คลังเก็บป้ายกำกับ: มัลแวร์

โม้อีกแล้ว! Thales สืบสวนพบว่าไม่ได้ถูกโจมตีอย่างที่ LockBit กล่าวอ้าง

จากการสืบสวนของบริษัท Thales ไม่พบหลักฐานว่าแรนซั่มแวร์ LockBit สามารถโจมตีบริษัทได้เป็นผลสำเร็จ หลังจากที่กลุ่มแรนซั่มแวร์นี้ทำทีโพสต์ว่ามีข้อมูลที่จารกรรมมาได้จาก Thales ตามเว็บบอร์ดแฮ็กเกอร์และตลาดมืดต่างๆ

โดยเมื่อวันอังคารที่ผ่่านมา บริษัทข้ามชาติจากฝรั่งเศสนี้ได้ออกประกาศเป็นทางการว่า จากที่เห็นโพสต์ต่างๆ บนเว็บมืดที่มาจากกลุ่มแรนซั่มแวร์ LockBit 3.0 อ้างว่าได้ข้อมูลที่ดูดมาจาก Thales พร้อมขู่จะโพสต์เปิดเผยสาธารณะในวันที่ 7 พฤศจิกายนที่จะถึงนี้นั้น

ทางบริษัทได้รีบแจ้งทางสำนักความปลอดภัยของข้อมูลแห่งฝรั่งเศสหรือ ANSII พร้อมร่วมดำเนินการสืบสวนภายในทันที อย่างไรก็ตาม ผลการสืบสวนพบว่า ไม่เจอหลักฐานร่องรอยของการจารกรรมข้อมูลแต่อย่างใด หรือแม้แต่ร่องรอยการบุกรุกเข้าระบบของบริษัท

และจนถึงตอนนี้ กลุ่มดังกล่าวก็ยังไม่ได้โพสต์อะไรที่เป็นหลักฐานชี้ว่าแฮ็ก Thales ได้เลย ที่สำคัญ บริษัทก็ไม่ได้รับการแจ้งให้จ่ายค่าไถ่โดยตรงเลยด้วย ซึ่งอาจจะเหมือนกรณีเมื่อมิถุนายนที่กลุ่มนี้อ้างว่าเจาะ Mandiant ได้ แต่ก็ไม่มีหลักฐานหรือโพสต์ข้อมูลหลุดเมื่อถึงเดดไลน์แต่อย่างใด

อ่านเพิ่มเติมที่นี่

from:https://www.enterpriseitpro.net/lockbit-repeats-pr-stunt-as-thales-ransomware-investigation/

Malwarebytes เกิดปัญหาผิดพลาดในการ บล็อกกูเกิ้ลและยูทูป โดยคิดว่าเป็นมัลแวร์

Malwarebytes ออกมายอมรับว่าเกิดปัญหาที่ไปบล็อกผู้ใช้จากการเข้าถึงเว็บไซต์และบริการต่างๆ ที่โฮสต์บนโดเมนของกูเกิ้ล ที่รวมถึงตัวเสิร์ช Google.com และ YouTube จนมีคนเดือดร้อนร้องเรียนเข้ามาเป็นจำนวนมาก

จากที่มีเหตุการณ์หลายคนแชร์มาพบว่า แต่ละคนจะโดนการแจ้งเตือนมัลแวร์ถี่มาก ที่ต่างชี้ไปยังซับโดเมนของ Google.com ว่ามีมัลแวร์หลังจาก Malwarebytes อัปเดตล่าสุด อุปกรณ์อื่นที่ไม่ได้ใช้ Malwarebytes ก็ไม่มีปัญหาอะไร จนทนไม่ไหวต้องปิดการปกป้องเว็บเรียลไทม์ ความสงบสุขถึงกลับมา

Malwarebytes รีบออกมาทวีตอธิบายหลังได้รับรายงานถาโถมเข้าใส่ว่า เป็นปัญหาชั่วคราวที่เกิดกับโมดูลตัวคัดกรองเว็บ จนทำให้เกิด False Positive แบบนี้ พร้อมให้ทางแก้ชั่วคราวไปก่อนด้วยการปิดออพชั่น Web Protection ในหน้า Real Time Protection

ถัดมาอีกชั่วโมงนึง ผู้ผลิตนำโดยรองประธาน Michael Sherwood ก็ออกมาประกาศในเว็บบอร์ดบริษัทว่า ได้แก่ไขปัญหาเรียบร้อยแล้ว ผู้ใช้ทุกคนน่าจะได้รับตัวอัปเดตฐานข้อมูลปกป้องเว็บใหม่ (1.0.60360) ที่กำจัด False Positive ออกไปได้

อ่านเพิ่มเติมที่นี่ – Bleepingcomputer

from:https://www.enterpriseitpro.net/malwarebytes-mistakenly-blocks-google/

ตัวโหลดมัลแวร์ Bumblebee กำลังเป็นที่นิยมในการเจาะเซอร์วิส Active Directory

ตัวโหลดมัลแวร์ที่รู้จักกันในชื่อ Bumblebee กำลังเป็นที่นิยมในหมู่แฮ็กเกอร์ที่เกี่ยวข้องกับโทรจัน BazarLoader, TrickBot, และ IcedID เพื่อใช้เจาะเข้าเครือข่ายของเหยื่อสำหรับเล่นงานในรูปแบบต่างๆ ในขั้นตอนต่อๆ ไป

โดยนักวิจัยจาก Cybereason คุณ Meroujan Antonyan และ Alon Laufer ได้ระบุในรายงานว่า “แฮ็กเกอร์ใช้ Bumblebee ในการสแกนข้อมูลเหยื่ออย่างละเอียด พร้อมทั้งรีไดเรกต์ข้อมูลที่ได้ไปยังไฟล์อื่นเพื่อดูดข้อมูลออกไปใช้อีกทีหนึ่ง”

พบความเคลื่อนไหว Bumblebee ครั้งแรกเมื่อมีนาคมที่ผ่านมา เมื่อทาง Threat Analysis Group (TAG) ของทางกูเกิ้ลตรวจเจอการเจาะระบบด่านแรก (Initial Access) ของตัว Exotic Lily ที่เกี่ยวข้องกับทั้ง Trickbot และ Conti โดยใช้แคมเปญหลอกลวงแบบ Spear-phishing เป็นหลัก

อย่างการส่งไฟล์เอกสารที่ฝังมาโครที่น่าจะเป็นสาเหตุสำคัญในการทำให้ไมโครซอฟท์ตัดสินใจบล็อกมาโครโดยดีฟอลต์ในเวลาต่อมา การส่งเมลฟิชชิ่งที่มีไฟล์แนบหรือลิงค์ดาวน์โหลด Bumblebee นี้ มีทั้งการล่อให้แตกไฟล์โดยตรง, ให้เมาท์ไฟล์อิมเมจ ISO, หรือให้คลิกไฟล์ลิงค์ชอร์ทคัท (LNK) ที่นำไปสู่การรันตัว Bumblebee อีกทอดหนึ่ง

อ่านเพิ่มเติมที่นี่ – THN

from:https://www.enterpriseitpro.net/hackers-using-bumblebee-loader-to-compromise-active-directory-services/

เซิร์ฟเวอร์ Microsoft Exchange ทั่วโลกกำลังถูกเจาะประตูหลังด้วยมัลแวร์ตัวใหม่

เหล่าผู้โจมตีกำลังใช้มัลแวร์ที่ถูกค้นพบล่าสุดในการเจาะประตูหลังบนเซิร์ฟเวอร์ Microsoft Exchange ของหน่วยงานภาครัฐ หรือแม้แต่หน่วยงานทางทหารหลายแห่งทั้งในภูมิภาคยุโรป ตะวันออกกลาง เอเชีย และแอฟริกา

มัลแวร์ตัวนี้ถูกตั้งชื่อว่า SessionManager โดยนักวิจัยด้านความปลอดภัยของ Kaspersky ที่ค้นพบความเคลื่อนไหวของมัลแวร์นี้ครั้งแรกเมื่อช่วงต้นปี ในรูปของโมดูลที่ใช้โค้ดแบบนาทีฟที่เป็นอันตรายสำหรับใช้กับซอฟต์แวร์เว็บเซิร์ฟเวอร์ Internet Information Services (IIS) ของไมโครซอฟท์

ก่อนหน้านี้มีการใช้งานมัลแวร์นี้ในวงกว้างโดยไม่ถูกตรวจจับอย่างน้อยตั้งแต่มีนาคม 2021 ตั้งแต่หลังขบวนการโจมตี ProxyLogon ครั้งใหญ่ ซึ่งทาง Kaspersky ออกมาเผยเมื่อวันพฤหัสว่า “SessionManager ช่วยให้ผู้โจมตีฝังรากลึกบนระบบเหยื่อได้”

“ไม่อ่อนไหวต่อการถูกอัพเดทระบบ ช่วยให้เข้าถึงระบบต่างๆ ของเหยื่อได้โดยไม่ถูกตรวจจับ โดยเมื่อเข้าถึงระบบของเหยื่อแล้ว อาชญากรไซเบอร์ที่อยู่เบื้องหลังจะสามารถเข้าถึงอีเมลขององค์กร และเพิ่มการเข้าถึงได้อีกด้วยการติดตั้งมัลแวร์ตัวอื่นๆ หรือจัดการเซิร์ฟเวอร์ที่ควบคุมไว้ได้แบบเงียบๆ”

อ่านเพิ่มเติมที่นี่ – Bleepingcomputer

from:https://www.enterpriseitpro.net/microsoft-exchange-servers-worldwide-backdoored-with-new-malware/

เตือนภัย! ตรวจพบแอปอันตรายแฝง Malware, Adware และ Riskware บน Google Play Store

แม้ว่าร้านแอปอย่าง Google Play Store จะมีการตรวจสอบและป้องกันดีแค่ไหน แต่ก็ยังมีแอปอันตรายที่แฝง Malware เล็ดรอดเข้ามาได้เป็นพัก ๆ อยู่ดี ซึ่งทาง Google เองก็คอยสแกนและลบแอปเหล่านั้นออกไปจาก Play Store อยู่เรื่อย ๆ โดยล่าสุดได้มีการตรวจพบแอปแฝงมัลแวร์เหล่านั้นอีก และพบว่ามีผู้ใช้งานดาวน์โหลดไปติดตั้งรวมกันกว่า 2 ล้านครั้งเข้าไปแล้ว

แอปแฝงมัลแวร์ที่ถูกปล่อยลง Google Play Store ซึ่งมีการตรวจเจอโดย Doctor Web พบว่าแอปเหล่านี้ถูกแฝงมาทั้ง Malware ที่มีความสามารถในการรบกวนระบบเครื่อง หรือเข้าถึงส่วนต่าง ๆ ของระบบได้ Riskware มีความสามารถในการเจาะระบบความปลอดภัยของมือถือ Adware ที่อาจจะดูไม่ค่อยอันตราย แต่สร้างความรำคาญด้วยโฆษณาที่จะเด้งขึ้นมาบนหน้าจอมือถืออยู่เรื่อย ๆ

ซึ่งแอปที่มีซอฟท์แวร์อันตรายพวกนี้แฝงอยู่บน Google Play Store บางแอปก็ถูก Google ลบทิ้งพร้อมแบนบัญชีผู้พัฒนาไปแล้ว แต่พบว่ามีอีกอย่างน้อย 5 แอป ที่ยังคงอยู่บน Play Store และถูกดาวน์โหลดไปแล้วกว่า 2 ล้านครั้งด้วย โดยแอปอันตรายที่ตรวจพบมีรายชื่อดังนี้

Wild & Exotic Animal Wallpaper : แอปรวมภาพ Wallpaper สัตว์ ที่เมื่อติดตั้งแล้วจะเปลี่ยนชื่อแอปตัวเองเป็น SIM Tool Kit พร้อมกับเปลี่ยนไอค่อนให้ดูเรียบ ๆ ไม่เตะตา แต่มันถูกแฝงไว้ด้วย Adware ไว้คอยหาเงินจากโฆษณา

Magnifier Flashlight : แอปไฟฉายแฝง Adware พอติดตั้งแล้วจะซ่อนไอค่อนไว้ จากนั้นก็หาเงินด้วยโฆษณาที่เด้งบนจอมือถือของผู้ใช้

PIP Pic Camera Photo Editor : แอปแต่งภาพที่ถูกดาวน์โหลดไปแล้วกว่าล้านครั้ง แฝงตัวมาด้วย Trojan ที่สามารถขโมยพาสเวิร์ด Facebook ได้

ZodiHoroscope : แอปหมอดูที่สามารถขโมยพาสเวิร์ด Facebook ได้ มีคนดาวน์โหลดไปแล้วกว่า 5 แสนครั้ง

PIP Camera 2022 : แอปกล้องที่สามารถขโมยพาสเวิร์ด Facebook ได้ มีคนดาวน์โหลดไปแล้วกว่า 5 หมื่นครั้ง

Driving Real Race : เกมแข่งรถที่มากับมัลแวร์สมัครบริการเสียเงินให้เอง

Recovery : แอปกู้ข้อมูล (ปลอม) มากับมัลแวร์สมัครบริการเสียเงินให้เอง

ใครที่คุ้น ๆ ว่าเคยดาวน์โหลดแอปเหล่านี้มาติดตั้งไว้ ก็ไปสแกนดูกันให้ดี ๆ นะครับ ถ้าเกิดเจอขึ้นมาก็รีบไปเปลี่ยน Password บริการต่าง ๆ ในมือถือซะเลย แล้วก็อย่าลืมไปลบแอปทิ้งซะด้วย…ส่วนวิธีเบื้องต้นในการป้องกันแอปพวกนี้ ง่าย ๆ เลยก็คือคอยเช็ครีวิวก่อนติดตั้งให้ดี ๆ เพราะบางแอปอาจได้คะแนนเยอะ แต่รีวิวดูเชื่อถือไม่ได้เหมือนใช้บอทพิมพ์ หรือเป็นหน้าม้าที่ใช้ชื่อง่าย ๆ สั้น ๆ นั่นเองครับ

 

ที่มา : Phonearena

from:https://droidsans.com/malware-apps-found-google-play-store/

Citrix เตือนบั๊กร้ายแรงที่ทำให้โดนรีเซ็ตรหัสแอดมินได้

Citrix ประกาศแจ้งเตือนลูกค้าให้รีบติดตั้งตัวอัพเดตด้านความปลอดภัย เพื่อแก้ไขช่องโหว่ร้ายแรงบนโซลูชั่นผ่านหน้าเว็บอย่าง Citrix Application Delivery Management (ADM) ที่ปล่อยให้ผู้โจมตีสั่งรีเซ็ตรหัสผ่านของแอดมินได้

Citrix ADM เป็นคอนโซลศูนย์กลางผ่านคลาวด์สำหรับจัดการระบบของ Citrix ทั้งฝั่ง On-premises และบนคลาวด์ ไม่ว่าจะเป็น Citrix Application Delivery Controller (ADC), Citrix Gateway, หรือ Citrix Secure Web Gateway

ช่องโหว่นี้พบบนทุกเวอร์ชั่นของ Citrix ADM ทั้งตัวเซิร์ฟเวอร์และเอเจนต์ (เช่น Citrix ADM 13.0 ที่เป็นเวอร์ชั่นก่อนหน้า 13.0-85.19 และ Citrix ADM 13.1 ตัวก่อนหน้า 13.1-21.53) การเปิดช่องให้รีเซ็ตรหัสแอดมินนี้สามารถทำได้จากระยะไกล

ผลกระทบที่เกิดขึ้นนอกจากการบังคับรีเซ็ตรหัสแอดมินเมื่อรีบูทอุปกรณ์ครั้งถัดไปแล้ว ยังเปิดให้ผู้โจมตีเข้าถึงผ่าน ssh ด้วยรหัสแอดมินดีฟอลต์ของอุปกรณ์หลังรีเซ็ตด้วย สำหรับแพ็ตช์นี้ถ้าเป็นบริการผ่านคลาวด์จะแก้ไขให้แล้ว แต่เวอร์ชั่น On-premises จำเป็นต้องให้ลูกค้ารีบติดตั้งเอง

อ่านเพิ่มเติมที่นี่ – Bleepingcomputer

//////////////////

สมัครสมาชิก Enterprise ITPro เพื่อรับข่าวสารด้านไอที

form#sib_signup_form_4 {
padding: 5px;
-moz-box-sizing:border-box;
-webkit-box-sizing: border-box;
box-sizing: border-box;
}
form#sib_signup_form_4 input[type=text],form#sib_signup_form_4 input[type=email], form#sib_signup_form_4 select {
width: 100%;
border: 1px solid #bbb;
height: auto;
margin: 5px 0 0 0;
}
form#sib_signup_form_4 .sib-default-btn {
margin: 5px 0;
padding: 6px 12px;
color:#fff;
background-color: #333;
border-color: #2E2E2E;
font-size: 14px;
font-weight:400;
line-height: 1.4285;
text-align: center;
cursor: pointer;
vertical-align: middle;
-webkit-user-select:none;
-moz-user-select:none;
-ms-user-select:none;
user-select:none;
white-space: normal;
border:1px solid transparent;
border-radius: 3px;
}
form#sib_signup_form_4 .sib-default-btn:hover {
background-color: #444;
}
form#sib_signup_form_4 p{
margin: 10px 0 0 0;
}form#sib_signup_form_4 p.sib-alert-message {
padding: 6px 12px;
margin-bottom: 20px;
border: 1px solid transparent;
border-radius: 4px;
-webkit-box-sizing: border-box;
-moz-box-sizing: border-box;
box-sizing: border-box;
}
form#sib_signup_form_4 p.sib-alert-message-error {
background-color: #f2dede;
border-color: #ebccd1;
color: #a94442;
}
form#sib_signup_form_4 p.sib-alert-message-success {
background-color: #dff0d8;
border-color: #d6e9c6;
color: #3c763d;
}
form#sib_signup_form_4 p.sib-alert-message-warning {
background-color: #fcf8e3;
border-color: #faebcc;
color: #8a6d3b;
}

from:https://www.enterpriseitpro.net/citrix-warns-critical-bug-can-let-attackers-reset-admin-passwords/

พบการโจมตี PACMAN ครั้งใหม่ ที่จ้องเล่นงานฮาร์ดแวร์เครื่องแมคที่ใช้ชิป M1

การโจมตีฮาร์ดแวร์รูปแบบใหม่กำลังเล่นงานระบบ Pointer Authentication ในซีพียู Apple M1 ที่เปิดช่องให้ผู้โจมตีสามารถรันโค้ดอันตรายบนเครื่องแมคได้ ซึ่ง Pointer Authentication เป็นฟีเจอร์ด้านความปลอดภัยที่เพิ่มซิกเนเจอร์การเข้ารหัส

ซึ่งเราเรียกว่า Pointer Authentication Code (PAC) เข้ารหัส Pointer เพื่อให้ระบบตรวจจับและสกัดกั้นการเปลี่ยนแปลงที่ไม่ได้รับอนุญาต ที่อาจทำให้เกิดข้อมูลรั่วไหลหรือระบบโดนแฮ็กได้ แต่ก็พบช่องโหว่ที่ค้นพบโดยนักวิจัยจาก MIT

โดยแลป Computer Science & Artificial Intelligence Laboratory (CSAIL) ของ MIT พบการโจมตีรูปแบบใหม่นี้ที่เปิดช่องให้ผู้ไม่หวังดีสามารถก้าวข้ามระบบ Pointer Authentication บนเคอร์เนลจาก Userspace ได้

ผู้โจมตีจะเริ่มจากการหาบั๊กหน่วยความจำที่กระทบกับซอฟต์แวร์บนเครื่องแมคเป้าหมาย ที่จะถูกบล็อกโดย PAC จากนั้นก็จะก้าวข้ามการป้องกันของ PAC จนเป็นปัญหาด้านความปลอดภัยร้ายแรง เรียกการโจมตีนี้ว่า PACMAN

อ่านเพิ่มเติมที่นี่ – Bleepingcomputer

//////////////////

สมัครสมาชิก Enterprise ITPro เพื่อรับข่าวสารด้านไอที

form#sib_signup_form_4 {
padding: 5px;
-moz-box-sizing:border-box;
-webkit-box-sizing: border-box;
box-sizing: border-box;
}
form#sib_signup_form_4 input[type=text],form#sib_signup_form_4 input[type=email], form#sib_signup_form_4 select {
width: 100%;
border: 1px solid #bbb;
height: auto;
margin: 5px 0 0 0;
}
form#sib_signup_form_4 .sib-default-btn {
margin: 5px 0;
padding: 6px 12px;
color:#fff;
background-color: #333;
border-color: #2E2E2E;
font-size: 14px;
font-weight:400;
line-height: 1.4285;
text-align: center;
cursor: pointer;
vertical-align: middle;
-webkit-user-select:none;
-moz-user-select:none;
-ms-user-select:none;
user-select:none;
white-space: normal;
border:1px solid transparent;
border-radius: 3px;
}
form#sib_signup_form_4 .sib-default-btn:hover {
background-color: #444;
}
form#sib_signup_form_4 p{
margin: 10px 0 0 0;
}form#sib_signup_form_4 p.sib-alert-message {
padding: 6px 12px;
margin-bottom: 20px;
border: 1px solid transparent;
border-radius: 4px;
-webkit-box-sizing: border-box;
-moz-box-sizing: border-box;
box-sizing: border-box;
}
form#sib_signup_form_4 p.sib-alert-message-error {
background-color: #f2dede;
border-color: #ebccd1;
color: #a94442;
}
form#sib_signup_form_4 p.sib-alert-message-success {
background-color: #dff0d8;
border-color: #d6e9c6;
color: #3c763d;
}
form#sib_signup_form_4 p.sib-alert-message-warning {
background-color: #fcf8e3;
border-color: #faebcc;
color: #8a6d3b;
}

from:https://www.enterpriseitpro.net/new-pacman-hardware-attack-targets-macs-with-apple-m1-cpus/

มัลแวร์ Vidar ใช้วิธีหลอกคนดาวน์โหลดวินโดวส์ 11 ปลอมในการแพร่เชื้อ

มีโดเมนปลอมเป็นหน้าเว็บดาวน์โหลด Microsoft Windows 11 ที่พยายามหลอกผู้ใช้ให้ติดตั้งไฟล์โทรจันเพื่อติดตั้งมัลแวร์จารกรรมข้อมูล Vidar โดบเป็นการแจกไฟล์ ISO อันตรายเพื่อเป็นเครื่องมือในการแพร่เชื้อลงเครื่องเหยื่อต่อไป

มัลแวร์ Vidar จะสื่อสารกับเซิร์ฟเวอร์สั่งการที่ผู้โจมตีควบคุมอยู่ผ่านช่องทางโซเชียลที่โฮสต์บนเครือข่าย Telegram และ Mastodon ซึ่งโดเมนปลอมที่มีการจดทะเบียนตั้งแต่วันที่ 20 เมษาที่ผ่านมาได้แก่ ms-win11[.]com, win11-serv[.]com, and win11install[.]com, และ ms-teams-app[.]net

นอกจากนี้ ทางบริษัทด้านความปลอดภัยทางไซเบอร์ Zscaler ยังเตือนว่าแคมเปญนี้ยังมีการใช้ประโยชน์จากซอฟต์แวร์ที่ถูกต้องอื่นๆ ด้วยการติดตั้งประตูหลังในตัวติดตั้งแบบเดียวกันด้วย ไม่ว่าจะเป็น Adobe Photoshop หรือ Microsoft Teams เป็นต้น

สำหรับไฟล์ ISO ตัวหลักที่ใช้โจมตีนี้ จะมีไฟล์ Executable ที่ขนาดใหญ่ผิดปกติ (มากกว่า 300MB) เพื่อหลีกเลี่ยงการตรวจสแกนของโซลูชั่นความปลอดภัย รวมทั้งพรางด้วยเซอร์ดิจิตอลที่หมดอายุจาก Avast ที่ถูกจารกรรมจากเหตุข้อมูลรั่วไหลเมื่อตุลาคม 2019 ด้วย

อ่านเพิ่มเติมที่นี่ – THN

//////////////////

สมัครสมาชิก Enterprise ITPro เพื่อรับข่าวสารด้านไอที

form#sib_signup_form_4 {
padding: 5px;
-moz-box-sizing:border-box;
-webkit-box-sizing: border-box;
box-sizing: border-box;
}
form#sib_signup_form_4 input[type=text],form#sib_signup_form_4 input[type=email], form#sib_signup_form_4 select {
width: 100%;
border: 1px solid #bbb;
height: auto;
margin: 5px 0 0 0;
}
form#sib_signup_form_4 .sib-default-btn {
margin: 5px 0;
padding: 6px 12px;
color:#fff;
background-color: #333;
border-color: #2E2E2E;
font-size: 14px;
font-weight:400;
line-height: 1.4285;
text-align: center;
cursor: pointer;
vertical-align: middle;
-webkit-user-select:none;
-moz-user-select:none;
-ms-user-select:none;
user-select:none;
white-space: normal;
border:1px solid transparent;
border-radius: 3px;
}
form#sib_signup_form_4 .sib-default-btn:hover {
background-color: #444;
}
form#sib_signup_form_4 p{
margin: 10px 0 0 0;
}form#sib_signup_form_4 p.sib-alert-message {
padding: 6px 12px;
margin-bottom: 20px;
border: 1px solid transparent;
border-radius: 4px;
-webkit-box-sizing: border-box;
-moz-box-sizing: border-box;
box-sizing: border-box;
}
form#sib_signup_form_4 p.sib-alert-message-error {
background-color: #f2dede;
border-color: #ebccd1;
color: #a94442;
}
form#sib_signup_form_4 p.sib-alert-message-success {
background-color: #dff0d8;
border-color: #d6e9c6;
color: #3c763d;
}
form#sib_signup_form_4 p.sib-alert-message-warning {
background-color: #fcf8e3;
border-color: #faebcc;
color: #8a6d3b;
}

from:https://www.enterpriseitpro.net/microsoft-windows-11-fake/

เตือนมัลแวร์ “Raspberry Robin” กำลังแพร่เชื้อในไดรฟ์เอ็กซ์เทอนอล

มีนักวิจัยด้านความปลอดภัยทางไซเบอร์ออกมาเผยข้อมูลของมัลแวร์บนวินโดวส์ตัวใหม่ที่มีความสามารถเหมือนเวิร์ม แพร่กระจายผ่านอุปกรณ์ต่อพ่วงยูเอสบี ใช้ชื่อว่า “Raspberry Robin” ใช้ช่องโหว่บนตัว Windows Installer

โดยนักวิจัยจาก Red Canary อธิบายว่าเวิร์มตัวนี้พยายามเข้าถึงโดเมนที่ต่อกับ QNAP พร้อมดาวน์โหลด DLL อันตรายลงมา พบความเคลื่อนไหวครั้งแรกสุดประมาณเมื่อกันยายนปีที่แล้ว ในกลุ่มบริษัทด้านไอทีและโรงงานต่างๆ

ขั้นตอนการโจมตีของ Raspberry Robin เริ่มจากการเชื่อมต่อไดรฟ์ยูเอสบีที่ติดเชื้อบนเครื่องวินโดวส์ จากนั้นถ่ายข้อมูลเปย์โหลดของเวิร์มลงเครื่องในรูปของไฟล์ชอร์ทคัท .LNK ติดตั้งบนโฟลเดอร์ที่ใช้งานกันปกติ

จากนั้นตัวเวิร์มจะเริ่มขยายพันธุ์ตัวเองผ่านโปรเซส cmd.com ที่ใช้อ่านและรันไฟล์อันตรายที่อยู่บนไดรฟ์เอ็กซ์เทอนอลอีกที จากนั้นก็จะรันทั้ง explorer.exe และ msiexec.exe เพื่อติดต่อกับเซิร์ฟเวอร์ควบคุมภายนอกในการดาวน์โหลดไฟล์ไลบรารี DLL ลงมาอีกที

อ่านเพิ่มเติมที่นี่ – THN

//////////////////

สมัครสมาชิก Enterprise ITPro เพื่อรับข่าวสารด้านไอที

form#sib_signup_form_4 {
padding: 5px;
-moz-box-sizing:border-box;
-webkit-box-sizing: border-box;
box-sizing: border-box;
}
form#sib_signup_form_4 input[type=text],form#sib_signup_form_4 input[type=email], form#sib_signup_form_4 select {
width: 100%;
border: 1px solid #bbb;
height: auto;
margin: 5px 0 0 0;
}
form#sib_signup_form_4 .sib-default-btn {
margin: 5px 0;
padding: 6px 12px;
color:#fff;
background-color: #333;
border-color: #2E2E2E;
font-size: 14px;
font-weight:400;
line-height: 1.4285;
text-align: center;
cursor: pointer;
vertical-align: middle;
-webkit-user-select:none;
-moz-user-select:none;
-ms-user-select:none;
user-select:none;
white-space: normal;
border:1px solid transparent;
border-radius: 3px;
}
form#sib_signup_form_4 .sib-default-btn:hover {
background-color: #444;
}
form#sib_signup_form_4 p{
margin: 10px 0 0 0;
}form#sib_signup_form_4 p.sib-alert-message {
padding: 6px 12px;
margin-bottom: 20px;
border: 1px solid transparent;
border-radius: 4px;
-webkit-box-sizing: border-box;
-moz-box-sizing: border-box;
box-sizing: border-box;
}
form#sib_signup_form_4 p.sib-alert-message-error {
background-color: #f2dede;
border-color: #ebccd1;
color: #a94442;
}
form#sib_signup_form_4 p.sib-alert-message-success {
background-color: #dff0d8;
border-color: #d6e9c6;
color: #3c763d;
}
form#sib_signup_form_4 p.sib-alert-message-warning {
background-color: #fcf8e3;
border-color: #faebcc;
color: #8a6d3b;
}

from:https://www.enterpriseitpro.net/malware-raspberry-robin/

FBI แจ้งเตือนแรนซั่มแวร์ BlackCat ที่เจาะข้อมูลองค์กรมากถึง 60 แห่งทั่วโลกมาแล้ว

หน่วยสืบสวนกลางของสหรัฐฯ หรือ FBI ออกประกาศแจ้งเตือนให้ระวังบริการเจาะระบบด้วยแรนซั่มแวร์ (RaaS) ที่โจมตีเหยื่อไปแล้วอย่างน้อย 60 แห่งทั่วโลกตั้งแต่ช่วงที่พบความเคลื่อนไหวครั้งแรกเมื่อพฤศจิกายนปีที่แล้ว จนถึงเดือนมีนาคม 2022

มีชื่อเรียกอื่นๆ ได้แก่ ALPHV และ Noberus ถือเป็นมัลแวร์ตัวแรกที่เขียนด้วยภาษาโปรแกรมมิ่ง Rust ที่รู้จักกันในแง่ของความสามารถในการประหยัดการใช้พื้นที่หน่วยความจำ และยกระดับประสิทธิภาพการทำงานของโปรแกรมขึ้นจากเดิมเป็นอย่างมาก

FBI ระบุในประกาศที่เผยแพร่เมื่อสัปดาห์ที่แล้วว่า “มีนักพัฒนาโปรแกรมและผู้ที่ฟอกเงินหลายรายที่ใช้ BlackCat/ALPHV มีความเชื่อมโยงกับ DarkSide/BlackMatter ที่แสดงถึงการมีเครือข่ายกว้างขวาง และประสบการณ์ด้านแรนซั่มแวร์ที่เชี่ยวชาญมาอย่างยาวนาน”

การออกมาประกาศครั้งนี้เกิดขึ้นให้หลังไม่กี่สัปดาห์หลังจากมีรายงานออกมาแทบจะคู่กันเลยจากทั้ง Cisco Talos และ Kasperksy ที่เผยถึงความเชื่อมโยงระหว่างแรนซั่มแวร์ตระกูล BlackCat และ BlackMatter อย่างการให้ทูลดูดข้อมูล Fendr ที่ดัดแปลงมาอีกทีหนึ่ง

ที่มา : THN

//////////////////

สมัครสมาชิก Enterprise ITPro เพื่อรับข่าวสารด้านไอที

form#sib_signup_form_4 {
padding: 5px;
-moz-box-sizing:border-box;
-webkit-box-sizing: border-box;
box-sizing: border-box;
}
form#sib_signup_form_4 input[type=text],form#sib_signup_form_4 input[type=email], form#sib_signup_form_4 select {
width: 100%;
border: 1px solid #bbb;
height: auto;
margin: 5px 0 0 0;
}
form#sib_signup_form_4 .sib-default-btn {
margin: 5px 0;
padding: 6px 12px;
color:#fff;
background-color: #333;
border-color: #2E2E2E;
font-size: 14px;
font-weight:400;
line-height: 1.4285;
text-align: center;
cursor: pointer;
vertical-align: middle;
-webkit-user-select:none;
-moz-user-select:none;
-ms-user-select:none;
user-select:none;
white-space: normal;
border:1px solid transparent;
border-radius: 3px;
}
form#sib_signup_form_4 .sib-default-btn:hover {
background-color: #444;
}
form#sib_signup_form_4 p{
margin: 10px 0 0 0;
}form#sib_signup_form_4 p.sib-alert-message {
padding: 6px 12px;
margin-bottom: 20px;
border: 1px solid transparent;
border-radius: 4px;
-webkit-box-sizing: border-box;
-moz-box-sizing: border-box;
box-sizing: border-box;
}
form#sib_signup_form_4 p.sib-alert-message-error {
background-color: #f2dede;
border-color: #ebccd1;
color: #a94442;
}
form#sib_signup_form_4 p.sib-alert-message-success {
background-color: #dff0d8;
border-color: #d6e9c6;
color: #3c763d;
}
form#sib_signup_form_4 p.sib-alert-message-warning {
background-color: #fcf8e3;
border-color: #faebcc;
color: #8a6d3b;
}

from:https://www.enterpriseitpro.net/fbi-warns-of-blackcat-ransomware/