VirusTotal พบแคมเปญฟิชชิ่งที่ซ่อนอยู่ใน SVG files ซึ่งสร้างหน้าเว็บพอร์ทัลที่ปลอมเป็นระบบตุลาการของรัฐบาลโคลอมเบียเพื่อส่งมัลแวร์ไปยังเป้าหมาย

VirusTotal ได้ตรวจพบแคมเปญนี้หลังจากที่เพิ่มการรองรับไฟล์ SVG ลงในแพลตฟอร์ม AI Code Insight

AI Code Insight เป็นฟีเจอร์ของ VirusTotal ในการวิเคราะห์ตัวอย่างไฟล์ที่ถูกอัปโหลด โดยใช้ Machine Learning/AI เพื่อสร้างสรุปพฤติกรรมที่น่าสงสัย หรือเป็นอันตรายที่พบในไฟล์

หลังจากได้เพิ่มการรองรับไฟล์ SVG จึงทำให้ VirusTotal ค้นพบไฟล์ SVG ที่ไม่ถูกตรวจจับจากการสแกนมัลแวร์ แต่ฟีเจอร์ Code Insight ได้ตรวจพบการใช้ JavaScript เพื่อแสดง HTML ซึ่งปลอมเป็นระบบตุลาการของรัฐบาลโคลอมเบีย

SVG file หรือ Scalable Vector Graphics ใช้ในการสร้างภาพเส้น รูปทรง และข้อความผ่านสูตรทางคณิตศาสตร์ในไฟล์ ต่อมาเริ่มพบเหล่า Hacker เริ่มใช้ไฟล์ SVG ในการโจมตีมากขึ้น เนื่องจากไฟล์เหล่านี้สามารถใช้แสดง HTML โดยใช้องค์ประกอบ <foreignObject> และเรียกใช้งาน JavaScript เมื่อโหลดกราฟิก

ในแคมเปญที่ Virustotal ค้นพบ ไฟล์ภาพ SVG ถูกใช้เพื่อแสดงผลหน้าเว็บพอร์ทัลปลอมที่แสดงแถบความคืบหน้าการดาวน์โหลด ซึ่งท้ายที่สุดจะแจ้งให้ผู้ใช้ดาวน์โหลดไฟล์ zip ที่มีการใส่รหัสผ่าน ซึ่งรหัสผ่านสำหรับเปิดไฟล์นี้จะแสดงในหน้าพอร์ทัลปลอม

Phishing Campaign จะจำลองกระบวนการดาวน์โหลดเอกสารราชการอย่างเป็นทางการ ประกอบด้วยหมายเลขคดี, security token และสัญลักษณ์ภาพเพื่อสร้างความน่าเชื่อถือ ซึ่งทั้งหมดนี้สร้างขึ้นภายในไฟล์ SVG

BleepingComputer พบว่า ไฟล์ที่ extracted ออกมาจะมีไฟล์อยู่ 4 ไฟล์ ได้แก่ ไฟล์ executable ที่ถูกต้องของเว็บเบราว์เซอร์ Comodo Dragon ซึ่งเปลี่ยนชื่อเป็นเอกสารทางศาลอย่างเป็นทางการ, ไฟล์ DLL ที่เป็นอันตราย และไฟล์ที่ดูเหมือนจะเข้ารหัสไว้ 2 ไฟล์

โดยหากผู้ใช้เปิดไฟล์ executable ไฟล์ DLL ที่เป็นอันตรายจะถูกโหลดเพื่อติดตั้งมัลแวร์เพิ่มเติมในระบบของเป้าหมาย

หลังจากตรวจพบ SVG file ที่เป็นอันตรายนี้ ทาง VirusTotal ก็สามารถระบุไฟล์ SVG ที่อัปโหลดไว้ก่อนหน้านี้ จำนวนกว่า 523 ไฟล์ ซึ่งเป็นส่วนหนึ่งของแคมเปญเดียวกัน ที่สามารถหลบเลี่ยงการตรวจจับของซอฟต์แวร์รักษาความปลอดภัย

การเพิ่มการรองรับ SVG file ให้กับ AI Code Insights มีความสำคัญอย่างยิ่งในการเปิดเผยแคมเปญนี้ เนื่องจาก VirusTotal ระบุว่า การใช้ AI ช่วยให้ระบุแคมเปญที่เป็นอันตรายใหม่ ๆ ได้ง่ายขึ้น

VirusTotal ระบุว่า จุดที่ Code Insight เข้ามาช่วยได้มากที่สุดนั่นคือ การทำให้เห็นบริบทโดยรวม, ประหยัดเวลา และช่วยให้มุ่งเน้นไปที่สิ่งที่สำคัญจริง ๆ ทั้งนี้ Code Insight ไม่สามารถแทนที่การวิเคราะห์ของผู้เชี่ยวชาญได้ แต่เป็นอีกหนึ่งเครื่องมือที่จะช่วยคัดกรองข้อมูลที่ไม่จำเป็น และเข้าถึงสิ่งที่สำคัญได้รวดเร็วยิ่งขึ้น

 

ที่มา : bleepingcomputer.

กระทรวงยุติธรรมสหรัฐฯ และทีม Black Lotus Labs ของบริษัทโทรคมนาคม Lumen Technologies ได้ประกาศเมื่อวันศุกร์ถึงการยุติการให้บริการพร็อกซีสองรายที่ขับเคลื่อนโดย Botnet ซึ่งประกอบด้วยอุปกรณ์ที่ถูกแฮ็กหลายพันเครื่อง (more…)

ผู้ไม่หวังดีเริ่มใช้ไฟล์แนบ Scalable Vector Graphics (SVG) มากขึ้นเพื่อแสดงแบบฟอร์มฟิชชิง หรือแพร่กระจายมัลแวร์ และหลีกเลี่ยงการตรวจจับ (more…)

 

หน่วยงานรักษาความปลอดภัยทางไซเบอร์ และโครงสร้างพื้นฐานของสหรัฐอเมริกา (CISA) เปิดตัวระบบการวิเคราะห์ "Malware Next-Gen" เวอร์ชันใหม่ ให้บุคคลทั่วไปสามารถส่งตัวอย่างมัลแวร์เพื่อรับการวิเคราะห์โดย CISA ได้ (more…)

เมื่อวันศุกร์ที่ 21 กรกฎาคมที่ผ่านมา VirusTotal เว็ปไซต์ที่ให้บริการสแกนมัลแวร์แบบออนไลน์ ออกมาประกาศเรื่องข้อมูลของผู้ใช้งานกว่า 5,600 รายรั่วไหลออกสู่สาธารณะ

เหตุการณ์นี้เกิดขึ้นเมื่อวันพฤหัสบดีที่ 29 มิถุนายน 2023 โดยมีพนักงานคนหนึ่งของบริษัท อัปโหลดไฟล์ CSV ไปยังแพลตฟอร์ม VirusTotal ส่งผลให้ข้อมูลของผู้ใช้งานจำนวนหนึ่งรั่วไหลออกไป โดยภายในไฟล์ประกอบไปด้วยข้อมูลเกี่ยวกับลูกค้าบัญชีพรีเมี่ยม ชื่อบริษัท และอีเมลของผู้ดูแลระบบ

Emiliano Martines หัวหน้าฝ่ายการจัดการผลิตภัณฑ์ของบริการสแกนมัลแวร์ออนไลน์ ได้แจ้งให้ลูกค้าที่ได้รับผลกระทบทราบว่าเหตุการณ์ดังกล่าวเกิดจากความผิดพลาดของพนักงาน ไม่ใช่การโจมตีทางไซเบอร์หรือช่องโหว่ใด ๆ ของ VirusTotal นอกจากนี้ ไฟล์ที่รั่วไหลนั้นเข้าถึงได้เฉพาะ partners ของ VirusTotal และนักวิเคราะห์ความปลอดภัยทางไซเบอร์ที่มีบัญชีพรีเมียมเท่านั้น ผู้ที่ใช้บัญชีที่ไม่ระบุชื่อ หรือบัญชีฟรีไม่สามารถเข้าถึงแพลตฟอร์มพรีเมี่ยมได้ อย่างไรก็ตาม Martines ได้ลบไฟล์ดังกล่าวออกจากแพลตฟอร์มแล้วหลังจากประกาศภายในหนึ่งชั่วโมง

การรั่วไหลของข้อมูลที่เกี่ยวข้องกับหน่วยงานภาครัฐทั่วโลก
สำนักข่าวเยอรมัน Der Spiegel และ Der Standard เป็นคนแรกที่รายงานเหตุการณ์นี้ในวันจันทร์ที่ 17 กรกฎาคมที่ผ่านมา ตามรายงานข้อมูลที่รั่วไหลมีขนาด 313KB โดยในรายชื่อ 5,600 ชื่อ ประกอบไปด้วยข้อมูลที่เกี่ยวข้องกับหน่วยงานราชการของสหรัฐอเมริกา กองบัญชาการไซเบอร์ กระทรวงยุติธรรม สำนักงานสอบสวนกลาง (FBI) สำนักงานความมั่นคงแห่งชาติ (NSA) และหน่วยงานระดับชาติของเนเธอร์แลนด์ ไต้หวัน และอังกฤษ รวมถึงพนักงานของหน่วยงานรัฐบาลเยอรมัน นอกจากนี้ยังพบข้อมูลของพนักงานหลายสิบคนของ Federal Bank, German Railway, Allianz, BMW, Mercedes-Benz และ Deutsche Telekom ทั้งนี้ Der Spiegel ชี้ให้เห็นว่าข้อมูลที่รั่วไหลเผยให้เห็นว่ามีใครบ้างที่เกี่ยวข้องกับความปลอดภัยด้านไอที และมัลแวร์ในบริษัท และองค์กรของรัฐที่ได้รับผลกระทบ ซึ่งผู้ไม่หวังดีสามารถใช้ข้อมูลนี้เพื่อกำหนดเป้าหมายไปยังเจ้าหน้าที่เหล่านี้ ด้วยการโจมตีแบบสเปียร์ฟิชชิงได้

ที่มา : bleepingcomputer

นักวิจัยด้านความปลอดภัย Shai Alfasi และ Marlon Fabiano da Silva จาก Cysource ได้เปิดเผยช่องโหว่ที่อาจทำให้ผู้โจมตีใช้เครื่องมือของ VirusTotal ในการสั่งรันโค้ดที่เป็นอันตรายจากระยะไกล (RCE) บน Antivirus Engine ที่มีช่องโหว่

VirusTotal มีบริการสแกนมัลแวร์ที่สามารถวิเคราะห์ไฟล์ที่ต้องสงสัยว่าจะเป็นอันตราย และ URL ที่อาจทำให้ติดมัลแวร์ได้ โดย VirusTotal มี Third-Party ที่เป็น Antivirus Product จากทั่วโลกกว่า 70 บริษัท

การโจมตีเกิดขึ้นจากการอัพโหลดไฟล์ DjVu ขึ้นไปผ่านทางหน้าเว็ปไซต์ของ VirusTotal เพื่อโจมตีช่องโหว่บน ExifTool ซึ่งเป็น open-source ที่ใช้สำหรับอ่าน และแก้ไขข้อมูล EXIF metadata ในรูป และไฟล์ PDF

โดยช่องโหว่ดังกล่าวมีหมายเลข CVE-2021-22204 (CVSS score: 7.8) โดยเป็นช่องโหว่ที่สามารถทำให้สั่งรันโค้ดที่เป็นอันตรายได้ จากการจัดการไฟล์ DjVu ที่ผิดพลาดจาก ExifTool ซึ่งช่องโหว่ดังกล่าวได้รับการแก้ไขไปแล้วในวันที่ 13 เมษายน 2021

นักวิจัยตั้งข้อสังเกตว่าผลที่ตามมาจากการโจมตีช่องโหว่นี้สำเร็จจะทำให้ผู้โจมตีสามารถสร้าง reverse shell กลับไปยัง antivirus engine ที่ยังไม่ได้แพตซ์เพื่อสั่งรันโค้ดที่เป็นอันตรายจากระยะไกลได้

(more…)

นักวิจัยด้านความปลอดภัย Julien Voisin ประกาศการค้นพบโค้ดสำหรับโจมตีช่องโหว่ (Exploit) สำหรับช่องโหว่ Spectre ในเว็บไซต์ VirusTotal โดยการโจมตีช่องโหว่ Spectre นั้นสามารถทำให้ผู้โจมตีเข้าถึงข้อมูลที่อยู่ในหน่วยความจำได้อย่างอิสระ

ทีม Intelligent Response ได้เคยมีการพูดช่องโหว่ Spectre และ Meltdown เมื่อปี 2018 สามารถอ่านบทความของเราได้ที่นี่ i-secure

จากการตรวจสอบ Exploit ที่อยู่ใน VirusTotal นั้น Voision พบ Exploit สำหรับระบบ Linux และ Windows ซึ่งเมื่อทำการใช้งานแล้วโดยบัญชีผู้ใช้ที่มีสิทธิ์ต่ำ ผู้ใช้ที่มีสิทธิ์ต่ำดังกล่าวจะสามารถดึงค่าแฮช LM/NT และ Kerberos ticket ใน Windows และข้อมูลใน /etc/shadow สำหรับระบบ Linux ได้ทันที

การวิเคราะห์ยังบ่งชี้ถึงที่มาของทั้งสอง Exploit โดยทั้งสอง Exploit มีที่มาจากโปรแกรม Canvas ของ Immunity ซึ่งเป็นโปรแกรมรวม Exploit คล้ายกับ Metasploit แต่มี Private exploit ที่ทาง Immunity มีการพัฒนาขึ้นเองอยู่ด้วย ที่มาของ Exploit ทั้งสองนั้นมาจากการรั่วไหลของ Canvas 7.26 ซึ่งเกิดขึ้นในช่วงเดือนธันวามคมที่ผ่านมา ซึ่งก็สอดคล้องกับงานวิจัยของ Immunity ที่เคยสาธิตการใช้งาน Canvas เพื่อโจมตีช่องโหว่ Spectre และขโมยข้อมูล Kerberos ticket มาตามวีดิโอ vimeo

 

ที่มา: bleepingcomputer

โรงพยาบาลบางแห่งของ NHS Lanarkshire board ถูกโจมตีด้วย Bit Paymer ransomware โดยโรงพยาบาลที่เป็นส่วนหนึ่งของ NHS Lanarkshire board นั้น เช่น Hairmyres Hospital in East Kilbride, Monklands Hospital เป็นต้น การถูกโจมตีครั้งนี้เกิดขึ้นเมื่อวันศุกร์ที่ 25 สิงหาคม 2017 และทางเจ้าหน้าของทาง NHS Lanarkshire ทราบเรื่องทันทีในวันนั้น ในวันต่อมาทางบอร์ดบริหารได้ออกให้ข่าวว่าควบคุมสถานการณ์ไว้แล้ว และกำลังกู้ระบบต่างๆกลับขึ้นมาอยู่ ซึ่งคาดการณ์ว่าจะใช้เวลาจนถึงวันจันทร์ที่ 28 สิงหาคม 2017 มีเพียงข้อมูลเรื่องของกระบวนการและกำหนดการเพียงเล็กนอยที่ถูกยกเลิกไปเนื่องจากเหตุการณ์โจมตีครั้งนี้
Bit Paymer Ransomware เริ่มเป็นที่รู้จักครั้งแรกเมื่อวันที่ 21 มิถุนายน 2017 เมื่อมีนักวิจัยทวีตข้อมูลตัวอย่างของมัลแวร์ที่เขาได้ upload ไปยัง VirusTotal (web-based file scanning service) หรือบริการการสแกนไฟล์แบบเว็บ สิ่งที่ทำให้ต่างจาก ransomware ตัวอื่นๆ ในปัจจุบันคือ Bit Paymer มีการเขียนโค้ดที่ดีมากทำให้ดูเหมือนว่าเป็นการเขียนของ programmer ที่มีประสบการณ์สูง
เจ้าหน้าที่ด้านความปลอดภัยของทาง Emsisoft เชื่อว่า ransomware ถูกลงลงไว้ในเครื่องหลังจากผู้โจมตีทำการโจมตีแบบ brute-force ไปยัง RDP endpoints ที่ไม่ได้รับการป้องกัน เมื่อผู้โจมตีเข้ามาในระบบหนึ่งได้แล้ว จะย้ายไปยังระบบอื่นเรื่อยๆ เพื่อลงตัว Bit Paymer ransomware ไว้ที่ทุกๆระบบที่สามารถเข้าไปได้ การเข้ารหัสไฟล์จะเป็นการรวมกันของ RC4 และ RSA-1024 ซึ่งทางนักวิจัยบอกว่ายังไม่มีวิธีในการถอดรหัสไฟล์ดังกล่าวได้ ไฟล์ที่ถูกเข้ารหัสจะมี ".locked" ต่อท้ายที่ชื่อไฟล์เดิม และมีการสร้างไฟล์ text ทิ้งไว้ทุกๆ จุดที่ไปเข้ารหัสไฟล์ โดยในไฟล์ text จะบอกรายละเอียดเรื่องของการจ่ายเงิน รูปแบบของการจ่ายเงินจะแปลกกว่า ransomware ตัวอื่นๆ ตรงที่จะให้ส่ง 1 Bitcoin confirmation มาสามครั้งก่อนการจ่ายเงินจริงเพื่อป้องกันการส่งเงินไปผิดที่อยู่

bleepingcomputer