ศูนย์ประสานการรักษาความมั่นคงปลอดภัยไซเบอร์ ด้านความมั่นคงของรัฐฝ่ายพลเรือน

ภาพรวมแท็กนี้

3 ข่าว

แฮ็กเกอร์ปิด Defender, Sysmon และ WAF ก่อนดูดรหัสผ่านด้วย Mimikatz

Hackers disable Microsoft Defender Sysmon and WAF before dumping credentials with Mimikatz
บริษัท Huntress เปิดเผยการบุกรุกที่แฮ็กเกอร์ทยอยปิด Microsoft Defender, Sysmon และ ModSecurity WAF ก่อนใช้ Mimikatz ดูดรหัสผ่าน เริ่มจากเว็บเชลล์ที่ซ่อนด้วยเทคนิค steganography บนเซิร์ฟเวอร์ IIS ผู้โจมตีใช้สคริปต์ i.bat ปิดล็อกและเครื่องมือความปลอดภัยกว่าสิบเทคนิค แล้วแก้ WDigest ให้ Windows เก็บรหัสผ่านเป็นข้อความธรรมดา โชคดีที่ SOC จับได้ก่อนข้อมูลรั่ว

โจมตี Password Spray ผ่าน Azure CLI ขนาดใหญ่ ยิง 81 ล้านครั้ง เจาะบัญชี Microsoft ได้ 78 บัญชี

Azure CLI password spray attack compromising Microsoft accounts
บริษัท Huntress เปิดเผยการโจมตี password spray ขนาดใหญ่ที่มุ่งเป้า Azure CLI โดยยิงกว่า 81 ล้านครั้งใน 2 สัปดาห์ เจาะบัญชี Microsoft สำเร็จ 78 บัญชีใน 64 องค์กร ใช้ช่องโหว่ของ ROPC ซึ่งเป็น OAuth flow เก่าเพื่อข้าม Conditional Access Policy และ MFA ที่ตั้งค่าไม่ครอบคลุม

แฮ็กเกอร์ใช้โดเมน Google DoubleClick บังการโจมตี ส่งมัลแวร์ DesckVB RAT ผ่าน Malspam ปรับหน้าเพจอัตโนมัติ

Google DoubleClick abused in new malspam campaign to deliver DesckVB RAT
บริษัท Huntress เปิดเผยแคมเปญ malspam ใหม่ที่ใช้โดเมน Google DoubleClick บังการตรวจจับ เพื่อส่งมัลแวร์ DesckVB RAT ก่อนเหยื่อจะถึงโครงสร้างของผู้โจมตี ลิงก์จะวิ่งผ่าน DoubleClick ที่เป็นโดเมนของ Google ซึ่งเครื่องมือความปลอดภัยมักไม่สงสัย จากนั้นเข้าสู่ malspam kit ที่ปรับหน้าเพจอัตโนมัติตามอีเมลเหยื่อ ดึงโลโก้บริษัทและที่ตั้งมาทำให้น่าเชื่อถือ โดยไม่ต้องสร้างเหยื่อล่อทีละราย ปลายทางคือ DesckVB RAT มัลแวร์ .NET ที่ใช้ process hollowing ฉีดเข้า process ที่ Microsoft เซ็น พร้อมปิด AMSI/ETW