิธีการ brute-force บัญชีผู้ดูแลระบบบน Active Directory

มัลแวร์นี้ถูกใช้มาตั้งแต่ปี 2550 เพื่อเก็บข้อมูลธนาคาร, ข้อมูลส่วนบุคคล, ข้อมูลทางการเงิน และเป็นแบ็คดอร์เพื่อแอบติดตั้ง Cobalt Strike beacons

บริษัทในเครือ Ransomware ที่เชื่อมโยงกับการดำเนินการในลักษณะ Ransomware as a Service (RaaS) (รวมถึง REvil, PwndLocker, Egregor, ProLock และ MegaCortex) ต่างก็ใช้ Qbot เพื่อเข้าถึงเครือข่ายองค์กร

ที่มา: www.

กลุ่มแรนซัมแวร์ Black Basta ร่วมมือกับมัลแวร์ QBot เพื่อเพิ่มความสามารถในการเข้าควบคุมระบบของเหยื่อได้ดีขึ้น

โดย QBot (QuakBot) เป็นมัลแวร์บน Windows ที่ถูกใช้เพื่อขโมยข้อมูลธนาคาร, ข้อมูลผู้ใช้งานบน Windows domain และดาวน์โหลดมัลแวร์ตัวอื่นๆมาลงบนอุปกรณ์ที่ติด QBot

เหยื่อมักจะถูกโจมตีจาก Qbot ผ่านทางอีเมลล์ฟิชชิ่งที่มีไฟล์แนบที่เป็นอันตราย แม้ตัวมันจะเริ่มต้นจากการเป็นแค่โทรจันสำหรับขโมยข้อมูลบัญชีผู้ใช้ธนาคาร แต่ต่อมาก็มีการร่วมมือกับกลุ่มแรนซัมแวร์อื่น ๆ รวมถึง MegaCortex, ProLock, DoppelPaymer และ Egrego

การร่วมมือกับกลุ่ม Black Basta

Black Basta เป็นกลุ่มแรนซัมแวร์ที่ค่อนข้างใหม่ โดยเริ่มพบการโจมตีหลายบริษัทในเวลาอันสั้น และเรียกเงินค่าไถ่เป็นจำนวนมาก

ผู้เชี่ยวชาญจาก NCC Group ค้นพบความร่วมมือระหว่าง Qakbot และ Black Basta กับเหตุการณ์ที่เกิดขึ้นเมื่อเร็วๆ นี้ ซึ่งสามารถระบุได้จากเทคนิคที่ใช้โดยผู้โจมตี

ในขณะที่กลุ่มแรนซัมแวร์ทั่วไปมักใช้ QBot ในการเป็นช่องทางแรกในการเข้าถึงระบบของเหยื่อ แต่ NCC กล่าวว่ากลุ่ม Black Basta กลับใช้มันเพื่อแพร่กระจายตัวเองไปยังภายในเครือข่ายของเหยื่อ โดยมัลแวร์จะสร้างการเชื่อมต่อชั่วคราวบนโฮสต์เป้าหมาย และสั่งให้เรียกใช้งาน DLL โดยใช้ regsvr32.exe

เมื่อ Qakbot เริ่มทำงานแล้ว มันจะสามารถแพร่กระจายในเครือข่ายผ่านการ brute-force account บน AD หรือผ่านทาง SMB file sharing protocol

นักวิเคราะห์ยังค้นพบไฟล์ข้อความชื่อ “pc_list.

FujiFilm หรือที่รู้จักในชื่อ Fuji เป็นกลุ่มบริษัทข้ามชาติของญี่ปุ่นที่มีสำนักงานใหญ่อยู่ในกรุงโตเกียว ประเทศญี่ปุ่น เมื่อเริ่มต้นบริษัท Fuji เป็นผู้จัดจำหน่ายฟิล์ม และกล้อง ภายหลังจากที่บริษัทเติบโตขึ้นก็มีการทำธุรกิจทางด้านยา อุปกรณ์จัดเก็บข้อมูล เครื่องถ่ายเอกสาร และเครื่องพิมพ์ รวมไปถึงกล้องดิจิตอลในปัจจุบันด้วย โดย Fuji เป็นบริษัทที่ทำรายได้ถึง 20.1 พันล้านดอลลาร์ในปี 2020 และมีพนักงานมากถึง 37,151 คนทั่วโลก

วันที่ 2/6/21 FUJIFILM ประกาศว่าสำนักงานใหญ่ในโตเกียวถูกโจมตีด้วยแรนซัมแวร์ ในวันอังคารที่ 1/6/21 และกำลังดำเนินการตรวจสอบการเข้าถึงเซิร์ฟเวอร์โดยไม่ได้รับอนุญาตจากภายนอกบริษัท มีการปิดเครือข่ายบางส่วน และตัดการเชื่อมต่อจากภายนอก โดยมีการประสานงานไปยังสาขาต่าง ๆ ทั่วโลก

นอกจากนี้ทาง FUJIFILM USA ได้ประกาศบนเว็บไซต์ โดยระบุว่าเนื่องจากระบบเครือข่ายบางส่วนกำลังประสบปัญหา ทำให้ส่งผลกระทบต่อระบบอีเมลและโทรศัพท์

FUJIFILM ยังไม่ได้มีการระบุถึงกลุ่มแรนซัมแวร์ที่ทำการโจมตี แต่ทาง Vitali Kremez ซีอีโอของ Advanced Intel ได้บอกกับแหล่งข่าว BleepingComputer ว่า FUJIFILM พบการติดโทรจัน Qbot เมื่อเดือนพฤษภาคมที่ผ่านมา ซึ่งอาจส่งผลกระทบถึงการโจมตีในครั้งนี้และปัจจุบันกลุ่มมัลแวร์ Qbot มีการทำงานร่วมกับกลุ่มแรนซัมแวร์ REvil และในอดีตเคยร่วมมือกับกลุ่มแรนซัมแวร์ ProLock และ Egregor อีกด้วย

แม้ว่าแรนซัมแวร์จะถูกใช้งานมาตั้งแต่ปี 2555 แล้ว แต่เมื่อเร็วๆ นี้ การโจมตีบริษัท Colonial Pipeline ท่อส่งเชื้อเพลิงที่ใหญ่ที่สุดของสหรัฐ และบริษัท JBS ผู้ผลิตเนื้อวัวรายใหญ่ที่สุดของโลก ทำให้การโจมตีนี้กลับได้รับความสนใจจากทั่วโลก โดยรัฐบาลสหรัฐฯ ได้มีการจัดตั้งคณะทำงานขึ้นเพื่อแนะนำนโยบายและแนวทางในการต่อสู้กับภัยคุกคามที่เพิ่มมากขึ้น

ที่มา : bleepingcomputer

โทรจัน Qakbot หรือที่เรียกว่า QBot หรือ Pinkslipbot เป็นโทรจันที่ถูกใช้กลุ่มผู้ไม่หวังดีที่มีเป้าหมายหลักในการโจมตีทางด้านธนาคารและการเงิน พบการใช้งานตั้งแต่ปี 2017 มีการแพร่กระจายผ่าน payload เชื่อมต่อ Server C&C และ ปัจจุบันเริ่มมีการใช้งานไปในวงกว้างมากขึ้น

นักวิจัยด้านความปลอดภัย Alien Labs สังเกตเห็นแคมเปญที่พึ่งเกิดขึ้นใหม่ซึ่งเหยื่อที่ตกเป็นเป้าหมายด้วยอีเมลล์ล่อลวงที่เป็นอันตราย จากผู้รับที่มีความน่าเชื่อถือ หรือมีการติดต่อสื่อสารระหว่างกันอยู่แล้ว

โดย email account และข้อมูลภายในเมล์ที่ถูกขโมยออกไป สามารถสร้างผลกระทบได้ตั้งแต่ขนาดเล็กไปจนถึงขนาดใหญ่ ซึ่งหลายๆองค์กรสามารถถูกกำหนดเป็นเป้าหมาย จาก email ของผู้ตกเป็นเหยื่อก่อนหน้า

เมื่อเปิดไฟล์ที่เป็นอันตราย โดยสถานะไฟล์จะถูกเรียกว่า DocuSign โดยซอฟต์แวร์ยอดนิยมที่ใช้ในการแพร่กระจาย malicious คือ Excel ใช้ประโยชน์จาก Macros Excel 4.0 (XML macros) ทำการซ่อน sheets ดาวน์โหลด QakBot และ payload จากอินเทอเน็ตเชื่อมต่อกับเซิร์ฟเวอร์ผู้โจมตี ก่อนที่จะเข้าสู่ Payload หลัก QakBot loader จะทำการทดสอบสิ่งที่เกิดขึ้นกับเครื่องที่ติดตั้งอยู่เพื่อเลือกว่าจะทำการดาวน์โหลดไฟล์อะไรมาติดตั้งบนเครื่องของเหยื่อต่อไป โดย Qakbot จะมีการเช็คสภาพแวดล้อมของเครื่องว่าเป็น Virtual Machine และหาว่าเครื่องดังกล่าวมีการลงโปรแกรม Antivirus หรือ common security researcher tools ไว้ภายในเครื่องหรือไม่

เพื่อให้การตรวจจับและวิเคราะห์ยากขึ้น QakBot จะเข้ารหัส String และถอดรหัสเมื่อมีการรันโปรเซส เมื่อดำเนินการเสร็จ จะดำเนินการลบข้อมูลออกจาก memory ทันที จุดเด่นของ โทรจัน QakBot ที่ใช้ในการ phishing ในอีเมล์ปลอมจะมีข้อมูล เช่นการจัดส่งใบสั่งงานคำขอเร่งด่วนใบแจ้งหนี้การอ้างสิทธิ์ ฯลฯ อีเมลฟิชชิ่งจะมีรูปแบบสลับกันระหว่าง ไฟล์แนบและลิงค์ QakBot มักใช้เป็นทางคล้ายกับ TrickBot หรือ Emotet ซึ่งนำไปสู่การใช้ประโยชน์ในการติดตั้ง Ransomware ต่อไป

ที่มา : ehackingnews

Bleeping Computer รายงานถึงแหล่งข้อมูลซึ่งระบุว่ามัลแวร์เรียกค่าไถ่มีการสั่งพิมพ์ Ransom note หรือโน้ตข้อความที่ทิ้งไว้เพื่อเรียกค่าไถ่เหยื่อออกมาในลักษณะใบเสร็จ โดยยืนยันว่าพฤติกรรมดังกล่าวอาจมาจากการใช้สคริปต์ในการสั่งพิมพ์ออกมา ไม่ใช่ฟีเจอร์ของมัลแวร์เรียกค่าไถ่ Egregor เอง

Ransom note หรือโน้ตข้อความเรียกค่าไถ่เป็นลักษณะข้อความที่ผู้โจมตีใช้ในการชี้แจ้งเหยื่อถึงเหตุการณ์ที่เกิดขึ้น ขั้นตอนที่เหยื่อจะต้องปฏิบัติตามเพื่อเข้าสู่กระบวนการจ่ายค่าไถ่ ในบางครั้งแฮกเกอร์จะมีการแนบคำขู่เพิ่มหรือการจับเวลาเพื่อกดดันให้เหยื่อรีบจ่ายค่าไถ่ด้วย ทั้งนี้ยังไม่มีการพบตัวอย่างของสคริปต์ที่สั่งพิมพ์ Ransom note ออกมาทางใบเสร็จในขณะนี้

Bleeping Computer มีการรายงานเพิ่มเติมถึงพฤติกรรมการแพร่กระจายมัลแวร์เรียกค่าไถ่ Egregor ผ่านทางมัลแวร์กลุ่มโทรจันและบ็อตเน็ต QBot ซึ่งใช้ลักษณะเดียวกับ Trickbot/Ryuk, และ DoppelPaymer/BitPaymer ซึ่งแพร่กระจายผ่านทาง Dridex ด้วย

ที่มา: bleepingcomputer | bleepingcomputer