PlugX Trojan ถูกพบว่าปลอมตัวเป็นเครื่องมือโอเพนซอร์สที่ใช้ตรวจสอบข้อผิดพลาดของ Windows ที่เรียกว่า x64dbg เพื่อหลบเลี่ยงการตรวจจับด้านความปลอดภัย และเข้าควบคุมระบบเป้าหมาย

โดย Buddy Tancio, Jed Valderama และ Catherine Loveria นักวิจัย Trend Micro ระบุในรายงานเมื่อสัปดาห์ที่ผ่านมาว่า "ไฟล์ดังกล่าวเป็นเครื่องมือโอเพนซอร์สที่ใช้สำหรับตรวจสอบข้อผิดพลาดบน Windows ในการตรวจสอบ kernel-mode, user-mode code, crash dumps, และ CPU registers"

PlugX หรือที่รู้จักกันในอีกชื่อว่า Korplug เป็น post-exploitation โมดูลที่มีความสามารถหลากหลาย เช่น การขโมยข้อมูล และความสามารถในการควบคุมเครื่องคอมพิวเตอร์ที่ถูกโจมตี

PlugX ถูกรายงานเป็นครั้งแรกในปี 2012 แต่ตัวอย่างตัวแรกของมัลแวร์ ถูกพบตั้งแต่เมื่อเดือนกุมภาพันธ์ 2008 จากรายงานของ Trend Micro ซึ่งในระหว่างนั้น PlugX ได้ถูกใช้โดยกลุ่มผู้โจมตีที่มีความเกี่ยวข้องกับรัฐบาลจีน รวมถึงกลุ่มอาชญากรรมทางด้านไซเบอร์ต่าง ๆ

หนึ่งในวิธีการหลักที่ PlugX ใช้คือ DLL side-loading เพื่อโหลด DLL ที่เป็นอันตรายจากซอฟแวร์ที่มี digital signed อย่างถูกต้อง ซึ่งในกรณีนี้คือเครื่องมือสำหรับ Debugging ที่ชื่อ x64dbg (x32dbg.

Citrix Systems ออกแพตซ์อัปเดตแก้ไขช่องโหว่ด้านความปลอดภัยระดับ Critical ซึ่งพบในผลิตภัณฑ์ Virtual Apps and Desktops และ Workspace Apps

โดยช่องโหว่ที่ได้รับการอัปเดต เป็นช่องโหว่ที่อาจทำให้ผู้โจมตีสามารถเข้าถึงเป้าหมายในแบบ local access เพื่อยกระดับสิทธิ์ และเข้าควบคุมระบบที่ได้รับผลกระทบได้

การยกระดับสิทธิ์เป็นหนึ่งในขั้นตอนที่สำคัญของการโจมตีทางไซเบอร์ เนื่องจากผู้โจมตีจำเป็นต้องได้รับสิทธิ์ที่สูงขึ้นสำหรับการขโมยข้อมูล, การปิดใช้งานซอฟต์แวร์รักษาความปลอดภัย หรือแพร่กระจายไปยังระบบอื่น ๆ ของเป้าหมายเพื่อโจมตีด้วยแรนซัมแวร์

ช่องโหว่ที่ Citrix ได้ออกประกาศให้ทำการอัปเดต

CVE-2023-24483 : ช่องโหว่ในการจัดการสิทธิ์ที่ไม่เหมาะสมซึ่งนำไปสู่การยกระดับสิทธิ์ไปยัง NT AUTHORITY\SYSTEM ส่งผลกระทบต่อ Citrix Virtual Apps and Desktops เวอร์ชันก่อน 2212, 2203 LTSR ก่อน CU2 และ 1912 LTSR ก่อน CU6
CVE-2023-24484 : ช่องโหว่ในการควบคุมการเข้าถึงที่ไม่เหมาะสมทำให้สามารถเขียน log files ไปยังไดเร็กทอรีที่ผู้ใช้ทั่วไปไม่ควรเข้าถึง ส่งผลกระทบต่อ Citrix Workspace App สำหรับ Windows เวอร์ชันก่อน 2212, 2203 LTSR ก่อน CU2 และ 1912 LTSR ก่อน CU6
CVE-2023-24485 : ช่องโหว่ในการการควบคุมการเข้าถึงที่ไม่เหมาะสมซึ่งนำไปสู่การยกระดับสิทธิ์ ส่งผลกระทบต่อ Citrix Workspace App สำหรับ Windows เวอร์ชันก่อน 2212, 2203 LTSR ก่อน CU2 และ 1912 LTSR ก่อน CU6
CVE-2023-24486 : ช่องโหว่ในการควบคุมการเข้าถึงที่ไม่เหมาะสมซึ่งนำไปสู่การยึดครองเซสชัน ส่งผลกระทบต่อแอป Citrix Workspace สำหรับ Linux เวอร์ชันก่อน 2302

โดย CVE-2023-24483 ถือได้ว่าเป็นช่องโหว่ที่รุนแรงที่สุดที่ได้รับการแก้ไขในครั้งนี้ โดย NT AUTHORITY\SYSTEM คือสิทธิ์การเข้าถึงระดับสูงสุดบน Windows ทำให้สามารถสั่งรันคำสั่งได้ตามที่ต้องการ สามารถเข้าถึงข้อมูลที่มีความสำคัญ และแก้ไขการกำหนดค่าระบบโดยไม่มีข้อจำกัด รวมไปถึงสามารถโจมตีไปยังระบบอื่น ๆ ที่อยู่ภายในเครือข่ายเดียวกันได้

การป้องกัน

Citrix แนะนำให้เร่งทำการอัปเดตผลิตภัณฑ์ที่ได้รับผลกระทบจากช่องโหว่ โดยอัปเดตไปยังเวอร์ชันดังต่อไปนี้

Citrix Virtual Apps และ Desktops 2212 และ version ที่ใหม่กว่า
Citrix Virtual Apps and Desktops 2203 LTSR CU2 และ cumulative updates ที่ใหม่กว่า
Citrix Virtual Apps and Desktops 1912 LTSR CU6 และ cumulative updates ที่ใหม่กว่า
Citrix Workspace App 2212 และ version ที่ใหม่กว่า
Citrix Workspace App 2203 LTSR CU2 และ cumulative updates ที่ใหม่กว่า
Citrix Workspace App 1912 LTSR CU7 Hotfix 2 (19.12.7002) และ cumulative updates ที่ใหม่กว่า
แอป Citrix Workspace สำหรับ Linux 2302 และ version ที่ใหม่กว่า

ที่มา : bleepingcomputer

Nevada ransomware ได้โปรโมตตัวเองบนฟอรัม RAMP darknet เมื่อวันที่10 ธันวาคม 2022 ที่ผ่านมา โดยเชิญชวนเหล่าHackersชาวรัสเซียและชาวจีนเข้าใช้งาน เพื่อรับส่วนแบ่ง85%จากค่าไถ่ที่ได้จากเหยื่อ รวมถึงยังให้ส่วนแบ่ง90%กับHackersที่สามารถโจมตี และนำข้อมูลเหยื่อมาเผยแพร่เป็นจำนวนมาก เพื่อเป็นรางวัลจูงใจรวมถึงยังสามารถให้ตรวจสอบการทำงานได้จากทุกที่และแสดงจุดยืนในการไม่ให้บริการแก่Hackersชาวตะวันตก (more…)

มัลแวร์สำหรับขโมยข้อมูลตัวใหม่ที่ใช้ภาษา Golang ชื่อว่า Titan Stealer กำลังถูกโฆษณาโดยผู้โจมตีผ่านช่องทาง Telegram

Karthickkumar Kathiresan และ Shilpesh Trivedi นักวิจัยด้านความปลอดภัยของ Uptycs ระบุในรายงานว่า “ผู้โจมตีสามารถขโมยข้อมูลที่หลากหลายจากเครื่อง Windows ที่ถูกโจมตี เช่น ข้อมูล credential บนเบราว์เซอร์, กระเป๋าเงินคริปโต, ข้อมูล FTP client, ข้อมูลบันทึกภาพหน้าจอ และรายละเอียดข้อมูลบนระบบของเหยื่อ”

ไททันถูกพัฒนามาในลักษณะการเป็น builder เพื่อช่วยให้ผู้โจมตีที่นำไปใช้สามารถปรับแต่งไบนารีของมัลแวร์เพื่อปรับเปลี่ยนฟังก์ชันการทำงาน รวมถึงข้อมูลที่ต้องการจะขโมยออกไปจากเครื่องของเหยื่อ

เมื่อเริ่มดำเนินการมัลแวร์จะใช้เทคนิคที่เรียกว่า process hollowing เพื่อ inject เพย์โหลดที่เป็นอันตรายลงในหน่วยความจำของ process ที่ทำงานอยู่ตามปกติเรียกว่า AppLaunch.

Git ได้ออกแพตช์แก้ไขช่องโหว่ด้านความปลอดภัยระดับ critical 2 รายการ ซึ่งอาจทำให้ผู้โจมตีสามารถสั่งรันโค้ดที่เป็นอันตรายได้จากระยะไกลจากช่องโหว่ heap-based buffer overflow

2 ช่องโหว่ที่ได้รับการแก้ไขคือ CVE-2022-41903 ใน Commit formatting mechanism และ CVE-2022-23521 ใน .gitattributes parser โดยได้รับการอัปเดตในช่วงวันพุธที่ผ่านมา

ส่วนช่องโหว่บน Windows ที่ส่งผลกระทบต่อ Git GUI หมายเลข CVE-2022-41953 ซึ่งเกิดจาก untrusted search path ที่อาจทำให้ผู้โจมตีที่ไม่ผ่านการพิสูจน์ตัวตนสามารถสั่งรันโค้ดที่เป็นอันตรายได้ ยังคงต้องรอแพตช์อัปเดตต่อไป แต่ผู้ใช้งานสามารถแก้ไขปัญหาชั่วคราวได้โดยการไม่ใช้ซอฟต์แวร์ Git GUI เพื่อ clone repositories หรือหลีกเลี่ยงการ cloning จาก sources ที่ไม่น่าเชื่อถือ

ช่องโหว่ที่มีผลกระทบรุนแรงที่สุดที่ค้นพบในครั้งนี้คือสามารถทำให้ผู้โจมตีสามารถ trigger a heap-based memory ระหว่างการ clone หรือ pull ข้อมูล ซึ่งอาจส่งผลให้เกิดการสั่งรันโค้ดที่เป็นอันตรายในระหว่างนั้นได้ และอีกกรณีหนึ่งคือการสั่งรันโค้ดระหว่างการ archive ซึ่งโดยปกติมักจะถูกดำเนินการโดย Git forges

นอกจากนี้ช่องโหว่อาจนำไปสู่ผลกระทบในด้านอื่น ๆ เช่น denial-of-service , out-of-bound reads หรือ badly handled ในกรณีมี input ขนาดใหญ่

คำแนะนำ

ปิดใช้งาน 'git archive' ใน repositories ที่ไม่น่าเชื่อถือ หรือหลีกเลี่ยงการเรียกใช้คำสั่งบน repos ที่ไม่น่าเชื่อถือ
หาก 'git archive' ถูกเข้าถึงได้ผ่าน 'git daemon' ให้ปิดการใช้งานเมื่อทำงานกับ repositories ที่ไม่น่าเชื่อถือโดยเรียกใช้คำสั่ง 'git config --global daemon.

ในช่วงต้นปีที่ผ่านมา ทีมงาน MalwareHunterTeam ค้นพบ Ransomware ชนิดใหม่ที่ยังไม่มีการระบุชื่อ ในช่วงแรกมีการใช้อีเมลเพื่อการเจรจาต่อรองกับเหยื่อ แต่ในปัจจุบันมีการรีแบรนด์ใหม่โดยใช้ชื่อว่า Trigona ซึ่งนอกจากการรีแบรนด์ใหม่แล้วยังมีการเปิดตัวเว็ปไซต์เพื่อเจรจากับเป้าหมายผ่าน Tor Browser อีกด้วย ซึ่งในปัจจุบันมีเหยื่อหลายรายที่ตกเป็นเป้าหมายของ Ransomware ชนิดนี้ มีทั้งบริษัทอสังหาริมทรัพย์ และหมู่บ้านในเยอรมนี

ลักษณะการทำงาน

ผู้เชี่ยวชาญจาก BleepingComputer วิเคราะห์ตัวอย่างล่าสุดของ Trigona พบว่ามีการใช้ Command Line ดังต่อไปนี้
/full
/!autorun
/test_cid
/test_vid
/path
/!local
/!lan
/autorun_only
/autorun_only
การเข้ารหัสไฟล์ Trigona จะทำการเข้ารหัสไฟล์ทั้งหมดบนอุปกรณ์ ยกเว้นไฟล์ที่อยู่ใน Folder เฉพาะ เช่น Windows และ Program Files
หลังจากเข้ารหัสเรียบร้อย Ransomware จะเปลี่ยนชื่อไฟล์ที่เข้ารหัสเพื่อใช้นามสกุล ._locked ตัวอย่างเช่น ไฟล์ 1.doc จะถูกเข้ารหัสและเปลี่ยนชื่อเป็น 1.doc.

นักวิจัยด้านความปลอดภัยทางไซเบอร์พบการโจมตีรูปแบบใหม่ และเฟรมเวิร์ก C2 ที่ชื่อว่า "Alchimist" ซึ่งดูเหมือนจะถูกใช้ในการโจมตีที่มุ่งเป้าไปยังระบบปฏิบัติการ Windows, Linux และ Mac OS

เฟรมเวิร์ก และไฟล์ทั้งหมดถูกเขียนขึ้นด้วยภาษาโปรแกรมมิ่งที่ชื่อว่า GoLang ซึ่งเป็นภาษาที่ทำให้ความเข้ากันได้ของโปรแกรมในแต่ละระบบปฏิบัติการต่าง ๆ ทำได้ง่ายขึ้นมาก

Alchimist มี web-based interface ที่ใช้ภาษาจีน ซึ่งคล้ายกันกับ Manjusaka ที่เป็นเฟรมเวิร์กที่ถูกใช้หลังการโจมตี (post-exploitation) ที่พึ่งถูกพบเมื่อเร็ว ๆ นี้ ซึ่งกำลังเป็นที่นิยมในกลุ่มแฮ็กเกอร์ชาวจีน

นักวิจัยของ Cisco Talos พบว่าทั้ง 2 เฟรมเวิร์คนั้นมีความคล้ายกัน แต่ก็มีความแตกต่างทางเทคนิคมากพอที่จะสรุปได้ว่าผู้เขียนเฟรมเวิร์คทั้งสองตัวต่างคนต่างพัฒนาเฟรมเวิร์กเหล่านี้

วิธีการสร้างการโจมตี

Alchimist ช่วยให้ผู้โจมตีมีเฟรมเวิร์กที่ใช้งานได้ง่าย ซึ่งช่วยให้สามารถสร้าง และกำหนดค่าเพย์โหลดที่ติดตั้งบนอุปกรณ์ที่ถูกโจมตี เพื่อบันทึกภาพหน้าจอจากระยะไกล สั่งรัน commands ต่าง ๆ และดำเนินการเรียกใช้ shellcode จากระยะไกลได้

เฟรมเวิร์กนี้ยังสนับสนุนการสร้าง mechanisms เพื่อติดตั้ง 'Insekt' (RAT) บนอุปกรณ์ของเหยื่อ และช่วยในการสร้าง PowerShell (สำหรับ Windows) และ wget (สำหรับ Linux) สำหรับการปรับใช้ RAT

 

เพย์โหลดของ Insekt สามารถกำหนดค่าได้บนอินเทอร์เฟซของ Alchimist โดยใช้พารามิเตอร์ต่าง ๆ เช่น C2 IP/URL แพลตฟอร์ม (Windows หรือ Linux) โปรโตคอล (TLS, SNI, WSS/WS)

 

C2 Address จะถูกกำหนดไว้ในฮาร์ดโค้ด และมี self-signed certificate ซึ่งสร้างขึ้นในระหว่างการคอมไพล์ โดย C2 จะส่งคำสั่ง Ping 10 ครั้งทุกวินาที และหากความพยายามในการเชื่อมต่อทั้งหมดไม่สำเร็จ มัลแวร์จะลองใหม่อีกครั้งหลังจากผ่านไปหนึ่งชั่วโมง

Insekt RAT

เซิร์ฟเวอร์ Alchemist C2 จะส่งคำสั่งเพื่อดำเนินการ ซึ่งเป็นการฝัง Insekt ที่ใช้ดำเนินการบนระบบ Windows และ Linux ที่ถูกโจมตี

พฤติกรรมที่เป็นอันตรายที่ Insekt สามารถทำได้:

รับข้อมูลขนาดไฟล์
รับข้อมูลระบบปฏิบัติการ
เรียกใช้คำสั่งโดยผ่าน cmd.

นักวิเคราะห์ด้านความปลอดภัยได้พบช่องโหว่ใน Microsoft Teams Application ที่ใช้งานกับ Desktop ทำให้ผู้โจมตีสามารถเข้าถึง Authentication Token และบัญชีที่เปิดใช้งาน Multi-Factor (MFA) ได้

Microsoft Teams เป็นแพลตฟอร์มการสื่อสารที่อยู่ในตระกูลผลิตภัณฑ์ 365 ซึ่งมีผู้ใช้งานมากกว่า 270 ล้านคนในการประชุมทางวิดีโอ และการจัดเก็บไฟล์

ปัญหานี้มีผลกระทบต่อ Application version ที่ใช้บน Windows, Linux และ Mac เนื่องจาก Authentication Token ของผู้ใช้งานใน Microsoft Teams จะถูกจัดเก็บเป็น clear text โดยไม่มีการป้องกันการเข้าถึง เพราะเหตุนี้จึงทำให้ผู้โจมตีสามารถขโมย Tokens แล้วใช้เพื่อเข้าสู่ระบบของเหยื่อได้

นักวิจัยระบุว่า "การเข้าควบคุมบัญชีที่สำคัญขององค์กร เช่น หัวหน้าฝ่ายวิศวกรรม CEO หรือ CFO" อาจส่งผลให้เกิดความเสียหายต่อองค์กรได้

นักวิจัยของ Vectra พบปัญหานี้ในเดือนสิงหาคม 2022 และรายงานไปยัง Microsoft แต่ Microsoft ไม่เห็นด้วย และยังระบุว่าไม่ตรงตามเกณฑ์ที่จำเป็นต้องทำการแก้ไข

รายละเอียดปัญหา

Microsoft Teams เป็นแอปในลักษณะ Electron ที่ทำงานในเบราว์เซอร์ พร้อมด้วยองค์ประกอบที่จำเป็นสำหรับหน้าเว็บปกติ (cookies, session strings, logs อื่นๆ)

ซึ่ง Electron ไม่รองรับการเข้ารหัส หรือการป้องกันการเข้าถึงไฟล์ ดังนั้นแม้ว่าเฟรมเวิร์กซอฟต์แวร์จะใช้งานได้หลากหลาย และใช้งานได้ง่าย แต่ก็ถือว่าความปลอดภัยไม่เพียงพอสำหรับการพัฒนาผลิตภัณฑ์ที่มีความสำคัญ เว้นแต่จะมีการปรับแต่งให้ครอบคลุมมากยิ่งขึ้น

Vectra ระบุว่า ขณะที่พยายามหาวิธีลบบัญชีที่ไม่มีการใช้งานออกจากแอปบนไคลเอ็นต์ เค้าพบไฟล์ ldb ที่มี access tokens เป็น clear text "เมื่อตรวจสอบก็พบว่า access tokens เหล่านี้ยังสามารถใช้งานได้ และไม่ใช่การ Dump error โดยไม่ได้ตั้งใจ และ Tokens เหล่านี้จะสามารถใช้เพื่อเข้าถึง Outlook และ Skype APIs" - Vectra

นอกจากนี้ นักวิเคราะห์พบว่าโฟลเดอร์ "Cookie" ยังมี Authentication Tokens ที่ใช้งานได้ พร้อมด้วยข้อมูลบัญชี ข้อมูลเซสชัน และข้อมูลการใช้งานต่าง ๆ

สุดท้าย Vectra ได้พัฒนาเครื่องมือที่ใช้สำหรับทดสอบช่องโหว่ผ่านทางการเรียกใช้ API ซึ่งอนุญาตให้ส่งข้อความถึงตัวเองได้ โดยการใช้ engine SQLite เพื่ออ่านฐานข้อมูลใน Cookies ซึ่งปรากฏว่าได้รับ Authentication Tokens เป็นข้อความใน chat window ตามภาพ

ช่องโหว่นี้สามารถถูกโจมตีด้วยมัลแวร์สำหรับขโมยข้อมูลซึ่งเป็นหนึ่งใน Paylods ที่นิยมมากที่สุดในแคมเปญฟิชชิ่ง

การใช้มัลแวร์ประเภทนี้ ผู้โจมตีจะสามารถขโมย Authentication Tokens ของ Microsoft Teams และเข้าสู่ระบบจากระยะไกลในฐานะผู้ใช้ bypass MFA และเข้าถึงบัญชีได้อย่างสมบูรณ์

ซึ่งผู้โจมตีมีการโจมตีลักษณะนี้กับแอปพลิเคชันอื่น ๆ อยู่แล้ว เช่น Google Chrome, Microsoft Edge, Mozilla Firefox, Discord และอื่น ๆ อีกมากมาย

การลดความเสี่ยง

ด้วยเหตุที่ยังไม่มีแพตช์สำหรับแก้ไข คำแนะนำของ Vectra คือให้ผู้ใช้สลับไปใช้ Microsoft Teams ที่เป็น Browser version แทน ผ่านทาง Microsoft Edge ซึ่งผู้ใช้จะได้รับการป้องกันเพิ่มเติมเพื่อป้องกันการรั่วไหลของ Tokens

นักวิจัยแนะนำผู้ใช้งาน Linux ให้ย้ายไปใช้โปรแกรมสำหรับ Online meeting อื่น ๆ โดยเฉพาะอย่างยิ่งเมื่อ Microsoft ประกาศแผนการที่จะหยุดสนับสนุนแอปสำหรับแพลตฟอร์ม Linux ภายในเดือนธันวาคม

สำหรับผู้ที่ไม่สามารถย้ายไปยังโซลูชันอื่นได้ในทันที สามารถเฝ้าระวังการที่เข้าถึงไดเร็กทอรีต่อไปนี้:

[Windows] %AppData%\Microsoft\Teams\Cookies
[Windows] %AppData%\Microsoft\Teams\Local Storage\leveldb
[macOS] ~/Library/Application Support/Microsoft/Teams/Cookies
[macOS] ~/Library/Application Support/Microsoft/Teams/Local Storage/leveldb
[Linux] ~/.config/Microsoft/Microsoft Teams/Cookies
[Linux] ~/.config/Microsoft/Microsoft Teams/Local Storage/leveldb

BleepingComputer ได้ติดต่อ Microsoft เกี่ยวกับแผนที่จะแก้ไขปัญหาดังกล่าว โดยเมื่อวันที่ 14 กันยายน 2565 โฆษกของ Microsoft ระบุว่า

"เทคนิคที่ใช้ ยังไม่ตรงกับมาตรฐานที่ต้องรีบดำเนินการแก้ไข เนื่องจากผู้โจมตีต้องสามารถเข้าถึงเครือข่ายเป้าหมายให้ได้ก่อน

ขอขอบคุณ Vectra Protect ในการระบุ และเปิดเผยปัญหานี้อย่างมีความรับผิดชอบ และจะพิจารณาแก้ไขดังกล่าวต่อไปในอนาคต"

ที่มา : bleepingcomputer

ทีม Cyber Security Incident Response (CSIRT) ของชิลีได้ออกมารายงานว่าถูกโจมตีด้วยแรนซัมแวร์ ส่งผลกระทบต่อการดำเนินงาน และบริการออนไลน์ของหน่วยงานรัฐบาลในประเทศ

รายละเอียดการโจมตี

การโจมตีเกิดขึ้นในวันพฤหัสบดีที่ 25 สิงหาคม 2565 โดยมีเป้าหมายคือ Microsoft Server และ VMware ESXi Server
บน ESXi Server แรนซัมแวร์เริ่มต้นโดยหยุดการทำงานของระบบที่เป็น VM ทั้งหมด จากนั้นใช้อัลกอริทึม NTRUEncrypt public key ในการเข้ารหัส โดยเป้าหมายคือไฟล์ประเภท log files (.log), executable files (.exe), dynamic library files (.dll), swap files (.vswp), virtual disks (. vmdk), snapshot (.vmsn) files, และ virtual machine memory (.vmem) files
เมื่อเข้ารหัสเรียบร้อยแล้ว ไฟล์นามสกุลจะถูกต่อท้ายด้วย ".crypt"
จากนั้นผู้โจมตีได้เสนอช่องทางให้รัฐบาลชิลีเพื่อชำระเงินค่าไถ่ โดยกำหนดเวลาไว้ที่ 3 วัน ก่อนมีการขายข้อมูลสู่ DarkWeb
ส่วนระบบปฏิบัติการ Windows มัลแวร์จะใช้ชื่อว่า SecurityUpdate โดยทำการเพิ่ม Reistry เพื่อให้ตัวมันทำงานทันทีหลังมีการเปิดเครื่อง

จากเหตุการณ์ดังกล่าว CSIRT ไม่ได้ชี้แจงว่าถูกมัลแวร์ชนิดใดโจมตี เพียงระบุว่ามัลแวร์ที่พบครั้งนี้มีฟังก์ชันสำหรับขโมยข้อมูลประจำตัวจากเว็บเบราว์เซอร์, แสดงรายการ Removable devices ที่สามารถเข้ารหัส และหลบเลี่ยงการตรวจจับการป้องกันไวรัสโดยใช้การตั้ง Time Out ในการ Execute File

แต่จากพฤติกรรมของมัลแวร์ พบว่าตรงกับแรนซัมแวร์ 'RedAlert' (หรือที่รู้จักว่า "N13V") ที่เปิดตัวไปเมื่อเดือนกรกฎาคม พ.ศ. 2565 ซึ่งปกติ RedAlert จะใช้ extension ".crypt" ในการโจมตี เป้าหมายหลักๆของแรนซัมแวร์ชนิดนี้คือ Windows และ VMWare ESXi Server ส่วนลักษณะการทำงานก็ตรงกับที่รัฐบาลชิลีพบ คือจะหยุดการทำงานของระบบ VM ทั้งหมดก่อนที่จะเข้ารหัส นอกจากนี้ยังใช้อัลกอริทึม NTRUEncrypt public key ในการเข้ารหัส

อย่างไรก็ตามผู้เชี่ยวชาญจาก BleepingComputer ได้ยืนยันจากข้อมูลที่ได้รับว่า Ransomware นี้ไม่มีการสร้างไฟล์เรียกค่าไถ่ขณะเข้ารหัส แต่ใช้การวางไฟล์ก่อนเข้ารหัสแทน คาดว่าเป็นวิธีการหนึ่งที่ใช้ในการปกปิดตัวตนของผู้โจมตี นอกจากนี้ยังใช้วิธีสร้างลิงก์ไปยังเว็บไซต์ที่ไม่ซ้ำกันในเครือข่าย Tor Browser และต้องระบุรหัสผ่านเพื่อเข้าสู่ระบบด้วย

แนวทางการป้องกัน

ตั้งค่า Policy บน Firewall และ Antivirus ให้เหมาะสม
Update Patch VMware และ Microsoft ให้เป็นเวอร์ชันล่าสุด
Backup ข้อมูลอยู่สม่ำเสมอ
สร้าง Awareness ให้กับพนักงาน
จำกัดการเข้าถึงเครือข่าย และกำหนดสิทธิ์การเข้าถึงระบบต่างๆ
ติดตามข่าวสารอย่างสม่ำเสมอ

IOC

ที่มา : bleepingcomputer

Microsoft ออกแพตช์อัปเดตเดือนสิงหาคม 2022 "Patch Tuesday" เพื่อแก้ไขช่องโหว่ Zero-day บน Windows ที่ถูกเผยแพร่ออกสู่สาธารณะ และกำลังถูกใช้โจมตีอยู่ในปัจจุบัน โดยช่องโหว่มีหมายเลข CVE-2022-34713 และถูกเรียกว่า DogWalk โดยช่องโหว่เป็นลักษณะ path traversal บน Windows Support Diagnostic Tool (MSDT) ที่ทำให้ผู้โจมตีสามารถใช้ประโยชน์จากช่องโหว่เพื่อสั่งรันโค้ดที่เป็นอันตรายจากระยะไกลได้ โดยผู้โจมตีอาจใช้วิธีการส่งไฟล์ .diagcab ที่ถูกสร้างขึ้น เพื่อหลอกให้ผู้ใช้งานเปิดใช้งานผ่านทางอีเมลล์ หรือดาวน์โหลดผ่านหน้าเว็ปไซต์ โดยมันจะทำงานโดยอัตโนมัติ หลังจากมีการรีสตาร์ทระบบ และทำการดาวน์โหลดเพย์โหลดของมัลแวร์อื่นๆเพิ่มเติม

DogWalk ได้รับการเผยแพร่ออกสู่สาธารณะโดย Imre Rad นักวิจัยด้านความปลอดภัยเมื่อสองปีที่แล้วในเดือนมกราคม 2020 แต่ Microsoft แจ้งว่าช่องโหว่ดังกล่าวจะไม่มีการแก้ไข เนื่องจาก Microsoft มองว่าไม่ได้เป็นปัญหาทางด้านความปลอดภัย แต่อย่างไรก็ตามช่องโหว่ Microsoft Support Diagnostics Tool ดังกล่าวถูกพบอีกครั้งเมื่อเร็วๆ นี้ และถูกรายงานโดยนักวิจัยด้านความปลอดภัย j00sean

จากข้อมูลของ Microsoft DogWalk จะมีผลกับ Windows ทุกรุ่น รวมถึงไคลเอนต์ และเซิร์ฟเวอร์เวอร์ชันล่าสุด Windows 11 และ Windows Server 2022 โดยรวมแล้ว Microsoft ได้แก้ไขช่องโหว่ 112 รายการในเดือนสิงหาคม 2022 ซึ่งรวมถึงช่องโหว่ที่สำคัญ 17 รายการ ที่สามารถสั่งรันโค้ดที่เป็นอันตรายจากระยะไกล และยกระดับสิทธิ์ได้

ที่มา : bleepingcomputer