Day: November 10, 2023

องค์กรที่ใช้ซอฟต์แวร์การบริการจัดการเทคโนโลยีสารสนเทศ (ITSM) ของ SysAid ได้รับการแจ้งเตือนเกี่ยวกับช่องโหว่ Zero-Day ที่ถูกใช้ในการโจมตีโดยกลุ่ม Ransomware โดยการใช้ประโยชน์จากช่องโหว่ Zero-Day ที่ติดตามภายใต้รหัส CVE-2023-47246 ซึ่งถูกพบครั้งแรกโดย Threat Intelligence ของ Microsoft และรีบแจ้งให้ SysAid ทราบเกี่ยวกับช่องโหว่และการโจมตีที่เกิดขึ้น  บริษัทตรวจสอบพบว่าซอฟต์แวร์ Sysaid ภายในองค์กรได้รับผลกระทบจากช่องโหว่นี้ ซึ่งได้กล่าวว่า    เป็นช่องโหว่บนซอฟต์แวร์ SysAid ที่ทำให้ผู้ไม่ประสงค์ดีสามารถส่งข้อมูลที่ไม่ได้รับอนุญาต เข้าสู่ระบบ                   และสามารถใช้งาน Execute Code ได้โดยไม่ได้รับอนุญาต และเมื่อ SysAid ทราบเรื่องเกี่ยวกับช่องโหว่               Zero-Day เมื่อวันที่ 2 พฤศจิกายน จึงได้ทำการเผยแพร่เวอร์ชัน 23.3.36 วันที่ 8 พฤศจิกายน เพื่อแก้ไขช่องโหว่นี้ บรษัทยังเผยแพร่ข้อมูลทางเทคนิคเกี่ยวกับการโจมตี และให้คำแนะนำเกี่ยวกับขั้นตอนที่ลูกค้าอาจได้รับผลกระทบ  ข้อมูลจาก Microsoft กล่าวว่า…

การโจมตีด้วย Ransomware TellYouThePass ยังเปิดเผยผู้ใช้บริการ Apache ActiveMQ ที่เชื่อมต่อกับอินเทอร์เน็ต โดยเป้าหมายคือช่องโหว่ควบคุมระยะไกล (RCE) ซึ่งเคยถูกใช้โจมตีไว้ก่อนหน้านี้และเป็นช่องโหว่ Zero-day   ช่องโหว่ที่ถูกติดตามในชื่อ CVE-2023-46604 เป็นช่องโหว่ระดับความรุนแรงสูงสุดในตัวกลาง Message broker แบบโอเพ่นซอร์สที่ปรับขนาดได้ของ ActiveMQ ซึ่งช่วยให้ผู้ไม่ประสงค์ดีที่ไม่ได้รับอนุญาตสามารถรัน Shell Commands ได้อย่างอิสระบนเซิร์ฟเวอร์ที่มีช่องโหว่ได้  ในขณะที่ Apache เปิดตัวการอัปเดตความปลอดภัยเพื่อแก้ไขช่องโหว่เมื่อวันที่ 27 ตุลาคม บริษัทรักษาความปลอดภัยทางไซเบอร์ ArcticWolf และ Huntress Labs พบว่าผู้ไม่ประสงค์ดีใช้ประโยชน์จากช่องโหว่ แบบ Zero-day เพื่อปรับใช้ Malware SparkRAT มานานกว่า 2 สัปดาห์ นับตั้งแต่อย่างน้อยวันที่ 10 ตุลาคม  ตามข้อมูลจากบริการตรวจสอบภัยคุกคาม ShadowServer ปัจจุบันมีเซิร์ฟเวอร์ Apache ActiveMQ มากกว่า 9,200…

ผู้ไม่ประสงค์ดี HelloKitty Ransomware กำลังใช้ประโยชน์จากช่องโหว่การเรียกใช้โค้ดจากระยะไกล(RCE) บน Apache ActiveMQ เพื่อเข้าสู่ระบบเครือข่ายและเข้ารหัสอุปกรณ์ต่าง ๆ โดยไม่ได้รับอนุญาต   ช่องโหว่ CVE-2023-46604 เป็นช่องโหว่ที่มีความรุนแรง (คะแนน CVSS v3: 10.0) ทำให้ผู้โจมตีสามารถรันคำสั่งโค้ดได้โดยไม่ได้รับอนุญาต ซึ่งเป็นการใช้ประโยชน์จาก Serialized Class Types ในโปรโตคอล OpenWire  ช่องโหว่ได้รับการแก้ไขโดยมีการอัปเดตความปลอดภัยเมื่อวันที่ 25 ตุลาคม ค.ศ. 2023 แต่ผู้เชี่ยวชาญด้านความปลอดภัยของ ShadowServer กล่าวว่า เมื่อวันที่ 30 ตุลาคม ค.ศ. 2023 ยังพบเซิร์ฟเวอร์ที่เปิดใช้       บนอินเทอร์เน็ตจำนวน 3,329 เครื่องที่ยังใช้เวอร์ชันที่ยังไม่ได้มีการแก้ไขช่องโหว่ซึ่งมีความเสี่ยงถูกโจมตีได้  บริษัท Rapid7 รายงานว่าพบผู้ใช้งานระบบขององค์กรที่ใช้ประโยชน์จากช่องโหว่ CVE-2023-46604  เพื่อแพร่กระจาย HelloKitty Ransomware และถูกเรียกค่าไถ่จากองค์กรที่ตกเป้นเป้าหมาย โดยพบการโจมตี     เมื่อวันที่…

มัลแวร์รุ่นล่าสุดที่แฝงตัวเป็นนักขุด Cryptocurrency ในการหลบเลี่ยงเรดาร์มานานกว่า 5 ปีแล้ว  และแพร่กระจายในอุปกรณ์ไม่น้อยกว่า 1 ล้านเครื่องทั่วโลก ข้อมูลดังกล่าวเป็นไปตามการค้นพบของ Kaspersky ซึ่งมีชื่อรหัสว่าชองโหว่ StripedFly โดยอธิบายว่ามันเป็น “เฟรมเวิร์กโมดูลาร์ที่ซับซ้อนที่รองรับทั้ง Linux  และ Windows  ผู้จำหน่ายระบบรักษาความปลอดภัยทางไซเบอร์ของรัสเซีย ซึ่งตรวจพบตัวอย่างครั้งแรกในปี 2017  กล่าวว่านักขุดเป็นส่วนหนึ่งของหน่วยงานที่มีขนาดใหญ่กว่ามากซึ่งใช้ช่องโหว่ EternalBlue SMBv1 ที่ประกอบกับกลุ่ม Equation ในการแทรกรูปแบบระบบที่เข้าถึงได้แบบสาธารณะ  Shellcode ที่เป็นอันตรายซึ่งส่งผ่านช่องโหว่ มีความสามารถในการดาวน์โหลดไฟล์ไบนารีจากที่เก็บ Bitbucket ระยะไกล รวมถึงรันสคริปต์ PowerShell นอกจากนี้ยังรองรับคอลเลกชันคุณสมบัติที่ขยายได้เหมือนปลั้กอินเพื่อรวบรวมข้อมูลที่ละเอียดอ่อนหรือแม้แต่ถอนการติดตั้งตัวเอง  Shellcode ของแพลตฟอร์มแทรกเข้าไปในกระบวนการ wininit.exe ซึ่งเป็นกระบวนการ Windows  ที่ถูกต้องซึ่งเริ่มต้นโดยตัวจัดการการบูต ( BOOTMGR ) และจัดการการเริ่มต้นบริการต่างๆ ตัวของมัลแวร์ มีโครงสร้างเป็นโค้ดไบนารีมอนอลิธิกที่ออกแบบมาเพื่อรองรับโมดูลที่สามารถขยายหรืออัปเดตฟังก์ชันการทำงานได้  ซึ่งซ่อนตัวในระบบสื่อสารกับเซิร์ฟเวอร์คำสั่ง รวมถึงฟังก์ชันการอัปเดตและการส่งมอบผ่านบริการ ที่น่าเชื่อถือ เช่น GitLab, GitHub,…