Author: admin

Mocrosoft ทำการเปิดใช้งานการแก้ไขช่องโหว่ Kernel หลังจากมีการปิดใช้งานไปก่อนหน้านี้ โดยที่ช่องโหว่ CVE-202332019 มีช่วงความรุนแรงอยู่ในระดับปานกลาง 4.7/10 โดย Microsoft ให้คะแนนช่องโหว่ดังกล่าวเป็นระดับ Important ซึ่งช่องโหว่ดังกล่าวได้ถูกค้นพบโดย Mateusz Jurczyk นักวิจัยด้านความปลอดภัยของ Google Project Zero และยังทำให้ผู้ไม่ประสงค์ดีสามารถเข้าถึงหน่วยความจำพิเศษเพื่อดึงข้อมูลได้ ซึ่งในตอนแรกนั้น Microsoft ได้ปล่อยการอัปเดตความปลอดภัยโดยปิดใช้งานการแก้ไข โดยเตือนว่าอาจทำให้เกิดการเปลี่ยนแปลงที่เสียหายในระบบปฏิบัติการ  ผู้ใช้ Windows ต้องทำการเปิดใช้งานการอัปเดตด้วยตนเองโดยเพิ่มค่ารีจิสทรีต่อไปนี้ HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Policies\Microsoft\FeatureManagement\Overrides key :  Windows 10 20H2, 21H2, 22H2: เพิ่มค่ารีจิสทรี DWORD ใหม่ชื่อ 4103588492 ด้วยข้อมูลค่า 1  Windows 11 21H2: เพิ่มค่ารีจิสทรี DWORD ใหม่ที่ชื่อว่า 4204251788 พร้อมข้อมูลค่า 1 …

พบผู้ไม่ประสงค์ดีใช้ Kubernetes (K8s) Clusters ในการโจมตีเพื่อปรับใช้ตัวขุด Cryptocurrency และแบ็คดอร์อื่นๆ   นักวิจัย Michael Katchinskiy และ Assaf Morag เผยว่า Kubernetes Clusters ส่วนใหญ่ที่ถูกขโมยคือ ข้อมูลลูกค้า,บันทึกทางการเงิน,ข้อมูลรับรองการเข้าถึง,Configurations, Container images, Infrastructure Credentials,คีย์เข้ารหัส,ใบรับรอง และข้อมูลเครือข่ายหรือบริการความปลอดภัย  ผู้ไม่ประสงค์ดีมักใช้เครื่องมือค้นหา เช่น Shodan, Censys และ Zoomeye เพื่อค้นหาโฮสต์ที่กำหนดค่าผิดพลาดหรือมีช่องโหว่ นอกจากนี้ยังค้นหาอินเทอร์เน็ตเพื่อหาโฮสต์ที่เปิดเผยโดยใช้ บอตเน็ตหรือเครื่องมืออย่างเช่น Masscan หรือ Zgrab เพื่อสแกน IP ranges และระบุบริการบนพอร์ต  K8s Clusters ที่ถูกพบคือ Pods list ที่มี Access keys ที่ผู้ไม่ประสงค์ดีสามารถนำไปใช้เพื่อเข้าถึงที่เก็บSource Code ของเป้าหมายหรือแนะนำการแก้ไขที่เป็นอันตราย …

ยูเครนแจ้งเตือนเรื่องการโจมตีรูปแบบใหม่ที่กำหนดเป้าหมายไปยังองค์กรรัฐต่างๆ โดยใช้เครื่องมือ Merlin ซึ่งเป็น Open Source หลังการใช้ประโยชน์จากคําสั่งและการ Control Framework   Merlin เป็นชุดเครื่องมือที่ใช้ภาษาโปรแกรม Go ซึ่งสามารถใช้งานได้หลายแพลตฟอร์ม โดยสามารถ       ดาวน์โหลดฟรีได้ผ่าน GitHub และยังมีเอกสารประกอบอย่างครบถ้วนสำหรับผู้เชี่ยวชาญด้านความปลอดภัย          เพื่อใช้ในการฝึกซ้อมของ Red Team   การสนับสนุน HTTP/1.1 ผ่านทาง TLS และ HTTP/3 (HTTP/2 ผ่าน QUIC) ใช้สำหรับการสื่อสารCommand and Control  การเข้ารหัสสำหรับรับส่งข้อมูลด้วย PBES2 (RFC 2898) และ AES Key Wrap (RFC 3394)  OPAQUE Asymmetric Password Authenticated Key Exchange (PAKE) และ…

LOLBAS Files เป็นไฟล์ที่ได้รับอนุญาตและมีสคริปต์อยู่ใน Windows ซึ่งถูกผู้ไม่ประสงค์ดี         นำมาใช้ประโยชน์ในการแพร่มัลแวร์ ส่งผลให้ระบบมีความเสี่ยง โดยจะเพิ่ม LOLBAS Files เข้าไปที่ตัวประมวลผลหลักสำหรับไคลเอนต์อีเมล Outlook ของ Microsoft และระบบการจัดการฐานข้อมูล Access ซึ่งเป็นไฟล์ปฏิบัติการหลักที่ใช้สําหรับแอปพลิเคชัน Microsoft Publisher โดยได้รับการยืนยันแล้ว ว่าสามารถใช้ในการดาวน์โหลด Payloads จากเซิร์ฟเวอร์ระยะไกลได้  LOLBAS ย่อมาจาก Living-off-the-Land Binaries และ Scripts เป็นไฟล์ที่มีความถูกต้อง          และมีความน่าเชื่อถือ ซึ่งมาจากระบบปฏิบัติการ Windows ที่ดาวน์โหลดมาจาก Microsoft โดยผู้ไม่ประสงค์ดีสามารถใช้ประโยชน์จากการโจมตี เพื่อดาวน์โหลดและเรียกใช้งาน Payloads โดยไม่ต้องเปิดใช้งานซอฟต์แวร์ป้องกันไวรัส.  Microsoft Office binaries:  Nir Chako เป็นผู้เชี่ยวชาญด้านความปลอดภัยที่ Pentera ซึ่งเป็นบริษัทที่ให้บริการตรวจสอบ             ความปลอดภัยแบบอัตโนมัติ โดยเริ่มค้นหา LOLBAS…

นักวิเคราะห์ด้านความปลอดภัยที่ Guardz ได้เตือนภัยถึงเครื่องมือเจาะระบบอุปกรณ์ macOS       ตัวใหม่ที่มีชื่อว่า hVNC ซึ่งได้ถูกระบุว่าเป็นภัยคุกคาม โดยมีการซื้อขายในฟอรัมอาชญากรรมทางไซเบอร์            ของรัสเซียตั้งแต่เดือนเมษายนที่ผ่านมา  ข้อมูลเกี่ยวกับ hVNC  RastaFarEye กล่าวว่าผู้ไม่ประสงค์ดีรายอื่นสามารถซื้อ hVNC เวอร์ชั่นใหม่ที่มีความสามารถมากขึ้นพร้อมทั้งยังสามารถการชำระเงินเพิ่มเติมเพื่อใช้ฟังก์ชั่นอื่นได้ด้วย โดย hVNC สามารถทำงานบน macOS เวอร์ชัน 10 ถึง 13.2 เท่านั้น และสามารถทำงานโดยไม่ต้องรับสิทธิ์การอนุญาตจากเหยื่อ ซึ่งจะช่วยให้         ผู้ไม่ประสงค์ดีสามารถควบคุมเครื่องที่ติดไวรัสจากระยะไกลได้ โดยจุดประสงค์หลักของมัลแวร์                           คือการขโมยข้อมูลที่ละเอียดอ่อนรวมถึงข้อมูลประจำตัว ข้อมูลส่วนบุคคลและข้อมูลทางการเงิน  RastarFarEye เป็นสมาชิกที่ใช้งานอยู่ของฟอรัมอาชญากรรมทางไซเบอร์ตั้งแต่ปี 2021 โดยมีประวัติการโจมตีที่เป็นที่รู้จักจากการนำเสนอเครื่องมือ hVNC ในรูปแบบ Windows อีกทั้งยังมีบริการสร้างCertificate ของ Extended Validation (EV) อีกด้วย   ภัยคุกคามที่เพิ่มขึ้นสำหรับผู้ใช้ macOS  hVNC มีแนวโน้มเพิ่มขึ้นเรื่อยๆ ภัยคุกคามดังกล่าวมีเป้าหมายที่ผู้ใช้ Mac โดยมีเหตุการณ์ที่เกิดขึ้นสามเหตุการณ์ในเดือนที่แล้ว…

Clop ได้เริ่มการโจมตีที่มีการขโมยข้อมูลของเหยื่อโดยใช้ช่องโหว่ Zero-day บนแพลตฟอร์ม       การถ่ายโอนไฟล์ชื่อว่า MOVEit Transfer ซึ่งการใช้ช่องโหว่ Zero-day ทำให้แฮกเกอร์สามารถขโมยข้อมูลจากหน่วยงานจำนวนเกือบ 600 องค์กรทั่วโลกได้ ก่อนที่เหยื่อจะรู้ตัวว่าถูกโจมตี  ในวันที่ 14 มิถุนายน Clop เริ่มการโจมตีเรียกค่าไถ่กับเหยื่อโดย ค่อย ๆ ปล่อยข้อมูลรั่วไหลของเหยื่อลงใน Tor Data Leak Site และจะเปิดเผยไฟล์แบบสาธารณะ แต่ในการปล่อยข้อมูลรั่วไหล Tor Data Leak Site นั้นมีข้อเสียบางประการ เนื่องจากความเร็วในการดาวน์โหลดช้า ทำให้การรั่วไหลในบางกรณี              ไม่เกิดความเสียหายมากเท่าที่ควรจะเป็น เพื่อที่จะรับมือกับสถานการณ์นี้ แรนซัมแวร์ Clop ได้สร้างเว็บไซต์ “ClearWeb” เพื่อทำการรั่วไหลข้อมูลของเหยื่อ สำหรับเหยื่อบางรายที่ถูกขโมยข้อมูลผ่าน MOVEit แต่โดเมนประเภทนี้จะถูกตรวจจับได้ง่ายกว่า  การเปลี่ยนไปใช้ทอร์เรนต์  เพื่อแก้ปัญหาการถูกตรวจจับได้ง่าย Clop จึงได้เริ่มใช้ Torrent เพื่อแพร่ข้อมูลที่ถูกขโมยผ่าน…

16shop เป็นแพลตฟอร์มที่ให้บริการในการสร้างและดำเนินการฟิชชิ่งออนไลน์เพื่อหลอกล่อเหยื่อ  ให้ทำการเปิดเผยข้อมูลส่วนตัว และจากการร่วมมือกันระหว่าง Interpol และ Group-IB ได้นำไปสู่การจับกุมและปิดการให้บริการของแพลตฟอร์ม 16shop เมื่อไม่กี่วันมานี้  โดยทั่วไปแล้ว แพลตฟอร์ม Phishing-as-a-Service จะมีทุกสิ่งที่แฮกเกอร์ต้องการ                             รวมถึงการแพร่กระจายอีเมล, ชุดฟิชชิ่งสำเร็จรูป, Hosting, Data Proxying, แดชบอร์ดภาพรวมของเหยื่อ และเครื่องมืออื่นๆ ที่ช่วยเพิ่มความสำเร็จในการโจมตีแบบฟิชชิ่ง  Group-IB เผยว่า 16shop ได้นำเสนอชุดฟิชชิ่งที่เน้นการกำหนดเป้าหมายไปยังบัญชีของ               Apple, PayPal, American Express, Amazon และ Cash App รวมถึงบัญชีอื่น ๆ อีกมาก โดย 16shop มีหน้าที่ในการสร้างหน้าเพจฟิชชิ่งจำนวน 150,000 หน้าเพจ ที่เน้นเป้าหมายไปยังเหยื่อจากประเทศเยอรมนี, ญี่ปุ่น, ฝรั่งเศส, สหรัฐอเมริกา และสหราชอาณาจักร เป็นส่วนใหญ่ ซึ่งทาง Interpol…

Cybersecurity Threat Hunting Workshop ฟรี ! ที่ไม่อยากให้คุณพลาด เรียนรู้การสืบค้น ค้นหา ตรวจจับภัยคุกคาม จากแหล่งข้อมูล ด้วยการใช้เครื่องมือต่างๆ ที่ให้คุณได้ลงมือปฏิบัติจริงผ่าน Cyber Range และสามารถเริ่มตรวจจับภัยคุกคามได้ด้วยตนเอง Workshop ครั้งนี้ ช่วยให้คุณเข้าถึงเเหล่งข้อมูลเกี่ยวกับด้านภัยคุกคาม และข้อมูลที่รั่วไหลจากทุกที่ ทำให้สามารถนำมาวิเคราะห์ เพื่อวางแนวทางการป้องกันและยกระดับความปลอดภัยขององค์กร ด้วยการลงมือปฏิบัติจริงจากหัวข้อ LAB ที่ทาง SOSECURE ได้นำมาให้ทกุคนได้ลงมือปฏิบัติจริงผ่าน Cyber Range ในวันที่ 9 สิงหาคม 2566 เวลา 13.30-15.00 น. ในรูปแบบ Online Live Session บรรยายโดย อ.วัชรพล วงศ์อภัย CEO / Founder SOSECURE co.,ltd Certificate CISSP…

Google ได้เผยแพร่รายงานช่องโหว่ Zero-days ประจำปี โดยนำเสนอสถิติการหาผลประโยชน์ที่เกิดขึ้นจากปี 2022 และเน้นย้ำปัญหาที่มีมานานบนแพลตฟอร์ม Android ซึ่งเพิ่มความปลอดภัยที่เข้มงวดขึ้น เพื่อป้องกันการโจมตี รายงานนี้เน้นให้ความสำคัญกับปัญหาของช่องโหว่ N-days  ในระบบปฏิบัติการ Android ที่ทำหน้าที่เหมือนกับช่องโหว่ Zero-days สำหรับผู้โจมตีที่ใช้ช่องโหว่นี้ในการโจมตีอุปกรณ์และระบบที่ยังไม่ได้รับการแก้ไข    ปัญหานี้เกิดจากความซับซ้อนของระบบ Android ที่มีขั้นตอนหลายขั้นตอนระหว่าง Google และผู้ผลิต Phone manufacturers ทำให้มีความแตกต่างมากในช่วงเวลาของการอัปเดตความปลอดภัยระหว่างรุ่นอุปกรณ์ที่แตกต่างกันและปัญหาอื่น ๆ  ช่องโหว่ Zero-days เป็นช่องโหว่ของซอฟต์แวร์ที่ทราบก่อนที่ผู้จำหน่ายจะรับรู้หรือแก้ไข  ทำให้สามารถโจมตีช่องโหว่ดังกล่าวได้ก่อนที่จะมีแพตช์ให้บริการ ในทางกลับกัน ช่องโหว่ N-days คือช่องโหว่ที่รู้จักในพื้นที่สาธารณะ ไม่ว่าจะมีแพตช์หรือไม่มีก็ตาม  ตัวอย่างเช่น หากมีช่องโหว่ใน Android ที่รู้จักก่อน Google จะเรียกว่า Zero-days อยู่ แต่เมื่อ Google ทราบเรื่องนี้แล้ว มันก็จะกลายเป็น N-days โดย…