Fortinet ออกมาแจ้งเตือนการพบช่องโหว่การเรียกใช้โค้ดที่เป็นอันตรายจากระยะไกล (RCE) ใน FortiOS SSL VPN ซึ่งอาจกำลังถูกนำมาใช้ในการโจมตีอยู่ในปัจจุบัน
CVE-2024-21762 (คะแนน CVSS 9.6/10 ความรุนแรงระดับ Critical) เป็นช่องโหว่ out-of-bounds write ใน FortiOS ที่ช่วยให้ Hacker สามารถเรียกใช้คำสั่งที่เป็นอันตรายจากระยะไกลได้โดยไม่ต้องผ่านการยืนยันตัวตน ผ่านทาง request ที่ถูกสร้างขึ้น (more…)
นักวิเคราะห์ด้านความปลอดภัยพบ remote access trojan (RAT) ชื่อ 'EarlyRAT' ซึ่งถูกใช้งานโดย Andariel ซึ่งเป็นกลุ่มย่อยของกลุ่มแฮ็กเกอร์ Lazarus ของเกาหลีเหนือที่ได้รับการสนับสนุนโดยรัฐบาล
Andariel (หรือที่รู้จักในชื่อ Stonefly) เป็นส่วนหนึ่งของกลุ่มแฮ็กเกอร์ Lazarus ที่รู้จักกันในการใช้ (more…)
Google ได้ลบแอปพลิเคชันบันทึกหน้าจอที่ชื่อว่า "iRecorder - Screen Recorder" ออกจาก Play Store หลังพบว่าแอปดังกล่าวมีการขโมยข้อมูลผู้ใช้งานมาเป็นเวลาเกือบ 1 ปี ซึ่งแอป iRecorder (ชื่อแพ็กเกจ APK "com.
พบ Remote access trojan ตัวใหม่ที่มีชื่อว่า Nerbian RAT ซึ่งประกอบไปด้วยคุณสมบัติพิเศษหลายอย่าง รวมไปถึงการหลบเลี่ยงการตรวจจับ และวิเคราะห์จากนักวิจัย
มัลแวร์รูปแบบใหม่นี้ถูกเขียนจากภาษา Go ซึ่งทำให้มันสามารถทำงานได้หลายแพลตฟอร์ม โดยปัจจุบันเริ่มพบการแพร่กระจายผ่านทางอีเมลล์ที่มีไฟล์แนบที่ฝังมาโครที่เป็นอันตรายไว้ภายใน
แคมเปญการโจมตีนี้ถูกค้นพบโดยนักวิจัยจาก Proofpoint ซึ่งมีการเผยแพร่รายงานเกี่ยวกับมัลแวร์ Nerbian RAT ตัวใหม่ในวันนี้ (11 พ.ค. 2565)
ปลอมแปลงเป็นองค์การอนามัยโลก (WHO)
แคมเปญการโจมตีที่ใช้ในการแพร่กระจาย Nerbian RAT ในครั้งนี้ มีความพยายามปลอมแปลงข้อความว่ามาจากองค์การอนามัยโลก (WHO) ในการส่งข้อมูลสำคัญที่เกี่ยวข้องกับ COVID-19 ไปยังเป้าหมาย
โดยจะมีไฟล์ที่แนบมาเป็น .RAR และมีเอกสาร Word ที่ฝังมาโครไว้ เมื่อเปิดไฟล์ใน Microsoft Office และอนุญาตให้มาโครทำงาน มันจะทำการรัน PowerShell เพื่อดาวน์โหลด 64-bit dropper ที่มีชื่อว่า "UpdateUAV.exe" ซึ่งเขียนด้วยภาษา Golang โดย UpdateUAV จะประกอบไปด้วยโค้ดที่ใช้เพื่อหลีกเลี่ยงการตรวจจับจากอุปกรณ์ทางด้าน Security ก่อนที่จะทำการติดตั้ง Nerbian RAT โดยเมื่อตัว Dropper สามารถทำงานได้อย่างสมบูรณืบนเครื่องเหยื่อ มันจะทำการตั้ง schedule task ที่จะสั่งรัน Nerbian RAT ทุกๆชั่วโมง
Proofpoint สรุปรายการของเครื่องมือที่ใช้สำหรับหลีกเลี่ยงการตรวจจับไว้ดังนี้
ตรวจสอบ reverse engineering หรือ debugging โปรแกรมว่าถูกรันอยู่บนเครื่องเป้าหมายหรือไม่
ตรวจสอบ MAC Address บนเครื่องเป้าหมาย
ตรวจสอบ WMI strings เพื่อดูชื่อของดิสก์บนเครื่องเป้าหมาย
ตรวจสอบขนาดฮาร์ดดิสก์ว่าต่ำกว่า 100GB หรือไม่ เพื่อดูว่าตัวมันกำลังถูกรันอยู่บน Virtual Machine หรือไม่
ตรวจสอบ memory analysis หรือ tampering detection โปรแกรมว่าถูกรันอยู่บนเครื่องเป้าหมายหรือไม่
ตรวจสอบระยะเวลาที่ใช้ตั้งแต่ตัวมัลแวร์เริ่มดำเนินการ เปรียบเทียบกับเกณฑ์การทำงานตามปกติของมัน
ใช้ IsDebuggerPresent API เพื่อตรวจสอบว่าตัวติดตั้งของมันกำลังถูก Debug อยู่หรือไม่
การตรวจสอบทั้งหมดนี้ทำให้ค่อนข้างยากที่จะนำ RAT ดังกล่าวไปทดสอบบน sandbox หรือ virtual machine เพื่อวิเคราะห์การทำงานของมัน รวมไปถึงก็จะทำให้มัลแวร์สามารถแฝงตัวอยู่บนระบบของเหยื่อได้นานมากยิ่งขึ้นด้วยเช่นเดียวกัน
คุณสมบัติของ Nerbian RAT
ตัวโทรจันจะถูกดาวน์โหลดมาด้วยชื่อ "MoUsoCore.
มัลแวร์ GravityRAT สายพันธุ์ใหม่ที่สามารถเเพร่กระจายได้บนอุปกรณ์ Android และ macOS
นักวิจัยด้านความปลอดภัยจาก Kaspersky ได้เผยถึงการตรวจพบมัลแวร์ GravityRAT สายพันธุ์ใหม่ที่สามารถเเพร่กระจายได้บนอุปกรณ์ Android และ macOS
GravityRAT เป็น Remote Access Trojan (RAT) ที่ได้รับการพัฒนาจากกลุ่มแฮกเกอร์ชาวปากีสถานอย่างน้อยตั้งแต่ 2015 เพื่อใช้ในการโจมตีเป้าหมายในหน่วยงานและองค์กรทางด้านทหารของอินเดีย
ด้วยความสามารถใหม่นี้มัลแวร์ GravityRAT ที่ปัจจุบันปลอมตัวเป็นแอป Android และ macOS ที่ถูกต้องจะมีความสามารถในการดักจับข้อมูลของอุปกรณ์, รายชื่อผู้ติดต่อ, ที่อยู่, อีเมล,บันทึกการโทรและข้อความ หลังจากนั้นจะทำการส่งไปยังเซิร์ฟเวอร์ที่ควบคุมโดยผู้โจมตี ทั้งนี้มัลแวร์ GravityRAT ยังมีความสามารถในการค้นหาไฟล์ในคอมพิวเตอร์และอุปกรณ์ removable disk ที่มีนามสกุล. doc, .docx, .ppt, .pptx, .xls, .xlsx, .pdf, .odt, .odp และ. ods และอัปโหลดไปยังเซิร์ฟเวอร์, ตรวจสอบโปรเซสที่กำลังทำงานอยู่, ล็อคกดแป้นพิมพ์, ถ่ายภาพหน้าจอ, รันคำสั่งเชลล์โค้ดได้, บันทึกเสียงและสแกนพอร์ต
ทั้งนี้ผู้ใช้งานควรระมัดระวังในการเปิดเอกสารหรือดาวน์โหลดไฟล์จากเเหล่งที่ไม่ทราบข้อมูลที่ชัดเจนและควรพิจารณาใช้ซอฟต์แวร์ป้องกันไวรัสที่มีประสิทธิภาพเพื่อเป็นการป้องกันการตกเป็นเหยื่อของผู้ประสงค์ร้าย
ที่มา: bleepingcomputer