ศูนย์ประสานการรักษาความมั่นคงปลอดภัยไซเบอร์ ด้านความมั่นคงของรัฐฝ่ายพลเรือน

ภาพรวมแท็กนี้

2 ข่าว

SharkLoader มัลแวร์ใหม่ปลอมเป็นตัวติดตั้ง Cisco AnyConnect และ Google Update ส่ง Cobalt Strike

sharkloader malware cisco cybersecurity anyconnect cobalt strike beacon
นักวิจัยจาก PolySwarm เปิดโปงมัลแวร์ loader ตัวใหม่ชื่อ SharkLoader ที่ซ่อนในตัวติดตั้งปลอมของ Cisco AnyConnect และ Google Update เพื่อส่ง Cobalt Strike Beacon กลุ่ม StrikeShark ใช้ทั้งเจาะช่องโหว่ Exchange, SharePoint, Fortinet, Cisco IOS XE และ dropper ปลอม อาศัย DLL side loading ผ่าน SystemSettings.exe รันในหน่วยความจำเพื่อหลบการตรวจจับ พบเหยื่อในหน่วยงานรัฐและคณะทูตหลายประเทศรวมถึงในเอเชีย

แฮ็กเกอร์ปิด Defender, Sysmon และ WAF ก่อนดูดรหัสผ่านด้วย Mimikatz

Hackers disable Microsoft Defender Sysmon and WAF before dumping credentials with Mimikatz
บริษัท Huntress เปิดเผยการบุกรุกที่แฮ็กเกอร์ทยอยปิด Microsoft Defender, Sysmon และ ModSecurity WAF ก่อนใช้ Mimikatz ดูดรหัสผ่าน เริ่มจากเว็บเชลล์ที่ซ่อนด้วยเทคนิค steganography บนเซิร์ฟเวอร์ IIS ผู้โจมตีใช้สคริปต์ i.bat ปิดล็อกและเครื่องมือความปลอดภัยกว่าสิบเทคนิค แล้วแก้ WDigest ให้ Windows เก็บรหัสผ่านเป็นข้อความธรรมดา โชคดีที่ SOC จับได้ก่อนข้อมูลรั่ว