พบเว็บไซต์ของมหาวิทยาลัย ชื่อดังแห่งหนึ่งถูกโจมตีโดยกลุ่มผู้ไม่ประสงค์ดี !!

ทีมผู้เชี่ยวชาญจาก SOSECURE พบผู้ไม่ประสงค์ดีทำการโจมตีเครื่อง Web Application Server ของมหาวิทยาลัย ชื่อดังแห่งหนึ่งในภาคใต้ โดยผู้ไม่ประสงค์ดีอาศัยช่องโหว่ของอุปกรณ์ IIS ที่มีเวอร์ชัน 8.5 ในการโจมตีครั้งนี้ ซึ่งทำให้ผู้ไม่ประสงค์ดีได้ทำการสร้างหน้าเพจใหม่ขึ้นมา (root.php) ในทุก ๆ Sub Domain ของมหาวิทยาลัยที่ใช้ IIS เวอร์ชันดังกล่าว ข้อแนะนำ 1. ดำเนินการ Update Patch ของ Software อยู่เป็นประจำ หมายเหตุ : ทางทีมไม่มีส่วนเกี่ยวข้องกับการกระทำดังกล่าว รวมถึงไม่มีเจตนาทำให้ผู้ใดผู้หนึ่งเสื่อมเสียชื่อเสียง เป็นเพียงการเตือนภัยให้กับผู้ที่เกี่ยวข้องเท่านั้นและไม่ส่งเสริมให้มีการกระทำความผิดตาม พรบ. คอมพิวเตอร์ใด ๆ ทั้งสิ้น #SosecureNews#ThaiCybersecurityNews#News#CyberNews
Read More

Clop ransomware กลับมา!!! โจมตีเหยื่อ 21 รายในเดือนเดียว

หลังจาก Clop ransomware ได้ถูกปิดการทำงานมาเป็นเวลาหลายเดือนระหว่างแล้ว ตอนนี้ Clop Ransomware กลับมาอีกครั้ง ตามที่นักวิจัยของ NCC Group กล่าว  NCC Group กล่าวว่า “Clop ransomware” กลับมาเป็นภัยคุกคามระดับต้นๆของภัยการโจมตี Ransomware โดยสังเกตเห็นได้หลังจากกลุ่มผู้ไม่ประสงค์ดี เพิ่มเหยื่อรายใหม่ 21 รายไปยังเว็บไซต์ของตนในเดือนเมษายนที่ผ่านมาโดยเป้าหมายการโจมตีของ Clop คือภาคอุตสาหกรรม โดย 45% ของการโจมตีด้วย Clop Ransomware โจมตีองค์กรอุตสาหกรรม และ 27% กำหนดเป้าหมายไปยังบริษัทเทคโนโลยี  คำแนะนำ  ควรหลีกเลี่ยงการดาวน์โหลดไฟล์จากเว็บหรืออีเมลที่น่าสงสัย  ควรสำรองข้อมูลที่สำคัญไว้บนระบบคลาวด์ (Cloud Platform)   ควรแสกนไวรัสในเครื่องอย่างสม่ำเสมอ  ควรตระหนักถึงภัยคุกคามทางไซเบอร์  ควรตรวจสอบไฟล์ที่ดาวน์โหลดมาก่อนติดตั้งหรือทำการคลิก สามารถตรวจสอบไฟล์ได้ที่(https://www.virustotal.com/gui/home/upload)  IOCS  SHA256s  e8d98621b4cb45e027785d89770b25be0c323df553274238810872164187a45f  8e91f3294883fbdc31ff17c3075f252cbfdc1fc9145c6238468847f86d590418  d1c04608546caf39761a0e390d8f240faa4fc821eea279f688b15d0b2cfc9729  3320f11728458d01eef62e10e48897ec1c2277c1fe1aa2d471a16b4dccfc1207  eba8a0fe7b3724c4332fa126ef27daeca32e1dc9265c8bc5ae015b439744e989 …
Read More

การกลับมาของกลุ่มแฮคเกอร์ APT32 พร้อมกับ TTPs ใหม่และไฟล์อันตราย

กวิจัยด้านภัยคุกคามค้นพบการโจมตีแบบใหม่ที่เกิดจากกลุ่มผู้ไม่ประสงค์ดีของอิหร่านที่รู้จักกันในชื่อ APT34 หรือ Oilrig โดยครั้งนี้ได้ใช้การโจมตีแบบ Spearphishing Email มุ่งเป้าไปที่นักการทูตชาวจอร์แดน โดยที่ผู้ส่งจะปลอมแปลงเป็นเพื่อนร่วมงานจากแผนกไอทีขององค์กรรัฐบาลเดียวกัน  ซึ่งอีเมลดังกล่าวจะมีไฟล์ Exel ที่เป็นโค้ดแมโคร VBA อันตรายแนบไปด้วย โดยโค้ดนี้ใช้สำหรับสร้างไฟล์สามไฟล์ คือ ไฟล์ปฏิบัติการที่เป็นอันตราย ไฟล์ที่ใช้กำหนดค่า และไฟล์ที่มี Sign และ DLL ที่ไม่อันตราย อีกทั้งยังค้นพบความผิดปกติอีกประการหนึ่งเกี่ยวข้องกับการดำเนินการ 2 Anti-analysis ที่ใช้ในมาโครอย่างการสลับการมองเห็นชีตในสเปรดชีตและอีกวิธีหนึ่งคือการตรวจสอบการเชื่อมต่อของเมาส์ ซึ่งอาจไม่มีอยู่ในบริการการวิเคราะห์มัลแวร์ของแซนด์บ็อกซ์  ตามที่กล่าวไว้ในตารางข้างต้น มาโครมีความสามารถในการสร้างไฟล์สามไฟล์ดังนี้   ไฟล์ปฏิบัติการที่เป็นอันตราย : %LocalAppData%\MicrosoftUpdate\update.exe   ไฟล์ที่ใช้กำหนดค่า : %LocalAppData%\MicrosoftUpdate\update.exe.config   ไฟล์ที่มี Sign และ DLL ที่ไม่อันตราย %LocalAppData%\MicrosoftUpdate\Microsoft.Exchange.WebServices.dll  แบบฟอร์มทั้งสามรูปแบบจะถูกเก็บไว้ในไฟล์ Excel โดยมีชื่อกำกับไว้พร้อมกับคำอธิบายดังภาพด้านบน ซึ่งคำอธิบายนี้ประกอบด้วยข้อมูลที่เข้ารหัส Base64 ไว้ นอกจากนี้ยังใช้มาโคร Excel…
Read More

พบโปรแกรมมัลแวร์ใหม่จากกลุ่ม Mustang Panda!!

ผู้เชี่ยวชาญพบกลุ่มผู้ไม่ประสงค์ดีที่ได้รับการสนับสนุนจากรัฐบาลจีนชื่อ Mustang Panda เป็นกลุ่มโจมตีที่ใช้รูปแบบ APT (Advanced Persistent Threat) เพื่อโจมตีหน่วยงานที่มีข้อมูลสำคัญ โดยการค่อยๆ เจาะระบบ แทรกซึม ลบร่องรอย และขโมยข้อมูลออกไป ซึ่งเป้าหมายในครั้งนี้อยู่ในทวีปเอเชีย สหภาพยุโรป รัสเซีย และสหรัฐอเมริกา   ส่วนใหญ่ผู้ไม่ประสงค์ดีกลุ่มนี้จะใช้เทคนิค Social engineering ในการหลอกเหยื่อด้วยการใช้เมลฟิชชิ่งเป็นหลักเพื่อเข้าถึงมัลแวร์ PlugX ซึ่งเป็น Backdoor ที่สามารถเข้าถึงได้จากระยะไกล โดยใช้ข้อความหลอกลวงปลอมเป็นหน่วยงานที่สำคัญในสหภาพยุโรป แล้วเมลรายงานข้อมูลความขัดแย้งในยูเครนที่กำลังดำเนินการอยู่ในขณะนี้ หรือรายงานข้อมูลที่เกี่ยวข้องกับรัฐบาลยูเครน แล้วทำการดาวน์โหลดมัลแวร์ PlugX ไปยังเครื่องที่บุกรุกได้   นอกจากนี้ยังมีเมลฟิชชิ่ง ที่กำหนดเป้าหมายไปยังหน่วยงานต่าง ๆ ในสหรัฐอเมริกา และหลายประเทศในทวีปเอเชีย เช่น เมียนมาร์ ฮ่องกง ญี่ปุ่น และไต้หวัน  มัลแวร์ PlugX มีฟีเจอร์อัปโหลด ดาวน์โหลด หรือแก้ไขไฟล์ รวมถึงการบันทึกการกดแป้นคีย์บอร์ด ควบคุมกล้องเว็บแคม และเข้าถึงคอมมานด์เชลล์ได้จากระยะไกล…
Read More