แฮกเกอร์ใช้ประโยชน์จากช่องโหว่ MS Excel เก่าเพื่อแพร่กระจายมัลแวร์ Tesla
2023.12.21
แฮกเกอร์ใช้ประโยชน์จากช่องโหว่ MS Excel เก่าเพื่อแพร่กระจายมัลแวร์ Tesla
โจมตีกำลังติดอาวุธให้กับช่องโหว่ Microsoft Office เก่า โดยเป็นส่วนหนึ่งของแคมเปญฟิชชิ่งเพื่อกระจายสายพันธุ์มัลแวร์ที่เรียกว่า Agent Tesla
กลุ่มการติดไวรัสใช้ประโยชน์จากเอกสาร Excel ล่อที่แนบมาในข้อความที่มีธีมใบแจ้งหนี้เพื่อหลอกให้เป้าหมายที่เป็นไปได้เปิดข้อความเหล่านั้นและเปิดใช้งานการใช้ประโยชน์จาก CVE-2017-11882 (คะแนน CVSS: 7.8) ซึ่งเป็นช่องโหว่ความเสียหายของหน่วยความจำใน Office’s Equation Editor ที่ อาจส่งผลให้เกิดการรันโค้ดด้วยสิทธิ์ของผู้ใช้
การค้นพบนี้มาจาก Zscaler ThreatLabz สร้างขึ้นจากรายงานก่อนหน้านี้จาก Fortinet FortiGuard Labs ซึ่งมีรายละเอียด แคมเปญฟิชชิ่งที่คล้ายกัน ที่ใช้ประโยชน์จาก ข้อบกพร่องด้านความปลอดภัยเพื่อส่งมัลแวร์
“เมื่อผู้ใช้ดาวน์โหลดไฟล์แนบที่เป็นอันตรายและเปิดขึ้นมา หากเวอร์ชันของ Microsoft Excel มีช่องโหว่ ไฟล์ Excel จะเริ่มต้นการสื่อสารกับปลายทางที่เป็นอันตราย และดำเนินการดาวน์โหลดไฟล์เพิ่มเติมโดยไม่ต้องให้ผู้ใช้โต้ตอบใดๆ เพิ่มเติม”นักวิจัยด้านความปลอดภัย Kaivalya Khursale กล่าว
เพย์โหลดแรกคือสคริปต์ Visual Basic ที่สร้างความสับสน ซึ่งเริ่มต้นการดาวน์โหลดไฟล์ JPG ที่เป็นอันตรายซึ่งมาพร้อมกับไฟล์ DLL ที่เข้ารหัส Base64 ก่อนหน้านี้กลยุทธ์การหลบเลี่ยงอุบายอุบายนี้เคยมีรายละเอียดโดย McAfee Labs ในเดือนกันยายน 2023 มาก่อน
DLL ที่ซ่อนอยู่จะถูกฉีดเข้าไปใน RegAsm.exe ซึ่งเป็นเครื่องมือการลงทะเบียน Windows Assembly ในเวลาต่อมา เพื่อเปิดใช้เพย์โหลดสุดท้าย เป็นที่น่าสังเกตว่าไฟล์ปฏิบัติการนั้นเคยถูกใช้ในทางที่ผิดเพื่อ โหลด Quasar RAT ในอดีต
Agent Tesla คือคีย์ล็อกเกอร์ขั้นสูงที่ใช้ .NET และโทรจันการเข้าถึงระยะไกล (RAT) ที่ติดตั้งเพื่อรวบรวมข้อมูลที่ละเอียดอ่อนจากโฮสต์ที่ถูกบุกรุก จากนั้นมัลแวร์จะสื่อสารกับเซิร์ฟเวอร์ระยะไกลเพื่อแยกข้อมูลที่รวบรวมไว้
“ผู้คุกคามปรับวิธีการติดไวรัสอยู่ตลอดเวลา ทำให้องค์กรต่างๆ ต้องติดตามข่าวสารล่าสุดเกี่ยวกับภัยคุกคามทางไซเบอร์ที่พัฒนาขึ้นเพื่อปกป้องภูมิทัศน์ดิจิทัลของตน” คูร์เซลกล่าวว่า
การพัฒนาเกิดขึ้นเมื่อข้อบกพร่องด้านความปลอดภัยเก่ากลายเป็นเป้าหมายการโจมตีใหม่สำหรับผู้คุกคาม เมื่อต้นสัปดาห์ที่ผ่านมา Imperva เปิดเผย ว่าข้อบกพร่องที่มีมาสามปีใน Oracle WebLogic Server (CVE-2020-14883, คะแนน CVSS: 7.2) กำลังเกิดขึ้น ใช้โดยแก๊ง 8220 เพื่อส่งมอบนักขุดสกุลเงินดิจิทัล
ยังเกิดขึ้นพร้อมกับการเพิ่มขึ้นของกิจกรรมมัลแวร์ DarkGate หลังจากที่เริ่มมีการโฆษณาเมื่อต้นปีนี้ว่าเป็นมัลแวร์แบบ as-a- ข้อเสนอบริการ (MaaS) และทดแทน QakBot หลังจากลบออกในเดือนสิงหาคม 2023
“ภาคเทคโนโลยีได้รับผลกระทบมากที่สุดจากแคมเปญการโจมตี DarkGate” Zscaler กล่าว โดยอ้างถึงข้อมูลการวัดและส่งข้อมูลทางไกลของลูกค้า
“โดเมน DarkGate ส่วนใหญ่มีอายุ 50 ถึง 60 วัน ซึ่งอาจบ่งบอกถึงแนวทางที่จงใจที่ผู้แสดงภัยคุกคามสร้างและหมุนเวียนโดเมนตามช่วงเวลาที่กำหนด”
Reference : https://thehackernews.com/2023/12/hackers-exploiting-old-ms-excel.html
ขอบคุณครับ
บริษัท a2network (Thailand ) จำกัด
ติดต่อ : 02-261-3020
บทความที่เกี่ยวข้อง
กฎหมาย
กรณีศึกษา
ข่าว
Google เตรียมลบบันทึกการท่องเว็บนับพันล้านรายการ ตามข้อตกลงยุติคดีความเป็นส่วนตัว ‘โหมดไม่ระบุตัวตน’
Google ได้ตกลงที่จะล้างบันทึกข้อมูลนับพันล้านรายการ ที่แสดงกิจกรรมการท่องเว็บไซต์ของผู้ใช้งาน เพื่อยุติคดีที่ถูกฟ้องร้องว่า Google ได้ทำการติดตามกิจกรรมของพวกเขา
2024.04.23
กรณีศึกษา
ข่าว
ความปลอดภัย
Top 10 Brands ที่ถูกแอบอ้างมากที่สุด เพื่อใช้ในการหลอกลวงแบบฟิชชิ่ง ในไตรมาสที่ 1 ของปี 2024
โดยรายชื่อแบรนด์ 10 อันดับแรก ที่ถูกแอบอ้างเพื่อใช้ในการหลอกลวงแบบฟิชชิ่ง ในไตรมาสที่ 1 ของปี 2024 ได้แก่
2024.04.18
ข่าว
ความปลอดภัย
ข้อควรพิจารณาสำหรับความปลอดภัยทางไซเบอร์ของปฏิบัติการเทคโนโลยี
เทคโนโลยีการดำเนินงาน (OT) หมายถึงฮาร์ดแวร์และซอฟต์แวร์ที่ใช้ในการเปลี่ยนแปลง ตรวจสอบ หรือควบคุมอุปกรณ์ กระบวนการ และเหตุการณ์ทางกายภาพขององค์กร ต่างจากระบบเทคโนโลยีสารสนเทศ (IT) แบบดั้งเดิม ระบบ OT ส่งผลโดยตรงต่อโลกทางกายภาพ คุณลักษณะเฉพาะของ OT นี้นำมาซึ่งข้อควรพิจารณาด้านความปลอดภัยทางไซเบอร์เพิ่มเติมซึ่งปกติแล้วจะไม่มีอยู่ในสถาปัตยกรรมความปลอดภัยด้านไอทีทั่วไป การบรรจบกันของ IT และ OT ในอดีต ไอทีและเทคโนโลยีการดำเนินงาน (OT) ดำเนินการแยกจากกัน โดยแต่ละแห่งมีชุดโปรโตคอล มาตรฐาน และมาตรการรักษาความปลอดภัยทางไซเบอร์ของตัวเอง อย่างไรก็ตาม โดเมนทั้งสองนี้มาบรรจบกันมากขึ้นกับการกำเนิดของ Industrial Internet of Things (IIoT) แม้ว่าประโยชน์ในแง่ของประสิทธิภาพที่เพิ่มขึ้นและการตัดสินใจที่ขับเคลื่อนด้วยข้อมูล การบรรจบกันนี้ยังทำให้ระบบ OT เผชิญกับภัยคุกคามทางไซเบอร์แบบเดียวกับที่ระบบไอทีเผชิญ
2024.04.05