แฮกเกอร์ใช้ประโยชน์จากช่องโหว่ของ Follina Bug เพื่อใช้ Rozena Backdoor

วันที่รายงาน : 11 ก.ค. 65 [TLP: WHITE]
เรื่อง : แฮกเกอร์ใช้ประโยชน์จากช่องโหว่ของ Follina Bug เพื่อใช้ Rozena Backdoor
แหล่งข่าว : https://thehackernews.com/2022/07/hackers-exploiting-follina-bug-to.html
วันที่แหล่งข่าวเผยแพร่ : 9 ก.ค. 65

สาระสำคัญ : Cara Lin นักวิจัยของ Fortinet FortiGuard Labs กล่าวในรายงานว่ามีแคมเปญฟิชชิ่งใหม่กำลังใช้ช่องโหว่ด้านความปลอดภัย Follina ที่เพิ่งถูกเปิดเผยเมื่อเร็ว ๆ นี้ เพื่อแจกแบ็คดอร์ที่ระบบ Windows โดย Rozena เป็นมัลแวร์แบ็คดอร์ที่สามารถ injecting ระยะไกลด้วย remote shell กลับไปยังเครื่องของผู้โจมตี

องโหว่หมายเลข CVE-2022-30190 เป็นช่องโหว่การเรียกใช้โค้ดจากระยะไกลของ Microsoft Windows Support Diagnostic Tool (MSDT) ที่ได้รับการปรับปรุงแก้ไขขณะนี้และถูกใช้หาผลประโยชน์อย่างหนักในช่วงไม่กี่สัปดาห์ที่ผ่านมานับตั้งแต่มีการเปิดเผยในปลายเดือนพฤษภาคม 2565

การใช้ประโยชน์จากช่องโหว่ของ Follina เพื่อการแจกจ่ายมัลแวร์ผ่านเอกสาร Word ที่เป็นอันตรายนั้นมาจากการโจมตีทางวิศวกรรมสังคม ที่ ใช้ Microsoft Excel, ทางลัดของ Windows (LNK) และไฟล์อิมเมจ ISO เป็นตัวหยด เพื่อปรับใช้มัลแวร์ เช่นEmotet , QBot , IcedID และ Bumblebee อุปกรณ์ของเหยื่อ แม้ว่าการโจมตีที่ตรวจพบในช่วงต้นเดือนเมษายนจะแสดงให้เห็นไฟล์ Excel ที่มีมาโคร XLM อย่างเด่นชัด การตัดสินใจของ Microsoft ในการบล็อกมาโครโดยค่าเริ่มต้นในช่วงเวลาเดียวกันนั้น กันว่าได้บังคับให้ผู้โจมตีเปลี่ยนไปใช้วิธีการอื่น เช่น HTML smuggling รวมถึงไฟล์ .LNK และ .ISO

เมื่อเดือนที่แล้ว Cyble ได้เปิดเผยรายละเอียดของเครื่องมือมัลแวร์ที่เรียกว่า Quantum ซึ่งขายในฟอรัมใต้ดิน เพื่อให้อาชญากรไซเบอร์มีความสามารถในการสร้างไฟล์ .LNK และ .ISO ที่เป็นอันตราย และเป็นที่น่าสังเกตว่ามาโคร ซึ่งเป็นการโจมตีที่ทดลองและทดสอบแล้วสำหรับคู่ต่อสู้ที่ต้องการปล่อยแรนซัมแวร์และมัลแวร์อื่นๆ ในระบบ Windows ไม่ว่าจะผ่านอีเมลฟิชชิ่งหรือวิธีการอื่น ๆ โดยต่อมา Microsoft ได้หยุดแผนการปิดการใช้งานมาโครของ Office ในไฟล์ที่ดาวน์โหลดจากอินเทอร์เน็ตชั่วคราว โดยทางบริษัทแจ้งกับ The Hacker News ว่ากำลังใช้เวลาในการทำการเปลี่ยนแปลงเพิ่มเติมเพื่อเพิ่มความสามารถในการใช้งาน

NCERT Infoshare beta version (ศูนย์ประสานการรักษาความมั่นคงปลอดภัยระบบคอมพิวเตอร์แห่งชาติ ศปช.) สกมช.

Loading

Related Posts

กลุ่ม Witchetty APT ใช้ Steganography ในการโจมตีหน่วยงานในตะวันออกกลาง

ทีม Symantec Threat Hunter ของ Broadcom ได้สังเกตเห็นกลุ่มจารกรรมทางไซเบอร์ชื่อ Witchetty ใช้ Steganography เพื่อซ่อนแบ็คดอร์ที่ไม่มีเอกสารในโลโก้ Windows โดยกลุ่มนี้ใช้แบ็คดอร์ในการโจมตีรัฐบาลตะวันออกกลาง

Read more

CISA ออกคำแนะนำในการเปลี่ยนไปใช้ TLP 2.0

Cybersecurity and Infrastructure Security Agency (CISA) ได้เผยแพร่คู่มือผู้ใช้เพื่อช่วยองค์กรในการเตรียมตัวสำหรับวันที่ 1 พฤศจิกายน 2022 โดยเปลี่ยนจาก Traffic Light Protocol (TLP) เวอร์ชัน 1.0 เป็น TLP 2.0

Read more

ยูเครนจับกุมกลุ่มอาชญากรไซเบอร์เพื่อขายข้อมูลกว่า 30 ล้านบัญชี

หน่วยงานบังคับใช้กฎหมายของยูเครนเปิดเผยว่าได้จับกุมกลุ่มแฮ็คที่ปฏิบัติการจากเมืองลวิฟ โดยได้รับการสนับสนุนจากรัสเซีย ซึ่งกลุ่มนี้ได้ทำการขายบัญชีกว่า 30 ล้านบัญชีที่เป็นของพลเมืองยูเครนและสหภาพยุโรปบน dark web ซึ่งทำกำไรได้ 372,000 ดอลลาร์ (14 ล้าน UAH) โดยผ่านระบบการชำระเงินทางอิเล็กทรอนิกส์ เช่น YooMoney, Qiwi และ WebMoney ที่ผิดกฎหมายในประเทศ

Read more

Erbium มัลแวร์ตัวใหม่ สามารถขโมยรหัสผ่าน ที่แพร่กระจายไปกับโปรแกรมแคร็กเกม

มัลแวร์ใหม่ที่ขโมยข้อมูล ‘Erbium’ กำลังถูกแพร่กระจายไปกับโปรแกรมการโกงสำหรับวิดีโอเกมยอดนิยม เพื่อใช้ขโมยข้อมูลประจำตัวของเหยื่อและ cryptocurrency wallets

Read more

Sophos ออกแพตซ์แก้ไขช่องโหว่ RCE Zero-Day ในไฟร์วอลล์

บริษัทซอฟต์แวร์รักษาความปลอดภัย Sophos ได้ออกแพตช์อัปเดตไฟร์วอลล์ของบริษัท หลังจากที่พบว่าผู้โจมตีใช้ช่องโหว่ Zero-Day อันใหม่นี้เพื่อโจมตีเครือข่ายของลูกค้า ที่หมายเลขช่องโหว่ CVE-2022-3236 (คะแนน CVSS: 9.8) ส่งผลกระทบต่อ Sophos Firewall v19.0 MR1 (19.0.1) และเวอร์ชั่นที่เก่ากว่า ซึ่งช่องโหว่ดังกล่าวเป็นการแทรกโค้ดในพอร์ทัลผู้ใช้งานและส่วนประกอบ Webadmin ที่อาจส่งผลให้เกิดโค้ดจากระยะไกลได้

Read more

OpIran : กลุ่ม Anonymous ประกาศสงครามกับรัฐบาลอิหร่าน จากสาเหตุการเสียชีวิตของ Mahsa Amini

กลุ่มแฮ็กเกอร์ Anonymous เปิดตัวปฏิบัติการ Operation Iran กับ รัฐบาลอิหร่าน เนื่องมาจากการปราบปรามผู้ประท้วงที่เกิดขึ้นอย่างต่อเนื่อง หลังจากการเสียชีวิตของหญิงสาวชาวอิหร่านที่ชื่อ Mahsa Amini

Read more