กลุ่มแฮกเกอร์รัสเซียกำหนดเป้าหมายมุ่งโจมตีสถาบันพัฒนาวัคซีนต้านไวรัส COVID-19 ด้วยมัลแวร์

กลุ่มแฮกเกอร์รัสเซียกำหนดเป้าหมายมุ่งโจมตีสถาบันพัฒนาวัคซีนต้านไวรัส COVID-19 ด้วยมัลแวร์

ศูนย์รักษาความปลอดภัยไซเบอร์แห่งชาติของสหราชอาณาจักร หรือ National Cyber Security Centre (NCSC) ได้เปิดเผยถึงรายละเอียดของกลุ่มเเฮกเกอร์รัสเซียซึ่งได้ทำการโจมตีองค์กรที่เกี่ยวข้องในการวิจัยและพัฒนาวัคซีนต่อต้าน Coronavirus หรือ COVID-19 ซึ่งกิจกรรมการโจมตีดังกล่าวกำลังถูกดำเนินการด้วยกลุ่มภัยคุกคาม APT29

รายงานดังกล่าวประกอบด้วยข้อมูลจากหลายแหล่งซึ่งเป็นความพยายามร่วมมือกันของศูนย์รักษาความปลอดภัยไซเบอร์แห่งชาติของสหราชอาณาจักร (NCSC), สำนักงานความมั่นคงด้านการสื่อสารของแคนาดา (CSE), สำนักงานความมั่นคงแห่งชาติสหรัฐอเมริกา (NSA) และ หน่วยงานด้านความมั่นคงปลอดภัยและโครงสร้างพื้นฐานทางไซเบอร์ (CISA ) โดยรายละเอียดของรายงานพบว่ากลุ่ม Cozy Bear นั้นพยายามทำการ Spear Phishing รวมไปถึงการใช้ประโยชน์จากช่องโหว่ Citrix (CVE-2019-19781), Pulse Secure (CVE-2019-11510), Fortigate (CVE-2019-13379) และ Zimbra Collaboration Suite (CVE-2019-9670)

รายงานยังกล่าวอีกว่าหลังจากกลุ่มเเฮกเกอร์สามารถเข้าถึงเครือข่ายภายในองค์กรที่ตกเป็นเหยื่อแล้วพวกเขาจะทำการดาวน์โหลดและติดตั้งมัลแวร์ SoreFang, WellMess และ WellMail

ผู้ดูแลระบบควรทำการรีบอัพเดตเเพตซ์การเเก้ไขช่องโหว่ที่กล่าวมาข้างต้นเพื่อป้องกันการโจมตีและการหาประโยชน์จากช่องโหว่ โดยกลุ่มผู้ประสงค์ร้ายต่างๆ ทั้งนี้ผู้ที่สนใจ IOCs ของมัลแวร์ข้างต้นสามารถเข้าไปดูรายละเอียดได้ที่: ncsc.

Watch out! Malware Analysis Sandboxes could expose sensitive data of your organization

นักวิจัยพบองค์กรทำข้อมูลหลุดผ่าน Sandbox ที่ใช้สำหรับการวิเคราะห์มัลแวร์
ผู้เชี่ยวชาญที่บริษัทข่าวกรองภัยคุกคาม Cyjax ได้วิเคราะห์ไฟล์ที่อัปโหลดโดยองค์กรขึ้นไปบน Sandbox ที่ใช้สำหรับการวิเคราะห์มัลแวร์แล้วพบว่าองค์กรได้อัปโหลดเอกสารที่มีข้อมูลสำคัญขึ้นไป นักวิจัยวิเคราะห์เฉพาะเอกสาร PDF และไฟล์อีเมล (.msg และ. eml) ที่อัปโหลดไปยัง Sandbox ที่ใช้สำหรับการวิเคราะห์มัลแวร์ที่ไม่เปิดเผยชื่อสามเจ้าเป็นเวลาสามวัน โดย Sandbox ที่ใช้สำหรับการวิเคราะห์มัลแวร์ทั้งสามเจ้าที่นำมาวิเคราะห์นี้เปิด public feed ให้ผู้ใช้งานสามารถดูและดาวน์โหลดตัวอย่างไฟล์ที่ผู้ใช้งานคนอื่นอัปโหลดขึ้นไปได้
จากการคัดแยกเอกสาร PDF และไฟล์อีเมล (.msg และ. eml) ที่ถูกอัปโหลดขึ้นไป พบไฟล์ที่ไม่มีอันตราย 200 ไฟล์ซึ่งเป็นใบแจ้งหนี้และคำสั่งซื้อ ในกรณีนี้ผู้เชี่ยวชาญพบว่าบริษัทที่ให้บริการเครื่องมือในการใช้งานที่ได้รับความนิยมสำหรับผู้ดูแลระบบวินโดว์เคยส่งใบคำสั่งซื้อลงใน Sandbox ซึ่งบริษัทไม่สนใจว่าไฟล์เหล่านี้ถูกเผยแพร่สู่สาธารณะผ่าน feed ของ Sandbox
จากการตรวจสอบใบแจ้งหนี้ทำให้เราสามารถระบุได้ว่าใครกำลังใช้ซอฟต์แวร์รวมถึงรายละเอียดการติดต่อของผู้รับผิดชอบในการจัดซื้อในแต่ละองค์กร : นี่เป็นข้อมูลที่มีประโยชน์อย่างยิ่งสำหรับผู้ไม่หวังดีที่ต้องการทำ spear phishing หรือทำการโจมตีด้วย Business Email Compromise (BEC)
นักวิจัยสรุปว่าปริมาณของเอกสารสำคัญที่รวบรวมได้ในเวลาเพียงสามวันก็เพียงพอที่จะทำให้หลายๆ องค์กรขาดความมั่นคง ในหนึ่งเดือนผู้ไม่หวังดีจะมีข้อมูลเพียงพอที่จะกำหนดเป้าหมายหลายอุตสาหกรรมและขโมยข้อมูลประจำตัวของผู้ที่ตกเป็นเหยื่อหลายราย
โดยนักวิจัยแนะนำว่าองค์กรควรทำความเข้าใจการทำงานของ Sandbox ที่ใช้สำหรับการวิเคราะห์มัลแวร์ว่าจะมีการแชร์ไฟล์ที่ถูกอัปโหลดให้ผู้ใช้งานคนอื่นสามารถดูและดาวน์โหลดตัวอย่างไฟล์ได้ จึงไม่ควรอัปโหลดไฟล์ที่มีข้อมูลสำคัญ

ที่มา:securityaffairs

Dark Tequila Banking Malware Uncovered After 5 Years of Activity

นักวิจัยด้านความปลอดภัยของ Kaspersky Lab ได้เปิดเผยแคมเปญมัลแวร์ใหม่ชื่อ Dark Tequila ซึ่งมีเป้าหมายเป็นลูกค้าของสถาบันการเงินหลายแห่งในเม็กซิโก โดยเผยแพร่มาตั้งแต่ปี 2013 และตรวจพบเลยจนกระทั่งในปี 2018

Dark Tequila ได้รับการออกแบบมาเพื่อขโมยข้อมูลทางการเงินของเหยื่อจากรายชื่อเว็บไซต์ธนาคารออนไลน์ รวมถึงข้อมูลรับรองการเข้าสู่ระบบไปยังเว็บไซต์ยอดนิยม, ที่จัดเก็บเวอร์ชันของโค้ดไปจนถึงบัญชีที่เก็บไฟล์สาธารณะและผู้จดทะเบียนโดเมน

มัลแวร์จะถูกส่งไปยังเครื่องคอมพิวเตอร์ของเหยื่อผ่าน Spear-Phishing หรืออุปกรณ์ USB ที่ติดเชื้อ ซึ่งเพื่อป้องกันการถูกตรวจจับ ก่อนที่จะแพร่เชื้อมัลแวร์จะตรวจสอบว่าคอมพิวเตอร์ที่ติดเชื่อมี AntiVirus หรือ Security Suite ติดตั้งหรือทำงานอยู่หรือไม่ ถ้าไม่มีจึงจะแพร่เชื้อมัลแวร์แบบ Multi-stage Payload

มัลแวร์ Dark Tequila มี 6 โมดูลหลัก ดังนี้
1. C&C - มัลแวร์นี้จะจัดการการติดต่อระหว่างคอมพิวเตอร์ที่ติดเชื้อและ command and control (C&C) server และตรวจสอบการโจมตีแบบ man-in-the-middle เพื่อป้องกันการวิเคราะห์มัลแวร์
2. CleanUp - หากมัลแวร์ตรวจพบพฤติกรรมที่น่าสงสัย เช่นการรันบน virtual machine หรือ debugging tools จะทำการล้างข้อมูลในระบบที่ติดไวรัสและลบหลักฐานที่มีอยู่
3. Keylogger - โมดูลนี้ได้รับการออกแบบมาเพื่อตรวจสอบระบบและบันทึกการกดแป้นพิมพ์เพื่อขโมยข้อมูลรับรองการเข้าสู่ระบบสำหรับรายการที่โหลดไว้ทั้งเว็บไซต์ ทั้งธนาคารและเว็บไซต์ยอดนิยมอื่น ๆ
4. Information Stealer - โมดูลขโมยรหัสผ่านจะดึงข้อมูลรหัสผ่านที่บันทึกไว้จากอีเมลและ FTP clients รวมทั้งเบราว์เซอร์
5. USB Infector - โมดูลนี้จะจำลองตัวเองและติดตั้งคอมพิวเตอร์เครื่องอื่น ๆ ผ่านทาง USB drives และจะ Copy ไฟล์ปฏิบัติการลงในไดรฟ์ ซึ่งจะทำงานโดยอัตโนมัติเมื่อเสียบเข้ากับระบบอื่น ๆ
6. Service Watchdog - โมดูลนี้มีหน้าที่ในการตรวจสอบให้แน่ใจว่ามัลแวร์กำลังทำงานอย่างถูกต้อง

รายชื่อเป้าหมาย ได้แก่ Cpanels, Plesk, ระบบจองเที่ยวบินออนไลน์, Microsoft Office 365, ลูกค้า IBM Lotus Notes, Zimbra email, Bitbucket, Amazon, GoDaddy, Register, Namecheap, Dropbox, Softlayer, Rackspace และบริการอื่น ๆ

ข้อแนะนำ
- ควรระมัดระวังในการเปิดอีเมลที่น่าสงสัยและลง Anti-virus ที่น่าเชื่อถือบนเครื่อง
- หลีกเลี่ยงการเชื่อมต่ออุปกรณ์ USB เข้ากับคอมพิวเตอร์ และปิดการทำงานอัตโนมัติบนอุปกรณ์ USB

ที่มา:thehackernews

Ryuk Ransomware Crew Makes $640,000 in Recent Activity Surge

นักวิจัยด้านความปลอดภัยจาก Malware Hunter ค้นพบ Ransomware ตัวใหม่ชื่อ Ryuk โดยสามารถทำรายได้ถึง 640,000 เหรียญ

จากการตรวจสอบนักวิจัยยังไม่สามารถยืนยันได้ว่า Ransomware ดังกล่าวแพร่กระจายหรือติดอย่างไร แต่คาดการณ์ว่า Ryuk Ransomware จะทำการโจมตีแบบมีการกำหนดเป้าหมาย(targeted attack) อาจจะผ่านทาง Spear-phishing email หรือ Internet-exposed และการเชื่อมต่อผ่าน Remote Desktop Protocol (RDP) ที่ไม่ปลอดภัย และทำการเข้ารหัสไฟล์พร้อมเรียกค่าไถ่เป็นสกุลเงิน Bitcoin

ทางด้านนักวิจัยของ Check Point คาดว่าผู้พัฒนา Ryuk Ransomware อาจเป็นผู้พัฒนาคนเดียวกันกับที่พัฒนา Hermes ransomware หรืออาจมีคนที่สามารถเข้าถึงซอร์สโค้ดของ Hermes ransomware ได้ เนื่องจากการตรวจสอบซอร์สโค้ดส่วนใหญ่ที่ Ransomware ทั้งสองตัวใช้มีความเหมือนกันอยู่ เช่น

- ฟังก์ชันที่เข้ารหัสไฟล์มีความคล้ายคลึงกัน
- Ryuk และ Hermes มีการใช้ตัวแปร file marker ในการเข้ารหัสไฟล์
- มีการตรวจสอบตัวแปร marker เหมือนกัน
- มีโฟลเดอร์ Whitelist ที่เหมือนกัน (เช่น "Ahnlab", "Microsoft", "$ Recycle.

DarkHydrus Relies on Open-Source Tools for Phishing Attacks

DarkHydrus ใช้ Open-Source เป็นเครื่องมือสำหรับช่วยการโจมตี spear-phishing ซึ่งออกแบบมาเพื่อขโมยข้อมูล Credential จากรัฐบาลและสถาบันการศึกษาในตะวันออกกลาง

นักวิจัยของ Palo Alto Networks Unit 42 พบว่ากลุ่มที่มีชื่อว่า "DarkHydrus" ได้ใช้เครื่องมือ Open-Source จาก GitHub ที่ชื่อว่า "Phishery" ช่วยในการโจมตีเพื่อขโมยมูล Credential โดยก่อนหน้านี้เคยใช้เป็น Meterpreter, Cobalt Strike, Invoke-Obfuscation, Mimikatz, PowerShellEmpire และ Veil ร่วมกับเอกสารที่เป็น Microsoft Office เพื่อรับคำสั่งจากระยะไกล

ย้อนกลับไปเมื่อเดือนมิถุนายนพบว่ากลุ่มดังกล่าวได้ทำการโจมตีสถาบันการศึกษา โดยการส่งอีเมลล์ที่ใช้ Subject ว่า "Project Offer" และแนบเอกสารไฟล์ Word เพื่อหลอกให้ผู้ใช้กรอกชื่อผู้ใช้และรหัสผ่าน จากนั้นจึงส่งกลับไปยังเซิร์ฟเวอร์ที่เตรียมไว้

การโจมตีในลักษณะนี้ไม่ใช่วิธีการใหม่ ตัวอย่างเช่น WannaCry และ NotPetya เมื่อปีที่แล้ว ก็ได้มีการใช้ Mimikatz ช่วยในการขโมยข้อมูล Credential และใช้ PsExec เพื่อรับคำสั่งจากระยะไกล

ที่มา: bleepingcomputer

Criminals exploit PowerPoint vulnerability to spread malware

อาชญากรใช้ประโยชน์จากช่องโหว่ของ PowerPoint เพื่อแพร่กระจาย Malware

การโจมตีนี้พบในองค์กรที่อยู่ในกลุ่มอุตสาหกรรมการผลิตอุปกรณ์อิเล็กทรอนิกส์ โดยช่องโหว่นี้ช่วยให้สามารถหลีกเลี่ยงการตรวจจับจากโปรแกรม Antivirus ได้ การโจมตีเริ่มต้นด้วย Spear-Phishing Email ที่มีข้อความจากบริษัทผลิตสายเคเบิล ที่มีการแนบไฟล์ PowerPoint เมื่อมีการเปิดไฟล์จะทำให้เกิดการโจมตีผ่านช่องโหว่ของ Microsoft (CVE-2017-0199) ซึ่งทำงานโดยการรันคำสั่งบางอย่างให้มีการดาวน์โหลดไฟล์มาลงที่เครื่อง จากนั้นจะมีการสั่งให้รันไฟล์ที่ชื่อว่า 'RATMAN.EXE' ผ่าน PowerShell ทำให้ผู้โจมตีสามารถใช้ความสามารถ keylog, screenlog, เข้าถึงไมโครโฟนและกล้องบนเครื่องที่ถูกโจมตีสำเร็จ รวมทั้งสามารถดาวน์โหลด และสั่งให้ Malware อื่นๆทำงานได้เช่นเดียวกัน

ตอนนี้ Microsoft ได้เผยแพร่ Patches เพื่อแก้ไขช่องโหว่เป็นที่เรียบร้อยแล้วตั้งแต่เดือนเมษายนที่ผ่านมา จึงขอแนะนำให้ผู้ใช้ทุกคนทำการอัพเดทระบบ และเครื่องของตนเอง รวมถึงตรวจดู Email ที่ได้รับมาอย่างถี่ถ้วนก่อนทำการเปิดไฟล์ที่แนบมา จะเป็นการป้องกันการถูกโจมตีผ่านช่องโหว่นี้ได้ดีที่สุด

ที่มา: itproportal