พบ Malware กลุ่มใหม่ใช้ไฟล์ Word เพื่อดาวน์โหลดสคริปต์ PowerShell จาก GitHub

          นักวิจัยพบ Malware กลุ่มใหม่ใช้ไฟล์ Word ที่ฝัง Macros เพื่อดาวน์โหลดสคริปต์ PowerShell จาก GitHub ซึ่ง สคริปต์ PowerShell นี้จะดาวน์โหลดไฟล์รูปภาพจาก “Imgur” เพื่อถอดรหัสสคริปต์ “Cobalt Strike” บนระบบ Windows           จากการทดสอบของนักวิจัย เมื่อทำการเปิดไฟล์ Word ขึ้นมา Macro ที่ฝังอยู่ในไฟล์ Word จะทำการเปิดตัว powershell.exe และ ป้อนตำแหน่งของสคริปต์ PowerShell ไปที่โฮสต์บน GitHub สคริปต์ Macro ที่ฝังอยู่ภายในไฟล์ Word           ในสคริปต์ PowerShell มีคำแนะนำในการดาวน์โหลดไฟล์ PNG จาก “Imgur” ถึงแม้ว่าไฟล์รูปภาพจะไม่มีอันตราย แต่สคริปต์ PowerShell…
Read More

“QNAP” Update Patch เพื่อแก้ไขช่องโหว่ร้ายแรง

QNAP ได้ออก Update Patch เพื่อแก้ไขช่องโหว่ร้ายแรงที่ส่งผลกับอุปกรณ์ NAS ที่ใช้ระบบปฏิบัติการณ์ QES, QTS และ QuTS hero ซึ่งช่องโหว่ที่ QNAP ทำการแก้ไขประกอบด้วย CVE-2020-2503: Stored cross-site scripting QES vulnerability — Hacker สามารถใช้ประโยชน์จากช่องโหว่นี้เพื่อทำการแทรก Code ที่อันตรายจากระยะไกลลงใน File Station ได้ CVE-2020-2504: Absolute path traversal QES vulnerability — Hacker สามารถใช้ประโยชน์จากช่องโหว่นี้เพื่อทำการ Traverse files ใน File Station ได้ CVE-2020-2505: QES vulnerability — Hacker สามารถใช้ประโยชน์จากช่องโหว่นี้เพื่อทำการขโมยข้อมูลด้วยการสร้างข้อความแสดงข้อผิดพลาด…
Read More

พบ Malware ตัวใหม่บน Windows อาจถูกพัฒนาไป Linux หรือ macOS ได้

กลุ่มนักวิจัยทางไซเบอร์ได้ค้นพบ Malware ตัวใหม่โดยบังเอิญ ชื่อ “PyMICROPSIA” ซึ่งถูกแพร่กระจายอยู่บน ระบบปฏิบัติการ Windows และมีแนวโน้มที่จะถูกพัฒนาไปโจมตียังระบบปฏิบัติการอื่นเช่น Linux หรือ macOS อีกด้วย โดยหลักการทำงานของ Malware นี้ถูกพัฒนามาจากภาษา “Python” ซึ่ง Malware ดังกล่าวมีความสามารถในการทำงานดังนี้  File uploading.  Payload downloading and execution.  Browser credential stealing. Clearing browsing history and profiles.  Taking screenshots.  Keylogging.  Compressing RAR files for stolen information.  Collecting process information and killing processes.  Collecting file listing information.  Deleting files.  Rebooting machine.  Collecting Outlook .ost file. Killing and disabling Outlook process. …
Read More

พบ “PgMiner” โจมตีฐานข้อมูลของ PostgreSQL !!!

  นักวิจัยพบ Botnet “PgMiner” ที่ทำการโจมตีฐานข้อมูลของ PostgreSQL เพื่อติดตั้ง “Cryptocurrency miner”            นักวิจักกล่าวว่า Botnet “PgMiner” ทำงานโดยการโจมตี Brute-force ที่ ฐานข้อมูลของ PostgreSQL            การโจมตีเป็นไปตามรูปแบบง่ายๆ Botnet จะทำการสุ่มเลือก Network Range (เช่น 18.xxx.xxx.xxx) แล้ววนซ้ำผ่าน IP Address ทั้งหมดใน Range นั้น เพื่อค้นหาระบบของ PostgreSQL             หาก PgMiner พบระบบ PostgreSQL Botnet “PgMiner”  จะย้ายจาก Scanning Phase ไปยัง  Brute-force Phase โดยจะสับเปลี่ยนรหัสผ่านยาว ๆ เพื่อพยายามเดา Credentials สำหรับ “postgres”  ซึ่งเป็น Default account ของ PostgreSQL           หากเจ้าของฐานข้อมูล PostgreSQL ลืมปิดการใช้งาน User “postgres”  หรือลืมเปลี่ยนรหัสผ่าน Hackerจะเข้าถึงฐานข้อมูลและใช้ Feature “PostgreSQL COPY” เพื่อเพิ่มระดับการเข้าถึงจากฐานข้อมูล ไปยัง Server พื้นฐานและเข้าควบคุมระบบปฏิบัติการทั้งหมด            เมื่อสามารถเข้าถึงระบบที่ติด Virus ได้แล้ว “PgMiner” จะใช้ Application Coin-mining เพื่อพยายามขุด Monero Cryptocurrency ให้มากที่สุดก่อนที่จะตรวจพบ            คุณสมบัติที่โดดเด่นของ Botnet “PgMiner” คือ ควบคุมระบบที่ติด Virus ผ่าน C2 Server ที่โฮสต์บนเครือข่าย Tor และ Codebase ของ Botnet “PgMiner” ดูเหมือนจะคล้ายกับ Botnet “SystemdMiner”  วิธีการป้องกัน  ปิดการใช้งาน Default account หรือ หากต้องการใช้ Default account ให้ทำการเปลี่ยนรหัสผ่าน และใช้รหัสผ่านที่คาดเดาได้ยาก  ไม่เข้าเว็บไซต์ที่สุมเสี่ยงต่อการโดน Malware   ไม่ควร Download File ที่แนบมากลับ E-mail ที่ต้องสงสัย  ที่มา : https://www.zdnet.com/article/pgminer-botnet-attacks-weakly-secured-postgresql-databases/ 
Read More

Microsoft Update Patch แก้ไข 58 ช่องโหว่ใน เดือน ธันวาคม 2020

 Microsoft Update Patch แก้ไขช่องโหว่ 58 ช่องโหว่ ใน เดือน ธันวาคม 2020 โดย มี 9 ช่องโหว่ ที่อยู่ในระดับ Critical, 48 ช่วงโหว่ที่อยู่ในระดับ Important, และ 2 ช่องโหว่ที่อยู่ในระดับ Moderate  ทาง Microsoft ได้ทำการแก้ไข ช่องโหว่ของ “DNS cache poisoning”อีกด้วย โดยช่องโหว่นี้เกิดจากการกระจายตัวของ IP ที่ส่งผลต่อ Windows DNS Resolver หาก Hacker เจาะช่องโหว่นี้ได้สำเร็จจะสามารถปลอม Packet DNS ซึ่งสามารถ Cached โดย DNS Forwarder หรือ DNS Resolver ช่องโหว่ที่น่าสนใจ…
Read More

ด่วน พบข้อมูลส่วนบุคคลจาก Booking Online ในไทย หลุดว่อนขายใน Dark Web !!!

ทีมงาน SOSECURE ได้รับการแจ้งเตือนจาก SOSECURE Threat Intelligence Team พบข้อมูลส่วนบุคคลจาก Booking Online ในไทย รั่วไหลสู่ตลาดมืด โดยข้อมูลที่รั่วไหลนั้นมีหลากหลายประเภท เช่น ตัวอย่าง: บันทึกประวัติของผู้โดยสาร, ข้อมูลการจองสายการบิน, ข้อมูลการเดินทาง, การท่องเที่ยว, ข้อมูลการเช่ารถ, ข้อมูลการจองโรงแรม, ตั๋วเครื่องบิน, เบอร์โทรศัพท์, ที่อยู่, อีเมล และอื่น ๆ อีกมากมาย จำนวน 837,371,904 รายการ มาจาก 6 ฐานข้อมูล ทีมงาน SOSECURE แนะนำให้ดำเนินการเช็ครายการการใช้จ่ายบัตรเครดิต รวมถึงดำเนินการเปลี่ยนรหัสผ่านที่ใช้บริการในธุรกรรมต่าง ๆ ผ่านหน้าเว็บไซต์ และรอการอัพเดทข้อมูลเพิ่มเติมต่อไป…
Read More

พบช่องโหว่ของ “cPanel” ที่ช่วยให้ Hacker สามารถ Bypass ผ่าน 2FA ด้วยวิธีการ Brute-force Attacks

 cPanel คือระบบ Web Hosting Control Panel ที่พัฒนาด้วย cPanel Inc. เป็นระบบจัดการ Web Hosting ที่นิยมมากที่สุดในหลายประเทศ ขึ้นชื่อในความเสถียร รวดเร็วระบบการจัดการต่างๆ ได้อย่างดีเยี่ยมและตอบโจทย์ให้แก่ผู้ใช้บริการ  นักวิจัยพบช่องโหว่ของ Software cPanel & Web Host Manager (WHM) รหัสช่องโหว่ CVE-2020-27641 ทำให้ผู้โจมตีสามารถ Bypass ผ่านการพิสูจน์ตัวตนแบบ Two-Factor Authentication (2FA) ด้วยบัญชีผู้ใช้ของ cPanel   เนื่องจาก cPanel ไม่บล็อกการส่งรหัสในการตรวจสอบสิทธิ์แบบ 2FA ซ้ำ ๆ ส่งผลให้ Hacker ที่มี Credentials ของเหยื่อ สามารถ Bypass ผ่านการพิสูจน์ตัวตนแบบ 2FA  ได้  ทาง cPanel ได้ Update Patch ของ cPanel & Web Host Manager (WHM)Version 11.92.0.2, 11.90.0.17 และ 11.86.0.32 เพื่อแก้ไขช่องโหว่ของโปรแกรม       วิธีการป้องกัน   Update Patch ของโปรแกรมให้เป็น Version ปัจจุบัน   ใช้รหัสผ่านโดยมี ตัวเลข ตัวอักษรพิมพ์เล็ก พิมพ์ใหญ่ และ อักษรพิเศษเช่น ! @ # $ % เป็นต้น  เปลี่ยนรหัสผ่านในทุก ๆ 90 วัน            ที่มา: https://www.bleepingcomputer.com/news/security/cpanel-2fa-bypassed-in-minutes-via-brute-force-attacks/  
Read More

เตือนภัย Application ของ Baidu ลักลอบรวบรวมข้อมูลของผู้ใช้งาน !!!

Application ยอดนิยมตระกูล Baidu ไม่สามารถดาวน์โหลดได้ชั่วคราวบน Play Store เนื่องจากนักวิจัยพบว่าทาง Baidu ได้ทำการลักลอบรวบรวมข้อมูลของผู้ใช้งาน            Application ที่มีปัญหา ได้แก่ “Baidu Maps” และ “Baidu Search Box” ซึ่งพบว่ามีการลักลอบ รวบรวมข้อมูลบน Smart Phone ของผู้ใช้งาน เช่น หมายเลข International Mobile Subscriber Identity (IMSI)  หรือ หมายเลข Mac Address ของอุปกรณ์ โดยที่ผู้ใช้งานไม่รู้ตัว            นอกจากนี้ยังพบ Application “Homestyler” ที่รวบรวมข้อมูลส่วนตัวจากอุปกรณ์ของผู้ใช้            รายการข้อมูลทั้งหมดที่รวบรวมโดย Application ได้แก่  รุ่นของอุปกรณ์  ความละเอียดหน้าจอ  MAC Address ของอุปกรณ์  ผู้ให้บริการ (ผู้ให้บริการโทรคมนาคม)  เครือข่าย (Wi-Fi, 2G, 3G, 4G, 5G)  รหัส Android  IMSI number   International Mobile Equipment Identity (IMEI) number            นักวิจัยทำการใช้อัลกอริทึม machine learning-based ที่ออกแบบมาเพื่อตรวจจับการรับส่งข้อมูล Spyware ที่ผิดปกติ สาเหตุการรั่วไหลของข้อมูลนั้นมาจาก “Push SDK” ของ Baidu และ “ShareSDK” จาก MobTech ซึ่งเป็นผู้จำหน่าย Application กว่า 37,500 Application รวมถึง  Platforms Social Media อีกหลายรายการ  ในขณะที่ Google พยายามป้องกัน และ หยุดกิจกรรมที่เป็นอันตราย ที่เกิดขึ้นใน Play Store แต่ Hacker ยังคงหาวิธีแทรกซึมเข้าสู่ App…
Read More

การโจมตีจากระยะไกลแบบใหม่ ทำให้เข้าถึงระบบที่ซ่อนไว้ได้

  ผู้เชี่ยวชาญออกมาเปิดเผยถึงการโจมตีในรูปแบบใหม่บน Web Browser อาศัยอุปกรณ์ Network Address Translation (NAT) และ Firewall ในการเข้าถึงบริการ จากเครื่องเหยื่อที่ปกติแล้วจะไม่สามารถเข้าถึงได้ผ่านช่องทาง Internet การโจมตีนี้เรียกว่า “NAT Slipstreaming” ที่อาศัย Application Level Gateways (ALGs) Proxies            ALGs ใช้สำหรับการเชื่อมต่อระหว่างเครือข่ายภายในกับภายนอก เพื่ออนุญาตให้ NAT นั้นเข้าถึง Protocols อื่น ๆ ได้ โดยปกติแล้ว NAT นั้นเป็น Protocols ที่ใช้อยู่บน Internet สาธารณะ ซึ่งผู้ขอใช้บริการไม่สามารถเข้าถึงหรือทราบ Private IP Address ภายในได้ แม้ว่า NAT จะไม่ใช่คุณสมบัติด้านความปลอดภัยโดยตรงแต่ ก็สามารถทำให้ผู้โจมตีเข้าถึงระบบที่มีช่องโหว่บนเครือข่ายภายในได้ยากขึ้น            ผู้เชี่ยวชาญกล่าว การโจมตีนี้อาศัย Web Browsers ต่าง ๆ เช่น Chrome โดยการฝัง Malicious Code ที่สามารถค้นหา IP Address ภายในเครือข่ายผ่าน Web Real Time Communications (WebRTC) Protocol บนเครื่องเหยื่อ, สำหรับ Browsers ที่ไม่เปิดเผย IP Address ผ่าน WebRTC อย่าง Safari ของ Apple หรือ Internet Explorer 11 ของ Microsoft จะโจมตีผ่าน Transmission Control Protocol (TCP) เพื่อทำการ Map กับระบบภายในเครือข่ายของเหยื่อแทน เมื่อทราบ IP Address แล้วจะมีการโจมตีรูปแบบอื่น ๆ เพื่อสร้าง Packet Session Initiation Protocol (SIP) สำหรับ Voice over IP (VoIP) โดยผู้โจมตีจะทำการเปิด Port TCP หรือ UDP ของเครื่องเหยื่อเพื่อใช้ในการเชื่อมต่อกลับมายังเครื่องเหยื่อได้โดยตรง (Backdoor) …
Read More

เตือนภัย !!! โรงพยาบาลตกเป็นเป้าโจมตีของ Ransomware

  นักวิจัยได้แจ้งเตือนถึงการโจมตีของ Malware ตระกูล  Kegtap, Singlemalt และ Winekey ที่มุ่งเป้าหมายการโจมตีไปที่โรงพยาบาล เพื่อทำการปล่อย “Ryuk ransomware” เข้าสู่ระบบ   นักวิจัยได้ระบุเกี่ยวกับกลยุทธ์ของ Malware เหล่านี้  ใช้ “Phishing E-mails” ที่แนบมากับเอกสาร Google doc, PDF หรือเอกสารอื่น ๆ ซึ่งแฝง Link ที่ดาวน์โหลด Malware Kegtap, Singlemalt และ Winekey ทำหน้าที่เป็นด่านแรก ซึ่งจะสร้าง Foothold ก่อนจะดึง Malware เพื่อทำการโจมตีต่อไป  ในกรณีนี้ Hacker จะดาวน์โหลด Penetration-testing Frameworks เช่น Cobalt Strike, Beacon หรือ Powertrick เพื่อสร้างสถานะ หลังจากการโจมตีครั้งแรก ซึ่ง Cobalt Strike ช่วยรักษาสถานะของMalware หลังจากทำการ Reboot นอกจากนี้ยังใช้ Beacon เพื่อปรับใช้“ cmdlet Register-MaliciousWmiEvent ของ PowerLurk เพื่อ Register WMI Event ที่ใช้ Kill Processes ที่เกี่ยวข่องกับ Tool และ Utilities ที่เกี่ยวกับความปลอดภัย รวมถึง Task Manager, WireShark, TCPView, ProcDump, Process Explorer, Process Monitor, NetStat, PSLoggedOn, LogonSessions, Process Hacker, Autoruns, AutorunsSC, RegEdit และ RegShot  เป้าหมายหลักของการโจมตีครั้งนี้คือ การปล่อย “Ryuk Payload”  “มีหลักฐานที่บ่งชี้ว่า Ryuk ransomware น่าจะติดตั้งผ่าน PsExec   แต่ Script หรือ Artifacts อื่น ๆ ที่เกี่ยวข้องกับกระบวนการแพร่กระจายไม่สามารถใช้สำหรับการวิเคราะห์ทางนิติวิทยาศาสตร์ได้” นักวิจัยกล่าว  กุญแจสำคัญในการหยุดการโจมตีเหล่านี้ คือการป้องกัน Privileged…
Read More