ผู้เชี่ยวชาญเตือนพบมัลแวร์ ‘Beapy’ ใช้เครื่องมือแฮ็กจาก NSA โจมตีองค์กรต่างๆ

ผู้เชี่ยวชาญจาก Symantec ได้ออกมาเตือนถึงการค้นพบมัลแวรตัวใหม่ที่ชื่อ ‘Beapy’ ซึ่งมีการใช้เครื่องมือแฮ็กจาก NSA ที่หลุดออกมาเมื่อหลายปีก่อนซึ่งมีองค์กรตกเป็นเหยื่อนับพันและที่สำคัญกว่า 80% อยู่ในเอเชียนี่เอง

จุดเด่นของ Beapy ที่น่าสนใจมีดังนี้

• ใช้ชุดเจาะระบบจาก NSA อย่าง DoublePulsar ที่เพื่อเป็น Backdoor และ EternalBlue เพื่อขยายวงการโจมตีต่อเครื่องที่ยังไม่แพตช์ในเครือข่าย
• ใช้เครื่องมือ Opensource ด้วย Mimikatz เพื่อเก็บเกี่ยวรหัสผ่านจากเครื่องที่ไม่ได้แพตช์
• ใช้ Cryptominer แบบ File-based เพื่อขุดเหมือง Monero ซึ่งปกติแล้วคนร้ายส่วนใหญ่มักใช้เป็น Browser-based

อย่างไรก็ตามวิธีการเริ่มโจมตีก็ไม่ได้โดดเด่นเท่าไหร่นักคือการส่งอีเมลแนบไฟล์ Excel อันตรายให้เหยื่อหลงเชื่อและเมื่อเข้าไปได้แล้วก็ติดตั้งตัวขุดเหมืองเงินดิจิทัล ถึงตรงนี้จะสังเกตได้ว่าแม้เครื่องมือจาก NSA จะเป็นข่าวมานานแล้วตั้งแต่ Wannacry เมื่อ 2 ปีก่อนแต่ข่าวนี้ก็ยืนยันว่าแฮ็กเกอร์ก็ยังให้ความสนใจอยู่เรื่อยมา ดังนั้นผู้ดูแลระบบก็ไม่ควรเพิกเฉยต่อการแพตช์เครื่องในองค์กรให้หมดเสียนะครับ

สำหรับผลกระทบทางผู้เชี่ยวชาญชี้ว่าเหยื่อกว่า 80% อยู่ในเอเชีย เช่น จีน ญี่ปุ่น เวียดนาม และเกาหลีใต้ เป็นต้น นอกจากนี้ยังได้แนะนำถึงวิธีการตรวจจับพฤติกรรมของ Cryptomining ไว้ว่า “ปัจจุบันมีเทคโนโลยีที่เรียกว่า Entity Analytics ที่สามารถทำ Baseline การใช้งานทรัพยากรปกติเอาไว้ซึ่งทำให้เราทราบถึงความผิดปกติได้หากมีการใช้งานเบี่ยงเบนจาก Baseline” ผู้สนใจสามารถอ่านเนื้อหาเต็มๆ ได้จาก Blog ของ Symantec

ที่มา :  https://www.hackread.com/firms-hit-by-beapy-malware-nsa-hacking-tools/

from:https://www.techtalkthai.com/expert-warns-about-beapy-malware-use-nsa-hack-tool/

เตือน DBGer Ransomware ใช้ EternalBlue และ Mimikats แพร่กระจายใส่เป้าหมาย

MalwareHunter เผย Satan Ransomware ชื่อดังรีแบรนด์ตัวเองใหม่ ใช้ชื่อ “DBGer Ransomware” พร้อมเปลี่ยนวิธีดำเนินการ ใช้ช่องโหว่ EternalBlue และ Mimikatz เครื่องมือสำหรับแคร็กรหัสผ่านในการแพร่กระจายตัวเองไปยังคอมพิวเตอร์เป้าหมายบนระบบเครือข่าย

Credit: Zephyr_p/ShutterStock.com

Satan Ransomware ปรากฏโฉมครั้งแรกเมื่อเดือนมกราคม 2017 โดยเปิดให้บริการในรูปของ Ransomware-as-a-Service (RaaS) ช่วยให้เหล่าอาชญากรไซเบอร์สามารถลงทะเบียนและสร้าง Satan Ransomware เวอร์ชันเฉพาะตัวไปใช้โจมตีผู้อื่นได้

Satan Ransomware ถูกพัฒนามาอย่างต่อเนื่อง และเริ่มมีชื่อเสียงในวงการใต้ดิน ส่งผลให้แฮ็กเกอร์ที่อยู่เบื้องหลัง Ransowmare ดังกล่าวพยายามพัฒนา Ransomware ไปอีกขั้นโดยใช้แนวคิดของ WannaCry Ransomware ที่สามารถแพร่กระจายตัวเองบนเครือข่ายระดับโลกได้มาเป็นต้นแบบ โดยทำการเพิ่ม EternalBlue SMB Exploit ลงไปในตัวมัลแวร์ส่งผลให้เมื่อคอมพิวเตอร์ติดมัลแวร์แล้ว มันจะใช้ EternalBlue ในการสแกนคอมพิวเตอร์ในระบบเครือข่าย แล้วเจาะผ่านช่องโหว่ SMB เพื่อแพร่กระจายตัวต่อไป

เท่านั้นยังไม่พอ ล่าสุด Satan Ransomware ได้เพิ่มความสามารถในการทำ Lateral Movement ลงไปโดยใช้ Mimikatz ซึ่งเป็นซอฟต์แวร์แบบ Open-source สำหรับขโมยรหัสผ่านของคอมพิวเตอร์ในระบบเครือข่าย และใช้รหัสผ่านเหล่านั้นในการเข้าถึงและแพร่กระจายตัวต่อ รวมไปถึงเปลี่ยนชื่อตัวเองใหม่เป็น DBGer Ransomware เพื่อแสดงให้เห็นว่า Ransomware ของตนยังมีการพัฒนาและให้บริการอย่างไม่หยุดยั้ง เพื่อให้เหล่าอาชญากรไซเบอร์สามารถทำเงินได้ไม่แพ้การทำ Cryptocurrency Mining

ที่มา: https://www.bleepingcomputer.com/news/security/dbger-ransomware-uses-eternalblue-and-mimikats-to-spread-across-networks/

from:https://www.techtalkthai.com/dbger-ransomware-uses-eternalblue-and-mimikatz-to-infect-users/

Bitdefender เตือน สหรัฐฯ และเอเชียกำลังถูกมัลแวร์ Bitcoin Mining โจมตี

นักวิจัยด้านความมั่นคงปลอดภภัยจาก Bitdefender ออกมาแจ้งเตือนถึงกลุ่มอาชญากรไซเบอร์ ซึ่งพัฒนามัลแวร์ชนิดพิเศษขึ้นมาเพื่อโจมตีองค์กรจากประเทศในภูมิภาคเอเชียโดยเฉพาะ โดยสามารถขโมยรหัสผ่าน ขุดเหรียญ Bitcoin และเข้าควบคุมระบบคอมพิวเตอร์ได้ทั้งหมด

แคมเปญการโจมตีดังกล่าวมีชื่อว่า Opeartion PZChao ดำเนินการมาแล้วนานกว่าครึ่งปี โดยมีเป้าหมายที่หน่วยงานรัฐบาล บริษัททางด้านเทคโนโลยี สถานศึกษา โทรคมนาคม ของประเทศในภูมิภาคเอเชียและสหรัฐอเมริกา ซึ่ง Bitdefender เชื่อว่าจากลักษณะของโครงสร้าง, Payload และโทรจัน Gh0stRAT สายพันธุ์ที่แฮ็กเกอร์ใช้ กลุ่มอาชญากรไซเบอร์ที่อยู่เบื้องหลังคือ Iron Tiger ชื่อดังจากประเทศจีน

Bitdefender เชื่อว่าแคมเปญ PZChao เริ่มปฏิบัติการตั้งแต่ก่อนเดือนกรกฎาคม 2017 ที่ผ่านมา โดยแพร่กระจายตัวไปยังเป้าหมายผ่านทางอีเมล Phishing ซึ่งทำการแนบไฟล์มัลแวร์ VBS เมื่อเหยื่อเผลอกดรัน สคริปต์ VBS จะทำการดาวน์โหลด Payload อื่นจาก down.pzchao.com (หมายเลข IP: 125.7.152.55) ซึ่งตั้งอยู่ในประเทศเกาหลีใต้ เข้ามายังเครื่อง Windows ของเหยื่อ นอกจากนี้ pzchao.com ยังมีโดเมนย่อยอีกไม่ต่ำกว่า 5 โดเมนสำหรับทำงานที่แตกต่างกัน เช่น ดาวน์โหลด, อัปโหลด RAT หรือส่งมัลแวร์ DLL เข้าเครื่องเป้าหมาย เป็นต้น

Payload แรกที่ถูกโหลดเข้ามายังคอมพิวเตอร์ที่ติดมัลแวร์ คือ Bitcoin Miner โดยปลอมตัวมาในรูปของไฟล์ java.exe ซึ่งจะคอยขุดเหรียญ Bitcoin ตอนตี 3 ทุกๆ 3 สัปดาห์ ขณะที่เหยื่อไม่อยู่หน้าคอมพิวเตอร์ สำหรับ Payload ที่ใช้ขโมยรหัสผ่านนั้น มัลแวร์จะดำเนินการติดตั้ง Mimikatz เพื่อรวบรวมรหัสผ่านและอัปโหลดกลับขึ้นไปยัง C&C Server ส่วน Payload สุดท้ายนั้นจะเป็น Gh0stRAT เวอร์ชันดัดแปลงพิเศษซึ่งถูกออกแบบมาสำหรับทำหน้าที่เป็น Backdoor และควบคุมคอมพิวเตอร์ของเหยื่อ โดยมีลักษณะคล้ายกับโทรจันที่ Iron Tiger ใช้ ซึ่งมีฟีเจอร์ดังนี้

• ดักจับการพิมพ์แบบเรียลไทม์และออฟไลน์
• ขโมยข้อมูลโปรเซสและโปรแกรมที่กำลังรันอยู่
• ดักฟังการสนทนาผ่านไมโครโฟนและเว็บแคม
• ปิดเครื่องหรือรีสตาร์ทเครื่องได้ตามต้องการ
• ดาวน์โหลด Binary จากอินเทอร์เน็ต
• แก้ไขและขโมยไฟล์ข้อมูล

ผู้ที่สนใจสามารถอ่านรายละเอียดเชิงเทคนิคได้ที่ [PDF]

ที่มา: https://thehackernews.com/2018/02/cyber-espionage-asia.html

from:https://www.techtalkthai.com/operation-pzchao-targets-asia-and-the-us-for-bitcoin-mining/