Microsoft กำลังวางแผนที่จะทำการยุติการใช้ VBScript ใน Windows รุ่นต่อไป หลังจากใช้งานมา 30 ปี โดยจะทำให้เป็น Features on Demand (FODs) จนกว่าจะถูกลบออก

VBScript (Visual Basic Script หรือ Microsoft Visual Basic Scripting Edition) เป็นภาษาการเขียนโปรแกรมที่คล้ายคลึงกับ Visual Basic หรือ Visual Basic for Applications (VBA) ซึ่งเปิดตัวมานานเกือบ 30 ปี โดยเปิดตัวในเดือนสิงหาคม 1996 และมาพร้อมกับ Internet Explorer (ซึ่งทาง Microsoft ได้ปิดการใช้งานไปแล้ว บน Windows 10 บางแพลตฟอร์มในเดือนกุมภาพันธ์ 2023) เพื่อรวมสคริปต์ที่ใช้งานอยู่เข้ากับ Windows environment และสื่อสารกับ host application ผ่าน Windows Script

(more…)

Abel นักวิจัยด้านความปลอดภัยได้เปิดเผยการพบการเปลี่ยนวิธีการโจมตีของ Emotet โดยหันมาใช้ Microsoft OneNote แทนการใช้ Microsoft Word และ Excel ในการแนบไฟล์อันตรายเพื่อโจมตี และหลบหลีกการตรวจจับจากอุปกรณ์ป้องกันด้านความปลอดภัย

Emotet เป็น malware botnet ที่มีชื่อเสียง ซึ่งในอดีตใช้การโจมตีผ่านทาง Microsoft Word และ Excel โดยการฝัง macro ที่เป็นอันตราย ซึ่งหากผู้ใช้งานเปิดไฟล์แนบ และเปิดใช้งาน macro จะส่งผลให้ถูกดาวน์โหลด และติดตั้งมัลแวร์ Emotet บนอุปกรณ์เป้าหมาย รวมถึงดาวน์โหลดเพย์โหลดอันตรายอื่น ๆ และเข้าถึงเครือข่ายภายในขององค์กร (more…)

Kaspersky บริษัทด้านความปลอดภัยจากรัสเซียได้เปิดเผยการค้นพบเทคนิคใหม่ในการโจมตีของกลุ่ม BlueNoroff ที่ใช้ในการ bypass การตรวจจับจาก Windows MotW (Mark of the Web) ซึ่งรวมถึงการใช้ไฟล์ .ISO และ .VHD ในการโจมตีเหยื่อ

การโจมตี

โดยกลุ่ม BlueNoroff จะโจมตีเป้าหมายด้วยการส่งไฟล์ .ISO ที่แนบมากับ Phishing Email ซึ่งภายในมีไฟล์ Microsoft PowerPoint (.PPSX) ที่ถูกฝัง Visual Basic Script (VBScript) เอาไว้ที่จะทำงานเมื่อเป้าหมายเปิดไฟล์ PowerPoint

อีกวิธีการหนึ่งคือการใช้ Windows batch file โดยการใช้ประโยชน์จากเทคนิค living-off-the-land binary (LOLBin) เพื่อทำการดาวน์โหลดเพย์โหลดสำหรับการโจมตีขั้นต่อไป

นอกจากนี้ Kaspersky ยังพบไฟล์ .VHD ซึ่งภายในมีไฟล์ PDF ใบสมัครงานปลอม เมื่อเป้าหมายเปิดไฟล์ PDF จะทำการดาวน์โหลดมัลแวร์ที่ปลอมเป็นโปรแกรม Anti-Virus เพื่อทำการปิดระบบ User-Mode Hooks/ NTDLL.dll hooking ของ Anti-Virus หรือ EDR (Endpoint Detection and Response ) ที่ติดตั้งอยู่บนเครื่อง ทำให้ไม่สามารถตรวจจับการโจมตีได้

กลุ่ม BlueNoroff

BlueNoroff ** ซึ่งมีชื่อเรียกอีกอย่างว่า APT38 เป็นส่วนหนึ่งของกลุ่ม Lazarus threat group ซึ่งเป็นกลุ่ม Hackers ขนาดใหญ่ที่ได้รับการสนับสนุนจากรัฐบาลเกาหลีเหนือ (Nation-State Threat Actor) มีเป้าหมายในการโจมตีคือ การเรียกค่าไถ่จากเหยื่อ โดยได้แทรกซึม และเกี่ยวข้องกับเหตุการณ์โจมตีในหลายภูมิภาคทั้งอเมริกาเหนือและใต้ ยุโรป แอฟริกา และเอเชีย

กลุ่ม BlueNoroff ได้เริ่มต้นโจมตีเป้าหมายในอุตสาหกรรมการเงิน ไม่ว่าจะเป็นเหตุการณ์โจมตีเครือข่ายธนาคาร SWIFT ในปี 2015 และการโจมตีธนาคารในบังคลาเทศ ซึ่งมีมูลค่าความเสียหายถึง 81 ล้านดอลลาร์ ต่อมากลุ่ม BlueNoroff ได้เปลี่ยนเป้ามายการโจมตีมายังอุตสาหกรรม Cryptocurrency ในปี 2018

โดยทาง Kaspersky ได้ค้นพบแคมเปญการโจมตีที่ชื่อ SnatchCrypto เพื่อขโมยเงินจาก cryptocurrency wallets ของเหยื่อ รวมถึงการการสร้างแอป Cryptocurrency ปลอม เพื่อให้เหยื่อดาวน์โหลดแอปพลิเคชั่นซึ่งได้ฝังแบ็คดอร์ในชื่อ “AppleJeus” ที่สามารถขโมย Cryptocurrency ของเหยื่อได้

ในปี 2022 นี้ พบว่ากลุ่ม BlueNoroff ได้สร้างโดเมนปลอมจำนวนมากโดยแอบอ้างเป็นบริษัทร่วมทุน และธนาคารของญี่ปุ่นที่ถูกต้องตามกฎหมาย แสดงให้เห็นว่าบริษัทการเงินในประเทศญี่ปุ่น กำลังตกเป็นเป้าหมายในการโจมตีของกลุ่ม BlueNoroff

จากรายงานของ National Intelligence Service (NIS) ของเกาหลีใต้ กลุ่ม BlueNoroff หรือ APT38 ซึ่งเป็นกลุ่ม Hacker ที่ได้รับการสนับสนุนจากรัฐบาลเกาหลีเหนือ ได้สร้างความเสียหาย และขโมยเงินดิจิทัล และสินทรัพย์ดิจิทัลอื่น ๆ มูลค่ากว่า 1.2 พันล้านดอลลาร์จากเป้าหมายทั่วโลกในช่วงห้าปีที่ผ่านมา

ที่มา : thehackernews

นักวิจัยด้านความปลอดภัยทางไซเบอร์จาก CrowdStrike ออกมาเปิดเผยการค้นพบเทคนิคใหม่ในชื่อ “Blindside” ซึ่งถูกใช้โดยมัลแวร์ที่มีชื่อว่า GuLoader ซึ่งสามารถหลีกเลี่ยงการตรวจจับ (Defense Evasion) จาก Security Software ได้

GuLoader หรือ CloudEyE เป็น Visual Basic Script (VBS) downloader ที่ถูกใช้เพื่อแพร่กระจายโทรจันที่ถูกควบคุมจากระยะไกล (Remote Access Trojans RAT) ในชื่อ Remcos รวมไปถึง JavaScript malware ที่มีชื่อว่า RATDispenser

วิธีการโจมตี

โดย Visual Basic Script (VBS) ที่ถูกออกแบบมาของ GuLoader จะเรียกใช้ shellcode ที่ฝังมาลงในหน่วยความจำบนเครื่องเหยื่อหลังจากผ่านกระบวนการตรวจสอบ และหลีกเลี่ยงการตรวจจับดังนี้

ทำการสแกนหน่วยความจำของค่าสตริงที่เกี่ยวข้องกับ virtual machine (VM) / virtualization software หากพบจะหยุดการทำงานของ shellcode
หลบหลีกการวิเคราะห์ และป้องกันการ debug ในระหว่างการดำเนินการ โดยจะแสดงข้อความ error message หากพบว่ากำลังถูกตรวจสอบ

จากนั้นจึงจะทำการดาวน์โหลด payload การติดตั้งโทรจันที่สามารถใช้ควบคุม สั่งการเครื่องเหยื่อจากระยะไกล (Remote Access Trojans RAT) เพื่อให้ Hacker สามารถโจมตี และสั่งการได้จากระยะไกลได้

รวมถึง CrowdStrike ยังพบว่า GuLoader ได้ใช้เทคนิคใหม่ที่เรียกว่า "Redundant Code Injection Mechanism" หรือที่ถูกเรียกในชื่อ “Blindside” เพื่อหลีกเลี่ยง NTDLL.dll hooking ซึ่งเป็นเทคนิคที่ endpoint detection and response (EDR) ใช้ในการตรวจับ process ที่น่าสงสัยบน Windows โดยการตรวจสอบจาก windows API

ซึ่ง Cymulate บริษัทด้านความปลอดภัยทางไซเบอร์ได้เผยแพร่ตัวอย่างการโจมตี (PoC) ออกมาแล้วในปัจจุบัน

ที่มา : thehackernews

ผู้เชี่ยวชาญด้านความปลอดภัยที่ IntelCrawler รายงานว่า Sergey Taraspov อายุ 17 ปีจากรัสเซีย หรือในออนไลน์ชื่อว่า "ree[4]" ถูกกล่าวหาว่าเป็นคนสร้างมัลแวร์ "BlackPos" หรือ "Kaptoxa" ในเดือนมีนาคม 2013 ที่ผ่านมา โดยมัลแวร์ตัวนี้ใช้ในการโจมตีเป้าหมายและร้านค้าปลีก Neiman Marcus BlackPos เป็นมัลแวร์ที่สามารถอ่านข้อมูลในแรมได้ และสร้างด้วย VBScript เพื่อติดตั้งบน POS devices และขโมยข้อมูลทั้งหมดจากบัตรผ่านเครื่องที่ติดมัลแวร์ตัวนี้ แฮกเกอร์คนดังกล่าวได้สร้างเครื่องมือหลายๆอย่างในการแฮก รวมถึงการ brute force attack และเครื่องมือที่เป็นอันตรายอื่นๆ

ที่มา : ehackingnews