Breaking News

US-CERT เตือนระวัง TYPEFRAME Malware จากเกาหลีเหนือ เน้นโจมตีระบบของ Microsoft เป็นหลัก

US-CERT ได้ออกมาเตือนถึงแคมเปญการโจมตีด้วย Trojan Malware ที่มีชื่อว่า TYPEFRAME จากเกาหลีเหนือ โดยตั้งชื่อแคมเปญครั้งนี้ว่า HIDDEN COBRA

 

Credit: ShutterStock.com

 

ในการแจ้งเตือนครั้งนี้ไม่ได้ระบุว่ามีระบบที่ตกเป็นเหยื่อของการโจมตีมากน้อยแค่ไหน โดยมีการวิเคราะห์ตัวอย่างของ Malware ด้วยกัน 11 รายการที่มีทั้งไฟล์ Windows Executable แบบ 32-bit และ 64-bit รวมถึงมีไฟล์ Microsoft Word ที่มี VBA Macro อยู่ภายใน ซึ่งสามารถทำการโหลดและติดตั้ง Malware, Proxy และ Remote Access Trojan (RAT) พร้อมทั้งเชื่อมต่อไปยัง Command and Control (C2) Server เพื่อรับคำสั่งต่างๆ เพิ่มเติม รวมถึงยังมีการเปลี่ยนแปลงการตั้งค่าระบบ Firewall เพื่อเปิดรับการเชื่อมต่อขาเข้ามาอีกด้วย

Malware เหล่านี้ถูกสร้างขึ้นมาใช้โจมตีตั้งแต่ปี 2015 – 2017 โดย IP Address ของ C2 Server ที่ใช้นั้นได้แก่ 111.207.78.204, 181.119.19.56, 184.107.209.2, 59.90.93.97, 80.91.118.45, 81.0.213.173 และ 98.101.211.162 ซึ่งเป็น Server ที่กระจายอยู่ในหลากหลายประเทศทั่วโลก

สำหรับ Advisory ฉบับเต็มที่ระบุถึงพฤติกรรมการโจมตีและวิธีการรับมือฉบับเต็ม สามารถอ่านได้ที่ https://www.us-cert.gov/ncas/analysis-reports/AR18-165A ครับ

 

ที่มา: https://www.theregister.co.uk/2018/06/18/us_cert_warns_of_more_north_korean_malware/


About techtalkthai

ทีมงาน TechTalkThai เป็นกลุ่มบุคคลที่ทำงานในสาย Enterprise IT ที่มีความเชี่ยวชาญทางด้าน Network, Security, Server, Storage, Operating System และ Virtualization มารวมตัวกันเพื่ออัพเดตข่าวสารทางด้าน Enterprise IT ให้แก่ชาว IT ในไทยโดยเฉพาะ

Check Also

24 เว็บไซต์ดังถูกแฮ็ก ข้อมูลผู้ใช้กว่า 834 ล้านรายชื่อถูกขายใน Dark Web

เว็บไซต์ The Hacker News ออกมาแจ้งเตือนถึงเหตุการณ์ Data Breach บนเว็บไซต์ชื่อดังรวม 24 เว็บไซต์ ส่งผลให้ข้อมูลส่วนบุคคลของผู้ใช้กว่า 834 ล้านรายชื่อถูกขายบน Dark Web …

เตือนภัยหน้า Facebook Login ปลอมหลอกขโมยรหัสผ่าน ใช้ HTML/Javascript ปลอมตัวเองให้เหมือนหน้าต่าง Browser

หน้า Phishing ปลอมตัวเองเป็น Facebook เพื่อหลอกขโมยชื่อผู้ใช้งานและรหัสผ่านนั้นเป็นแนวคิดที่เราพบเจอกันมานาน และหากตั้งใจสังเกตความผิดปกติในจุดต่างๆ นั้นก็พอจะสามารถหลบเลี่ยงจากการถูกหลอกได้ แต่ในครั้งนี้นักวิจัยด้าน Security ได้ค้นพบหน้า Facebook Login ปลอมแบบใหม่ที่สมจริงมากๆ ด้วยการใช้ HTML/Javascript มาปลอมตัวเองให้เหมือนเป็นหน้าต่างของ Browser ที่เราใช้งาน และแสดง URL แบบปลอมๆ เสมือนว่าเป็นเว็บจริง ทำให้ยากต่อการสังเกตและป้องกันตัวเองขึ้นไปอีก