Linux Malware Framework ตัวใหม่ ช่วยให้ผู้ไม่ประสงค์ดีติดตั้ง Rootkit บนระบบเป้าหมายได้

พบมัลแวร์ Linux ตัวใหม่ชื่อว่า “Swiss Army Knife” เป็นหนึ่งใน Framework ที่ซับซ้อนที่สุดที่ถูกพัฒนาขึ้นสำหรับกำหนดเป้าหมายการโจมตีบนระบบ Linux และมีความสามารถในการติดตั้ง Rootkit มัลแวร์สามารถติดต่อสื่อสารกับผู้ไม่ประสงค์ดี รวมถึงสามารถเปิด SSH บนเครื่องที่ถูกบุกรุก และกำหนดค่าคำสั่ง และการควบคุมได้หลายรูปแบบ โดยศูนย์กลางของมัลแวร์คือตัว Downloader (“kbioset”) และโมดูล Core (“kkdmflush”) ซึ่งได้รับการออกแบบให้ดึงปลั๊กอินต่าง ๆ อย่างน้อย 7 ตัว จากเซิร์ฟเวอร์ระยะไกล C2 ซึ่งถูกเรียกใช้โดยโมดูล Core ในเวลาต่อมา ตัว Downloader (“kbioset”) ทำหน้าที่ในการสร้างความคงอยู่ และการ Executes ของโมดูล Core บน Framework รวมถึงการดึงปลั๊กอินต่าง ๆ จากเซิร์ฟเวอร์ระยะไกล C2 ในส่วนของโมดูล Core…
Read More

Lockdown Mode ของ Apple สามารถป้องกันการโจมตีบน iPhone

เครื่องมือรักษาความปลอดภัย iOS 16 ล่าสุดของ Apple สามารถปกป้อง iPhone จากการโจมตีทางอินเทอร์เน็ต เช่น Pegasus ซึ่งกฎเกณฑ์ปกติในการรักษาความปลอดภัยอาจไม่เพียงพอ  เครื่องมือรักษาความปลอดภัยแบบใหม่จาก Apple ที่มาพร้อม iOS 16 เรียกว่า“Lockdown Mode” ออกแบบมาเพื่อป้องกันการโจมตีจาก Malware และ Spyware เช่น Pegasus  Pegasus ถูกใช้เพื่อสอดแนมนักเคลื่อนไหวด้านสิทธิมนุษยชน ทนายความ นักการเมือง และนักข่าวทั่วโลก Apple กล่าวว่ามีการระบุการโจมตีที่คล้ายกันใน 150 ประเทศในช่วงแปดเดือนที่ผ่านมา  Lockdown Mode เสนอระดับความปลอดภัยที่เป็นทางเลือกสูงสุด สำหรับผู้ใช้ที่อาจตกเป็นเป้าหมายจากภัยคุกคามทางดิจิทัลที่ซับซ้อน โดยพื้นฐานแล้ว Lockdown Mode จะเพิ่มคุณสมบัติความปลอดภัยบน iOS โดยการจำกัดฟังก์ชันบางอย่างที่อาจเสี่ยงต่อการถูกโจมตี เช่น  – สิ่งที่แนบมากับข้อความส่วนใหญ่ ยกเว้นรูปภาพ จะถูก Block และ…
Read More

ผู้ไม่ประสงค์ดีขายข้อมูล Account Twitter ของผู้ใช้จำนวน 5.4 ล้านคนบน Dark Web !!

Twitter ได้ถูกขโมยข้อมูลหลังจากที่ผู้ไม่ประสงค์ดีได้ใช้ประโยชน์จากช่องโหว่เพื่อสร้างฐานข้อมูลของหมายเลขโทรศัพท์ และ Email Address ที่อยู่ใน Account ของผู้ใช้จำนวน 5.4 ล้านคน โดยมีข้อมูลที่ถูกขายบน Dark Web ในราคา 30,000 ดอลลาร์ ผู้ไม่ประสงค์ดีที่รู้จักกันในชื่อ “Devil” ได้เปิดเผยว่ามีฐานข้อมูลที่มีข้อมูลเกี่ยวกับ Account ต่าง ๆ รวมไปถึง ผู้คนที่มีชื่อเสียง, บริษัท และ ผู้คนทั่วไป ช่องโหว่ดังกล่าวเป็นช่องโหว่ที่ใช้ในการรวบรวมชข้อมูล ซึ่งเป็นช่องโหว่เดียวกันกับที่เปิดเผยต่อ Twitter ผ่าน HackerOne ในวันที่ 1 มกราคมและได้รับการแก้ไขในวันที่ 13 มกราคม โดยช่องโหว่นี้จะช่วยให้ ผู้ไม่ประสงค์ดีที่ไม่ผ่านการตรวจสอบสิทธิ์สามารถรับ Twitter ID ของผู้ใช้ โดยการส่งหมายเลขโทรศัพท์ หรือ อีเมล แม้ผู้ใช้จะตั้งค่าความเป็นส่วนตัวแล้วก็ตาม ช่องโหว่ดังกล่าวเกิดขึ้นจากโปรเซสในการอนุญาตการเข้าถึง (Authorization) ที่ใช้ใน Android…
Read More

Google ลบรายการชื่อ “App Permission” ออกจาก Play Store และใช้ชื่อใหม่เป็น “Data Safety” !! 

หลังจากที่มีการเปิดตัวในส่วน “Data safety” ใหม่ ในแอปพลิเคชันของ Android บน Play Store  ซึ่งทาง Google พร้อมที่จะลบรายการชื่อ “App Permission” ออกจากแอปพลิเคชันบนมือถือ และ เว็บไซต์  ในส่วนของ “Data safety” ทาง Google ได้มีการเริ่มเปิดตัวในปลายเดือนเมษายน พ.ศ. 2565  ซึ่งช่วยให้ผู้ใช้สามารถเห็นภาพรวมของการเก็บรวบรวมข้อมูล และ แนวทางปฏิบัติในการประมวลผลของแอปพลิเคชัน  นักพัฒนาแอปพลิเคชันจำเป็นต้องให้รายละเอียดต่าง ๆ ที่จำเป็นภายในวันที่ 20 กรกฎาคม พ.ศ. 2565 เนื่องจากแอปพลิเคชันยอดนิยมจำนวนหนึ่ง เช่น Facebook, Messenger, Instagram, WhatsApp, Amazon (รวมถึง Amazon Prime Video), DuckDuckGo, Discord และ PhonePe…
Read More

พบการใช้ประโยชน์จากการ Bypass หน้าจอ Lock Screen ของอุปกรณ์ Android (CVE-2022–20006) 

พบช่องโหว่ที่ช่วยให้ผู้ไม่ประสงค์ดีสามารถข้ามผ่านหน้าจอ Lock Screen ของอุปกรณ์ Android ภายใต้รหัส  CVE-2022-20006 ที่ใช้ประโยชน์จากคุณลักษณะ Multi-user ที่อุปกรณ์มีไว้เพื่อแชร์กันสำหรับ User หลายคน ซึ่งแต่ User จะมีโปรไฟล์ของตนเองบนอุปกรณ์รวมถึงแอปพลิเคชัน และการกําหนดค่าที่ปรับให้เหมาะกับความต้องการเฉพาะ หรือปรับให้เหมาะกับแต่ละบทบาทการใช้งานของแต่ละ User  CVE-2022-20006 เป็นผลมาจากเหตุการณ์ที่ซ้อนอยู่ในลำดับการประมวลผลหลักของระบบ UI บน Android โดยที่เหตุการณ์นี้จะขัดขวางกระบวนการรักษาความปลอดภัยที่สําคัญ เช่น การดำเนินการที่เกี่ยวข้องกับ Lock Screen Keyguard ซึ่งอาจนำไปสู่การยกระดับสิทธิ์ที่สูงในเครื่อง แม้เปิดใช้งานในบทบาทของ Gest User  Google ได้เผยแพร่การบรรเทาผลกระทบในแพตช์ความปลอดภัยเดือนมิถุนายน 2565 โดยให้ความสําคัญกับเหตุการณ์ที่เฉพาะเจาะจงกับการ Lock Screen เพื่อป้องกันไม่ให้เกิดสถานการณ์นี้ขึ้น แพตช์ความปลอดภัย เดือนมิถุนายน 2565 ถูกปรับใช้ผ่าน Build SQ3A.220605.009.A1 และ SQ3A.220605.009.B1 ซึ่งขึ้นอยู่กับ รุ่นของอุปกรณ์โดยเวอร์ชัน AOSP ที่อัปเดตผลิตภัณฑ์แล้ว…
Read More

ระวัง!! ผู้ไม่ประสงค์ดีชาวจีน ติดตั้งแบ็คดอร์ใน iOS/Android Web3 Wallets 

พบผู้ไม่ประสงค์ดีได้กำหนดเป้าหมายไปยังผู้ใช้ระบบปฏิบัติการ Android และ iOS ในการแพร่กระจายแอปพลิเคชันที่เต็มไปด้วยโค้ดอันตราย มีจุดประสงค์เพื่อขโมยเงินของผู้ใช้ แคมเปญนี้จะจำลองเว็บไซต์เพื่อเลียนแบบ Cryptocurrency Wallet Websites (Web3 wallets)  แอปพลิเคชันที่อันตรายใน iOS และ Android ตัวอย่าง เช่น :  Coinbase Wallet  MetaMask Wallet  TokenPocket  imToken  แอป Wallet เวอร์ชันที่เป็นอันตรายเหล่านี้มีฟังก์ชันที่ถูกต้องตามกฎหมาย และแฝงฟังก์ชันการขโมยไว้ด้วยกัน  ซึ่งพวกเขาสามารถใช้ประโยชน์จาก Cryptocurrency ที่ถูกขโมยของผู้ใช้ได้  การโจมตีครั้งนี้คาดว่ามาจากกลุ่ม SeaFlower โดยสังเกตจาก ชื่อผู้ใช้ macOS, ความคิดเห็นในโค้ดของแบ็คดอร์,  การใช้เครื่องมือค้นหาภาษาจีน ซึ่งผู้โจมตีได้สร้างเว็บไซต์เพื่อแพร่กระจายแอปพลิเคชันปลอม และสร้าง Clones ของเว็บไซต์ที่ถูกกฎหมาย   นอกจากนี้ Baidu และ Search Engines ของจีนอื่น ๆ…
Read More

Microsoft ได้ออกมาเตือนเกี่ยวกับ Cryptomining Malware ที่กำหนดเป้าหมายไปยัง Linux Servers 

พบกลุ่มผู้ไม่ประสงค์ดีที่รู้จักกันในชื่อ 8220 ได้ทำการอัปเดต Malware Toolset เพื่อใช้โจมตี Linux Servers  โดยมีเป้าหมายในการติดตั้งซอฟต์แวร์ขุดสกุลเงินดิจิทัล (Cryptocurrency)   กลุ่มผู้ไม่ประสงค์ดี 8220 เป็นกลุ่มผู้ไม่ประสงค์ดีจากประเทศจีน พบครั้งแรกเมื่อปี 2017 ซึ่งนักวิจัยได้ตั้งชื่อตามพฤติกรรมในการสื่อสารกับ Command-and-Control (C2) Servers ผ่าน Port 8220 นอกจากนี้ยังเป็นผู้พัฒนาเครื่องมือ ที่ชื่อว่า whatMiner โดยได้รับความร่วมมือจากกลุ่มผู้ไม่ประสงค์ดี Rocke และ มีลักษณะการโจมตีผ่านช่องโหว่ หรือ ใช้ซอฟต์แวร์ในการขุดสกุลเงินดิจิทัล (Cryptocurrency)  Microsoft พบว่าการโจมตีล่าสุดบนระบบ i686 และ x86_64 Linux พบว่าผู้ไม่ประสงค์ดีใช้การโจมตีแบบ  Remote Code Execution ผ่านช่องโหว่ Atlassian Confluence Server (CVE-2022-26134) และ Oracle WebLogic  (CVE-2019-2725) หากโจมตีสำเร็จจะทำการเรียกใช้…
Read More

Google แก้ไขช่องโหว่ zero-day ใหม่ใน Chrome แล้ว !! 

Google ได้เปิดตัว Chrome เวอร์ชัน 103.0.5060.114 สำหรับผู้ใช้ Windows เพื่อแก้ไขช่องโหว่ Zero-day  CVE-2022-2294 เป็นบัฟเฟอร์ล้นที่มีความรุนแรงสูงใน WebRTC (การสื่อสารทางเว็บแบบเรียลไทม์)   โดย Google ทราบดีว่ามีช่องโหว่ CVE-2022-2294 จึงได้มีเวอร์ชันอัปเดตแพตช์ 103.0.5060.114 ที่กำลังเปิดตัวอัปเดตใน Stable Channel Update for Desktop และอาจต้องใช้เวลาหลายวันหรือหลายสัปดาห์กว่าจะถึงฐานผู้ใช้ทั้งหมด การอัปเดตนี้พร้อมใช้งานทันที โดยไปที่เมนู Chrome menu > Help > About Google Chrome เว็บเบราว์เซอร์จะตรวจสอบการอัปเดตใหม่โดยอัตโนมัติ และติดตั้งเองอัตโนมัติในการอัปเดตครั้งถัดไป  ผลกระทบอาจมีตั้งแต่การหยุดทำงานของโปรแกรมและการใช้รหัสโดยอำเภอใจ ไปจนถึงการหลบหลีกผ่านโซลูชัน การรักษาความปลอดภัยถ้ามีการเรียกใช้โค้ดระหว่างการโจมตี โดย Google ยังไม่ได้เปิดเผยรายละเอียดทางเทคนิคหรือข้อมูลใดๆ เกี่ยวกับเหตุการณ์เหล่านี้  คำแนะนำ  ควรรีบทำการอัปเดตแพตช์ให้เป็นเวอร์ชัน 103.0.5060.114 โดยเร็วที่สุด  Ref :…
Read More

พบเว็บไซต์ของมหาวิทยาลัย ชื่อดังแห่งหนึ่งถูกโจมตีโดยกลุ่มผู้ไม่ประสงค์ดี !!

ทีมผู้เชี่ยวชาญจาก SOSECURE พบผู้ไม่ประสงค์ดีทำการโจมตีเครื่อง Web Application Server ของมหาวิทยาลัย ชื่อดังแห่งหนึ่งในภาคใต้ โดยผู้ไม่ประสงค์ดีอาศัยช่องโหว่ของอุปกรณ์ IIS ที่มีเวอร์ชัน 8.5 ในการโจมตีครั้งนี้ ซึ่งทำให้ผู้ไม่ประสงค์ดีได้ทำการสร้างหน้าเพจใหม่ขึ้นมา (root.php) ในทุก ๆ Sub Domain ของมหาวิทยาลัยที่ใช้ IIS เวอร์ชันดังกล่าว ข้อแนะนำ 1. ดำเนินการ Update Patch ของ Software อยู่เป็นประจำ หมายเหตุ : ทางทีมไม่มีส่วนเกี่ยวข้องกับการกระทำดังกล่าว รวมถึงไม่มีเจตนาทำให้ผู้ใดผู้หนึ่งเสื่อมเสียชื่อเสียง เป็นเพียงการเตือนภัยให้กับผู้ที่เกี่ยวข้องเท่านั้นและไม่ส่งเสริมให้มีการกระทำความผิดตาม พรบ. คอมพิวเตอร์ใด ๆ ทั้งสิ้น #SosecureNews#ThaiCybersecurityNews#News#CyberNews
Read More

Microsoft Office ใหม่ Zero-day ใช้ในการโจมตีเพื่อเรียกใช้ PowerShell 

นักวิจัยค้นพบช่องโหว่ Zero-day ใหม่ของ Microsoft Office ช่องโหว่ที่ยังไม่ได้รับรหัส CVE เรียกว่า ‘Follina’ ซึ่งช่องโหว่ดังกล่าวโจมตีโดยการรันคำสั่ง PowerShell ที่อันตรายผ่าน Microsoft Diagnostic Tool (MSDT) เพียงแค่เปิดเอกสาร Word เวกเตอร์จะถูกรันด้วยโปรแกรม Microsoft Office เนื่องจากสามารถหลีกเลี่ยงการตรวจจับของ Windows Defender และไม่จำเป็นต้องมีโค้ดมาโครเพื่อเรียกใช้ไบนารีหรือสคริปต์  เมื่อวันศุกร์ที่ผ่านมา นักวิจัยด้านความปลอดภัย nao_sec พบเอกสาร Word ที่เป็นอันตรายที่ถูก Upload ไปยัง Virus Total จาก IP Address ในเบลารุส พบไฟล์ที่ใช้ประโยชน์จากช่องโหว่ CVE-2021-40444 จากนั้นก็พบไฟล์รูปแบบ ms-msdt ผู้ไม่ประสงค์ดีใช้ลิงก์ภายนอกของ Word เพื่อโหลด HTML แล้วใช้รูปแบบ ‘ms-msdt’ เพื่อรันโค้ด…
Read More