Author: admin

F5 BIG-IP ได้แจ้งเตือนไปยังผู้ใช้งานระบบว่า มีผู้ไม่ประสงค์ดีใช้ประโยชน์จากช่องโหว่ CVE-2023-46747 และ CVE-2023-46748 โดยทำการลบข้อมูลที่ใช้ในการติดตามการโจมตี เพื่อหลีกเลี่ยงการถูกตรวจพบจาก            ผู้ดูแลระบบ F5 BIG-IP เป็นเครื่องมือและการบริการ Load Balancing ความปลอดภัย และการจัดการประสิทธิภาพสำหรับแอปพลิเคชันบนเครือข่าย โดยแพลตฟอร์มนี้ได้รับการยอมรับในการนำมาใช้งานในองค์กรใหญ่ ๆ                 และหน่วยงานรัฐ ดังนั้นถ้าพบช่องโหว่บนผลิตภัณฑ์นี้อาจส่งผลกระทบอย่างมาก จึงต้องได้รับการแก้ไขที่รวดเร็ว F5 ได้แนะนำว่าให้ผู้ดูแลระบบควรที่จะอัปเดตความปลอดภัยเพื่อแก้ไขช่องโหว่ที่พบดังนี้: CVE-2023-46747 (คะแนน CVSS v3.1: 9.8) การหลีกเลี่ยงการตรวจสอบการยืนยันตัวตนทำให้ผู้โจมตีเข้าถึงเครื่องมือในระบบได้ CVE-2023-46748 (คะแนน CVSS v3.1: 8.8) อาจมีการใส่ข้อมูลที่ไม่ปลอดภัยไปในระบบ SQL ทำให้       ผู้โจมตีที่มีการยืนยันตัวตน สามารถเข้าถึงเครื่องมือผ่านระบบเครือข่ายสามารถใช้งานคําสั่งในระบบได้ เวอร์ชันที่ได้รับผลกระทบและมีการแก้ไขดังนี้: เวอร์ชัน 17.1.0 (ได้รับผลกระทบ), ได้รับการแก้ไขในเวอร์ชัน 17.1.0.3 + Hotfix-BIGIP-17.1.0.3.0.75.4-ENG และเวอร์ชันใหม่กว่า เวอร์ชัน…

พบแคมเปญ Google Ads ที่ใช้ในการโฆษณาบนเว็บไซต์เพื่อหลอกให้ผู้ใช้กดดาวน์โหลด KeePass ปลอมโดยใช้เทคนิค Punycode เพื่อให้ดูเหมือนว่าเป็นเว็บไซต์อย่างเป็นทางการของ KeePass Password Manager เพื่อแพร่กระจายมัลแวร์ Google ได้พยายามแก้ไขโฆษณาที่มีการแพร่กระจายมัลแวร์อย่างต่อเนื่อง ซึ่งทำให้ผู้โจมตี                          สามารถนำโฆษณาไปไว้ด้านบนสุดของผลการค้นหาที่ Google แสดง ถึงแม้ว่าแสดงโดเมนที่ถูกต้อง Keepass ในโฆษณา (https://www.keepass.info) แต่มันก็อาจจะเป็นโฆษณาที่เกี่ยวกับเว็บไซต์ปลอม Keepass ทำให้มีเสี่ยงในด้านความปลอดภัยของผู้ใช้งาน ผู้ใช้ที่คลิกลิงก์ที่ปลอมจะถูกส่งผ่านระบบ System-Profiling Redirections ซึ่งเป็นการเปลี่ยนเส้นทางเพื่อหลีกเลี่ยงการตรวจจับของทราฟฟิกและสแนดบ็อกซ์และเข้าสู่เว็บไซต์ปลอม KeePass โดยใช้เทคนิค Punycode URL (https://xn--eepass-vbb[.]info/) ตามภาพที่แสดงด้านล่างนี้: การใช้เทคนิค Punycode Punycode เป็นวิธีการเข้ารหัสที่ใช้ในการแสดงอักขระ Unicode เพื่อช่วยในการแปลงชื่อโฮสต์ในสคริปต์ที่ไม่ใช่อักขระละติน (เช่น ซีริลลิก อาหรับ กรีก จีน ฯลฯ) เป็นรหัส ASCII เพื่อทำในระบบ…

ผู้ไม่ประสงค์ดีใช้เทคนิคจากการใช้แบบตัวอักษร zero-point เพื่อทำให้อีเมลที่เป็นอันตรายแสดงถึงการสแกนอย่างปลอดภัยโดยเครื่องมือรักษาความปลอดภัยของ Microsoft Outlook  การโจมตีด้วย ZeroFont เป็นเทคนิคฟิชชิ่งที่ใช้ประโยชน์จากข้อบกพร่องของ AI และ การประมวลผลภาษาธรรมชาติ (NLP) บนแพลตฟอร์มการวิเคราะห์ความปลอดภัยของข้อความในอีเมล เกี่ยวข้องกับการแทรกคำหรืออักขระที่ซ่อนอยู่ในอีเมลโดยการตั้งค่าขนาดตัวอักษรเป็นศูนย์ แสดงผลข้อความที่มนุษย์มองไม่เห็น แต่ยังคงทำให้สามารถอ่านได้โดยอัลกอริธึม NLP  การโจมตีนี้มีจุดมุ่งหมายเพื่อหลีกเลี่ยงตัวกรองความปลอดภัยโดยการแทรกคำที่ไม่เป็นอันตรายและไม่สามารถมองเห็นได้ ซึ่งผสมกับเนื้อหาที่มองเห็นได้ บิดเบือนการตีความเนื้อหาโดย AI และผลลัพธ์ของการตรวจสอบความปลอดภัย  การซ่อนการแสกนไวรัส  ผู้ไม่ประสงค์ดีใช้ ZeroFont เพื่อจัดการ การแสดงตัวอย่างข้อความบนไคลเอนต์ของอีเมล ดังรูปภาพด้านล่าง จากอีเมลที่เขียนว่า “Scanned and secured by Isc®Advanced Threat Protection (APT): 22/09/2023T6:42 AM”  ข้อความแสดงถึงการฟิชชิ่งที่เป็นอันตราย (isc.sans.edu)  ข้อผิดพลาดนี้เกิดขึ้นได้โดยการใช้ประโยชน์จาก ZeroFont เพื่อซ่อนข้อความสแกนความปลอดภัยปลอมของอีเมลฟิชชิ่ง ดังนั้นแม้ว่าผู้รับจะมองไม่เห็น แต่ Outlook ก็ยังคงดึงข้อความนั้นมาและแสดงเป็นตัวอย่างในรายการอีเมล  การโจมตีแบบ Zero-font…

ผู้ไม่ประสงค์ดี AtlasCross ใช้ประโยชน์จากฟิชชิ่ง Red Cross เพื่อส่ง Backdoors สองตัว DangerAds และ AtlasAgent   การโจมตีเริ่มต้นจากเอกสาร Microsoft ที่เชื่อมโยงกับมาโคร เมื่อเปิดเอกสารจะทำการเรียกใช้มาโครที่เป็นอันตรายเพื่อฝังตัวเอง และขโมย metadata ของระบบไปยังเซิร์ฟเวอร์จากระยะไกล (data.vectorse [.]com) เป็นโดเมนย่อยของเว็บไซต์ที่ถูกต้องตามกฎหมายซึ่งเป็นของบริษัทวิศวกรรมและโครงสร้างที่ตั้งอยู่ในสหรัฐอเมริกา  นอกจากนี้จะทำการแตกไฟล์ KB4495667.pkg (ชื่อรหัส DangerAds) ต่อมาจะทำหน้าที่เป็นตัวโหลดเพื่อเปิด shellcode ที่นำไปสู่การปรับใช้ AtlasAgent ซึ่งเป็นมัลแวร์ C++ ที่สามารถรวบรวมข้อมูลระบบ การทำงานของ shellcode และการรันคำสั่งเพื่อรับ reverse shell รวมทั้งแทรกโค้ดลงในเธรดของกระบวนการที่ระบุ  ทั้ง AtlasAgent และ DangerAds มีฟีเจอร์การหลบเลี่ยงไว้เพื่อทำให้เครื่องมือรักษาความปลอดภัยตรวจพบได้น้อยลง  ปัจจุบัน AtlasCross มีขอบเขตที่ค่อนข้างจำกัด โดยเน้นไปที่การโจมตีแบบกำหนดโฮสต์เป้าหมายเฉพาะภายในโดเมนเครือข่าย  คำแนะนำ  อัปเดตระบบปฏิบัติการณ์และซอฟต์แวร์สม่ำเสมอ  ติดตั้งโปรแกรมป้องกันไวรัส …

Google กำหนด CVE ID ใหม่ (CVE-2023-5129) เกี่ยวกับช่องโหว่ด้านความปลอดภัยของ libwebp ที่ถูกโจมตีด้วย Zero-day และแพตช์เมื่อสองสัปดาห์ก่อน  นักวิจัย Citizen Lab เผย Zero-day เป็นสปายแวร์แบบกำหนดเป้าหมาย มักเชื่อมโยงกับผู้ไม่ประสงค์ดีที่ได้รับการสนับสนุนจากรัฐ โดยมุ่งเป้าไปที่บุคคลที่มีความเสี่ยงสูงเป็นหลัก เช่น นักข่าวและนักการเมืองฝ่ายค้าน  CVE-2023-5129 ซึ่งระบุว่าเป็นปัญหาร้ายแรงใน libwebp โดยมีระดับความรุนแรงสูงสุด 10/10 การเปลี่ยนแปลงนี้มีผลกระทบอย่างมีนัยสำคัญต่อโปรเจ็กต์อื่นๆ ที่ใช้ไลบรารีโอเพ่นซอร์ส libwebp  ข้อบกพร่องของ libwebp เกี่ยวข้องกับ Heap buffer overflow ใน WebP ซึ่งส่งผลกระทบต่อ Google Chrome เวอร์ชันก่อนหน้า 116.0.5845.187  ช่องโหว่นี้อยู่ภายในอัลกอริธึมการเข้ารหัส Huffman ที่ใช้โดย libwebp สำหรับการบีบอัดแบบไม่สูญเสียรายละเอียด และช่วยให้ผู้โจมตีสามารถรันการเขียนหน่วยความจำเกินขอบเขตโดยใช้หน้า HTML ที่ออกแบบมาเพื่อประสงค์ร้าย …

เว็บไซต์ Bitwarden ปลอมกำลังแพร่ตัวติดตั้งมัลแวร์ขโมยรหัสผ่านตัวใหม่ ZenRAT บนโอเพ่นซอร์ส โดยมัลแวร์จะถูกแพร่ไปยังผู้ใช้ Windows ผ่านทางเว็บไซต์ที่เลียนแบบไซต์ Bitwarden ในการหลอกล่อเหยื่อ           สำหรับวัตถุประสงค์ของ ZenRAT คือการรวบรวมข้อมูลเบราว์เซอร์และข้อมูลเข้าสู่ระบบร่วมกับรายละเอียดเกี่ยวกับเครื่องโฮสต์ที่ติดมัลแวร์ ซึ่งเป็นพฤติกรรมที่สอดคล้องกับโปรแกรมขโมยข้อมูล นอกจากนี้ ผู้ไม่ประสงค์ดีสามารถใช้รายละเอียดเพื่อสร้างลายนิ้วมือของระบบที่ถูกโจมตีซึ่งสามารถใช้เพื่อเข้าถึงบัญชีของเหยื่อได้   นักวิจัยด้านความปลอดภัยที่บริษัทความปลอดภัย Proofpoint ค้นพบ ZenRAT หลังจากได้รับตัวอย่างของมัลแวร์เมื่อเดือนสิงหาคมจาก Jérôme Segura ผู้อำนวยการภัยคุกคามสูงสุดที่ Malwarebytes  เว็บไซต์ Bitwarden ปลอมmujแพร่กระจายมัลแวร์มีความคล้ายคลึงกับ bitwarden.com จริงๆ              โดยมีชื่อโดเมนที่เลือกมาโดยเฉพาะเพื่อหลอกให้ผู้เยี่ยมชมเชื่อว่าพวกเขากำลังเข้าถึงแหล่งข้อมูลอย่างเป็นทางการ “bitwariden[.]com”  ภายในแพ็กเกจการติดตั้ง Bitwarden ปลอม นักวิจัย Proofpoint พบว่าไฟล์ปฏิบัติการ .NET ที่เป็นอันตรายเป็นโทรจันการเข้าถึงระยะไกล (Remote Access Trojan : RAT) ที่มีฟีเจอร์ในการขโมยข้อมูลซึ่งตอนนี้ติดตามในชื่อ ZenRAT เว็บไซต์ที่เป็นอันตรายจะให้แพ็กเกจ Bitwarden…

หน่วยงานความปลอดภัยและโครงสร้างพื้นฐานด้านความปลอดภัย (CISA) ซึ่งเป็นหน่วยงานความปลอดภัยหลักในสหรัฐฯ ได้ออกคำเตือนเกี่ยวกับช่องโหว่เก่าใน JBoss RichFaces ที่กำลังถูกใช้โจมตีในขณะนี้ ช่องโหว่นี้รู้จักในชื่อ CVE-2018-14667 ถูกเพิ่มในรายการช่องโหว่ที่ถูกใช้ประโยชน์ (KEV) ของ CISA                เมื่อวันพฤหัสบดีที่ผ่านมา  หน่วยงานรัฐบาลถูกแนะนำให้ดำเนินการป้องกันหรือหยุดใช้ผลิตภัณฑ์ที่ได้รับผลกระทบภายในวันที่ 19 ตุลาคม  JBoss RichFaces เป็นโครงการโดย Red Hat JBoss ที่นำเสนอเฟรมเวิร์กส่วนประกอบ UI ขั้นสูงสำหรับการรวมความสามารถของ Ajax เข้ากับแอปพลิเคชันทางธุรกิจโดยใช้ JavaServer Faces (JSF) แต่โครงการนี้      ถูกยุบอย่างเป็นทางการในเดือนมิถุนายน 2016  ช่องโหว่ CVE-2018-14667 ถูกตรวจพบครั้งแรกในปี 2018 ในเวลานั้น Red Hat ได้ยอมรับว่าผลิตภัณฑ์หลายรายการของบริษัทได้รับผลกระทบและได้ปล่อยแพตช์เพื่อแก้ไขปัญหานี้ ช่องโหว่นี้ถือว่าเป็น ‘Critical’                และมีลักษณะเฉพาะคือการแทรกภาษาคำสั่ง (Expression Language Injection) ซึ่งอนุญาตให้ผู้ไม่ประสงค์ดีจากระยะไกลที่ไม่ผ่านการตรวจสอบสิทธิ์สามารถเรียกใช้โค้ดที่กำหนดเองได้  แม้จะมีการพิสูจน์แนวคิด…

นักวิจัยด้านความปลอดภัยพบซอฟต์แวร์มัลแวร์บริการ (Malware-as-a-Service หรือ MaaS) ใหม่              ที่มีชื่อว่า ‘BunnyLoader’ ถูกโฆษณาบนหลายฟอรัมของแฮกเกอร์เป็นเป็นตัวโหลดแบบไร้ไฟล์ที่สามารถขโมยและแทนที่เนื้อหาในคลิปบอร์ดของระบบได้ ซอฟต์แวร์มัลแวร์นี้กำลังพัฒนาอย่างรวดเร็ว โดยมีการอัปเดตเพิ่มคุณลักษณะใหม่และแก้ไขบั๊กต่าง ๆ อย่างต่อเนื่อง ปัจจุบัน BunnyLoader นี้สามารถดาวน์โหลดและ             ดำเนินการเพย์โหลด, บันทึกคีย์, ขโมยข้อมูลที่เป้นความลับและสกุลเงินดิจิทัล และดำเนินการคำสั่งระยะไกลได้  BunnyLoader เวอร์ชันแรกเปิดตัวเมื่อวันที่ 4 กันยายน นับตั้งแต่นั้นเป็นต้นมา นักพัฒนาได้เพิ่มฟังก์ชันเพิ่มเติม เช่น กลไกป้องกันการตรวจจับหลายรูปแบบและความสามารถในการดักข้อมูลเพิ่มเติม โดยการเผยแพร่เวอร์ชันที่สองที่สำคัญต่อไปเมื่อใกล้จะจบเดือนนี้ นอกจากนี้ นักวิจัยจาก Zscaler ยังได้สังเกตว่า BunnyLoader กำลังได้รับความนิยมอย่างรวดเร็วในหมู่อาชญากรไซเบอร์ เนื่องจากเป็นมัลแวร์ที่มีฟีเจอร์มากมายในราคาที่ถูก  Command and Control Panel ของ BunnyLoader ช่วยให้ผู้ไม่ประสงค์ดีที่เพิ่งเริ่มต้น สามารถตั้งค่าเพย์โหลดขั้นที่สอง, เปิดใช้งานการล็อกคีย์, การขโมยข้อมูลรับรอง, การจัดการคลิปบอร์ด (สำหรับการขโมยสกุลเงินดิจิทัล) และเรียกใช้คำสั่งระยะไกลบนอุปกรณ์ที่ติดไวรัส  ในรายงานล่าสุดเผยว่า หลังจากถูกเรียกใช้งานบนอุปกรณ์ที่ถูกโจมตี…

ช่องโหว่ Linux ใหม่ที่รู้จักกันในชื่อ ‘Looney Tunables’ ช่วยให้ผู้ไม่ประสงค์ดี สามารถรับสิทธิ์ root โดยใช้ประโยชน์จาก Buffer Overflow ในตัวโหลดไดนามิก ld.so ของ GNU C Library ที่เป็นไลบรารี C ของระบบ GNU และอยู่ในระบบที่ใช้เคอร์เนล Linux ส่วนใหญ่ โดยมีฟังก์ชันการทำงานที่จำเป็น รวมถึงการเรียกของระบบ เช่น Open, Malloc, Printf, Exit และอื่นๆ ที่จำเป็นสำหรับการทำงานของโปรแกรมทั่วไป ตัวโหลดไดนามิกภายใน glibc มีความสำคัญสูงสุด เนื่องจากมีหน้าที่ในการเตรียมโปรแกรมและดำเนินการบนระบบ Linux ที่ใช้ glibc           หน่วยวิจัยภัยคุกคาม Qualys พบช่องโหว่ CVE-2023-4911 ที่เปิดตัวในเดือนเมษายน 2021 ผ่านการเผยแพร่ใน glibc เวอร์ชัน…