News

Microsoft กล่าวว่าผู้ไม่ประสงค์ดี Storm-0558 ขโมย Signing Key เพื่อใช้ในการโจมตีบัญชีอีเมล ของรัฐบาลจาก Windows Crash Dump   ผู้ไม่ประสงค์ดีใช้ MSA key ที่ถูกขโมยไปเพื่อโจมตี Exchange Online และ Azure Active Directory (AD) ขององค์กร รวมถึงหน่วยงานรัฐบาลในสหรัฐอเมริกา เช่น กระทรวงการต่างประเทศและกระทรวงพาณิชย์ของสหรัฐอเมริกา  การโจมตีใช้ประโยชน์จากช่องโหว่ในการตรวจสอบความถูกต้องแบบ Zero-day ที่ถูกอัปเดตแพทช์แล้วใน GetAccessTokenForResourceAPI ซึ่งช่วยให้ผู้ไม่ประสงค์ดีสามารถปลอมแปลง Access Tokens และปลอมแปลงเป็นบัญชีภายในองค์กรเป้าหมายได้  Microsoft ตรวจสอบการโจมตีของ Storm-0558 พบว่า MSA key รั่วไหลไปยัง Crash Dump หลังจากระบบ Consumer Signing เกิดการขัดข้องในเดือนเมษายน 2021  ผู้ไม่ประสงค์ดีพบ key หลังจากโจมตีบัญชีบริษัทของวิศวกร…

นักวิจัยใช้ประโยชน์จากช่องโหว่ในรูปแบบการเข้ารหัสของแรนซัมแวร์ Key Group ในการพัฒนาเครื่องมือถอดรหัสที่ช่วยให้เหยื่อบางรายกู้คืนไฟล์ได้ฟรี  ตัวถอดรหัสนี้สร้างขึ้นโดยผู้เชี่ยวชาญจากบริษัทข่าวกรองภัยคุกคาม EclecticIQ และใช้งานได้กับมัลแวร์เวอร์ชันต่างๆ ที่สร้างขึ้นเมื่อต้นเดือนสิงหาคม นอกจากนี้นักวิจัยกล่าวว่ารหัสผ่านได้มาจากคีย์ที่ใช้ Password-Based Key Derivation Function 2 (PBKDF2) พร้อมกับ Fixed salt  Key Group เป็นกลุ่มผู้ไม่ประสงค์ดีที่มีการเริ่มต้นการโจมองค์กรต่างๆตีเมื่อ ต้นปี 2023 โดยขโมยข้อมูลจากระบบที่ถูกบุกรุก จากนั้นใช้ช่องทาง Telegram ส่วนตัวเพื่อเจรจาการชำระค่าไถ่  Key Group จะลบไฟล์ต้นฉบับจากระบบของเหยื่อหลังจากการเข้ารหัส และเพิ่มนามสกุลไฟล์ .KEYGROUP777TG ให้กับรายการทั้งหมด  ผู้ไม่ประสงค์ดีใช้ไบนารีที่อยู่นอก Windows หรือที่เรียกว่า LOLBins เพื่อลบ Volume Shadow Copy ดังนั้นจึงป้องกันการกู้คืนระบบและข้อมูลโดยไม่ต้องจ่ายค่าไถ่ นอกจากนี้ มัลแวร์ยังเปลี่ยนแปลงที่อยู่โฮสต์ของผลิตภัณฑ์ป้องกันไวรัสที่ทำงานบนระบบที่ถูกบุกรุกเพื่อป้องกันไม่ให้ดึงข้อมูลอัปเดต  วิธีใช้ตัวถอดรหัส  ตัวถอดรหัสแรนซัมแวร์กลุ่ม Key Group เป็นสคริปต์ Python…

กลุ่มผู้ไม่ประสงค์ดีได้อัปโหลดอุปกรณ์ที่เป็นอันตรายไปยัง PyPI (Python Package Index) โดยหนึ่งในนั้นเป็นโมดูลตัวเชื่อมต่อ VMware vSphere ชื่อ vConnector ซึ่งอุปกรณ์ดังกล่าวได้รับการอัปโหลดเมื่อต้นเดือนสิงหาคม โดยหนึ่งในนั้นชื่อ VMConnect และมีการกำหนดเป้าหมายไปที่ผู้เชี่ยวชาญด้านไอทีที่กำลังมองหาเครื่องมือการจำลองเสมือน VMConnect (ดาวน์โหลด 237 ครั้ง) และยังมีการดาวน์โหลดอีกสองอุปกรณ์ที่มีรหัสเดียวกันซึ่งเผยแพร่ด้วยชื่อ ethter และ quantiumbase อุปกรณ์เพิ่มเติมที่เป็นส่วนหนึ่งของ VMConnect เดียวกัน ได้แก่ tablediter (ดาวน์โหลด 736 ครั้ง), request-plus (ดาวน์โหลด 43 ครั้ง) และ requestspro (ดาวน์โหลด 341 ครั้ง) ซึ่งอุปกรณ์แรกจะเป็นเครื่องมือที่ใช้ในการช่วยแก้ไขตาราง และอีกสองอุปกรณ์จะปลอมแปลงเป็น Python ที่ใช้สำหรับสร้างคำขอ HTTP โดยอุปกรณ์ที่ปลอมแปลงจะมีโครงสร้างไฟล์และเนื้อหาที่แตกต่างกับต้นฉบับน้อยที่สุด โดยการแก้ไขส่วนใหญ่จะเกี่ยวข้องกับไฟล์ init.py ซึ่งจะเรียกใช้ฟังก์ชันที่เป็นอันตรายจาก cookies.py  การค้นพบไฟล์…

หน่วยงานกำกับดูแลทางการเงินของรัฐบาลกลางเยอรมัน (BaFin) ถูกโจมตีแบบ DDoS อย่างต่อเนื่อง และส่งผลกระทบต่อเว็บไซต์ของหน่วยงาน ซึ่ง BaFin หน่วยงานกำกับดูแลทางการเงินของเยอรมนี เป็นส่วนหนึ่งของกระทรวงการคลัง มีหน้าที่รับผิดชอบในการกำกับดูแลธนาคาร 2,700 แห่ง ผู้ให้บริการทางการเงิน 800 แห่ง และผู้ให้บริการประกันภัย 700 แห่ง หน่วยงานกํากับดูแลเป็นที่รู้จักจากบทบาทการบังคับใช้กฎหมายในเยอรมนี และต่างประเทศ ในช่วงไม่กี่ปีที่ผ่านมาได้มีการกําหนดค่าปรับ 10 ล้านดอลลาร์ และ 5 ล้านดอลลาร์กับ Deutsche Bank และ Bank of America ตามลําดับสําหรับการละเมิดต่างๆ  หน่วยงานของเยอรมันแจ้งว่าได้ใช้มาตรการป้องกันด้านความปลอดภัย และมาตรการป้องกันที่เหมาะสมทั้งหมดเพื่อปกป้องการถูกโจมตีจากผู้ไม่ประสงค์ดี ส่วนหนึ่งของมาตรการคือ การนําเว็บไซต์สาธารณะของ BaFin ไปที่ bafin.de และองค์กรยังมั่นใจว่าระบบอื่น ๆ ทั้งหมดซึ่งมีความสําคัญจะยังสามารถทํางานได้โดยไม่มีข้อจํากัด แม้ว่าผู้ใช้บางคนอาจสามารถเข้าถึงเว็บไซต์ของ BaFin ได้เป็นระยะ ๆ แต่ส่วนใหญ่จะยังไม่สามารถเข้าใช้งานได้ BaFin…

Leaseweb หนึ่งในผู้ให้บริการคลาวด์และโฮสติ้งที่ใหญ่ที่สุดในโลก ได้แจ้งให้ผู้ใช้ทราบว่ากำลังดำเนินการกู้คืนระบบที่ถูกปิดใช้งานหลังจากมีการละเมิดความปลอดภัย ซึ่งในอีเมลที่ส่งถึงลูกค้าเมื่อวันพฤหัสบดี ผู้ให้บริการคลาวด์กล่าวว่าได้ค้นพบสัญญาณของความผิดปกติในบางส่วนของโครงสร้างพื้นฐาน ขณะที่กำลังมีการตรวจสอบปัญหาการหยุดทำงานของพอร์ทัลลูกค้า  Leaseweb ทำการลบระบบที่ได้รับผลกระทบบางส่วนออก เพื่อลดความเสี่ยงด้านความปลอดภัย และกล่าวว่าขณะนี้ทีมงานกำลังทำงานเพื่อกู้คืนระบบที่ได้รับผลกระทบจากเหตุการณ์นี้ หลังจากเหตุการณ์นี้ Leaseweb ได้ว่าจ้างบริการรักษาความปลอดภัยทางไซเบอร์ Digital Forensics and Incident Response (DFIR) เพื่อตรวจสอบเหตุการณ์ด้านความปลอดภัยและควบคุมการโจมตี “เพื่อให้แน่ใจว่าบริการของ Leaseweb ปลอดภัยและเชื่อถือได้ จึงได้จัดทำแผนการป้องกันที่แข็งแกร่งและร่วมมืออย่างใกล้ชิดกับบริษัทรักษาความปลอดภัยทางไซเบอร์ที่น่าเชื่อถือ” Leaseweb กล่าวเสริม  Ref: https://www.bleepingcomputer.com/news/security/leaseweb-is-restoring-critical-systems-after-security-breach/ 

รหัสช่องโหว่ Proof-of-concept ได้รับการเผยแพร่ต่อสาธารณะสําหรับช่องโหว่ในไฟร์วอลล์ Juniper SRX ซึ่งเมื่อเชื่อมต่อแล้ว จะสามารถอนุญาตให้ผู้ไม่ประสงค์ดีที่ไม่ผ่านการตรวจสอบสิทธิ์สามารถดำเนินการเรียกใช้โค้ดจากระยะไกลใน JunOS ของ Juniper บนอุปกรณ์ที่ไม่ได้แพตช์ได้ Juniper ได้เปิดเผย ช่องโหว่ที่ความรุนแรงปานกลางสี่ตัวในสวิตช์ EX และไฟร์วอลล์ SRX และเปิดตัวแพตช์ความปลอดภัย ด้วยคําขอเฉพาะที่ไม่ต้องการการตรวจสอบสิทธิ์ ผู้ไม่ประสงค์ดีจึงสามารถอัปโหลดไฟล์ได้โดยไม่ต้องได้รับอนุญาตผ่าน  J-Web โดยจะส่งผลกระทบต่อความสมบูรณ์ของระบบไฟล์ ซึ่งอาจอนุญาตให้มีการเชื่อมต่อกับช่องโหว่อื่นๆ และทำการรันโค้ดบนอุปกรณ์จากระยะไกลได้   ผู้ดูแลระบบจะได้รับการกระตุ้นให้ใช้แพตช์ของ Juniper หรืออัปเกรด JunOS เป็นรุ่นล่าสุด หรือ อย่างน้อยควรใช้มาตรการบรรเทาผลกระทบที่แนะนําโดยผู้ขายโดยเร็วที่สุด โดยผู้ใช้งานอุปกรณ์ที่ได้รับผลกระทบจะถูกกระตุ้นให้อัปเดตเป็นเวอร์ชันที่แพตช์แล้วโดยเร็วที่สุด และ/หรือ ปิดใช้งานการเข้าถึงอินเทอร์เฟซ J-Web หากเป็นไปได้  ในเดือนมิถุนายน CISA ได้ออกคําสั่งปฏิบัติการที่มีผลผูกพัน (BOD) ฉบับแรกของปี โดยสั่งให้หน่วยงานของรัฐบาลกลางสหรัฐฯ รักษาความปลอดภัยของอุปกรณ์เครือข่ายที่มีการเปิดเผยทางอินเทอร์เน็ต หรือ กําหนดค่าผิดพลาด เช่น ไฟร์วอลล์ของ Juniper และอุปกรณ์สวิตช์ภายในสองสัปดาห์หลังจากการค้นพบ  Ref: https://www.bleepingcomputer.com/news/security/exploit-released-for-juniper-firewall-bugs-allowing-rce-attacks/ 

มัลแวร์ DreamBus botnet เวอร์ชันใหม่ใช้ประโยชน์จากช่องโหว่ Remote Code Execution  ในเซิร์ฟเวอร์ RocketMQ เพื่อแพร่ไวรัสไปยังอุปกรณ์  CVE-2023-33246 เป็นช่องโหว่การตรวจสอบสิทธิ์ที่ส่งผลกระทบต่อ RocketMQ เวอร์ชัน 5.1.0 และ เก่ากว่าทำให้ผู้ไม่ประสงค์ดีสามารถ Remote Command Execution ได้  Juniper Threat Labs กล่าวว่า พบการโจมตี DreamBus ครั้งแรกที่ใช้ประโยชน์จากช่องโหว่  CVE-2023-33246 ในต้นเดือนมิถุนายน 2023 โดยกำหนดเป้าหมายไปที่พอร์ตเริ่มต้น 10911 ของ RocketMQ และพอร์ตอื่นๆ อีก 7 พอร์ต  ผู้ไม่ประสงค์ดีใช้เครื่องมือ ‘interactsh’ open-source เพื่อระบุเวอร์ชันซอฟต์แวร์ที่ทำงานบนเซิร์ฟเวอร์และทำการหาช่องโหว่ที่อาจใช้ประโยชน์ได้  นักวิจัยยังพบผู้ไม่ประสงค์ดีดาวน์โหลด Bash Script ชื่อ ‘reketed’ จาก Tor Proxy…

CVE-2023-38831 เป็นช่องโหว่แบบ Zero-day ของ WinRar ซึ่งถูกใช้ในการติดตั้งมัลแวร์โดยสามารถสร้างไฟล์ .RAR และ .ZIP ที่เป็นอันตราย เช่น รูปภาพ JPG (.jpg) ไฟล์ข้อความ (.txt) หรือเอกสาร PDF (.pdf) จากนั้นเมื่อคลิกเปิดไฟล์ผู้ไม่ประสงค์ดีสามารถขโมย Accounts ของ Online Cryptocurrency trading ได้   ช่องโหว่นี้ถูกพบตั้งแต่เดือนเมษายน 2566 ซึ่งช่วยกระจายมัลแวร์ต่างๆ รวมถึง DarkMe, GuLoader และ Remcos RAT  นักวิจัยจาก Group-IB กล่าวว่าพบ WinRAR Zero-day ที่ใช้ในการกำหนดเป้าหมายไปยัง Cryptocurrency และฟอรัมการซื้อขายหุ้น   โพสต์ในฟอรัมเหล่านี้มีลิงก์ไปยังไฟล์ WinRAR ZIP หรือ RAR ที่สร้างขึ้นเป็นพิเศษซึ่งแฝงตัวเป็น ผู้รวมกลยุทธ์การซื้อขาย ซึ่งข้อมูลประกอบด้วย…

Ivanti ได้ออกมาเตือนถึงช่องโหว่ Zero-Day ใหม่ (CVE-2023-38035) ที่ส่งผลกระทบต่อ Ivanti Sentry และยังถูกนำไปใช้ประโยชน์ในด้านของความปลอดภัยมากขึ้น โดยมี CVSS score : 9.8 ซึ่งถ้าหากมีการโจมตี ช่องโหว่นี้จะทำให้ผู้ไม่ประสงค์ดีสามารถเข้าถึง API ที่ใช้ในการกำหนดค่าของ Ivanti Sentry บนพอร์ทัลของผู้ดูแลระบบได้ (Port 8443 โดยทั่วไปคือ MICS) แต่ถึงจะมีคะแนน CVSS ที่สูงมาก ก็ยังมีความเสี่ยงในการถูกโจมตีต่ำ สำหรับผู้ใช้ที่ไม่มีการเปิดเผย Port 8443 กับอินเทอร์เน็ต   การใช้ประโยชน์จากช่องโหว่นี้จะช่วยให้ผู้ไม่ประสงค์ดีสามารถอ่าน และเขียนไฟล์ไปยังเซิร์ฟเวอร์ Ivanti Sentry และยังสามารถดำเนินการใช้คำสั่งของระบบปฏิบัติการในฐานะผู้ดูแลระบบ ผ่านการใช้ super user do (sudo) ได้ และ CVE-2023-38035 ยังสามารถใช้ได้หลังจากมีการใช้ประโยชน์จาก CVE-2023-35078 และ CVE-2023-35081 ในช่วงเวลาที่ Port…

กลุ่มผู้ไม่ประสงค์ดีที่อยู่เบื้องหลัง Raccoon Stealer ได้มีการโจมตีอีกครั้งพร้อมกับมัลแวร์เวอร์ชันใหม่ 2.3.0 ซึ่งยังคงมีความสามารถในการขโมยข้อมูล เพิ่มเติมคือสามารถทำการโจมตีแบบหลบเลี่ยงการตรวจจับ รวมไปถึงคุณสมบัติต่อไปนี้ :  แผงควบคุมขั้นสูง ที่จะช่วยให้ผู้ไม่ประสงค์ดีสามารถขโมยข้อมูลได้อย่างง่ายดาย  มีการเพิ่มระบบใหม่เพื่อตรวจจับการกระทำที่ผิดปกติเช่นการเข้าถึงหลายๆ ครั้งจากที่อยู่ IP เดียวกัน ซึ่งในกรณีดังกล่าวระบบจะทำการบล็อกหรือลบส่วนที่เกี่ยวข้องกับกิจกรรมนั้นๆ และ อัปเดตข้อมูลบน client pod แต่ละรายการโดยอัตโนมัติ  ในเดือนมีนาคม 2022 Raccoon Stealer ได้หยุดการดําเนินงานเนื่องจากมีการสูญเสียนักพัฒนาในระหว่างสงครามรัสเซีย – ยูเครน เป็นผลให้มัลแวร์ถูกแทนที่ด้วยโทรจัน Dridex ซึ่งเป็นส่วนหนึ่งในการโจมตี Raccoon Stealer เป็นมัลแวร์อเนกประสงค์ที่ทำให้ผู้ไม่ประสงค์ดีสามารถทำการโจมตีได้หลากหลาย รวมถึงการทำ BEC และ cyberespionage และเพื่อที่จะป้องกันตัวเองจากภัยคุกคามดังกล่าว จึงจําเป็นจะต้องใช้ตัวจัดการรหัสผ่านแทนการจัดเก็บข้อมูลประจําตัวบนเบราว์เซอร์ ซึ่งขอแนะนําให้บังคับใช้ MFA ในบัญชีและแอปพลิเคชันต่างๆ เนื่องจากเป็นการเพิ่มความปลอดภัยอีกขั้นนหนึ่ง องค์กรต่างๆ จะต้องบังคับใช้แนวทางปฏิบัติที่ดีที่สุด รวมถึงการควบคุมความปลอดภัยของอีเมลและการอัปเดตซอฟต์แวร์เพื่อให้ปลอดภัย  Ref : https://cyware.com/news/raccoon-stealer-returns-with-new-evasion-capabilities-97d3db9b