ศูนย์ประสานการรักษาความมั่นคงปลอดภัยไซเบอร์ ด้านความมั่นคงของรัฐฝ่ายพลเรือน

ภาพรวมแท็กนี้

80 ข่าว

CrashStealer มัลแวร์ macOS ตัวใหม่ ใช้ Dropper ที่ผ่าน Notarize เลี่ยงการตรวจของ Gatekeeper

CrashStealer macOS malware uses notarized dropper to pass Gatekeeper checks
นักวิจัยจาก Jamf Threat Labs พบมัลแวร์ขโมยข้อมูล macOS ตัวใหม่ชื่อ CrashStealer ที่เขียนด้วยภาษา C++ ต่างจาก stealer ทั่วไปที่ใช้ AppleScript หรือ Objective-C มันตรวจสอบรหัสผ่านล็อกอินของเหยื่อในเครื่องก่อนขโมยข้อมูล เก็บกวาดทั้งเบราว์เซอร์ กระเป๋าคริปโต ตัวจัดการรหัสผ่าน และ Keychain เข้ารหัสด้วย AES-GCM ก่อนส่งออกผ่าน libcurl จุดเด่นคือแพร่ผ่าน Dropper ที่เซ็นและผ่าน Apple Notarize ในชื่อ Werkbit.app ทำให้ผ่านการตรวจของ Gatekeeper ได้ และการดาวน์โหลดต้องมี PIN ประชุมจึงจะเข้าถึง

แท็กซี่รายใหญ่สุดของญี่ปุ่น Nihon Kotsu ถูกโจมตีไซเบอร์ — สั่งปิดระบบเรียกรถ กระทบบริการทั่วโตเกียว

infrastructure ise japan opera nihon kotsu
บริษัท Nihon Kotsu ผู้ให้บริการแท็กซี่รายใหญ่ที่สุดของญี่ปุ่น ประกาศว่าระบบภายในถูกโจมตีทางไซเบอร์ช่วงเช้าวันเสาร์ที่ผ่านมา จนต้องสั่งปิดโครงสร้างพื้นฐานบางส่วน รวมถึงระบบเรียกรถ (Dispatch) ที่ยังใช้งานไม่ได้ บริษัทระบุว่าเป็นการเข้าถึงโดยไม่ได้รับอนุญาตจากภายนอกและติดมัลแวร์ ทำให้บริการจองรถ จองผ่านเว็บ และบริการทางโทรศัพท์ล่ม บริษัทกำลังตรวจสอบว่ามีข้อมูลรั่วไหลหรือไม่ ยังไม่มีกลุ่มแรนซัมแวร์ใดออกมาอ้างความรับผิดชอบ

แฮ็กเกอร์ฝังแบ็กดอร์ในแพ็กเกจ npm ของ Jscrambler — มัลแวร์ขโมยข้อมูลถูกดาวน์โหลดเกือบ 1,500 ครั้ง

malware infostealer backdoor npm the jscrambler
บริษัท Jscrambler เปิดเผยว่าผู้โจมตีเผยแพร่แพ็กเกจ npm เวอร์ชันอันตรายของบริษัท ครอบคลุมรุ่น 8.14, 8.16, 8.17 และ 8.20 โดยฝังมัลแวร์ขโมยข้อมูล (Infostealer) ที่ทำงานตอน preinstall hook แพ็กเกจนี้เปิดอยู่ราว 2 ชั่วโมงและถูกดาวน์โหลด 1,479 ครั้ง มัลแวร์ล้วงซอร์สโค้ด ข้อมูลรับรองนักพัฒนา คีย์คลาวด์ ค่าคอนฟิกเครื่องมือ AI และกระเป๋าคริปโต ต้นเหตุมาจากข้อมูลรับรองการเผยแพร่ npm ที่ถูกขโมย

มัลแวร์ RAT ตัวใหม่ MODBEACON ของกลุ่ม Silver Fox ใช้ gRPC streaming เข้ารหัสทราฟฟิก C2

Silver Fox MODBEACON Rust RAT gRPC streaming encrypted C2
บริษัท QiAnXin เปิดเผยว่ากลุ่มอาชญากรไซเบอร์ Silver Fox ที่เชื่อมโยงกับจีนอยู่เบื้องหลังมัลแวร์ RAT ตัวใหม่ที่เขียนด้วยภาษา Rust ชื่อ MODBEACON กระจายผ่านตัวติดตั้งปลอมด้วยเทคนิค SEO poisoning โดยมีผู้กระจายหลายราย ตัวมัลแวร์เป็น RAT แบบโมดูลที่รันในหน่วยความจำ ใช้ gRPC tunnel streaming สื่อสารกับ C2 และนำ transport layer จากเฟรมเวิร์ก proxy โอเพนซอร์ส Xray/V2Ray มาใช้เป็นช่องทางควบคุม พุ่งเป้าองค์กรเทคโนโลยี การศึกษา และรัฐวิสาหกิจในจีน

APT-C-20 (APT28) ซ่อนเชลล์โค้ดในภาพ PNG ปล่อยแบ็กดอร์ C# แบบไร้ไฟล์

apt28 apt malware backdoor fancy bear hackers hide shellcode
กลุ่มแฮ็กเกอร์ APT-C-20 หรือที่รู้จักในชื่อ APT28 (Fancy Bear) ซ่อนเชลล์โค้ดไว้ในไฟล์ภาพ PNG เพื่อปล่อยแบ็กดอร์ที่เขียนด้วยภาษา C# แบบไร้ไฟล์ (fileless) โดยเริ่มจากเอกสาร Word ที่ฝังมาโคร ปลอมเป็นไฟล์ด้านกลาโหมของรัฐบาลยุโรปตะวันออก อาศัยเทคนิค COM hijacking และ steganography ซ่อนโค้ด ทำให้แอนติไวรัสตรวจจับได้ยาก และสื่อสารกับผู้โจมตีผ่านบริการคลาวด์ Filen.io

Banana RAT ใช้เครื่องสร้าง payload ที่หลุดออกมา ผลิตมัลแวร์ธนาคารแบบ polymorphic หลบ blocklist

Banana RAT uses exposed payload generator to create polymorphic banking malware variants
นักวิจัย Moises Cerqueira พบเซิร์ฟเวอร์ที่เปิดโล่งบนอินเทอร์เน็ตซึ่งใช้สร้างมัลแวร์ Banana RAT โทรจันขโมยข้อมูลธนาคารสายบราซิล โดยไม่ได้เป็นแค่ที่เก็บไฟล์ แต่รันสคริปต์ payload generator และ obfuscator ที่ผลิต payload หน้าตาต่างกันได้ทุกครั้ง รายงานจาก ANY.RUN ระบุว่าโครงสร้างเดียวกันผลิต Banana RAT ได้ 2 เวอร์ชันในไม่กี่สัปดาห์ เวอร์ชันใหม่สุ่มชื่อโฟลเดอร์/ไฟล์ต่อเครื่องและใช้ WebSocket เข้ารหัสเป็น C2 ทำให้การบล็อกด้วยรายชื่อ indicator ได้ผลน้อยลง

Lurking Lizard ปลอมตัวติดตั้ง 7-Zip เปลี่ยนเครื่องเหยื่อเป็นพร็อกซีขายต่อแบนด์วิดท์

cybersecurity opera proxy rat lurking lizard uses fake turn victim devices into proxy nodes
บริษัท Infoblox เปิดโปงกลุ่มอาชญากรไซเบอร์ Lurking Lizard ที่แอบเปลี่ยนคอมพิวเตอร์ทั่วไปให้เป็นพร็อกซีเซิร์ฟเวอร์ขายต่อแบนด์วิดท์มานานหลายปี ผ่านตัวติดตั้ง 7-Zip ปลอมที่โฮสต์บนโดเมน 7zip[.]com นักวิจัยพบว่าปฏิบัติการนี้ย้อนไปถึงสิงหาคม 2565 เชื่อมโยงกว่า 230 โดเมน และล่าสุดแปลงร่างเป็นแอป WireVPN ปลอมที่มียอดดาวน์โหลดบน Android เกินหนึ่งล้านครั้ง

SCMBANKER มัลแวร์ธนาคารตัวใหม่ ใช้กลลวง ClickFix เจาะลูกค้าธนาคารเม็กซิโก

powershell clickfix malware apt captcha elastic security labs
มัลแวร์ธนาคารตัวใหม่ SCMBANKER พุ่งเป้าลูกค้าธนาคาร ฟินเทค และกระดานเทรดคริปโตในเม็กซิโก ใช้กลลวง ClickFix ผ่านหน้า CAPTCHA ปลอมหลอกให้เหยื่อรันคำสั่งติดตั้งเอง ทีมวิจัย Elastic Security Labs ที่ติดตามในชื่อ REF6045 พบว่าเป็นชุดเครื่องมือ PowerShell ที่ใช้ AI ช่วยเขียน เฝ้าดูเซสชันธนาคาร สลับเลขบัญชีในคลิปบอร์ด และเปิดทางรีโมตเข้าเครื่องได้เต็มรูปแบบ

หนังสือแจ้งภาษี ITR ปลอมของอินเดีย ปล่อย RAT สองตัวผ่านห่วงโซ่ติดมัลแวร์ 6 ขั้น

Fake Indian ITR notice delivers dual RAT malware through six-stage infection chain
บริษัท Cyderes เปิดเผยแคมเปญมัลแวร์ที่ใช้หนังสือแจ้งภาษีปลอมของกรมสรรพากรอินเดีย (ITR) หลอกเหยื่อให้ติดตั้ง RAT พร้อมกันสองตัว โดยข่มขู่เรื่องค่าปรับให้ดาวน์โหลดไฟล์ ผ่านหน้า Microsoft ปลอมก่อนโหลด ZIP ที่มี exe ของแท้กับ DLL อันตราย nvdaHelperRemote.dll ใช้เทคนิค DLL sideloading ห่วงโซ่ 6 ขั้นจบด้วยการฉีด Gh0st RAT (พอร์ต 6666) และ Quasar/AsyncRAT (พอร์ต 6351) เข้า svchost.exe แต่ละตัวต่อ C2 คนละเครื่องเป็นช่องสำรอง ใช้ polyglot JPEG และรันในหน่วยความจำหลบการตรวจจับ

แฮ็กเกอร์จีน UAT-7810 พัฒนามัลแวร์ LONGLEASH ขยายเครือข่าย ORB — ยึดเราเตอร์ Ruckus/ASUS ที่ไม่แพตช์ทำพร็อกซีปกปิดร่องรอย

chinese hackers longleash malware operational relay box orb network
นักวิจัยจาก Cisco Talos เปิดเผยว่ากลุ่มแฮ็กเกอร์จีน UAT-7810 กำลังพัฒนามัลแวร์อย่างต่อเนื่องเพื่อขยายเครือข่าย ORB (Operational Relay Box) โดยเจาะอุปกรณ์เครือข่ายที่เชื่อมต่ออินเทอร์เน็ต โดยเฉพาะเราเตอร์ Ruckus และ ASUS AiCloud ที่ไม่ได้แพตช์ ผ่านช่องโหว่ n-day หลายตัว เครือข่าย ORB นี้ทำหน้าที่เป็นโครงสร้างพร็อกซีให้กลุ่ม APT จีนอื่นๆ ส่งทราฟฟิกผ่านอุปกรณ์ในภูมิภาคเพื่อปลอมแหล่งที่มาและหลบการระบุตัวตน นักวิจัยพบมัลแวร์ใหม่ LONGLEASH, DOGLEASH, JARLEASH และ LEASHTEST