“Black Kingdom” Ransomware กำหนดเป้าหมายโจมตีไปยัง Microsoft Exchange ที่มีช่องโหว่

นักวิจัยของ MalwareTechBlog พบการโจมตีของ “Black Kingdom” Ransomware ใน Server Microsoft Exchange ผ่านช่องโหว่ ProxyLogon เพื่อปรับใช้ ransomware  จากบันทึกใน Honeypots ของนักวิจัย ระบุว่า Hacker ใช้ช่องโหว่ในการเรียกใช้สคริปต์ PowerShell เพื่อดาวน์โหลด Ransomware จาก ‘yuuuu44 [.] com’ จากนั้นส่งออกไปยังคอมพิวเตอร์เครื่องอื่นในเครือข่าย แต่ดูเหมือนว่า การโจมตีครั้งนี้อาจเป็นการโจมตีที่ล้มเหลว  อย่างไรก็ตามขึ้นอยู่กับการส่งไปยังเว็บไซต์ที่ระบุ ransomware “ID Ransomware” แคมเปญ Black Kingdom ได้เข้ารหัสอุปกรณ์ของเหยื่อรายอื่นโดยมีการส่งครั้งแรกเมื่อวันที่ 18 มีนาคม Michael Gillespie ผู้สร้าง ID Ransomware กล่าวว่าระบบของเขาได้เห็นการส่งข้อมูลที่ไม่ซ้ำกันกว่า 30 รายการไปยังระบบของเขาโดยมีหลายรายการที่ส่งโดยตรงจาก Server Email เมื่อเข้ารหัสอุปกรณ์ Ransomware จะเข้ารหัสไฟล์โดยใช้นามสกุลแบบสุ่มจากนั้นสร้างโน้ตเรียกค่าไถ่ชื่อ  decrypt_file.TxT ดังที่แสดงด้านล่าง นักวิจัยกล่าวว่า Ransomware ที่เรียกใช้งานได้ในปัจจุบันเป็นสคริปต์ Python ที่คอมไพล์เป็นไฟล์ปฏิบัติการของ Windows “Black Kingdom” Ransomware ตั้งแต่เดือนมิถุนายน 2020 ได้รับการเข้ารหัสด้วย Python Black Kingdom…
Read More

พบ Botnet “Mirai Variant” ตัวใหม่โจมตีอุปกรณ์ Network Security ที่มีช่องโหว่

เมื่อวันที่ 16 กุมภาพันธ์ 2564 ที่ผ่านมา นักวิจัยของ Paloalto พบการโจมตีของ Hacker โดยอาศัยช่องโหว่ของ อุปกรณ์ Network Security จำนวนมาก ได้แก่  เมื่อโจมตีสำเร็จ Hacker จะวาง Binary File ที่เป็นอันตราย ของ Botnet “Mirai variants” และ Binary File ยังสร้าง filter rules เพื่อทำการโจมตี Brute-force attacks  Binary File   lolol.sh: ดาวน์โหลดและเรียกใช้ Binary File “Dark” นอกจากนี้ยังกำหนด Schedules job เพื่อรันสคริปต์อีกครั้ง และ สร้าง Traffic rules ที่บล็อกการเชื่อมต่อขาเข้าผ่านพอร์ตทั่วไปสำหรับ SSH, HTTP, telnet  install.sh: ติดตั้ง ‘zmap’ network-scanner ดาวน์โหลด GoLang และไฟล์สำหรับเรียกใช้การโจมตีแบบ brute-force attack บน IP ของอุปกรณ์ที่พบโดย zmap  nbrute.[arch]: Binary File สำหรับทำการโจมตี brute-force attack  Combo.txt: ไฟล์ข้อความที่มี credentials เพื่อใช้ทำการโจมตี brute-force attack  dark.[arch]: Mirai-based binary ใช้สำหรับการเผยแพร่ผ่านช่องโหว่ หรือ ทำการโจมตี brute-force attack  คำแนะนำ  1.Update Patch อุปกรณ์ให้เป็น Version ปัจจุบัน  2.Block IP ทั้งหมดตามที่กล่าวไว้ใน IOC  ที่มา: https://www.bleepingcomputer.com/news/security/new-botnet-targets-network-security-devices-with-critical-exploits/,…
Read More

Microsoft พบ Malware ใหม่ที่ Hacker ใช้กับ SolarWinds

          นักวิจัยด้านความปลอดภัยกับ Microsoft Threat Intelligence Center (MSTIC) และทีมวิจัย Microsoft 365 Defender พบ Malware ใหม่สามตัวที่มีชื่อว่า GoldMax, Sibot, and GoldFinder.           Microsoft กล่าวว่า Malware แต่ละตัว มีความสามารถดังต่อไปนี้:           GoldMax: เป็น Malware ที่ใช้ Go-based Backdoor ในการควบคุมเพื่อซ่อนกิจกรรมอันตราย และเพื่อหลีกเลี่ยงการตรวจจับ นอกจากนี้ยังมีตัวสร้างการรับส่งข้อมูลเครือข่ายล่อเพื่อปกปิดการรับส่งข้อมูลเครือข่ายที่เป็นอันตรายด้วยการรับส่งข้อมูลที่ไม่เป็นอันตราย           Sibot: เป็น Malware ที่ใช้ VBScript ที่ใช้เพื่อรักษาสถานะและดาวน์โหลด Payload Malware เพิ่มเติมโดยใช้ Second-stage script           GoldFinder: มัลแวร์ที่ใช้ Go-based…
Read More

Python Update Patch แก้ไขช่องโหว่ Remote Code Execution !!!

Python Software Foundation (PSF) ได้ออก Python 3.9.2 และ 3.8.8 เพื่อแก้ไขช่องโหว่ Buffer Overflow ซึ่งอาจเป็นช่องทางให้ Hacker ใช้ทำการโจมตี Remote Code Execution รหัส CVE-2021-3177           Python 3.x ถึง 3.9.1 มี Buffer Overflow ใน PyCArg_repr ใน ctypes / callproc.c ซึ่งอาจนำไปการโจมตี Remote Code Execution ซึ่งช่องโหว่นี้เกิดจากการใช้ sprintf” อย่างไม่ปลอดภัย           ช่องโหว่ดังกล่าวเป็น Bug ของหน่วยความจำทั่วไปกับ RedHat Stack-based Buffer Overflow ทำให้โมดูล…
Read More

พบ Malware ของ Mac ที่กำหนดเป้าหมายชิป M1

นักวิจัยพบ Malware ที่ถูกปรับแต่งให้ทำงานบนชิป M1 ของ Apple บ่งบอกถึงการพัฒนาใหม่ที่บ่งชี้ว่าผู้ไม่ประสงค์ดีได้เริ่มปรับใช้ซอฟต์แวร์ที่เป็นอันตรายเพื่อกำหนดเป้าหมายไปยัง Mac  ส่วนขยาย Adware ของ Safari ที่เรียกว่า “GoSearch22. ซึ่งเดิมเขียนขึ้นเพื่อให้ทำงานบนชิป Intel x86 แต่ได้รับการปรับแต่งให้ทำงานบนชิป M1 ที่ใช้ ARM  นักวิจัยกล่าวว่าผู้ไม่ประสงค์ดีกำลังสร้าง Multi-architecture Applications เพื่อให้โค้ดของพวกเขาทำงานบนระบบ M1 ซึ่ง Application “GoSearch22” อาจเป็นตัวอย่างแรกของโค้ดที่เข้ากันได้กับ M1  Adware “GoSearch22” ปลอมตัวเป็นส่วนขยาย Browser “Safari” เพื่อรวบรวมข้อมูลการท่องเว็บ แสดงโฆษณาจำนวนมากเช่นแบนเนอร์และ Popup รวมถึงเชื่อมต่อไปยังเว็บไซต์ที่น่าสงสัยเพื่อเผยแพร่ Malware เพิ่มเติม คำแนะนำ ไม่ควรติดตั้งส่วนขยายของ Web Browser ที่ต้องสงสัย และ หากจำเป็นต้องติดตั้งส่วนขยายให้ตรวจสอบแหล่งที่มาให้แน่ชัดก่อนดำเนินการติดตั้ง ที่มา: https://thehackernews.com/2021/02/first-malware-designed-for-apple-m1.html
Read More

Intel เพิ่ม Feature ความปลอดภัยใหม่ใน Google Chrome และ Microsoft Edge

Web Browsers Google Chrome และ Microsoft Edge จะรองรับ Feature ด้านความปลอดภัย Control-flow Enforcement Technology (CET) ของ Intel ซึ่ง Feature CET นั้นถูกออกแบบมา เพื่อป้องกันโปรแกรมจากการโจมตี Return Oriented Programming (ROP) และ Jump Oriented Programming (JOP) ที่แก้ไข Flow ปกติของ Application เพื่อให้โค้ดที่เป็นอันตรายของผู้โจมตีทำงานแทน การโจมตีแบบ JOP หรือ ROP นั้นยากที่จะตรวจจับหรือป้องกันได้เนื่องจากผู้ไม่ประสงค์ดีใช้โค้ดที่เรียกจากหน่วยความจำปฏิบัติการ (Ram) เพื่อเปลี่ยนการทำงานของโปรแกรม ตอนนี้ Microsoft Edge รองรับ Feature CET แล้ว โดย…
Read More

HelloKitty ransomware อยู่เบื้องหลังการขโมยข้อมูล CD Projekt Red

Ransomware ที่ได้ทำการโจมตี CD Projekt Red มาจากกลุ่มที่ใช้ชื่อว่า “HelloKitty”  CD Project ได้ออกมาเปิดเผยว่าถูกโจมตีโดย ransomware ซึ่งได้ทำการเข้ารหัสเครื่องบนเครือข่ายและขโมยข้อมูลจากไฟล์บนเครื่อง  ข้อมูลเกี่ยวกับกลุ่ม HelloKitty            HelloKitty ransomware ได้ชื่อมาจาก mutex (Mutual Exclusive) ที่ชื่อ HelloKittyMutex ซึ่งถูกเรียกใช้งานเวลามัลแวร์ทำงาน    เมื่อเริ่มทำการโจมตี HelloKitty จะเรียกใช้งาน taskkill.exe เพื่อทำการหยุดโปรเซสที่เกี่ยวข้องกับโปรแกรมรักษาความปลอดภัย เซิร์ฟเวอร์อีเมลล์ เซิร์ฟเวอร์ฐานข้อมูล โปรแกรมสำรองข้อมูล และโปรแกรมบัญชี ตัวอย่างคำสั่งของ taskkill.exe : “C:\Windows\System32\taskkill.exe” /f /im postg* Ransomware ยังพยายามที่จะปิดวินโดวส์เซอร์วิสโดยใช้คำสั่ง net stop : “C:\Windows\System32\net.exe” stop MSSQLServerADHelper100  หลังจากที่ทำการปิดโปรเซสที่เกี่ยวข้องแล้วจะเริ่มทำการเข้ารหัสข้อมูลในเครื่อง เมื่อทำการเข้ารหัสจะทำการเพิ่ม .crypted ต่อเข้าไปที่ชื่อไฟล์   โน้ตของ ransomware จะถูกเปลี่ยนไปทุกๆครั้งขึ้นอยู่กับผู้ที่ตกเป็นเหยื่อ ในโน้ตจะแสดงข้อความจำนวนข้อมูลที่ถูกขโมย และบางครั้งยังรวมถึงชื่อบริษัท ซึ่งแสดงให้เห็นว่ากลุ่มผู้คุกคามได้เข้ามาสอดส่องในระบบเครือข่ายก่อนที่จะทำการโจมตี            ในโน้ตจะมี URL ไว้สำหรับให้ติดต่อเพื่อเจรจาต่อรองกับผู้คุกคามซึ่งจะถูกเปลี่ยนไปในทุกครั้ง  ณ เวลานี้ยังไม่มีวิธีที่จะถอดรหัสไฟล์ที่โดนเข้ารหัสจาก HelloKitty โดยไม่มีค่าใช้จ่ายได้  คำแนะนำ  – อัปเดตข้อมูลแอนตี้ไวรัสให้เป็นเวอร์ชั่นล่าสุดแล้วทำการสแกนเครื่อง  – ทำการสำรองข้อมูลแบบออฟไลน์เพื่อลดความเสียหายหากเครื่องติด ramsomware  – หากเป็นไปได้ให้ทำการจำกัดโปรแกรมที่สามารถใช้งานได้ (whitelisting) เพื่อป้องกันการเรียกใช้งานโปรแกรมแปลกปลอม  ที่มา : https://www.bleepingcomputer.com/news/security/hellokitty-ransomware-behind-cd-projekt-red-cyberattack-data-theft/
Read More

การโจมตีแบบฟิชชิ่งใหม่ใช้รหัสมอร์สเพื่อซ่อน URL ที่เป็นอันตราย

Samuel Morse และ Alfred Vail ได้คิดค้นรหัสมอร์สเพื่อใช้ในการส่งข้อความผ่านทางโทรเลข เมื่อใช้รหัสมอร์สตัวอักษรและตัวเลขแต่ละตัวจะถูกเข้ารหัสเป็นชุด ตั้งแต่สัปดาห์ที่แล้วผู้ก่อภัยคุกคามเริ่มใช้รหัสมอร์สเพื่อซ่อน URL ที่เป็นอันตรายในรูปแบบฟิชชิงเพื่อข้ามเกตเวย์อีเมล หลังจากเรียนรู้การโจมตีครั้งแรกจากโพสต์บน Reddit BleepingComputer สามารถค้นหาตัวอย่างการโจมตีเป้าหมายจำนวนมากที่มีการ Upload ไปยัง VirusTotal ตั้งแต่วันที่ 2 กุมภาพันธ์ 2021 การโจมตีแบบฟิชชิงเริ่มต้นด้วยอีเมลที่ปลอมแปลงให้เหมือนทําเป็นใบแจ้งหนี้สําหรับ บริษัท ที่มีหัวเรื่องอีเมลเช่น ‘Revenue_payment_invoice February_Wednesday 02/03/2021’อีเมลนี้มีไฟล์แนบ HTML ที่มีชื่อในลักษณะที่ดูเหมือนจะเป็นใบแจ้งหนี้ Excel สําหรับ บริษัท สิ่งที่แนบมาเหล่านี้มีชื่ออยู่ในรูปแบบ ‘[company_name]_invoice_[number]._xlsx.hTML. ‘   ตัวอย่างเช่น ถ้า BleepingComputer ถูกกําหนดเป้าหมาย สิ่งที่แนบมาจะถูกตั้งชื่อเป็น ‘bleepingcomputer_invoice_1308._xlsx.hTML. ‘ จะแจ้งว่าการลงชื่อเข้าใช้ของผู้ใช้ หมดเวลาและแจ้งให้ผู้ใช้ป้อนรหัสผ่านอีกครั้ง เมื่อผู้ใช้ป้อนรหัสผ่านแบบฟอร์มจะส่งรหัสผ่านไปยังเซิฟเวอร์ระยะไกลที่ผู้โจมตีสามารถรวบรวมข้อมูลประจําตัวในการเข้าสู่ระบบได้ การหลอกลวงแบบฟิชชิ่งมีความซับซ้อนมากขึ้นทุกวันเนื่องจากเกตเวย์อีเมลตรวจจับอีเมลที่เป็นอันตรายได้ดีขึ้น  ด้วยเหตุนี้ทุกคนต้องใส่ใจกับ URL และชื่อไฟล์แนบก่อนที่จะส่งข้อมูลใด ๆ หากมีสิ่งที่น่าสงสัยผู้รับควรติดต่อผู้ดูแลระบบเครือข่ายเพื่อตรวจสอบเพิ่มเติม  เนื่องจากอีเมลฟิชชิ่งนี้ใช้ไฟล์แนบที่มีนามสกุล xlxs และ HTML จึงเป็นสิ่งที่สําคัญเพื่อให้แน่ใจว่ามีการเปิดใช้งานนามสกุลไฟล์ Windows เพื่อให้มองเห็นไฟล์แนบที่น่าสงสัยได้ง่ายขึ้น  ที่มา :  https://www.bleepingcomputer.com/news/security/new-phishing-attack-uses-morse-code-to-hide-malicious-urls/ 
Read More

พบ “Kobalos” Linux malware ใหม่ที่ขโมย SSh credentials ของ Supercomputer

นักวิจัยพบ “Kobalos” Linux malware ใหม่ ที่กำหนดเป้าหมายไปที่ Supercomputer ทั่วโลกโดยการขโมย Credentials สำหรับ secure network โดยใช้ Software “OpenSSH” นักวิจัยกล่าวว่า Kobalos มี codebase ขนาดเล็ก แต่ซับซ้อนที่สามารถรันบนแพลตฟอร์ม UNIX อื่น ๆ (FreeBSD, Solaris) และ ยังพบ Artifacts ในระหว่างการวิเคราะห์ระบุว่าอาจมีตัวแปรสำหรับระบบปฏิบัติการ AIX และ Windows นักวิจัยได้ทำการ Scan Internet ทั่วโลก เพื่อค้นหาเหยื่อของ “Kobalos” พวกเขาค้นพบว่าระบบที่ถูกบุกรุก ได้แก่ Supercomputer, Server ที่ใช้สำหรับการวิจัย, ผู้จำหน่ายซอฟต์แวร์ด้านความปลอดภัยในอเมริกาเหนือ, Internet Service Provider รายใหญ่ในเอเชีย, หน่วยงานการตลาด…
Read More

พบ “DreamBus” Botnet กำหนดเป้าหมายการโจมตี Application ที่ทำงานบน Server Linux !!!!

นักวิจัยพบ “DreamBus” Botnet ที่ Hacker โจมตีผ่าน Application ที่ทำงานบน Server Linux เช่น PostgreSQL, Redis, Hadoop YARN, Apache Spark, HashiCorp Consul, SaltStack และ SSH Service นักวิจัยกล่าวว่า Malware นี้มีโครงสร้างแบบแยกส่วนและโมดูลมีอัตราการตรวจจับต่ำ มีพฤติกรรมเหมือน Worm ซึ่งมีประสิทธิภาพสูงสามารถแพร่กระจายไปยังระบบที่ไม่ได้เชื่อมต่อ internet โดยตรง โดยการสแกนช่วงซับเน็ตส่วนตัว RFC 1918 สำหรับระบบที่มีช่องโหว่ ซึ่งบางโมดูลได้รับการออกแบบมาเพื่อทำการโจมตี Brute-force บน Application ที่ทำงานบน Server Linux คุณสมบัติหลักของ “DreamBus” Botnet คือการขุด XMRig Monero cryptocurrency miner…
Read More