พบ Malware กลุ่มใหม่ใช้ไฟล์ Word เพื่อดาวน์โหลดสคริปต์ PowerShell จาก GitHub

          นักวิจัยพบ Malware กลุ่มใหม่ใช้ไฟล์ Word ที่ฝัง Macros เพื่อดาวน์โหลดสคริปต์ PowerShell จาก GitHub ซึ่ง สคริปต์ PowerShell นี้จะดาวน์โหลดไฟล์รูปภาพจาก “Imgur” เพื่อถอดรหัสสคริปต์ “Cobalt Strike” บนระบบ Windows           จากการทดสอบของนักวิจัย เมื่อทำการเปิดไฟล์ Word ขึ้นมา Macro ที่ฝังอยู่ในไฟล์ Word จะทำการเปิดตัว powershell.exe และ ป้อนตำแหน่งของสคริปต์ PowerShell ไปที่โฮสต์บน GitHub สคริปต์ Macro ที่ฝังอยู่ภายในไฟล์ Word           ในสคริปต์ PowerShell มีคำแนะนำในการดาวน์โหลดไฟล์ PNG จาก “Imgur” ถึงแม้ว่าไฟล์รูปภาพจะไม่มีอันตราย แต่สคริปต์ PowerShell…
Read More

“QNAP” Update Patch เพื่อแก้ไขช่องโหว่ร้ายแรง

QNAP ได้ออก Update Patch เพื่อแก้ไขช่องโหว่ร้ายแรงที่ส่งผลกับอุปกรณ์ NAS ที่ใช้ระบบปฏิบัติการณ์ QES, QTS และ QuTS hero ซึ่งช่องโหว่ที่ QNAP ทำการแก้ไขประกอบด้วย CVE-2020-2503: Stored cross-site scripting QES vulnerability — Hacker สามารถใช้ประโยชน์จากช่องโหว่นี้เพื่อทำการแทรก Code ที่อันตรายจากระยะไกลลงใน File Station ได้ CVE-2020-2504: Absolute path traversal QES vulnerability — Hacker สามารถใช้ประโยชน์จากช่องโหว่นี้เพื่อทำการ Traverse files ใน File Station ได้ CVE-2020-2505: QES vulnerability — Hacker สามารถใช้ประโยชน์จากช่องโหว่นี้เพื่อทำการขโมยข้อมูลด้วยการสร้างข้อความแสดงข้อผิดพลาด…
Read More

พบ Malware ตัวใหม่บน Windows อาจถูกพัฒนาไป Linux หรือ macOS ได้

กลุ่มนักวิจัยทางไซเบอร์ได้ค้นพบ Malware ตัวใหม่โดยบังเอิญ ชื่อ “PyMICROPSIA” ซึ่งถูกแพร่กระจายอยู่บน ระบบปฏิบัติการ Windows และมีแนวโน้มที่จะถูกพัฒนาไปโจมตียังระบบปฏิบัติการอื่นเช่น Linux หรือ macOS อีกด้วย โดยหลักการทำงานของ Malware นี้ถูกพัฒนามาจากภาษา “Python” ซึ่ง Malware ดังกล่าวมีความสามารถในการทำงานดังนี้  File uploading.  Payload downloading and execution.  Browser credential stealing. Clearing browsing history and profiles.  Taking screenshots.  Keylogging.  Compressing RAR files for stolen information.  Collecting process information and killing processes.  Collecting file listing information.  Deleting files.  Rebooting machine.  Collecting Outlook .ost file. Killing and disabling Outlook process. …
Read More

พบ “PgMiner” โจมตีฐานข้อมูลของ PostgreSQL !!!

  นักวิจัยพบ Botnet “PgMiner” ที่ทำการโจมตีฐานข้อมูลของ PostgreSQL เพื่อติดตั้ง “Cryptocurrency miner”            นักวิจักกล่าวว่า Botnet “PgMiner” ทำงานโดยการโจมตี Brute-force ที่ ฐานข้อมูลของ PostgreSQL            การโจมตีเป็นไปตามรูปแบบง่ายๆ Botnet จะทำการสุ่มเลือก Network Range (เช่น 18.xxx.xxx.xxx) แล้ววนซ้ำผ่าน IP Address ทั้งหมดใน Range นั้น เพื่อค้นหาระบบของ PostgreSQL             หาก PgMiner พบระบบ PostgreSQL Botnet “PgMiner”  จะย้ายจาก Scanning Phase ไปยัง  Brute-force Phase โดยจะสับเปลี่ยนรหัสผ่านยาว ๆ เพื่อพยายามเดา Credentials สำหรับ “postgres”  ซึ่งเป็น Default account ของ PostgreSQL           หากเจ้าของฐานข้อมูล PostgreSQL ลืมปิดการใช้งาน User “postgres”  หรือลืมเปลี่ยนรหัสผ่าน Hackerจะเข้าถึงฐานข้อมูลและใช้ Feature “PostgreSQL COPY” เพื่อเพิ่มระดับการเข้าถึงจากฐานข้อมูล ไปยัง Server พื้นฐานและเข้าควบคุมระบบปฏิบัติการทั้งหมด            เมื่อสามารถเข้าถึงระบบที่ติด Virus ได้แล้ว “PgMiner” จะใช้ Application Coin-mining เพื่อพยายามขุด Monero Cryptocurrency ให้มากที่สุดก่อนที่จะตรวจพบ            คุณสมบัติที่โดดเด่นของ Botnet “PgMiner” คือ ควบคุมระบบที่ติด Virus ผ่าน C2 Server ที่โฮสต์บนเครือข่าย Tor และ Codebase ของ Botnet “PgMiner” ดูเหมือนจะคล้ายกับ Botnet “SystemdMiner”  วิธีการป้องกัน  ปิดการใช้งาน Default account หรือ หากต้องการใช้ Default account ให้ทำการเปลี่ยนรหัสผ่าน และใช้รหัสผ่านที่คาดเดาได้ยาก  ไม่เข้าเว็บไซต์ที่สุมเสี่ยงต่อการโดน Malware   ไม่ควร Download File ที่แนบมากลับ E-mail ที่ต้องสงสัย  ที่มา : https://www.zdnet.com/article/pgminer-botnet-attacks-weakly-secured-postgresql-databases/ 
Read More

Microsoft Update Patch แก้ไข 58 ช่องโหว่ใน เดือน ธันวาคม 2020

 Microsoft Update Patch แก้ไขช่องโหว่ 58 ช่องโหว่ ใน เดือน ธันวาคม 2020 โดย มี 9 ช่องโหว่ ที่อยู่ในระดับ Critical, 48 ช่วงโหว่ที่อยู่ในระดับ Important, และ 2 ช่องโหว่ที่อยู่ในระดับ Moderate  ทาง Microsoft ได้ทำการแก้ไข ช่องโหว่ของ “DNS cache poisoning”อีกด้วย โดยช่องโหว่นี้เกิดจากการกระจายตัวของ IP ที่ส่งผลต่อ Windows DNS Resolver หาก Hacker เจาะช่องโหว่นี้ได้สำเร็จจะสามารถปลอม Packet DNS ซึ่งสามารถ Cached โดย DNS Forwarder หรือ DNS Resolver ช่องโหว่ที่น่าสนใจ…
Read More

ด่วน พบข้อมูลส่วนบุคคลจาก Booking Online ในไทย หลุดว่อนขายใน Dark Web !!!

ทีมงาน SOSECURE ได้รับการแจ้งเตือนจาก SOSECURE Threat Intelligence Team พบข้อมูลส่วนบุคคลจาก Booking Online ในไทย รั่วไหลสู่ตลาดมืด โดยข้อมูลที่รั่วไหลนั้นมีหลากหลายประเภท เช่น ตัวอย่าง: บันทึกประวัติของผู้โดยสาร, ข้อมูลการจองสายการบิน, ข้อมูลการเดินทาง, การท่องเที่ยว, ข้อมูลการเช่ารถ, ข้อมูลการจองโรงแรม, ตั๋วเครื่องบิน, เบอร์โทรศัพท์, ที่อยู่, อีเมล และอื่น ๆ อีกมากมาย จำนวน 837,371,904 รายการ มาจาก 6 ฐานข้อมูล ทีมงาน SOSECURE แนะนำให้ดำเนินการเช็ครายการการใช้จ่ายบัตรเครดิต รวมถึงดำเนินการเปลี่ยนรหัสผ่านที่ใช้บริการในธุรกรรมต่าง ๆ ผ่านหน้าเว็บไซต์ และรอการอัพเดทข้อมูลเพิ่มเติมต่อไป…
Read More

พบ Malware “Bandook” กลับมาระบาดอีกครั้ง !!!

กวิจัยพบกลุ่ม Hacker “Dark Caracal” ใช้ Backdoor Trojan “Bandook” โดยกำหนดเป้าหมายการโจมตีไปที่ หน่วยงานรัฐบาล สถาบันกฎหมาย และ สถาบันการเงิน ในหลาย ๆ ประเทศ  ขั้นตอนการติดเชื้อนั้น เมื่อเหยื่อทำการดาวน์โหลดไฟล์ .Zip ซึ่งภายในมีเอกสาร Microsoft Word ที่ฝัง Script อันตรายจาก Website ภายนอก หากเหยื่อเปิดเอกสารขึ้นมา Macros ที่อันตรายจะถูกดาวน์โหลดขึ้นมาเพื่อเรียกใช้ PowerShell Script   PowerShell Script ทำการดาวน์โหลดไฟล์.Zip จาก Dropbox หรือ Bitbucket ซึ่งไฟล์ .Zip จะถูกเก็บไว้ Folder ของเหยื่อ และไฟล์จะถูกแตกออกมาภายในเครื่อง เพื่อใช้เป็นส่วนประกอบของ “Bandook Loder”   จากนั้น “Bandook Loder” จะใช้ Process Hollowing เพื่อทำการฝัง Backdoor Trojan “Bandook” เข้าสู่ Internet Explorer process   IOC            C2 Domains            ntsclouds[.]com, jtoolbox[.]org, idcmht[.]com, htname[.]info, vdscloud[.]net, mainsrv[.]top,   olex[.]live, branchesv[.]com, s1[.]megawoc[.]com, s2[.]megawoc[.]com, s3[.]megawoc[.]com,  s1[.]fikofiko[.]top, s2[.]fikofiko[.]top, s3[.]fikofiko[.]top, d1[.]p2020[.]club, d2[.]p2020[.]club, pronews[.]icu, p2020[.]xyz, 2ndprog[.]monster,…
Read More

พบช่องโหว่ของ “cPanel” ที่ช่วยให้ Hacker สามารถ Bypass ผ่าน 2FA ด้วยวิธีการ Brute-force Attacks

 cPanel คือระบบ Web Hosting Control Panel ที่พัฒนาด้วย cPanel Inc. เป็นระบบจัดการ Web Hosting ที่นิยมมากที่สุดในหลายประเทศ ขึ้นชื่อในความเสถียร รวดเร็วระบบการจัดการต่างๆ ได้อย่างดีเยี่ยมและตอบโจทย์ให้แก่ผู้ใช้บริการ  นักวิจัยพบช่องโหว่ของ Software cPanel & Web Host Manager (WHM) รหัสช่องโหว่ CVE-2020-27641 ทำให้ผู้โจมตีสามารถ Bypass ผ่านการพิสูจน์ตัวตนแบบ Two-Factor Authentication (2FA) ด้วยบัญชีผู้ใช้ของ cPanel   เนื่องจาก cPanel ไม่บล็อกการส่งรหัสในการตรวจสอบสิทธิ์แบบ 2FA ซ้ำ ๆ ส่งผลให้ Hacker ที่มี Credentials ของเหยื่อ สามารถ Bypass ผ่านการพิสูจน์ตัวตนแบบ 2FA  ได้  ทาง cPanel ได้ Update Patch ของ cPanel & Web Host Manager (WHM)Version 11.92.0.2, 11.90.0.17 และ 11.86.0.32 เพื่อแก้ไขช่องโหว่ของโปรแกรม       วิธีการป้องกัน   Update Patch ของโปรแกรมให้เป็น Version ปัจจุบัน   ใช้รหัสผ่านโดยมี ตัวเลข ตัวอักษรพิมพ์เล็ก พิมพ์ใหญ่ และ อักษรพิเศษเช่น ! @ # $ % เป็นต้น  เปลี่ยนรหัสผ่านในทุก ๆ 90 วัน            ที่มา: https://www.bleepingcomputer.com/news/security/cpanel-2fa-bypassed-in-minutes-via-brute-force-attacks/  
Read More

เตือนภัย Application ของ Baidu ลักลอบรวบรวมข้อมูลของผู้ใช้งาน !!!

Application ยอดนิยมตระกูล Baidu ไม่สามารถดาวน์โหลดได้ชั่วคราวบน Play Store เนื่องจากนักวิจัยพบว่าทาง Baidu ได้ทำการลักลอบรวบรวมข้อมูลของผู้ใช้งาน            Application ที่มีปัญหา ได้แก่ “Baidu Maps” และ “Baidu Search Box” ซึ่งพบว่ามีการลักลอบ รวบรวมข้อมูลบน Smart Phone ของผู้ใช้งาน เช่น หมายเลข International Mobile Subscriber Identity (IMSI)  หรือ หมายเลข Mac Address ของอุปกรณ์ โดยที่ผู้ใช้งานไม่รู้ตัว            นอกจากนี้ยังพบ Application “Homestyler” ที่รวบรวมข้อมูลส่วนตัวจากอุปกรณ์ของผู้ใช้            รายการข้อมูลทั้งหมดที่รวบรวมโดย Application ได้แก่  รุ่นของอุปกรณ์  ความละเอียดหน้าจอ  MAC Address ของอุปกรณ์  ผู้ให้บริการ (ผู้ให้บริการโทรคมนาคม)  เครือข่าย (Wi-Fi, 2G, 3G, 4G, 5G)  รหัส Android  IMSI number   International Mobile Equipment Identity (IMEI) number            นักวิจัยทำการใช้อัลกอริทึม machine learning-based ที่ออกแบบมาเพื่อตรวจจับการรับส่งข้อมูล Spyware ที่ผิดปกติ สาเหตุการรั่วไหลของข้อมูลนั้นมาจาก “Push SDK” ของ Baidu และ “ShareSDK” จาก MobTech ซึ่งเป็นผู้จำหน่าย Application กว่า 37,500 Application รวมถึง  Platforms Social Media อีกหลายรายการ  ในขณะที่ Google พยายามป้องกัน และ หยุดกิจกรรมที่เป็นอันตราย ที่เกิดขึ้นใน Play Store แต่ Hacker ยังคงหาวิธีแทรกซึมเข้าสู่ App…
Read More

พบ Malware “Zloder” แพร่กระจายโดยการหลอกให้ติดตั้ง Java Plug-in ปลอม !!!

นักวิจัยพบแคมเปญชื่อ “Malsmoke” ทำการแพร่การะจาย Malware “Zloder” ซึ่งเป็น Banking Trojan ที่ใช้การแทรกข้อมูลทางเว็บเพื่อขโมยข้อมูลทางการเงิน และ ข้อมูลที่เป็นความลับ ผ่านทางวีดีโอปลอมในเว็บไซต์เพื่อล่อให้เหยื่อเข้าชมวิดีโอนี้ เมื่อเหยื่อกดเพื่อเข้าชมวิดีโอ File วีดีโอปลอมจะเปิดขึ้นในหน้า Browser ใหม่ หลังจากนั้นไม่กี่วินาทีเหยื่อจะเห็นข้อความซ้อนทับที่ หลอกให้ติดตั้ง Java Plug-in ปลอม เพื่อให้วิดีโอเล่นได้อย่างถูกต้อง นักวิจัยยังพบอีกว่า Hacker ที่อยู่เบื่องหลังแคมเปญ“Malsmoke” ใช้ E-mail Address เพื่อลงทะเบียน Domain ใหม่ที่เชื่อมโยงกับ Domain อื่น ๆ ที่เป็นอันตราย นักวิจัยได้วิเคราะ Payload พบ Java Plug-in ปลอม ชื่อ “lic.service.exe” หลังจากติดตั้งจะทำการดาวน์โหลด File HelperDll.dll ซึ่งทำหน้าที่ดาวน์โหลดตัวแปรเข้ารหัสของ ZLoader และ…
Read More