News

ผู้ไม่ประสงค์ดี AtlasCross ใช้ประโยชน์จากฟิชชิ่ง Red Cross เพื่อส่ง Backdoors สองตัว DangerAds และ AtlasAgent   การโจมตีเริ่มต้นจากเอกสาร Microsoft ที่เชื่อมโยงกับมาโคร เมื่อเปิดเอกสารจะทำการเรียกใช้มาโครที่เป็นอันตรายเพื่อฝังตัวเอง และขโมย metadata ของระบบไปยังเซิร์ฟเวอร์จากระยะไกล (data.vectorse [.]com) เป็นโดเมนย่อยของเว็บไซต์ที่ถูกต้องตามกฎหมายซึ่งเป็นของบริษัทวิศวกรรมและโครงสร้างที่ตั้งอยู่ในสหรัฐอเมริกา  นอกจากนี้จะทำการแตกไฟล์ KB4495667.pkg (ชื่อรหัส DangerAds) ต่อมาจะทำหน้าที่เป็นตัวโหลดเพื่อเปิด shellcode ที่นำไปสู่การปรับใช้ AtlasAgent ซึ่งเป็นมัลแวร์ C++ ที่สามารถรวบรวมข้อมูลระบบ การทำงานของ shellcode และการรันคำสั่งเพื่อรับ reverse shell รวมทั้งแทรกโค้ดลงในเธรดของกระบวนการที่ระบุ  ทั้ง AtlasAgent และ DangerAds มีฟีเจอร์การหลบเลี่ยงไว้เพื่อทำให้เครื่องมือรักษาความปลอดภัยตรวจพบได้น้อยลง  ปัจจุบัน AtlasCross มีขอบเขตที่ค่อนข้างจำกัด โดยเน้นไปที่การโจมตีแบบกำหนดโฮสต์เป้าหมายเฉพาะภายในโดเมนเครือข่าย  คำแนะนำ  อัปเดตระบบปฏิบัติการณ์และซอฟต์แวร์สม่ำเสมอ  ติดตั้งโปรแกรมป้องกันไวรัส …

Google กำหนด CVE ID ใหม่ (CVE-2023-5129) เกี่ยวกับช่องโหว่ด้านความปลอดภัยของ libwebp ที่ถูกโจมตีด้วย Zero-day และแพตช์เมื่อสองสัปดาห์ก่อน  นักวิจัย Citizen Lab เผย Zero-day เป็นสปายแวร์แบบกำหนดเป้าหมาย มักเชื่อมโยงกับผู้ไม่ประสงค์ดีที่ได้รับการสนับสนุนจากรัฐ โดยมุ่งเป้าไปที่บุคคลที่มีความเสี่ยงสูงเป็นหลัก เช่น นักข่าวและนักการเมืองฝ่ายค้าน  CVE-2023-5129 ซึ่งระบุว่าเป็นปัญหาร้ายแรงใน libwebp โดยมีระดับความรุนแรงสูงสุด 10/10 การเปลี่ยนแปลงนี้มีผลกระทบอย่างมีนัยสำคัญต่อโปรเจ็กต์อื่นๆ ที่ใช้ไลบรารีโอเพ่นซอร์ส libwebp  ข้อบกพร่องของ libwebp เกี่ยวข้องกับ Heap buffer overflow ใน WebP ซึ่งส่งผลกระทบต่อ Google Chrome เวอร์ชันก่อนหน้า 116.0.5845.187  ช่องโหว่นี้อยู่ภายในอัลกอริธึมการเข้ารหัส Huffman ที่ใช้โดย libwebp สำหรับการบีบอัดแบบไม่สูญเสียรายละเอียด และช่วยให้ผู้โจมตีสามารถรันการเขียนหน่วยความจำเกินขอบเขตโดยใช้หน้า HTML ที่ออกแบบมาเพื่อประสงค์ร้าย …

เว็บไซต์ Bitwarden ปลอมกำลังแพร่ตัวติดตั้งมัลแวร์ขโมยรหัสผ่านตัวใหม่ ZenRAT บนโอเพ่นซอร์ส โดยมัลแวร์จะถูกแพร่ไปยังผู้ใช้ Windows ผ่านทางเว็บไซต์ที่เลียนแบบไซต์ Bitwarden ในการหลอกล่อเหยื่อ           สำหรับวัตถุประสงค์ของ ZenRAT คือการรวบรวมข้อมูลเบราว์เซอร์และข้อมูลเข้าสู่ระบบร่วมกับรายละเอียดเกี่ยวกับเครื่องโฮสต์ที่ติดมัลแวร์ ซึ่งเป็นพฤติกรรมที่สอดคล้องกับโปรแกรมขโมยข้อมูล นอกจากนี้ ผู้ไม่ประสงค์ดีสามารถใช้รายละเอียดเพื่อสร้างลายนิ้วมือของระบบที่ถูกโจมตีซึ่งสามารถใช้เพื่อเข้าถึงบัญชีของเหยื่อได้   นักวิจัยด้านความปลอดภัยที่บริษัทความปลอดภัย Proofpoint ค้นพบ ZenRAT หลังจากได้รับตัวอย่างของมัลแวร์เมื่อเดือนสิงหาคมจาก Jérôme Segura ผู้อำนวยการภัยคุกคามสูงสุดที่ Malwarebytes  เว็บไซต์ Bitwarden ปลอมmujแพร่กระจายมัลแวร์มีความคล้ายคลึงกับ bitwarden.com จริงๆ              โดยมีชื่อโดเมนที่เลือกมาโดยเฉพาะเพื่อหลอกให้ผู้เยี่ยมชมเชื่อว่าพวกเขากำลังเข้าถึงแหล่งข้อมูลอย่างเป็นทางการ “bitwariden[.]com”  ภายในแพ็กเกจการติดตั้ง Bitwarden ปลอม นักวิจัย Proofpoint พบว่าไฟล์ปฏิบัติการ .NET ที่เป็นอันตรายเป็นโทรจันการเข้าถึงระยะไกล (Remote Access Trojan : RAT) ที่มีฟีเจอร์ในการขโมยข้อมูลซึ่งตอนนี้ติดตามในชื่อ ZenRAT เว็บไซต์ที่เป็นอันตรายจะให้แพ็กเกจ Bitwarden…

หน่วยงานความปลอดภัยและโครงสร้างพื้นฐานด้านความปลอดภัย (CISA) ซึ่งเป็นหน่วยงานความปลอดภัยหลักในสหรัฐฯ ได้ออกคำเตือนเกี่ยวกับช่องโหว่เก่าใน JBoss RichFaces ที่กำลังถูกใช้โจมตีในขณะนี้ ช่องโหว่นี้รู้จักในชื่อ CVE-2018-14667 ถูกเพิ่มในรายการช่องโหว่ที่ถูกใช้ประโยชน์ (KEV) ของ CISA                เมื่อวันพฤหัสบดีที่ผ่านมา  หน่วยงานรัฐบาลถูกแนะนำให้ดำเนินการป้องกันหรือหยุดใช้ผลิตภัณฑ์ที่ได้รับผลกระทบภายในวันที่ 19 ตุลาคม  JBoss RichFaces เป็นโครงการโดย Red Hat JBoss ที่นำเสนอเฟรมเวิร์กส่วนประกอบ UI ขั้นสูงสำหรับการรวมความสามารถของ Ajax เข้ากับแอปพลิเคชันทางธุรกิจโดยใช้ JavaServer Faces (JSF) แต่โครงการนี้      ถูกยุบอย่างเป็นทางการในเดือนมิถุนายน 2016  ช่องโหว่ CVE-2018-14667 ถูกตรวจพบครั้งแรกในปี 2018 ในเวลานั้น Red Hat ได้ยอมรับว่าผลิตภัณฑ์หลายรายการของบริษัทได้รับผลกระทบและได้ปล่อยแพตช์เพื่อแก้ไขปัญหานี้ ช่องโหว่นี้ถือว่าเป็น ‘Critical’                และมีลักษณะเฉพาะคือการแทรกภาษาคำสั่ง (Expression Language Injection) ซึ่งอนุญาตให้ผู้ไม่ประสงค์ดีจากระยะไกลที่ไม่ผ่านการตรวจสอบสิทธิ์สามารถเรียกใช้โค้ดที่กำหนดเองได้  แม้จะมีการพิสูจน์แนวคิด…

นักวิจัยด้านความปลอดภัยพบซอฟต์แวร์มัลแวร์บริการ (Malware-as-a-Service หรือ MaaS) ใหม่              ที่มีชื่อว่า ‘BunnyLoader’ ถูกโฆษณาบนหลายฟอรัมของแฮกเกอร์เป็นเป็นตัวโหลดแบบไร้ไฟล์ที่สามารถขโมยและแทนที่เนื้อหาในคลิปบอร์ดของระบบได้ ซอฟต์แวร์มัลแวร์นี้กำลังพัฒนาอย่างรวดเร็ว โดยมีการอัปเดตเพิ่มคุณลักษณะใหม่และแก้ไขบั๊กต่าง ๆ อย่างต่อเนื่อง ปัจจุบัน BunnyLoader นี้สามารถดาวน์โหลดและ             ดำเนินการเพย์โหลด, บันทึกคีย์, ขโมยข้อมูลที่เป้นความลับและสกุลเงินดิจิทัล และดำเนินการคำสั่งระยะไกลได้  BunnyLoader เวอร์ชันแรกเปิดตัวเมื่อวันที่ 4 กันยายน นับตั้งแต่นั้นเป็นต้นมา นักพัฒนาได้เพิ่มฟังก์ชันเพิ่มเติม เช่น กลไกป้องกันการตรวจจับหลายรูปแบบและความสามารถในการดักข้อมูลเพิ่มเติม โดยการเผยแพร่เวอร์ชันที่สองที่สำคัญต่อไปเมื่อใกล้จะจบเดือนนี้ นอกจากนี้ นักวิจัยจาก Zscaler ยังได้สังเกตว่า BunnyLoader กำลังได้รับความนิยมอย่างรวดเร็วในหมู่อาชญากรไซเบอร์ เนื่องจากเป็นมัลแวร์ที่มีฟีเจอร์มากมายในราคาที่ถูก  Command and Control Panel ของ BunnyLoader ช่วยให้ผู้ไม่ประสงค์ดีที่เพิ่งเริ่มต้น สามารถตั้งค่าเพย์โหลดขั้นที่สอง, เปิดใช้งานการล็อกคีย์, การขโมยข้อมูลรับรอง, การจัดการคลิปบอร์ด (สำหรับการขโมยสกุลเงินดิจิทัล) และเรียกใช้คำสั่งระยะไกลบนอุปกรณ์ที่ติดไวรัส  ในรายงานล่าสุดเผยว่า หลังจากถูกเรียกใช้งานบนอุปกรณ์ที่ถูกโจมตี…

ช่องโหว่ Linux ใหม่ที่รู้จักกันในชื่อ ‘Looney Tunables’ ช่วยให้ผู้ไม่ประสงค์ดี สามารถรับสิทธิ์ root โดยใช้ประโยชน์จาก Buffer Overflow ในตัวโหลดไดนามิก ld.so ของ GNU C Library ที่เป็นไลบรารี C ของระบบ GNU และอยู่ในระบบที่ใช้เคอร์เนล Linux ส่วนใหญ่ โดยมีฟังก์ชันการทำงานที่จำเป็น รวมถึงการเรียกของระบบ เช่น Open, Malloc, Printf, Exit และอื่นๆ ที่จำเป็นสำหรับการทำงานของโปรแกรมทั่วไป ตัวโหลดไดนามิกภายใน glibc มีความสำคัญสูงสุด เนื่องจากมีหน้าที่ในการเตรียมโปรแกรมและดำเนินการบนระบบ Linux ที่ใช้ glibc           หน่วยวิจัยภัยคุกคาม Qualys พบช่องโหว่ CVE-2023-4911 ที่เปิดตัวในเดือนเมษายน 2021 ผ่านการเผยแพร่ใน glibc เวอร์ชัน…

บริษัท Atlassian ของออสเตรเลียปล่อยอัปเดตความปลอดภัยฉุกเฉินเพื่อแก้ไขช่องโหว่แบบ Zero-day ที่มีความรุนแรงสูงสุดในซอฟต์แวร์ Confluence Data Center and Server ช่องโหว่ CVE-2023-22515 ส่งผลต่อ Confluence Data Center and Server 8.0.0 หรือใหม่กว่า และสามารถโจมตีจากระยะไกลได้ โดยมีความซับซ้อนต่ำจึงไม่จำเป็นต้องมีการโต้ตอบจากผู้ใช้ ผู้ที่ใช้ Confluence Data Center and Server เวอร์ชันที่มีช่องโหว่ควรอัปเกรดอินสแตนซ์เป็นเวอร์ชันที่ได้รับการแพทช์แล้ว (เช่น 8.3.3 หรือใหม่กว่า 8.4.3 หรือใหม่กว่า 8.5.2 หรือใหม่กว่า) นอกจากการอัปเกรดและการใช้มาตรการบรรเทาผลกระทบแล้ว Atlassian ยังกระตุ้นให้ผู้ใช้ปิดอินสแตนซ์ที่ได้รับผลกระทบหรือแยกอินสแตนซ์เหล่านั้นออกจากการเข้าถึงอินเทอร์เน็ต หากผู้ใช้ไม่สามารถทำการแพตช์ทันทีได้ ผู้ดูแลระบบสามารถลบเวกเตอร์การโจมตีที่เกี่ยวข้องกับช่องโหว่นี้ได้โดยป้องกันการเข้าถึงตำแหน่งข้อมูล /setup/* บนอินสแตนซ์ Confluence สัญญาณที่บ่งบอกถึงการถูกละเมิด มีสมาชิกที่ไม่ทราบตัวตนในกลุ่ม confluence-administrator บัญชีผู้ใช้ที่ถูกสร้างขึ้นใหม่โดยไม่ได้แจ้งให้ทราบ ร้องขอการเข้าถึง /setup/*.action…

สํานักงานรักษาความปลอดภัยทางไซเบอร์ และโครงสร้างพื้นฐานของสหรัฐอเมริกา (CISA) ประสานกับหน่วยงานของรัฐบาลกลาง เพื่อแก้ไขช่องโหว่ด้านความปลอดภัยที่ถูกละเมิด ซึ่งเป็นส่วนหนึ่งของการหาประโยชน์จาก iMessage แบบ Zero-day เพื่อติดกับ iPhone ด้วยสปายแวร์ Pegasus ของ NSO Group  รายการอุปกรณ์ที่ได้รับผลกระทบทั้งรุ่นเก่าและรุ่นใหม่ :  iPhone 8 และใหม่กว่า  iPad Pro (ทุกรุ่น), iPad Air รุ่นที่ 3 หรือใหม่กว่า, iPad รุ่นที่ 5 หรือใหม่กว่า และ iPad mini รุ่นที่ 5 หรือใหม่กว่า  Mac ที่ใช้ macOS Ventura  Apple Watch Series 4 หรือใหม่กว่า  Apple แก้ไข…

Mozilla อัปเดตแพตช์เพื่อแก้ไขช่องโหว่ Zero-day ซึ่งส่งผลกระทบต่อเว็บเบราว์เซอร์ Firefox และไคลเอนต์อีเมล Thunderbird CVE-2023-4863 เป็นช่องโหว่ Buffer Overflow ในไลบรารีโค้ด WebP (libwebp) ซึ่งอาจส่งผลให้เกิดการ Arbitrary Code Execution  Mozilla จัดการกับช่องโหว่ Zero-day ที่ถูกโจมตีใน Firefox 117.0.1, Firefox ESR 115.2.1, Firefox ESR 102.15.1, Thunderbird 102.15.1 และ Thunderbird 115.2.2 โดยการอัปเดตแพตช์  ดังนั้นขอแนะนำให้ผู้ใช้ติดตั้ง Firefox และ Thunderbird เวอร์ชันอัปเดต เพื่อปกป้องระบบของตนจากการโจมตีที่อาจเกิดขึ้น นอกจากนี้ Mozilla เปิดเผยในคำแนะนำในปัจจุบันว่าช่องโหว่ CVE-2023-4863 ยังส่งผลกระทบต่อซอฟต์แวร์อื่นๆ ที่ใช้เวอร์ชันไลบรารีโค้ด WebP ที่มีช่องโหว่ด้วย  โดยทั่วไปการโจมตีเหล่านี้กำหนดเป้าหมายไปยังเหยื่อที่มีความเสี่ยงสูงรวมถึงนักข่าว นักการเมืองฝ่ายค้าน  …

ช่องโหว่นี้ส่งผลกระทบต่อ Cisco BroadWorks Application Delivery Platform และ  Cisco BroadWorks Xending Services Platform ซึ่งอาจทำให้ผู้ไม่ประสงค์ดีสามารถโจมตีด้วยวิธีการ Remote Attackers และ Bypass Authentication  Cisco BroadWorks เป็นแพลตฟอร์มบริการการสื่อสารบนคลาวด์สำหรับธุรกิจและผู้บริโภค   ช่องโหว่ CVE-2023-20238 ส่งผลให้ผู้ไม่ประสงค์ดีสามารถ Execute commands, เข้าถึงข้อมูลที่เป็นความลับ และเปลี่ยนแปลงการตั้งค่าผู้ใช้ได้ นอกจากนี้การใช้ประโยชน์จากช่องโหว่ขึ้นอยู่กับระดับสิทธิ์ของบัญชีปลอมแปลง  ช่องโหว่ดังกล่าวส่งผลกระทบต่อ Cisco Application Delivery Platform และ BroadWorks Xened Services Platform หากแอปใดแอปหนึ่งต่อไปนี้เปิดใช้งานอยู่:  AuthenticationService  BWCallCenter  BWReceptionist  CustomMediaFilesRetrieval  ModeratorClientApp  PublicECLQuery  PublicReporting  UCAPI  Xsi-Actions  Xsi-Events …