Our Services

grid

View More

grid

View More

grid

View More
ActivityView More

พบเว็บไซต์ของมหาวิทยาลัย ชื่อดังแห่งหนึ่งถูกโจมตีโดยกลุ่มผู้ไม่ประสงค์ดี !!

ทีมผู้เชี่ยวชาญจาก SOSECURE พบผู้ไม่ประสงค์ดีทำการโจมตีเครื่อง Web Application Server ของมหาวิทยาลัย ชื่อดังแห่งหนึ่งในภาคใต้ โดยผู้ไม่ประสงค์ดีอาศัยช่องโหว่ของอุปกรณ์ IIS ที่มีเวอร์ชัน 8.5 ในการโจมตีครั้งนี้ ซึ่งทำให้ผู้ไม่ประสงค์ดีได้ทำการสร้างหน้าเพจใหม่ขึ้นมา (root.php) ในทุก ๆ Sub Domain ของมหาวิทยาลัยที่ใช้ IIS เวอร์ชันดังกล่าว ข้อแนะนำ 1. ดำเนินการ Update Patch ของ Software อยู่เป็นประจำ หมายเหตุ : ทางทีมไม่มีส่วนเกี่ยวข้องกับการกระทำดังกล่าว รวมถึงไม่มีเจตนาทำให้ผู้ใดผู้หนึ่งเสื่อมเสียชื่อเสียง เป็นเพียงการเตือนภัยให้กับผู้ที่เกี่ยวข้องเท่านั้นและไม่ส่งเสริมให้มีการกระทำความผิดตาม พรบ. คอมพิวเตอร์ใด ๆ ทั้งสิ้น #SosecureNews#ThaiCybersecurityNews#News#CyberNews
Read More

Microsoft Office ใหม่ Zero-day ใช้ในการโจมตีเพื่อเรียกใช้ PowerShell 

นักวิจัยค้นพบช่องโหว่ Zero-day ใหม่ของ Microsoft Office ช่องโหว่ที่ยังไม่ได้รับรหัส CVE เรียกว่า ‘Follina’ ซึ่งช่องโหว่ดังกล่าวโจมตีโดยการรันคำสั่ง PowerShell ที่อันตรายผ่าน Microsoft Diagnostic Tool (MSDT) เพียงแค่เปิดเอกสาร Word เวกเตอร์จะถูกรันด้วยโปรแกรม Microsoft Office เนื่องจากสามารถหลีกเลี่ยงการตรวจจับของ Windows Defender และไม่จำเป็นต้องมีโค้ดมาโครเพื่อเรียกใช้ไบนารีหรือสคริปต์  เมื่อวันศุกร์ที่ผ่านมา นักวิจัยด้านความปลอดภัย nao_sec พบเอกสาร Word ที่เป็นอันตรายที่ถูก Upload ไปยัง Virus Total จาก IP Address ในเบลารุส พบไฟล์ที่ใช้ประโยชน์จากช่องโหว่ CVE-2021-40444 จากนั้นก็พบไฟล์รูปแบบ ms-msdt ผู้ไม่ประสงค์ดีใช้ลิงก์ภายนอกของ Word เพื่อโหลด HTML แล้วใช้รูปแบบ ‘ms-msdt’ เพื่อรันโค้ด…
Read More

มัลแวร์ EnemyBot เพิ่มช่องโหว่ใหม่ใน VMware และ F5 BIG-IP !!

EnemyBot เป็นบ็อตเน็ตที่ใช้โค้ดจากมัลแวร์หลายชนิด กำลังขยายการเข้าถึงโดยการเพิ่มช่องโหว่ในเว็บเซิร์ฟเวอร์, ระบบจัดการเนื้อหา(CMS), IoT และอุปกรณ์ Android จุดประสงค์คือเปิดตัวการโจมตีแบบปฏิเสธการให้บริการ (DDoS) อีกทั้งมัลแวร์ยังมีโมดูลสำหรับสแกนหาอุปกรณ์เป้าหมายใหม่ และแพร่กระจาย  AT&T Alien Labs ระบุว่า EnemyBot รุ่นล่าสุดรวมช่องโหว่ได้ 24 จุด แต่มีหลายช่องโหว่ที่ไม่มีหมายเลข  CVE ซึ่งทำให้ใช้การป้องกันได้ยากขึ้น โดยข้อบกพร่องส่วนใหญ่ที่เกี่ยวข้องกับเราเตอร์และอุปกรณ์ IoT  โดยช่องโหว่ที่เพิ่มขึ้นของ EnemyBot มีดังนี้ :  CVE-2022-22954 (CVSS: 9.8) ช่องโหว่การเรียกใช้โค้ดจากระยะไกลที่ส่งผลต่อ VMware Workspace  ONE Access และ VMware Identity Manager   CVE-2022-22947 (CVSS: 6.8) ช่องโหว่ใน Spring Cloud Gateway โดยผู้ไม่ประสงค์ดีสามารถสร้างคำขอ และอาจอนุญาตให้มีการดำเนินการบนโฮสต์ระยะไกลได้  CVE-2022-1388…
Read More

พบช่องโหว่ใน OAS ของระบบอุตสาหกรรมหลายรายการ !! 

ช่องโหว่แรกที่พบคือ CVE-2022-26082 (ความรุนแรง 9.1) ทำให้ผู้ไม่ประสงค์ดีสามารถรันโค้ดที่เป็นอันตราย จากระยะไกลบนเครื่องเป้าหมายเพื่อขัดขวางหรือเปลี่ยนแปลงการทำงาน และช่องโหว่ CVE-2022-26833  (ความรุนแรง 9.4) ช่วยให้สามารถใช้ REST Application Programming Interface (API) โดยไม่ผ่านการตรวจสอบสิทธิ์สำหรับการกำหนดค่าและการดูข้อมูลบนระบบ   ข้อบกพร่องอื่นๆ ที่ Cisco Talos ค้นพบนั้นจัดอยู่ในประเภทที่มีความรุนแรงสูง (CVSS: 7.5) และมีดังต่อไปนี้:  CVE-2022-27169 : รับรายการไดเรกทอรีผ่านคำขอเครือข่าย  CVE-2022-26077 : การเปิดเผยข้อมูลที่กำหนดเป้าหมายไปยังข้อมูลประจำตัวของบัญชี  CVE-2022-26026 : การปฏิเสธการบริการและการสูญหายของการเชื่อมโยงข้อมูล  CVE-2022-26303 และ CVE-2022-26043 : การเปลี่ยนแปลงการกำหนดค่าภายนอกและการสร้างผู้ใช้ใหม่   ซึ่งแพลตฟอร์มที่ได้รับผลกระทบคือ OAS V16.000.0112 และต่ำกว่า  Open Automation Software (OAS) ออกแบบมาเพื่อให้องค์กร สามารถย้ายข้อมูลระหว่างแพลตฟอร์มต่างๆ  ตัวอย่างเช่น อุปกรณ์อุตสาหกรรม…
Read More

ผู้เชี่ยวชาญให้รายละเอียดเกี่ยวกับช่องโหว่ RCE ใหม่ที่ส่งผลกระทบต่อ Google Chrome  

มีการเปิดเผยรายละเอียดเกี่ยวกับช่องโหว่ Remote Code Execution ที่พึ่งได้รับการแก้ไขใน V8 JavaScript และ WebAssembly engine ที่ใช้ในเบราว์เซอร์ Google Chrome และ Chromium   ช่องโหว่ Use-after-free จะเกิดขึ้นเมื่อมีการเข้าถึงหน่วยความจำ ทำให้เกิดการทำงานที่ผิดปกติ เช่น ทำให้โปรแกรมหยุดทำงาน เกิดความเสียหายต่อข้อมูล หรือ เกิดได้โจมตีแบบ Arbitrary Code Execution (ACE)  โดยช่องโหว่ดังกล่าวสามารถถูกโจมตีจากระยะไกลผ่านเว็บไซต์ที่ออกแบบมาเป็นพิเศษ เพื่อ Bypass ระบบรักษาความปลอดภัย และ เรียกใช้โค้ดได้ตามที่ต้องการ เพื่อ Compromise กับระบบผู้ที่ตกเป็นเป้าหมาย นอกจากนี้ Google  ยังไม่ได้กำหนดรหัส CVE สำหรับช่องโหว่นี้   ช่องโหว่ดังกล่าวยังทำให้ผู้ไม่ประสงค์ดีทำการโจมตีได้โดยการใช้เทคนิคแบบ Heap Spraying เป็นเทคนิคที่ ใช้ในการหาช่องโหว่เพื่อรันคำสั่งที่เป็นอันตราย ซึ่งจะนำไปสู่การเกิดช่องโหว่ Type Confusion ที่ทำให้ผู้ไม่ประสงค์ดีสามารถควบคุมฟังก์ชัน…
Read More

Clop ransomware กลับมา!!! โจมตีเหยื่อ 21 รายในเดือนเดียว

หลังจาก Clop ransomware ได้ถูกปิดการทำงานมาเป็นเวลาหลายเดือนระหว่างแล้ว ตอนนี้ Clop Ransomware กลับมาอีกครั้ง ตามที่นักวิจัยของ NCC Group กล่าว  NCC Group กล่าวว่า “Clop ransomware” กลับมาเป็นภัยคุกคามระดับต้นๆของภัยการโจมตี Ransomware โดยสังเกตเห็นได้หลังจากกลุ่มผู้ไม่ประสงค์ดี เพิ่มเหยื่อรายใหม่ 21 รายไปยังเว็บไซต์ของตนในเดือนเมษายนที่ผ่านมาโดยเป้าหมายการโจมตีของ Clop คือภาคอุตสาหกรรม โดย 45% ของการโจมตีด้วย Clop Ransomware โจมตีองค์กรอุตสาหกรรม และ 27% กำหนดเป้าหมายไปยังบริษัทเทคโนโลยี  คำแนะนำ  ควรหลีกเลี่ยงการดาวน์โหลดไฟล์จากเว็บหรืออีเมลที่น่าสงสัย  ควรสำรองข้อมูลที่สำคัญไว้บนระบบคลาวด์ (Cloud Platform)   ควรแสกนไวรัสในเครื่องอย่างสม่ำเสมอ  ควรตระหนักถึงภัยคุกคามทางไซเบอร์  ควรตรวจสอบไฟล์ที่ดาวน์โหลดมาก่อนติดตั้งหรือทำการคลิก สามารถตรวจสอบไฟล์ได้ที่(https://www.virustotal.com/gui/home/upload)  IOCS  SHA256s  e8d98621b4cb45e027785d89770b25be0c323df553274238810872164187a45f  8e91f3294883fbdc31ff17c3075f252cbfdc1fc9145c6238468847f86d590418  d1c04608546caf39761a0e390d8f240faa4fc821eea279f688b15d0b2cfc9729  3320f11728458d01eef62e10e48897ec1c2277c1fe1aa2d471a16b4dccfc1207  eba8a0fe7b3724c4332fa126ef27daeca32e1dc9265c8bc5ae015b439744e989 …
Read More

Site References and Our Partner