กลุ่ม FIN8 ใช้ Sardonic Backdoor ที่ปรับปรุงใหม่ในการโจมตีเพื่อติดตั้ง BlackCat Ransomware

FIN8 กลุ่มผู้โจมตีที่มีแรงจูงใจทางด้านการเงิน ทำการปรับปรุงแบ็คดอร์เวอร์ชันใหม่ที่ชื่อว่า Sardonic เพื่อนำไปสู่การติดตั้ง BlackCat Ransomware

Symantec Threat Hunter Team ระบุว่าการพัฒนาการโจมตีในครั้งนี้เป็นของกลุ่ม e-crime เพื่อกระจายความสนใจ และสร้างผลกำไรสูงสุดจากหน่วยงานที่โดนโจมตี ซึ่งความพยายามที่จะโจมตีนั้นเกิดขึ้นในเดือนธันวาคม 2565

FIN8 ถูกติดตามโดยบริษัทรักษาความปลอดภัยทางไซเบอร์ภายใต้ชื่อ Syssphinx ซึ่งมีการโจมตีมาตั้งแต่ปี 2559 ในเบื้องต้นเป็นการโจมตีระบบ Point of Sale (PoS) โดยใช้มัลแวร์อย่าง PUNCHTRACK และ BADHACH เป็นต้น และกลุ่มดังกล่าวได้กลับมาทำการโจมตีอีกครั้งหลังจากผ่านไปกว่าหนึ่งปีในเดือนมีนาคม 2564 ด้วย BADHATCH เวอร์ชันอัปเดต ตามมาด้วย bespoke implant แบบใหม่ที่เรียกว่า Sardonic ซึ่งเปิดเผยโดย Bitdefender ในเดือนสิงหาคม 2564

Sardonic backdoor ใช้ภาษา C++ ที่สามารถรวบรวมข้อมูลของระบบ และดำเนินการตามคำสั่ง และยังมีระบบปลั๊กอินที่ออกแบบมาเพื่อโหลด และดำเนินการ payloads ของมัลแวร์อื่น ๆ เพิ่มเติมในรูปแบบไฟล์ DLLs ซึ่งแตกต่างกับเวอร์ชันก่อนหน้าที่ออกแบบด้วยภาษา C++ โดย Iteration packs ล่าสุดมีการปรับเปลี่ยนที่สำคัญ โดยซอร์สโค้ดส่วนใหญ่ได้มีการเขียนใหม่ในภาษา C และมีการแก้ไขบางส่วนเพื่อให้ไม่ดูมีความคล้ายคลึงกัน

Symantec ได้ทำการวิเคราะห์เหตุการณ์พบว่า Sardonic จะถูกฝังอยู่ใน PowerShell script ที่ถูกติดตั้งในระบบของเป้าหมายหลังจากที่มีการเข้าถึงได้ในครั้งแรก โดยสคริปต์นี้ได้ออกแบบมาเพื่อเรียกใช้ตัวโหลด .NET ซึ่งจะทำการถอดรหัส และเรียกใช้ injector module เพื่อเรียกใช้ Implant ในตอนท้าย

Sardonic นอกจากจะรองรับ interactive sessions ได้สูงสุด 10 เซสชันบนโฮสต์ที่ติดมัลแวร์ เพื่อให้ผู้โจมตีเรียกใช้คำสั่งที่เป็นอันตรายได้แล้วนั้น ยังสามารถรองรับรูปแบบปลั๊กอินที่แตกต่างกันสามรูปแบบเพื่อเรียกใช้ DLL และ shellcode เพิ่มเติม และคุณสมบัติอื่น ๆ ของ Backdoor ยังมีความสามารถในการติดตั้งไฟล์ได้ตามต้องการ และส่งข้อมูลออกจากเครื่องที่ถูกโจมตีไปยัง Controlled infrastructure ของผู้โจมตี

ซึ่งไม่ใช่ครั้งแรกที่พบว่า FIN8 ใช้ Sardonic ในการเชื่อมต่อกับการโจมตีของแรนซัมแวร์ โดยในเดือนมกราคม 2565 Lodestone และ Trend Micro ได้เปิดเผยการใช้แรนซัมแวร์ White Rabbit ของ FIN8 ที่มีพื้นฐานมาจาก Sardonic

Symantec ระบุว่า Syssphinx ยังคงทำการพัฒนา และปรับปรุงความสามารถของโครงสร้างพื้นฐานในการติดตั้งมัลแวร์อย่างต่อเนื่อง ซึ่งมีการปรับปรุงเครื่องมือ และกลยุทธ์ในการโจมตีเป็นระยะ เพื่อหลีกเลี่ยงการตรวจจับ และการตัดสินใจของกลุ่มเพื่อต่อยอดจากการโจมตี point-of-sale เพื่อติดตั้งแรนซัมแวร์ แสดงให้เห็นถึงความทุ่มเทของผู้โจมตีในการเพิ่มผลกำไรสูงสุดจากองค์กรที่ตกเป็นเหยื่อ

Indicators of Compromise (IOC)

ที่มา : thehackernews  symantec

 

 

Bluebottle hackers used signed Windows driver in attacks on banks

กลุ่ม Bluebottle ใช้ไดรเวอร์ที่ได้รับการรับรองจาก Windows ในการโจมตีธนาคาร

นักวิจัยจาก Symantec บริษัทด้านความปลอดภัยทางไซเบอร์ ได้เผยแพร่รายงานพฤติกรรมการโจมตีของกลุ่ม Bluebottle ที่ใช้ไดรเวอร์อันตรายที่ได้รับการรับรองจาก Windows เพื่อโจมตีธนาคารในฝรั่งเศส ซึ่งทำให้เกิดความเสียหายมูลค่ากว่า 11 ล้านดอลลาร์

โดยนักวิจัยพบว่ากลุ่ม Bluebottle มีเทคนิค และขั้นตอนในการโจมตีคล้ายคลึงกับกลุ่ม OPERA1ER โดยพบการใช้มัลแวร์ที่สร้างขึ้นมาเอง และชุดเครื่องมือสำเร็จรูปในการโจมตี (Open Source, Commodity, Frameworks) และได้ดำเนินการโจมตีเป้าหมายไปแล้วกว่า 35 ครั้งระหว่างปี 2018 ถึง 2020 รวมถึงคาดว่ากลุ่ม Bluebottle อาจเป็นชาวฝรั่งเศส แต่มีฐานปฏิบัติการอยู่ที่แอฟริกา โดยการโจมตีจะมุ่งเป้าไปยังประเทศในภูมิภาคต่างๆ เช่น แอฟริกา ฝรั่งเศส อาร์เจนตินา ปารากวัย และบังกลาเทศ

กลยุทธ์ เทคนิค และขั้นตอนในการโจมตีของ Bluebottle

นักวิจัยของ Symantec ได้ทำการวิเคราะห์การโจมตีของ Bluebottle ซึ่งโจมตีสถาบันการเงินสามแห่งในประเทศแอฟริกา พบว่ามีวิธีการที่คล้ายกับ OPERA1ER โดยอธิบายเครื่องมือการโจมตีไว้ดังนี้

- การใช้ Quser เพื่อค้นหาผู้ใช้งาน

- การใช้ Ping เพื่อตรวจสอบการเชื่อมต่ออินเทอร์เน็ต

- การใช้ Ngrok สำหรับช่องทางเชื่อมต่อเครือข่าย

- การใช้ Net localgroup /add สำหรับเพิ่มผู้ใช้งาน

- การใช้ Fortinet VPN client เป็นช่องทางสำรองในการเข้าถึงระบบ

- การใช้ Xcopy เพื่อคัดลอกไฟล์ wrapper RDP

- การใช้ Netsh เพื่อเปิดพอร์ต 3389 ใน Firewall

- การใช้ Autoupdatebat Tool เพื่อเปิดใช้งาน RDP หลายเซสชันพร้อมกันบนระบบ

- การใช้ SC privs เพื่อแก้ไข SSH agent permission

- การใช้ Mimikatz เพื่อดึงรหัสผ่านจากหน่วยความจำ

- การใช้ Reveal Keylogger เพื่อบันทึกการกดแป้นพิมพ์

- การใช้ NetwireRAT (remote access trojan) เพื่อเข้าถึงระบบจากระยะไกล

นอกจากที่จะใช้มัลแวร์ที่สร้างขึ้นมาใช้เอง และชุดเครื่องมือสำเร็จรูปในการโจมตี (Open Source, Commodity, Frameworks) แล้ว ยังพบว่ามีการใช้ GuLoader สำหรับการโหลดมัลแวร์ และไดรเวอร์ที่เป็นอันตรายที่ได้รับการรับรองจาก Windows Hardware Developer Program ของ Microsoft ที่ออกให้กับบริษัท Zhuhai Liancheng Technology Co., Ltd.

กลุ่มเเฮกเกอร์เพิ่มช่องโหว่ ZeroLogon ในเครื่องมือการโจมตีมุ่งเป้าโจมตีอุตสาหกรรมยานยนต์และธุรกิจต่างๆ

นักวิจัยด้านความปลอดภัยจาก Symantec ได้เปิดเผยถึงการค้นพบแคมเปญการโจมตีเป้าหมายทางด้านธุรกิจที่เกี่ยวข้องกับอุตสาหกรรมยานยนต์, เภสัชกรรม, วิศวกรรมและผู้ให้บริการแบบ Managed Service Provider (MSP) โดยใช้ช่องโหว่ CVE-2020-1472 (ZeroLogon) จากกลุ่มเเฮกเกอร์ที่มีชื่อว่า “Cicada” หรือที่รู้จักกันในชื่อ APT10, Stone Panda และ Cloud Hopper

กลุ่ม Cicada เป็นกลุ่มภัยคุกคามที่ถูกเปิดเผยครั้งแรกในปี 2009 และเป็นกลุ่มที่รัฐบาลสหรัฐฯ เชื่อว่าอาจได้รับการสนับสนุนจากรัฐบาลจีน โดยในกิจกรรมแคมเปญการโจมตีกลุ่มธุรกิจในครั้งนี้ กลุ่ม Cicada ได้ทำการเพิ่มการใช้ประโยชน์จากช่องโหว่ CVE-2020-1472 (ZeroLogon) เข้าไปในเครื่องมือของกลุ่มแฮกเกอร์ ซึ่งช่องโหว่ดังกล่าวเป็นช่องโหว่การเข้ารหัสใน Microsoft Windows Netlogon Remote Protocol (MS-NRPC หรือ NRPC) และเป็นช่องโหว่ที่สำคัญที่ทำให้ผู้โจมตีสามารถยกระดับสิทธิ์และสามารถปลอมเป็นเครื่องใดๆ ในโดเมนรวมถึงภายในโดเมนคอนโทรลเลอร์และจะสามารถส่งคำขอเพื่อเปลี่ยนรหัสผ่านเพื่อยึดโดเมนคอนโทรลเลอร์ได้

กลุ่ม Cicada ยังได้ทำการเปิดตัว Backdoor.

แจ้งเตือนช่องโหว่แบบ Logical ในผลิตภัณฑ์ Antivirus หลายรายการ นำไปใช้ยกระดับสิทธิ์และข้ามผ่านกระบวนการจัดการสิทธิ์ได้

Eran Shimony จาก CyberArk อออกมาเปิดเผยถึงการค้นพบช่องโหว่ในผลิตภัณฑ์ Antivirus กว่า 15 ช่องโหว่ กระทบผลิตภัณฑ์ของ Kaspersky, McAfee, Symantec, Fortinet, CheckPoint, Trend Micro, Avira และ Microsoft Defender ช่องโหว่ทั้งหมดเป็นลักษณะของช่องโหว่แบบ logical หรือหมายถึงช่องโหว่ในเรื่องของการจัดการที่ไม่เหมาะสม ทำให้ผู้โจมตีสามารถใช้ประโยชน์จากปัญหาดังกล่าวในการโจมตีได้

Eran อธิบายถึงที่มาของช่องโหว่เอาไว้ในบล็อกของ CyberArk ช่องโหว่บางส่วนเกิดจากการจัดการสิทธิ์ที่ไม่เหมาะสมเมื่อมีการเขียนข้อมูลลงในพาธ C:\ProgramData รวมไปถึงการไม่ตรวจสอบและแก้ไขสิทธิ์ของไดเรกทอรีหรือไฟล์ที่โปรแกรม Antivirus ที่มีสิทธิ์สูงจะเข้าไปยุ่งเกี่ยวด้วยอย่างเหมาะสม แฮกเกอร์ซึ่งทราบเงื่อนไขของการโจมตีสามารถสร้างเงื่อนไขเพื่อให้โปรแกรม Antivirus ซึ่งมีสิทธิ์สูงอยู่แล้วเข้าไปแก้ไขไฟล์อื่น ๆ ในระบบ หรือลบไฟล์อื่น ๆ ในระบบได้

นอกเหนือจากเรื่องสิทธิ์ที่เกี่ยวกับพาธ C:\ProgramData แล้ว Eran ยังมีการระบุถึงช่องโหว่ DLL injection ในซอฟต์แวร์ Installer ยอดนิยมที่มักถูกใช้โดยผู้พัฒนาโปรแกรมป้องกันมัลแวร์ อาทิ InstallShield, InnoSetup, NsisInstaller และ Wix installer ด้วย

ช่องโหว่ดังกล่าวได้รับการแจ้งและแพตช์โดยผู้พัฒนาโปรแกรมป้องกันมัลแวร์แล้ว ขอให้ผู้ใช้งานทำการติดตามแพตช์และทำการอัปเดตเพื่อลดความเสี่ยงที่จะถูกโจมตีโดยใช้ช่องโหว่นี้โดยทันที

ที่มา : thehackernews

iOS Trustjacking Attack Exposes iPhones to Remote Hacking

แจ้งเตือนช่องโหว่ iOS Trustjacking ยึดอุปกรณ์ได้จากระยะไกล

นักวิจัยด้านความปลอดภัยจาก Symantec ได้มีการเปิดเผยช่องโหว่สำหรับอุปกรณ์ iOS ล่าสุดภายใต้ชื่อ "Trustjacking" ซึ่งส่งผลให้ผู้โจมตีสามารถควบคุมและยึดครองอุปกรณ์ได้จากระยะไกลโดยอาศัยการเชื่อมต่อที่มีอยู่ก่อนแล้วของอุปกรณ์กับอุปกรณ์อื่นๆ

ที่มาที่แท้จริงของปัญหานี้มาจากฟีเจอร์ iTunes Wi-Fi Sync ซึ่งอนุญาตให้คอมพิวเตอร์สามารถควบคุมอุปกรณ์ iOS ได้ผ่านทั้งทางสายและทาง Wi-Fi ผู้โจมตีจะอาศัยข้อเท็จจริงที่อุปกรณ์ iOS จะ "เชื่อถือ" คอมพิวเตอร์ในการสั่งผ่าน iTunes API เพื่อแอบถ่ายภาพหน้าจอ ลงแอป หรือบังคับให้ทำ remote backup เพื่อขโมยข้อมูลได้ และแม้ว่าผู้ใช้งานจะไม่เคยเชื่อมต่อกับคอมพิวเตอร์ที่น่าสงสัยเลย ผู้โจมตีก็สามารถหลอกให้ผู้ใช้งานทำการเชื่อมต่อเอาไว้ด้วยวิธีการวิศวกรรมทางสังคมและใช้การเชื่อมต่อดังกล่าวเพื่อควบคุมได้เช่นเดียวกันตราบเท่าที่ยังอยู่ในเครือข่ายเดียวกัน

แอปเปิลได้ให้คำแนะนำในการป้องกันเบื้องต้นคือ ผู้ใช้ควรมีการตั้งค่า Passcode ซึ่งจะบังคับให้ต้องกรอกทุกครั้งเมื่อมีการเชื่อมต่อกับอุปกรณ์ใดๆ รวมไปถึงล้างการตั้งค่าคอมพิวเตอร์ใดๆ ที่อุปกรณ์ iOS เคยเชื่อถือผ่านทาง Settings > General > Reset > Reset Location & Privacy

ที่มา:bleepingcomputer

Password recovery scam tricks users into handing over email account access

ทีมนักวิจัยของ Symantec ได้ออกมาประกาศแจ้งเตือนผู้ที่ใช้งาน Gmail, Outlook และ Yahoo Mail ว่าให้ระวังเทคนิคการหลอกลวงรูปแบบใหม่ของผู้ไม่ประสงค์ดี เริ่มต้นโดยผู้ไม่ประสงค์ดีต้องทราบอีเมล์และเบอร์โทรศัพท์ของเหยื่อก่อน ซึ่งปัจจุบันนี้ข้อมูล 2 อันนี้หาได้ง่ายมากจาก Social Network ต่างๆ เช่น Facebook, LinkedIn หรือจากการสอบถามผู้อื่น จากนั้นผู้ไม่ประสงค์ดีจะระบุอีเมล์ของเหยื่อและใช้ฟีเจอร์ Password Recovery ที่ใช้สำหรับกรณีที่เจ้าของอีเมล์ลืมรหัสผ่านของตนเอง มาเป็นเครื่องมือในการแอบหลอกขโมยรหัสผ่าน

หลังจากที่เรียกใช้ฟีเจอร์ Password Recovery แล้ว ระบบอีเมล์จะทำการส่ง Verification Code ไปยังมือถือของเหยื่อตามเบอร์โทรศัพท์ที่ได้ลงทะเบียนไว้ ผู้ไม่ประสงค์ดีจะทำการส่งข้อความตามไปทันที ใจความประมาณว่า “Google has detected unusual activity on your account.

'Neverquest' banking trojan evolves as U.S. attacks continue

เมื่อวันพุธที่ 16 กรกฎาคม 2557  Symantec พบโทรจันธนาคารชื่อว่า " Neverquest" หรือเรียกอีกอย่างว่า "Snifula" ได้พัฒนาให้ผู้โจมตีสามารถปล้นเงินจากเหยื่อได้มากขึ้น

บล็อกของ Symantec กล่าวว่า ความสามารถของโทรดังกล่าว ยังรวมถึงการกดแป้นพิมพ์เข้าสู่ระบบ, จับภาพหน้าจอ, จับภาพวิดีโอ, การควบคุมการเข้าถึงระยะไกล, ข้อมูลประจำตัว และขโมยใบรับรองดิจิตอล นอกจากนี้โทรจันยกระดับโจมตีแบบ man-in-the-browser (MitB) ไปยังเป้าหมายผู้ใช้ Windows

ตั้งแต่เดือนธันวาคมที่ผ่านมา มากกว่าครึ่งหนึ่งของเหยื่อที่ติดโทรจันดังกล่าว อยู่ในประเทศสหรัฐอเมริกาและญี่ปุ่น

ที่มา : scmagazine