Microsoft เผยแพร่การอัปเดตด้านความปลอดภัยเพื่อแก้ไขช่องโหว่ Secure Boot zero-day ที่กำลังถูกนำมาใช้ในการโจมตีจาก BlackLotus UEFI malware ซึ่งกำลังแพร่กระจายบนระบบ Windows
Secure Boot เป็นคุณลักษณะด้านความปลอดภัยที่จะ blocks bootloader ที่ไม่น่าเชื่อถือโดย OEM บนคอมพิวเตอร์ที่มีเฟิร์มแวร์ Unified Extensible Firmware Interface (UEFI) และชิป Trusted Platform Module (TPM) เพื่อป้องกัน rootkit ระหว่างกระบวนการ startup process (more…)
กลุ่ม Lazarus ซึ่งคาดว่าเป็นกลุ่มแฮ็กเกอร์ที่ได้รับการสนับสนุนจากรัฐบาลเกาหลีเหนือ ได้เริ่มโจมตีโดยใช้ประโยชน์จากช่องโหว่บน firmware driver ของ Dell ซึ่งถือเป็นการโจมตีในรูปแบบที่ถูกพัฒนาขึ้นจากกลุ่มผู้โจมตีที่ได้รับการสนับสนุนจากรัฐ
โดยเมื่อช่วงฤดูใบไม้ร่วงปี 2021 ได้มีปฎิบัติการ In(ter)ception โดยใช้การโจมตีในรูปแบบ Bring Your Own Vulnerable Driver (BYOVD) หรือการนำ driver ที่มีช่องโหว่ไปติดตั้งโดยการปฎิบัติการนี้มุ่งเป้าไปที่อุตสาหกรรมการบิน และอวกาศ และการป้องกันประเทศ
โดยนักวิจัยจาก ESET ระบุว่าการโจมตีนั้นจะเริ่มจากการส่ง spear-phishing ซึ่งดูเหมือนถูกส่งมาจากทาง Amazon ไปยังพนักงานของบริษัทการบินในเนเธอร์แลนด์ และนักข่าวการเมืองในเบลเยียม ซึ่งเมื่อมีการเปิดใช้ไฟล์ที่แนบมา มันจะทำการฝังโทรจันที่เป็นรูปแบบ Open source ลงไปในระบบของเหยื่อ
ESET ระบุว่าพบหลักฐานที่ Lazarus จะมีการติดตั้งเครื่องมืออย่าง เช่น FingerText และ sslSniffer ซึ่งเป็นส่วนประกอบของไลบรารี wolfSSL รวมไปถึงการติดตั้ง Backdoor ที่ชื่อว่า BLINDINGCAN หรือที่รู้จักในชื่อ AIRDRY และ ZetaNile ซึ่งสามารถใช้เพื่อควบคุมเครื่องเป้าหมายได้
แต่สิ่งที่น่าสังเกตเกี่ยวกับการโจมตีเมื่อปี 2021 ที่ผ่านมานั้น มีการพบการโจมตีโดยใช้ประโยชน์จากช่องโหว่ของ Driver Dell มาทำการเพิ่มความสามารถในการอ่าน และเขียนคำสั่งลงบนหน่วยความจำ (Memory) ได้ โดยช่องโหว่ที่ถูกใช้ในการโจมตีมีหมายเลข CVE-2021-21551 ซึ่งเป็นช่องโหว่ privilege escalation บน dbutil_2_3.sys ซึ่งถือเป็นครั้งแรกที่พบการโจมตีโดยการใช้ช่องโหว่ดังกล่าว โดยเมื่อโจมตีได้สำเร็จโซลูชันทางด้านความปลอดภัยทั้งหมดบนเครื่องที่ถูกโจมตีจะถูกปิดการทำงาน
โดย Malware นี้ใช้ชื่อว่า FudModule ซึ่งนักวิจัยด้านความปลอดภัยของระบบ และนักพัฒนาระบบป้องกันของ ESET แจ้งว่าไม่เคยพบมัลแวร์รูปแบบนี้ หรือคล้ายกับรูปแบบนี้มาก่อน
โดยแฮ็กเกอร์จะใช้การเข้าถึงการเขียนหน่วยความจำเคอร์เนลเพื่อปิดใช้งานกลไกป้องกันต่าง ๆ บนระบบปฏิบัติการ Windows ทั้งในส่วนของ Registry, file system, process creation, event tracing และอื่น ๆ
เมื่อเดือนที่ผ่านมาทาง ASEC ของ AhnLab รายงานเกี่ยวกับการใช้ประโยชน์จาก Driver ที่ชื่อว่า "ene.
Deep Panda กลุ่มแฮ็กเกอร์ชาวจีน ใช้ช่องโหว่ log4shell โจมตีไปยัง VMware Horizon Server เพื่อติดตั้ง rootkit ตัวใหม่ที่มีชื่อเรียกว่า Fire Chili
Rootkit ดังกล่าว มี Digital signed certificate จาก Frostburn Studios (ผู้พัฒนาเกม) หรือจาก Comodo (ซอฟต์แวร์ด้านความปลอดภัย) ทำให้มันสามารถที่จะหลบเลี่ยงการตรวจจับของซอฟแวร์ป้องกันไวรัสได้ ซึ่งล่าสุดทาง Fortinet พบว่ากลุ่มแฮ็กเกอร์ Deep Panda ได้ทำการขโมย certificates ที่ถูกต้องดังกล่าวมาจากบริษัทข้างต้น
Deep Panda เป็นหนึ่งใน APT สัญชาติจีนที่มีชื่อเสียงอย่างมากในปฏิบัติการจารกรรมทางไซเบอร์มาเป็นระยะเวลานาน โดย FBI สามารถจับกุมสมาชิกของกลุ่มได้รายหนึ่งเมื่อปี 2560 หลังจากมีหลักฐานว่าเจ้าตัวเกี่ยวข้องกับการโจมตีโดยใช้ช่องโหว่ Zero-day 3 ช่องโหว่
Fire Chili rootkit
Rootkit เป็นมัลแวร์ที่มักจะแอบติดตั้งในรูปแบบเหมือนเป็น driver ของ Windows API ต่างๆ เพื่อแอบซ่อนไฟล์ หรือ Process ต่างๆของมันในระบบปฏิบัติการ เช่น ด้วยการเชื่อมต่อกับฟังก์ชัน programming บน Windows ตัว rootkit สามารถซ่อนชื่อไฟล์ process และ registry keys ไม่ให้ถูกตรวจพบได้ และเนื่องจากตัวมันมี digital certificates ที่ถูกต้องอีกด้วย จึงทำให้สามารถหลีกเลี่ยงการตรวจจับของซอฟแวร์ด้านความปลอดภัยและติดตั้งลงบนเครื่องได้อย่างง่ายดาย
หลังจากเริ่มทำงาน Fire Chili จะทำการตรวจสอบด้วยว่าตัวมันกำลังทำงานอยู่บนระบบที่ไม่ใช่ระบบที่ถูกสร้างขึ้นเพื่อดักจับการทำงานของมันอย่างเช่นพวก honeypot ได้อีกด้วย
Rootkit จะใช้ฟังก์ชันในการซ่อนตัวที่เรียกว่า IOCTLs (input/output control system calls) ตัวอย่างเช่น ในการซ่อนการเชื่อมต่อด้วย TCP Protocol จาก Netstat rootkit จะดักจับการเรียกใช้งาน IOCTL ตามปกติ หลังจากนั้นจะ Filter connection ของตัวมันออก แล้วค่อยแสดงผลเพื่อหลีกเลี่ยงการตรวจจับพฤติกรรมของมัน
นอกจากนี้ทาง Fortinet ยังพบว่าเคมเปญดังกล่าวมีความเกี่ยวข้องกับ Winnti ซึ่งก็เป็นอีกกลุ่มแฮ็กเกอร์ชาวจีนที่เป็นที่รู้จักในการโจมตีโดยใช้ Digital signed certificate ที่ถูกต้องเช่นเดียวกัน โดยกลุ่ม Winnti นั้นจะโจมตีไปยังบริษัทเกมเพื่อแอบขโมยข้อมูล digital certificates ออกมา ข้อมูลการเชื่อมโยงระหว่างสองกลุ่มนี้อาจยังไม่ชัดเจน แต่มีความเป็นไปได้ว่านักพัฒนาทั้งสองกลุ่มจะแบ่งปันข้อมูลกัน เช่น Digital signed certificate และ C2 Server เป็นต้น
ที่มา : bleepingcomputer
พบผู้โจมตีที่มีจุดมุ่งหมายทางด้านการเงิน มีการใช้ rootkit ที่ไม่เคยถูกพบมาก่อน มุ่งเป้าโจมตีไปยังระบบ Oracle Solaris โดยมีเป้าหมายที่จะเข้าควบคุมเครือข่ายของตู้ ATM ซึ่งจะทำให้สามารถถอนเงินสดได้โดยไม่ได้รับอนุญาตจากธนาคารต่างๆ ด้วยการใช้บัตร ATM ปลอม
Mandiant บริษัทผู้เชี่ยวชาญด้านภัยคุกคาม และการตอบสนองต่อเหตุการณ์ภัยคุกคามทางไซเบอร์ กำลังติดตามกลุ่มผู้โจมตีภายใต้ชื่อ UNC2891 ซึ่งมีเทคนิค และขั้นตอนบางอย่างของกลุ่มที่คล้ายกับผู้โจมตีอีกกลุ่มที่ชื่อ UNC1945
นักวิจัยของ Mandiant ระบุในรายงานฉบับใหม่ที่เผยแพร่ในสัปดาห์นี้ว่า "การโจมตีนี้เป็นปฏิบัติการจากผู้มีความเชี่ยวชาญขั้นสูง มีการใช้ทั้งมัลแวร์ที่เป็นที่รู้จัก และยังไม่เป็นที่รู้จัก มีการใช้เครื่องมือ และ Script ต่างๆ ในการพยายามปกปิดหลักฐานในการกระทำความผิด"
ยิ่งไปกว่านั้นการโจมตีเหล่านี้กินเวลาหลายปี ในระหว่างที่ผู้กระทำความผิดยังคงไม่ถูกตรวจพบ ด้วยการใช้ Rootkit ที่ชื่อว่า CAKETAP ซึ่งออกแบบมาเพื่อปกปิดการเชื่อมต่อผ่านเครือข่าย กระบวนการทำงาน และไฟล์ต่างๆที่เกี่ยวข้อง
Mandiant สามารถกู้คืนข้อมูล memory forensic ได้ในเครื่อง ATM ที่ตกเป็นเหยื่อ สังเกตว่า Rootkit มาพร้อมกับความสามารถในการดักรับข้อมูลยืนยันตัวตน และรหัสของบัตร ATM และใช้ข้อมูลนั้นเพื่อถอนเงินจากตู้เอทีเอ็ม
(more…)
ค้นพบตัวแปรใหม่สำหรับ Linux Crypto Miners ซึ่งพยายามซ่อนสถานะการใช้งานโดยใช้ คำสั่ง Rootkit
เมื่อความนิยม cryptocurrencyเพิ่มขึ้น จำนวนของ Tojans cryptominer ที่ถูกสร้างขึ้นและแจกจ่ายให้กับผู้ที่ไม่สงสัย เพื่อให้ยากที่จะระบุกระบวนการ cryptominer ที่ใช้ CPU ทั้งหมดได้มีการค้นพบตัวแปรใหม่สำหรับ Linux ซึ่งพยายามซ่อนสถานะโดยใช้ rootkit
ตามรายงานใหม่ของ TrendMicro คำสั่งผสม cryptominer + rootkit ใหม่นี้จะทำให้เกิดปัญหาเรื่องประสิทธิภาพเนื่องจากมีการใช้งาน CPU สูง แต่ผู้ดูแลระบบจะไม่สามารถตรวจสอบได้ว่ากระบวนการใดเป็นสาเหตุของปัญหานี้
เมื่อเร็ว ๆ นี้เราได้พบมัลแวร์การทำเหมืองข้อมูล cryptocurrency-mining (ที่ Trend Micro ตรวจพบว่าเป็น Coinminer.
รายงานช่องโหว่ของซีพียูอินเทลตั้งแต่ปี 1997 เป็นต้นมาทำให้แฮกเกอร์สามารถสร้าง rootkit ฝังตัวไว้ในเครื่องของเหยื่อที่ระดับต่ำกว่าระบบปฏิบัติการ โดยนักวิจัย Christopher Domas นำเสนอช่องโหว่นี้ในงาน Black Hat
ระดับความปลอดภัย System Management Mode (SMM) ซึ่งเป็นระดับลึกที่สุดของซีพียู ลึกกว่าชั้น hypervisor ที่มีไว้สำหรับสร้างเครื่องจำลอง
เมื่อมัลแวร์สามารถเข้าไปรันที่ระดับความปลอดภัยนี้ได้ ระบบปฏิบัติการจะไม่รู้ตัวว่ามีซอฟต์แวร์รันอยู่บนซีพียูเดียวกัน ที่ระดับความปลอดภัยนี้แฮกเกอร์สามารถเขียนไบออสและ UEFI ใหม่ ทำให้เครื่องบูตไม่ขึ้นหรืออาจจะทำให้ติดมัลแวร์ทุกครั้งหลังล้างเครื่องใหม่
นักวิจัยระบุว่า อินเทลน่าจะรู้ช่องโหว่นี้ก่อนแล้วเพราะซีพียูรุ่นใหม่ๆ แก้ไขช่องโหว่นี้แล้ว และมีเฟิร์มแวร์ส่งไปให้กับผู้ผลิตเมนบอร์ด แต่ก็ไม่ใช่ทุกรุ่นที่จะแพตช์ได้ อย่างไรก็ดีแฮกเกอร์จะเข้าถึงช่องโหว่นี้ได้จะต้องเจาะระบบปฏิบัติการได้เสียก่อน
ที่มา : PCWorld