ดาวน์โหลดโปรแกรมฟรี
       
   สมัครสมาชิก   เข้าสู่ระบบ
ข่าวไอที
 

กลุ่มแฮกเกอร์ RomCom ใช้ช่องโหว่ Zero-Day บน Microsoft Office ปล่อยแรนซัมแวร์

กลุ่มแฮกเกอร์ RomCom ใช้ช่องโหว่ Zero-Day บน Microsoft Office ปล่อยแรนซัมแวร์
ภาพจาก : https://www.bleepingcomputer.com/news/security/romcom-malware-spread-via-google-ads-for-chatgpt-gimp-more/
เมื่อ :
|  ผู้เข้าชม : 1,433
เขียนโดย :
0 %E0%B8%81%E0%B8%A5%E0%B8%B8%E0%B9%88%E0%B8%A1%E0%B9%81%E0%B8%AE%E0%B8%81%E0%B9%80%E0%B8%81%E0%B8%AD%E0%B8%A3%E0%B9%8C+RomCom+%E0%B9%83%E0%B8%8A%E0%B9%89%E0%B8%8A%E0%B9%88%E0%B8%AD%E0%B8%87%E0%B9%82%E0%B8%AB%E0%B8%A7%E0%B9%88+Zero-Day+%E0%B8%9A%E0%B8%99+Microsoft+Office+%E0%B8%9B%E0%B8%A5%E0%B9%88%E0%B8%AD%E0%B8%A2%E0%B9%81%E0%B8%A3%E0%B8%99%E0%B8%8B%E0%B8%B1%E0%B8%A1%E0%B9%81%E0%B8%A7%E0%B8%A3%E0%B9%8C
A- A+
แชร์หน้าเว็บนี้ :

Microsoft Office ชื่อนี้อาจเป็นที่คุ้นเคยกันเป็นอย่างดี เนื่องจากการเป็นซอฟต์แวร์สำหรับการใช้งานในออฟฟิศที่ถูกใช้งานกันตั้งแต่ทำรายงานของนักเรียน ไปจนถึงงานระดับสูงในบริษัทต่าง ๆ ด้วยการที่มีผู้ใช้งานมากนี่เองทำให้มีการแสวงหาช่องโหว่เพื่อใช้งานในเชิงลบโดยกลุ่มแฮกเกอร์ต่าง ๆ มากเป็นเงาตามตัวเช่นกัน

จากรายงานข่าวโดยเว็บไซต์ Cyber Security News ทางทีมวิจัยจาก Fortinet บริษัทผู้พัฒนาโซลูชันด้านความปลอดภัยไซเบอร์สำหรับองค์กร ได้ออกมารายงานถึงการตรวจพบการใช้งานช่องโหว่ระดับ Zero-Day (ช่องโหว่ที่เกิดขึ้นระหว่างการพัฒนาซอฟต์แวร์) โดยกลุ่มแฮกเกอร์ RomCom จากประเทศรัสเซีย ที่เป็นที่รู้จักในอีกชื่อหนึ่งว่า Storm-0978 โดยกลุ่มดังกล่าวนั้นใช้ช่องโหว่ Zero-Day ดังกล่าวเพื่อการรันแรนซัมแวร์ของกลุ่มตนลงบนระบบของเหยื่อ โดยแฮกเกอร์นั้นจะมุ่งเน้นไปที่การโจมตีในระดับอุตสาหกรรมต่าง ๆ เป็นหลัก เช่น อุตสาหกรรมด้านสุขภาพ, ก่อสร้าง, คอลเซ็นเตอร์, ซอฟต์แวร์, การท่องเที่ยว เป็นต้น

บทความเกี่ยวกับ Microsoft อื่นๆ

ช่องโหว่ดังกล่าวนั้นมีชื่อว่า CVE-2023-36884 ซึ่งเป็นช่องโหว่ที่ใช้ประโยชน์จากการวางโค้ดบนไฟล์ที่สำหรับใช้เปิดบนซอฟต์แวร์ต่าง ๆ บน Microsoft Office เพื่อรันโค้ดจากระยะไกล (RCE หรือ Remote Code Execution) จากแหล่งข่าวนั้นแฮกเกอร์จะใช้วิธีการหลอกเหยื่อด้วยการส่งอีเมล Phishing เพื่อหลอกให้เหยื่อทำการเปิดไฟล์ขึ้นมาแล้วทำการรันโค้ดที่แฝงไว้อยู่ นอกจากการใช้อีเมลแล้ว ยังมีรายงานว่า แฮกเกอร์ยังมีการซื้อเส้นทางการเข้าสู่ระบบจากโบรกเกอร์ที่เรียกว่า Initial Access Broker หรือ IAB ซึ่งเป็นกลุ่มผู้เชี่ยวชาญด้านการแฮกเพื่อเปิดช่องเข้าสู่ระบบปลายทางอีกด้วย

สำหรับแรนซัมแวร์ RomCom ที่แฮกเกอร์ทำการฝังลงระบบนั้น ทางทีมวิจัย Fortinet ได้ระบุว่า แรนซัมแวร์ดังกล่าวนั้นจะเชื่อมต่อกับเซิร์ฟเวอร์ควบคุมผ่านระบบ RemoteDesktop/TerminalServer อยู่ใน Session เป็นเวลา 14 วัน ตามเส้นตายการจ่ายเงินที่ตัวแรนซัมแวร์วางเอาไว้ นอกจากนั้นแล้วตัวแรนซัมแวร์ยังมีความสามารถในการลบร่องรอยของตัวเองออกทั้งตัวไฟล์แรนซัมแวร์ และข้อมูลที่อยู่บน Windows Event Log เพื่อปกปิดร่องรอยด้วยการรันสคริปท์ผ่านไฟล์ temp.cmd อีกทั้งยังมีการวางไฟล์ “!!readme!!!.txt” ซึ่งเนื้อหาโดยรวมเป็นการขู่บังคับให้เหยื่อชำระเงินค่าไถ่เพื่อรับตัวถอดรหัสไฟล์โดยถ้ามีความพยายามกู้ไฟล์เอง ไฟล์จะโดยลบถาวรอีกด้วย

กลุ่มแฮกเกอร์ RomCom ใช้ช่องโหว่ Zero-Day บน Microsoft Office ปล่อยแรนซัมแวร์
ภาพจาก : https://cybersecuritynews.com/romcom-office-0-day-ransomware/

ปัจจุบันการโจมตีของกลุ่มแรนซัมแวร์ดังกล่าวนั้นทางแหล่งข่าวระบุว่ากำลังแพร่กระจายในประเทศ ไต้หวัน, เกาหลีใต้, ฝรั่งเศส, สหรัฐอเมริกา, สเปน, สโลวาเกีย, แคนาดา, และประเทศที่ใกล้ไทยมากอย่าง สิงคโปร์ ถึงแม้จะยังไม่มีข่าวการแพร่กระจายของแรนซัมแวร์ดังกล่าวในไทย แต่หน่วยงานต่าง ๆ ก็ไม่ควรประมาท ทางทีมข่าวขอให้หมั่นอัปเดตซอฟต์แวร์ต่าง ๆ ที่ใช้งานอย่างสม่ำเสมอ และวางมาตรการการทำงานอย่างเข้มงวด เพื่อลดความเสี่ยงที่อาจเกิด


ที่มา : cybersecuritynews.com , nvd.nist.gov

0 %E0%B8%81%E0%B8%A5%E0%B8%B8%E0%B9%88%E0%B8%A1%E0%B9%81%E0%B8%AE%E0%B8%81%E0%B9%80%E0%B8%81%E0%B8%AD%E0%B8%A3%E0%B9%8C+RomCom+%E0%B9%83%E0%B8%8A%E0%B9%89%E0%B8%8A%E0%B9%88%E0%B8%AD%E0%B8%87%E0%B9%82%E0%B8%AB%E0%B8%A7%E0%B9%88+Zero-Day+%E0%B8%9A%E0%B8%99+Microsoft+Office+%E0%B8%9B%E0%B8%A5%E0%B9%88%E0%B8%AD%E0%B8%A2%E0%B9%81%E0%B8%A3%E0%B8%99%E0%B8%8B%E0%B8%B1%E0%B8%A1%E0%B9%81%E0%B8%A7%E0%B8%A3%E0%B9%8C
แชร์หน้าเว็บนี้ :
Keyword คำสำคัญ »
เขียนโดย
นักเขียน : Editor    นักเขียน
 
 
 

ข่าวไอทีที่เกี่ยวข้อง

 


 

แสดงความคิดเห็น