กลุ่มแฮ็กเกอร์ Scattered Spider ได้มุ่งเป้าหมายโจมตีไปยังระบบ virtualized โดยเจาะจงที่ VMware ESXi Hypervisors ซึ่งใช้งานในบริษัทสัญชาติสหรัฐฯ หลายแห่งในภาคค้าปลีก, สายการบิน, การขนส่ง และประกันภัย (more…)

กลุ่มผู้โจมตีได้ดำเนินการแพร่กระจายโปรแกรม KeePass เวอร์ชันที่ถูกฝังมัลแวร์ (Trojanized versions) มาแล้วอย่างน้อย 8 เดือน โดยมีเป้าหมายเพื่อติดตั้ง Cobalt Strike beacons, โจรกรรมข้อมูล Credentials และในท้ายที่สุดคือการติดตั้งแรนซัมแวร์ลงในระบบเครือข่ายที่เข้าถึงได้

ทีมข่าวกรองภัยภัยคุกคาม (Threat Intelligence) จาก WithSecure ได้ตรวจพบแคมเปญนี้ระหว่างการสืบสวนการโจมตีด้วยแรนซัมแวร์ โดยพบว่าการโจมตีเริ่มต้นจากโปรแกรมติดตั้ง KeePass ที่ถูกฝังมัลแวร์ผ่านการโฆษณาจาก Bing (Search Engine) ที่นำผู้ใช้งานไปยังเว็บไซต์ปลอม

เนื่องจาก KeePass เป็นซอฟท์แวร์แบบ Open-Source ผู้โจมตีจึงสามารถแก้ไข Source code และสร้างเวอร์ชันที่ฝังมัลแวร์เอาไว้ได้ ชื่อว่า KeeLoader ซึ่งมีฟังก์ชันการใช้งานตามรูปแบบปกติของโปรแกรมจัดการรหัสผ่าน แต่จะมี Cobalt Strike beacon ที่คอยดึงข้อมูลรหัสผ่านจากฐานข้อมูลในรูปแบบข้อความ (Cleartext) ก่อนจะส่งผ่านออกมาทาง Beacon

WithSecure ระบุว่า Cobalt Strike beacon ที่ถูกใช้ในแคมเปญนี้มีลักษณะรูปแบบการโจมตีเฉพาะ (Watermark) ที่เชื่อมโยงกับกลุ่ม Initial Access Broker (IAB) ที่เชื่อกันว่ามีความเกี่ยวข้องกับการโจมตีของกลุ่มแรนซัมแวร์ Black Basta ในอดีต

Cobalt Strike watermark คือรหัสเฉพาะที่ฝังอยู่ใน Beacon เพื่อตรวจสอบการสร้าง Payload

รายงานจาก WithSecure ระบุว่า "Watermark นี้จะถูกระบุในบริบทของ Beacons และ โดนเมนที่เกี่ยวข้องกับกลุ่มแรนซัมแวร์ Black Basta อยู่บ่อยครั้ง โดยมีความเป็นไปได้ว่าถูกใช้โดยกลุ่มผู้โจมตีในลักษณะ IAB ที่มีความร่วมมือใกล้ชิดกับกลุ่ม Black Basta"

"ถึงแม้ว่ายังไม่เคยพบเหตุการณ์ความเสียหาย (แรนซัมแวร์ หรืออื่น ๆ) ที่ใช้งาน Cobalt Strike beacon watermark นี้ ก็ไม่ได้หมายความว่าเหตุการณ์ดังกล่าวจะยังไม่เคยเกิดขึ้น"

นักวิจัยได้ค้นพบว่ามี KeeLoader หลายเวอร์ชันถูก signed ด้วย ceritficate ที่ถูกต้อง (Signed with Legitimate Certificates) และถูกเผยแพร่ผ่านโดเมนปลอมที่อาศัยช่องโหว่จากการพิมพ์ผิดบางตัวอักษร (Typo-Squatting) เช่น keeppaswrd[.]com, keegass[.]com และ KeePass[.]me

BleepingComputer ได้มีการยืนยันแล้วว่า เว็บไซต์ปลอม keeppaswrd[.]com ยังคงเปิดให้บริการดาวน์โหลดโปรแกรมติดตั้ง KeePass ที่ฝังมัลแวร์ไว้จนถึงปัจจุบัน อ้างอิง [VirusTotal]

โปรแกรม KeePass ปลอมนี้ ไม่ได้ถูกฝังเพียงมัลแวร์ Cobalt Strike beacons เท่านั้น แต่ยังติดตั้งโปรแกรมโจรกรรมรหัสผ่าน ซึ่งทำให้ผู้โจมตีสามารถโจรกรรมข้อมูล Credentials ที่ถูกกรอกเข้าสู่โปรแกรมได้อีกด้วย

จาก Report ของ WithSecure ยังระบุอีกว่า "KeeLoader ไม่ได้ถูกดัดแปลงให้ทำหน้าที่เป็นโปรแกรมตัวกลางสำหรับดาวน์โหลดมัลแวร์ (Malware Loader) เท่านั้น แต่ยังมีความสามารถในการโจรกรรม นำข้อมูลออกจากฐานของมูลของ KeePass ได้ด้วย"

"ซึ่งเมื่อผู้ใช้งานดำเนินการเข้าถึงฐานข้อมูลบน KeePass ข้อมูลชื่อบัญชี, ชื่อผู้ใช้งาน, รหัสผ่าน, เว็บไซต์ และข้อความที่บันทึกไว้ (Comment) จะถูกบันทึกออกมาเป็นไฟล์รูปแบบ CSV ซึ่งจะถูกเก็บไว้ชั่วคราวที่ %localappdata% นามสกุล .kp โดยมีตัวเลขที่สุ่มขึ้นในช่วงของ 100-999 กำกับไว้"

ในท้ายที่สุดแล้วนั้น จากการสืบสวนสอบสวนโดย WithSecure พบว่า แรนซัมแวร์สามารถเข้ารหัสเซิร์ฟเวอร์ VMware ESXi ของบริษัทได้

และจากข้อมูลการสืบสวนสอบสวนเพิ่มเติมในแคมเปญ ยังพบว่ามีการสร้างโครงสร้างพื้นฐานขนาดใหญ่ (Extensive Infrastructure) เพื่อใช้ในการปลอมแปลง และแพร่กระจายโปรแกรมที่ฝังมัลแวร์เหล่านี้ ผ่านเครื่องมือต่าง ๆ รวมทั้งหน้าเว็บไซต์ฟิชชิ่ง (Phishing) ที่ออกแบบมาเพื่อโจรกรรมข้อมูล Credentials อีกด้วย

ซึ่งหนึ่งในโดเมนที่ถูกใช้งานคือ anys[.]com ที่ถูกใช้เป็นโฮสต์สำหรับโดเมนย่อย (Subdomains) ในการปลอมเป็นเว็บไซต์ของบริษัทหรือบริการที่น่าเชื่อถือต่าง ๆ เช่น WinSCP, PumpFun, Phantom Wallet, Sallie Mae, Woodforest Bank และ DEX Screener

โดยแต่ละโดเมนย่อยนั้นจะถูกใช้เพื่อแพร่กระจายมัลแวร์หลากหลายชนิด หรือเพื่อโจรกรรมข้อมูล Credentials จากเหยื่อ

WithSecure ได้ระบุว่า กิจกรรมนี้มีความเชื่อมโยงกับกลุ่มผู้โจมตี UNC4696 ซึ่งเคยถูกระบุว่ามีส่วนเกี่ยวข้องกับการโจมตีผ่านหลายแคมเปญ Nitrogen Loader มาก่อน และแคมเปญของ Nitrogen ก็ยังมีความเชื่อมโยงกับกลุ่มแรนซัมแวร์ BlackCat/ALPHV อีกด้วย

คำแนะนำ

ดาวน์โหลดซอฟต์แวร์จากเว็บไซต์ที่เป็นทางการ หรือแหล่งที่น่าเชื่อถือเท่านั้น โดยเฉพาะอย่างยิ่งซอฟต์แวร์ที่เกี่ยวข้องกับข้อมูลที่มีความสำคัญ เช่น Password Manager
หลีกเลี่ยงการคลิกลิงก์จากโฆษณา ถึงแม้ว่าโฆษณาดูเหมือนจะแสดง URL ที่ถูกต้องก็ตาม เนื่องจากผู้โจมตีสามารถหลบเลี่ยงนโยบายของแพลตฟอร์มโฆษณา และเปลี่ยนปลายทาง (Redirect) ไปยังเว็บไซต์ปลอมได้

 

ที่มา: bleepingcomputer.

เซิร์ฟเวอร์ VMware ESXi ที่เปิดให้เข้าถึงผ่านอินเทอร์เน็ตกว่า 37,000 เครื่อง ที่เสี่ยงต่อการถูกโจมตีจากช่องโหว่ CVE-2025-22224 ความรุนแรงระดับ Critical โดยเป็นช่องโหว่ Out-of-Bounds Write ซึ่งกำลังถูกใช้ในการโจมตีอย่างต่อเนื่องอยู่ในปัจจุบัน (more…)

พบกลุ่ม Ransomware ที่กำลังมุ่งเป้าหมายการโจมตีไปยัง Hypervisors ของ ESXi โดยใช้ SSH tunneling เพื่อเข้าถึง และแฝงตัวในระบบของเป้าหมายได้โดยไม่ถูกตรวจจับ (more…)

IxMetro Powerhost ผู้ให้บริการศูนย์ข้อมูล และโฮสติ้งจากประเทศชิลี ได้ตกเป็นเหยื่อของการโจมตีทางไซเบอร์จากกลุ่ม Ransomware ใหม่ที่รู้จักกันในชื่อ SEXi ซึ่งมีความสามารถในการเข้ารหัสเซิร์ฟเวอร์ VMware ESXi และการสำรองข้อมูลของบริษัท

PowerHost คือบริษัทที่ทำธุรกิจทางด้านด้าน Data center, โฮสติ้ง และ interconnectivity ซึ่งมีสถานที่ตั้งในสหรัฐอเมริกา อเมริกาใต้ และยุโรป

เมื่อวันจันทร์ที่ผ่านมา (1 เมษายน 2024) IxMetro แจ้งให้ลูกค้าทราบว่าได้ถูกโจมตีด้วย Ransomware เมื่อวันเสาร์ที่ 30 มีนาคม 2024 โดยได้ถูกเข้ารหัสเซิร์ฟเวอร์ VMware ESXi ของบริษัทบางส่วนที่ใช้เป็น virtual private servers สำหรับลูกค้า ทำให้ลูกค้าที่โฮสต์เว็บไซต์ หรือบริการของตนบนเซิร์ฟเวอร์เหล่านี้ประสบปัญหา ขณะที่บริษัท PowerHost กำลังพยายามกู้คืนข้อมูลขนาดหลาย terabytes จากการสำรองข้อมูล (more…)

Akira ransomware เวอร์ชัน Linux ถูกพบครั้งแรกโดยนักวิเคราะห์มัลแวร์จาก rivitna ที่รายงานตัวอย่างของเครื่องมือการเข้ารหัสใหม่ใน VirusTotal เมื่อสัปดาห์ที่ผ่านมา

Akira ถูกพบครั้งแรกในเดือนมีนาคม 2023 โดยมีเป้าหมายเป็นระบบ Windows ในอุตสาหกรรมต่าง ๆ รวมถึงการศึกษา การเงิน อสังหาริมทรัพย์ การผลิต และการให้คำปรึกษา

เช่นเดียวกับกลุ่มแรนซัมแวร์ที่โจมตีองค์กรอื่น ๆ ผู้โจมตีจะขโมยข้อมูลจากเครือข่ายขององค์กรที่ถูกโจมตี และเข้ารหัสไฟล์เพื่อเรียกค่าไถ่ซ้ำกับเหยื่อ โดยเรียกร้องเงินที่สูงถึงหลายล้านดอลลาร์

นับตั้งแต่เปิดตัว มีการเปิดเผยว่ามีเหยื่อมากกว่า 30 รายในสหรัฐอเมริกาเพียงแห่งเดียว โดยมีกิจกรรมที่แตกต่างกันสองรายการที่เพิ่มขึ้นอย่างมากใน ID Ransomware ในช่วงปลายเดือนพฤษภาคม และปัจจุบัน

Akira ตั้งเป้าไปที่ VMware ESXi

Akira เวอร์ชัน Linux ถูกพบครั้งแรกโดยนักวิเคราะห์มัลแวร์ rivitna ซึ่งรายงานตัวอย่างของเครื่องมือการเข้ารหัสใหม่ใน VirusTotal เมื่อสัปดาห์ที่ผ่านมา

การวิเคราะห์ตัวเข้ารหัส Linux ของ BleepingComputer แสดงให้เห็นว่ามีชื่อโปรเจ็กต์เป็น 'Esxi_Build_Esxi6' ซึ่งบ่งบอกว่าผู้โจมตีออกแบบมาเพื่อกำหนดเป้าหมายไปยัง VMware ESXi เซิร์ฟเวอร์โดยเฉพาะ

ตัวอย่างเช่น ไฟล์ซอร์สโค้ดของโปรเจ็กต์ไฟล์หนึ่งคือ /mnt/d/vcprojects/Esxi_Build_Esxi6/argh.

กลุ่มอาชญากรทางไซเบอร์ RTM (Read The Manual) มีการดำเนินการมาตั้งแต่ปี 2015 โดยการใช้โทรจันเพื่อขโมยเงินจากธนาคารของผู้ที่ตกเป็นเหยื่อ

ในเดือนธันวาคม 2022 MalwareHunterTeam นักวิจัยด้านความปลอดภัยระบุว่า RTM ให้บริการ Ransomware-as-a-Service (RaaS) ซึ่งมีการให้บริการมาแล้วอย่างน้อยห้าเดือน ในขณะนั้นพบเพียงตัวเข้ารหัสแรนซัมแวร์บน Windows เท่านั้น แต่รายงานจาก Uptycs เมื่อวันที่ 26 เมษายน 2023 RTM ได้เปิดตัวบริการ RaaS รูปแบบใหม่ ซึ่งขยายเป้าหมายไปยังเซิร์ฟเวอร์ Linux และ VMware ESXi

ตามรายงานของ Uptycs ตัวเข้ารหัสของ RTM Locker บน Linux ถูกสร้างขึ้นสำหรับการโจมตีระบบ VMware ESXi เนื่องจากมีคำสั่งจำนวนมากที่ใช้ในการจัดการ Virtual Machines

เมื่อเปิดใช้งาน ตัวเข้ารหัสจะพยายามเข้ารหัส VMware ESXi Virtual Machines ทั้งหมดก่อน โดยรวบรวมรายการ VM ที่รันอยู่โดยใช้ Command "esxcli vm process list >> vmlist.

MalwareHunterTeam ทีมนักวิจัยด้านความปลอดภัยทางไซเบอร์ พบตัวเข้ารหัสข้อมูลของ LockBit ransomware ที่มุ่งเป้าหมายการโจมตีไปยัง macOS โดยเฉพาะ ซึ่งเป็นครั้งแรกที่พบปฏิบัติการของกลุ่ม Ransomware ที่มุ่งเป้าหมายการโจมตีไปยัง macOS โดยตรง

โดย MalwareHunterTeam พบตัวเข้ารหัสดังกล่าวจากไฟล์ ZIP บน VirusTotal ที่ถูกอัพโหลดขึ้นไปในเดือนธันวาคม 2022 ซึ่งพบว่ามีตัวเข้ารหัสของ LockBit ransomware อยู่ด้วย ซึ่งพบว่ามีตัวเข้ารหัสสำหรับระบบที่ไม่เคยถูกพบมาก่อนเช่น macOS, ARM, FreeBSD, MIPS และ SPARC CPUs (more…)

Royal Ransomware เป็น Ransomware ตัวล่าสุดที่มีความสามารถในการเข้ารหัสข้อมูลบนอุปกรณ์ Linux ได้ โดยมีการกำหนดเป้าหมายไปที่ VMware ESXi โดยเฉพาะ ซึ่ง BleepingComputer เคยได้รายงานเกี่ยวกับการเข้ารหัสจากแรนซัมแวร์บน Linux ที่มีรูปแบบคล้ายกันโดยกลุ่ม Ransomware อื่น ๆ เช่น Black Basta, LockBit, BlackMatter, AvosLocker, REvil, HelloKitty, RansomEXX และ Hive (more…)

พบ ESXiArgs Ransomware ตัวใหม่ ปรากฏขึ้นหลังจากสำนักงานความมั่นคงปลอดภัยทางไซเบอร์ และโครงสร้างพื้นฐานของสหรัฐ CISA เปิดตัวเครื่องมือถอดรหัสเพื่อกู้คืนข้อมูล สำหรับเหยื่อที่ได้รับผลกระทบจากการโจมตีของ ESXiArgs Ransomware

โดยรายงานจากผู้ดูแลระบบในฟอรัมออนไลน์ พบว่าไฟล์ที่มีขนาดใหญ่กว่า 128MB จะมีการเข้ารหัสข้อมูลแบบ 50% ทำให้กระบวนการกู้คืนมีความลำบากยิ่งขึ้น รวมถึงการลบที่อยู่ Bitcoin ออกจากบันทึกเรียกค่าไถ่ เพื่อให้เหยื่อติดต่อพวกเขาบน Tox แทน เพื่อรับข้อมูลสำหรับการชำระค่าไถ่ เนื่องจากกลุ่ม Hacker รู้ว่าตนเองกำลังถูกติดตามอยู่ รวมถึงวิธีการโจมตีที่ใช้นั้นสามารถป้องกันได้อย่างง่ายดาย จึงได้มีการปรับปรุงรูปแบบการโจมตี (more…)