กลุ่มแฮ็กเกอร์ใหม่ที่ถูกติดตามในชื่อ ‘TetrisPhantom’ ได้ใช้ secure USB drives เพื่อโจมตีระบบของรัฐบาลในภูมิภาคเอเชียแปซิฟิก

Secure USB drives จะใช้จัดเก็บข้อมูลไว้ในส่วนที่เข้ารหัสของอุปกรณ์ และใช้เพื่อถ่ายโอนข้อมูลอย่างปลอดภัยระหว่างระบบต่าง ๆ รวมถึงระบบที่ถูกแยกออกมาจากเครือข่าย

การเข้าถึงพาร์ติชันที่ได้รับการป้องกันนั้น จะต้องใช้งานผ่านทางซอฟต์แวร์ที่ถูกกำหนดขึ้น ซึ่งจะทำการถอดรหัสเนื้อหาด้วยรหัสผ่านที่ผู้ใช้ระบุ หนึ่งในซอฟต์แวร์เหล่านั้นคือ UTetris.

นักวิจัย Unit 42 จาก Palo Alto Network บริษัทด้านความปลอดภัย ได้ทำการวิเคราะห์มัลแวร์ PlugX สายพันธุ์ใหม่ ที่พบว่าสามารถซ่อนตัวใน USB รวมถึงโจมตีไปยังเครื่องผู้ใช้งาน Windows ที่เสียบ USB ที่มีมัลแวร์ตัวนี้ฝังอยู่ รวมถึงยังสามารถแพร่กระจายไปยัง USB อื่น ๆ ได้อีกด้วย

PlugX malware เป็นมัลแวร์ที่แฝงตัวมากับซอฟต์แวร์ที่ดูเหมือนปลอดภัย เพื่อโหลดเพย์โหลดอันตราย โดยถูกนำมาใช้ในการโจมตีตั้งแต่ปี 2008 เริ่มใช้โดย Hackers ชาวจีน ต่อมาผู้โจมตีกลุ่มอื่น ๆ ก็เริ่มนำมาใช้โจมตีเช่นกัน จึงทำให้ไม่สามารถระบุแหล่งที่มาได้ (more…)

 

 

 

 

 

 

 

 

สำนักงานสืบสวนกลางแห่งสหรัฐอเมริกา (FBI) ได้ออกคำเตือนถึงองค์กรต่างๆ เกี่ยวกับ แฟลชไดร์ USB อันตรายที่มาพร้อมกับ ransomware ซึ่งสามารถแพร่กระจายผ่านทางอีเมล และเป็นช่องทางให้เกิดโจมตีทางไซเบอร์ได้ โดยแฟลชไดร์ USB จะถูกส่งมาในรูปแบบของ "กล่องของขวัญตกแต่งที่มีจดหมายขอบคุณปลอม บัตรของขวัญปลอม และ USB"

รายละเอียดแผนการหลอกลวง

กลุ่มอาชญากรไซเบอร์ FIN7 ส่งของขวัญที่น่าสงสัยให้กับบริษัทต่างๆในสหรัฐอเมริกา ซึ่งพัสดุถูกปลอมแปลงให้เป็นการส่งโดยกระทรวงสาธารณสุข และบริการประชาชนของสหรัฐฯ (HHS) หรือไม่ก็มาจาก Amazon เพื่อหลอกลวงให้ผู้รับเปิดพัสดุเหล่านี้มาใช้งาน

ในกล่องพัสดุประกอบด้วยแฟลชไดร์ USB ที่มีมัลแวร์ และยังมีจดหมายระบุรายระเอียดแนวทางปฏิบัติเกี่ยวกับไวรัสโควิด 19 ซึ่งคาดว่าออกโดยกระทรวงสาธารณสุข หรือไม่ก็เป็นของขวัญจาก Amazon

 

 

 

 

 

 

 

 

 

 

 

 

 

 

แคมเปญนี้เกิดขึ้นตั้งแต่เดือนสิงหาคม 2021

ตามรายงาน FBI ระบุว่ามีการส่งไดร์ USB ที่ติดตั้งไวรัสตั้งแต่เดือนสิงหาคม 2021 พัสดุเหล่านี้ถูกส่งผ่านทางไปรษณีย์สหรัฐ (USPS) ไปยังบริษัทในอุตสาหกรรมต่างๆเช่น การขนส่ง การประกันภัย และการป้องกันประเทศ โดยพัสดุประกอบด้วยแฟลชไดร์ Lily Go USB ที่ภายหลังถูกระบุว่าถูกติดตั้ง ransomware ไว้ โดยหน่วยงานต่างๆพบว่าเมื่อนำมาใช้งาน แฟลชไดร์ดังกล่าวจะดำเนินการโจมตีด้วยวิธีการที่เรียกว่า BadUSB ซึ่งจะติดตั้งตัวเองลงบนเครื่อง และแสร้งทำเป็นอุปกรณ์คีย์บอร์ดแทนที่จะเป็นไดร์ USB ซึ่งอาจส่งผลให้เกิดการแพร่กระจาย BlackMatter และ REvil ransomware ไปยังคอมพิวเตอร์ของบริษัทที่เป็นเหยื่อ

"เป้าหมายสุดท้ายของ FIN7 ในการโจมตีคือการเข้าถึงเครือข่ายของเหยื่อ และติดตั้ง ransomware (ทั้ง BlackMatter และ REvil) ภายในเครือข่าย โดยใช้เครื่องมือต่างๆรวมถึง Metasploit, Cobalt Strike, Carbanak malware, the Griffon backdoor, and PowerShell scripts" FBI กล่าว

คำเตือนของ FBI เน้นย้ำถึงข้อที่ว่าไม่ควรใช้งานแฟลชไดร์ USB ที่ไม่รู้จักกับอุปกร์ของตน หรือองค์กร

ที่มา : hackread

Vitali Kremez จาก Advanced Intel ได้เปิดเผยถึงการวิเคราะห์แรนซัมแวร์ชนิดใหม่ที่มีชื่อว่า Mount Locker ransomware ที่เริ่มแพร่กระจายในเดือนกรกฎาคม 2020 ที่ผ่านมา โดยแรนซัมแวร์ชนิดใหม่นี้มุ่งเป้าไปยังซอฟต์แวร์ TurboTax เพื่อทำการขโมยข้อมูลและเอกสารในการยืนภาษี จากนั้นจะเข้ารหัสไฟล์เพื่อใช้ในการขู่กรรโชกเหยื่อและเรียกค่าไถ่จากการที่ต้องยื่นภาษีก่อนกำหนดเส้นตายภาษีในวันที่ 15 เมษายน 2021

Vitali Kremez กล่าวว่า Mount Locker ransomware เป็นแรนซัมแวร์ที่มีการปฏิบัติการโดย human-operated ransomware เมื่อแรนซัมแวร์สามารถเข้าถึงเครือข่ายแรนซัมแวร์จะมุ่งเป้าหมายไปยัง ซอฟต์แวร์ภาษี TurboTax โดยแรนซัมแวร์จะทำการแสกนและรวบรวมไฟล์ที่มีนามสกุลไฟล์ .Tax, .tax2009, .tax2013 และ .tax2014 ที่เชื่อมโยงกับซอฟต์แวร์ TurboTax จากนั้นจะทำการส่งข้อมูลกลับไปยัง C&C ของกลุ่มปฏิบัติการและจะทำการเข้ารหัสไฟล์บนเครื่องที่บุกรุก เพื่อใช้ในการเรียกค่าไถ่เหยื่อ

ทั้งนี้ผู้ใช้ควรหมั่นตรวจสอบและสำรองข้อมูลไฟล์ TurboTax และเอกสารสำคัญอื่นๆ บนสื่อภายนอกเช่น USB หรือ External HDD หลังจากที่ทำการเปลี่ยนแปลงข้อมูลใดๆ และทำการถอดสื่อภายนอกทุกครั้งที่ทำการเปลื่ยนเเปลงเสร็จ เพื่อเป็นการป้องกันการตกเป็นเหยื่อของแรนซัมแวร์

ที่มา: bleepingcomputer

นักวิเคราะห์ของ Cybersecurity and Infrastructure Security Agency (CISA) ได้ทำการรบรวม Signature ที่ทำการตรวจพบและได้รับความนิยมสุงสุดในเดือนพฤษภาคมที่ผ่านมา โดยข้อมูลที่ทำการรวบรวมนั้นทำการรวบรวามผ่านระบบตรวจจับการบุกรุกแห่งชาติ หรือ National Intrusion Detection System (IDS) ซึ่งเป็นที่รู้จักกันในชื่อ “EINSTEIN” โดยรายละเอียดและ Signature ที่ถูกพบมากที่สุดมีดังนี้

NetSupport Manager Remote Access Tool (RAT) เป็นเครื่องมือการเข้าถึงจากระยะไกลที่ถูกกฏหมาย โดยซอฟต์แวร์ซึ่งเมื่อทำการติดตั้งบนเครื่องของเหยื่อแล้วจะอนุญาตให้ทำการควบคุมได้จากระยะไกลและสามารถทำการขโมยข้อมูลได้
Kovter เป็นโทรจันที่มีหลายสายพันธุ์ มีลักษณะคล้ายแรนซัมแวร์และมักถูกพบการใช้โดยผู้ประสงค์ร้ายที่ต้องการดำเนินการหลอกลวงผู้ใช้งานที่เป็นเป้าหมายให้ทำการติดเชื้อจากนั้นจะทำการขโมยข้อมูลจากเครื่องเป้าหมายไปยังเซิร์ฟเวอร์ C2 ของผู้ดำเนินการ
XMRig เป็นประเภทของ miner cryptocurrency ที่ใช้ทรัพยากรของเครื่องที่ติดเชื้อทำการขุด Monero ซึ่งอาจทำให้คอมพิวเตอร์ที่เป็นเหยื่อมีความร้อนสูงเกินไปและทำให้ไม่สามารถใช้ทรัพยากรระบบได้ดีหรือบางครั้งก็ไม่สามารถใช้งานได้
CISA ได้ออกคำเเนะนำและเเนวทางปฏิบัติสำหรับองค์กรเพื่อหลีกเลี่ยงจากภัยคุกความข้างต้น

ทำการปรับปรุงและอัพเดต signature ของซอฟต์แวร์ป้องกันไวรัสอยู่เสมอ
ทำการตรวจสอบให้เเน่ใจว่าระบบมีการอัพเดตแพตซ์เป็นเวอร์ชั่นล่าสุด
จำกัดสิทธ์และบังคับใช้นโยบายการติดตั้งและการเรียกใช้งานซอฟต์แวร์ที่ละเมิดลิขสิทธิ์
บังคับใช้นโยบายการใช้รหัสผ่านที่คาดเดาได้ยาก
ใช้ความระมัดระวังเมื่อเปิดสิ่งที่แนบมากับอีเมล แม้ว่าสิ่งที่แนบมาและดูเหมือนว่าจะผู้ส่งจะเป็นที่รู้จัก
เปิดใช้งานไฟร์วอลล์
ตรวจสอบพฤติกรรมการการใช้เข้าเว็บไซต์ของผู้ใช้ รวมถึงการเข้าถึงเว็บไซต์ที่มีเนื้อหาไม่เอื้ออำนวย
ใช้ความระมัดระวังเมื่อใช้ USB
สแกนซอฟต์แวร์ทั้งหมดที่ดาวน์โหลดจากอินเทอร์เน็ตก่อนดำเนินการเปิดหรือติดตั้ง
ทั้งนี้ผู้ที่สนใจ Snort Signature ที่กล่าวมาข้างต้นสามารถเข้าไปดูได้จากแหล่งที่มา

ที่มา: us-cert

ผู้เชี่ยวชาญจาก Positive Technologies ค้นพบเทคนิคที่สามารถใช้ในการโจมตี Intel Management Engine(Intel ME) ผ่านการใช้งาน USB และมีแผนที่จะแสดงให้ดูในงาน Black Hack เดือนธันวาคมนี้

ช่องโหว่ Remote code execution(RCE) สำคัญที่ได้รับรหัสเป็น CVE-2017-5689 นี้ ถูกค้นพบเมื่อเดือนมีนาคมที่ผ่านมา ซึ่งพบบน Remote Management Feature ของ Intel Chipset ที่ใช้ในการอำนวยความสะดวกให้ผู้ดูแลระบบสามารถจัดการเครื่องภายในองค์กรได้จากระยะไกล เริ่มถูกใช้ในคอมพิวเตอร์รุ่นต่างๆตั้งแต่ 9 ปีที่แล้ว(2008) มีผลกระทบครอบคลุมกับ Intel Management Engine(Intel ME) บน Firmware ของระบบที่มีการใช้ Active Management Technology (AMT), Small Business Technology (SBT) และ Intel Standard Manageability (ISM) ทำให้ผู้โจมตีสามารถเข้ายึดเครื่องที่มีช่องโหว่ได้จากระยะไกล

เทคนิคที่เพิ่งถูกค้นพบในการโจมตีด้วยช่องโหว่นี้ จะเป็นการใช้ Joint Test Action Group (JTAG) ซึ่งเป็น Hardware Debugging บน Intel ME เพื่อให้มีสิทธิ์เข้าถึงอุปกรณ์บน PCH(Platform Control Hub) โดยการใช้ Direct Connect Interface(DCI) ผ่าน USB
ที่มา securityaffairs