นักวิจัยด้านความปลอดภัยจาก Sophos พบว่ากลุ่ม APT (Advanced Persistent Threat) ในชื่อ "Dragon Breath," "Golden Eye Dog" หรือ "APT-Q-27" ได้ใช้เทคนิคการโจมตีแบบ DLL sideloading ที่ซับซ้อนมากขึ้นในการหลบเลี่ยงการตรวจจับจากอุปกรณ์ป้องกันด้านความปลอดภัย

โดยการโจมตีส่วนใหญ่เริ่มต้นจากการใช้แอปพลิเคชันที่ดูปกติเช่น Telegram ที่จะเรียกใช้งาน payload ขั้นที่สอง ซึ่งในบางครั้งก็ยังเป็นการใช้งานตามปกติอยู่ แล้วจึงใช้วิธีการโหลด DLL ที่เป็นอันตรายในขั้นตอนถัดไป โดยแอปที่มักถูกนำมาใช้ในการโจมตีได้แก่ Telegram, LetsVPN, WhatsApp ทั้งใน Android, iOS หรือ Windows ซึ่ง support ภาษาจีน โดยคาดว่าแอปพลิเคชันที่ถูกฝังโทรจันน่าจะมาจากโฆษณาที่ถูกโปรโมตโดย BlackSEO หรือ Malvertizing

โดยเป้าหมายหลักของการโจมตีอยู่ในกลุ่มผู้ใช้งาน Windows ที่ใช้ภาษาจีนในประเทศจีน, ญี่ปุ่น, ไต้หวัน, สิงคโปร์, ฮ่องกง และฟิลิปปินส์

Double DLL sideloading

DLL sideloading เป็นการเทคนิคการโจมตีที่ถูกพบตั้งแต่ปี 2010 ซึ่งโจมตีไปยัง Windows โดยการโหลดไฟล์ DLL (Dynamic Link Library) ที่เป็นอันตราย โดยใช้ประโยชน์จากกลไกในลำดับการค้นหา และเรียกใช้งาน DLL ไฟล์บน Windows เพื่อวางไฟล์ DLL ที่เป็นอันตรายด้วยชื่อเดียวกันกับไฟล์ DLL ที่ถูกต้อง เพื่อทำให้เมื่อแอปพลิเคชันพยายามโหลดไฟล์ DLL แอปพลิเคชันจะโหลดไฟล์ DLL ที่เป็นอันตรายไปแทน ซึ่ง DLL ที่เป็นอันตราย สามารถให้สิทธิ์สูงแก่ Hacker หรือเรียกใช้คำสั่งบนเครื่องโฮสต์ โดยใช้แอปพลิเคชันที่กำลังรันคำสั่งอยู่

เมื่อผู้ใช้งานทำการติดตั้งแอปพลิเคชันอันตรายสำเร็จ มัลแวร์ก็จะทำการทิ้งส่วนประกอบต่าง ๆ ลงในระบบ และสร้าง shortcut บนเดสก์ท็อป และ startup ระบบ ซึ่งเมื่อเหยื่อทำการเรียกใช้ desktop shortcut แอปดังกล่าว คำสั่งต่อไปนี้จะถูกดำเนินการบนระบบ

โดยคำสั่งจะเรียกใช้ไฟล์ที่เปลี่ยนชื่อมาจาก 'regsvr32.exe' ที่ชื่อว่า 'appR.exe' เพื่อดำเนินการรันไฟล์ที่เปลี่ยนชื่อมาจาก 'scrobj.

หน่วยงานทางด้านความปลอดภัยทางไซเบอร์ของยูเครน (CERT-UA) ประกาศแจ้งเตือนการแพร่กระจายของแรนซัมแวร์สายพันธุ์ใหม่ที่ชื่อว่า Somnia โดยระบุว่าเป็นปฏิบัติการภายใต้ชื่อว่า 'From Russia with Love' (FRwL) โดยกลุ่ม Z-Team หรืออีกชื่อหนึ่งคือ UAC-0118 โดยการฝังมัลแวร์ไว้บนเว็บไซต์ปลอมเพื่อใช้สำหรับขโมยข้อมูล และเพื่อขัดขวางการทำงานขององค์กรต่าง ๆ ในยูเครน

โดยกลุ่มแฮ็กเกอร์ได้ใช้เว็บไซต์ปลอมที่เลียนแบบซอฟต์แวร์ "Advanced IP Scanner" เพื่อหลอกให้พนักงานขององค์กรต่าง ๆ ในยูเครนให้ดาวน์โหลดโปรแกรมมาติดตั้ง ซึ่งจริง ๆ แล้วโปรแกรมดังกล่าวคือมัลแวร์ Vidar stealer ซึ่งจะถูกใช้เพื่อขโมย Telegram session เพื่อเข้าควบคุมบัญชี Telegram ของเหยื่อ

โดย **CERT-UA ระบุว่าแฮ็กเกอร์จะใช้บัญชี Telegram ของเหยื่อเพื่อขโมยข้อมูลการเชื่อมต่อ VPN (authentication และ certificates) โดยถ้าบัญชี VPN ไม่ได้มีการเปิดใช้งาน multi-factor authentication แฮ็กเกอร์จะใช้บัญชีดังกล่าวเพื่อเข้าถึงเครือข่ายขององค์กรของเหยื่อ

จากนั้นแฮ็กเกอร์จะติดตั้ง Cobalt Strike beacon, Netscan, Rclone, Anydesk, และ Ngrok เพื่อปฏิบัติการรูปแบบอื่นๆ บนเครือข่ายของเหยื่อต่อไป

CERT-UA ระบุว่าตั้งแต่ฤดูใบไม้ผลิปี 2022 เป็นต้นมา ปฏิบัติการ FRwL ได้ทำการโจมตีคอมพิวเตอร์ขององค์กรยูเครนไปแล้วหลายครั้ง โดยประเภทไฟล์ที่เป็นเป้าหมายในการโจมตีของ Somnia ประกอบไปด้วย ไฟล์เอกสาร, รูปภาพ, ฐานข้อมูล, ไฟล์วิดีโอ และอื่น ๆ

โดย Somnia จะต่อท้ายนามสกุลไฟล์ที่ถูกเข้ารหัสด้วย .somnia แต่จะไม่มีการเรียกเงินค่าไถ่จากเหยื่อในกรณีที่เหยื่อต้องการจ่ายเงินสำหรับตัวถอดรหัสของไฟล์ที่ถูกเข้ารหัสไว้ เนื่องจากเป้าหมายของ Somnia คือการขัดขวางกระบวนการทำงานของเป้าหมายมากกว่าที่จะเป็นการสร้างรายได้จากการโจมตี ดังนั้นมัลแวร์ดังกล่าวน่าจะถูกสร้างมาเพื่อทำลายล้างมากกว่าการเรียกค่าไถ่แบบเดียวกับแรนซัมแวร์อื่นๆ

แนวทางการป้องกัน

ตรวจสอบแหล่งที่มาของไฟล์ก่อนดาวน์โหลด
เปิดใช้งาน Multi-Factor Authentication

ที่มา : bleepingcomputer

บริษัท Okta ประกาศยอมรับความผิดพลาด ของการล่าช้าในการเปิดเผยการถูกแฮ็กข้อมูลจากกลุ่มแฮ็กเกอร์ Lapsus$ ที่เกิดขึ้นในเดือนมกราคม นอกจากนี้บริษัทยังได้จัดทำ timeline ของเหตุการณ์ และรายละเอียดการสอบสวนโดยละเอียด

Okta: "ยอมรับความผิดพลาด" ของการ**ล่าช้าในการแจ้งเตือนข้อมูลรั่วไหล**

เมื่อวันศุกร์ที่ผ่านมา บริษัท Okta ได้แสดงความเสียใจที่ไม่ได้มีการเปิดเผยรายละเอียดเกี่ยวกับการถูกโจมตีจากกลุ่มแฮ็กเกอร์ Lapsus$ ให้เร็วกว่านี้ และได้มีการเปิดเผยข้อมูล timeline การถูกโจมตีโดยละเอียดดังนี้

การโจมตีจากกลุ่มแฮ็กเกอร์ Lapsus$ เกิดขึ้นที่บริษัท Sitel ซึ่งเป็น third-party ที่ให้บริการ Customer Support ให้กับ Okta

"ในวันที่ 20 มกราคม 2022 Security Team ของ Okta ได้รับการแจ้งเตือนว่ามีการเพิ่มข้อมูลใหม่บางอย่างใน Account ของ Okta ที่ถูกใช้โดย Engineer ของ Sitel ซึ่งพบว่าข้อมูลนี้คือ Password" Okta อธิบาย

"แม้ว่าจะทำไม่สำเร็จ แต่เราได้ reset account และแจ้งทาง Sitel ให้รับทราบ" ซึ่งทาง Sitel ได้ร่วมมือกับบริษัทผู้เชี่ยวชาญด้าน Forensic เพื่อดำเนินการ Investigate หาสาเหตุต่อไป

"ในวันที่ 21 มกราคม 2022 ทีม Security ของ Okta แจ้งเตือนเหตุการณ์ดังกล่าวเป็น Security Incident และ Okta Service Desk ทำการ Terminated account ที่เกี่ยวข้องไปก่อนจนกว่าจะได้ root cause จากผลการ Forensic และยังได้แชร์ข้อมูล IOC ที่พบกับ Sitel โดยทาง Sitel แจ้งว่าได้ให้บริษัทผู้เชี่ยวชาญด้าน Forensic ดำเนินการสืบสวนอยู่"

(more…)

Dhiraj Mishra นักวิจัยด้านความปลอดภัยได้เปิดเผยถึงช่องโหว่ในฟีเจอร์ Secret Chat บน Telegram เวอร์ชัน 7.3 โดยช่องโหว่ดังกล่าวส่งผลให้ Telegram ไม่ทำการลบไฟล์สื่อต่างๆ เองโดยอัตโนมัติออกจากอุปกรณ์ของผู้ใช้หลังจากผู้ใช้ลบหรือออกจากการแชทในโหมด Secret Chat

Telegram ได้นำเสนอฟีเจอร์ Secret Chat ที่ให้ความเป็นส่วนตัวเพิ่มขึ้นกว่าการแชทมาตรฐานและเมื่ออยู่ในการแชทโหมด Secret Chat การเชื่อมต่อจะเข้ารหัสแบบ end-to-end ทั้งหมด ผู้ใช้จะไม่สามารถส่งต่อข้อความไปยังผู้ใช้รายอื่นได้และข้อความและสื่อทั้งหมดจะสามารถกำหนดค่าให้ทำลายตัวเองได้โดยอัตโนมัติและจะถูกลบออกจากอุปกรณ์ทั้งหมดหลังจากครบเวลาที่กำหนด

Mishra กล่าวว่าในขณะทำการตรวจสอบความปลอดภัยของ Telegram บน macOS เขาได้พบการรั่วไหลของ Sandbox Path ที่ถูกใช้ในการเก็บไฟล์วิดีโอและเสียงที่ได้รับ ซึ่ง Mishra ได้ทำการตรวจสอบ Path และโฟลเดอร์ในขณะการทำงานภายใต้โหมด Secret Chat เขาพบว่าถึงแม้จะลบข้อความและสื่อออกจาก Secret Chat แล้วแต่ไฟล์ดังกล่าวยังไม่ทำลายตัวเองและยังสามารถเข้าถึงได้ผ่านโฟลเดอร์ที่ถูกใช้เก็บไฟล์

นอกจากปัญหาด้านความปลอดภัยของโหมด Secret Chat แล้ว Mishra ยังพบว่า Telegram ได้ทำการจัดเก็บรหัสผ่านในรูปแบบ Plaintext ในเครื่องของผู้ใช้เพื่อใช้ปลดล็อกแอปบนอุปกรณ์

ทั้งนี้ Mishra ได้ทำการรายงานช่องโหว่ทั้งสองแล้วเมื่อวันที่ 26 ธันวาคม 2020 ที่ผ่านมาและช่องโหว่ได้รับการแก้ไขแล้วใน Telegram เวอร์ชัน 7.4 ซึ่งสำหรับการรายงานช่องโหว่ทั้งสอง Mishra ได้รับเงินรางวัลด้านความปลอดภัย 3,000 ดอลลาร์จาก Telegram

ที่มา: bleepingcomputer.

เครื่องมือที่ใช้ในการแฮคเชื่อว่ามีการพัฒนาขึ้นในอิหร่านถูกเปิดเผยใน Telegram

เครื่องมือที่ใช้ในการแฮคในที่นี้เรียกว่า Jason โดยนักวิจัยด้านความปลอดภัย Omri Segev Moyal กล่าวว่า Jason เป็นเครื่องมือสำหรับโจมตี Microsoft Exchange email servers ด้วยวิธี brute-force ชื่อผู้ใช้งานและรหัสผ่าน เครื่องมือดังกล่าวถูกสร้างขึ้นในปี 2558 โดยอ้างอิงจากข้อมูลการ compile ตัวโปรแกรม ซึ่งหมายความว่าแฮกเกอร์ชาวอิหร่านใช้เครื่องมือนี้อย่างน้อยสี่ปีที่ผ่านมา

โดยก่อนหน้านี้ในช่วงเดือนเมษายน 2562 มีการเปิดเผยข้อมูลเกี่ยวกับกลุ่มผู้โจมตีทางไซเบอร์ภายใต้ชื่อ APT34, Oilrig, หรือ HelixKitten ออกมา โดยเป็นที่เชื่อกันว่ากลุ่มดังกล่าวมีเจ้าหน้าที่รัฐของอิหร่านเป็นสมาชิกอยู่ด้วย โดยมีการเปิดเผยข้อมูลทั้งชื่อจริง เบอร์โทรศัพท์ รูปถ่าย รวมถึงเครื่องมือใช้ในการแฮกจำนวน 6 ตัว

www.

WhatsApp และ Telegram เป็นแอพยอดนิยมที่ใช้กันในยุโรปและอเมริกา ซึ่งแน่นอนว่าแอพแชตทั้งคู่นั้นเน้นเรื่อง Privacy ของผู้ใช้งานเป็นสำคัญ การพูดคุยกันระหว่าง user จะถูกเข้ารหัสอยู่ตลอดเพื่อให้การพูดคุยเหล่านั้นไม่ถูกดักฟังไม่ว่าจากรัฐบาลหรือแม้แต่ Hacker เองก็ตามที แต่แน่นอนว่า Security ไม่ความปลอดภัยอะไร 100% อยู่แล้ว ล่าสุด Checkpoint ตรวจสอบพบวิธีการยึด account ของผู้อื่นได้
WhatsApp และ Telegram ไม่ได้มีแต่ Application เท่านั้นยังมีบริการที่เป็นเว็บด้วยเช่นกัน ซึ่งให้บริการเปรียบเสมือนการใช้งานผ่าน Application โดย Checkpoint พบช่องโหว่ในบริการดังกล่าวที่ทำให้สามารถยึด account ใดๆของเหยื่อได้เมื่อเหยื่อเปิดไฟล์ที่ถูกสร้างมาพิเศษผ่านเว็บไซด์ จากนั้นจึงเข้า account ของเหยื่อเพื่อไป download ภาพหรือบทสนทาใดๆของเหยื่อก็ได้
แน่นอนว่าการโจมตีต้องมีการหลอกล่อเหยื่อด้วยเช่นกัน (Social Engineering) แต่เนื่องด้วย WhatsApp และ Telegram มีการเข้ารหัสไฟล์ในตอนที่ส่ง ทำให้เหยื่อไม่สามารถทราบหน้าตาตัวอย่างไฟล์ได้เลยก่อนที่จะเปิดไฟล์ยิ่งทำให้การหลอกล่อทำให้ง่ายขึ้น
ทาง Checkpoint ได้แจ้ง Security Team ของทั้ง 2 ที่ตั้งแต่ 7 มีนาคม 2017 ที่ผ่านมา และทางทีมงาน security ของทั้งคู่ได้จัดการแก้ไขให้เรียบร้อยแล้ว

ที่มา : checkpoint