General

          นักวิจัยด้านความปลอดภัยกับ Microsoft Threat Intelligence Center (MSTIC) และทีมวิจัย Microsoft 365 Defender พบ Malware ใหม่สามตัวที่มีชื่อว่า GoldMax, Sibot, and GoldFinder.           Microsoft กล่าวว่า Malware แต่ละตัว มีความสามารถดังต่อไปนี้:           GoldMax: เป็น Malware ที่ใช้ Go-based Backdoor ในการควบคุมเพื่อซ่อนกิจกรรมอันตราย และเพื่อหลีกเลี่ยงการตรวจจับ นอกจากนี้ยังมีตัวสร้างการรับส่งข้อมูลเครือข่ายล่อเพื่อปกปิดการรับส่งข้อมูลเครือข่ายที่เป็นอันตรายด้วยการรับส่งข้อมูลที่ไม่เป็นอันตราย           Sibot: เป็น Malware ที่ใช้ VBScript ที่ใช้เพื่อรักษาสถานะและดาวน์โหลด Payload Malware เพิ่มเติมโดยใช้ Second-stage script           GoldFinder: มัลแวร์ที่ใช้ Go-based…

Python Software Foundation (PSF) ได้ออก Python 3.9.2 และ 3.8.8 เพื่อแก้ไขช่องโหว่ Buffer Overflow ซึ่งอาจเป็นช่องทางให้ Hacker ใช้ทำการโจมตี Remote Code Execution รหัส CVE-2021-3177           Python 3.x ถึง 3.9.1 มี Buffer Overflow ใน PyCArg_repr ใน ctypes / callproc.c ซึ่งอาจนำไปการโจมตี Remote Code Execution ซึ่งช่องโหว่นี้เกิดจากการใช้ sprintf” อย่างไม่ปลอดภัย           ช่องโหว่ดังกล่าวเป็น Bug ของหน่วยความจำทั่วไปกับ RedHat Stack-based Buffer Overflow ทำให้โมดูล…

นักวิจัยพบ Malware ที่ถูกปรับแต่งให้ทำงานบนชิป M1 ของ Apple บ่งบอกถึงการพัฒนาใหม่ที่บ่งชี้ว่าผู้ไม่ประสงค์ดีได้เริ่มปรับใช้ซอฟต์แวร์ที่เป็นอันตรายเพื่อกำหนดเป้าหมายไปยัง Mac  ส่วนขยาย Adware ของ Safari ที่เรียกว่า “GoSearch22. ซึ่งเดิมเขียนขึ้นเพื่อให้ทำงานบนชิป Intel x86 แต่ได้รับการปรับแต่งให้ทำงานบนชิป M1 ที่ใช้ ARM  นักวิจัยกล่าวว่าผู้ไม่ประสงค์ดีกำลังสร้าง Multi-architecture Applications เพื่อให้โค้ดของพวกเขาทำงานบนระบบ M1 ซึ่ง Application “GoSearch22” อาจเป็นตัวอย่างแรกของโค้ดที่เข้ากันได้กับ M1  Adware “GoSearch22” ปลอมตัวเป็นส่วนขยาย Browser “Safari” เพื่อรวบรวมข้อมูลการท่องเว็บ แสดงโฆษณาจำนวนมากเช่นแบนเนอร์และ Popup รวมถึงเชื่อมต่อไปยังเว็บไซต์ที่น่าสงสัยเพื่อเผยแพร่ Malware เพิ่มเติม คำแนะนำ ไม่ควรติดตั้งส่วนขยายของ Web Browser ที่ต้องสงสัย และ หากจำเป็นต้องติดตั้งส่วนขยายให้ตรวจสอบแหล่งที่มาให้แน่ชัดก่อนดำเนินการติดตั้ง ที่มา: https://thehackernews.com/2021/02/first-malware-designed-for-apple-m1.html

Web Browsers Google Chrome และ Microsoft Edge จะรองรับ Feature ด้านความปลอดภัย Control-flow Enforcement Technology (CET) ของ Intel ซึ่ง Feature CET นั้นถูกออกแบบมา เพื่อป้องกันโปรแกรมจากการโจมตี Return Oriented Programming (ROP) และ Jump Oriented Programming (JOP) ที่แก้ไข Flow ปกติของ Application เพื่อให้โค้ดที่เป็นอันตรายของผู้โจมตีทำงานแทน การโจมตีแบบ JOP หรือ ROP นั้นยากที่จะตรวจจับหรือป้องกันได้เนื่องจากผู้ไม่ประสงค์ดีใช้โค้ดที่เรียกจากหน่วยความจำปฏิบัติการ (Ram) เพื่อเปลี่ยนการทำงานของโปรแกรม ตอนนี้ Microsoft Edge รองรับ Feature CET แล้ว โดย…

Ransomware ที่ได้ทำการโจมตี CD Projekt Red มาจากกลุ่มที่ใช้ชื่อว่า “HelloKitty”  CD Project ได้ออกมาเปิดเผยว่าถูกโจมตีโดย ransomware ซึ่งได้ทำการเข้ารหัสเครื่องบนเครือข่ายและขโมยข้อมูลจากไฟล์บนเครื่อง  ข้อมูลเกี่ยวกับกลุ่ม HelloKitty            HelloKitty ransomware ได้ชื่อมาจาก mutex (Mutual Exclusive) ที่ชื่อ HelloKittyMutex ซึ่งถูกเรียกใช้งานเวลามัลแวร์ทำงาน    เมื่อเริ่มทำการโจมตี HelloKitty จะเรียกใช้งาน taskkill.exe เพื่อทำการหยุดโปรเซสที่เกี่ยวข้องกับโปรแกรมรักษาความปลอดภัย เซิร์ฟเวอร์อีเมลล์ เซิร์ฟเวอร์ฐานข้อมูล โปรแกรมสำรองข้อมูล และโปรแกรมบัญชี ตัวอย่างคำสั่งของ taskkill.exe : “C:\Windows\System32\taskkill.exe” /f /im postg* Ransomware ยังพยายามที่จะปิดวินโดวส์เซอร์วิสโดยใช้คำสั่ง net stop : “C:\Windows\System32\net.exe” stop MSSQLServerADHelper100  หลังจากที่ทำการปิดโปรเซสที่เกี่ยวข้องแล้วจะเริ่มทำการเข้ารหัสข้อมูลในเครื่อง เมื่อทำการเข้ารหัสจะทำการเพิ่ม .crypted ต่อเข้าไปที่ชื่อไฟล์   โน้ตของ ransomware จะถูกเปลี่ยนไปทุกๆครั้งขึ้นอยู่กับผู้ที่ตกเป็นเหยื่อ ในโน้ตจะแสดงข้อความจำนวนข้อมูลที่ถูกขโมย และบางครั้งยังรวมถึงชื่อบริษัท ซึ่งแสดงให้เห็นว่ากลุ่มผู้คุกคามได้เข้ามาสอดส่องในระบบเครือข่ายก่อนที่จะทำการโจมตี            ในโน้ตจะมี URL ไว้สำหรับให้ติดต่อเพื่อเจรจาต่อรองกับผู้คุกคามซึ่งจะถูกเปลี่ยนไปในทุกครั้ง  ณ เวลานี้ยังไม่มีวิธีที่จะถอดรหัสไฟล์ที่โดนเข้ารหัสจาก HelloKitty โดยไม่มีค่าใช้จ่ายได้  คำแนะนำ  – อัปเดตข้อมูลแอนตี้ไวรัสให้เป็นเวอร์ชั่นล่าสุดแล้วทำการสแกนเครื่อง  – ทำการสำรองข้อมูลแบบออฟไลน์เพื่อลดความเสียหายหากเครื่องติด ramsomware  – หากเป็นไปได้ให้ทำการจำกัดโปรแกรมที่สามารถใช้งานได้ (whitelisting) เพื่อป้องกันการเรียกใช้งานโปรแกรมแปลกปลอม  ที่มา : https://www.bleepingcomputer.com/news/security/hellokitty-ransomware-behind-cd-projekt-red-cyberattack-data-theft/

Samuel Morse และ Alfred Vail ได้คิดค้นรหัสมอร์สเพื่อใช้ในการส่งข้อความผ่านทางโทรเลข เมื่อใช้รหัสมอร์สตัวอักษรและตัวเลขแต่ละตัวจะถูกเข้ารหัสเป็นชุด ตั้งแต่สัปดาห์ที่แล้วผู้ก่อภัยคุกคามเริ่มใช้รหัสมอร์สเพื่อซ่อน URL ที่เป็นอันตรายในรูปแบบฟิชชิงเพื่อข้ามเกตเวย์อีเมล หลังจากเรียนรู้การโจมตีครั้งแรกจากโพสต์บน Reddit BleepingComputer สามารถค้นหาตัวอย่างการโจมตีเป้าหมายจำนวนมากที่มีการ Upload ไปยัง VirusTotal ตั้งแต่วันที่ 2 กุมภาพันธ์ 2021 การโจมตีแบบฟิชชิงเริ่มต้นด้วยอีเมลที่ปลอมแปลงให้เหมือนทําเป็นใบแจ้งหนี้สําหรับ บริษัท ที่มีหัวเรื่องอีเมลเช่น ‘Revenue_payment_invoice February_Wednesday 02/03/2021’อีเมลนี้มีไฟล์แนบ HTML ที่มีชื่อในลักษณะที่ดูเหมือนจะเป็นใบแจ้งหนี้ Excel สําหรับ บริษัท สิ่งที่แนบมาเหล่านี้มีชื่ออยู่ในรูปแบบ ‘[company_name]_invoice_[number]._xlsx.hTML. ‘   ตัวอย่างเช่น ถ้า BleepingComputer ถูกกําหนดเป้าหมาย สิ่งที่แนบมาจะถูกตั้งชื่อเป็น ‘bleepingcomputer_invoice_1308._xlsx.hTML. ‘ จะแจ้งว่าการลงชื่อเข้าใช้ของผู้ใช้ หมดเวลาและแจ้งให้ผู้ใช้ป้อนรหัสผ่านอีกครั้ง เมื่อผู้ใช้ป้อนรหัสผ่านแบบฟอร์มจะส่งรหัสผ่านไปยังเซิฟเวอร์ระยะไกลที่ผู้โจมตีสามารถรวบรวมข้อมูลประจําตัวในการเข้าสู่ระบบได้ การหลอกลวงแบบฟิชชิ่งมีความซับซ้อนมากขึ้นทุกวันเนื่องจากเกตเวย์อีเมลตรวจจับอีเมลที่เป็นอันตรายได้ดีขึ้น  ด้วยเหตุนี้ทุกคนต้องใส่ใจกับ URL และชื่อไฟล์แนบก่อนที่จะส่งข้อมูลใด ๆ หากมีสิ่งที่น่าสงสัยผู้รับควรติดต่อผู้ดูแลระบบเครือข่ายเพื่อตรวจสอบเพิ่มเติม  เนื่องจากอีเมลฟิชชิ่งนี้ใช้ไฟล์แนบที่มีนามสกุล xlxs และ HTML จึงเป็นสิ่งที่สําคัญเพื่อให้แน่ใจว่ามีการเปิดใช้งานนามสกุลไฟล์ Windows เพื่อให้มองเห็นไฟล์แนบที่น่าสงสัยได้ง่ายขึ้น  ที่มา :  https://www.bleepingcomputer.com/news/security/new-phishing-attack-uses-morse-code-to-hide-malicious-urls/ 

นักวิจัยพบ “Kobalos” Linux malware ใหม่ ที่กำหนดเป้าหมายไปที่ Supercomputer ทั่วโลกโดยการขโมย Credentials สำหรับ secure network โดยใช้ Software “OpenSSH” นักวิจัยกล่าวว่า Kobalos มี codebase ขนาดเล็ก แต่ซับซ้อนที่สามารถรันบนแพลตฟอร์ม UNIX อื่น ๆ (FreeBSD, Solaris) และ ยังพบ Artifacts ในระหว่างการวิเคราะห์ระบุว่าอาจมีตัวแปรสำหรับระบบปฏิบัติการ AIX และ Windows นักวิจัยได้ทำการ Scan Internet ทั่วโลก เพื่อค้นหาเหยื่อของ “Kobalos” พวกเขาค้นพบว่าระบบที่ถูกบุกรุก ได้แก่ Supercomputer, Server ที่ใช้สำหรับการวิจัย, ผู้จำหน่ายซอฟต์แวร์ด้านความปลอดภัยในอเมริกาเหนือ, Internet Service Provider รายใหญ่ในเอเชีย, หน่วยงานการตลาด…

นักวิจัยพบ “DreamBus” Botnet ที่ Hacker โจมตีผ่าน Application ที่ทำงานบน Server Linux เช่น PostgreSQL, Redis, Hadoop YARN, Apache Spark, HashiCorp Consul, SaltStack และ SSH Service นักวิจัยกล่าวว่า Malware นี้มีโครงสร้างแบบแยกส่วนและโมดูลมีอัตราการตรวจจับต่ำ มีพฤติกรรมเหมือน Worm ซึ่งมีประสิทธิภาพสูงสามารถแพร่กระจายไปยังระบบที่ไม่ได้เชื่อมต่อ internet โดยตรง โดยการสแกนช่วงซับเน็ตส่วนตัว RFC 1918 สำหรับระบบที่มีช่องโหว่ ซึ่งบางโมดูลได้รับการออกแบบมาเพื่อทำการโจมตี Brute-force บน Application ที่ทำงานบน Server Linux คุณสมบัติหลักของ “DreamBus” Botnet คือการขุด XMRig Monero cryptocurrency miner…

พบ Malware “Freakout” ทำการโจมตีผู้ใช้งาน Linux ผ่านช่องโหว่ของ Zend Framework (CVE-2021-3007) , TerraMaster TOS (CVE-2020-28188) และ Liferay Portal (CVE-2020-7961) เพื่อทำการแทรกและรันคำสั่งที่เป็นอันตรายลงไปใน Server  การโจมตีนั้นเริ่มจาก Hacker ใช้ประโยชน์จากช่องโหว่ ของ Software ที่กล่าวมาข้างต้นเพื่อทำการ Upload Python script (out.py) บนเครื่อง Server  ซึ่งนักวิจัยพบว่า Python script นี้ถูกดาวน์โหลดจาก hxxp://gxbrowser[.]net. เมื่อวันที่ วันที่ 8 มกราคม 2021  นักวิจัยได้วิเคราะ Malware “Freakout” พบ Credentials ของ IRC channel ที่ใช้ส่งคำสั่งไปยัง Server ที่ติด Virus และ พบว่า Malware “Freakout” เป็นผลงานของ Hacker ชื่อ “Fl0urite”  Malware “Freakout” ยังอยู่ในช่วงการใช้งานเริ่มต้น ซึ่งหน้าที่หลักของ “Freakout” คือการปรับใช้ XMRig Cryptocurrency Miner บน Server ที่ติด Virus      วิธีการป้องกัน   ตรวจสอบว่า Server Linux ของคุณมีการใช้งาน Software ที่ได้กล่าวไว้ข้างต้นหรือไม่ หากมีควรดำเนินการ Update Software ที่ได้กล่าวไว้ข้างต้นให้เป็น Version ปัจจุบัน  ดำเนินการติดตั้ง Software Antivirus ที่เครื่อง Server เพื่อป้องกัน Malware  ทำการ Blacklist “hxxp://gxbrowser[.]net.” ที่ อุปกรณ์ Fireware  ที่มา: https://www.bleepingcomputer.com/news/security/freakout-malware-exploits-critical-bugs-to-infect-linux-hosts/ 

Microsoft ได้แก้ไขช่องโหว่ของโปรแกรมป้องกันไวรัส Microsoft Defender รหัสช่องโหว่ CVE-2021-1647 ซึ่งเป็นช่องโหว่ Remote Code Execution ที่พบใน Malware Protection Engine component (mpengine.dll).  Microsoft Malware Protection Engine ที่ได้รับผลกระทบจากช่องโหว่นี้คือ Version 1.1.17600.5 ซึ่งได้รับการแก้ไขช่องโหว่แล้วใน Version 1.1.17700.4 หรือใหม่กว่า ซึ่งผู้ใช้งานไม่ต้องดำเนินการใด ๆ เพราะว่า Microsoft Defender ใน Version ที่มีช่องโหว่จะทำการ Update ตัวเองโดยอัตโนมัติ   โดยปกติแล้ว Patch Update ของ Microsoft Malware Protection Engine Patch Update จะทำการ Update อย่างน้อย เดือนละครั้ง   แต่ตอนนี้ Microsoft ยังไม่ได้ Update Patch อย่างเป็นทางการสำหรับแก้ไขช่องโหว่การยกระดับ ในMicrosoft PSExec utility   คำแนะนำ  ถึงแม้ว่า Microsoft Defender จะทำการ Update ตัวเองโดยอัตโนมัติ ผู้ใช้งานก็ควรตรวจสอบด้วยตัวเองว่า Microsoft Defender นั้นได้รับการ Update แล้วหรือยัง  ที่มา: https://www.bleepingcomputer.com/news/security/microsoft-patches-defender-antivirus-zero-day-exploited-in-the-wild/