กลุ่มแฮ็กเกอร์มุ่งเป้าโจมตีไปยังรัฐบาลรัสเซียด้วย Trojan โดยปลอมเป็น Windows update

เมื่อช่วงเดือนกุมภาพันธ์ถึงเดือนเมษานที่ผ่านมา กลุ่มแฮ็กเกอร์ได้มุ่งเป้าโจมตีไปที่หน่วยงานรัฐบาลของรัสเซีย โดยมีทั้งอีเมลฟิชชิ่งที่ปลอมเป็นไฟล์อัปเดตด้านความปลอดภัยของ Windows รวมไปถึงวิธีอื่นๆอีกมากมาย โดยมีเป้าหมายสูงสุดของแคมเปญคือการควบคุมเครื่องเป้าหมายจากระยะไกลด้วย remote access trojan (RAT)

รายละเอียดการโจมตี

ผู้เชี่ยวชาญจาก Malwarebytes ได้อธิบายว่า การโจมตีทั้งหมดมาจากกลุ่ม advanced persistent threat (APT) โดยแบ่งเป็น 4 แคมเปญหลักๆ ดังนี้

แคมเปญแรกมาจากฟิชชิ่งอีเมล ซึ่งเกิดขึ้นในเดือนกุมภาพันธ์ ไม่กี่วันหลังจากการรุกรานยูเครนของรัสเซีย โดยทำการแนบไฟล์ RAT ที่ชื่อ “interactive_map_UA.exe” ไปในอีเมล
แคมเปญที่สอง กลุ่มแฮ็กเกอร์มีการวางแผน และเตรียมตัวมามากขึ้น โดยแนบไฟล์ tar.

ทีมข่าวกรองภัยคุกคาม Microsoft 365 เรียกมัลแวร์โทรจันใหม่นี้ว่า "UpdateAgent" icrosoft กล่าวว่า UpdateAgent ได้ผ่านการทำซ้ำหลายครั้งหรือมีการติดมัลแวร์ในอุปกรณ์หลายครั้ง ส่งผลให้มีความสามารถ "การเพิ่มความก้าวหน้าของความสามารถที่ซับซ้อน" โดยนับตั้งแต่รายงานการโจมตีครั้งแรกเมื่อเดือนกันยายน 2563 จนถึงปัจจุบัน

ความสามารถของ UpdateAgent คือ เข้าถึงการใช้สิทธิ์ของผู้ใช้ที่มีอยู่ในทางที่ผิดอย่างลับ ๆ และหลีกเลี่ยง macOS Gatekeeper ซึ่งเป็น feature ด้านความปลอดภัยบนระบบ macOS

มัลแวร์ UpdateAgent แพร่กระจายผ่านการดาวน์โหลด หรือป๊อปอัปโฆษณาที่ปลอมแปลงเป็นซอฟต์แวร์ที่ดูปกติ เช่น video applications, support agent เป็นต้น และพบว่ามัลแวร์ UpdateAgent สามารถใช้ประโยชน์จากโครงสร้างพื้นฐานของคลาวด์ เช่น Amazon S3 และ CloudFront เพื่อทำให้อุปกรณ์ที่ติดมัลแวร์แล้วสามารถติดซ้ำได้อีกครั้ง ซึ่งรวมถึง Adware ในรูปแบบไฟล์ .DMG หรือ .ZIP

เมื่อติดมัลแวร์แล้ว มัลแวร์ Adload จะใช้วิธีการ ad injection และเทคนิค man-in-middle(MitM) เพื่อเปลี่ยนเส้นทางการใช้งานอินเทอร์เน็ตของผู้ใช้ให้ผ่านทางเซิฟเวอร์ของผู้โจมตี แล้วแทรกโฆษณาหลอกลวงในหน้าเว็บหรือผลลัพธ์ของเครื่องมือค้นหา เพื่อเพิ่มโอกาสในการติดมัลแวร์อื่นๆบนเครื่องๆได้อีก

นักวิจัยเตือนว่า "UpdateAgent มีเอกลักษณ์เฉพาะตัวด้วยการอัพเกรดเทคนิคในการพยายามฝังตัวอยู่บนเครื่องเหยื่ออย่างต่อเนื่อง ซึ่งบ่งชี้ว่าโทรจันนี้มีแนวโน้มที่จะใช้เทคนิคที่ซับซ้อนมากขึ้นในแคมเปญต่อไปในอนาคต"

ที่มา : thehackernews

ผู้เชี่ยวชาญเปิดเผยข้อมูลเกี่ยวกับ Malware-as-a-Service ของรัสเซียที่เขียนขึ้นใน Rust

 

มีการพบ Nascent ซึ่งเป็นมัลแวร์ขโมยข้อมูลที่เพิ่งเกิดขึ้นใหม่ มีการขาย และแจกจ่ายบนฟอรัมใต้ดินของรัสเซีย โดยมัลแวร์ถูกเขียนเป็นภาษา Rust โดย Rust เป็นภาษาโปรแกรมภาษาใหม่ที่พัฒนาโดย Mozilla ซึ่งเป็นสัญญาณบ่งบอกถึงแนวโน้มใหม่ที่ผู้โจมตีใช้ภาษาโปรแกรมที่แปลกใหม่มากขึ้นเพื่อหลีกเลี่ยงการรักษาความปลอดภัย หลบเลี่ยงการวิเคราะห์

มีการขนานนามผู้โจมตีนี้ว่า "Ficker Stealer" ซึ่งมีชื่อเสียงในด้านการเผยแพร่มัลแวร์ผ่านลิงก์เว็บโทรจัน และเว็บไซต์ที่ถูกบุกรุก ล่อเหยื่อให้เข้าสู่หน้า Landing Page ที่หลอกลวง โดยอ้างว่าให้บริการดาวน์โหลดฟรีของบริการที่ต้องชำระเงิน เช่น Spotify Music, YouTube Premium และแอปพลิเคชัน Microsoft Store อื่นๆ

Ficker ขายและแจกจ่าย Malware-as-a-Service (MaaS) ผ่านฟอรัมออนไลน์ของรัสเซีย ทีมวิจัย และข่าวกรองของ BlackBerry กล่าวในรายงานว่า "ผู้สร้างซึ่งมีนามแฝงคือ @ficker เสนอแพ็คเกจแบบชำระเงินหลายแบบโดยมีค่าธรรมเนียมการสมัครสมาชิกที่แตกต่างกันเพื่อใช้โปรแกรมที่เป็นอันตรายดังกล่าว"

มีการพบ Malware-as-a-Service ครั้งแรกในเดือนสิงหาคม 2020 เป็นมัลแวร์บน Windows ถูกใช้เพื่อขโมยข้อมูลที่ sensitive รวมถึงข้อมูลการเข้าสู่ระบบ ข้อมูลบัตรเครดิต กระเป๋าเงินดิจิตอล และข้อมูลเบราว์เซอร์ นอกเหนือจากการทำงานเป็นเครื่องมือในการดึงไฟล์ที่ sensitive ยังสามารถทำหน้าที่เป็นตัวดาวน์โหลดเพื่อดาวน์โหลด และเรียกใช้มัลแวร์อีกด้วย

นอกจากนี้ เป็นที่ทราบกันดีว่า Ficker ถูกส่งผ่านแคมเปญสแปม ซึ่งเกี่ยวข้องกับการส่งอีเมลฟิชชิ่งที่กำหนดเป้าหมายด้วยเอกสารแนบ Excel ซึ่งเมื่อเปิดขึ้นจะปล่อยตัวโหลด Hancitor ซึ่งจะทำให้เพย์โหลดทำงาน

มัลแวร์ยังมีการตรวจสอบการป้องกันการวิเคราะห์อื่นๆที่ป้องกันไม่ให้ทำงานในสภาพแวดล้อมเสมือนจริง(VM) และบนเครื่องเหยื่อที่อยู่ในอาร์เมเนีย อาเซอร์ไบจาน เบลารุส คาซัคสถาน รัสเซีย และอุซเบกิสถาน สิ่งที่น่าสังเกตเป็นพิเศษก็คือ Ficker ได้รับการออกแบบมาให้รันคำสั่ง และส่งข้อมูลโดยตรงไปยังผู้โจมตี ซึ่งแตกต่างจากผู้ขโมยข้อมูลแบบเดิมๆที่จะเขียนข้อมูลที่ถูกขโมยลงดิสก์ มัลแวร์ยังมีความสามารถในการจับภาพหน้าจอ ซึ่งช่วยให้ผู้ให้บริการมัลแวร์สามารถจับภาพหน้าจอของเหยื่อจากระยะไกล มัลแวร์ยังช่วยให้สามารถดึงไฟล์และดาวน์โหลดได้

ที่มา: thehackernews

แฮกเกอร์ได้มีการใช้ Microsoft Build Engine (MSBuild) ในทางที่ผิด โดยใช้ส่ง Trojan และ Malware ประเภท Fileless ซึ่งมีเป้าหมายในการขโมยข้อมูลบนระบบ Windows

นักวิจัยจากบริษัท Anomali ที่ให้บริการด้านโซลูชันการรักษาความปลอดภัยทางไซเบอร์ กล่าวว่าเมื่อวันพฤหัสที่ผ่านมา (13 May 2021) ไฟล์ที่มีโค้ดอันตรายที่มีการเข้ารหัสและเชลล์โค้ดสำหรับติดตั้ง Blackdoor เพื่อใช้ในการเข้าควบคุมเครื่องของเหยื่อเพื่อขโมยข้อมูลได้มีการถูกสร้างขึ้น

MSBuild คือ เครื่องมือโอเพ่นซอร์สสำหรับ Compile .NET และ Visual Studio ที่ถูกพัฒนาโดยบริษัท Microsoft ที่มีไว้ใช้สำหรับ Compiling source code, Packaging, Testing, Deploying Applications

การใช้ MSBuild เป็นเครื่องมือในการเข้าควบคุมเครื่องเป้าหมายโดยไม่ต้องใช้ไฟล์ (Fileless) เป็นแนวคิดในการหลบหลีกการถูกตรวจจับเนื่องจาก Malware ตัวนี้ถูกสร้างขึ้นโดยใช้ Application ที่ถูกกฎหมายโดยรูปการทำงานจะเป็นการโหลด Code ลงที่ Memory ทำให้ไม่มีการทิ้งร่องรอยบนระบบและสามารถซ่อนตัวได้โดยที่ไม่ถูกตรวจจับ

ตามที่มีการเขียนระบุไว้ว่ามีเพียงผู้ให้บริการโซลูชันการรักษาความปลอดภัยทางไซเบอร์ 2 รายเท่านั้นที่ระบุว่าหนึ่งในไฟล์ MSBuild ที่มีการอัปโหลดไปยัง VirusTotal vyx.

BleepingComputer แจ้งเตือนถึงการค้นพบแคมเปญใหม่ของผู้ประสงค์ร้ายกำลังใช้ Google Alerts เพื่อทำการโปรโมตการอัปเดต Adobe Flash Player ปลอมที่ถูกใช้ในการดาวน์โหลดและติดตั้งโปรแกรมอื่น ๆ บนคอมพิวเตอร์ของผู้ใช้

ผู้ประสงค์ร้ายกำลังเริ่มแคมเปญใหม่โดยการสร้างเนื้อหาการอัปเดต Adobe Flash Player เวอร์ชันใหม่ปลอมเพื่อให้ Google Search จัดทำ Index และถึงแม้ว่า Adobe Flash Player จะ End of life Support และจะไม่ได้รับการสนับสนุนจากเบราว์เซอร์ทุกตัวอีกต่อไป แต่ผู้ใช้หลายคนอาจจะยังไม่ทราบและเมื่อคลิกที่ลิงก์ ผู้ใช้จะถูกรีไดเร็คไปยังเว็บไซต์ที่เป็นอันตรายของผู้ประสงค์ร้าย ซึ่งหากผู้ใช้เข้าไปที่ URL โดยตรงเว็บไซต์จะระบุว่าไม่มีเว็บไซต์ดังกล่าว

หากผู้ใช้คลิกที่ปุ่มอัปเดตโดยผู้ใช้คิดว่ากำลังดาวน์โหลดไฟล์และติดตั้งการอัปเดตล่าสุด Adobe Flash Player ผู้ใช้จะได้รับไฟล์ setup.

บริษัทด้านความปลอดภัยสัญชาติอิสราเอล ClearSky ออกรายงานวิเคราะห์พฤติกรรมของกลุ่มแฮกเกอร์สัญชาติเลบานอนภายใต้ชื่อ Lebanense Cedar ซึ่งพุ่งเป้าโจมตีระบบทั่วโลกมาตั้งแต่ช่วงปี 2012 เพื่อการจารกรรมข้อมูล เป้าหมายส่วนใหญ่อยู่ในตะวันออกกลางและมีบางส่วนอยู่ในไทย ภาคส่วนธุรกิจที่ตกเป็นเป้าหมายหลักนั้นได้แก่กลุ่มโทรคมนาคมและกลุ่มบริษัทไอทีฯ

พฤติกรรมการโจมตีของกลุ่ม Lebanese Cedar จะมีพุ่งเป้าไปที่ระบบที่มีช่องโหว่อยู่แล้วเพื่อทำการโจมตี จากการรวบรวมข้อมูลโดย ClearSky นั้น Lebanese Cedar จะพุ่งเป้าไปที่ระบบ 3 ลักษณะได้แก่ ระบบ Atlassian Confluence Server โดยจะโจมตีช่องโหว่รหัส CVE-2019-3396, ระบบ Atlassian Jira Server/Data Center โดยจะโจมตีช่องโหว่รหัส CVE-2019-11581 และระบบ Oracle 10g 11.1.2.0 โดยจะโจมตีช่องโหว่รหัส CVE-2012-3152

จุดเด่นของกลุ่ม Lebanese Cedar นอกเหนือจากการพุ่งเป้าโจมตีช่องโหว่ซึ่งไม่ค่อยเป็นที่สนใจแล้ว กลุ่มฯ ยังมีการพัฒนาแบ็คดอร์และเครื่องมือในการฝังตัวในระบบของเหยื่อเอง อาทิ web shell ที่พัฒนาโดยภาษา JSP และมัลแวร์ในกลุ่ม Trojan

รายงานของ ClearSky ฉบับเต็มมีรายละเอียดการโจมตีและ IOC สำหรับการระบุหาการมีอยู่ของภัยคุกคามไว้แล้ว โดยสามารถดูข้อมูลเพิ่มเติมได้ที่ : clearskysec

ที่มา: bleepingcomputer | zdnet

สำนักงานความมั่นคงปลอดภัยไซเบอร์และโครงสร้างพื้นฐาน (CISA) ของสหรัฐอเมริกาออกคำเตือนถึงการเพิ่มขึ้นของการโจมตีด้วยมัลแวร์ Emotet
Emotet เป็นโทรจันที่มีความซับซ้อนซึ่งโดยทั่วไปจะทำหน้าที่เป็นตัวดาวน์โหลดหรือ dropper มัลแวร์อื่น ๆ โดยส่วนใหญ่มัลแวร์ดังกล่าวจะแพร่กระจายผ่านไฟล์แนบทางอีเมลที่เป็นอันตรายและพยายามแพร่กระจายภายในเครือข่ายโดยการ Brute Force ข้อมูลประจำตัวของผู้ใช้และการ shared drives หากโจมตีสำเร็จผู้โจมตีสามารถเข้าถึงข้อมูลสำคัญของผู้ใช้งานได้

CISA แนะนำผู้ใช้งานและผู้ดูแลระบบปฏิบัติตาม best practice ต่อไปนี้เพื่อป้องกัน

บล็อกไฟล์อันตรายที่ถูกแนบมากับอีเมล (เช่น ไฟล์ .dll และ .exe)
บล็อกไฟล์แนบอีเมลที่ไม่สามารถสแกนได้โดยซอฟต์แวร์ป้องกันไวรัส (เช่นไฟล์. zip)
แนะนำให้ทำการตั้งค่า Group Policy Object และ Firewall rule
แนะนำให้ติดตั้งโปรแกรมป้องกันไวรัสและทำการแพทช์อย่างสม่ำเสมอ
ติดตั้งตัวกรองที่เกตเวย์อีเมลและบล็อก IP ที่น่าสงสัยที่ไฟร์วอลล์
ยึดตามหลักการของ least privilege
ตั้งค่า Domain-Based Message Authentication, Reporting & Conformance (DMARC)
จัดการแบ่งโซนเน็ตเวิร์ค
จำกัดสิทธิการเข้าถึงที่ไม่จำเป็น

CISA แนะนำให้ผู้ใช้และผู้ดูแลระบบตรวจสอบแหล่งข้อมูลต่อไปนี้สำหรับข้อมูลเกี่ยวกับการป้องกัน Emotet และมัลแวร์อื่น ๆ

CISA Alert Emotet Malware https://www.

Microsoft ได้ออกคำเตือนเกี่ยวกับแคมเปญสแปมอีเมลที่กำลังดำเนินอยู่กำลังแพร่กระจายอีเมลที่มีไฟล์ประเภท RTF(Rich Text Format) ที่มีช่องโหว่ CVE-2017-11882 ซึ่งช่วยให้ผู้โจมตีสามารถเรียกใช้โค้ดที่เป็นอันตรายโดยอัตโนมัติเมื่อผู้ได้รับอีเมลเปิดเอกสารแนบ และดูเหมือนจะกำหนดเป้าหมายไปยังผู้ใช้ชาวยุโรปเนื่องจากอีเมลเหล่านี้ถูกส่งเป็นภาษาต่างๆ ในยุโรป

Microsoft ได้ออกคำเตือนเกี่ยวกับแคมเปญสแปมอีเมลที่กำลังดำเนินอยู่กำลังแพร่กระจายอีเมลที่มีไฟล์ประเภท RTF(Rich Text Format) ที่มีช่องโหว่ CVE-2017-11882 ซึ่งช่วยให้ผู้โจมตีสามารถเรียกใช้โค้ดที่เป็นอันตรายโดยอัตโนมัติเมื่อผู้ได้รับอีเมลเปิดเอกสารแนบ และดูเหมือนจะกำหนดเป้าหมายไปยังผู้ใช้ชาวยุโรปเนื่องจากอีเมลเหล่านี้ถูกส่งเป็นภาษาต่างๆ ในยุโรป

โดยเมื่อไฟล์ RTF ถูกเปิดมันจะรันสคริปต์หลายประเภทที่แตกต่างกัน (VBScript, PowerShell, PHP, อื่น ๆ ) เพื่อดาวน์โหลด Payload โดย Payload สุดท้ายคือ Backdoor trojan ซึ่งผู้โจมตีไม่สามารถสั่งคำสั่งไปยัง Backdoor trojan ดังกล่าวได้แล้วเนื่องจากเซิร์ฟเวอร์ที่ถูกควบคุมถูกปิดไปแล้ว แต่ Microsoft ยังคงเตือนภัยว่าอาจมีการโจมตีในลักษณะเดียวกันโดยใช้ Backdoor trojan ตัวใหม่ได้

อย่างไรก็ตามช่องโหว่ CVE-2017-11882 ได้รับการแพตช์แล้วตั้งแต่เดือนพฤศจิกายน 2017 แนะนำให้ผู้ใช้ Windows ทุกคนติดตั้งแพตช์การรักษาความปลอดภัยสำหรับช่องโหว่นี้ เนื่องจากช่องโหว่นี้กำลังถูกใช้โจมตีอยู่บ่อยครั้ง โดยบริษัท Recorded Future ออกรายงานว่าเป็นช่องโหว่ที่ถูกใช้โจมตีมากที่สุดเป็นอันดับสามในปี 2018 และ Kaspersky ออกรายงานว่าเป็นช่องโหว่ที่ถูกใช้โจมตีมากที่สุดอันดับหนึ่งในปี 2018 รวมถึงมีการเตือนจาก FireEye ในวันที่ 5 มิถุนายน 2019 ถึงการโจมตีด้วยช่องโหว่นี้ไปยังเอเชียกลางด้วย Backdoor ตัวใหม่ที่ชื่อว่า HawkBall

ที่มา : zdnet

Dr.Web ผู้ผลิตซอฟต์แวร์ป้องกันไวรัสของรัสเซียเปิดเผยข้อมูลเกี่ยวกับโทรจันตัวใหม่ชื่อว่า Linux.

นักวิจัย Cisco Talos และ ReversingLabs รายงานเกี่ยวกับ Adwind ซึ่งเป็นมัลแวร์ประเภท Remote Access Trojan (RAT) ที่เคยการโจมตีไปยังโรงงานต่างๆทั่วโลก ได้กลับมาพร้อมกับการทำงานที่หลบเลี่ยงซอฟต์แวร์ป้องกันไวรัสทำให้สามารถเจาะเข้าไปยังระบบได้สำเร็จ Adwind สามารถรวบรวมข้อมูล PC, keystrokes, ข้อมูล credentials, ข้อมูลเสียงภาพหรือวีดีโอ และยังสามารถที่จะขโมยคีย์ที่ใช้ในการเข้าถึง cryptocurrency wallets ที่ติดไวรัสได้
Adwind จะติดตั้งจาก payload ใน phishing อีเมลที่สร้างขึ้นประกอบด้วยไฟล์ JAR ที่เป็นอันตรายซึ่งเมื่อรันแล้วจะเชื่อมต่อกับเซิร์ฟเวอร์ command-and-control (C2) ของ Adwind เพื่อดาวน์โหลด payloads อื่นๆ และถ่ายโอนข้อมูลที่ขโมยมาได้ มีการเชื่อมโยง Adwind เข้ากับการโจมตี 400,000 ครั้งในธุรกิจในด้านการเงิน การผลิต การขนส่งสินค้าและอุตสาหกรรมโทรคมนาคม ประเทศที่มีการตรวจพบเจอได้แก่ Turkey, the US, India, Vietnam, และ Hong Kong
เมื่อเดือนสิงหาที่ผ่านมา มีการค้นพบการแพร่กระจาย Adwind 3.0 ครั้งใหม่ที่มุ่งเน้นไปที่เครื่อง Windows, Linux, Mac โดยเฉพาะเครื่องของผู้ที่ตกเป็นเหยื่อในตรุกีและเยอรมัน สิ่งที่น่าสนใจสำหรับการแพร่กรจายครั้งใหม่นี้คือการรวมการโจมตีเข้ากับการแลกเปลี่ยนข้อมูลแบบไดนามิก (DDE) ซึ่งมีเป้าหมายเพื่อทำให้เกิดความเสียหายกับ Microsoft Excel และหลีกเลี่ยงซอฟต์แวร์ป้องกันไวรัสที่ตรวจจับมัลแวร์ผ่าน signature การแพร่กระจายครั้งนี้จะส่งข้อความ phishing อีเมลที่เป็นอันตรายซึ่งมีไฟล์. CSV หรือ. XLS ซึ่งทั้งสองไฟล์นี้ถูกเปิดโดย Excel เป็นค่าเริ่มต้น
Cisco Talos กล่าวว่าเทคนิคใหม่นี้ได้ถูกเพื่อ obfuscation โดยจุดเริ่มต้นของไฟล์อันตรายนี้ไม่มีส่วนของ Header ของไฟล์ให้ตรวจสอบซึ่งอาจทำให้ซอฟต์แวร์ป้องกันไวรัสสับสนได้ เพราะซอฟต์แวร์ป้องกันไวรัสคาดว่าจะเจออักขระ ASCII ที่บอกว่าไฟล์นี้เป็นไฟล์ CSV เมื่อไม่พบอักขระดังกล่าว โปรแกรมจะมองว่าไฟล์มีความเสียหายแต่ยังสามารถเปิดใช้งานบน Excel ได้
อย่างไรก็ตามเทคนิคนี้สามารถถูกตรวจจับได้ด้วย อุปกรณ์ sandbox และซอฟต์แวร์ป้องกันไวรัสที่ตรวจจับมัลแวร์ผ่าน behavior

ที่มา: zdnet