เตือนภัยพบไวรัสใหม่ที่มาจากจีน !!!

หน่วยข่าวกรองในสหรัฐอเมริกา ได้ปล่อยข้อมูลเกี่ยวกับไวรัสคอมพิวเตอร์อายุ 12 ปี ใช้โดยกลุ่มแฮกเกอร์ที่ได้รับการสนับสนุนจากรัฐจีนซึ่งมุ่งเป้าไปยังรัฐบาล, องกรค์ต่างๆและสถาบันการวิจัยอื่นๆ  Taidoor เป็น malware ที่เข้าไปบุกรุกในระบบครั้งแรกเมื่อปี 2008 ด้วยการปล่อยลงไปบนเครือข่ายของเหยื่อเพื่อ Stealthy Remote Access  “Taidoor จะถูกติดตั้งลงบนระบบของเป้าหมายบน Service dynamic link library (DLL) และประกอบด้วย 2 ไฟล์” มีหน่วยงานได้ออกมากล่าว “File แรกคือ loader เป็นตัว start service, The loader (ml.dll) เป็นตัวถอดรหัสไฟล์ที่ 2 (svchost.dll), และ execute ผ่าน memory ซึ่งก็คือ Remote Access Trojan (RAT)”  เพิ่มเติมเกี่วยกับ executing remote commands,…
Read More

Microsoft Teams อนุญาติให้ผู้โจมตีทำการโจมตีด้วย Remote Code Execution

นักวิจัยเพิ่งค้นพบวิธีแก้ปัญหา Patch ก่อนหน้ากับซอฟต์แวร์ Microsoft Teams ที่ทำให้ผู้ไม่หวังดีเข้ามาใช้ Service update function ในการ Download binary หรือ malicious payload  ตัว Updater นี้อนุญาติให้มีการเชื่อมต่อผ่านทาง local share หรือ local folder ได้ Jayapaulshare ได้กล่าวไว้ว่า “ในขณะที่กำลังทำการตรวจสอบ เขาได้ค้นพบข้อจำกัดในการ bypass ไปที่ SMB Share” ผู้โจมตีสามารถ Download remote payload เข้ามารันได้เลย แทนที่จะต้องพยายามเข้าไปให้ถึง local share  นักวิจัยได้กล่าวว่า “หลังจากที่ตั้งค่าสำเร็จก็เริ่ม command execution, downloaded remote payload และทำการรันโดยตรงจาก Microsoft Teams…
Read More

Newsletters Plugin บน WordPress ที่มีการติดตั้งกว่า 300,000 รายการ ควบคู่มากับช่องโหว่ code-execution

The Newsletter Plugin ช่วยให้ Admin สามารถที่จะสร้าง Newsletters  และ email campaigns ขึ้นมาภายใน WordPress ได้ตามที่ Wordfence ได้กล่าว  ปัญหาก็คือช่องโหว่ reflected cross-site scripting (XSS)  และช่องโหว่ PHP object-injection ซึ่งทั้งสองอย่างนี้สามารถแก้ไขได้โดยอัพเดทเวอร์ชั่น Newsletter เวอร์ชันให้เป็นเวอร์ชั่นล่าสุด v.6.8.2  ช่องโหว่แรก reflected XSS problem ซึ่งจัดว่าเป็นภัยคุกคามระดับปานกลางที่ 6.5 คะแนนตาม CVSS score ถ้าหากถูกโจมตีด้วยช่องโหว่นี้จะฤทำให้ผู้โจมตีที่ Logged-in เข้ามา Inject malicious code บน Web Server ได้  ช่องโหว่ที่สอง PHP object-injection bug ระดับภัยคุกคามอยู่ที่ 7.5 คะแนนตาม  CVSS score โดยการ Inject…
Read More

Lazarus กลุ่มแฮคเกอร์ปล่อย ransomware ขโมยข้อมูลโดยใช้ MATA malware

เฟรมเวิร์กมัลแวร์ที่ถูกค้นพบเมื่อเร็ว ๆ นี้ที่รู้จักกันในชื่อ MATA เชื่อมโยงกับกลุ่มแฮ็คเกอร์ เกาหลีเหนือที่รู้จักกันในชื่อ Lazarus ถูกใช้ในการโจมตีเป้าหมายหลายๆองค์กรระหว่างประเทศ ตั้งแต่เดือนเมษายน 2018 MATA คือโมดูลเฟรมเวิร์กที่ประกอบไปด้วยหลายๆอย่าง อย่างเช่น Loader, orchestrator และ Plugin อีกหลายๆตัว ดังนั้นมันจึงง่ายที่จะแพร่ไปยัง Windows, Linux, Mac ระหว่างการโจมตี แฮคเกอร์จะใช้ MATA เพื่อทำการโหลดพวกปลั๊กอินเพื่อเรียกใช้ Command จากเครื่องที่ติดเชื้อผ่าน system’s memory, จัดการกับไฟล์และโปรเซสต่างๆ Inject DDLs ไฟล์ลงไป แล้วทำการสร้าง HTTP proxies ไว้เป็นช่องทางในการเข้าออกบนเครื่อง เมื่อ MATA ถูกแพร่ไปยังเครื่องเหยื่อสำเร็จ มันจะทำการค้นหาข้อมูลสำคัญๆ อย่างข้อมูลลูกค้า หรือข้อมูลทางธุรกิจ มันจะทำการรวบรวมข้อมูลออกมา และทำการลบข้อมูลคู่แข่งลูกค้า คำแนะนำเบื้องต้นเกี่ยวกับการป้องกันมัลแวร์1.ติดตั้งโปรแกรมป้องกันไวรัส/มัลแวร์2.พยาพยามอัพเดท Software Antivirus สม่ำเสมอ3.สแกนไวรัสตามกำหนดเวลาเป็นประจำด้วยโปรแกรมป้องกันไวรัส4.อัพเดทระบบปฏิบัติการให้เป็นปัจจุบัน อ้างอิง : https://www.bleepingcomputer.com/news/security/lazarus-hackers-deploy-ransomware-steal-data-using-mata-malware/
Read More

wsreset โจมตีผู้ใช้งาน Window 10 Store

วิธีในการโจมตีของแฮกเกอร์นั้นจะใช้ประโยชน์จาก wsreset.exe ใน Window 10 Store นอกจากนั้น wsreset.exe สามารถหลีกเลี่ยงการตรวจจับของโปรเเกรม Antivirus ได้อีกด้วย wsreset.exe เป็นโปรเเกรมแก้ไขปัญหาเบื้องต้นสำหรับ Window Store เเละสามารถที่จะลบ cache ที่อยู่ในเครื่องได้ เเต่นักวิจัยเเละPentester ได้ออกมาเปิดเผยว่า wsreset.exe สามารถลบไฟล์อื่นๆภายในเครื่องโดยพลการได้ wsreset.exe จะทำงานโดยได้สิทธิ์สูงในการเข้าถึงข้อมูลเเละสามารถเข้าไปแก้ไข Window Setting ทำให้แฮกเกอร์สามารถเข้ามาลบไฟล์ภายในเครื่องของเราได้ โดยปกติเวลา wsreset ลบไฟล์จะไปลบที่แฟ้มข้อมูลของ Windows Store คือ “%UserProfile%\AppData\Local\Packages\Microsoft.WindowsStore_8wekyb3d8bbew\AC\INetCache” และ “%UserProfile%\AppData\Local\Packages\Microsoft.WindowsStore_8wekyb3d8bbew\AC\INetCookies” เพื่อลบ cache และ cookies ของ Windows Store นอกจากนี้ wsreset.exe สามารถลบแฟ้มข้อมูลของโปรแกรมไวรัสได้อีกด้วย ซึ่งโดยปกติผู้ใช้งานอาจจะไม่สามารถลบแฟ้มข้อมูลของโปรแกรมป้องกันไวรัส แต่เนื่องจาก wsreset มีสิทธิที่สูงกว่าจึงสามารถลบข้อมูลดังกล่าวได้…
Read More

มัลแวร์ Emotet-TrickBot กลับมาอีกครั้ง !!!

ในวันที่ 17 กรกฎาคม 2020 ที่ผ่านมา หลังจากไม่มีการใช้งานนานกว่าห้าเดือน Emotet Trojan กลับมาระบาดอีกครั้งโดยการฝังมาโครมากับใบชำระเงิน, ใบแจ้งหนี้, ข้อมูลการขนส่งหรือใบที่มอบโอกาสในการจ้างงาน อีเมลสแปมพวกนี้มักจะแนบมาพร้อมกับเอกสารที่ไม่น่าไว้ใจ เมื่อผู้รับทำการเปิด Emotet trojan ตัวนี้ก็จะทำการติดตั้งลงไปบนเครื่อง และเปิดใช้งานมาโคร กิจกรรมเหล่านี้รวมถึง พยายามที่จะแพร่กระจายผ่านโครงข่าย Network ขโมยฐานข้อมูล Active Directory Services เก็บข้อมูลการเข้าสู่ระบบและคุกกี้จากเบราว์เซอร์ ขโมย OpenSSH Key ขโมย Credentials RDP, VNC และ Putty ขโมย Bank Credentials คำแนะนำ ให้ Disabling Administrative Shares มันจะช่วยป้องกันไม่ให้โฮสต์ติดเชื้อซึ่งกันและกัน โดยปิดส่วนนี้ผ่าน Registy ให้ทำการสร้าง REG_DWORD ปรับค่าให้เป็น 0 ผ่านช่องทาง HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\LanmanServer\Parameters บน Windows workstations (7, 8.1, and 10), ชื่อค่าคือ AutoShareWks บน Windows servers (2008, 2012, and 2016), ชื่อค่าคือ AutoShareServer สร้างความตระหนักถึงภัยคุกคามให้กับบุคลากรในองค์กรถึงเทคนิคการโจมตี และผลที่อาจจะกระทบต่อองค์กรได้ อ้างอิง : https://www.bleepingcomputer.com/news/security/emotet-trickbot-malware-duo-is-back-infecting-windows-machines/
Read More

CISA คำสั่งฉุกเฉินเร่งแก้ไข Windows DNS Server Bug ทันที

The U.S Cybersecurity และ Infrastructure Security Agency (CISA) ได้ออกคำสั่งให้ผู้บริหารสำนักงานของหน่วยงานรัฐบาลกลางทุกแห่งทำการปรับใช้ Patch สำหรับ wormable Windows Server bug ภายใน 24 ชั่วโมง จากคำสั่งฉุกเฉิน, The Department of Homeland Security (DHS) ได้สั่งให้ “ฝ่ายบริหารพลเรือนของรัฐบาลกลาง” ปรับใช้ Patch ที่ทาง Microsoft ได้ปล่อยออกมาเมื่อวันอังคาร เพื่อป้องกันช่องโหว่ remote code execution (CVE-2020-1350) ภายในเวลา 14:00 น. ET ของวันศุกร์ที่ผ่านมา “CISA ได้ระบุไว้ว่าช่องโหว่นี้จะก่อให้เกิดความเสียหายระดับที่ยากที่จะยอมรับความเสี่ยงได้  จึงต้องมีการดำเนินการออกคำสั่งฉุกเฉินต่อฝ่ายบริหารพลเรือนของรัฐบาลกลาง” ตามรายงานคำสั่งของหน่วยงาน อ้างอิง : https://threatpost.com/cisa-emergency-directive-orders-immediate-fix-of-windows-dns-server-bug/157529
Read More

Hacker มองหาข้อมูลงานวิจัย COVID-19 ที่จะขโมย

กลุ่มภัยคุกคามที่มีชื่อว่า AP29 พยายามที่จะขโมยผลการวิจัยวัคซีน COVID-19 จากสถาบันการศึกษาด้านวิชาการและเภสัชกรรมในประเทศต่างๆทั่วโลกรวมถึงสหรัฐอเมริกา ตามประกาศแจ้งเตือนจาก กระทรวงความมั่นคงแห่งสหรัฐอเมริกา (DHS), ศูนย์รักษาความปลอดภัยไซเบอร์แห่งชาติของสหราชอาณาจักร (NCSC) และสำนักงานความปลอดภัยด้านการสื่อสารของแคนาดา (CSE) “ ตลอดปี 2020 APT29 ได้ตั้งเป้าหมายไปยังองค์กรต่าง ๆ ที่เกี่ยวข้องกับการพัฒนาวัคซีน COVID-19 ในแคนาดาส, หรัฐอเมริกา และสหราชอาณาจักร มีแนวโน้มสูงที่จะขโมยข้อมูล และทรัพย์สินทางปัญญาที่เกี่ยวข้องกับการพัฒนาและผลการทดสอบวัคซีน COVID-19 ” จากผลการรายงานตั้งข้อสังเกต  AP29 ได้ใช้ประโยชน์จากช่องโหว่ในการเข้าถึงเป้าหมาย ตามที่นักวิเคราะห์ได้กล่าวไว้ โดยใช้ Spear-phishing เก็บข้อมูลส่วนตัวไปใช้ในการยืนยันตัวตนผ่านหน้า login ขององกรค์เหยื่อ ตามมาด้วยช่องโหว่ Citrix code-injection bug (CVE-2019-19781), Pulse Secure VPN flaw (CVE-2019-11510), ปัญหา FortiGate (CVE-2018-13379) และ …
Read More

Webinar#5 “API Penetration Testing”

Topic ในปัจจุบันการใช้งานเว็บแอปพลิเคชั่นมีอัตราเพิ่มขึ้นในทุกๆปี เราปฏิเสธไม่ได้เลยว่าในปัจจุบันไม่มีใครไม่เคยเข้าใช้งานเว็บไซต์ ซึ่งเว็บแอปพลิเคชั่นเองก็ได้มีการพัฒนาเพื่อรองรับต่อความต้องการของผู้ใช้งาน ไม่ว่าจะเป็น การพัฒนาขึ้นมาให้ใช้งานง่าย รวมถึงการรองรับให้ใช้งานได้ในหลายๆแพลตฟอม เพื่อตอบสนองความต้องการของผู้ใช้งานทั้งหลายเหล่านั้น ผู้พัฒนาเว็บแอปพลิเคชั่นหลายๆที่จึงได้มีการนํา API เข้ามาใช้ โดยใน Webminar ครั้งนี้เราจึงเล็งเห็นถึงความสําคัญของ API โดยเราจะกล่าวถึงว่า API คืออะไร ? ทํางานอย่างไร และสุดท้ายความเสี่ยงที่อาจเกิดขึ้นได้เกี่ยวกับการเรียกใช้ API โดยไม่ตระหนักถึงความปลอดภัย เป็นต้น กำหนดการ 22 กรกฎาคม 2563 เวลา 15.00 – 16.30 หัวข้อการสัมนาออนไลน์ Overview Web Application Technology How API work with Web Application Web Application API Vulnerability API Penetration Testing…
Read More

Trojans, Backdoors and Droppers : มัลแวร์ที่ผ่านการตรวจพบมากที่สุด

มัลแวร์ 3 ชนิดนี้ เป็นมัลแวร์ ติดอันดับต้นๆที่ถูกตรวจพบโดยหน่วยข่าวกรองด้านความปลอดภัยของทาง Kaspersky โดยใน 3 ไตรมาส นับเป็น 72% ที่ตรวจพบเจอไฟล์ที่ติดมากับมัลแวร์ 3 ประเภทข้างต้นนี้ ทางด้าน Kaspersky ได้อธิบายไว้ในรายงานว่า “เพื่อพัฒนามาตรการตอบโต้และการแก้ไขปัญหา นักวิเคราะห์ด้านความปลอดภัยจำเป็นที่จะต้องระบุทราบถึงสาเหตุ และที่มาของต้นกำเนิดการโจมตีประเภทนี้ ฯลฯ” เปรียบเทียบกับมัลแวร์ประเภทที่เจอทั่วไปในปัจจุบัน ภัยอันตรายจาก backdoors และ trojan-dropper คิดเป็น 7 เปอร์เซ็นต์และ 3 เปอร์เซ็นต์ของไฟล์ที่เป็นอันตรายทั้งหมดที่ถูกบล็อกโดยซอฟต์แวร์ของ Kaspersky มีคำขอจำนวนหนึ่งที่เกี่ยวข้องกับ Backdoors บนระบบปฏิบัติการ Linux และ Android ตระกูลมัลแวร์ดังกล่าว เป็นที่น่าจับตามอง สำหรับนักวิจัยด้านความปลอดภัย แต่ก็ยังเป็นระดับที่ต่ำเมื่อเทียบกับภัยคุกคามอื่นที่มุ่นเน้นไปทีการโจมตี Microsoft Windows จนเกิดความสนใจทีแตกต่างกันระหว่างนักวิเคราะห์ด้วยกันเอง เกี่ยวกับภัยคุกคามที่แพร่หลายนี้ สามารถอธิบายได้โดย จุดความสนใจในเรื่องของการโจมตีในขั้นตอนสุดท้าย ขณะที่ซอฟต์แวร์ป้องกันไวรัส มุ่งเป้าไปในเรื่องของการป้องกันการโจมตีในขั้นแรกๆ…
Read More