กลุ่มนักวิจัยจาก Malwarebytes ออกรายงานแจ้งเตือนกลุ่ม APT ใหม่ภายใต้ชื่อ LazyScripter ซึ่งมีความเคลื่อนไหวมาตั้งแต่ปี 2018 โดยมีจุดน่าสนใจสำคัญคือการมีเป้าหมายการโจมตีอยู่ในอุตสาหกรรมและสายการบิน

สำหรับเทคนิคการโจมตีของ LazyScripter นั้น กลุ่มผู้โจมตีจะมีการใช้อีเมลฟิชชิ่งในการหลอกลวงเหยื่อ เนื้อหาของอีเมลจะเน้นไปที่โครงการ Immigration ที่รัฐบาลแคนาดาสนับสนุนและอีเมลเกี่ยวกับปฏิบัติการของสายการบินเพื่อหลอกให้มีการดาวน์โหลดไฟล์เอกสารอันตราย LazyScripter มีการใช้มัลแวร์ในลักษณะของโทรจันซึ่งเป็นมัลแวร์แบบโอเพนซอร์ส อาทิ Octopus และ Koadic ในปฏิบัติการเป็นส่วนใหญ่ ผู้โจมตียังมีการใช้ GitHub ในการจัดเก็บไฟล์มัลแวร์สำหรับดาวน์โหลดมาใช้อีกด้วย

เนื่องลักษณะของการใช้มัลแวร์แบบโอเพนซอร์ส รวมไปถึงใช้เครื่องมือในการทดสอบเจาะระบบอย่าง Empire framework ในปฏิบัติการ การเชื่อมโยงกลุ่มผู้โจมตีกลุ่มใหม่นี้ให้เข้ากับฐานข้อมูลภัยคุกคามที่เป็นที่รู้จักนั้นย่อมทำได้ยาก ทั้งนี้ Malwarebytes มีการตั้งสมมติฐานเกี่ยวกับความเกี่ยวข้องของ LazyScripter ออกเป็น 2 แนวทาง โดยแนวทางแรกนั้นเกี่ยวข้องกับกลุ่ม MuddyWater ของประเทศอิหร่าน และอีกแนวทางหนึ่งนั้นเกี่ยวข้องกับกลุ่ม APT28 จากรัสเซีย ซึ่งในขณะนี้น้ำหนักค่อนข้างเทไปที่ฝั่งของ MuddyWater มากกว่าทั้งในเรื่องเครื่องมือที่ใช้ พฤติกรรมและเป้าหมาย

ผู้ที่สนใจสามารถอ่านรายงานต้นฉบับของ MalwareBytes ได้ที่ malwarebytes

ที่มา: bleepingcomputer

พบเบอร์โทรของผู้ใช้ Facebook 267 ล้านคนรั่วไหลบนฐานข้อมูล

นักวิจัยด้านการรักษาความปลอดภัย Bob Diachenko พบฐานข้อมูลที่โพสต์อยู่บนฟอรั่มของแฮกเกอร์ เปิดให้ดาวน์โหลดในวันที่ 12 ธันวาคม ที่ผ่านมาก่อนจะถูกลบออก ฐานข้อมูลดังกล่าวมีข้อมูลกว่า 267 ล้านรายการ ประกอบด้วยหมายเลข Facebook ID ซึ่งเป็นเลขสาธารณะที่ใช้ระบุผู้ใช้งาน เบอร์โทรศัพท์ของผู้ใช้งาน ชื่อเต็ม และ Timestamp โดยข้อมูลส่วนใหญ่มาจากผู้ใช้งาน Facebook ในสหรัฐอเมริกา ยังไม่ทราบว่าข้อมูลดังกล่าวถูกรวบรวมจาก Facebook ได้อย่างไรแต่นักวิจัยคาดว่าข้อมูลจะมาจากการเรียก Facebook API ในช่วงเวลาก่อนที่ Facebook API จะปิดไม่ให้สามารถเข้าถึงเบอร์โทรศัพท์ได้ในช่วงปี 2018

ข้อมูลที่พบในฐานข้อมูลนี้สามารถเอาไปโจมตีแบบ Spam หรือ Phishing ได้ โดยนักวิจัยแนะนำให้ปรับตั้งค่าการแสดงข้อมูลใน Facebook เป็น private เพื่อช่วยลดการมองเห็นจากบุคคลที่สาม

ที่มา : 267M Facebook Users’ Phone Numbers Exposed Online

พบการโจมตีในลักษณะ malspam ทำการหลอกลวงโดยปลอมใบแจ้งหนี้สำหรับการแจ้งยอดค้างชำระ เมื่อมีการเปิดใบแจ้งหนี้จะถูกติดตั้ง AZORult ซึ่งเป็น Trojan ขโมยข้อมูล และ Hermes 2.1 Ransomware ลงในคอมพิวเตอร์ของผู้รับ
อีเมลสแปมเหล่านี้ถูกส่งมาโดยใส่ subject เป็น "Invoice Due" และอ้างว่าเป็นข้อมูลเกี่ยวกับยอดค้างชำระ ที่มีเอกสารแนบ Word ชื่อ Invoice.

ตำรวจญี่ปุ่นสร้างผลงานตามจับผู้เขียน Ransomware ได้เป็นคนแรกโดยผู้เขียนนั้นมีอายุเพียง 14 ปีเท่านั้น โดยผู้เขียนได้ทำการ upload code ขึ้น internet เป็นที่เรียบร้อยแล้ว

จากสื่อญี่ปุ่นได้กล่าวว่าทางตำรวจได้จับผู้เขียน "cyberpatrolling" Ransomware ตัวที่มีคนติดในญี่ปุ่นได้ ซึ่งพบว่าเป็นเยาวชนอายุ 14 ปีเท่านั้น อาศัยอยู่ที่ Takatsuki ทางผู้ต้องหาเล่าว่าเรียนรู้การเขียนโค้ดดังกล่าวด้วยการนำ project open source online แล้วนำมาเขียนเพิ่มด้วยตัวเอง และทำไปเพราะความอยากรู้อยากเห็นเท่านั้น หลังจากที่เขียนเสร็จ เค้าไม่ได้เป็นคนกระจาย ransomware นี้ด้วยการ spam หรือผ่าน exploit kit แต่อย่างใด เพียงแต่ upload ขึ้น internet เท่านั้น

โดยทางผู้ต้องหาได้มีการทำโฆษณาผ่านทาง Social Network ต่างๆ เช่น Twitter เป็นต้น โดยใช้คำโฆษณาว่า "ผมสร้าง Ransomware ขึ้นมา, อยากใช้ก็โหลดไปใช้ได้เลย" ผู้ต้องหาบอกว่ากระทำไปเพราะอยากดังเท่านั้นเอง

ที่มา: bleepingcomputer

จากการตรวจสอบปลั๊กอินของ CMS WordPress ที่มีชื่อว่า Social Media widget พบมีการฝังโค๊ดที่เป็นลักษณะสแปมเข้าไปในเพจของผู้ใช้ปลั๊กอินนี้ ซึ่งปลั๊กอินตัวนี้มียอดการดาวน์โหลดกว่า 935,000 ครั้ง นั้นหมายความว่ากว่า 1,000 เว็บไซต์ตกเป็นเหยื่อของการโจมตีครั้งนี้  โดยการทำงานของปลั๊กอินนี้จะฝังโค๊ด URL: http ://i.aaur.