Microsoft ได้แก้ไขช่องโหว่ NTLM Relay Attack

ในช่วง พฤษภาคม พ.ศ. 2565 Microsoft ได้ทำการอัพเดตแพทช์ เพื่อแก้ไขช่องโหว่ NTLM Relay Attack (CVE-2022-26925) ซึ่งเป็น ‘ช่องโหว่การปลอมแปลง Windows LSA’   ผู้ไม่ประสงค์ดีที่สามารถเรียกใช้เมธอดบนอินเทอร์เฟซ LSARPC และบังคับตัวควบคุมโดเมนให้ตรวจสอบสิทธิ์ โดยใช้ NTLM การการอัพเดตแพทช์ในครั้งนี้จะตรวจจับความพยายามใน การเชื่อมต่อแบบไม่ระบุตัวตนใน LSARPC ซึ่งอาจทำให้ผู้ไม่ประสงค์ดีสามารถควบคุมโดเมนได้อย่างสมบูรณ์  แม้ว่า Microsoft จะไม่เปิดเผยรายละเอียดเกี่ยวกับช่องโหว่มากเกินไป แต่ระบุว่าการแก้ไขดังกล่าวส่งผลต่อฟังก์ชัน EFS API OpenEncryptedFileRaw(A/W) ซึ่งบ่งชี้ว่านี่อาจเป็นเวกเตอร์อื่นที่ไม่ได้รับการแก้ไขสำหรับการโจมตี PetitPotam  สามารถดูการสาธิตการโจมตีนี้ได้ด้านล่าง  คำแนะนำ  ทำการอัพเดตแพทช์ ระบบปฏิบัติการให้เป็นเวอร์ชั่นล่าสุด  Ref: https://www.bleepingcomputer.com/news/security/microsoft-fixes-new-petitpotam-windows-ntlm-relay-attack-vector/ 
Read More

พบ Backdoor ใหม่ “Saitama” มุ่งเป้าไปที่กระทรวงต่างประเทศของ จอร์แดน

พบ Backdoor ใหม่มีชื่อเรียกว่า “Saitama” ใช้การโจมตีแบบ Spear-Phishing โดยมีเป้าหมายคือ กระทรวงต่างประเทศของ จอร์แดน โดยนักวิจัยกล่าวว่าน่าจะเป็นการโจมตีจากกลุ่มผู้ไม่ประสงค์ดี APT34  เนื่องจากใช้การโจมตีแบบเดียวกัน   ในข้อความฟิชชิ่งจะแนบไฟล์ Excel เมื่อผู้ใช้เปิดไฟล์จะทำให้เรียกใช้ มาโคร Visual Basic Application และแพร่กระจายเพย์โหลดของมัลแวร์ (“update.exe”)  โดย Saitama จะดรอป Backdoor ขนาดเล็กที่เขียนใน .Net  พร้อม Path: pdb (Saitama.Agent.pdb) และใช้ประโยชน์จากโปรโตคอล DNS สำหรับการสื่อสารแบบ  command-and-control (C2) เพื่อที่จะปิดบังการรับส่งข้อมูล และใช้วิธี “finite-state machine” เพื่อดำเนินการคำสั่งที่ได้รับจาก C2 เซิร์ฟเวอร์  IOCs  Confirmation Receive Document.xls  26884f872f4fae13da21fa2a24c24e963ee1eb66da47e270246d6d9dc7204c2b  Maldoc:  Saitama backdoor: …
Read More

SonicWall แนะนำให้ดำเนินการแก้ไขช่องโหว่ SSLVPN SMA1000

SonicWall แนะนำให้ดำเนินการแก้ไขช่องโหว่ความเสี่ยงสูงที่ส่งผลกระทบต่อกลุ่มผลิตภัณฑ์ Secure Mobile Access (SMA) 1000 Series ที่สามารถปล่อยให้ผู้ไม่ประสงค์ดีเลี่ยงการตรวจสอบสิทธิ์ และอาจจะบุกรุกไปยังอุปกรณ์ได้ โดยที่ปัจจุบันนั้นยังไม่ได้รับการแก้ไข ซึ่งปัจจุบันมีลูกค้ากว่า 500,000 รายจาก 215 ประเทศทั่วโลก ที่กำลังใช้ผลิตภัณฑ์ของ SonicWall อยู่ โดยส่วนใหญ่ใช้ในเครือข่ายของหน่วยงานรัฐบาลและยังรวมถึงบริษัทที่ใหญ่ที่สุดในโลกอีกด้วย  SonicWall SMA 1000 SSLVPN ถูกใช้เพื่อรักษาความปลอดภัยการเชื่อมต่อระยะไกลในเครือข่ายองค์กรแบบ end-to-end ในรูปแบบใช้ภายในองค์กร คลาวด์ และไฮบริด  โดยช่องโหว่แรกคือ CVE-2022-22282  ช่องโหว่การเข้าถึงอุกปกรณ์โดยที่ไม่ผ่านการตรวจสอบสิทธิ์ซึ่งมีระดับความรุนแรงสูง และยังเป็นเป็นช่องโหว่ที่ร้ายแรงที่สุด ส่วนอีกสองช่องโหว่ คือ ช่องโหว่การเข้ารหัสแบบฮาร์ดโค้ดของ cryptographic key ที่อาจจะมีผลร้ายแรงหากปล่อยทิ้งไว้โดยไม่ได้รับการแพตช์ และอาจถูกโจมตีโดยผู้ไม่ประสงค์ดีได้เนื่องจากจะช่วยให้พวกเขาเข้าถึงข้อมูลประจำตัวที่เข้ารหัสได้ และช่องโหว่สุดท้ายคือช่องโหว่การเปลี่ยนเส้นทางแบบเปิด โดยทั้งสองช่องโหว่มีระดับความรุนแรงปานกลางและยังไม่มีประกาศหมายเลข CVE ID  ช่องโหว่ดังกล่าวส่งผลกระทบต่อรุ่น SMA 1000 Series ต่อไปนี้ 6200,…
Read More

พบ Sysrv botnet มุ่งเป้าโจมตีไปที่ Windows และ Linux Server !!

Microsoft เปิดเผยว่า Sysrv botnet ได้ใช้ประโยชน์จากช่องโหว่ใน Spring Framework และ WordPress เพื่อดักจับข้อมูล และ ติดตั้ง Cryptomining Malware บน Windows และ Linux Server ที่มีช่องโหว่   Redmond ได้ค้นพบตัวแปรใหม่ เรียกว่า “Sysrv-K” ที่ได้รับการอัปเกรดให้มีความสามารถที่หลากหลาย  รวมไปถึงการสแกนหา WordPress และ Spring ที่ยังไม่ได้ทำการอัปเดตแพตซ์ และยังมีสามารถในการสแกนหาไฟล์การกำหนดค่า (Configuration) ของ WordPress และ การสำรองข้อมูลเพื่อขโมยข้อมูลประจำตัวจากฐานข้อมูล    เพื่อเข้าควบคุม Web Server  ช่องโหว่เหล่านี้ได้รับการแก้ไขแล้ว รวมไปถึงช่องโหว่เก่าใน Plugin WordPress เช่นเดียวกันกับช่องโหว่ CVE-2022-22947 ซึ่งเป็นช่องโหว่ที่ช่วยให้ผู้ไม่ประสงค์ดีสามารถใช้การโจมตีด้วย code injection ในไลบรารี  Spring Cloud Gateway…
Read More

การกลับมาของกลุ่มแฮคเกอร์ APT32 พร้อมกับ TTPs ใหม่และไฟล์อันตราย

กวิจัยด้านภัยคุกคามค้นพบการโจมตีแบบใหม่ที่เกิดจากกลุ่มผู้ไม่ประสงค์ดีของอิหร่านที่รู้จักกันในชื่อ APT34 หรือ Oilrig โดยครั้งนี้ได้ใช้การโจมตีแบบ Spearphishing Email มุ่งเป้าไปที่นักการทูตชาวจอร์แดน โดยที่ผู้ส่งจะปลอมแปลงเป็นเพื่อนร่วมงานจากแผนกไอทีขององค์กรรัฐบาลเดียวกัน  ซึ่งอีเมลดังกล่าวจะมีไฟล์ Exel ที่เป็นโค้ดแมโคร VBA อันตรายแนบไปด้วย โดยโค้ดนี้ใช้สำหรับสร้างไฟล์สามไฟล์ คือ ไฟล์ปฏิบัติการที่เป็นอันตราย ไฟล์ที่ใช้กำหนดค่า และไฟล์ที่มี Sign และ DLL ที่ไม่อันตราย อีกทั้งยังค้นพบความผิดปกติอีกประการหนึ่งเกี่ยวข้องกับการดำเนินการ 2 Anti-analysis ที่ใช้ในมาโครอย่างการสลับการมองเห็นชีตในสเปรดชีตและอีกวิธีหนึ่งคือการตรวจสอบการเชื่อมต่อของเมาส์ ซึ่งอาจไม่มีอยู่ในบริการการวิเคราะห์มัลแวร์ของแซนด์บ็อกซ์  ตามที่กล่าวไว้ในตารางข้างต้น มาโครมีความสามารถในการสร้างไฟล์สามไฟล์ดังนี้   ไฟล์ปฏิบัติการที่เป็นอันตราย : %LocalAppData%\MicrosoftUpdate\update.exe   ไฟล์ที่ใช้กำหนดค่า : %LocalAppData%\MicrosoftUpdate\update.exe.config   ไฟล์ที่มี Sign และ DLL ที่ไม่อันตราย %LocalAppData%\MicrosoftUpdate\Microsoft.Exchange.WebServices.dll  แบบฟอร์มทั้งสามรูปแบบจะถูกเก็บไว้ในไฟล์ Excel โดยมีชื่อกำกับไว้พร้อมกับคำอธิบายดังภาพด้านบน ซึ่งคำอธิบายนี้ประกอบด้วยข้อมูลที่เข้ารหัส Base64 ไว้ นอกจากนี้ยังใช้มาโคร Excel…
Read More

BPFdoor malware firewall redirectพบ !! มัลแวร์ BPFdoor ที่มีสามารถในการ Bypasses Firewall

พบ !! มัลแวร์ BPFDoor เป็น Linux/Unix Backdoor ที่ช่วยให้ผู้ไม่ประสงค์ดีสามารถใช้การโจมตี แบบ Remote Code Execution ไปที่ระบบ โดยไม่ต้องทำการเปิดใช้งาน Port ใหม่ บนเครือข่าย  หรือ Firewall Rules   Parsing “Magic” Packets  มัลแวร์ BPFdoor เป็น Passive Backdoor ซึ่งหมายความว่ามันสามารถใช้ Port ใด Port หนึ่งหรือมากกว่าสำหรับ Packets ขาเข้าจาก Host หนึ่งหรือมากกว่า ซึ่งผู้ไม่ประสงค์ดีสามารถเรียกใช้คำสั่ง ที่เป็นอันตรายไปยังเครือข่ายที่ถูกโจมตี  มัลแวร์จะใช้ Berkeley Packet Filter (BPF ในชื่อ Backdoor) ซึ่งทำงานที่ Network Layer Interface เพื่อดูการรับส่ง Network…
Read More

พบมัลแวร์ Nerbian RAT ที่มีความสามารถในการหลีกเลี่ยงการตรวจจับ !!

พบ !! มัลแวร์ประเภท Stealthy ตัวใหม่ที่มีชื่อว่า Nerbian RAT ที่ทำงานบน OS 64 bit มีความสามารถ ในการหลีกเลี่ยงการตรวจจับ ซึ่งเขียนด้วยภาษาโปรแกรม Go และ ใช้ Multiple Open-Source Go Libraries แพร่กระจายผ่านอีเมลโดยผู้ไม่ประสงค์ดีจะแนบไฟล์เอกสารที่เป็นอันตรายไปกับอีเมล   ขั้นตอนการโจมตี  ผู้ไม่ประสงค์ดีจะทำการสร้างแบบฟอร์ม เพื่อปลอมเป็นองค์การอนามัยโลก (WHO) จากนั้นจะทำการแนบไฟล์มัลแวร์ Nerbian RAT และ หลอกผู้ใช้งานให้คิดว่าเป็นเอกสารข้อมูลของ COVID-19 เพื่อแพร่กระจายมัลแวร์  โดยในอีเมลจะมีไฟล์ .RAR ที่มีเอกสาร Word ซึ่งมี Malicious Macro Code ดังนั้นหากเปิดใน Microsoft Office โดยมีการตั้งค่า Content Control เป็น “Enabled” ไฟล์ bat…
Read More

พบมัลแวร์ Saintstealer และ Prynt Stealer ที่มีความสามารถในการขโมยข้อมูล !!

พบ !! มัลแวร์ Saintstealer ที่ทำงานบน C# .NET แบบ 32 บิต ชื่อ “saintgang.exe” และ Prynt Stealer  ซึ่งมีความสามารถในการขโมยข้อมูลได้หลากหลาย เช่น คุกกี้ การถ่ายภาพหน้าจอ ชื่อผู้ใช้งานรวมถึงรหัสผ่านที่บันทึกไว้โดยอัตโนมัติที่จัดเก็บไว้ในเบราว์เซอร์เวอร์ชัน Chromium เช่น Google Chrome, Opera, Edge, Brave, Vivaldi และ Yandex เป็นต้น   มัลแวร์นี้มีความสามารถในการขโมย Authentication Tokens ของ Discord, ไฟล์ที่มีนามสกุล .txt, .doc และ .docx รวมถึง VimeWorld, Telegram และ VPN เช่น NordVPN, OpenVPN และ…
Read More

Microsoft เผยแพร่การแก้ไขช่องโหว่ของ Azure ที่อนุญาตให้มี RCE attacks

Microsoft ได้เผยแพร่การอัปเดตด้านความปลอดภัยเพื่อแก้ไขช่องโหว่ด้านความปลอดภัยที่ส่งผลต่อไปป์ไลน์ Azure Synapse และ Azure Data Factory ที่อาจอนุญาตให้ผู้โจมตีดำเนินการคำสั่งระยะไกลผ่านโครงสร้างพื้นฐาน Integration Runtime ช่องโหว่ (ติดตามในชื่อ CVE-2022-29972 และขนานนามว่า SynLapse โดย Orca Security Tzah Pahima) ได้รับการบรรเทาลงเมื่อวันที่ 15 เมษายน โดยไม่มีหลักฐานของการแสวงประโยชน์ก่อนที่จะมีการแก้ไข  พบช่องโหว่ในตัวเชื่อมต่อข้อมูล ODBC ของบริษัทอื่นที่ใช้เชื่อมต่อกับ Amazon Redshift ใน Integration Runtime (IR) ใน Azure Synapse Pipelines และ Azure Data Factory ช่องโหว่นี้อาจทำให้ผู้โจมตีสามารถดำเนินการคำสั่งจากระยะไกลผ่านโครงสร้างพื้นฐาน IR ได้ไม่จำกัดเพียงผู้เช่ารายเดียว  ไทม์ไลน์การเปิดเผยข้อมูล:  4 มกราคม – Orca…
Read More

ยูเครนพบ Stealer Malware ผ่านอีเมลฟิชชิ่ง ที่ใช้ข้อความเกี่ยวกับ การโจมตีด้วยสารเคมี

ทีมรับมือฉุกเฉินทางคอมพิวเตอร์ของยูเครน (CERT-UA) ออกมาเตือนการแพร่กระจายของ Jester Stealer Malware จำนวนมากผ่านอีเมลฟิชชิ่ง โดยใช้ข้อความเกี่ยวกับ การโจมตีด้วยสารเคมี ที่กำลังจะเกิดขึ้นตอนหลังเที่ยงคืน เพื่อทำให้ผู้ได้รับข้อความตกใจ และเปิดไฟล์แนบที่มี Malware   ในขณะสงครามระหว่างรัสเซียและยูเครนยังคงมีการโจมตีอย่างต่อเนื่อง และเริ่มใช้อาวุธที่ร้ายแรงมากยิ่งขึ้น ทำให้ชาวยูเครนอยู่ภายใต้ความกลัว ดังนั้นอีเมลฟิชชิ่งเกี่ยวกับ การโจมตีด้วยสารเคมี จึงไม่ถูกเพิกเฉยโดยชาวยูเครน   เนื้อหาจากอีเมลแจ้งว่า จะมีการใช้อาวุธเคมีตอนหลังเที่ยงคืน เพื่อไม่ให้ประชาชนตื่นตระหนก ทางการกำลังจัดการ โดยระบุสถานที่จัดเก็บอาวุธเคมี และศูนย์พักพิงพิเศษที่จะทำให้ปลอดภัย พร้อมเผยแพร่ แผนที่ความเสียหายทางเคมี ที่แนบมากับเอกสารในจดหมาย ซึ่งมีเอกสาร .XLS ที่มี Macro ที่เป็นอันตราย ดังนั้นหากไฟล์ Microsoft Office ถูกเปิดใช้งาน Payload จะรัน EXE ทำให้ผู้ไม่ประสงค์ดีสามารถ Remote จากระยะไกล และดำเนินการบนคอมพิวเตอร์  Payload คือ Jester Stealer Malware ซึ่งเป็นโทรจันขโมยข้อมูล…
Read More