General

กลุ่มหน้าใหม่ในอิหร่านถูกตำหนิที่ใช้ Dharma ransomware ในการโจมตี Russia และกลุ่มอื่นๆใน Asia การโจมตีที่ขาดประสบการณ์นี้ทำให้เกิดจุดเด่นที่เป็นเอกลักษณ์ของการโจมตีที่เห็นได้ชัดกับ Russia, Japan, China และ India ตามที่รายงานของ Group-IB    สิ่งแรกที่พวกเขาทำคือการปล่อย Dharma แล้วใช้ publicly IP scanning tool Masscan จากนั้นพวกเขาใช้ NLBrute ในการ brute-force weak RDP credentials และเช็คความถูกต้องของข้อมูล credentials ที่เก็บได้บน hosts network อื่นๆ สิ่งที่พวกเขาร้องขอก็คือค่าไถ่เล็กๆแค่ 1-5 BTC  Group-IB แนะนำให้องกรค์ต่างๆเปลี่ยนจาก default RDP port จาก 3389 เป็น port อื่น และใช้ account lock-out policies เพื่อยับยั้งการ brute-force รวมถึงใช้ Intrusion Detection Tools เพื่อหาจุดผิดปกติหรือพฤติกรรมแปลกปลอมบนที่เกิดขึ้นบน network  อ้างอิง: https://www.infosecurity-magazine.com/news/lowskilled-iranian-hackers-dharma/ 

CVE-2020-6492 คือ use-after-free vulnerability ใน WebGL (Web Graphics Libray) เป็นส่วนประกอบนึงของ Chrome browser, ส่วนประกอบนี้เป็น Javascript API ที่ทำให้ผู้ใช้งาน render 2D และ 3D graphics ใน browser ซึ่งข้อผิดพลาดที่เกิดขึ้นก็คือส่วนประกอบของ WebGL ไม่สามารถที่จะรับมือกับ objects ใน memory ได้ ตามการโจมตี้ Proof-of-concept (PoC) ที่ระบุไว้โดยนักวิจัย ซึ่งปัญหาเกิดขึ้นกับ function ANGLE ที่มีชื่อว่า “State::syncTextures”, function ที่รับผิดชอบในส่วนของการตรวจ texture ที่มี “DirtyBits”, “bitsets”  เหล่านี้บ่งชี้ให้เห็นถึงสถานะของ state value ที่เปลี่ยน การ…

Google Drive มีฟังก์ชั่นการทำงานที่ทำให้ผู้ใช้งานสามารถอัพโหลด version การใช้งานรุ่นเก่าได้ด้วย file extension ชนิดเดียวกัน แต่เหมือนว่ามันจะไม่เป็นอย่างนั้น  ตามรายงานของ Nikoci ผู้ดูแลระบบที่รายงานถึง Google ซึ่งผลกระทบนี้ทำให้ผู้ใช้งานสามารถที่จะ upload file version ด้วย file extension เวอร์ชั่นไหนก็ได้ที่มีอยู่บนพื้นที่ของ Cloud, หรือแม้แต่ malicious executable file  ปัญหาที่ตามมาคือ การใช้ข้อได้เปรียบตรงนี้ในการทำ spear-phishing ผ่าน cloud service อย่าง Google Drive เพื่อเป็นพื้นที่ในการผลิต malware  Spear-phishing คือการหลอกล่อให้เหยื่อเปิด malicious file หรือ clicking ผ่าน links แปลกๆ ซึ่งมันจะทำให้ข้อมูลลับอย่าง account credentials รั่วไหลผ่านไปหาผู้โจมตีได้  คำแนะนำ: ให้ระมัดระวังการ clicking จาก links แปลกปลอม และคอยเช็คความถูกต้องของไฟล์ที่ได้มาจาก google drive  อ้างอิง: https://thehackernews.com/2020/08/google-drive-file-versions.html 

ผลกระทบช่องโหว่ IBM Db2 V9.7, V10.1, V10.5, V11.1, และ V11.5 edition บนทุก platform (CVE-2020-4414) ซึ่งทำให้เกิดการใช้ Memory อย่างไม่เหมาะสมและทำให้ผู้โจมตีเข้าถึงได้โดยที่ไม่ต้องตรวจสอบสิทธิ์ใดๆ  ด้วยการสร้าง Request พิเศษในการเจาะช่องโหว่แล้วเก็บข้อมูลสำคัญๆ หรือแม้กระทั่งอาจทำให้เกิด Denial of service ตามที่ Trustwave SpiderLabs ทีมวิจัยได้ออกมาเผยถึงที่มา และเนื่องจากความไม่ชัดเจนในส่วนของการป้องกัน Shared Memory ที่ใช้โดยหน่วยงาน Db2   The Db2 trace utility เคยใช้สำหรับบันทึกข้อมูล Db2 และ Events รวมไปถึงระบบรายงานข้อมูลบน Db2 มีการเก็บข้อมูลที่ใช้สำหรับการ Analysis, Tunning และการตรวจสอบดักจับข้อมูลที่มีการเข้าถึงเพื่อความปลอดภัย  เนื่องด้วย Share Memory นั้นเก็บข้อมูลสำคัญๆไว้ เมื่อผู้โจมตีเข้าไปถึงระบบ เขาสามารที่จะเขียนทับ malicous application ลงบน memory เพื่อติดตามแกะรอยข้อมูลต่อได้ นั้นหมายความว่าผู้ที่ไม่มีสิทธิ์เข้าถึงหรือผู้โจมตีสามารถที่จะทำให้เกิด Denial of service ได้  คำแนะนำ : ให้ทำการ Update Software ให้เป็นปัจจุบันเสมอๆ อ้างอิง : https://thehackernews.com/2020/08/ibm-data-management.html 

P2P botnet ที่ถูกเขียนขึ้นมาชื่อ FritzFrog เป็น multi-threaded และ file-less botnet 500 กว่าตัวที่แพร่กระจายเข้าไปยัง Servers จนถึงทุกวันนี้ มีการระบาดเข้าไปแม้กระทั่งมหาวิทยาลัยที่มีชื่อเสียงในสหรัฐอเมริกา ยุโรป และบริษัทรถไฟ ตามรายงานที่ถูกปล่อยออกมาโดย Guardicore Labs  นอกเหนือจาก P2P protocol จะถูกเขียนขึ้นมาใหม่ตั้งแต่ต้น ช่องทางการสื่อสารได้มีการเข้ารหัสพร้อมกับ malware ที่มีความสามารถในการสร้าง backdoor ลงบนเครื่องเหยื่อ ทำให้ผู้โจมตีเข้ามาในเครื่องของเหยื่อได้  เมื่อ Malware ถูกฝังลงไปบนเครื่องของเหยื่อสำเร็จ มันจะถูกเพิ่มลงไปยัง P2P network ของเหยื่อ มัลแวร์จะทำการ runs ifconfig และ NGINX เพื่อเริ่ม listening port 1234 เตรียมรับ Commands รวมไปถึง syn เข้ากับ database บน network peers ของเหยื่อและทำการ brute-force  เมื่อ node A ต้องการจะรับไฟล์จาก node B มันจำ query node B ด้วย blobs โดย command getblobstats, Harpaz กล่าวว่า “ทำให้ node A รู้ blob จาก hash ของตัวมันเองหรือทั้ง P2P command getbin / HTTP ผ่าน URL ‘https://node_IP:1234/blob_hash.’ และ เมื่อทุกๆ node A ต้องการ blobs มันจะใช้ module พิเศษที่ชื่อว่า Assemble และทำการ runs คำแนะนำ เลือกใช้ strong password และใช้การยืนยันตัวตนด้วย public key เพื่อความปลอดภัยที่มากขึ้น ส่วน Router และอุปกรณ์ IoT มักจะตกเป็นเป้าของ FritzFrog ดังนั้นจึงต้องระมัดระวังในเรื่องของการเปลี่ยนพอร์ต SSH หรือให้ทำการปิดการใช้งานมันไปในขณะที่ไม่มีการใช้งาน  อ้างอิง : https://thehackernews.com/2020/08/p2p-botnet-malware.html 

Open-source automation server software ที่มีความนิยม ประกาศออกมาเมื่อวันจันทร์กับช่องโหว่ร้ายแรงใน Jetty web server ที่อาจก่อให้เกิด memory corruption หรือก่อให้เกิดข้อมูลรั่วไหลได้  CVE-2019-17638 ช่องโหว่ CVSS rating 9.4 มีผลกระทบต่อ Eclipse Jetty version 9.4.27. V20200227 จนถึง 9.4.29.v20200521 เป็นรูปแบบเครื่องมือที่ใช้จัดการ Java HTTP server และ web container ใน software frameworks  ช่องโหว่นี้อาจทำให้ผู้โจมตีเข้ามาเก็บ HTTP response headers ที่มีข้อมูลของผู้ใช้งานไปได้ ซึ่งผลกระทบบน Jetty และ Jenkins Core บน Jetty version 9.4.27 ที่ต้องเพิ่มกลไกลการรับมือกับ HTTP response ขนาดใหญ่ และป้องกัน buffer overflows หลังจากที่  Jetty 9.4.30.v202006011 ได้มีการเผยแพร่ออกมาเมื่อสิ้นเดือน ก็ได้มีการปล่อยตัว Jenkins พร้อมกับ bundles Jetty ผ่าน Command-line interface ที่เรียกว่า “Winstone” ออกมา patched Jenkins 2.243 และ Jenkins LTS 2.235.5  คำแนะนำ: ให้ผู้ใช้งาน Jenkins update software ให้เป็นปัจจุบันเพื่อลดโอกาสในการเกิด buffer corruption flaw  อ้างอิง: https://thehackernews.com/2020/08/jenkins-server-vulnerability.html

นักวิจัยสามารถที่จะเจาะเข้าไปยังช่องโหว่ของ Emotet malware เพื่อทำให้มันหยุดยั้งการทำงานของ malware ตัวนี้และป้องกันการติดเชื้อจากมัน 6 เดือน  Emotet โผล่ออกมาครั้งแรกในปี 2014 และได้วิวัฒนาการขึ้นมาเรื่อยๆจนเป็น botnet ที่สามารถขโมยข้อมูล Credential หลังจากนั้นก็หายไปตั้งแต่เดือนกุมภาพันธ์จนกระทั่งกลับมาในเดือนสิงหาคม  พื้นที่สุ่มสำหรับติดตั้ง dll และ exe (%AppdataLocal%, C:\Windows\System32, C:\Windows\Syswow64, based on environment)  James Quinn ร่วมกับ Binary Defense ออกมาเปิดเผยว่าทำไม เขาถึงพัฒนาตัว killswitch ออกมาเนื่นๆภายในปีนี้, ขนานนามมันว่า “EmoCrash” เป็นตัวทำ buffer overflow ช่องโหว่ของ Emotet บนกระบวนการ installation process  Killswitch มักใช้โดย defenders สำหรับ disconnect networks จาก internet ภายในช่วงที่เกิด cyberattacks แต่ก็ใช้ได้กับ malware families เดียวกันเพื่อลบมันออกจากระบบ และหยุด process ที่กำลัง running  Ioc :      <Data>C:\Windows\SysWOW64\sqlsrv32\sqlsrv32.exe</Data>  <Data>C:\Windows\SysWOW64\ntdll.dll</Data>  killswitch ทำงานมาตั้งแต่ 6 กุมพาพันธ์ถึง 5 สิงหาคม และไม่นานมานี้มีการปล่อยตัว Emotet’s core loader update ขึ้นมาลบช่องโหว่ registry value code เพื่อจัดการกับ killswitch, และในที่สุด Emotet ได้กลับมาหลังจากที่ให้ไปประมาณ 5 เดือนพร้อมกับ malspam messages 250,000 ข้อความกระจายไปทั่วโลก  อ้างอิง: https://threatpost.com/emocrash-exploit-emotet-6-months/158414/ 

ช่องโหว่บน Amazon Alexa virtual assistant อาจทำให้ผู้โจมตีเข้าถึงประวัติข้อมูลบัญชีธนาคาร และที่อยู่ด้วยการหลอกล่อให้คลิ๊ก malicious link เพียงครั้งเดียว  นักวิจัยได้ค้นพบหลายช่องโหว่บน Web Application Amazon Alexa subdomain นั่นก็คือช่องโหว่ Cross-Site-Scripting (XSS) และ Cross-Origin Resource Sharing (CORS) misconfiguration  ทำให้ผู้โจมตีสามารถ remote exploit ช่องโหว่เหล่านี้ด้วยการสร้าง malicious Amazon link ขึ้นมา  “งานวิจัยเหล่านี้ได้เน้นย้ำให้เห็นถึงความปลอดภัยบนอุปกรณ์ว่ามีความสำคัญมากน้อยแค่ไหนต่อข้อมูลส่วนตัวของผู้ใช้งาน” กล่าวโดย Oded Vanunu หัวหน้าฝ่ายวิจัยช่องโหว่ เนื่องจากมีอุปกรณ์มากมายที่เชื่อมต่ออยู่กับอุปกรณ์ IoT ซึ่งมันคือ Platforms ขนาดใหญ่ที่มีการเชื่อมต่อกันอย่างกว้างขวาง ดังนั้นสิ่งที่เกิดขึ้นกับ Alexa จึงทำให้เราตระหนักถึงระดับความปลอดภัยที่มีต่อผู้ใช้งานอุปกรณ์ IoT  ช่องโหว่นี้ถูกเผยออกมาเมื่อเดือนมิถุนายน 2020 และ Amazon และได้ออกมาประกาศแก้ไขข้อผิดพลาดนี้ พร้อมเผยถึงรายละเอียดข้อผิดพลาดที่เกิดขึ้นเมื่อวันพฤหัสที่ผ่านมาเป็นที่เรียบร้อย  อ้างอิง : https://threatpost.com/amazon-alexa-one-click-attack-can-divulge-personal-data/158297/ 

ก่อนหน้านี้ Microsoft ได้ออกมาปล่อยชุด Security Update ของเดือนสิงหาคม 2020 ซึ่งรองรับทุกๆ Version บน Windows Operating System            ภายในเดือนนี้ได้พบช่องโหว่ใหม่ทั้งหมด 120 ช่องโหว่ กับ 17 ช่องโหว่ร้ายแรงระดับ Critical และที่เหลือก็เป็นช่องโหว่ที่รุนแรงรองลงมา   โดย Windows ของคุณอาจถูกแฮ็กได้ ถ้าคุณทำดังนี้   Play a video file – เกิดจากข้อบกพร่องใน Microsoft Media Foundation และ Windows Codes  Listen to audio – เกิดจาก bug ที่ส่งผลกระทบกับตัว Windows Media Audio Codec  Browser a website – เกิดจาก bug บน internet Explorer  Edit an HTML page – เกิดจากข้อบกพร่องของ MSHTML Engine  Read a PDF – เกิดจาก loophole ใน Microsoft Edge PDF Reader  Receive an email message – เกิดจาก bug ใน Microsoft Outlook  คำแนะนำ ให้ทำการ Update Patches ให้เร็วที่สุดเพื่อป้องกัน malware และด้วยช่องโหว่ที่เราไม่ควรละเลยนั่นก็คือ Two Zero-Days ได้แก่…

เมื่อเร็วๆนี้ TeamViewer ได้ออกมาอัพเดท patch สำหรับช่องโหว่ remote attack (CVE 2020-13699) ที่เข้าไปขโมยข้อมูล Password และบุกรุกเข้าไปในเครื่องของเหยื่อ  ช่องโหว่นี้คนพบโดย Jeffrey Hofmann เป็นรายงานช่องโหว่ร้ายแรงที่มีเข้าไปแก้ไข quotes URI ซึ่งทำให้ผู้โจมตีบังคับให้ software ต้องพึ่งการ request ยืนยันตัวตนผ่านเครื่องของผู้โจมตี  ผู้โจมตีใช้ประโยชน์จากโครงร่าง URI ของ TeamViewer วางแผนพลิกแพลงหน้าเว็บให้ตอนที่ติดตั้ง Application ลงบนเครื่องของเหยื่อ เปิดการเชื่อมต่อ remote SMB share ไปยังผู้โจมตี  กระตุ้นให้เกิด SMB authentication attack, username และ NTLMv2 hashed version ของ password ลั่วไหลไปถึงผู้โจมตี ทำให้พวกเขาได้ข้อมูลสำคัญที่ใช้ในการยืนยันตัวตนเข้าไปยังคอมพิวเตอร์ของเหยื่อได้  การโจมตีช่องโหว่นี้จะสำเร็จได้ โดยผู้โจมตีจะต้องฝัง malicious iframe บน website และหลอกล่อให้เหยื่อเข้าไปยัง malicious URL ที่สร้างขึ้นมา พอเหยื่อ clicked เข้าไป TeamViewer จะทำการ automatically launch บน Windows desktop client พร้อมกับเปิด remote SMB sahre  TeamViewer ได้ patched ช่องโหว่ quoting parameters ที่มีผลกระทบกับ URI e.g. URL:teamviewer10 Protocol “C:\Program Files (x86)\TeamViewer\TeamViewer.exe” “%1” แนะนำให้ผู้ใช้งาน upgrade software เป็น version 15.8.3   อ้างอิง : https://thehackernews.com/2020/08/teamviewer-password-hacking.html