นักวิจัยออกมาเตือนว่า แรนซัมแวร์ VECT 2.0 มีปัญหาในวิธีการจัดการค่า Nonce สำหรับการเข้ารหัส ซึ่งส่งผลให้ตัวแรนซัมแวร์ทำลายไฟล์ขนาดใหญ่อย่างถาวร แทนที่จะเป็นการเข้ารหัสไฟล์เหล่านั้น

VECT ได้ถูกนำไปโฆษณาบนเว็บบอร์ด BreachForums เวอร์ชันล่าสุด โดยมีการเชิญชวนผู้ใช้งานที่ลงทะเบียนให้มาเข้าร่วมเป็นเครือข่าย และมีการแจกจ่ายคีย์สำหรับการเข้าถึงผ่านทางข้อความส่วนตัวให้กับผู้ที่แสดงความสนใจ

ก่อนหน้านี้ ผู้ควบคุมแรนซัมแวร์ VECT ได้ประกาศเป็นพันธมิตรร่วมกับ TeamPCP ซึ่งเป็นกลุ่มภัยคุกคามที่อยู่เบื้องหลังการโจมตีแบบ Supply-chain attacks ล่าสุดที่ส่งผลกระทบต่อระบบของ Trivy, LiteLLM และ Telnyx รวมถึงการโจมตีคณะกรรมาธิการของยุโรปอีกด้วย

ในประกาศดังกล่าว ผู้ควบคุมแรนซัมแวร์ VECT ระบุว่า เป้าหมายของพวกเขาคือการใช้ประโยชน์จากเหยื่อที่ได้รับผลกระทบจากการถูกโจมตีแบบ Supply-chain เหล่านั้น โดยการฝัง Payloads ของแรนซัมแวร์ลงในระบบของเหยื่อ รวมถึงเพื่อดำเนินการโจมตีแบบ Supply-chain attacks ในสเกลที่ใหญ่ขึ้นกับองค์กรอื่น ๆ ด้วย

แรนซัมแวร์ที่ทำงานผิดพลาด

แม้ว่ากระบวนการนี้จะมีจุดประสงค์เพื่อเพิ่มความเร็วในการเข้ารหัสสำหรับไฟล์ขนาดใหญ่ แต่เนื่องจากการเข้ารหัสข้อมูลแต่ละส่วนใช้ Memory buffer เดียวกันสำหรับผลลัพธ์ของค่า Nonce ทำให้ค่า Nonce ที่สร้างขึ้นใหม่แต่ละตัวจะไปเขียนทับค่าก่อนหน้าเสมอ

เมื่อประมวลผลข้อมูลทุกส่วนเสร็จสิ้น จะมีเพียงค่า Nonce ตัวสุดท้ายที่ถูกสร้างขึ้นเท่านั้นที่ยังคงค้างอยู่ในหน่วยความจำ และมีเพียงค่านี้เท่านั้นที่ถูกเขียนบันทึกลงในดิสก์

ส่งผลให้ส่วนเดียวของไฟล์ที่สามารถกู้คืนได้คือ 25% สุดท้าย ในขณะที่ข้อมูลสามส่วนก่อนหน้าจะไม่สามารถถอดรหัสได้เลย เนื่องจากค่า Nonce สำหรับส่วนเหล่านั้นได้สูญหายไปแล้ว

ค่า Nonce ที่สูญหายเหล่านั้นไม่ได้ถูกส่งกลับไปยังผู้โจมตีด้วยเช่นกัน ดังนั้น ต่อให้ผู้ควบคุมแรนซัมแวร์ VECT ต้องการจะถอดรหัสไฟล์ให้กับเหยื่อที่ยอมจ่ายค่าไถ่ พวกเขาก็ไม่สามารถทำได้

Check Point ตั้งข้อสังเกตว่า เนื่องจากไฟล์ที่สำคัญขององค์กรส่วนใหญ่ เช่น ดิสก์ของระบบ Virtual (VM disks), ไฟล์ฐานข้อมูล และไฟล์สำรองข้อมูล (Backups) ซึ่งมักจะมีขนาดเกิน 128kb ผลกระทบของ VECT ในฐานะมัลแวร์ Data wiper จึงอาจสร้างความเสียหายอย่างร้ายแรงให้กับระบบส่วนใหญ่ได้

Check Point ระบุว่า "ด้วยเกณฑ์กำหนดขนาดไฟล์ที่เพียง 128 KB ซึ่งเล็กกว่าไฟล์แนบในอีเมล หรือเอกสารสำนักงานทั่วไป สิ่งที่โค้ดของมัลแวร์จัดว่าเป็นไฟล์ขนาดใหญ่จึงไม่ได้ครอบคลุมแค่ VM disks, ฐานข้อมูล และไฟล์สำรองข้อมูลเท่านั้น แต่ยังรวมไปถึงเอกสารการทำงานทั่วไป, Spreadsheets และ Mailboxes ด้วย ในทางปฏิบัติ แทบจะไม่มีไฟล์ใดที่เหยื่อต้องการกู้คืน เพราะไฟล์ส่วนใหญ่มีขนาดใหญ่กว่าเกณฑ์นี้ทั้งหมด"

นักวิจัยพบว่า การทำงานที่ผิดพลาดในการจัดการค่า Nonce ดังกล่าวนี้ มีอยู่ในแรนซัมแวร์ VECT 2.0 ทุกสายพันธุ์ ไม่ว่าจะเป็นบน Windows, Linux และ ESXi ดังนั้น พฤติกรรมการทำลายข้อมูลในลักษณะเดียวกันนี้จึงเกิดขึ้นในทุก ๆ กรณี

ที่มา : bleepingcomputer

กลุ่มผู้ไม่หวังดีที่รู้จักกันในชื่อ Earth Ammit ซึ่งเชื่อว่ามีความเกี่ยวข้องกับกลุ่ม APT ที่ใช้ภาษาจีน กำลังกลายเป็นภัยคุกคามที่สำคัญต่อภาคทางการทหาร และอุตสาหกรรมในเอเชียตะวันออก

กลุ่มนี้ได้วางแผนการโจมตีสองครั้งที่แตกต่างกัน คือ VENOM และ TIDRONE โดยมุ่งเป้าไปที่ประเทศไต้หวัน และเกาหลีใต้เป็นหลัก

โดยมุ่งเน้นไปที่การแทรกซึมเข้าสู่ระบบ โดยเฉพาะอย่างยิ่งในอุตสาหกรรมโดรน และการทหาร แสดงให้เห็นถึงเจตนาเชิงกลยุทธ์ในการโจมตีเป้าหมายที่มีมูลค่าสูง

(more…)

นักวิจัยด้านความปลอดภัยไซเบอร์พบแพ็กเกจอันตรายบน PyPI ที่แอบอ้างว่าเป็นแอปพลิเคชันที่เกี่ยวข้องกับบล็อกเชน Solana แต่จริง ๆ แล้วมันมีฟังก์ชันที่ออกแบบมาเพื่อขโมยซอร์สโค้ด และข้อมูลที่เป็นความลับของนักพัฒนา แพ็กเกจนี้ชื่อว่า solana-token ซึ่งปัจจุบันไม่สามารถดาวน์โหลดได้จาก PyPI แล้ว แต่แพ็กเกจนี้ถูกดาวน์โหลดไปแล้วถึง 761 ครั้ง โดยพบว่าแพ็กเกจนี้ถูกเผยแพร่ครั้งแรกในเดือนเมษายน 2024 โดยใช้ระบบการตั้งเวอร์ชันที่แตกต่างจากมาตรฐานทั่วไป

เมื่อถูกติดตั้ง แพ็กเกจอันตรายจะพยายามขโมยซอร์สโค้ด และข้อมูลที่เป็นความลับของนักพัฒนาจากเครื่องของนักพัฒนาไปยัง IP Address ที่กำหนดไว้ล่วงหน้า โดยเฉพาะแพ็กเกจนี้จะคัดลอก และขโมยซอร์สโค้ดจากไฟล์ทั้งหมดในสแต็กของการประมวลผล Python โดยอ้างว่าเป็นฟังก์ชันบล็อกเชนที่ชื่อ "register_node()" พฤติกรรมที่ผิดปกตินี้แสดงให้เห็นว่าผู้โจมตีอาจมุ่งเป้าไปที่การขโมยข้อมูลลับที่เกี่ยวข้องกับคริปโต ซึ่งอาจถูกตั้งค่าไว้ล่วงหน้าในระหว่างการพัฒนาโปรแกรมที่มีฟังก์ชันอันตรายนี้อยู่

นักพัฒนาที่ต้องการสร้างบล็อกเชนของตัวเองน่าจะเป็นกลุ่มเป้าหมายของผู้โจมตีที่อยู่เบื้องหลังแพ็กเกจนี้ ซึ่งการประเมินนี้อ้างอิงจากชื่อแพ็กเกจ และฟังก์ชันที่ถูกสร้างไว้ภายใน.

วิธีการที่แพ็กเกจนี้ถูกเผยแพร่ไปยังผู้ใช้งานยังไม่เป็นที่แน่ชัด แต่มีความเป็นไปได้ว่าแพ็กเกจนี้อาจถูกโปรโมทในแพลตฟอร์มที่มุ่งเน้นไปยังนักพัฒนา

การค้นพบนี้แสดงให้เห็นว่า สกุลเงินดิจิทัลยังคงเป็นเป้าหมายหลักของผู้โจมตี ซึ่งทำให้การตรวจสอบแพ็กเกจทุกตัวอย่างละเอียดก่อนใช้งานเป็นสิ่งที่นักพัฒนาควรให้ความสำคัญ

Zanki ระบุว่า ทีมพัฒนาควรเฝ้าระวังการดำเนินการที่น่าสงสัย หรือการเปลี่ยนแปลงที่ไม่สามารถอธิบายได้ทั้งในซอฟต์แวร์โอเพนซอร์ส และซอฟต์แวร์เชิงพาณิชย์ของ third-party เพื่อป้องกันการโจมตีแบบ supply chain การหยุดโค้ดที่เป็นอันตรายก่อนที่จะเข้าสู่ระบบ, การพัฒนาระบบอย่างปลอดภัย จะช่วยให้ทีมสามารถป้องกันความเสียหายได้

ที่มา : thehackernews

พบการโจมตีแบบ Supply Chain Attack ในเวอร์ชัน 1.95.6 และ 1.95.7 ของไลบรารี '@solana/web3.js' ที่ได้รับการดาวน์โหลดไปแล้วมากกว่า 350,000 ครั้งต่อสัปดาห์ จาก npm

เวอร์ชันที่ถูกโจมตีเหล่านี้มีการฝังโค้ดที่เป็นอันตรายที่ออกแบบมาเพื่อขโมย private keys จากนักพัฒนา และผู้ใช้งานที่ไม่ระมัดระวัง ซึ่งอาจทำให้ผู้โจมตีสามารถดึงเงินคริปโทเคอร์เรนซีจากกระเป๋าเงินของผู้ใช้งานได้

(more…)

กลุ่มแฮ็กเกอร์ชื่อว่า APT41 ซึ่งคาดว่าเป็นกลุ่มแฮ็กเกอร์ที่ได้รับการสนับสนุนจากรัฐจีน ถูกพบว่ามีการใช้ GC2 (Google Command and Control) ซึ่งเป็นเครื่องมือของ Red Team ในการโจมตีเพื่อขโมยข้อมูลจากสื่อไต้หวัน และบริษัทจัดหางานของอิตาลี

APT41 หรือที่รู้จักกันในชื่อ HOODOO เป็นกลุ่มแฮ็กเกอร์ที่คาดว่าได้รับการสนับสนุนจากรัฐจีน ซึ่งมุ่งเป้าไปที่อุตสาหกรรมที่หลากหลายในสหรัฐอเมริกา เอเชีย และยุโรป โดย Mandiant ได้ติดตามแฮ็กเกอร์กลุ่มนี้ตั้งแต่ปี 2014 ระบุว่า พฤติกรรมของแฮ็กเกอร์กลุ่มนี้คาบเกี่ยวกับกลุ่มแฮ็กเกอร์จีนอื่น ๆ ที่รู้จักกันดี เช่น BARIUM และ Winnti

ในรายงาน Threat Vision ประจำเดือนเมษายน 2023 ของ Google ที่เผยแพร่เมื่อวันศุกร์ที่ผ่าน (more…)