พบ Python backdoor ตัวใหม่ ที่มุ่งเป้าไปยัง developer โดยการส่ง job interview ปลอม

พบแคมเปญการโจมตีใหม่ในชื่อ “Dev Popper” ซึ่งกำหนดเป้าหมายไปยัง software developers ด้วยการส่งนัดสัมภาษณ์งานปลอม โดยการส่ง job interview เพื่อให้เป้าหมายติดตั้ง Python Remote Access Trojan (RAT)

ซึ่ง developer จะถูกขอให้ทำสิ่งต่าง ๆ ระหว่างการสัมภาษณ์ เช่น การดาวน์โหลด และเรียกใช้โค้ดจาก GitHub เพื่อทำให้กระบวนการทั้งหมดดูปกติ แต่เป้าหมายของ Hacker คือการให้เป้าหมายทำการดาวน์โหลดซอฟต์แวร์ที่เป็นอันตรายซึ่งจะทำการรวบรวมข้อมูลของระบบ และเปิดใช้งานการเข้าถึงเครื่องจากระยะไกล

จากการวิเคราะห์ของของ Securonix ระบุว่า จากวิธีการโจมตีแคมเปญการโจมตีดังกล่าวน่าจะมีที่มาจาก Hacker ชาวเกาหลีเหนือ แม้ว่าข้อมูลอาจจะยังไม่เพียงพอที่จะสามารถระบุแหล่งที่มาได้

การโจมตีแบบ Multi-stage infection chain

การโจมตี “Dev Popper” เป็นรูปแบบ multi-stage infection chain โดยอาศัยวิธีการ social engineering ซึ่งออกแบบมาเพื่อหลอกลวงเป้าหมายผ่านกระบวนการอย่างต่อเนื่อง

Hacker เริ่มต้นการติดต่อโดยสวมรอยเป็นนายจ้างที่เสนอตำแหน่ง developer ซึ่งในระหว่างการสัมภาษณ์ ผู้สมัครจะถูกขอให้ดาวน์โหลด และเรียกใช้งาน present ที่เป็น standard coding task จาก GitHub repository

ตัวอย่างไฟล์ ZIP ที่มี NPM package ซึ่งมี README.md รวมถึง frontend และ backend directory

เมื่อ developer รัน NPM package ไฟล์ JavaScript ที่อันตราย (“imageDetails.

NSA และ FBI แจ้งเตือนกลุ่ม Hacker ในชื่อ “Kimsuky” สวมรอยเป็นนักข่าวเพื่อขโมยข้อมูล

NSA และ FBI แจ้งเตือนการพบ Kimsuky (a.k.a APT43) กลุ่ม Hacker ชาวเกาหลีเหนือที่ได้รับการสนับสนุนจากรัฐ ได้ปลอมตัวเป็นนักข่าว และนักวิชาการ แล้วใช้การโจมตีแบบ spear-phishing เพื่อรวบรวมข้อมูลข่าวกรองจากองค์กรด้านนวัตกรรม ศูนย์วิจัย สถาบันการศึกษา และองค์กรสื่อต่าง ๆ

โดยการแจ้งเตือนดังกล่าวมาจากการที่หน่วยงานรัฐบาลหลายแห่งในสหรัฐอเมริกา และเกาหลีใต้ ซึ่งกำลังติดตามปฏิบัติการของ Hacker กลุ่มดังกล่าว รวมถึงวิเคราะห์รูปแบบการโจมตีของกลุ่ม ทั้งนี้หน่วยงานต่าง ๆ ที่ออกมาแจ้งเตือนประกอบไปด้วย ที่ปรึกษาร่วมจากสำนักงานสืบสวนกลางแห่งสหรัฐอเมริกา (FBI) กระทรวงการต่างประเทศสหรัฐฯ สำนักงานความมั่นคงแห่งชาติ (NSA) ร่วมกับหน่วยข่าวกรองแห่งชาติของเกาหลีใต้ (NIS) สำนักงานตำรวจแห่งชาติ (NPA) และกระทรวงการต่างประเทศ (MOFA)

Kimsuky นอกจากมีชื่อ APT43 แล้ว ยังเป็นที่รู้จักในชื่อ Thallium และ Velvet Chollima ได้ดำเนินแคมเปญจารกรรมขนาดใหญ่ ที่ได้รับการสนับสนุนจากหน่วยงานข่าวกรอง และสำนักงานลาดตระเวนทั่วไป (RGB) ของเกาหลีเหนือมาตั้งแต่ปี 2012 เป็นอย่างน้อย

การโจมตีด้วย Spear-phishing ที่ปลอมตัวเป็นนักข่าว

Kimsuky ได้เริ่มต้นการโจมตีด้วย spear-phishing โดยใช้ที่อยู่อีเมลที่ใกล้เคียงกับบุคคลจริง และสร้างเนื้อหาที่น่าเชื่อถือ และสมจริงสำหรับการสื่อสารกับเป้าหมาย ในหัวข้อต่าง ๆ ที่สังเกตได้ ได้แก่ การสอบถาม, การเชิญสัมภาษณ์, การสำรวจที่กำลังดำเนินอยู่ และการขอรายงาน หรือการตรวจสอบเอกสาร ซึ่งใน phishing Email จะเริ่มต้นโดยไม่มีมัลแวร์ หรือไฟล์แนบใด ๆ เนื่องจากต้องการได้รับความไว้วางใจจากเป้าหมาย หากเป้าหมายไม่ตอบกลับอีเมลเหล่านี้ Kimsuky จะกลับมาพร้อมข้อความติดตามหลังจากผ่านไปสองสามวัน

ทาง FBI พบว่าในอีเมลภาษาอังกฤษก็มีโครงสร้างประโยค และอาจมีข้อความที่ตัดตอนมาจากการสื่อสารครั้งก่อนของเหยื่อกับผู้ติดต่อที่ถูกต้องซึ่งถูกขโมยไป รวมถึงเมื่อเป้าหมายเป็นชาวเกาหลีใต้ ข้อความฟิชชิ่งอาจมีภาษาถิ่นของเกาหลีเหนือที่แตกต่างกัน นอกจากนี้ยังพบว่าที่อยู่ที่ใช้ในการส่งอีเมลฟิชชิ่งจะปลอมแปลงเป็นของบุคคล หรือหน่วยงานที่ถูกต้องตามกฎหมาย แต่มักจะมีการสะกดผิดเล็กน้อย

การป้องกัน Kimsuky

ทั้งนี้หน่วยงานต่างๆ ที่ออกมาแจ้งเตือน ได้ให้คำแนะนำในการป้องกันการโจมตีจาก Kimsuky ไว้ว่า

ควรมีชุดมาตรการลดผลกระทบ ซึ่งรวมถึงการใช้รหัสผ่านที่รัดกุมเพื่อป้องกันบัญชี และเปิดใช้งาน multi-factor authentication (MFA)
ผู้ใช้ไม่ควรเปิดใช้งาน Macro ในเอกสารในอีเมลที่ส่งโดยบุคคลที่ไม่รู้จัก
ตรวจสอบเอกสารที่ส่งจากบริการ cloud hosting services ที่รู้จักเท่านั้น
เมื่อมีข้อสงสัยเกี่ยวกับข้อความที่อ้างว่ามาจากกลุ่มสื่อหรือนักข่าว โปรดไปที่เว็บไซต์อย่างเป็นทางการขององค์กรนั้น และยืนยันความถูกต้องของข้อมูลติดต่อ

 

ที่มา : bleepingcomputer

Bad Magic การโจมตีรูปแบบใหม่เพื่อขัดขวางการทำงานในภาคส่วนสำคัญของยูเครนในช่วงสงคราม [EndUser]

ในช่วงสงครามระหว่างรัสเซีย และยูเครน ทั้งองค์กรภาครัฐ, ภาคเกษตร และภาคขนส่งที่ตั้งอยู่ในเมือง Donetsk, Lugansk, และ Crimea ถูกโจมตี ซึ่งส่วนหนึ่งของแคมเปญการโจมตีมีการฝังโมดูลเฟรมเวิร์กการโจมตีใหม่ที่ชื่อ 'CommonMagic'

Kaspersky ระบุในรายงานล่าสุดว่า "ถึงแม้วิธีการในช่วงแรกยังไม่มีรายละเอียดชัดเจน แต่รายละเอียดของขั้นตอนถัดไปแสดงให้เห็นว่ามีการใช้เทคนิค spear phishing หรือเทคนิคที่คล้ายกัน"

Kaspersky พบการโจมตีครั้งแรกในเดือนตุลาคม 2022 ภายใต้ชื่อกลุ่ม 'Bad Magic'

ขั้นตอนการโจมตีจะใช้ URL ที่ตั้งค่าให้ดาวน์โหลดไฟล์ .ZIP ที่อยู่บนเว็บเซิร์ฟเวอร์ที่ถูกควบคุมโดยผู้โจมตี เมื่อเปิดไฟล์จะมีเอกสารปลอม และไฟล์ .LNK ที่เป็นอันตราย ซึ่งจะทำการติดตั้ง backdoor ชื่อ 'PowerMagic'

'PowerMagic' เป็น PowerShell ที่ใช้ในการติดต่อกับ C2 Server เพื่อรันคำสั่งที่เป็นอันตราย และส่งข้อมูลกลับไปยังบริการคลาวด์ต่าง ๆ เช่น Dropbox และ Microsoft OneDrive

PowerMagic ยังทำหน้าที่เป็นช่องทางในการส่งเฟรมเวิร์ก CommonMagic ซึ่งเป็นโมดูลที่สามารถดำเนินการต่าง ๆ เช่น command-and-control (C2) server, เข้ารหัส และถอดรหัสข้อมูลที่ติดต่อสื่อสารกับ C2 Server และติดตั้ง plugins ต่าง ๆ

โดย plugins 2 ตัว มีความสามารถในการจับภาพหน้าจอทุก ๆ 3 วินาที และสามารถรวบรวมไฟล์ที่มีความสำคัญจากอุปกรณ์ที่เชื่อมต่อผ่าน USB ได้

Kaspersky ระบุว่า "ยังไม่พบหลักฐาน และเครื่องมือที่ใช้ที่สามารถเชื่อมโยงการโจมตีกับกลุ่มผู้โจมตีกลุ่มใดกลุ่มหนึ่งได้"

 

ที่มา : thehackernews

แฮ็กเกอร์ใช้ช่องโหว่บน firmware driver ของ Dell เพื่อแอบติดตั้ง Rootkit ลงเครื่องเป้าหมาย

กลุ่ม Lazarus ซึ่งคาดว่าเป็นกลุ่มแฮ็กเกอร์ที่ได้รับการสนับสนุนจากรัฐบาลเกาหลีเหนือ ได้เริ่มโจมตีโดยใช้ประโยชน์จากช่องโหว่บน firmware driver ของ Dell ซึ่งถือเป็นการโจมตีในรูปแบบที่ถูกพัฒนาขึ้นจากกลุ่มผู้โจมตีที่ได้รับการสนับสนุนจากรัฐ

โดยเมื่อช่วงฤดูใบไม้ร่วงปี 2021 ได้มีปฎิบัติการ In(ter)ception โดยใช้การโจมตีในรูปแบบ Bring Your Own Vulnerable Driver (BYOVD) หรือการนำ driver ที่มีช่องโหว่ไปติดตั้งโดยการปฎิบัติการนี้มุ่งเป้าไปที่อุตสาหกรรมการบิน และอวกาศ และการป้องกันประเทศ

โดยนักวิจัยจาก ESET ระบุว่าการโจมตีนั้นจะเริ่มจากการส่ง spear-phishing ซึ่งดูเหมือนถูกส่งมาจากทาง Amazon ไปยังพนักงานของบริษัทการบินในเนเธอร์แลนด์ และนักข่าวการเมืองในเบลเยียม ซึ่งเมื่อมีการเปิดใช้ไฟล์ที่แนบมา มันจะทำการฝังโทรจันที่เป็นรูปแบบ Open source ลงไปในระบบของเหยื่อ

ESET ระบุว่าพบหลักฐานที่ Lazarus จะมีการติดตั้งเครื่องมืออย่าง เช่น FingerText และ sslSniffer ซึ่งเป็นส่วนประกอบของไลบรารี wolfSSL รวมไปถึงการติดตั้ง Backdoor ที่ชื่อว่า BLINDINGCAN หรือที่รู้จักในชื่อ AIRDRY และ ZetaNile ซึ่งสามารถใช้เพื่อควบคุมเครื่องเป้าหมายได้

แต่สิ่งที่น่าสังเกตเกี่ยวกับการโจมตีเมื่อปี 2021 ที่ผ่านมานั้น มีการพบการโจมตีโดยใช้ประโยชน์จากช่องโหว่ของ Driver Dell มาทำการเพิ่มความสามารถในการอ่าน และเขียนคำสั่งลงบนหน่วยความจำ (Memory) ได้ โดยช่องโหว่ที่ถูกใช้ในการโจมตีมีหมายเลข CVE-2021-21551 ซึ่งเป็นช่องโหว่ privilege escalation บน dbutil_2_3.sys ซึ่งถือเป็นครั้งแรกที่พบการโจมตีโดยการใช้ช่องโหว่ดังกล่าว โดยเมื่อโจมตีได้สำเร็จโซลูชันทางด้านความปลอดภัยทั้งหมดบนเครื่องที่ถูกโจมตีจะถูกปิดการทำงาน

โดย Malware นี้ใช้ชื่อว่า FudModule ซึ่งนักวิจัยด้านความปลอดภัยของระบบ และนักพัฒนาระบบป้องกันของ ESET แจ้งว่าไม่เคยพบมัลแวร์รูปแบบนี้ หรือคล้ายกับรูปแบบนี้มาก่อน

โดยแฮ็กเกอร์จะใช้การเข้าถึงการเขียนหน่วยความจำเคอร์เนลเพื่อปิดใช้งานกลไกป้องกันต่าง ๆ บนระบบปฏิบัติการ Windows ทั้งในส่วนของ Registry, file system, process creation, event tracing และอื่น ๆ

เมื่อเดือนที่ผ่านมาทาง ASEC ของ AhnLab รายงานเกี่ยวกับการใช้ประโยชน์จาก Driver ที่ชื่อว่า "ene.

แฮ็กเกอร์กลุ่มใหม่สัญชาติอิหร่าน APT42 ใช้ spyware บน android ในการโจมตี

กลุ่มแฮ็กเกอร์กลุ่มใหม่ที่คาดว่าได้รับการสนับสนุนจากรัฐบาลอิหร่านชื่อ APT42 ถูกพบว่ามีการใช้มัลแวร์บน Android ที่ถูกสร้างขึ้นเพื่อโจมตีเป้าหมายที่ต้องการ

บริษัทผู้เชี่ยวชาญด้านความปลอดภัยทางอินเทอร์เน็ต ได้รวบรวมหลักฐานเพียงพอที่จะระบุได้ว่า APT42 เป็นกลุ่มผู้โจมตีที่ได้รับการสนับสนุนจากรัฐบาลอิหร่าน ซึ่งมีส่วนเกี่ยวข้องในการสอดแนมทางอินเทอร์เน็ตต่อบุคคล และองค์กรที่รัฐบาลอิหร่านให้ความสนใจเป็นพิเศษ

APT42 ถูกพบครั้งแรกเมื่อ 7 ปีที่แล้ว และเกี่ยวข้องกับแคมเปญ spear-phishing ที่มุ่งเป้าไปที่เจ้าหน้าที่ของรัฐ ผู้กำหนดนโยบาย นักข่าว นักวิชาการทั่วโลก และผู้คัดค้านชาวอิหร่าน

เป้าหมายของแฮ็กเกอร์คือการขโมยข้อมูลบัญชี ในหลายกรณีกลุ่มแฮ็กเกอร์ยังติดตั้งมัลแวร์บน Android ที่สามารถติดตามการเข้าถึงอุปกรณ์ จัดเก็บ และดึงข้อมูลการสื่อสารของเหยื่อได้

เป้าหมายของแคมเปญ

จากข้อมูลของ Mandiant ผู้ค้นพบ APT42 พบว่ากลุ่ม APT42 ได้ปฏิบัติการมาแล้วอย่างน้อย 30 ครั้งใน 14 ประเทศตั้งแต่ปี 2558 ซึ่งอาจเป็นข้อมูลเพียงบางส่วนเท่านั้น

กลุ่ม APT42 เปลี่ยนเป้าหมายหลายครั้งเพื่อให้ตรงกับความสนใจในการรวบรวมข่าวกรองที่เปลี่ยนแปลงไป ตัวอย่างเช่น ในปี 2563 ใช้อีเมลฟิชชิงที่แอบอ้างเป็นผู้เชี่ยวชาญวัคซีนของมหาวิทยาลัยอ็อกซ์ฟอร์ดเพื่อกำหนดเป้าหมายเป็นบริษัทเภสัชภัณฑ์จากต่างประเทศ

ในปี 2564 APT42 ใช้ที่อยู่อีเมลขององค์กรสื่อของสหรัฐฯ ที่ถูกแฮ็ก เพื่อกำหนดเป้าหมายเหยื่อด้วยคำขอสัมภาษณ์ปลอม ๆ โดยทำการติดต่อกับพวกเขาเป็นเวลานานกว่า 37 วันก่อนที่จะโจมตีด้วยการหลอกเอาข้อมูล

ไม่นานมานี้ ในเดือนกุมภาพันธ์ พ.ศ. 2565 แฮ็กเกอร์ได้ปลอมเป็นสำนักข่าวของอังกฤษมีเป้าหมายเป็นอาจารย์ด้านรัฐศาสตร์ในเบลเยียม และสหรัฐอาหรับเอมิเรตส์

ในกรณีส่วนใหญ่ แฮ็กเกอร์จะมุ่งเป้าไปที่การเก็บรวบรวมข้อมูลประจำตัว โดยหลอกเหยื่อไปยังหน้าฟิชชิ่งที่ดูเหมือนเป็น login portals ที่ถูกต้อง ด้วยการส่งลิงก์ที่ถูกย่อให้สั้นลง หรือไฟล์แนบ PDF ที่นำไปสู่หน้าที่ให้กรอกข้อมูลประจำตัว รวมไปถึงเก็บข้อมูล MFA ได้ด้วย

Android malware

มัลแวร์บนอุปกรณ์ Android ที่ใช้ในแคมเปญของกลุ่ม APT42 จะช่วยให้ผู้โจมตีติดตามเป้าหมายได้อย่างใกล้ชิด ขโมยข้อมูลการโทร SMS และแอบบันทึกเสียง

Mandiant ระบุว่า “สปายแวร์บน Android นั้นแพร่กระจายไปยังเป้าหมายที่เป็นชาวอิหร่านเป็นหลัก ผ่านทางข้อความ SMS ที่มีลิงก์ไปยังแอพส่งข้อความหรือ VPN ที่สามารถช่วยหลีกเลี่ยงข้อจำกัดที่รัฐบาลกำหนด”

Mandiant ระบุในรายงานว่า “มัลแวร์ Android โจมตีบุคคลที่รัฐบาลอิหร่านให้ความสนใจและใช้วิธีการที่มีประสิทธิภาพ เพื่อให้ได้ข้อมูลที่สำคัญเกี่ยวกับเป้าหมาย รวมทั้งข้อมูลบนโทรศัพท์มือถือ รายชื่อผู้ติดต่อ และข้อมูลส่วนบุคคล”

Mandiant ยังรายงานการค้นพบแลนดิ้งเพจสำหรับการดาวน์โหลดแอป IM เป็นภาษาอาหรับ ดังนั้น ผู้โจมตีอาจติดตั้งมัลแวร์ Android นอกประเทศอิหร่านได้ด้วย

มัลแวร์ยังมีความสามารถในการบันทึกการใช้งานโทรศัพท์ เปิดไมโครโฟน และบันทึกภาพ และถ่ายภาพตามคำสั่ง อ่านข้อความ และติดตามตำแหน่ง GPS ของเหยื่อแบบ real time

ที่มา : bleepingcomputer

ฟีเจอร์ commenting ของ Google Docs ถูกนำไปใช้โจมตีด้วย spear-phishing

 

 

 

 

 

 

 

ฟีเจอร์ commenting ของ Google Docs ถูกนำไปใช้โจมตีด้วย spear-phishing

พบรูปแบบใหม่ในการโจมตีแบบ phishing เกิดขึ้นในเดือนธันวาคม 2021, โดยผู้ไม่หวังดีใช้ประโยชน์จากฟีเจอร์ commenting ของ Google Docs เพื่อส่งอีเมล phishing ที่ดูแล้วน่าเชื่อถือ

Google Docs ถูกใช้งานจากผู้ใช้งานจำนวนมาก เนื่องจากสามารถทำงานร่วมกันในไฟล์เดียวกันจากที่ใดก็ได้ ดังนั้นผู้ใช้งานส่วนใหญ่ที่ได้รับอีเมลแจ้งเตือนจาก Google Docs จึงไม่ค่อยให้ความระมัดระวังมากนัก

เนื่องจากผู้โจมตีใช้ฟีเจอร์ของ Google เองในการส่งอีเมล phishing พวกนี้ ทำให้อุปกรณ์จำพวก email security ไม่ได้ระบุว่าอีเมลพวกนี้เป็นอันตราย

จริง ๆ แล้ววิธีการนี้ถูกใช้ตั้งแต่เดือนตุลาคมปีที่แล้ว โดย Google เองก็พยายามแก้ไขปัญหานี้อยู่ในเบื้องต้น แต่ยังไม่สามารถแก้ไขได้ทั้งหมด

ล่าสุดพบว่ามีจำนวน phishing ลักษณะนี้เพิ่มขึ้นจำนวนมาก โดยนักวิเคราะห์ภัยคุกคามจาก Avanan ได้แบ่งปันข้อมูลรายงานกับ Bleeping Computer ก่อนเผยแพร่รายงานออกสู่สาธารณะ

วิธีการที่ผู้โจมตีใช้

แฮกเกอร์จะใช้บัญชี Google ของตนเพื่อสร้าง Google Docs แล้วใส่ comment ใน Docs จากนั้นก็แท็กเป้าหมายด้วย @ หลังจากนั้น Google จะส่งอีเมลแจ้งเตือนไปยังอีเมลของเป้าหมายเพื่อแจ้งให้ทราบว่ามีผู้ใช้รายอื่น comment ในเอกสาร และแท็กถึงพวกเขา

 

 

 

 

 

 

 

comment ในอีเมลอาจมีลิงก์ที่เป็นอันตรายซึ่งนำไปสู่หน้าเว็บที่มีการฝัง malware หรือ หน้าเว็บ phishing โดยอีเมลของผู้โจมตีจะไม่แสดงในการแจ้งเตือน และผู้รับจะเห็นเพียงชื่อเท่านั้น ทำให้สามารถแอบอ้างเป็นบุคคลอื่นได้ง่าย และเพิ่มโอกาสความสำเร็จให้กับผู้โจมตีอีกด้วย

 

 

 

 

 

 

 

เทคนิคเดียวกันนี้ใช้ได้กับฟีเจอร์ comment ของ Google Slide เช่นกัน และ Avanan รายงานว่าพบผู้โจมตีใช้ประโยชน์จาก Google Workspace service อีกด้วย ที่อันตรายคือผู้โจมตีไม่จำเป็นต้องแชร์เอกสารกับเป้าหมาย เนื่องจากการแท็กถึงพวกเขานั้นก็เพียงพอที่จะส่งการแจ้งเตือนที่มีเนิ้อหาที่เป็นอันตราย

เริ่มพบการโจมตีเป็นวงกว้าง และมาตรการป้องกัน

จากข้อมูลของ Avanan ผู้โจมตีที่อยู่เบื้องหลังการโจมตีเหล่านี้ดูเหมือนจะมุ่งเป้าไปที่ผู้ใช้งาน Outlook แต่กลุ่มเป้าหมายไม่ได้จำกัดอยู่เพียงผู้ใช้เหล่านั้น แคมเปญ spear-phishing ที่กำลังดำเนินอยู่นี้้ใช้บัญชี Google มากกว่า 100 บัญชีและมีการส่งอีเมลไปถึง 500 อีเมลในกว่า 30 องค์กรแล้ว

วิธีที่จะลดความเสี่ยงของแคมเปญนี้ และแคมเปญที่คล้ายคลึงกันคือ

-ยืนยันว่าอีเมลผู้ส่งตรงกับเพื่อนร่วมงานของคุณ (หรือบุคคลที่อ้างสิทธิ์)
-หลีกเลี่ยงการคลิกลิงก์ที่ส่งมาถึงทางอีเมล และถูกฝังอยู่ใน comment
-ปรับใช้มาตรการรักษาความปลอดภัยเพิ่มเติมที่ใช้ในการแชร์ไฟล์ที่เข้มงวดมากยิ่งขึ้นใน Google Workspace
-ใช้โซลูชันความปลอดภัยทางอินเทอร์เน็ตซึ่งมีการป้องกัน phishing URL

ที่มา : bleepingcomputer

FBI spots spear-phishing posing as Truist Bank bank to deliver malware

เอฟบีไอพบ spear-phishing สวมรอยเป็นธนาคาร Truist Bank เพื่อกระจายมัลแวร์

ผู้โจมตีแอบอ้างตัวเองเป็น Truist Bank ซึ่งเป็นธนาคารของอเมริกา และทำการส่งสเปียร์ฟิชชิ่ง
ผู้โจมตีจะส่งอีเมลและแนบเว็บไซต์ โดยภายในอีเมลหรือเว็บไซต์นั้นจะมีมัลแวร์หรือโทรจันแบบเข้าถึงระยะไกลได้ (RAT : Remote Administration Tool ) ในการกระจายมัลแวร์ให้กับผู้ที่ตกเป็นเหยื่อ

FBI ได้เผยแพร่เอกสาร TLP:WHITE. โดยมีการกล่าวว่า ในกลุ่มแฮกเกอร์ได้ปรับแต่งแคมเปญฟิชชิ่ง โดยการจดทะเบียนโดเมน หัวข้ออีเมล และแอพพลิชั่น เพื่อแอบอ้างว่าเป็นสถานบันการเงินนั้น ๆ

โดยการทำงานร่วมกันกับ DHS-CISA (Department of Homeland Security's - Cybersecurity and Infrastructure Security Agency) โดยได้มีการออก IOC (Indicators of compromise) เพื่อใช้ในการตรวจจับและป้องกันการโจมตีดังกล่าวแล้ว

มีการโจมตีที่เป้าหมายที่เป็น บริษัทพลังงานหมุนเวียน ในเดือนกุมภาพันธ์ 2564 แฮกเกอร์ได้มีการส่งอีเมลฟิชชิ่งสั่งให้เป้าหมายทำการติดตั้งแอปพลิเคชั่นที่เป็นอันตราย โดยแอบอ้างเป็นแอป Truist Financial SecureBank และต้องดำเนินการให้เสร็จหลังเงินกู้ 62 ล้านดอลลาร์

FBI ได้กล่าวเพิ่มเติมว่า “จำนวนเงินที่หลอกลวงไปนั้นจะขึ้นอยู่กับรูปแบบธุรกิจของเป้าหมาย และในอีเมลล์ฟิชชิ่งยังมีลิงค์สำหรับดาวน์โหลดแอปพลิเคชั่นพร้อมชื่อผู้ใช้และรหัสผ่านสำหรับการเข้าถึงอีกด้วย อีเมลฟิชชิ่งจะดูเหมือนว่าส่งมาจากสถาบันการเงินในสหราชอาณาจักรโดยระบุว่าการกู้ยืมเงินสถาบันการเงินในอเมริกาให้กับเหยื่อนั้นได้รับการยืนยันแล้ว และสามารถเข้าถึงได้ผ่านแอปพลิเคชั่นที่แฮกเกอร์ได้แนบลิงค์มาด้วย”

แฮกเกอร์จะปลอมแปลงโฮสต์ของแอปพลิเคชั่นที่ลงทะเบียนไว้ก่อนการโจมตีโดยการแอบอ้างว่าเป็น Truist และดูเหมือนว่าสถาบันการเงินอื่น ๆ ในอเมริกาและสหราชอาณาจักร เช่น MayBank, FNB America และ Cumberland Private ก็ถูกแอบอ้างในแคมเปญสเปียฟิชชิ่งนี้เช่นกัน

ความสามารถในการขโมยข้อมูลของมัลแวร์ โดยจากการตรวจสอบบน Virustotal พบรายละเอียดเกี่ยวกับความสามารถของมัลแวร์ซึ่งประกอบไปด้วย
- การยกระดับสิทธิ์
- การเชื่อมต่อกับ UDP
- การจัดการรีจิสทรีของระบบ
- จับภาพหน้าจอ
- การฟังการสื่อสารที่เชื่อมต่อเข้ามา
- การตรวจจับการกดแป้นพิมพ์
- ดาวน์โหลดหรือวางไฟล์ไว้บนเครื่อง
- การแทรกโค้ดด้วยการรีโมทจากระยะไกล

และเมื่อเดือนที่แล้ว Michael Page ซึ่งเป็น บริษัท จัดหางานชั้นนำของโลกได้ถูกแอบอ้างในแคมเปญที่คล้ายกันนี้ โดยเป้าหมายจะถูกหลอกให้ติดตั้ง Trojan (Ursnif) ซึ่งเป็นมัลแวร์ที่จะเก็บข้อมูลการใช้งานของเป้าหมาย

จากการดูข้อมูลที่เก็บมาจากระบบที่ติดมัลแวร์พบว่าผู้โจมตีจะสามารถขโมยข้อมูลการเข้าสู่ระบบของเป้าหมายและข้อมูลที่เป็นความลับอื่น ๆ เพื่อที่จะได้เข้าควบคุมบัญชีหรือระบบของเป้าหมาย และจากการวางเหยื่อล่อ (Decoy) พบว่าพฤติกรรมของมัลแวร์เป็นพฤติกรรมที่เคยใช้กลุ่ม Lazarus ซึ่งเป็นกลุ่มที่เชื่อได้ว่าได้รับการสนับสนุนจากรัฐบาลเกาหลีเหนือ

คำแนะนำ
● ควรระวังเมื่อใช้งานอีเมล เช่น ตรวจสอบชื่อผู้ส่ง, ลิ้งค์, ไฟล์แนบ ว่าน่าเชื่อถือหรือไม่
● ไม่ควรตั้งค่าอนุญาตให้เครื่องผู้ใช้สามารถติดตั้งโปรแกรมเองได้
● อัพเดทซอฟต์แวร์แอนตี้ไวรัสให้เป็นปัจจุบันเสมอ

ที่มา : ● bleepingcomputer.

พบผู้ไม่หวังดีพุ่งเป้าโจมตีผู้ใช้งาน LinkedIn ด้วยการหลอกเสนองาน

การโจมตีเริ่มต้นด้วยการกำหนดเป้าหมายก่อนจะส่งข้อความไปเสนองาน (spear-phishing) โดยจะส่งไฟล์ zip ที่ถูกตั้งชื่อให้ตรงกับตำแหน่งงานของเป้าหมายที่แสดงใน LinkedIn เมื่อเปิดไฟล์จะถูกติดตั้ง backdoor ที่มีชื่อว่า "more_egg" ซึ่งเป็น fileless ลงบนเครื่องโดยไม่รู้ตัว จากนั้นจะทำการยึดโปรเซสที่ถูกต้องของ Windows เพื่อหลบหลีกการตรวจจับ แต่ในระหว่างนั้นจะมีการเบี่ยงเบียนความสนใจด้วยการวางเหยื่อล่อ ด้วยการให้เหยื่อสนใจใบสมัครปลอมที่สร้างขึ้นมา มัลแวร์ตัวนี้สามารถถูกใช้เป็นช่องทางในการส่งมัลแวร์อื่น ๆ เข้ามาที่เครื่องเหยื่อก็ได้ ยกตัวอย่างเช่น banking trojan, ransomware, มัลแวร์ขโมยข้อมูล หรือถูกใช้เพื่อวาง backdoor ตัวอื่น ๆ เพื่อขโมยข้อมูลออกไปก็ได้

รายงานระบุว่า more_egg เป็นมัลแวร์ที่เคยถูกพบมาตั้งแต่ปี 2018 ผู้ไม่หวังดีที่ต้องการใช้งานจะสามารถหาซื้อได้จากบริการ malware-as-a-service (MaaS) ที่มีชื่อว่า "Golden Chicken" ได้ เคยถูกใช้โดย Threat Actor หลายกลุ่ม เช่น Cobalt, Fin6 และ EvilNum แต่สำหรับเหตุการณ์นี้ยังไม่สามารถระบุชัดเจนได้ว่า Threat Actor กลุ่มไหนเป็นผู้อยู่เบื้องหลัง

ที่มา: thehackernews

กลุ่มแฮกเกอร์รับจ้างใช้เครืองมือเเฮกชนิดใหม่ที่ชื่อ PowerPepper ในการโจมตีผู้ใช้ล่าสุด

นักวิจัยด้านความปลอดภัยของ Kaspersky ได้เปิดเผยรายละเอียดเกี่ยวกับแบ็คดอร์ PowerShell ใน Windows ที่พึ่งมีการค้นพบ โดยแบ็คดอร์ที่มีการค้นพบนั้นถูกระบุชื่อว่า PowerPepper ตามภาษาที่ถูกใช้เพื่อพัฒนาแบ็คดอร์ เชื่อว่าเป็นแบ็คดอร์ที่ถูกพัฒนามาจากกลุ่ม Advanced Persistent Threat (APT) รับจ้างที่มีชื่อว่า DeathStalker

กลุ่ม DeathStalker เป็นกลุ่ม APT ที่ถูกพบครั้งเเรกในปี 2012 โดยมีการกำหนดเป้าหมายการโจมตีไปยังกลุ่มธุรกิจขนาดเล็กถึงขนาดกลางในหลายสิบประเทศตามคำขอของลูกค้าที่ทำการว่าจ้าง กิจกรรมการโจมตีที่ถูกตรวจพบว่ามีการใช้ PowerPepper ถูกพบครั้งแรกเมื่อต้นเดือนกรกฎาคมที่ผ่านมา การโจมตีส่วนใหญ่เริ่มต้นด้วยอีเมล Spear-phishing ที่มีไฟล์เอกสาร Word ที่เป็นอันตราย ซึ่งเมื่อคลิกแล้วจะดาวน์โหลดและเรียกใช้สคริปต์ PowerShell ชื่อ Powersing เพื่อดำเนินการรันคำสั่งอันตราย จากนั้นมัลแวร์จะใช้ประโยชน์จากโปรโตคอล DNS-over-HTTPS (DoH) เป็นช่องทางการสื่อสารจากเซิร์ฟเวอร์ Command and Control (C&C) ของผู้ประสงค์ร้าย

เพื่อเป็นการป้องกันการตกเป็นเหยื่อผู้ใช้ควรระมัดระวังในการเปิดเอกสารที่แนบมากับอีเมล หรือคลิกลิงก์ในอีเมลจากผู้ส่งที่ไม่รู้จัก หรือผู้ดูแลระบบควรทำจำกัดการใช้งาน PowerShell บนคอมพิวเตอร์ของผู้ใช้ด้วยอีกทางหนึ่ง

ที่มา: thehackernews | securityweek

North Korean Hackers Used ‘Torisma’ Spyware in Job Offers-based Attacks

กลุ่มแฮกเกอร์เกาหลีเหนือใช้ Spyware ชนิดใหม่ Torisma ทำการโจมตีผู้ใช้โดยการแนบไปกับอีเมลรับสมัครงาน

นักวิจัยด้านความปลอดภัย Christiaan Beek และ Ryan Sherstibitoff จาก McAfee ได้เปิดเผยถึงแคมเปญการปฏิบัติการทางไซเบอร์ใหม่และมีการเชื่อมโยงกับกลุ่ม Hidden Cobra ซึ่งเป็นกลุ่มแฮกเกอร์ชาวเกาหลีเหนือและใช้โค้ดเนมการปฏิบัติการว่า "Operation North Star”

แคมเปญ Operation North Star เป็นแคมเปญการโจมตีและการสอดแนมเหยื่อที่เป็นเป้าหมาย โดยการโจมตีนี้ถูกกำหนดเป้าหมายเป็น IP address ของผู้ให้บริการ Internet service providers (ISP) ในประเทศออสเตรเลีย, อิสราเอล, รัสเซียและผู้ให้บริการการป้องกันประเทศที่อยู่ในรัสเซียและอินเดีย โดยเครื่องมือที่ถูกใช้นั้นเป็น Spyware ที่ยังไม่เคยตรวจพบมาก่อนซึ่งมีชื่อว่า “Torisma”

จากการวิเคราะห์เบื้องต้นของ McAfee ชี้ให้เห็นว่ากลุ่มเฮกเกอร์ได้ใช้ประโยชน์จากเว็บไซต์ job recruitment ที่เป็นที่ยอดนิยมในสหรัฐฯ และอิตาลีทำการโจมตีในลักษณะ spear phishing โดยส่งอีเมลเพื่อล่อลวงเหยื่อให้เปิดไฟล์แนบภายในอีเมล ภายในไฟล์จะมีโค้ดที่ใช้ดำเนินการต่อเพื่อประเมินข้อมูลระบบของเหยื่อเช่น วันที่, ที่อยู่ IP, User-Agent เป็นต้น จากนั้นจะทำการตรวจเช็ค IP ที่เป็นเป้าหมายกลับ IP ผู้ที่ตกเป็นเป้าหมาย ถ้าหากตรงกัน กลุ่มเฮกเกอร์จะทำการติดตั้งมัลแวร์ Torisma เพื่อใช้ในการสอดแนมเหยื่อ

ทั้งนี้กลุ่มเเฮกเกอร์ยังใช้โดเมนของเว็บไซต์การประมูล, เว็บไซต์บริษัทการพิมพ์ และ เว็บไซต์บริษัทฝึกอบรมด้านไอทีในการส่งอีเมล spear-phishing เพื่อหลีกเลี่ยงการตรวจจับมาตรการรักษาความปลอดภัยของบางองค์กรได้อีกด้วย

ผู้ใช้ควรทำการตรวจสอบอีเมลทุกครั้งก่อนทำการคลิกลิงก์และเปิดไฟล์แนบในอีเมลเพื่อป้องกันการฟิชชิ่งด้วยอีเมล

ที่มา: thehackernews