นอกจากกลุ่ม Sandworm และ APT28 หรือที่รู้จักกันในชื่อ Fancy Bear กลุ่มแฮ็กเกอร์ชาวรัสเซียอีกกลุ่มหนึ่งที่ได้รับการสนับสนุนจากรัฐบาล APT29 กำลังใช้ประโยชน์จากช่องโหว่ CVE-2023-38831 ใน WinRAR สำหรับการโจมตีทางไซเบอร์ (more…)

SideCopy กลุ่มแฮ็กเกอร์จากปากีสถาน ถูกพบว่ากำลังใช้ประโยชน์จากช่องโหว่ WinRAR โจมตีหน่วยงานรัฐบาลอินเดียเพื่อติดตั้งโทรจันที่สามารถควบคุมได้จากระยะไกล เช่น AllaKore RAT, Ares RAT และ DRat โดยนักวิจัยจากบริษัท SEQRITE ระบุว่า แคมเปญนี้เป็นการโจมตีแบบ multi-platform และถูกออกแบบมาเพื่อโจมตีระบบ Linux ด้วย Ares RAT

SideCopy ถูกพบมาตั้งแต่ปี 2019 เป็นอย่างน้อย และเป็นที่รู้จักจากการโจมตีหน่วยงานในอินเดีย และอัฟกานิสถาน ซึ่งถูกสงสัยว่าเป็นกลุ่มย่อยของ Transparent Tribe (หรือ APT36)

Satwik Ram Prakki นักวิจัยจาก SEQRITE ระบุในรายงานเมื่อวันที่ 6 พ.ย. 2023 ที่ผ่านมาว่าทั้ง SideCopy และ APT36 ใช้โครงสร้างพื้นฐาน และโค้ดการโจมตีร่วมกันเพื่อมุ่งเป้าไปที่หน่วยงานในอินเดียอย่างจริงจัง

เมื่อต้นเดือนพฤษภาคม SideCopy เชื่อมโยงกับแคมเปญฟิชชิ่งที่ใช้ประโยชน์จากเหยื่อซึ่งก็คือองค์กรการวิจัยและพัฒนาด้านการป้องกันประเทศ (DRDO) ของอินเดียเพื่อส่งมัลแวร์เข้าไปขโมยข้อมูล

ตั้งแต่นั้นมา SideCopy ก็มีส่วนเกี่ยวข้องกับการโจมตีแบบฟิชชิ่งที่มุ่งเป้าไปที่ภาคการป้องกันของอินเดียด้วยไฟล์แนบ ZIP เพื่อแพร่กระจาย Action RAT และโทรจันที่ใช้ .NET ตัวใหม่ ซึ่งรองรับคำสั่งที่แตกต่างกันได้ถึง 18 คำสั่ง

แคมเปญฟิชชิ่งใหม่ที่ตรวจพบโดย SEQRITE ประกอบไปด้วยกลุ่มการโจมตีที่แตกต่างกัน 2 กลุ่ม โดยแต่ละกลุ่มกำหนดเป้าหมายไปที่ระบบ Linux และ Windows

กลุ่มแรกใช้ ELF binary ภาษา Golang-based ซึ่งปูทางสำหรับ Ares RAT เวอร์ชัน Linux ที่สามารถค้นหาไฟล์, ถ่ายภาพหน้าจอ, ดาวน์โหลด-อัพโหลดไฟล์ และอื่น ๆ อีกมากมายได้

กลุ่มที่สองเกี่ยวข้องกับการใช้ประโยชน์จากช่องโหว่ CVE-2023-38831 ซึ่งเป็นช่องโหว่ด้านความปลอดภัยใน WinRAR เพื่อเรียกใช้โค้ดที่เป็นอันตราย ซึ่งนำไปสู่การติดตั้ง AllaKore RAT, Ares RAT และโทรจันอีก 2 รายการที่ชื่อว่า DRat และ Key RAT

Ram Prakki ระบุว่า AllaKore RAT มีฟังก์ชันในการขโมยข้อมูลระบบ, keylogging, จับภาพหน้าจอ, อัปโหลด และดาวน์โหลดไฟล์ และการเข้าถึงจากระยะไกลเพื่อส่งคำสั่ง และอัปโหลดข้อมูลที่ถูกขโมยไปยัง C2 Server

DRat สามารถแยกวิเคราะห์คำสั่งได้มากถึง 13 คำสั่งจาก C2 Server เพื่อรวบรวมข้อมูลระบบ ดาวน์โหลด และดำเนินการเพย์โหลดเพิ่มเติม และดำเนินการกับไฟล์อื่น ๆ

การพุ่งเป้าไปที่ระบบ Linux ไม่ใช่เรื่องบังเอิญ และอาจได้รับแรงบันดาลใจจากการตัดสินใจของอินเดียที่จะแทนที่ Microsoft Windows ด้วย Linux ที่เรียกว่า Maya OS ทั่วทั้งภาคส่วนของการป้องกันประเทศ

Ram Prakki ยังระบุอีกว่าการขยายเครื่องมือสำหรับการโจมตีช่องโหว่ zero-day ของกลุ่ม SideCopy โดยมุ่งเป้าไปที่องค์กรด้านการป้องกันประเทศของอินเดียอย่างต่อเนื่องด้วยโทรจัน เพื่อติดตั้ง Python RAT แบบ open-source ที่เรียกว่า Ares

 

ที่มา : thehackernews

 

Google เผยแพร่รายงานการพบกลุ่ม Hacker ที่ได้รับการสนับสนุนจากรัฐบาลหลายกลุ่ม ได้ทำการโจมตีโดยใช้ช่องโหว่ที่มีระดับความรุนแรงสูงใน WinRAR (CVE-2023-38831) อย่างต่อเนื่อง โดยมีเป้าหมายในการเรียกใช้คำสั่งที่เป็นอันตรายบนระบบของเป้าหมาย

WinRAR เป็นซอฟต์แวร์บีบอัด และจัดเก็บไฟล์ยอดนิยมสำหรับ Windows ที่มีผู้ใช้งานในปัจจุบันมากกว่า 500 ล้านคน (more…)

ช่องโหว่ Zero-day ของ WinRAR (CVE-2023-38831) กำลังถูกใช้ในการโจมตีอย่างต่อเนื่อง โดยผู้โจมตีจะหลอกล่อให้เหยื่อคลิกเปิดไฟล์ archive เพื่อติดตั้งมัลแวร์ ซึ่งอาจทำให้ Hacker สามารถขโมยบัญชีซื้อขายสกุลเงินดิจิทัลออนไลน์ได้ โดยนักวิจัยพบว่าช่องโหว่ดังกล่าวได้ถูกนำมาใช้ในการโจมตีมาตั้งแต่เดือนเมษายน 2023 เพื่อแพร่กระจายมัลแวร์ต่าง ๆ เช่น DarkMe, GuLoader และ Remcos RAT

CVE-2023-38831 เป็นช่องโหว่ Zero-day ของ WinRAR ที่ทำให้สามารถสร้างไฟล์ .RAR และ .ZIP ที่เป็นอันตราย ซึ่งแสดงไฟล์ที่ดูเหมือนไม่มีอันตราย เช่น รูปภาพ JPG (.jpg), ไฟล์ข้อความ (.txt), หรือเอกสาร PDF (.pdf) แต่เมื่อเหยื่อทำการเปิดไฟล์ดังกล่าว ช่องโหว่ก็จะทำการเรียกสคริปต์เพื่อติดตั้งมัลแวร์บนอุปกรณ์ โดย Group-IB เป็นผู้ค้นพบช่องโหว่ CVE-2023-38831 ในเดือนกรกฎาคม 2023 และได้ทำการเผยแพร่รายละเอียดข้อมูลของช่องโหว่ดังกล่าวแล้ว

โดยทาง BleepingComputer ได้ทดสอบเปิดไฟล์ที่เป็นอันตรายซึ่งถูกแชร์โดย Group-IB ซึ่งเป็นผู้ค้นพบแคมเปญการโจมตี ซึ่งพบว่าเพียงดับเบิลคลิกบน PDF ก็ทำให้ CMD script ถูกเรียกใช้งานเพื่อติดตั้งมัลแวร์ทันที

ปัจจุบันช่องโหว่ CVE-2023-38831 ได้รับการแก้ไขแล้วในอัปเดตแพตซ์ของ WinRAR เวอร์ชัน 6.23 ที่ออกมาในวันที่ 2 สิงหาคม 2023 ที่ผ่านมา โดยได้แก้ไขช่องโหว่ต่าง ๆ รวมถึงช่องโหว่ CVE-2023-40477 ที่สามารถดำเนินการคำสั่งเมื่อเปิดไฟล์ RAR ที่ถูกสร้างขึ้นมาเป็นพิเศษ

การมุ่งเป้าหมายไปที่ crypto traders

นักวิจัยจาก Group-IB ได้เผยแพร่รายงานการค้นพบช่องโหว่ WinRAR Zero-day ได้ถูกใช้เพื่อมุ่งเป้าหมายการโจมตีไปยังฟอรัมที่เกี่ยวกับ cryptocurrency โดย Hacker ได้ปลอมตัวเป็นผู้ที่มาให้ความรู้ และข้อมูลกลยุทธ์การซื้อขาย ซึ่งโพสต์ในฟอรัมจะมีการแนบลิงก์ไปยังไฟล์ WinRAR ZIP หรือ RAR ที่ถูกสร้างขึ้นมาเป็นพิเศษ ซึ่งประกอบด้วย PDF ไฟล์ข้อความ และรูปภาพ

โดยเอกสารที่แนบมานั้นจะมีชื่อที่ถูกโพสต์ในฟอรัม เช่น "กลยุทธ์ส่วนตัวที่ดีที่สุดในการแลกเปลี่ยนกับ Bitcoin" เพื่อหลอกล่อให้เหยื่อทำการดาวน์โหลด ซึ่งไฟล์อันตรายดังกล่าวได้ถูกเผยแพร่ในฟอรัมการซื้อขายสาธารณะกว่า 8 แห่ง ซึ่งแพร่ระบาดไปยังอุปกรณ์ของผู้ใช้งานที่ได้รับการยืนยันแล้วกว่า 130 ราย โดยขณะนี้ยังไม่ทราบจำนวนเหยื่อ และมูลค่าความเสียหายทางการเงินที่เกิดจากแคมเปญดังกล่าว

ขั้นตอนในการโจมตีประกอบไปด้วย

เมื่อเหยื่อทำการเปิดไฟล์ จะเห็นสิ่งที่ดูเหมือนเป็นไฟล์ที่ไม่เป็นอันตราย เช่น PDF โดยมีโฟลเดอร์ที่ตรงกับชื่อไฟล์เดียวกัน

เมื่อเหยื่อดับเบิลคลิกที่ PDF ช่องโหว่ CVE-2023-38831 จะทำการเรียกสคริปต์ในโฟลเดอร์ เพื่อติดตั้งมัลแวร์บนอุปกรณ์ในเวลาเดียวกัน ซึ่งสคริปต์เหล่านี้จะโหลดเอกสารหลอกล่อเพื่อไม่ให้เหยื่อเกิดความสงสัย

ช่องโหว่ดังกล่าวจะสร้างไฟล์เป็นพิเศษด้วยโครงสร้างที่ได้รับการปรับเปลี่ยนเล็กน้อยเมื่อเปรียบเทียบกับไฟล์ที่ปลอดภัย ซึ่งทำให้ฟังก์ชัน ShellExecute ของ WinRAR ได้รับ parameter ที่ไม่ถูกต้องเมื่อพยายามเปิดไฟล์ล่อ ส่งผลให้โปรแกรมข้ามไฟล์ที่ไม่เป็นอันตราย และค้นหา และเรียกใช้ CMD script แทน ดังนั้นแม้ว่าเหยื่อจะคิดว่าได้ทำการเปิดไฟล์ที่ปลอดภัย แต่โปรแกรมจะเปิดไฟล์อื่นขึ้นมาแทน

ซึ่ง CMD script จะทำการเรียกใช้ไฟล์ self-extracting (SFX) CAB เพื่อติดตั้งมัลแวร์ต่าง ๆ เช่น DarkMe, GuLoader และ Remcos RAT ลงบนเครื่องเหยื่อ เพื่อให้สามารถเข้าถึงได้จากระยะไกล

DarkMe malware มีความเชื่อมโยงกับกลุ่ม EvilNum ที่มีเป้าหมายทางการเงิน แต่ปัจจุบันยังไม่พบความเชื่อมโยงของกลุ่ม EvilNum และช่องโหว่ CVE-2023-38831

Remcos RAT เป็น malware ที่ทำให้ Hacker สามารถควบคุมอุปกรณ์ที่ถูกโจมตีได้อย่างมีประสิทธิภาพมากขึ้น รวมถึงการสั่งการจากระยะไกล, keylogging, การจับภาพหน้าจอ การจัดการไฟล์ และการทำ reverse proxy ช่วยเพิ่มความสามารถในการโจมให้ดียิ่งขึ้น

ดังนั้นผู้ใช้ WinRAR จึงควรอัปเดตให้เป็นเวอร์ชันล่าสุด คือ WinRAR version 6.23 เพื่อป้องกันการโจมตีจากช่องโหว่ดังกล่าวโดยด่วน

 

ที่มา : bleepingcomputer

ช่องโหว่ระดับความรุนแรงสูง ที่พึ่งได้รับได้รับการแก้ไขไปแล้วใน WinRAR ซึ่งเป็นโปรแกรม file archiver ที่ได้รับความนิยมสำหรับระบบปฏิบัติการ Windows มีผู้ใช้งานจำนวนมาก โดยช่องโหว่นี้สามารถทำให้ผู้โจมตีเรียกใช้คำสั่งบนคอมพิวเตอร์ได้ตามที่ต้องการ เพียงผู้ใช้งานเปิดไฟล์ archive ที่ถูกสร้างขึ้นมาโดยเฉพาะด้วย WinRAR ซึ่งช่องโหว่นี้มีหมายเลข CVE-2023-40477

ช่องโหว่นี้ถูกค้นพบโดยนักวิจัยชื่อ "goodbyeselene" จาก Zero Day Initiative ซึ่งได้รายงานช่องโหว่นี้ไปยังนักพัฒนา RARLAB เมื่อวันที่ 8 มิถุนายน 2023

ช่องโหว่ที่เกิดขึ้นเป็นผลจากการขาดการตรวจสอบความถูกต้องของข้อมูลที่ผู้ใช้ส่งเข้ามา ส่งผลให้เกิดการเข้าถึงหน่วยความจำเกินของพื้นที่ที่ถูกจัดสรรไว้ ซึ่งสถานการณ์นี้เกิดขึ้นภายในกระบวนการเข้ารหัสข้อมูลที่เรียกว่า "Recovery Volumes" โดยคำแนะนำด้านความปลอดภัยเกี่ยวกับช่องโหว่นี้ได้ถูกเผยแพร่ไว้บนเว็บไซต์ของ ZDI

เนื่องจากผู้โจมตีจำเป็นต้องหลอกให้เหยื่อเปิดไฟล์ archive ก่อน เป็นผลทำให้คะแนนความรุนแรงของช่องโหว่ลดลงเป็น 7.8 ตาม CVSS

อย่างไรก็ตาม ผู้โจมตียังมีโอกาสมากในการโจมตีที่อาจประสบความสำเร็จได้ เนื่องจากในทางปฏิบัติ การที่ผู้โจมตีจะหลอกล่อให้เหยื่อกระทำกิจกรรมที่ต้องการไม่ได้ยากจนเกินไป และด้วยจำนวนผู้ใช้ WinRAR ที่มีจำนวนมาก

การลดความเสียงที่เกิดขึ้นจากช่องโหว่นี้

บริษัท RARLAB ได้ปล่อยอัปเดต WinRAR เวอร์ชัน 6.23 ออกมาในวันที่ 2 สิงหาคม 2023 เพื่อแก้ไขช่องโหว่ CVE-2023-40477 ดังนั้นจึงแนะนำให้ผู้ใช้ WinRAR ดำเนินการอัปเดตเวอร์ชันความปลอดภัยที่มีอยู่ทันที

นอกเหนือจากการแก้ไข RAR4 recovery volumes ในเวอร์ชัน 6.23 เเล้ว ยังได้แก้ไขปัญหาเรื่องความผิดพลาดจากการสร้างไฟล์ archive ที่ถูกสร้างขึ้นอย่างเฉพาะเจาะจง ซึ่งเป็นช่องโหว่ที่มีระดับความรุนแรงสูงเช่นกัน

ปัจจุบัน Microsoft กำลังทดสอบการรองรับรูปแบบไฟล์ RAR, 7-Zip และ GZ โดยตรงในระบบปฏิบัติการ Windows 11 ดังนั้นซอฟต์แวร์ของผลิตภัณฑ์อื่นเช่น WinRAR จะไม่จำเป็นต้องใช้ในเวอร์ชันนี้ นอกจากจะต้องใช้คุณสมบัติขั้นสูงอื่น ๆ

สำหรับผู้ที่ยังคงต้องใช้ WinRAR ควรหมั่นอัปเดตซอฟต์แวร์อยู่เสมอ เนื่องจากช่องโหว่ที่คล้ายกันในอดีตเคยถูกผู้โจมตีใช้เพื่อติดตั้งมัลแวร์

นอกจากนี้ยังควรระมัดระวังเมื่อเปิดไฟล์ RAR และควรใช้เครื่องมือป้องกันมัลแวร์ที่สามารถสแกนไฟล์ archive ได้ เพื่อเป็นมาตรการรักษาความปลอดภัยที่ดีขึ้น

ที่มา : bleepingcomputer

นักวิจัยด้านความปลอดภัยจาก Vulnerability Lab พบช่องโหว่ของ WinRAR v5.21 โปรแกรมยอดนิยมในการใช้บีบอัดไฟล์
โดยช่องโหว่ดังกล่าวเป็นช่องโหว่ Remote Code Execution ช่องโหว่นี้อยู่ในออฟชั่นของการสร้างไฟล์แบบ Self-Extract (SFX) หรือการบีบไฟล์แบบไม่ต้องอาศัยโปรแกรมใดๆในการแตกไฟล์นั่นเอง
ผู้ไม่ประสงค์ดีสามารถใส่โค้ด HTML อันตรายลงในช่อง Text to display in SFX windows และบีบอัพไฟล์ดังกล่าว โดยจะส่งผลกระทบเมื่อผู้ใช้แตกไฟล์นั้น
อย่างไรก็ตาม Malwarebytes บริษัทด้านความมั่นคงปลอดภัยและซอฟต์แวร์จับมัลแวร์ชื่อดัง ออกมายืนยันแล้วว่ามีช่องโหว่ดังกล่าวจริง และยังไม่มีแพทช์ออกมาเพื่อแก้ไขช่องโหว่นี้
และแนะนำผู้ใช้ทั่วไปว่าหากเจอไฟล์ที่ต้องสงสัย และเครื่องของผู้ใช้งานมีโปรแกรม WinRAR SFX เวอร์ชั่น 5.21 ควรหลีกเลี่ยงการใช้งานไฟล์ดังกล่าว

ที่มา : thenextweb