Microsoft ปล่อย Update เพื่อปิดช่องโหว่ร้ายแรง!!!

 เมื่อวันอังคารที่ 9 มิถุนายน 2563 ที่ผ่านมาทางทีม Microsoft ได้ปล่อย Update Patch ของช่องโหว่ต่างๆ กว่า 129 ช่องโหว่ รวมถึงช่องโหว่ร้ายแรง อีก 11 รายการเช่น ช่องโหว่ remote code-execution, SharePoint server, Windows Shell, VBScript และผลิตภัณฑ์ต่างๆ แต่ไม่รวมถึงการโจมตีที่เป็น Zero-Day             • SMBv3 :มีช่องโหว่ที่แก้ไขออกมา 3 ประเภทได้แก่ denial-of-service vulnerability (CVE-2020-1284, information-disclosure vulnerability (CVE-2020-1206) และ remote code-execution (CVE-2020-1301)             • VBScript : เป็นช่องโหว่ที่สามารถเรียกใช้ remote code-execution ในภาษา Active Scripting ที่เกิดจาก VBScript จัดการกับหน่วยความจำที่ผิดปกติ ทำให้ผู้โจมตีสามารถเรียกใช้คำสั่งได้ตามอำเภอใจเสมือนว่าเป็นผู้ใช้ปกติ             คำแนะนำ : ให้ทำการดำเนินการ Update Patch ของอุปกรณ์ให้เป็นปัจจุบันอยู่เสมอ ที่มา:  https://threatpost.com/microsoft-june-patch-tuesday-largest-ever-update/156430/
Read More

เครื่องมือในการโจรกรรมข้อมูลแบบใหม่ USBCulprit

นักวิจัยจาก Kaspersky ออกมาเปิดเผยเครื่องมือในการขโมยข้อมูลของเหยื่อที่ถูกพัฒนาโดยกลุ่มผู้ไม่ประสงค์ดีในจีน ซึ่งมีเป้าหมายไปที่หน่วยงานรัฐบาล ไทย ลาว และเวียดนาม โดยเครื่องมือที่ถูกค้นพบใหม่นี้มีชื่อว่า USBCulprit ซึ่งเป็น Malware mujอาศัย USB Drive เป็นตัวช่วยในการโจรกรรม โดยมี Advanced Persistent Threat (APT) ที่ชื่อ Cycldek, Goblin Panda หรือ Conimes             หลักการทำงานของ USBCulprit อาศัย Keylogger ของผู้ใช้ที่เชื่อมต่อเข้ากับระบบผ่าน RDP หลังจากนั้นจะมีการทำการ Download เครื่องมือเพิ่มเติมในการช่วยโจมตี เช่น lateral movement ใช้เครื่องมือชื่อ (HDoor) และ ในการดึงข้อมูลออกมาจากเครื่องเหยื่อ (JsonCookies และ ChromePass) โดยมีเป้าหมายไปที่ไฟล์นามสกุลเฉพาะเช่น *.pdf;*.doc;*.wps;*docx;*ppt;*.xls;*.xlsx;*.pptx;*.rtf และทำการถ่ายโอนข้อมูลกลับมายัง USB Drive ที่มา: https://thehackernews.com/2020/06/air-gap-malware-usbculprit.html
Read More

Microsoft มีการแจ้งเตือนการโจมตี Ransomware “PonyFinal”

Microsoft ได้ออกคำแนะนำให้แต่ละองค์กรตระหนักถึงการป้องกันจาก ransomware ในรูปแบบใหม่ซึ่งทำงานภายใต้ Java เพื่อการเจาะเข้าเครื่อข่ายภายในองค์กรและปรับเปลี่ยนรูปแบบได้ตามสถานะได้  สิ่งที่พิเศษกว่า Ransomware ตัวอื่นๆคือเปลี่ยนช่องทางการแผร่กระจาย โดยที่ไม่ใช้วิธีการส่ง Mail Phishing ในการหลอกวงให้ เหยื่อทำการกด Payload                    ขั้นตอนการโจมตี ทำการโจมตีผ่านทางเซิร์ฟเวอร์ระบบการจัดการ (Systems Management Server) ด้วยเทคนิค Brute-Force. หลังจาก Brute-Force สำเร็จจะทำการใช้สคริปต์ เพื่อทำการ Reverse Shell เพื่อถ่ายโอนและขโมยข้อมูล นอกจากนี้ทำการฝัง Backdoor โดยควบคุมจากระยะไกล หลังจากฝัง Backdoor ไว้แล้ว จะทำการ Leteral Movement ไปยังระบบอื่นในเครือข่าย โดยผู้โจมตีเลือกเป้าหมายที่มีการ Install Java Runtime Environment (JRE) ไว้เพื่ออาศัยช่องโหว่ของ JRE ทำการแพร่กระจาย Ransomware เครื่องเหยื่อที่ติด Ransomware PonyFinal จะโดนล๊อคไฟล์ด้วยนามสกุล “.enc” พร้อมทั้งมีไฟล์ “README_files.txt” โดยเนื้อหาจะเป็นวิธีการจ่ายเงินเพื่อปลดล๊อกไฟล์  ที่มา :  https://www.zdnet.com/article/microsoft-warns-about-attacks-with-the-ponyfinal-ransomware/
Read More

เตือนภัย !! มีการโจมตีผ่าน Bluetooth รู้แบบใหม่

ผู้เชี่ยวชาญเปิดเผย พบว่ามีการโจมตีผ่านช่องทาง Bluetooth ในรูปแบบใหม่ เรียกว่า Bluetooth Impersonation AttackS หรือ BIAS โดยการโจมตีนี้ทำให้ผู้โจมตีสามารถสวมรอยเป็นอุปกรณ์ของคุณจากระยะไกลได้           การโจมตีนี้อาศัยข้อบกพร่องของการจับคู่ระหว่างอุปกรณ์ที่เรียกว่า Link Key ที่เชื่อมต่อกันระหว่างอุปกรณ์หูฟัง และโทรศัพท์มือถือ โดยการปลอมแปลงนี้จะหลีกเลี่ยงในการตรวจสอบสิทธิ์ อีกทั้งการโจมตีนี้ยังสามารถนำประโยชน์ไปใช้เพื่อการโจมตีในรูปแบบอื่นๆได้อีกด้วย           ผลกระทบ : อุปกรณ์ที่ไม่ได้มีการอัปเดตตั้งแต่ ธันวาคม 2019  คำแนะนำ : ทำการ Update Patch ให้เป็นปัจจุบันอยู่เสมอ เพื่อทำการปิดช่องโหว่ ที่มา : https://thehackernews.com/2020/05/hacking-bluetooth-vulnerability.html
Read More

Microsoft Sway ใน Office 365 ตกเป็นเครื่องมือในการฟิชชิ่ง

PerSwaysion เป็นฟิชชิ่งแคมเปญที่กลุ่มอาชญากรไซเบอร์ทำร่วมกันเพื่อการโจมตีที่มีประสิทธิภาพและเป็นวงกว้าง ซึ่งมีกลุ่มอาชญากรไซเบอร์จากเวียดนามเป็นตัวหลักในการดำเนินการร่วมกับกลุ่มอื่นๆ โดยมีเป้าหมายเป็นสถาบันการเงินขนาดกลางและขนาดย่อม สำนักกฎหมาย กลุ่มอสังหาริมทรัพย์ในอเมริกา แคนาดา และประเทศอื่นๆ ในแถบยุโรป แคมเปญนี้ใช้ประโยชน์จากช่องโหว่ของ Microsoft Sway ใน Office 365 ทำให้ได้รับ credential ของบรรดาผู้บริหารแล้วสวมรอยส่งอีเมลฟิชชิ่งไปยังพนักงานคนอื่นๆ เพื่อหลอกถามข้อมูลสำคัญ ซึ่งขณะนี้มีบัญชีของผู้บริหารกว่า 150 คนที่ถูกใช้เป็นเครื่องมือ ที่มา : https://threatpost.com/microsoft-sway-abused-office-365-phishing-attack/155366/
Read More

แนวโน้มความปลอดภัยทางไซเบอร์จากไตรมาสแรกของปี63

 Ransomeware ทำให้สถานการณ์ของไวรัสโคโรน่าแย่ลง แทนที่จะเป็นเพียงการเข้ารหัสข้อมูล แต่ตอนนี้มีการขู่บังคับเหยื่อให้โอนเงินตามที่ผู้ร้ายต้องการ หากไม่ทำตามก็จะถูกเปิดเผยข้อมูลหรือขายต่อ Data breaches และ Phising ยังเป็นการโจมตีในอันดับต้นๆ เมื่อช่องทางการฟิชชิ่งไม่ได้มีแค่อีเมลอีกต่อไป แต่ยังมี SMS สื่อเครือข่ายสังคมออนไลน์ แม้แต่การโทรศัพท์เพื่อหลอกให้เหยื่อบอกข้อมูลสำคัญของตน ไม่มีข้อมูลใดเป็นความลับในสังคมออนไลน์ ทุกอย่างที่เราโพสต์หรือค้นหาในอินเทอร์เน็ตจะถูกบันทึกลงในเซิร์ฟเวอร์และผู้ให้บริการสามารถเรียกดูได้เสมอ  การเติบโตของสมาร์ทดีไวซ์ที่เสี่ยงต่อความปลอดภัย อุปกรณ์เหล่านี้กลายมาเป็นส่วนหนึ่งของชีวิตและเก็บรวบรวมข้อมูลประจำวันไปไว้ในเซิร์ฟเวอร์ แน่นอนว่าข้อมูลเหล่านี้ก็ดึงดูดอาชญากรไซเบอร์ด้วยเช่นกัน อุปกรณ์ทางการแพทย์มีความเสี่ยงที่สูงขึ้น กว่า 10 ปีมาแล้วที่อุปกรณ์ทางการแพทย์สามารถเชื่อมต่อกับอินเทอร์เน็ตได้ ขณะเดียวกันจำนวนช่องโหว่ของซอฟต์แวร์ที่พบก็มีมากขึ้นเช่นกัน การโจมตียานพาหนะด้วย Cyber-attackระบบขับเคลื่อนด้วยตัวเองของรถยนต์สมัยใหม่ต้องเชื่อมต่อกับอินเทอร์เน็ต ทำให้มีแนวโน้มที่จะถูกโจมตีทางไซเบอร์มากขึ้นและส่งผลกระทบต่อการจราจร โกดังดิจิตอลต่างๆตกเป็นเป้าหมายมากขึ้น การมาของเทคโนโลยีอย่าง IoT, Automation, AI, Big data ทำให้เกิดโกดังดิจิตอลซึ่งเป็นเป้าหมายของการโจมตีทางไซเบอร์ ช่องโหว่จากOSที่พัฒนาขึ้นเอง คาดว่าในปี 2568 จะมีอุปกรณ์ IoT กว่า 7 แสน 5 หมื่นล้านเครื่องบนอินเทอร์เน็ตที่ใช้ซอฟต์แวร์ของตัวเอง ทำให้มีความเสี่ยงในการโดนโจมตีระยะไกลมากขึ้น ที่มา : https://www.cybersecurityintelligence.com/blog/q1-2020-key-trends-in-cyber-security-4930.html
Read More

บัญชี Microsoft พบวิธีขโมยTeam ด้วยการส่งไฟล์ภาพ .gif

ข้อบกพร่องนี้เกิดจากวิธีรับรองความถูกต้องของรูปภาพ โดยแอปจะสร้าง JOSN Web Token ขึ้นมาสองตัว ตัวแรกคือ “authToken” ใช้รับรองความถูกต้องของผู้ใช้ ตัวที่สองคือ “skypeToken” สำหรับตรวจสอบสิทธิ์ของผู้ใช้กับทางเซิร์ฟเวอร์ ผู้โจมตีจะทำการเข้ายึดโดเมนย่อยที่มีช่องโหว่เอาไว้ก่อน เพื่อรอรับauthTokenจากเหยื่อ จากนั้นจะส่งไฟล์ภาพ.gif ที่แฝงลิงค์อันตรายไปยังห้องแชท เมื่อผู้ใช้เปิดดู บราวเซอร์ก็จะส่งคุกกี้ authToken ไปยังโดเมนย่อยที่ผู้โจมตีเปิดรอไว้โดยที่ผู้ใช้ไม่รู้ตัว หลังจากได้รับ authToken แล้วก็จะนำไปสร้าง skypeToken เพื่อใช้ยึดบัญชีของเหยื่อต่อ ผู้เชี่ยวชาญจาก CyberArkกล่าวว่าการโจมตีนี้สามารถแพร่กระจายได้เองเหมือนกับเวิร์ม เพียงแค่มีผู้ใช้คนอื่นในห้องแชทหลงเข้ามาคลิกเปิดไฟล์ พร้อมทั้งได้สาธิตวิธีการใช้ช่องโหว่นี้เอาไว้ด้วย ที่มา : https://securityaffairs.co/wordpress/102344/hacking/hacking-microsoft-teams-accounts.html
Read More

macOS และ iOS ตกเป็นเป้า “Text-bomb” ครั้งใหม่

อุปกรณ์ Apple เสี่ยงต่อการโดนโจมตีด้วย “Text-Bomb” เพียงเปิดดูข้อความหรือโพสต์ที่เป็นภาษาสินธุ (Sindhi) ซึ่งเป็นภาษาราชการของปากีสถาน สาเหตุเกิดจากการที่ macOS และ iOS ไม่สามารถแสดง unicode ของภาษาได้ ทำให้ระบบเกิดความสับสนจนต้องรีสตาร์ทที่ผ่านมา Apple เคยประสบกับปัญหาแบบนี้จากตัวอักษรอาหรับที่มีความคล้ายคลึงกันกับอักษรอินเดีย ซึ่งวิธีการแก้ไขในตอนนี้แนะนำว่าให้ปิดการแสดงตัวอย่างข้อความบน iPhone ไปก่อนจนกว่าจะมีการอัพเดท ที่มา : https://threatpost.com/apple-text-bomb-crashes-iphones-message-notifications/155144/
Read More

SDBbot RAT และแคมเปญ COVID-19 จากกลุ่ม TA505

IBM X-Force หน่วยงานให้บริการด้านการตอบสนองต่อภัยคุกคามกำลังอยู่ระหว่างการวิเคราะห์และจับตาดูการแพร่กระจ่ายของ Remote access Trojan (RAT) ที่ชื่อ SDBbot ซึ่งมีความเกี่ยวข้องกับกลุ่ม TA505                  TA505 เป็นกลุ่มอาชญากรรทางการเงินที่มุ้งเน้นโจมตีอุตสาหกรรมต่างๆ สถาบันการเงิน ร้านค้าและร้านอาหาร ที่ผ่านมากลุ่มนี้มีวิธีการโจมตีที่หลากหลาย ไม่ว่าจะเป็น Spear phising, Macro-enabled documents, embedded dynamic-link libraries (DLLs), legitimate cloud hosting services for malware distribution, Spoofing legitimate services like Microsoft and Google      …
Read More

แคมเปญ Email extortion ครั้งใหม่ได้เริ่มขึ้นแล้ว

Email extortion หรือการขู่กรรโชกทางอีเมลนั้นผู้โจมตีจะหลอกเหยื่อว่า “คอมพิวเตอร์ของคุณถูกแฮ็ก ทางเราได้รับรหัสผ่านและคลิปวีดีโอที่ถูกถ่ายจากเว็บแคมของคุณ หากไม่ต้องการให้ข้อมูลหลุดออกไป ให้โอนเงินมาผ่านทางบิทคอยน์” ซึ่งการหลอกลวงแบบนี้ก็มีมานานแล้ว แต่ตอนนี้กำลังกลับมาระบาดอีกครั้ง แม้ว่าหลายคนจะไม่สนใจอีเมลเหล่านี้ แต่ก็มีบางคนกังวลว่าข้อมูลของตนจะรั่วไหลจนต้องเสียเงินให้กับนักต้มตุ๋น หลังจากสัปดาห์แรกที่อีเมลเหล่านี้ส่งออกไปก็มีคนยอมโอนเงินมาให้ผู้โจมตี รวมทั้งสิ้น 50,000  ดอลลาร์ หรือคิดเป็นเงินไทยราวๆ 1,600,000 บาท ด้านล่างเป็นเนื้อหาตัวอย่างในอีเมลที่ผู้โจมตีใช้กับเหยื่อ ที่มา : https://www.bleepingcomputer.com/news/security/large-email-extortion-campaign-underway-dont-panic/
Read More