MalDoc ในรูปแบบ PDF: การเลี่ยงการตรวจจับโดยการฝังไฟล์ Word ที่เป็นอันตรายลงในไฟล์ PDF

Japan’s computer emergency response team (JPCERT) เผยแพร่วิธีการโจมตีใหม่ด้วย ‘MalDoc ในรูปแบบ PDF’ ที่ตรวจพบในเดือนกรกฎาคม 2023 ซึ่งเลี่ยงการตรวจจับโดยการฝังไฟล์ Word ที่เป็นอันตรายลงใน PDF   ไฟล์ตัวอย่างจาก JPCERT เป็น Polyglots ซึ่งเครื่องมือการสแกนส่วนใหญ่ให้การยอมรับไฟล์ รู้จักในรูปแบบ PDF และแอปพลิเคชัน Office ก็สามารถเปิดเป็นเอกสาร Word ทั่วไป (.doc) ได้ Polyglots เป็นไฟล์ที่มีรูปแบบไฟล์ที่แตกต่างกันสองรูปแบบ ซึ่งสามารถตีความและดำเนินการเป็นไฟล์ได้มากกว่าหนึ่งประเภท ขึ้นอยู่กับแอปพลิเคชันที่อ่าน/เปิดไฟล์เหล่านั้น   ตัวอย่างเช่น เอกสารอันตรายในแคมเปญนี้เป็นการผสมผสานระหว่างเอกสาร PDF และ Word ซึ่งสามารถเปิดเป็นรูปแบบไฟล์ใดก็ได้ โดยทั่วไปแล้ว ผู้คุกคามจะใช้ Polyglots เพื่อหลบเลี่ยงการตรวจจับหรือสร้างความสับสนให้กับเครื่องมือวิเคราะห์ความปลอดภัย เนื่องจากไฟล์เหล่านี้อาจดูไม่เป็นอันตรายในรูปแบบหนึ่งในขณะที่ซ่อนโค้ดที่เป็นอันตรายในอีกรูปแบบหนึ่ง ในกรณีนี้ เอกสาร PDF จะมีเอกสาร Word ที่มีมาโคร VBS เพื่อดาวน์โหลดและติดตั้งไฟล์มัลแวร์…

Interpol ปฏิบัติการกำจัดแพลตฟอร์ม 16shop phishing-as-a-service

ปฏิบัติการร่วมกันระหว่าง INTERPOL และบริษัทด้านความปลอดภัยทางไซเบอร์ได้นำไปสู่การจับกุมและปิดแพลตฟอร์ม 16shop phishing-as-a-service (PhaaS) ที่มีชื่อเสียงโด่งดัง   แพลตฟอร์ม Phishing-as-a-service ช่วยให้อาชญากรไซเบอร์สามารถทำการโจมตีแบบฟิชชิง โดยทั่วไปแล้ว แพลตฟอร์มเหล่านี้มีทุกสิ่งที่คุณต้องการ รวมถึงการกระจายอีเมล ชุดฟิชชิ่งสำเร็จรูปสำหรับแบรนด์ที่มีชื่อเสียง โฮสติ้ง พร็อกซีข้อมูล แดชบอร์ดภาพรวมของเหยื่อ และเครื่องมืออื่นๆ ที่ช่วยเพิ่มความสำเร็จของการโจมตี แพลตฟอร์มนี้ทำให้การโจมตีจากผู้ไม่หวังดี สะดวกมากขึ้นและมีค่าใช้จ่ายต่ำให้กับผู้ไม่มีประสบการณ์ในการโจมตี สามารถโจมตีเป้าหมายได้อย่างง่ายดายแค่ไม่กี่คลิก   Group-IB ซึ่งช่วยเหลือ INTERPOL ในการดำเนินการลบเนื้อหา รายงานว่าแพลตฟอร์ม 16shop เสนอชุดฟิชชิ่งที่กำหนดเป้าหมายบัญชี Apple, PayPal, American Express, Amazon และ Cash App เป็นต้น ข้อมูลเชิงสถิติจาก Group-IB ระบุว่า 16shop ได้สร้างหน้าเว็บปลอมจำนวน 150,000 หน้าเว็บ โดยเป้าหมายเป็นคนจากประเทศต่างๆ เช่น เยอรมัน ญี่ปุ่น ฝรั่งเศส สหรัฐอเมริกา และสหราชอาณาจักร  …

หน่วยงานรัฐบาลสหรัฐฯ ถูกโจมตีทางไซเบอร์เข้าถึงอีเมลโดยแฮ็กเกอร์ที่เชื่อมโยงกับจีน

หน่วยงาน Federal Civilian Executive Branch (FCEB) ในสหรัฐอเมริกาตรวจพบกิจกรรมอีเมลที่ผิดปกติในช่วงกลางเดือนมิถุนายน 2023 ซึ่งนำไปสู่การค้นพบของ Microsoft ในการจารกรรมใหม่ที่เชื่อมโยงกับจีนโดยกำหนดเป้าหมายในหลายองค์กร   รายละเอียดดังกล่าวมาจากคำแนะนำร่วมกันด้านความปลอดภัยทางไซเบอร์ที่ออกโดยสำนักงานความปลอดภัยทางไซเบอร์และโครงสร้างพื้นฐานของสหรัฐ (CISA) และสำนักงานสืบสวนกลางแห่งสหรัฐอเมริกา (FBI) เมื่อวันที่ 12 กรกฎาคม 2023   “ในเดือนมิถุนายน 2023 หน่วยงาน Federal Civilian Executive Branch (FCEB) ตรวจพบกิจกรรมที่น่าสงสัยใน Cloud environment Microsoft 365 (M365)” เจ้าหน้าที่กล่าว “Microsoft ระบุว่าตัวแสดงภัยคุกคามขั้นสูงแบบถาวร (APT) เข้าถึงและกรองข้อมูล Exchange Online Outlook ที่ไม่ได้จัดประเภท”   แม้จะไม่มีการเปิดเผยชื่อหน่วยงานรัฐบาล แต่ CNN และ Washington Post รายงานว่าเป็นกรมการต่างประเทศของสหรัฐฯ โดยอ้างถึงบุคคลที่รู้จักเกี่ยวกับเรื่องนี้ นอกจากนี้ยังมีการโจมตีกรมพาณิชย์และบัญชีอีเมลของผู้ช่วยสมาชิกสภา ผู้สนับสนุนสิทธิมนุษยชนของสหรัฐฯ…

เบี้ยประกันภัยทางไซเบอร์เพิ่มขึ้น 50% เนื่องจากการโจมตีที่มากขึ้นของแรนซัมแวร์

เบี้ยประกันไซเบอร์ของสหรัฐพุ่งขึ้น 50% ในปี 2565 เนื่องจากการโจมตีของแรนซัมแวร์ที่เพิ่มขึ้นและการค้าออนไลน์ทำให้ความต้องการความคุ้มครองเพิ่มขึ้น   บริษัทจัดอันดับ AM Best กล่าวว่าเบี้ยประกันที่เรียกเก็บจากบริษัทประกันสูงถึง 7.2 พันล้านดอลลาร์ในปี 2565 และเพิ่มขึ้นสามเท่าในช่วงสามปีที่ผ่านมา “ความเสี่ยงเชิงระบบเป็นเรื่องที่น่ากังวลอย่างต่อเนื่อง” Fred Eslami ผู้อำนวยการร่วมของ AM Best กล่าวในแถลงการณ์ “โดยรวมแล้ว การคุ้มครองที่ให้กับผู้เอาประกันอาจถูกตัดสินใจโดยความพร้อมที่จะรับความเสี่ยงของบริษัทประกัน และบางครั้งอาจขึ้นอยู่กับการคุ้มครองที่บริษัทประกันภัยเตรียมให้”   การโจมตีด้วยแรนซัมแวร์เพิ่มสูงขึ้นในปีที่แล้ว ผลักดันความต้องการความคุ้มครองหลังจากยุคการทำงานแบบ Work From Home ที่เกิดจากโรคระบาด ทำให้พนักงานทำงานทางไกลมีความเสี่ยงต่อการโจมตีทางดิจิทัลมากขึ้น การโจมตีเหล่านั้นยังกระตุ้นให้บริษัทและบุคคลหันมาใช้มาตรการรักษาความปลอดภัยทางไซเบอร์ที่แข็งแกร่งมากขึ้น   AM Best กล่าวว่าอัตราส่วนขาดทุนสำหรับกรมธรรม์แบบสแตนด์อโลนและแบบแพ็คเกจตกลงไปที่ 43% และ 48% ซึ่งเป็นสัญญาณของการฟื้นตัวของอุตสาหกรรมหลังจากความสูญเสียที่เกิดขึ้นเพิ่มขึ้นในปี 2563 และ 2564 บริษัทประกันส่วนเกินซึ่งแก้ไขความเสี่ยงเฉพาะที่พบในกรมธรรม์ปกติก็ได้รับความนิยมขึ้นเช่นกัน “บริษัทประกันที่ป้องกันความเสี่ยงได้รับธุรกิจใหม่ๆ และตอนนี้คิดเป็นส่วนใหญ่ของเบี้ยประกันภัยไซเบอร์”   คริสโตเฟอร์ เกรแฮม นักวิเคราะห์อุตสาหกรรมอาวุโสของ AM Best กล่าวในแถลงการณ์ เทคโนโลยี…

เว็บไซต์ตำรวจในเมืองดัลลัสออฟไลน์จากการโจมตีด้วยแรนซัมแวร์

เว็บไซต์ตำรวจในเมืองดัลลัสออฟไลน์จากการโจมตีด้วยแรนซัมแวร์ เมืองดัลลัสกำลังเผชิญกับการโจมตีด้วยแรนซัมแวร์ทำให้เว็บไซต์กรมตำรวจดัลลัสออฟไลน์ แต่จนถึงขณะนี้ดูเหมือนว่าจะส่งผลกระทบต่อบริการของเมืองในวงจำกัด    เจ้าหน้าที่ของเมือง “ยืนยันว่ามีเซิร์ฟเวอร์จำนวนหนึ่งถูกโจมตีด้วยแรนซัมแวร์ ซึ่งส่งผลกระทบต่อส่วนการทำงานหลายส่วน” รวมถึงเว็บไซต์ของกรมตำรวจด้วย คำแถลงระบุเจ้าหน้าที่กำลังทำงานเพื่อควบคุมการแพร่กระจายของซอฟต์แวร์ที่เป็นอันตรายจากระบบคอมพิวเตอร์ของเมืองและเพื่อกู้คืนบริการที่ได้รับผลกระทบ “กรมตำรวจดัลลัสกำลังได้รับผลกระทบจากไฟดับในเมือง” คริสติน โลว์แมน เจ้าหน้าที่ประชาสัมพันธ์ของกรมบอกกับ CNN แต่เธอไม่ตอบคำถามเกี่ยวกับการแฮ็คที่ส่งผลกระทบต่อกรมตำรวจดัลลัส   มีรายงานการหยุดทำงานของคอมพิวเตอร์หรือปัญหาการเชื่อมต่อกับหน่วยงานรัฐบาลดัลลัสอื่น ๆ ในบ่ายวันพุธ ระบบคอมพิวเตอร์ที่ประมวลผลบันทึกสำหรับศาลดัลลัส และแผนกบริการกักขังหยุดทำงานตั้งแต่เวลา 6.00 น. ตามเวลาท้องถิ่น ตามคำบอกเล่าของบุคคลที่รับโทรศัพท์ที่แผนก แต่ปฏิเสธที่จะบอกชื่อ “ระบบของเราหยุดทำงานอย่างสมบูรณ์ ดังนั้นจึงไม่เห็นอะไรมากนักในแง่ของการค้นหาการอ้างอิงของผู้คนและตั๋วจราจร” บุคคลดังกล่าวกล่าว และเสริมว่าพวกเขาไม่แน่ใจว่าอะไรเป็นสาเหตุของการหยุดทำงาน CNN ได้ร้องขอความคิดเห็นจาก FBI และหน่วยงานความมั่นคงทางไซเบอร์และโครงสร้างพื้นฐานของสหรัฐฯ เกี่ยวกับการแฮ็คที่ดัลลัส นี่ไม่ใช่ครั้งแรกที่กรมตำรวจในเมืองใหญ่ของอเมริกาได้รับผลกระทบจากแรนซัมแวร์ กลุ่มอาชญากรที่พูดภาษารัสเซียได้ข้อมูลออนไลน์รั่วไหลที่ขโมยมาจากกรมตำรวจวอชิงตัน ดี.ซี. ในปี 2564   โดยทั่วไปแล้วการโจมตีด้วยแรนซัมแวร์จะล็อกไฟล์คอมพิวเตอร์ ดังนั้นแฮ็กเกอร์จึงสามารถเรียกค่าไถ่ได้ เหตุการณ์การแฮ็กดังกล่าวได้รบกวนรัฐบาลของรัฐและท้องถิ่นเป็นเวลาหลายปี ซึ่งมักจะไม่มีเงินและบุคลากรในการจัดการกับภัยคุกคาม การโจมตีเมืองบัลติมอร์ในปี 2562 ทำให้การประมวลผลการชำระค่าน้ำประปาหยุดชะงักเป็นเวลาสามเดือน ตามรายงานของ The Baltimore Sun เจ้าหน้าที่ของบัลติมอร์ประเมินว่าการโจมตีด้วยแรนซัมแวร์จะทำให้เสียหายอย่างน้อย 18 ล้านดอลลาร์  …

Western Digital ยืนยันว่าข้อมูลลูกค้าถูกแฮ็กเกอร์ขโมยในเดือนมีนาคม

Western Digital ยักษ์ใหญ่ด้านการจัดเก็บข้อมูลดิจิทัลยืนยันว่า แฮ็กเกอร์เข้าถึงระบบของตนและขโมยข้อมูลส่วนบุคคลที่เป็นของลูกค้าร้านค้าออนไลน์ของบริษัท “ข้อมูลนี้รวมถึงชื่อลูกค้า ที่อยู่สำหรับการเรียกเก็บเงินและการจัดส่ง ที่อยู่อีเมลและหมายเลขโทรศัพท์” บริษัทในซานโฮเซกล่าวในการเปิดเผยเมื่อสัปดาห์ที่แล้ว “นอกจากนี้ ฐานข้อมูลยังมีรหัสผ่านในรูปแบบที่เข้ารหัส และหมายเลขบัตรเครดิตบางส่วน เราจะติดต่อโดยตรงกับลูกค้าที่ได้รับผลกระทบ” การพัฒนาเกิดขึ้นเพียงหนึ่งเดือนหลังจาก Western Digital เปิดเผย “เหตุการณ์ด้านความปลอดภัยเครือข่าย” เมื่อวันที่ 26 มีนาคม 2023 ทำให้บริษัทต้องปิดบริการคลาวด์ รายงานที่ตามมาจาก TechCrunch เมื่อเดือนที่แล้วเปิดเผยว่าผู้คุกคามที่อยู่เบื้องหลังการโจมตีถูกกล่าวหาว่าครอบครองข้อมูล “ประมาณ 10 เทราไบต์” และกำลังเจรจากับ Western Digital เพื่อเรียกค่าไถ่ “ในราคาขั้นต่ำเป็นตัวเลข 8 หลัก” เพื่อแลกกับการปล่อยข้อมูลให้รั่วไหล ในขณะที่ยังไม่ทราบตัวของผู้ขู่กรรโชก แรนซั่มแวร์ ALPHV (หรือที่รู้จักในชื่อ BlackCat) ได้รับเครดิตจากการโจรกรรมดังกล่าว โดยยื่นคำขาดเมื่อวันที่ 18 เมษายน 2023 ให้ชำระเงินหรือเสี่ยงปล่อยข้อมูล แฮ็กเกอร์ยังได้เผยแพร่ภาพหน้าจอต่างๆ บนพอร์ทัลเว็บมืดของพวกเขา โดยแสดงสิ่งที่ดูเหมือนจะเป็นแฮงเอาท์วิดีโอ อีเมล และเอกสารที่เกี่ยวข้องกับความพยายามในการตอบสนองต่อเหตุการณ์ของ Western Digital เพื่อพยายามระบุการเข้าถึงระบบของบริษัทอย่างต่อเนื่อง…

แฮ็กเกอร์กำลังหาทางหลบเลี่ยงเครื่องมือรักษาความปลอดภัยทางไซเบอร์ล่าสุด

แฮ็กเกอร์กำลังหาทางหลบเลี่ยงเครื่องมือรักษาความปลอดภัยทางไซเบอร์ล่าสุด ซอฟต์แวร์ EDR ได้รับความนิยมเพิ่มขึ้นเพื่อใช้ในการป้องกันการโจมตีแบบทำลายระบบ เช่น แรนซัมแวร์ นักวิจัยกล่าวว่าช่องโหว่ที่เกี่ยวข้องกับเทคโนโลยีมีเล็กน้อย แต่กำลังขยายมากขึ้น เนื่องจากการแฮ็กมีความรุนแรง และแพร่กระจายมากขึ้น เครื่องมือที่มีประสิทธิภาพจากบริษัทต่างๆ เป็นประโยชน์สำหรับอุตสาหกรรมความปลอดภัยทางไซเบอร์ เรียกว่าซอฟต์แวร์ตรวจจับและตอบสนองอุปกรณ์ปลายทาง ออกแบบมาเพื่อตรวจจับสัญญาณเริ่มต้นของกิจกรรมที่เป็นอันตรายบนแล็ปท็อป เซิร์ฟเวอร์ และอุปกรณ์อื่นๆ ซึ่งเรียกว่า “อุปกรณ์ปลายทาง” บนเครือข่ายคอมพิวเตอร์ และบล็อกสัญญาณเหล่านั้นก่อนที่ผู้บุกรุกจะขโมยข้อมูลหรือล็อกเครื่องได้ แต่ผู้เชี่ยวชาญกล่าวว่า แฮ็กเกอร์ได้พัฒนาวิธีแก้ปัญหาสำหรับเทคโนโลยีบางรูปแบบ ทำให้พวกเขาสามารถแอบดูผลิตภัณฑ์ที่กลายเป็นวิธีมาตรฐานในการปกป้องระบบที่สำคัญได้ ตัวอย่างเช่น ในช่วงสองปีที่ผ่านมา Mandiant ซึ่งเป็นส่วนหนึ่งของแผนก Google Cloud ของ Alphabet Inc. ได้ตรวจสอบการละเมิด 84 รายการที่ EDR หรือซอฟต์แวร์รักษาความปลอดภัยปลายทางอื่น ๆ ถูกแก้ไขหรือปิดใช้งาน Tyler McLellan นักวิเคราะห์ภัยคุกคามกล่าว การค้นพบนี้แสดงถึงวิวัฒนาการล่าสุดของเกมแมวจับหนูที่เล่นกันมานานหลายทศวรรษ เนื่องจากแฮ็กเกอร์ปรับเทคนิคของตนเพื่อเอาชนะการป้องกันความปลอดภัยทางไซเบอร์ใหม่ล่าสุด ตามคำกล่าวของ Mark Curphey ผู้ดำรงตำแหน่งอาวุโสที่ McAfee และ Microsoft และตอนนี้เป็นผู้รักษาความปลอดภัยทางไซเบอร์ ผู้ประกอบการในสหราชอาณาจักร “การแฮ็กเครื่องมือป้องกันการรักษาความปลอดภัยไม่ใช่เรื่องใหม่” เขากล่าว…

CEO ของ OpenAI ยืนยันว่าบริษัทยังไม่มีการเทรน GPT-5 ละยังไม่มีแผนทำไปอีกสักระยะหนึ่ง

ซีอีโอ Sam Altman ปัดข่าวลือที่ว่า OpenAI กำลังพัฒนา GPT-5 แล้ว อย่างไรก็ตาม ความคิดเห็นดังกล่าวอาจไม่ได้คลายความกังวลใจได้มากนักสำหรับผู้ที่กังวลเกี่ยวกับความปลอดภัยของ AI   ในการอภิปรายเกี่ยวกับภัยคุกคามที่เกิดจากระบบ AI นั้น Sam Altman ซีอีโอและผู้ร่วมก่อตั้งของ OpenAI ได้ยืนยันว่าบริษัทไม่ได้กำลังเทรน GPT-5 ซึ่งคาดว่าจะต่อยอดความสำเร็จของโมเดลภาษา AI GPT-4 ซึ่งเปิดตัวในเดือนมีนาคมที่ผ่านมานี้   ในงาน MIT ถูกถาม Altman เกี่ยวกับจดหมายเปิดผนึกล่าสุดที่เผยแพร่ในโลกเทคโนโลยีที่ขอให้ OpenAI หยุดการพัฒนาระบบ AI ชั่วคราวซึ่ง “GPT-4 นั้นมีประสิทธิภาพมาก” จดหมายดังกล่าวเน้นถึงความกังวลเกี่ยวกับความปลอดภัยของระบบในอนาคต และเรียกร้องให้หยุดเทรนโมเดล AI ขนาดใหญ่เป็นเวลา 6 เดือน   Altman กล่าวเกี่ยวกับจดหมายว่า “ข้อเรียกร้องนี้ก็ขาดรายละเอียดทางเทคนิคว่าทำไมจึงควรหยุดเทรน” และอ้างว่า OpenAI กำลังเทรน GPT-5 ซึ่ง  “ยังไม่ได้ทำ และยังไม่มีแผนทำในสักระยะเวลาหนึ่ง” Altman…

“Akamai Hunt” บริการใหม่จาก Akamai ช่วยเฝ้าระวังและแจ้งเตือนเกี่ยวกับภัยคุกคามระดับเครือข่ายภายในองค์กร

New Service “Akamai Hunt“ – The managed threat hunting service “Akamai Hunt” บริการใหม่จาก Akamai เราช่วยเฝ้าระวังและแจ้งเตือนเกี่ยวกับภัยคุกคามระดับเครือข่ายภายในองค์กร ซึ่งอาจจะเรียกว่าเป็น Intelligence Network Detection Service ให้กับลูกค้า โดยอาศัยพื้นฐานของ Solution “Akamai Guardicore Segmentation” ซึ่ง Use cases ที่น่าสนใจคือ Eliminate present security threats – เพิ่ม Visibility ในส่วนของข้อมูลจราจรที่วิ่งในระบบ เทียบกับคลังความรู้ Technique Tactics การโจมตีต่างๆ  Virtually patch CVEs – ตรวจสอบการ exploit จากช่องโหว่ในระบบ และช่วยสร้างความมั่นใจให้กับองค์กร Harden your IT environment -…

7 วิธีที่ผู้คุกคามส่งมัลแวร์ ใช้โจมตี macOS ในองค์กร

7 วิธีที่ผู้คุกคามส่งมัลแวร์ ใช้โจมตี macOS ในองค์กร การตรวจสอบมัลแวร์ macOS ในปี 2022 ของเราเผยให้เห็นว่าภัยคุกคามที่ธุรกิจและผู้ใช้ที่ใช้ macOS endpoints เผชิญอยู่ รวมถึงการเพิ่มขึ้นของ backdoor และกรอบการโจมตี cross-platform ภัยคุกคามอย่าง CrateDepression และ PyMafka ใช้การพิมพ์โจมตีที่เก็บข้อมูลแพ็คเกจเพื่อแพร่เชื้อใส่ผู้ใช้ ในขณะที่ ChromeLoader และอื่น ๆ เช่น oRAT ใช้ประโยชน์จากการโฆษณาที่ไม่เหมาะสมเป็นสื่อในการแพร่ระบาด อย่างไรก็ตาม ยังไม่ทราบเวกเตอร์การติดไวรัสที่ใช้โดยภัยคุกคามอื่นๆ ของ macOS SysJoker, OSX.Gimmick, CloudMensis, Alchimist และ Operation In(ter)ception ที่มาจาก Lazarus เป็นเพียงบางส่วนที่นักวิจัยยังไม่ทราบว่าเหยื่อถูกโจมตีอย่างไรในตอนแรก ในกรณีเหล่านี้และกรณีอื่นๆ นักวิจัยพบมัลแวร์ทั้งจากการวิเคราะห์หลังการติดหรือโดยการค้นพบตัวอย่างในคลังเก็บมัลแวร์ เช่น VirusTotal ซึ่งเส้นทางการเคลื่อนที่ของตัวอย่างจากผู้คุกคามผ่านเหยื่อไปจนถึงการค้นพบนั้นส่วนใหญ่ไม่สามารถติดตามได้ แม้ว่าช่องโหว่นี้จะป้องกันไม่ให้เราสร้างภาพรวมของแคมเปญการโจมตีใด ๆ ก็ตาม แต่โชคดีที่เราในฐานะผู้ป้องกันสามารถระบุวิธีที่เป็นไปได้ที่มัลแวร์สามารถบุกรุกระบบ macOS และวิเคราะห์ว่ามัลแวร์ใช้พาหะเหล่านี้ในอดีตอย่างไร ด้วยความรู้นี้…