SideCopy กลุ่มแฮ็กเกอร์จากปากีสถาน ถูกพบว่ากำลังใช้ประโยชน์จากช่องโหว่ WinRAR โจมตีหน่วยงานรัฐบาลอินเดียเพื่อติดตั้งโทรจันที่สามารถควบคุมได้จากระยะไกล เช่น AllaKore RAT, Ares RAT และ DRat โดยนักวิจัยจากบริษัท SEQRITE ระบุว่า แคมเปญนี้เป็นการโจมตีแบบ multi-platform และถูกออกแบบมาเพื่อโจมตีระบบ Linux ด้วย Ares RAT

SideCopy ถูกพบมาตั้งแต่ปี 2019 เป็นอย่างน้อย และเป็นที่รู้จักจากการโจมตีหน่วยงานในอินเดีย และอัฟกานิสถาน ซึ่งถูกสงสัยว่าเป็นกลุ่มย่อยของ Transparent Tribe (หรือ APT36)

Satwik Ram Prakki นักวิจัยจาก SEQRITE ระบุในรายงานเมื่อวันที่ 6 พ.ย. 2023 ที่ผ่านมาว่าทั้ง SideCopy และ APT36 ใช้โครงสร้างพื้นฐาน และโค้ดการโจมตีร่วมกันเพื่อมุ่งเป้าไปที่หน่วยงานในอินเดียอย่างจริงจัง

เมื่อต้นเดือนพฤษภาคม SideCopy เชื่อมโยงกับแคมเปญฟิชชิ่งที่ใช้ประโยชน์จากเหยื่อซึ่งก็คือองค์กรการวิจัยและพัฒนาด้านการป้องกันประเทศ (DRDO) ของอินเดียเพื่อส่งมัลแวร์เข้าไปขโมยข้อมูล

ตั้งแต่นั้นมา SideCopy ก็มีส่วนเกี่ยวข้องกับการโจมตีแบบฟิชชิ่งที่มุ่งเป้าไปที่ภาคการป้องกันของอินเดียด้วยไฟล์แนบ ZIP เพื่อแพร่กระจาย Action RAT และโทรจันที่ใช้ .NET ตัวใหม่ ซึ่งรองรับคำสั่งที่แตกต่างกันได้ถึง 18 คำสั่ง

แคมเปญฟิชชิ่งใหม่ที่ตรวจพบโดย SEQRITE ประกอบไปด้วยกลุ่มการโจมตีที่แตกต่างกัน 2 กลุ่ม โดยแต่ละกลุ่มกำหนดเป้าหมายไปที่ระบบ Linux และ Windows

กลุ่มแรกใช้ ELF binary ภาษา Golang-based ซึ่งปูทางสำหรับ Ares RAT เวอร์ชัน Linux ที่สามารถค้นหาไฟล์, ถ่ายภาพหน้าจอ, ดาวน์โหลด-อัพโหลดไฟล์ และอื่น ๆ อีกมากมายได้

กลุ่มที่สองเกี่ยวข้องกับการใช้ประโยชน์จากช่องโหว่ CVE-2023-38831 ซึ่งเป็นช่องโหว่ด้านความปลอดภัยใน WinRAR เพื่อเรียกใช้โค้ดที่เป็นอันตราย ซึ่งนำไปสู่การติดตั้ง AllaKore RAT, Ares RAT และโทรจันอีก 2 รายการที่ชื่อว่า DRat และ Key RAT

Ram Prakki ระบุว่า AllaKore RAT มีฟังก์ชันในการขโมยข้อมูลระบบ, keylogging, จับภาพหน้าจอ, อัปโหลด และดาวน์โหลดไฟล์ และการเข้าถึงจากระยะไกลเพื่อส่งคำสั่ง และอัปโหลดข้อมูลที่ถูกขโมยไปยัง C2 Server

DRat สามารถแยกวิเคราะห์คำสั่งได้มากถึง 13 คำสั่งจาก C2 Server เพื่อรวบรวมข้อมูลระบบ ดาวน์โหลด และดำเนินการเพย์โหลดเพิ่มเติม และดำเนินการกับไฟล์อื่น ๆ

การพุ่งเป้าไปที่ระบบ Linux ไม่ใช่เรื่องบังเอิญ และอาจได้รับแรงบันดาลใจจากการตัดสินใจของอินเดียที่จะแทนที่ Microsoft Windows ด้วย Linux ที่เรียกว่า Maya OS ทั่วทั้งภาคส่วนของการป้องกันประเทศ

Ram Prakki ยังระบุอีกว่าการขยายเครื่องมือสำหรับการโจมตีช่องโหว่ zero-day ของกลุ่ม SideCopy โดยมุ่งเป้าไปที่องค์กรด้านการป้องกันประเทศของอินเดียอย่างต่อเนื่องด้วยโทรจัน เพื่อติดตั้ง Python RAT แบบ open-source ที่เรียกว่า Ares

 

ที่มา : thehackernews

 

มัลแวร์ที่สามารถทำงานข้ามแพลตฟอร์มที่ชื่อว่า StripedFly ได้หลบเลี่ยงการตรวจจับของนักวิจัยด้านความปลอดภัยทางไซเบอร์มาเป็นเวลาห้าปี โดยโจมตีระบบ Windows และ Linux มากกว่าหนึ่งล้านเครื่องในช่วงเวลานั้น

Kaspersky ค้นพบลักษณะของโครงสร้างของมัลแวร์เมื่อปีที่แล้ว โดยพบหลักฐานว่ามัลแวร์ทำการโจมตีมาตั้งแต่ปี 2017 โดยมัลแวร์ถูกจัดประเภทผิดพลาดว่าเป็นเพียงโปรแกรมขุดเหรียญสกุลเงินดิจิทัล Monero

นักวิเคราะห์ระบุว่า StripedFly ว่าเป็นมัลแวร์ที่น่าประทับใจ โดยมีกลไกการซ่อนการรับส่งข้อมูลผ่าน TOR ที่ดูซับซ้อน, การอัปเดตอัตโนมัติจากแพลตฟอร์มที่เชื่อถือได้, ความสามารถในการแพร่กระจายแบบ worm, และการใช้ช่องโหว่ EternalBlue SMBv1 แบบกำหนดเองที่สร้างขึ้นก่อนการเปิดเผยช่องโหว่ต่อสาธารณะ

ถึงแม้ว่าจะยังไม่ชัดเจนว่า framework ของมัลแวร์นี้ถูกใช้เพื่อสร้างรายได้ หรือเพื่อการจารกรรมทางไซเบอร์ แต่ Kaspersky ระบุว่าความซับซ้อนของมันบ่งชี้ว่านี่คือมัลแวร์ในรูปแบบของ APT (advanced persistent threat)

จากเวลาที่บันทึก compiler ของมัลแวร์ รุ่นแรกสุดของ StripedFly ที่มีการใช้ช่องโหว่ EternalBlue เกิดขึ้นในเดือนเมษายน 2016 ในขณะที่การเปิดเผยข้อมูลสู่สาธารณะโดยกลุ่ม Shadow Brokers เกิดขึ้นในเดือนสิงหาคม 2016

StripedFly แพร่กระจายไปยังอุปกรณ์มากกว่าหนึ่งล้านเครื่อง

โครงสร้างของมัลแวร์ StripedFly ถูกพบครั้งแรกหลังจากที่ Kaspersky พบการฝัง shellcode ของแพลตฟอร์มใน process WININIT.EXE ซึ่งเป็น process ของ Windows OS ที่ถูกต้อง และใช้สำหรับจัดการการเริ่มต้นใช้งานของระบบย่อยต่าง ๆ

หลังจากตรวจสอบ injected code พบว่าโค้ดนี้จะดาวน์โหลด และเรียกใช้ไฟล์เพิ่มเติม เช่น สคริปต์ PowerShell จากบริการโฮสติ้งที่ถูกต้อง เช่น Bitbucket, GitHub และ GitLab รวมถึงสคริปต์ PowerShell

การสืบสวนเพิ่มเติมแสดงให้เห็นว่าอุปกรณ์ที่ติดมัลแวร์มีแนวโน้มว่าจะถูกโจมตีครั้งแรกด้วยช่องโหว่ SMBv1 ด้วยการใช้เครื่องมือ EternalBlue ที่มุ่งเป้าไปที่คอมพิวเตอร์ที่เชื่อมต่อกับอินเทอร์เน็ต

เซิร์ฟเวอร์ควบคุม และสั่งการ (C2) ของมัลแวร์ตั้งอยู่บนเครือข่าย TOR และการสื่อสารกับเซิร์ฟเวอร์นี้จะประกอบด้วย ID ที่สร้างมาเฉพาะตัวสำหรับเหยื่อแต่ละราย

เพื่อแฝงตัวอยู่บนระบบ Windows มัลแวร์ StripedFly ปรับปรุงพฤติกรรมของมัน ตามระดับสิทธิ์ที่ทำงาน และการมีอยู่ของ PowerShell

หากไม่มี PowerShell StripedFly จะสร้างไฟล์ที่ซ่อนอยู่ไดเร็กทอรี %APPDATA% หากมี PowerShell มัลแวร์ StripedFly จะเรียกใช้สคริปต์เพื่อสร้าง scheduled tasks ที่กำหนดเวลาไว้ หรือแก้ไขคีย์ Windows Registry

บน Linux มัลแวร์จะใช้ชื่อ 'sd-pam' มัลแวร์จะแฝงตัวอยู่โดยใช้ systemd services ไฟล์ .desktop ที่เริ่มต้นทำงานเองโดยอัตโนมัติ หรือโดยการปรับแต่งไฟล์โปรไฟล์ และ startup files ต่าง ๆ เช่นไฟล์ /etc/rc*, profile, bashrc, หรือ inittab files

จากข้อมูลของ Bitbucket repository เพย์โหลดขั้นสุดท้ายบนระบบ Windows ระบุว่าระหว่างเดือนเมษายนถึงกันยายน 2023 มีการติดมัลแวร์บนระบบเกือบ 60,000 ครั้ง

StripedFly ได้แพร่กระจายไปยังระบบ Windows มากกว่า 220,000 เครื่องทั่วโลกตั้งแต่เดือนกุมภาพันธ์ 2022 โดยประมาณ แต่สถิติจากก่อนหน้านั้นไม่สามารถระบุได้ เนื่องจากการเก็บข้อมูลถูกสร้างขึ้นในปี 2018

โดย Kaspersky ประมาณการณ์ว่าอุปกรณ์มากกว่า 1 ล้านเครื่องติดมัลแวร์ StripedFly framework

โมดูลมัลแวร์

มัลแวร์ทำงานเป็นไฟล์ปฏิบัติการแบบไบนารีขนาดใหญ่ที่มีโมดูลแบบ pluggable ทำให้มีความคล่องตัวในการปฏิบัติงานซึ่งเป็นลักษณะเดียวกับการทำงานของ APT

โมดูลของ StripedFly จากรายงานของ Kaspersky:

Configuration storage: จัดเก็บการกำหนดค่าของมัลแวร์ในรูปแบบที่เข้ารหัส
Upgrade/Uninstall: จัดการการอัปเดต หรือถอนการติดตั้งตามคำสั่งจากเซิร์ฟเวอร์ C2
Reverse proxy: อนุญาตให้มีการดำเนินการจากระยะไกลบนเครือข่ายของเหยื่อ
Miscellaneous command handler: รันคำสั่งต่าง ๆ เช่น การจับภาพหน้าจอ และการเรียกใช้ shellcode
Credential harvester: สแกน และรวบรวมข้อมูลผู้ใช้งานที่มีความสำคัญ เช่น รหัสผ่าน และชื่อผู้ใช้งาน
Repeatable tasks: ดำเนินการงานเฉพาะภายใต้เงื่อนไขบางประการ เช่น การบันทึกไมโครโฟน
Recon module: ส่งข้อมูลระบบโดยละเอียดไปยังเซิร์ฟเวอร์ C2
SSH infector: ใช้ข้อมูล credentials ของ SSH ที่ถูกเก็บรวบรวมเพื่อเข้าถึงระบบอื่น ๆ
SMBv1 infector: แพร่กระจายไปยังระบบ Windows อื่น ๆ โดยใช้ช่องโหว่ EternalBlue แบบกำหนดเอง
Monero mining module: ขุดเหรียญ Monero ในขณะที่ปลอมตัวเป็น process "chrome.

Google เผยแพร่รายงานการพบกลุ่ม Hacker ที่ได้รับการสนับสนุนจากรัฐบาลหลายกลุ่ม ได้ทำการโจมตีโดยใช้ช่องโหว่ที่มีระดับความรุนแรงสูงใน WinRAR (CVE-2023-38831) อย่างต่อเนื่อง โดยมีเป้าหมายในการเรียกใช้คำสั่งที่เป็นอันตรายบนระบบของเป้าหมาย

WinRAR เป็นซอฟต์แวร์บีบอัด และจัดเก็บไฟล์ยอดนิยมสำหรับ Windows ที่มีผู้ใช้งานในปัจจุบันมากกว่า 500 ล้านคน (more…)

Microsoft กำลังวางแผนที่จะทำการยุติการใช้ VBScript ใน Windows รุ่นต่อไป หลังจากใช้งานมา 30 ปี โดยจะทำให้เป็น Features on Demand (FODs) จนกว่าจะถูกลบออก

VBScript (Visual Basic Script หรือ Microsoft Visual Basic Scripting Edition) เป็นภาษาการเขียนโปรแกรมที่คล้ายคลึงกับ Visual Basic หรือ Visual Basic for Applications (VBA) ซึ่งเปิดตัวมานานเกือบ 30 ปี โดยเปิดตัวในเดือนสิงหาคม 1996 และมาพร้อมกับ Internet Explorer (ซึ่งทาง Microsoft ได้ปิดการใช้งานไปแล้ว บน Windows 10 บางแพลตฟอร์มในเดือนกุมภาพันธ์ 2023) เพื่อรวมสคริปต์ที่ใช้งานอยู่เข้ากับ Windows environment และสื่อสารกับ host application ผ่าน Windows Script

(more…)

เมื่อ 1 กันยายน 2023 ที่ผ่านมา Microsoft ประกาศว่าจะยกเลิก WordPad ด้วยการอัปเดต Windows ในอนาคต เนื่องจากไม่อยู่ในแผนการพัฒนาอีกต่อไป อย่างไรก็ตามบริษัทก็ยังไม่ได้ระบุระยะเวลาที่แน่นอนในการยกเลิก

WordPad เป็นแอปพลิเคชันแก้ไขข้อความพื้นฐานที่ให้ผู้ใช้งานสามารถสร้าง และแก้ไขเอกสารด้วยการจัดรูปแบบข้อความ รูปภาพ และลิงก์ไปยังไฟล์อื่น ๆ ได้ ซึ่งถูกติดตั้งโดยอัตโนมัติบน Windows ตั้งแต่ปี 1995 นับตั้งแต่มีการเปิดตัว Windows95 ทำให้ผู้ใช้งานมีโปรแกรมประมวลผลคำพื้นฐาน และโปรแกรมแก้ไขเอกสารที่ถูกรวมอยู่ในระบบปฏิบัติการ

โดย Microsoft เปิดเผยว่า WordPad จะไม่ได้รับการอัปเดตอีกต่อไป และจะถูกลบออกใน Windows รุ่นต่อ ๆ ไป และจะแนะนำให้ผู้ใช้งานใช้ Microsoft Word แทน สำหรับเอกสารข้อความแบบ Rich Text อย่างไฟล์ .doc และ .rtf และใช้ Notepad สำหรับเอกสารข้อความธรรมดาอย่างไฟล์ .txt สำหรับผู้ที่ไม่ต้องการเปิดไฟล์แบบ Rich Text

อย่างไรก็ตาม เรื่องดังกล่าวไม่ได้น่าแปลกใจ เนื่องจากโปรแกรมนี้ได้กลายเป็นฟีเจอร์เสริมของ Windows นับตั้งแต่ Windows 10 Insider Build 19551 ที่เปิดตัวในเดือนกุมภาพันธ์ 2020 และถึงแม้ว่าจะถูกติดตั้งตามค่าเริ่มต้นบน Windows แต่ก็สามารถถอนการติดตั้งออกได้โดยในเมนู Optional features ใน control panel

แม้จะไม่ได้มีการอธิบายจาก Microsoft ถึงสาเหตุของการเลิกใช้งาน WordPad แต่นักวิจัยเคยพบว่ามัลแวร์ Qbot เริ่มแพร่กระจายในคอมพิวเตอร์ และหลบเลี่ยงการตรวจจับด้วยวิธีการ DLL hijacking ใน WordPad บน Windows 10

โปรแกรม Paint จะถูกย้ายไปที่ Microsoft Store และ Cortana ก็กำลังจะถูกปิดตัวลง

เมื่อ 5 ปีที่แล้ว Microsoft ได้ประกาศว่าจะยกเลิกโปรแกรม Paint และจะถูกลบออกพร้อมกับการเปิดตัว Windows 10 Fall Creator's Update ในเดือนกรกฎาคม 2560 แต่หลังจากที่โปรแกรม Paint ได้รับการตอบรับอย่างล้นหลาม Microsoft ตัดสินใจไม่ยกเลิก และเปิดให้ใช้งานผ่าน Microsoft Store แทน

WordPad ก็เช่นกัน หากมีคนร้องขอเข้ามามากพอ Microsoft อาจจะย้าย WordPad ไปที่ App Store เพื่อเป็นทางเลือกการใช้งานในรูปแบบ Microsoft Office
และซอฟต์แวร์ที่มีความใกล้เคียงกันแต่มีฟีเจอร์น้อยกว่า

นอกจากนี้ บริษัทกำลังจะปิดตัว Cortana อย่างเป็นทางการในการ Windows 11 Canary preview builds ที่เปิดตัวในต้นเดือนสิงหาคม 2023 ซึ่งแอปดังกล่าวอยู่ในฐานะผู้ช่วยดิจิทัลของ Windows ที่เต็มไปด้วย Windows Copilot ที่ขับเคลื่อนด้วย AI ซึ่งเปิดตัวในระหว่างการประชุมใหญ่ Microsoft Build ในปีนี้

ที่มา: bleepingcomputer

ข้อมูลที่ถูกพบล่าสุดแสดงให้เห็นว่าผู้โจมตีสามารถใช้ประโยชน์จากเทคนิคการหลบเลี่ยงการตรวจจับมัลเเวร์ และ bypass endpoint security solutions โดยการปรับเเต่ง Windows Container Isolation Framework

การค้นพบนี้ถูกนำเสนอโดย Daniel Avinoam นักวิจัยด้านความปลอดภัยของ Deep Instinct ในการประชุมด้านความปลอดภัย DEF CON ที่จัดขึ้นเมื่อต้นเดือนที่ผ่านมา

โครงสร้างของ Microsoft container (และที่เกี่ยวข้องกับ Windows Sandbox) ใช้สิ่งที่เรียกว่า dynamically generated image เพื่อแยก file system ของแต่ละ container ไปยังโฮสต์ และในเวลาเดียวกันจะหลีกเลี่ยงการทำซ้ำของ file system

โดยมันเป็นเพียง "operating system image ที่มี clean copies ของไฟล์ที่สามารถเปลี่ยนแปลงได้ แต่เป็นลิงก์ไปยังไฟล์ที่ไม่สามารถเปลี่ยนแปลงได้ซึ่งอยู่ในอิมเมจ Windows ที่มีอยู่แล้วบนโฮสต์" จึงทำให้ขนาดโดยรวมของระบบปฏิบัติการเต็มลดลง

Avinoam ระบุในรายงานที่แชร์กับ The Hacker News ว่า "ผลลัพธ์ที่ได้คือ images ที่มี 'ghost files' ซึ่งไม่ได้เก็บข้อมูลจริง แต่จะชี้ไปยัง volume ที่แตกต่างกันของระบบ" ในจุดนี้จึงทำให้เกิดความคิดว่า จะเป็นอย่างไรถ้าสามารถใช้ redirection mechanism เพื่อซ่อนรายละเอียดกับ file system operation และทำให้เครื่องมือด้านความปลอดภัยไม่สามารถตรวจจับได้

นี่คือจุดที่ไดรเวอร์ minifilter ของ Windows Container Isolation FS (wcifs.

มัลแวร์ SmokeLoader กําลังถูกใช้เพื่อส่งมัลแวร์แบบใหม่เป็นมัลแวร์สแกน Wi-Fi ที่เรียกว่า Whiffy Recon บนเครื่อง Windows ที่ถูกโจมตี

Secureworks Counter Threat Unit (CTU) ระบุในแถลงการณ์ที่แชร์กับ The Hacker News ว่ามัลแวร์ตัวใหม่นี้จะมีการดําเนินการเพียงครั้งเดียวเท่านั้น โดยในทุก ๆ 60 วินาที มันจะวิเคราะห์ตำแหน่งของระบบที่ติดมัลแวร์โดยสแกนจุดเชื่อมต่อ Wi-Fi ในบริเวณใกล้เคียงเป็น data point โดยที่ใช้ geolocation API ของ Google เพื่อระบุตําแหน่งของระบบที่ติดมัลแวร์ จากนั้นตําแหน่งที่ส่งกลับโดย Google Geolocation API จะถูกส่งกลับไปยังผู้โจมตี

SmokeLoader เป็นมัลแวร์ที่มีจุดประสงค์เพียงอย่างเดียวคือการ drop เพย์โหลดเพิ่มเติมไปยังโฮสต์ที่ถูกโจมตี โดยตั้งแต่ปี 2014 เป็นต้นมา มัลแวร์ดังกล่าวได้ถูกเสนอขายให้กับกลุ่มผู้โจมตีในรัสเซีย โดยทั่วไปจะมีการเผยแพร่ผ่านรูปแบบอีเมลฟิชชิ่ง

Whiffy Recon ทํางานโดยการตรวจสอบ service WLAN AutoConfig (WLANSVC) บนระบบที่ติดมัลแวร์ และจะหยุดการทำงานทันทีถ้าไม่พบว่ามี service ดังกล่าวอยู่ ซึ่งเป็นที่น่าสังเกตว่ามัลแวร์จะไม่สนใจว่ายังทํางานต่อได้หรือไม่

โดยวิธีที่ทำให้มัลแวร์ยังคงทำงานอยู่สามารถทำได้โดยการใช้ shortcut เพิ่มลงในโฟลเดอร์ Windows Startup

Don Smith, VP ที่ Secureworks CTU ระบุว่า สิ่งที่เกี่ยวข้องกับการค้นพบ Whiffy Recon ยังเป็นเรื่องที่น่ากังวล เนื่องจากยังไม่ทราบถึงแรงจูงใจในการกระทําของผู้โจมตีที่ชัดเจน

มัลแวร์นี้ถูก config ลงทะเบียนไว้กับ เซิร์ฟเวอร์ Remote Command and Control (C2) โดยการส่งผ่าน "botID" ที่สร้างขึ้นบน port HTTP จากนั้นเซิร์ฟเวอร์จะตอบกลับด้วยข้อความ success และรหัสลับเฉพาะที่ตามมาในภายหลัง ซึ่งบันทึกอยู่ในไฟล์ชื่อ "%APPDATA%\Roaming\wlan\str-12.bin"

ขั้นตอนที่สองของการโจมตี คือ การสแกนจุดเชื่อมต่อ Wi-Fi ผ่าน Windows WLAN API ในทุก ๆ 60 วินาที ผลลัพธ์ของการสแกนจะถูกส่งต่อไปยัง Google Geolocation API เพื่อระบุตำแหน่งของระบบเป็นสามตำแหน่ง และส่งข้อมูลนั้นไปยังเซิร์ฟเวอร์ C2 ในรูปแบบของสตริง JSON ในท้ายที่สุด

โดยพฤติกรรมการโจมตีในรูปแบบนี้ยังไม่ค่อยถูกใช้ในกลุ่มผู้โจมตี เพราะยังขาดความสามารถในการสร้างรายได้ แต่เป็นเรื่องที่น่าเป็นห่วงที่อาจถูกนำมาใช้ในการโจมตีอื่นได้ในอนาคต

 

ที่มา : thehackernews

Sophos ผู้ให้บริการด้านความปลอดภัยทางไซเบอร์ถูกแอบอ้างโดย ransomware-as-a-service ตัวใหม่ที่ชื่อว่า SophosEncrypt โดยผู้โจมตีแอบอ้างใช้ชื่อของบริษัทในการดำเนินการ

แรนซัมแวร์ดังกล่าวถูกพบโดย Malware Hunter Team เมื่อวันที่ 17 กรกฎาคม 2023 ที่ผ่านมา ซึ่งเบื้องต้นคาดว่าเป็นการทดสอบของ Red Team ของ Sophos เอง (more…)

นักวิจัย ได้เผยแพร่ตัวสาธิตการโจมตีช่องโหว่ Proof-of-Concept (PoC) สำหรับช่องโหว่ในการเพิ่มระดับสิทธิ์เฉพาะของ Windows ที่กำลังถูกใช้ในการโจมตีอยู่ ซึ่งช่องโหว่ดังกล่าวเป็นส่วนหนึ่งของ Patch Tuesday เดือนพฤษภาคม 2023

Win32k subsystem (Win32k.sys kernel driver) เป็นระบบจัดการตัวจัดการหน้าต่าง เอาต์พุตหน้าจอ อินพุต และกราฟิกของระบบปฏิบัติการ และทำหน้าที่เป็นอินเทอร์เฟซระหว่างฮาร์ดแวร์อินพุตประเภทต่าง ๆ ทำให้เมื่อสามารถโจมตีช่องโหว่นี้ได้สำเร็จ ก็จะสามารถยกระดับสิทธิ์ หรือสั่งรันคำสั่งได้ตามที่ต้องการ (more…)

แรนซัมแวร์ตัวใหม่ชื่อ 'Buhti' ใช้โค้ดที่รั่วไหลออกมาของแรนซัมแวร์ LockBit และ Babuk ในการโจมตี ที่กำหนดเป้าหมายไปยังระบบปฏิบัติการ Windows และ Linux ผู้โจมตีที่อยู่เบื้องหลัง Buhti ในชื่อ 'Blacktail' ยังไม่ได้พัฒนาแรนซัมแวร์ด้วยตนเอง แต่สร้างเฉพาะยูทิลิตี้เพื่อใช้ในการขโมยข้อมูลสำหรับแบล็กเมล์เหยื่อ
Buhti ถูกพบครั้งแรกในเดือนกุมภาพันธ์ 2023 โดยทีม Unit 42 ของ Palo Alto Networks ซึ่งระบุว่าเป็นแรนซัมแวร์ที่กำหนดเป้าหมายไปยัง Linux ซึ่งพัฒนาโดยภาษา Go-based

รายงานที่เผยแพร่ในวันนี้โดยทีม Threat Hunter ของ Symantec แสดงให้เห็นว่า Buhti ยังมุ่งเป้าไปที่ Windows ด้วย โดยใช้ LockBit 3.0 ที่ถูกปรับเปลี่ยนในชื่อ "LockBit Black"

Blacktail ใช้เครื่องมือสำหรับสร้าง Windows LockBit 3.0 ที่รั่วไหลบน Twitter ในเดือนกันยายน 2022 ซึ่งเมื่อโจมตีสำเร็จจะเปลี่ยนวอลเปเปอร์ของคอมพิวเตอร์ที่ถูกโจมตีเพื่อให้เหยื่อเปิดบันทึกเรียกค่าไถ่ ในขณะที่ไฟล์ที่เข้ารหัสทั้งหมดจะได้ถูกต่อท้านนามสกุลด้วย ".buthi"

(more…)