เอกสาร Microsoft Office คุกคาม ปล่อยมัลแวร์ LokiBot
ในหนึ่งสัปดาห์ที่เต็มไปด้วยเหตุการณ์สำคัญสำหรับ Microsoft รวมถึงการโจมตี APT ของจีนและการแพตช์ของ Zero-days ที่ถูกโจมตีในช่วง Patch Tuesday นักวิจัยได้ค้นพบที่น่าตกใจจากการสังเกตเอกสาร Microsoft Office ที่เป็นอันตรายหลายชุด ซึ่งเมื่อดำเนินการแล้ว จะปล่อยมัลแว ร์ LokiBot ไปยังระบบเป้าหมาย มัลแวร์นี้คุกคามผู้ที่ตกเป็นเหยื่ออย่างจริงจังโดยการแทรกซึมเข้าไปในระบบของพวกเขา ซึ่งอาจนำไปสู่การเข้าถึงโดยไม่ได้รับอนุญาตและการโจรกรรมข้อมูล
ใช้ประโยชน์จากช่องโหว่ที่รู้จักกันดี ได้แก่ CVE-2021-40444 (CVSS 7.8) และ CVE-2022-30190 (CVSS 7.8) เอกสาร Microsoft Office ที่ถูกคุกคามเป็นประตูสำหรับการแทรกซึมของมัลแวร์ LokiBot ที่มีชื่อเสียง แม้ว่าแพตช์จะพร้อมใช้งานสำหรับช่องโหว่เหล่านี้มานานกว่าหนึ่งปี แต่ผู้โจมตีก็ใช้ประโยชน์จากระบบที่ไม่ได้แพตช์
สารบัญ
โลกิบอทคืออะไร?
LokiBot เป็นโทรจันที่ขโมยข้อมูลมาอย่างยาวนานซึ่งเป็นที่รู้จักตั้งแต่ปี 2558 มุ่งเน้นไปที่แพลตฟอร์ม Windows โดยพยายามดึงข้อมูลที่มีค่าออกจากเครื่องที่ถูกบุกรุก การมีอยู่อย่างต่อเนื่องในแนวภัยคุกคามเน้นย้ำถึงความสำคัญของการรักษามาตรการรักษาความปลอดภัยที่แข็งแกร่งเพื่อป้องกันภัยคุกคามทางไซเบอร์ที่มีการพัฒนา
LokiBot ใช้เทคนิคที่เป็นอันตรายร่วมกันเพื่อดำเนินกิจกรรมที่เป็นอันตราย ใช้ประโยชน์จากช่องโหว่จำนวนมากและใช้มาโคร Visual Basic for Applications (VBA) เพื่อเริ่มการโจมตี นอกจากนี้ LokiBot ยังรวม Visual Basic Injector ที่ช่วยในการหลบเลี่ยงการตรวจจับและการวิเคราะห์ ด้วยการใช้ประโยชน์จากหัวฉีดนี้ มัลแวร์สามารถหลีกเลี่ยงมาตรการรักษาความปลอดภัยที่เฉพาะเจาะจง ทำให้เป็นภัยคุกคามที่น่ากลัวสำหรับผู้ใช้ ความสามารถของ LokiBot ในการใช้เทคนิคขั้นสูงเหล่านี้เน้นย้ำถึงความสำคัญของการใช้มาตรการรักษาความปลอดภัยที่เข้มงวดและเฝ้าระวังภัยคุกคามทางไซเบอร์ที่พัฒนาอย่างต่อเนื่อง
ข้อผิดพลาดในด้านของความระมัดระวัง
นักวิจัยแนะนำอย่างยิ่งให้ผู้ใช้ระมัดระวังและใช้แนวทางที่ระมัดระวังเมื่อต้องจัดการกับเอกสาร Office หรือไฟล์ที่ไม่คุ้นเคย โดยเฉพาะไฟล์ที่มีลิงก์ไปยังเว็บไซต์ภายนอก พวกเขาเน้นย้ำถึงความสำคัญของการระแวดระวังและการละเว้นจากการคลิกลิงก์ที่น่าสงสัยหรือเปิดไฟล์แนบจากแหล่งที่ไม่น่าเชื่อถือ นอกจากนี้ การรักษาซอฟต์แวร์และระบบปฏิบัติการให้ทันสมัยด้วยแพตช์ความปลอดภัยล่าสุดเป็นสิ่งสำคัญในการลดความเสี่ยงจากการใช้ประโยชน์จากมัลแวร์
ช่องโหว่ที่รู้จักเหล่านี้ก่อให้เกิดความท้าทายอย่างมากเนื่องจากใช้ประโยชน์จากเทคนิควิศวกรรมสังคมแบบคลาสสิกที่กำหนดเป้าหมายไปยังผู้ใช้ปลายทาง ผู้โจมตีพึ่งพาไฟล์แนบที่ล่อลวง โดยหวังว่าผู้ใช้ที่ไม่สงสัยหรือได้รับการปกป้องไม่เพียงพอจะเปิดไฟล์เหล่านั้นได้ ซึ่งเน้นย้ำถึงความจำเป็นในการตระหนักรู้และให้ความรู้ด้านความปลอดภัยทางไซเบอร์ที่แข็งแกร่ง เพื่อให้อำนาจแก่ผู้ใช้ในการจดจำและหลีกเลี่ยงภัยคุกคามที่อาจเกิดขึ้น
โชคดีที่ Microsoft ได้ใช้มาตรการเชิงรุกเพื่อแก้ไขและจัดหาวิธีแก้ปัญหา โดยเน้นย้ำถึงความจำเป็นของทีมรักษาความปลอดภัยเพื่อให้แน่ใจว่าผลิตภัณฑ์ป้องกันปลายทางของพวกเขาเป็นปัจจุบัน
สิ่งสำคัญคือต้องปฏิบัติต่อช่องโหว่การเรียกใช้โค้ดจากระยะไกลเป็นลำดับความสำคัญสูงสุดเสมอเกี่ยวกับระดับภัยคุกคาม คุณควรตรวจสอบตัวบ่งชี้การประนีประนอมอย่างละเอียดถี่ถ้วนและดำเนินการตรวจสอบเบื้องต้นเพื่อตรวจสอบว่าช่องโหว่นั้นส่งผลกระทบต่อพวกเขาหรือไม่ แนวทางเชิงรุกนี้ช่วยให้องค์กรสามารถระบุและลดผลกระทบที่อาจเกิดขึ้นได้อย่างทันท่วงที
การเกิดขึ้นของบรรจุภัณฑ์ใหม่สำหรับ LokiBot ทำให้เกิดความกังวลอย่างมากเนื่องจากความสามารถในการหลบเลี่ยงการตรวจจับ ปกปิดกิจกรรม และอาจทำลายข้อมูลที่ละเอียดอ่อน เพื่อรับมือกับปัญหาดังกล่าว องค์กรต่างๆ ไม่ควรหยุดใช้ Microsoft Office เพียงอย่างเดียว แต่ควรจัดลำดับความสำคัญในการดำเนินการเพื่อปกป้องระบบของตน ซึ่งรวมถึงการอัปเดตแพตช์และลายเซ็นป้องกันมัลแวร์อย่างสม่ำเสมอ และให้ความรู้แก่ผู้ใช้เกี่ยวกับการใช้ความระมัดระวังในการจัดการเอกสาร Office ด้วยการใช้มาตรการเชิงรุกเหล่านี้ องค์กรต่างๆ สามารถเสริมการป้องกันและลดความเสี่ยงที่จะตกเป็นเหยื่อของกิจกรรมที่สร้างความเสียหายดังกล่าว
เอกสาร Microsoft Office คุกคาม ปล่อยมัลแวร์ LokiBot ภาพหน้าจอ
