General

Microsoft เตือนลูกค้าเกี่ยวกับมัลแวร์ LemonDuck ได้มุ่งเป้าหมายไปยังระบบ Windows และ Linux โดยทำการแพร่กระจายผ่านอีเมลฟิชชิ่ง, การโจมตีผ่านทางอุปกรณ์ USB และการโจมตีในรูปแบบ brute force attacks เช่นเดียวกับการโจมตีที่มุ่งเป้าหมายไปที่ช่องโหว่ใน Exchange Server เพื่อเข้าควบคุมและใช้ Exchange Server ในการทำขุดเหมืองบิทคอยน์           กลุ่มผู้ไม่ประสงค์ดีที่อยู่เบื้องหลัง LemonDuck ใช้ประโยชน์จากข้อบกพร่องด้านความปลอดภัย โดยใช้ช่องโหว่ที่เป็นเวอร์ชันเก่า ในขณะที่ทีมรักษาความปลอดภัยกำลังมุ่งเน้นไปที่การแก้ไขข้อบกพร่องที่สำคัญ รวมไปถึงการลบมัลแวร์ของผู้โจมตีรายอื่นออกจากอุปกรณ์ที่ถูกบุกรุก และป้องกันการติดไวรัสตัวใหม่ โดนการแก้ไขช่องโหว่เดิม           นักวิจัยของ Cisco เปิดเผยว่า LemonDuck ใช้ซอฟต์แวร์อัตโนมัติในการสแกน, ตรวจจับ และใช้ประโยชน์จากเซิร์ฟเวอร์ก่อนที่จะทำการโหลดเพย์โหลด ซึ่ง LemonDuck ได้โจมตีไปที่ประเทศจีน, สหรัฐอเมริกา, รัสเซีย, เยอรมนี, สหราชอาณาจักร, อินเดีย, เกาหลี, แคนาด,า ฝรั่งเศส, และเวียดนาม…

          Oracle เปิดตัว Critical Patch Update ในเดือนกรกฎาคม 2021 โดยแก้ไขข้อบกพร่อง รวมถึงช่องโหว่ Critical Remotely Exploitable ใน Web logic Servers         ซึ่งทาง Oracle ได้ออกแพตช์ใหม่ 342 รายการ และ มีช่องโหว่บางส่วนที่ถูกตรวจสอบและจัดการโดยบริษัทยักษ์ใหญ่ด้านไอที ที่ถูกโจมตีจากระยะไกลเพื่อเข้าควบคุมอุปกรณ์ของทางบริษัท          CVE-2019-2729 ซึ่งเป็นช่องโหว่การ Deserialization ผ่าน XML Decoder ใน Oracle Web Logic Server เป็นช่องโหว่การเรียกใช้โค้ดจากระยะไกล เพื่อทำการโจมตีเครือข่ายโดยที่ไม่ต้อง Authentication ด้วยชื่อผู้ใช้และรหัสผ่าน และช่องโหว่ดังกล่าวได้รับคะแนนอันตราย CVSS 9.8 จาก 10 คะแนน โดยอยู่ใน Oracle…

หน่วยงานรักษาความปลอดภัยทางไซเบอร์แห่งชาติของฝรั่งเศส ได้ออกมาเตือนถึงการโจมตีองค์กรจากกลุ่มแฮ็คเกอร์ APT31  ที่ได้รับการสนับสนุนจากรัฐบาลจีน             APT31 (หรือที่รู้จักในชื่อ Zirconium และ Judgement Panda) คือ กลุ่มแฮ็คที่ทำงานตามคำสั่งของรัฐบาลจีน ซึ่งเป็นที่รู้จักในทางการจารกรรมและการขโมยข้อมูลจำนวนมาก               จากรายงานของข่าวพบว่ากลุ่ม APT31 ใช้เครือข่ายของเราเตอร์ในบ้านและสำนักงานขนาดเล็กเจาะเข้าระบบ ทำการเปลี่ยนเส้นทางในการเข้าใช้อินเทอร์เน็ต ไปยังเว็บไซต์ที่อันตรายเพื่อใช้ในการขโมยข้อมูลรหัสผ่าน และ อื่นๆออกจากเครื่องหรือฐานข้อมูลที่เราเข้าถึงได้                จากประวัติการโจมตีทางไซเบอร์ของกลุ่ม APT31 เคยเกิดขึ้นเมื่อต้นปี 2564 โดยมุ่งเป้าหมายไปที่ เซิร์ฟเวอร์ Microsoft Exchange  การโจมตีเหล่านี้เกิดขึ้นหลังจากสหรัฐฯ และพันธมิตร รวมทั้งสหภาพยุโรป สหราชอาณาจักร และ NATO กล่าวหาจีนอย่างเป็นทางการว่าเป็นผู้แฮ็ก Microsoft Exchange ในปีนี้  คำแนะนำ   ทำการตั้งค่า 2-factor authentication  และ แบ็คอัพข้อมูล Router   มอนิเตอร์ Log ที่เกิดขึ้นบน Router   IOC :    IPV4   – 105.154.12.165  – 105.157.234.0  – 105.159.122.85  – 110.36.231.150  – 115.133.136.29  – 115.31.133.26  – 119.110.222.94  – 121.121.46.10  – 122.154.56.106  – 125.25.204.59  –…

Guess เป็นแบรนด์แฟชั่น และร้านค้าปลีกของอเมริกาที่ก าลังมีการแจ้งไปยังลูกค้าที่ได้รับผลกระทบจากการเข้าถึงข้อมูลหลังจากถูกโจมตีด้วยแรนซัมแวร์ในเดือนกุมภาพันธ์ ซึ่งน าไปสู่การขโมยข้อมูล โดยทางบริษัทนิติวิทยาศาสตร์ด้านความปลอดภัยทางไซเบอร์ได้รับการว่าจ้างเพื่อช่วยท าการตรวจสอบการเข้าถึงระบบของ Guess โดยไม่ได้รับอนุญาตระหว่างวันที่ 2 กุมภาพันธ์ 2546 ถึง 23 กุมภาพันธ์ 2564 และทางGuess ได้ใช้มาตรการเพิ่มเติมเพื่อยกระดับความปลอดภัยทางไซเบอร์และก าลังร่วมมือกับหน่วยงานบังคับใช้กฎหมายซึ่งเป็นส่วนหนึ่งของการสอบสวนเหตุการณ์ที่เกิดขึ้น แม้ว่าการแจ้งเตือนการละเมิดจะไม่เปิดเผยจ านวนบุคคลที่ได้รับผลกระทบ แต่ข้อมูลที่ยื่นต่อส านักงานอัยการสูงสุดของรัฐ Maine แสดงให้เห็นว่ามีผู้ถูกเปิดเผยหรือเข้าถึงข้อมูลของพวกเขาเพียง 1,300 คน ระหว่างการโจมตีในเดือนกุมภาพันธ์ เมื่อวันที่ 26 พฤษภาคม พ.ศ. 2564 การสอบสวนได้ระบุว่า ข้อมูลส่วนบุคคลที่เกี่ยวข้องกับบุคคลบางกลุ่มถูกเข้าถึง และได้ข้อมูลไปโดยบุคคลที่ไม่ได้รับอนุญาตในการเข้าถึงของระบบ โดยบุคคลดังกล่าวได้ข้อมูลเกี่ยวกับหมายเลขประกันสังคม, หมายเลขใบอนุญาตขับขี่, หมายเลขหนังสือเดินทาง, หมายเลขบัญชีทางการเงิน และหมายเลขบัตรเครดิต/เดบิต อาจรวมไปถึงข้อมูลของบัญชีทางการ เช่น ข้อมูลรหัสความปอลดภัย,รหัสการเข้าถึง และรหัสผ่านหรือ PIN ส าหรับบัญชี แม้ว่าทาง…

AXA บริษัทประกันสาขา ประเทศไทย ถูกโจมตีด้วย ransomware โดยกลุ่ม Avaddon และขโมยข้อมูล 3 TB  ข้อมูลที่ถูกขโมยโดย กลุ่ม Avaddon  เช่น  สำเนาบัตรประจำตัวประชาชน, ใบแจ้งยอด, บัญชีธนาคาร และ อื่น ๆ  กลุ่ม Ransomware Avaddon  บีบให้ AXA จ่ายค่าไถ โดยการโจมตี DDoS:  ข้อมูล 3 TB ที่ถูกขโมย ได้แก่ :  เอกสารทางการแพทย์ของลูกค้า   เอกสารการเรียกร้องค่าสินไหมทดแทนของลูกค้า  เอกสารการชำระเงินของลูกค้า  เอกสารสแกนบัญชีธนาคารของลูกค้า  เอกสารประจำตัวเช่นบัตรประจำตัวประชาชนหนังสือเดินทาง ฯลฯ  วิธีที่ Avaddon ทำการโจมตี   การแพร่กระจาย Ransomware  Avaddon ransomware จะถูกส่งผ่านอีเมลฟิชชิ่งที่มีไฟล์แนบที่เป็นอันตรายในรูปแบบของไฟล์ zip ที่มี JavaScript ที่เป็นอันตรายอยู่ภายใน  การเพิ่มสิทธิ์  Avaddon จะใช้เทคนิคในการเลี่ยงผ่าน UAC ผ่านอินเทอร์เฟซ COM ช่องโหว่นี้อยู่ในการเรียกใช้อ็อบเจ็กต์ COM ที่ยกระดับโดยไม่มีการแจ้งให้ UAC เรียกใช้กระบวนการที่มีสิทธิ์ที่เพิ่มขึ้น  การเข้ารหัสไฟล์ 6 ขั้นตอน  นำเข้าคีย์ RSA-2048 สาธารณะแบบฮาร์ดโค้ดและคีย์ AES-CBC-256 หลัก  สร้างคีย์เซสชัน AES-CBC-256  เพิ่ม IV ให้กับคีย์ AES-CBC-256 หลัก  ใช้คีย์ AES-CBC-256 หลักเพื่อเข้ารหัสข้อมูลเกี่ยวกับผู้ใช้ด้วยการเข้ารหัส Base64 และเพิ่มลงในบันทึกค่าไถ่  เข้ารหัสไฟล์ของผู้ใช้ด้วยคีย์ AES-CBC-256 เซสชันที่สร้างขึ้น     เพิ่มคีย์เซสชัน AES-CBC-256 ที่เข้ารหัสด้วยคีย์ RSA-2048 ที่ท้ายไฟล์ที่เข้ารหัสทุกไฟล์ Mitre Att&ck Matrix  วิธีการป้องกัน  วิธีป้องกันที่ดีที่สุดคือ ทุกคนต้องมีสติระมัดระวังในการใช้งาน มีการตระหนักรู้ (Awareness) ของการใช้งานที่ดี ไม่เข้าใช้โปรแกรมที่ไม่มีแหล่งที่มา  ไม่เปิดเมล์ที่ไม่มีแหล่งที่มาหรือน่าสงสัย รู้จักใช้ระบบป้องกัน เก็บบันทึกข้อมูลการใช้งานให้ครบถ้วน มีการสำรองข้อมูลสม่ำเสมอ อัพเดตซอฟต์แวร์และเครื่องมือต่าง…

ทีมผู้เชี่ยวชาญจาก SOSECURE พบผู้ไม่ประสงค์ดีทำการขายช่องทางที่ใช้ในการโจมตีไปยัง เว็บไซต์ “สำนักงานตำรวจแห่งชาติ (police.go.th)” โดยมีการเปิดเผยเทคนิคการโจมตีในรูปแบบ SQL Injectionไม่เพียงแต่จะขายช่องทางในการโจมตี ยังมีการขายข้อมูลที่โจรกรรมมาได้อีกด้วย ในมูลค่ากว่า 1,000 เหรียญสหรัฐ คำแนะนำ ทั้งนี้รอการยืนยันจากทางผู้ดูแลระบบเว็บไซต์ของหน่วยงานดังกล่าว ในเบื้องต้นแนะนำให้ผู้ใช้งานทำการเปลี่ยนรหัสผ่านที่เข้าถึงบนเว็บไซต์ หรือบน Application อื่น ๆ เช่น Email (ของหน่วยงาน) หรือ รหัสผ่านในการพิสูจน์ตัวตนเข้าใช้งานภายในหน่วยงาน รวมถึงหน่วยงานดังกล่าวควรมีการทำการทดสอบเจาะระบบเว็บไซต์ (Web Application Penetration Testing) หรือมีการทำ Secure Coding อย่างสม่ำเสมอ ด้วยเช่นกัน

ทีมผู้เชี่ยวชาญจาก โซ ซีเคียว เผย พบ Username และ Password ของ Social Media คนไทย หลุดขายยังตลาดมืด เมื่อเวลา 06:43 น. ของวันที่ 26 เม.ย 2564 ทีมผู้เชี่ยวชาญพบมีการเสนอขายข้อมูล Username, Password และ เบอร์โทรศัพท์ หลุดออกมาจากเว็บไซต์หนึ่งไม่ทราบรายละเอียด โดยผู้ไม่ประสงค์ได้แจ้งว่าสามารถเข้าสู่ระบบ Social Media ต่าง ๆ ชื่อดังได้ จากการตรวจสอบข้อมูลเบื้องต้นนั้นพบว่าเป็นของคนไทย โดยมีจำนวนกว่า 90,000 User มีมูลค่า 300 เหรียญสหรัฐ คำแนะนำ ทั้งนี้แนะนำให้ผู้ใช้งานทำการเปลี่ยนรหัสผ่าน ในการเข้าสู่ระบบ Social Media  เช่น Facebook, Line, Instagram แม้แต่ E-mail…

กลุ่มผู้ไม่ประสงค์ดีชาวอิหร่านได้ทำการโจมตีกลุ่มเป้าหมายชาวเลบานีสโดยการฝัง backdoor ในเครื่องเป้าหมายเพื่อขโมยข้อมูล            กลุ่มผู้ไม่ประสงค์ดีที่ใช้ชื่อว่า “APT34” หรือที่รู้จักในนาม “OilRig” เป็นที่รู้จักดีในการค้นหาเป้าหมายการโจมตีในกลุ่มสถาบันการเงิน องค์กรภาครัฐ กลุ่มพลังงาน และธุรกิจการสื่อสาร            การโจมตีเป้าหมายกระทำโดยการส่งข้อความผ่าน “LinkedIn message” โดยมีไฟล์เอกสารเสนอตำแหน่งงานซึ่งมี malicious macros ฝังอยู่ให้แก่เป้าหมาย   เมื่อเป้าหมายเปิดใช้ macros จะทำให้เครื่องติดไวรัสและถูกติดตั้ง backdoor ที่มีชื่อว่า “SideTwist” ที่สามารถติดต่อกลับไปยังรีโมทเซิร์ฟเวอร์เพื่อดาวน์โหลดไฟล์เพิ่มเติมสำหรับใช้ในการโจมตี และสามารถขโมยข้อมูลในเครื่องเป้าหมายได้  IOCs:  Malicious Document:MD5: 6615c410b8d7411ed14946635947325eSHA1: 9bba72ac66af84253b55dd7789afc90e0344bf25SHA256: 13c27e5049a7fc5a36416f2c1ae49c12438d45ce50a82a96d3f792bfdacf3dcd  SideTwist backdoor:MD5: 94004648630739c154f78a0bae0bec0aSHA1: 273488416b5d6f1297501825fa07a5a9325e9b56SHA256: 47d3e6c389cfdbc9cf7eb61f3051c9f4e50e30cf2d97499144e023ae87d68d5a  คำแนะนำ  ไม่เปิดไฟล์ที่ส่งมาจากผู้ที่ไม่รู้จัก  ปิดการใช้งาน macros จากไฟล์เอกสาร  ที่มา : https://thehackernews.com/2021/04/researchers-uncover-new-iranian-malware.html

Cisco เปิดตัวการอัพเดตด้านความปลอดภัยเพื่อแก้ไขช่องโหว่การเรียกใช้รหัสระยะไกลล่วงหน้า (RCE) ส่งผลกระทบต่อส่วนประกอบการจัดการระยะไกลของ SD-WAN vManage Software            แก้ไขช่องโหว่ด้านความปลอดภัยที่มีความรุนแรงสูงอีกสองช่องในการจัดการผู้ใช้ (CVE-2021-1137) และฟังก์ชันการถ่ายโอนไฟล์ระบบ (CVE-2021-1480) ของผลิตภัณฑ์เดียวกันทำให้ผู้โจมตีสามารถเพิ่มสิทธิ์ได้ทำให้ผู้คุกคามที่กำหนดเป้าหมายพวกเขาได้รับสิทธิ์ Root บนระบบปฏิบัติการพื้นฐาน  การเรียกใช้รหัสด้วยสิทธิ์ระดับ Root            ข้อบกพร่องด้านความปลอดภัยที่สำคัญติดตาม CVE-2021-1479 ได้รับคะแนนความรุนแรง 9.8 / 10 ช่วยให้ผู้โจมตีระยะไกลที่ไม่ได้รับการพิสูจน์ตัวตนสามารถทริกเกอร์ buffer overflow            “ผู้โจมตีสามารถใช้ประโยชน์จากช่องโหว่นี้ได้โดยการส่งคำขอการเชื่อมต่อที่สร้างขึ้นเองไปยังส่วนประกอบที่มีช่องโหว่ซึ่งเมื่อประมวลผลแล้วอาจทำให้เกิดสภาวะ buffer overflow” Cisco อธิบาย            ช่องโหว่ส่งผลกระทบต่อ Cisco SD-WAN vManage 20.4 และรุ่นก่อนหน้า Cisco ได้แก้ไขปัญหาดังกล่าวในการอัพเดตด้านความปลอดภัย 20.4.1, 20.3.3 และ 19.2.4 แนะนำให้ผู้ใช้ย้ายข้อมูลไปยังรุ่นดังกล่าว  นักวิจัยด้านความปลอดภัยของ Cisco ค้นพบ CVE-2021-1479 ในระหว่างการทดสอบความปลอดภัยภายใน CVE-2021-1137 และ CVE-2021-1480  คำแนะนำ : ดำเนินการตรวจสอบและทำการอัพเดทให้เป็นเวอร์ชั่นตามที่ได้กล่าวไว้ข้างต้นหรือเป็นเวอร์ชั่นที่ใหม่กว่าเพื่อแก้ไขข้อบกพร่องที่เกิดขึ้นในเวอร์ชั่นก่อนหน้า และสำหรับอุปกรณ์ที่หมดอายุการใช้งานจะไม่รองรับเวอร์ชั่นปัจจุบันแนะนำให้เปลี่ยนเป็นอุปกรณ์ใหม่ที่รองรับเวอร์ชั่นปัจจุบันในการใช้งาน  ที่มา : https://www.bleepingcomputer.com/news/security/cisco-fixes-bug-allowing-remote-code-execution-with-root-privileges/ 

QNAP เตือนลูกค้าเกี่ยวกับการโจมตีอย่างต่อเนื่องที่กำหนดเป้าหมายไปยังอุปกรณ์ QNAP NAS ในการโจมตีเหล่านี้ผู้ไม่ประสงค์ดีจะใช้ Automated tools เพื่อล็อกอินเข้าสู่อุปกรณ์ NAS ที่เปิดใช้งานอินเทอร์เน็ตโดยใช้รหัสผ่านที่สร้างขึ้นทันทีหรือจาก Credentials ที่ถูกขโมย  เมื่อเร็ว ๆ นี้ QNAP ได้รับรายงานจากลูกค้าหลายรายว่า พบผู้ไม่ประสงค์ดี พยายามที่จะเข้าสู่ระบบไปยังอุปกรณ์โดยใช้ QNAP โดยการโจมตี Brute-force attack หลังจากทำการเดาสุ่มรหัสผ่านที่ถูกต้องแล้วพวกเขาจะสามารถเข้าถึงอุปกรณ์เป้าหมาย เพื่อเข้าถึงข้อมูลที่เป็นความลับ และ ติดตั้ง Malware ได้ หากผู้ไม่ประสงค์ดีล้มเหลวในการโจมตีระบบของอุปกรณ์ NAS จะแจ้งเตือน  “Failed to login”  QNAP แนะนำให้ทำการเปลี่ยนหมายเลข Port ของอุปกรณ์ ใช้รหัสผ่านที่คาดเดายาก นอกจากนี้คุณยังสามารถกำหนดค่าอุปกรณ์ NAS ให้บล็อก IP Address โดยอัตโนมัติหลังการพยายามเข้าสู่ระบบหลายครั้ง ผู้ใช้งาน QNAP NAS ควรทำตามรายการตรวจสอบต่อไปนี้เพื่อรักษาความปลอดภัยอุปกรณ์ NAS   เปลี่ยนรหัสผ่านทั้งหมดสำหรับทุก User บนอุปกรณ์  ลบบัญชีผู้ใช้ที่ไม่รู้จักออกจากอุปกรณ์  ตรวจสอบให้แน่ใจว่าเฟิร์มแวร์ของอุปกรณ์เป็นรุ่นล่าสุด  ลบแอพพลิเคชั่นที่ไม่รู้จักหรือไม่ได้ใช้งานออกจากอุปกรณ์  ติดตั้งแอปพลิเคชัน QNAP MalwareRemover ผ่านฟังก์ชัน App Center  ที่มา: https://www.bleepingcomputer.com/news/security/qnap-warns-of-ongoing-brute-force-attacks-against-nas-devices/