AXA โดน ransomware ของ กลุ่มแฮกเกอร์ Avaddon โจมตี

AXA บริษัทประกันสาขา ประเทศไทย ถูกโจมตีด้วย ransomware โดยกลุ่ม Avaddon และขโมยข้อมูล 3 TB  ข้อมูลที่ถูกขโมยโดย กลุ่ม Avaddon  เช่น  สำเนาบัตรประจำตัวประชาชน, ใบแจ้งยอด, บัญชีธนาคาร และ อื่น ๆ  กลุ่ม Ransomware Avaddon  บีบให้ AXA จ่ายค่าไถ โดยการโจมตี DDoS:  ข้อมูล 3 TB ที่ถูกขโมย ได้แก่ :  เอกสารทางการแพทย์ของลูกค้า   เอกสารการเรียกร้องค่าสินไหมทดแทนของลูกค้า  เอกสารการชำระเงินของลูกค้า  เอกสารสแกนบัญชีธนาคารของลูกค้า  เอกสารประจำตัวเช่นบัตรประจำตัวประชาชนหนังสือเดินทาง ฯลฯ  วิธีที่ Avaddon ทำการโจมตี   การแพร่กระจาย Ransomware  Avaddon ransomware จะถูกส่งผ่านอีเมลฟิชชิ่งที่มีไฟล์แนบที่เป็นอันตรายในรูปแบบของไฟล์ zip ที่มี JavaScript ที่เป็นอันตรายอยู่ภายใน  การเพิ่มสิทธิ์  Avaddon จะใช้เทคนิคในการเลี่ยงผ่าน UAC ผ่านอินเทอร์เฟซ COM ช่องโหว่นี้อยู่ในการเรียกใช้อ็อบเจ็กต์ COM ที่ยกระดับโดยไม่มีการแจ้งให้ UAC เรียกใช้กระบวนการที่มีสิทธิ์ที่เพิ่มขึ้น  การเข้ารหัสไฟล์ 6 ขั้นตอน  นำเข้าคีย์ RSA-2048 สาธารณะแบบฮาร์ดโค้ดและคีย์ AES-CBC-256 หลัก  สร้างคีย์เซสชัน AES-CBC-256  เพิ่ม IV ให้กับคีย์ AES-CBC-256 หลัก  ใช้คีย์ AES-CBC-256 หลักเพื่อเข้ารหัสข้อมูลเกี่ยวกับผู้ใช้ด้วยการเข้ารหัส Base64 และเพิ่มลงในบันทึกค่าไถ่  เข้ารหัสไฟล์ของผู้ใช้ด้วยคีย์ AES-CBC-256 เซสชันที่สร้างขึ้น     เพิ่มคีย์เซสชัน AES-CBC-256 ที่เข้ารหัสด้วยคีย์ RSA-2048 ที่ท้ายไฟล์ที่เข้ารหัสทุกไฟล์ Mitre Att&ck Matrix  วิธีการป้องกัน  วิธีป้องกันที่ดีที่สุดคือ ทุกคนต้องมีสติระมัดระวังในการใช้งาน มีการตระหนักรู้ (Awareness) ของการใช้งานที่ดี ไม่เข้าใช้โปรแกรมที่ไม่มีแหล่งที่มา  ไม่เปิดเมล์ที่ไม่มีแหล่งที่มาหรือน่าสงสัย รู้จักใช้ระบบป้องกัน เก็บบันทึกข้อมูลการใช้งานให้ครบถ้วน มีการสำรองข้อมูลสม่ำเสมอ อัพเดตซอฟต์แวร์และเครื่องมือต่าง…
Read More

เตือนภัย !! Hacker ประกาศขายช่องทางการโจมตีเว็บไซต์ “สำนักงานตำรวจแห่งชาติ”

ทีมผู้เชี่ยวชาญจาก SOSECURE พบผู้ไม่ประสงค์ดีทำการขายช่องทางที่ใช้ในการโจมตีไปยัง เว็บไซต์ “สำนักงานตำรวจแห่งชาติ (police.go.th)” โดยมีการเปิดเผยเทคนิคการโจมตีในรูปแบบ SQL Injectionไม่เพียงแต่จะขายช่องทางในการโจมตี ยังมีการขายข้อมูลที่โจรกรรมมาได้อีกด้วย ในมูลค่ากว่า 1,000 เหรียญสหรัฐ คำแนะนำ ทั้งนี้รอการยืนยันจากทางผู้ดูแลระบบเว็บไซต์ของหน่วยงานดังกล่าว ในเบื้องต้นแนะนำให้ผู้ใช้งานทำการเปลี่ยนรหัสผ่านที่เข้าถึงบนเว็บไซต์ หรือบน Application อื่น ๆ เช่น Email (ของหน่วยงาน) หรือ รหัสผ่านในการพิสูจน์ตัวตนเข้าใช้งานภายในหน่วยงาน รวมถึงหน่วยงานดังกล่าวควรมีการทำการทดสอบเจาะระบบเว็บไซต์ (Web Application Penetration Testing) หรือมีการทำ Secure Coding อย่างสม่ำเสมอ ด้วยเช่นกัน
Read More

ข้อมูล Username , Password และเบอร์โทรศัพท์ คนไทยหลุดว่อน เปลี่ยนรหัสด่วน !!

ทีมผู้เชี่ยวชาญจาก โซ ซีเคียว เผย พบ Username และ Password ของ Social Media คนไทย หลุดขายยังตลาดมืด เมื่อเวลา 06:43 น. ของวันที่ 26 เม.ย 2564 ทีมผู้เชี่ยวชาญพบมีการเสนอขายข้อมูล Username, Password และ เบอร์โทรศัพท์ หลุดออกมาจากเว็บไซต์หนึ่งไม่ทราบรายละเอียด โดยผู้ไม่ประสงค์ได้แจ้งว่าสามารถเข้าสู่ระบบ Social Media ต่าง ๆ ชื่อดังได้ จากการตรวจสอบข้อมูลเบื้องต้นนั้นพบว่าเป็นของคนไทย โดยมีจำนวนกว่า 90,000 User มีมูลค่า 300 เหรียญสหรัฐ คำแนะนำ ทั้งนี้แนะนำให้ผู้ใช้งานทำการเปลี่ยนรหัสผ่าน ในการเข้าสู่ระบบ Social Media  เช่น Facebook, Line, Instagram แม้แต่ E-mail…
Read More

นักวิจัยค้นพบมัลแวร์ชนิดใหม่จากกลุ่มผู้ไม่ประสงค์ดีชาวอิหร่าน

กลุ่มผู้ไม่ประสงค์ดีชาวอิหร่านได้ทำการโจมตีกลุ่มเป้าหมายชาวเลบานีสโดยการฝัง backdoor ในเครื่องเป้าหมายเพื่อขโมยข้อมูล            กลุ่มผู้ไม่ประสงค์ดีที่ใช้ชื่อว่า “APT34” หรือที่รู้จักในนาม “OilRig” เป็นที่รู้จักดีในการค้นหาเป้าหมายการโจมตีในกลุ่มสถาบันการเงิน องค์กรภาครัฐ กลุ่มพลังงาน และธุรกิจการสื่อสาร            การโจมตีเป้าหมายกระทำโดยการส่งข้อความผ่าน “LinkedIn message” โดยมีไฟล์เอกสารเสนอตำแหน่งงานซึ่งมี malicious macros ฝังอยู่ให้แก่เป้าหมาย   เมื่อเป้าหมายเปิดใช้ macros จะทำให้เครื่องติดไวรัสและถูกติดตั้ง backdoor ที่มีชื่อว่า “SideTwist” ที่สามารถติดต่อกลับไปยังรีโมทเซิร์ฟเวอร์เพื่อดาวน์โหลดไฟล์เพิ่มเติมสำหรับใช้ในการโจมตี และสามารถขโมยข้อมูลในเครื่องเป้าหมายได้  IOCs:  Malicious Document:MD5: 6615c410b8d7411ed14946635947325eSHA1: 9bba72ac66af84253b55dd7789afc90e0344bf25SHA256: 13c27e5049a7fc5a36416f2c1ae49c12438d45ce50a82a96d3f792bfdacf3dcd  SideTwist backdoor:MD5: 94004648630739c154f78a0bae0bec0aSHA1: 273488416b5d6f1297501825fa07a5a9325e9b56SHA256: 47d3e6c389cfdbc9cf7eb61f3051c9f4e50e30cf2d97499144e023ae87d68d5a  คำแนะนำ  ไม่เปิดไฟล์ที่ส่งมาจากผู้ที่ไม่รู้จัก  ปิดการใช้งาน macros จากไฟล์เอกสาร  ที่มา : https://thehackernews.com/2021/04/researchers-uncover-new-iranian-malware.html
Read More

Cisco แก้ไขข้อบกพร่องที่อนุญาตให้เรียกใช้รหัสระยะไกลด้วยสิทธิ์ Root

Cisco เปิดตัวการอัพเดตด้านความปลอดภัยเพื่อแก้ไขช่องโหว่การเรียกใช้รหัสระยะไกลล่วงหน้า (RCE) ส่งผลกระทบต่อส่วนประกอบการจัดการระยะไกลของ SD-WAN vManage Software            แก้ไขช่องโหว่ด้านความปลอดภัยที่มีความรุนแรงสูงอีกสองช่องในการจัดการผู้ใช้ (CVE-2021-1137) และฟังก์ชันการถ่ายโอนไฟล์ระบบ (CVE-2021-1480) ของผลิตภัณฑ์เดียวกันทำให้ผู้โจมตีสามารถเพิ่มสิทธิ์ได้ทำให้ผู้คุกคามที่กำหนดเป้าหมายพวกเขาได้รับสิทธิ์ Root บนระบบปฏิบัติการพื้นฐาน  การเรียกใช้รหัสด้วยสิทธิ์ระดับ Root            ข้อบกพร่องด้านความปลอดภัยที่สำคัญติดตาม CVE-2021-1479 ได้รับคะแนนความรุนแรง 9.8 / 10 ช่วยให้ผู้โจมตีระยะไกลที่ไม่ได้รับการพิสูจน์ตัวตนสามารถทริกเกอร์ buffer overflow            “ผู้โจมตีสามารถใช้ประโยชน์จากช่องโหว่นี้ได้โดยการส่งคำขอการเชื่อมต่อที่สร้างขึ้นเองไปยังส่วนประกอบที่มีช่องโหว่ซึ่งเมื่อประมวลผลแล้วอาจทำให้เกิดสภาวะ buffer overflow” Cisco อธิบาย            ช่องโหว่ส่งผลกระทบต่อ Cisco SD-WAN vManage 20.4 และรุ่นก่อนหน้า Cisco ได้แก้ไขปัญหาดังกล่าวในการอัพเดตด้านความปลอดภัย 20.4.1, 20.3.3 และ 19.2.4 แนะนำให้ผู้ใช้ย้ายข้อมูลไปยังรุ่นดังกล่าว  นักวิจัยด้านความปลอดภัยของ Cisco ค้นพบ CVE-2021-1479 ในระหว่างการทดสอบความปลอดภัยภายใน CVE-2021-1137 และ CVE-2021-1480  คำแนะนำ : ดำเนินการตรวจสอบและทำการอัพเดทให้เป็นเวอร์ชั่นตามที่ได้กล่าวไว้ข้างต้นหรือเป็นเวอร์ชั่นที่ใหม่กว่าเพื่อแก้ไขข้อบกพร่องที่เกิดขึ้นในเวอร์ชั่นก่อนหน้า และสำหรับอุปกรณ์ที่หมดอายุการใช้งานจะไม่รองรับเวอร์ชั่นปัจจุบันแนะนำให้เปลี่ยนเป็นอุปกรณ์ใหม่ที่รองรับเวอร์ชั่นปัจจุบันในการใช้งาน  ที่มา : https://www.bleepingcomputer.com/news/security/cisco-fixes-bug-allowing-remote-code-execution-with-root-privileges/ 
Read More

QNAP เตือนถึงการโจมตี Brute-force attack บนอุปกรณ์ NAS

QNAP เตือนลูกค้าเกี่ยวกับการโจมตีอย่างต่อเนื่องที่กำหนดเป้าหมายไปยังอุปกรณ์ QNAP NAS ในการโจมตีเหล่านี้ผู้ไม่ประสงค์ดีจะใช้ Automated tools เพื่อล็อกอินเข้าสู่อุปกรณ์ NAS ที่เปิดใช้งานอินเทอร์เน็ตโดยใช้รหัสผ่านที่สร้างขึ้นทันทีหรือจาก Credentials ที่ถูกขโมย  เมื่อเร็ว ๆ นี้ QNAP ได้รับรายงานจากลูกค้าหลายรายว่า พบผู้ไม่ประสงค์ดี พยายามที่จะเข้าสู่ระบบไปยังอุปกรณ์โดยใช้ QNAP โดยการโจมตี Brute-force attack หลังจากทำการเดาสุ่มรหัสผ่านที่ถูกต้องแล้วพวกเขาจะสามารถเข้าถึงอุปกรณ์เป้าหมาย เพื่อเข้าถึงข้อมูลที่เป็นความลับ และ ติดตั้ง Malware ได้ หากผู้ไม่ประสงค์ดีล้มเหลวในการโจมตีระบบของอุปกรณ์ NAS จะแจ้งเตือน  “Failed to login”  QNAP แนะนำให้ทำการเปลี่ยนหมายเลข Port ของอุปกรณ์ ใช้รหัสผ่านที่คาดเดายาก นอกจากนี้คุณยังสามารถกำหนดค่าอุปกรณ์ NAS ให้บล็อก IP Address โดยอัตโนมัติหลังการพยายามเข้าสู่ระบบหลายครั้ง ผู้ใช้งาน QNAP NAS ควรทำตามรายการตรวจสอบต่อไปนี้เพื่อรักษาความปลอดภัยอุปกรณ์ NAS   เปลี่ยนรหัสผ่านทั้งหมดสำหรับทุก User บนอุปกรณ์  ลบบัญชีผู้ใช้ที่ไม่รู้จักออกจากอุปกรณ์  ตรวจสอบให้แน่ใจว่าเฟิร์มแวร์ของอุปกรณ์เป็นรุ่นล่าสุด  ลบแอพพลิเคชั่นที่ไม่รู้จักหรือไม่ได้ใช้งานออกจากอุปกรณ์  ติดตั้งแอปพลิเคชัน QNAP MalwareRemover ผ่านฟังก์ชัน App Center  ที่มา: https://www.bleepingcomputer.com/news/security/qnap-warns-of-ongoing-brute-force-attacks-against-nas-devices/ 
Read More

“Black Kingdom” Ransomware กำหนดเป้าหมายโจมตีไปยัง Microsoft Exchange ที่มีช่องโหว่

นักวิจัยของ MalwareTechBlog พบการโจมตีของ “Black Kingdom” Ransomware ใน Server Microsoft Exchange ผ่านช่องโหว่ ProxyLogon เพื่อปรับใช้ ransomware  จากบันทึกใน Honeypots ของนักวิจัย ระบุว่า Hacker ใช้ช่องโหว่ในการเรียกใช้สคริปต์ PowerShell เพื่อดาวน์โหลด Ransomware จาก ‘yuuuu44 [.] com’ จากนั้นส่งออกไปยังคอมพิวเตอร์เครื่องอื่นในเครือข่าย แต่ดูเหมือนว่า การโจมตีครั้งนี้อาจเป็นการโจมตีที่ล้มเหลว  อย่างไรก็ตามขึ้นอยู่กับการส่งไปยังเว็บไซต์ที่ระบุ ransomware “ID Ransomware” แคมเปญ Black Kingdom ได้เข้ารหัสอุปกรณ์ของเหยื่อรายอื่นโดยมีการส่งครั้งแรกเมื่อวันที่ 18 มีนาคม Michael Gillespie ผู้สร้าง ID Ransomware กล่าวว่าระบบของเขาได้เห็นการส่งข้อมูลที่ไม่ซ้ำกันกว่า 30 รายการไปยังระบบของเขาโดยมีหลายรายการที่ส่งโดยตรงจาก Server Email เมื่อเข้ารหัสอุปกรณ์ Ransomware จะเข้ารหัสไฟล์โดยใช้นามสกุลแบบสุ่มจากนั้นสร้างโน้ตเรียกค่าไถ่ชื่อ  decrypt_file.TxT ดังที่แสดงด้านล่าง นักวิจัยกล่าวว่า Ransomware ที่เรียกใช้งานได้ในปัจจุบันเป็นสคริปต์ Python ที่คอมไพล์เป็นไฟล์ปฏิบัติการของ Windows “Black Kingdom” Ransomware ตั้งแต่เดือนมิถุนายน 2020 ได้รับการเข้ารหัสด้วย Python Black Kingdom…
Read More

พบ Botnet “Mirai Variant” ตัวใหม่โจมตีอุปกรณ์ Network Security ที่มีช่องโหว่

เมื่อวันที่ 16 กุมภาพันธ์ 2564 ที่ผ่านมา นักวิจัยของ Paloalto พบการโจมตีของ Hacker โดยอาศัยช่องโหว่ของ อุปกรณ์ Network Security จำนวนมาก ได้แก่  เมื่อโจมตีสำเร็จ Hacker จะวาง Binary File ที่เป็นอันตราย ของ Botnet “Mirai variants” และ Binary File ยังสร้าง filter rules เพื่อทำการโจมตี Brute-force attacks  Binary File   lolol.sh: ดาวน์โหลดและเรียกใช้ Binary File “Dark” นอกจากนี้ยังกำหนด Schedules job เพื่อรันสคริปต์อีกครั้ง และ สร้าง Traffic rules ที่บล็อกการเชื่อมต่อขาเข้าผ่านพอร์ตทั่วไปสำหรับ SSH, HTTP, telnet  install.sh: ติดตั้ง ‘zmap’ network-scanner ดาวน์โหลด GoLang และไฟล์สำหรับเรียกใช้การโจมตีแบบ brute-force attack บน IP ของอุปกรณ์ที่พบโดย zmap  nbrute.[arch]: Binary File สำหรับทำการโจมตี brute-force attack  Combo.txt: ไฟล์ข้อความที่มี credentials เพื่อใช้ทำการโจมตี brute-force attack  dark.[arch]: Mirai-based binary ใช้สำหรับการเผยแพร่ผ่านช่องโหว่ หรือ ทำการโจมตี brute-force attack  คำแนะนำ  1.Update Patch อุปกรณ์ให้เป็น Version ปัจจุบัน  2.Block IP ทั้งหมดตามที่กล่าวไว้ใน IOC  ที่มา: https://www.bleepingcomputer.com/news/security/new-botnet-targets-network-security-devices-with-critical-exploits/,…
Read More

Microsoft พบ Malware ใหม่ที่ Hacker ใช้กับ SolarWinds

          นักวิจัยด้านความปลอดภัยกับ Microsoft Threat Intelligence Center (MSTIC) และทีมวิจัย Microsoft 365 Defender พบ Malware ใหม่สามตัวที่มีชื่อว่า GoldMax, Sibot, and GoldFinder.           Microsoft กล่าวว่า Malware แต่ละตัว มีความสามารถดังต่อไปนี้:           GoldMax: เป็น Malware ที่ใช้ Go-based Backdoor ในการควบคุมเพื่อซ่อนกิจกรรมอันตราย และเพื่อหลีกเลี่ยงการตรวจจับ นอกจากนี้ยังมีตัวสร้างการรับส่งข้อมูลเครือข่ายล่อเพื่อปกปิดการรับส่งข้อมูลเครือข่ายที่เป็นอันตรายด้วยการรับส่งข้อมูลที่ไม่เป็นอันตราย           Sibot: เป็น Malware ที่ใช้ VBScript ที่ใช้เพื่อรักษาสถานะและดาวน์โหลด Payload Malware เพิ่มเติมโดยใช้ Second-stage script           GoldFinder: มัลแวร์ที่ใช้ Go-based…
Read More

Python Update Patch แก้ไขช่องโหว่ Remote Code Execution !!!

Python Software Foundation (PSF) ได้ออก Python 3.9.2 และ 3.8.8 เพื่อแก้ไขช่องโหว่ Buffer Overflow ซึ่งอาจเป็นช่องทางให้ Hacker ใช้ทำการโจมตี Remote Code Execution รหัส CVE-2021-3177           Python 3.x ถึง 3.9.1 มี Buffer Overflow ใน PyCArg_repr ใน ctypes / callproc.c ซึ่งอาจนำไปการโจมตี Remote Code Execution ซึ่งช่องโหว่นี้เกิดจากการใช้ sprintf” อย่างไม่ปลอดภัย           ช่องโหว่ดังกล่าวเป็น Bug ของหน่วยความจำทั่วไปกับ RedHat Stack-based Buffer Overflow ทำให้โมดูล…
Read More