ระวังผู้ไม่ประสงค์ดีใช้ประโยชน์จากช่องโหว่ใน Zyxel firewalls และ VPNs !!

พบผู้ไม่ประสงค์ดีเริ่มใช้ประโยชน์จากช่องโหว่ CVE-2022-30525 (9.8 CRITICAL) ซึ่งส่งผลกระทบต่อ  Zyxel firewall และ อุปกรณ์ VPN โดยทำให้ผู้ไม่ประสงค์ดีสามารถทำการโจมตี และรวบรวมคำสั่งจากระยะไกลได้โดยไม่ต้องตรวจสอบสิทธิ์ อีกทั้งยังสามารถเปิดใช้การตั้งค่า Reverse Shell ได้ด้วย   ช่องโหว่นี้ถูกค้นพบโดยทีมงาน Rapid 7 ซึ่งปัจจุบันได้กลายเป็นโมดูลใน Metasploit แล้ว โดยนักวิจัยตั้งข้อสังเกตุว่าผู้ไม่ประสงค์ดีสามารถสร้าง Reverse Shell โดยการใช้ Normal Bash GTFOBin   นอกจากนี้ทีมงาน Rapid 7 ได้สแกนอินเทอร์เน็ตโดยใช้แพลตฟอร์ม Shodan และพบมากกว่า 15,000 รายการ ที่มีช่องโหว่ ส่วนการใช้ Shadowserver ในการสแกนพบ Zyxel firewall อย่างน้อย 20,800 รุ่นบนเว็บที่อาจได้รับผลกระทบจากช่องโหว่ดังกล่าว  พบประเทศที่มีความเสี่ยงมากที่สุดได้แก่ ฝรั่งเศส, อิตาลี รวมถึงประเทศไทย และประเทศอื่นๆดังรูปต่อไปนี้…
Read More

Microsoft ได้แก้ไขช่องโหว่ NTLM Relay Attack

ในช่วง พฤษภาคม พ.ศ. 2565 Microsoft ได้ทำการอัพเดตแพทช์ เพื่อแก้ไขช่องโหว่ NTLM Relay Attack (CVE-2022-26925) ซึ่งเป็น ‘ช่องโหว่การปลอมแปลง Windows LSA’   ผู้ไม่ประสงค์ดีที่สามารถเรียกใช้เมธอดบนอินเทอร์เฟซ LSARPC และบังคับตัวควบคุมโดเมนให้ตรวจสอบสิทธิ์ โดยใช้ NTLM การการอัพเดตแพทช์ในครั้งนี้จะตรวจจับความพยายามใน การเชื่อมต่อแบบไม่ระบุตัวตนใน LSARPC ซึ่งอาจทำให้ผู้ไม่ประสงค์ดีสามารถควบคุมโดเมนได้อย่างสมบูรณ์  แม้ว่า Microsoft จะไม่เปิดเผยรายละเอียดเกี่ยวกับช่องโหว่มากเกินไป แต่ระบุว่าการแก้ไขดังกล่าวส่งผลต่อฟังก์ชัน EFS API OpenEncryptedFileRaw(A/W) ซึ่งบ่งชี้ว่านี่อาจเป็นเวกเตอร์อื่นที่ไม่ได้รับการแก้ไขสำหรับการโจมตี PetitPotam  สามารถดูการสาธิตการโจมตีนี้ได้ด้านล่าง  คำแนะนำ  ทำการอัพเดตแพทช์ ระบบปฏิบัติการให้เป็นเวอร์ชั่นล่าสุด  Ref: https://www.bleepingcomputer.com/news/security/microsoft-fixes-new-petitpotam-windows-ntlm-relay-attack-vector/ 
Read More

พบ Backdoor ใหม่ “Saitama” มุ่งเป้าไปที่กระทรวงต่างประเทศของ จอร์แดน

พบ Backdoor ใหม่มีชื่อเรียกว่า “Saitama” ใช้การโจมตีแบบ Spear-Phishing โดยมีเป้าหมายคือ กระทรวงต่างประเทศของ จอร์แดน โดยนักวิจัยกล่าวว่าน่าจะเป็นการโจมตีจากกลุ่มผู้ไม่ประสงค์ดี APT34  เนื่องจากใช้การโจมตีแบบเดียวกัน   ในข้อความฟิชชิ่งจะแนบไฟล์ Excel เมื่อผู้ใช้เปิดไฟล์จะทำให้เรียกใช้ มาโคร Visual Basic Application และแพร่กระจายเพย์โหลดของมัลแวร์ (“update.exe”)  โดย Saitama จะดรอป Backdoor ขนาดเล็กที่เขียนใน .Net  พร้อม Path: pdb (Saitama.Agent.pdb) และใช้ประโยชน์จากโปรโตคอล DNS สำหรับการสื่อสารแบบ  command-and-control (C2) เพื่อที่จะปิดบังการรับส่งข้อมูล และใช้วิธี “finite-state machine” เพื่อดำเนินการคำสั่งที่ได้รับจาก C2 เซิร์ฟเวอร์  IOCs  Confirmation Receive Document.xls  26884f872f4fae13da21fa2a24c24e963ee1eb66da47e270246d6d9dc7204c2b  Maldoc:  Saitama backdoor: …
Read More

SonicWall แนะนำให้ดำเนินการแก้ไขช่องโหว่ SSLVPN SMA1000

SonicWall แนะนำให้ดำเนินการแก้ไขช่องโหว่ความเสี่ยงสูงที่ส่งผลกระทบต่อกลุ่มผลิตภัณฑ์ Secure Mobile Access (SMA) 1000 Series ที่สามารถปล่อยให้ผู้ไม่ประสงค์ดีเลี่ยงการตรวจสอบสิทธิ์ และอาจจะบุกรุกไปยังอุปกรณ์ได้ โดยที่ปัจจุบันนั้นยังไม่ได้รับการแก้ไข ซึ่งปัจจุบันมีลูกค้ากว่า 500,000 รายจาก 215 ประเทศทั่วโลก ที่กำลังใช้ผลิตภัณฑ์ของ SonicWall อยู่ โดยส่วนใหญ่ใช้ในเครือข่ายของหน่วยงานรัฐบาลและยังรวมถึงบริษัทที่ใหญ่ที่สุดในโลกอีกด้วย  SonicWall SMA 1000 SSLVPN ถูกใช้เพื่อรักษาความปลอดภัยการเชื่อมต่อระยะไกลในเครือข่ายองค์กรแบบ end-to-end ในรูปแบบใช้ภายในองค์กร คลาวด์ และไฮบริด  โดยช่องโหว่แรกคือ CVE-2022-22282  ช่องโหว่การเข้าถึงอุกปกรณ์โดยที่ไม่ผ่านการตรวจสอบสิทธิ์ซึ่งมีระดับความรุนแรงสูง และยังเป็นเป็นช่องโหว่ที่ร้ายแรงที่สุด ส่วนอีกสองช่องโหว่ คือ ช่องโหว่การเข้ารหัสแบบฮาร์ดโค้ดของ cryptographic key ที่อาจจะมีผลร้ายแรงหากปล่อยทิ้งไว้โดยไม่ได้รับการแพตช์ และอาจถูกโจมตีโดยผู้ไม่ประสงค์ดีได้เนื่องจากจะช่วยให้พวกเขาเข้าถึงข้อมูลประจำตัวที่เข้ารหัสได้ และช่องโหว่สุดท้ายคือช่องโหว่การเปลี่ยนเส้นทางแบบเปิด โดยทั้งสองช่องโหว่มีระดับความรุนแรงปานกลางและยังไม่มีประกาศหมายเลข CVE ID  ช่องโหว่ดังกล่าวส่งผลกระทบต่อรุ่น SMA 1000 Series ต่อไปนี้ 6200,…
Read More

พบ Sysrv botnet มุ่งเป้าโจมตีไปที่ Windows และ Linux Server !!

Microsoft เปิดเผยว่า Sysrv botnet ได้ใช้ประโยชน์จากช่องโหว่ใน Spring Framework และ WordPress เพื่อดักจับข้อมูล และ ติดตั้ง Cryptomining Malware บน Windows และ Linux Server ที่มีช่องโหว่   Redmond ได้ค้นพบตัวแปรใหม่ เรียกว่า “Sysrv-K” ที่ได้รับการอัปเกรดให้มีความสามารถที่หลากหลาย  รวมไปถึงการสแกนหา WordPress และ Spring ที่ยังไม่ได้ทำการอัปเดตแพตซ์ และยังมีสามารถในการสแกนหาไฟล์การกำหนดค่า (Configuration) ของ WordPress และ การสำรองข้อมูลเพื่อขโมยข้อมูลประจำตัวจากฐานข้อมูล    เพื่อเข้าควบคุม Web Server  ช่องโหว่เหล่านี้ได้รับการแก้ไขแล้ว รวมไปถึงช่องโหว่เก่าใน Plugin WordPress เช่นเดียวกันกับช่องโหว่ CVE-2022-22947 ซึ่งเป็นช่องโหว่ที่ช่วยให้ผู้ไม่ประสงค์ดีสามารถใช้การโจมตีด้วย code injection ในไลบรารี  Spring Cloud Gateway…
Read More

การกลับมาของกลุ่มแฮคเกอร์ APT32 พร้อมกับ TTPs ใหม่และไฟล์อันตราย

กวิจัยด้านภัยคุกคามค้นพบการโจมตีแบบใหม่ที่เกิดจากกลุ่มผู้ไม่ประสงค์ดีของอิหร่านที่รู้จักกันในชื่อ APT34 หรือ Oilrig โดยครั้งนี้ได้ใช้การโจมตีแบบ Spearphishing Email มุ่งเป้าไปที่นักการทูตชาวจอร์แดน โดยที่ผู้ส่งจะปลอมแปลงเป็นเพื่อนร่วมงานจากแผนกไอทีขององค์กรรัฐบาลเดียวกัน  ซึ่งอีเมลดังกล่าวจะมีไฟล์ Exel ที่เป็นโค้ดแมโคร VBA อันตรายแนบไปด้วย โดยโค้ดนี้ใช้สำหรับสร้างไฟล์สามไฟล์ คือ ไฟล์ปฏิบัติการที่เป็นอันตราย ไฟล์ที่ใช้กำหนดค่า และไฟล์ที่มี Sign และ DLL ที่ไม่อันตราย อีกทั้งยังค้นพบความผิดปกติอีกประการหนึ่งเกี่ยวข้องกับการดำเนินการ 2 Anti-analysis ที่ใช้ในมาโครอย่างการสลับการมองเห็นชีตในสเปรดชีตและอีกวิธีหนึ่งคือการตรวจสอบการเชื่อมต่อของเมาส์ ซึ่งอาจไม่มีอยู่ในบริการการวิเคราะห์มัลแวร์ของแซนด์บ็อกซ์  ตามที่กล่าวไว้ในตารางข้างต้น มาโครมีความสามารถในการสร้างไฟล์สามไฟล์ดังนี้   ไฟล์ปฏิบัติการที่เป็นอันตราย : %LocalAppData%\MicrosoftUpdate\update.exe   ไฟล์ที่ใช้กำหนดค่า : %LocalAppData%\MicrosoftUpdate\update.exe.config   ไฟล์ที่มี Sign และ DLL ที่ไม่อันตราย %LocalAppData%\MicrosoftUpdate\Microsoft.Exchange.WebServices.dll  แบบฟอร์มทั้งสามรูปแบบจะถูกเก็บไว้ในไฟล์ Excel โดยมีชื่อกำกับไว้พร้อมกับคำอธิบายดังภาพด้านบน ซึ่งคำอธิบายนี้ประกอบด้วยข้อมูลที่เข้ารหัส Base64 ไว้ นอกจากนี้ยังใช้มาโคร Excel…
Read More

BPFdoor malware firewall redirectพบ !! มัลแวร์ BPFdoor ที่มีสามารถในการ Bypasses Firewall

พบ !! มัลแวร์ BPFDoor เป็น Linux/Unix Backdoor ที่ช่วยให้ผู้ไม่ประสงค์ดีสามารถใช้การโจมตี แบบ Remote Code Execution ไปที่ระบบ โดยไม่ต้องทำการเปิดใช้งาน Port ใหม่ บนเครือข่าย  หรือ Firewall Rules   Parsing “Magic” Packets  มัลแวร์ BPFdoor เป็น Passive Backdoor ซึ่งหมายความว่ามันสามารถใช้ Port ใด Port หนึ่งหรือมากกว่าสำหรับ Packets ขาเข้าจาก Host หนึ่งหรือมากกว่า ซึ่งผู้ไม่ประสงค์ดีสามารถเรียกใช้คำสั่ง ที่เป็นอันตรายไปยังเครือข่ายที่ถูกโจมตี  มัลแวร์จะใช้ Berkeley Packet Filter (BPF ในชื่อ Backdoor) ซึ่งทำงานที่ Network Layer Interface เพื่อดูการรับส่ง Network…
Read More