Cybersecurity Threat Hunting Workshop

Cybersecurity Threat Hunting Workshop ฟรี ! ที่ไม่อยากให้คุณพลาด เรียนรู้การสืบค้น ค้นหา ตรวจจับภัยคุกคาม จากแหล่งข้อมูล ด้วยการใช้เครื่องมือต่างๆ ที่ให้คุณได้ลงมือปฏิบัติจริงผ่าน Cyber Range และสามารถเริ่มตรวจจับภัยคุกคามได้ด้วยตนเอง Workshop ครั้งนี้ ช่วยให้คุณเข้าถึงเเหล่งข้อมูลเกี่ยวกับด้านภัยคุกคาม และข้อมูลที่รั่วไหลจากทุกที่ ทำให้สามารถนำมาวิเคราะห์ เพื่อวางแนวทางการป้องกันและยกระดับความปลอดภัยขององค์กร ด้วยการลงมือปฏิบัติจริงจากหัวข้อ LAB ที่ทาง SOSECURE ได้นำมาให้ทกุคนได้ลงมือปฏิบัติจริงผ่าน Cyber Range ในวันที่ 9 สิงหาคม 2566 เวลา 13.30-15.00 น. ในรูปแบบ Online Live Session บรรยายโดย อ.วัชรพล วงศ์อภัย CEO / Founder SOSECURE co.,ltd Certificate CISSP…
Read More

Google เผยช่องโหว่ของ Android ที่ส่งผลให้ N-days มีความเสี่ยงเท่ากับ Zero-days 

Google ได้เผยแพร่รายงานช่องโหว่ Zero-days ประจำปี โดยนำเสนอสถิติการหาผลประโยชน์ที่เกิดขึ้นจากปี 2022 และเน้นย้ำปัญหาที่มีมานานบนแพลตฟอร์ม Android ซึ่งเพิ่มความปลอดภัยที่เข้มงวดขึ้น เพื่อป้องกันการโจมตี รายงานนี้เน้นให้ความสำคัญกับปัญหาของช่องโหว่ N-days  ในระบบปฏิบัติการ Android ที่ทำหน้าที่เหมือนกับช่องโหว่ Zero-days สำหรับผู้โจมตีที่ใช้ช่องโหว่นี้ในการโจมตีอุปกรณ์และระบบที่ยังไม่ได้รับการแก้ไข    ปัญหานี้เกิดจากความซับซ้อนของระบบ Android ที่มีขั้นตอนหลายขั้นตอนระหว่าง Google และผู้ผลิต Phone manufacturers ทำให้มีความแตกต่างมากในช่วงเวลาของการอัปเดตความปลอดภัยระหว่างรุ่นอุปกรณ์ที่แตกต่างกันและปัญหาอื่น ๆ  ช่องโหว่ Zero-days เป็นช่องโหว่ของซอฟต์แวร์ที่ทราบก่อนที่ผู้จำหน่ายจะรับรู้หรือแก้ไข  ทำให้สามารถโจมตีช่องโหว่ดังกล่าวได้ก่อนที่จะมีแพตช์ให้บริการ ในทางกลับกัน ช่องโหว่ N-days คือช่องโหว่ที่รู้จักในพื้นที่สาธารณะ ไม่ว่าจะมีแพตช์หรือไม่มีก็ตาม  ตัวอย่างเช่น หากมีช่องโหว่ใน Android ที่รู้จักก่อน Google จะเรียกว่า Zero-days อยู่ แต่เมื่อ Google ทราบเรื่องนี้แล้ว มันก็จะกลายเป็น N-days โดย…
Read More

VMware พบข้อผิดพลาด ที่เปิดเผยข้อมูล Credentials ของผู้ดูแลระบบ CF API บน Audit Logs 

VMware ได้แก้ไขช่องโหว่ที่ถูกนำไปใช้ ในการเปิดเผยข้อมูลบน VMware Tanzu Application Service for VMs (TAS for VMs) และ Isolation Segment โดยเกิดจากถูกขโมยข้อมูล Credentials ซึ่งได้มีการเปิดเผยผ่านระบบ Audit Logs  TAS (Tanzu Application Service) เป็นแพลตฟอร์มที่พัฒนาโดย VMware ที่ช่วยให้องค์กรจัดการ         แอปพลิเคชันได้อัตโนมัติ ทั้งระบบคลาวด์ภายในองค์กร หรือระบบคลาวด์ส่วนตัว และระบบคลาวด์สาธารณะ เช่น vSphere, AWS, Azure, GCP, OpenStack  VMware พบข้อผิดพลาดภายใต้รหัส CVE-2023-20891 ซึ่งเป็นช่องโหว่ ที่ทำให้ผู้ไม่ประสงค์ดีที่ไม่ได้รับอนุญาต สามารถโจมตีจากระยะไกล เพื่อเข้าถึงข้อมูล Credentials ของผู้ดูแลระบบ Cloud Foundry (CF) API                                …
Read More
Abyss Locker Ransomware

พบ Abyss Locker Ransomware บน Linux ที่กำหนดเป้าหมายไปยังเซิร์ฟเวอร์ VMware ESXi 

Abyss Locker เป็นการพัฒนาเครื่องมือเข้ารหัสข้อมูลเวอร์ชั่นล่าสุดบนระบบปฏิบัติการ Linux เพื่อกำหนดเป้าหมายไปยังแพลตฟอร์มเสมือน VMware ESXi ในการโจมตีองค์กรธุรกิจต่างๆ ซึ่งเมื่อองค์กรเปลี่ยนเป็นเซิร์ฟเวอร์เสมือน จะทำให้การจัดการทรัพยากรมีประสิทธิภาพในการกู้คืนความเสียหายที่ดีขึ้น              โดยกลุ่มผู้ไม่ประสงค์ดีได้สร้างเครื่องมือการเข้ารหัสข้อมูลที่เน้นการกำหนดเป้าหมายในการโจมตี   แพลตฟอร์มเสมือน VMware ESXi  การดำเนินการของ Ransomware ที่ใช้เครื่องมือการเข้ารหัสข้อมูลบน Linux โดยกำหนดเป้าหมาย ไปยัง VMware ESXi ได้แก่ Akira, Royal, BlackBasta, LockBit, BlackMatter, AvosLocker, REvil, HelloKitty, RansomEXX, และ Hive  Abyss Locker:  การดำเนินการ Ransomware ผู้ไม่ประสงค์ดี Abyss Locker ได้กำหนดเป้าหมายในการโจมตีระบบขององค์กรซึ่งจะขโมยข้อมูลที่สำคัญ เพื่อใช้ในการขโมยข้อมูล Double-Extortion และข้อมูลที่มีการเข้ารหัสบนเครือข่าย  จากนั้นข้อมูลที่ถูกขโมยจะถูกนำไปเผยแพร่ ถ้าหากไม่มีการชำระเงินค่าไถ่ ซึ่งผู้ไม่ประสงค์ดีจะสร้างเว็บไซต์ในการเผยแพร่ข้อมูลบนเว็บไซต์ Tor ใช้ชื่อว่า “Abyss-data”   ผู้ไม่ประสงค์ดีได้อ้างว่าได้โจมตีและขโมยข้อมูลของบริษัทอื่นๆ ซึ่งข้อมูลที่ขโมยมามีมากถึง 35 กิกะไบต์ถึง 700 กิกะไบต์ …
Read More
BlackByte 2.0

พบ BlackByte 2.0 Ransomware ที่มีความสามารถเจาะเข้าระบบ, เข้ารหัสข้อมูล และขู่เรียกร้องเงินค่าไถ่ในเวลาเพียง 5 วัน 

ทีมตอบสนองต่อเหตุการณ์ของ Microsoft หรือ Microsoft’s Incident Response Team           ได้สำรวจการโจมตีของ Ransomware ที่ชื่อ BlackByte 2.0 ทำให้พบความรวดเร็วที่น่ากลัวและลักษณะความเสียหายของการโจมตี  BlackByte 2.0 สามารถดำเนินกระบวนการโจมตีทั้งหมดตั้งแต่เข้าถึงระบบเบื้องต้นจนถึงการก่อให้เกิดความเสียหายได้ในเวลาเพียง 5 วันเท่านั้น ซึ่ง BlackByte 2.0 จะถูกใช้ในขั้นตอนสุดท้ายของการโจมตีโดยใช้คีย์ที่ประกอบด้วยตัวเลข 8 หลักในการเข้ารหัสข้อมูล  ในการดำเนินการโจมตีจะใช้ประโยชน์จากช่องโหว่ของเซิร์ฟเวอร์ Microsoft Exchange            ที่ยังไม่ได้รับการอัปเดตแก้ไขแพชต์ เป็นช่องโหว่ที่ช่วยให้แฮกเกอร์เข้าถึงระบบเครือข่ายเป้าหมายเบื้องต้นและเตรียมที่สำหรับกิจกรรมที่เป็นอันตราย อีกทั้ง BlackByte 2.0 ยังใช้เทคนิค                       Process Hollowin และการหลบเลี่ยงระบบตรวจจับความปลอดภัยเพื่อให้การเข้ารหัสประสบความสำเร็จ  นักวิจัยยังเผยว่า แฮกเกอร์จะเน้นการใช้ Cobalt Strike Beacons ที่สามารถช่วยสนับสนุนการดำเนินการ Command and Control Operations ได้ ส่งผลให้ผแฮกเกอร์มีทักษะหลากหลายมากขึ้นและทำให้เพิ่มความยากสำหรับองค์กรในการป้องกันและต่อต้านแฮกเกอร์ รวมไปถึงการใช้เครื่องมือ living-off-the-land…
Read More
ProxyJacking

พบแฮกเกอร์ใช้ ProxyJacking เพื่อใช้ประโยชน์จากแบนด์วิดท์ของเซิร์ฟเวอร์ SSH ที่ถูกโจมตี 

พบแฮกเกอร์ทำการโจมตีด้วย ProxyJacking แบบต่างๆ มีการกำหนดเป้าหมายไปที่การเจาะเซิร์ฟเวอร์ SSH ที่มีช่องโหว่ ซึ่งสร้างรายได้จากการใช้งาน Proxyware ที่ให้ค่าตอบแทนสำหรับการแบ่งปันแบนด์วิธที่ไม่ได้ใช้ โดยแฮกเกอร์จะใช้ SSH สำหรับการเข้าถึงระยะไกลและเรียกใช้สคริปต์ที่เป็นอันตรายเพื่อแอบอ้างเป็นเซิร์ฟเวอร์ของเหยื่อเพื่อเข้าสู่เครือข่ายพร็อกซี Peer-to-Peer (P2P) เช่น Peer2Proxy หรือ Honeygain  ในวันที่ 8 มิถุนายน Akamai ตรวจพบการโจมตีที่เชื่อมต่อ SSH จำนวนมากถูกสร้างขึ้นด้วย honeypots เมื่อเชื่อมต่อกับหนึ่งในเซิร์ฟเวอร์ SSH ที่มีช่องโหว่สำเร็จ แฮกเกอร์จะติดตั้งสคริปต์ Bash     ที่เข้ารหัสใน Base64 ซึ่งงสคริปต์นี้จะรวมระบบที่ถูกโจมตีไว้ในเครือข่าย Proxy ของ Honeygain      หรือ Peer2Profit นอกจากนี้ สคริปต์ยังสร้าง Container Environment โดยการดาวน์โหลดอิมเมจ Docker ของเครือข่าย Proxy ในขณะเดียวกันก็ขัดขวางการทำงานของ Container ตัวอื่น              …
Read More
RustBucket

พบ Malware ตัวใหม่ชื่อ RustBucket กำหนดเป้าหมายไปยังผู้ใช้ macOS 

RustBucket มีความสามารถในการฝังตัวบน macOS โดยใช้ประโยชน์จากโครงสร้างของระบบเครือข่ายแบบ Dynamic Network เพื่อควบคุมและใช้คำสั่งรวมถึงหลีกเลี่ยงการถูกตรวจจับโดย Security Software   RustBucket เป็นผลงานของผู้ไม่ประสงค์ดี BlueNoroff ซึ่งเป็นหนึ่งในสมาชิกของกลุ่ม Lazarus โดยเป็นหน่วยที่มีความเชี่ยวชาญในการ Hacking ที่อยู่ภายใต้การดูแลของ Reconnaissance General Bureau (RGB) ซึ่งเป็นหน่วยข่าวกรองหลักของประเทศเกาหลีเหนือ  มัลแวร์นี้ถูกค้นพบเมื่อเดือนเมษายน พ.ศ. 2566 โดย Jamf Threat Labs อธิบายว่าเป็นช่องโหว่ดังกล่าวเป็น Backdoor ของ AppleScript ที่สามารถเรียกข้อมูล Payload จากเซิร์ฟเวอร์ระยะไกลได้                                  โดย Second-stage ของ Malware ที่ถูกเขียนด้วยภาษา Swift ถูกออกแบบให้สามารถดาวน์โหลดข้อมูลจากเซิร์ฟเวอร์ Command-and-Control (C2) มาได้ โดยภาษาที่เขียนซึ่งเป็น Rust-based binary มีคุณสมบัติในการรวบรวมข้อมูล…
Read More
Andariel

พบมัลแวร์ตัวใหม่ชื่อ EarlyRAT ที่เชื่อมโยงกับกลุ่มแฮกเกอร์ Andariel ของเกาหลีเหนือ !! 

Andariel หรือที่รู้จักในชื่อ Stonefly เป็นส่วนหนึ่งของกลุ่มแฮกเกอร์ Lazarus ที่รู้กันว่า        ใช้ DTrack Modular Backdoor เพื่อรวบรวมข้อมูลจากระบบที่ถูกตกเป็นเหยื่อ เช่น ประวัติการท่องเว็บ, keylogging, ภาพหน้าจอ, กระบวนการทำงาน และอื่นๆ ซึ่งในขณะนี้มีส่วนเกี่ยวข้องกับ EarlyRAT      ที่ถูกนำมาใช้ประโยชน์โดยการใช้เพื่อรวบรวมข้อมูลระบบจากอุปกรณ์ที่ถูกเจาะและส่งไปยังเซิร์ฟเวอร์ C2  Kaspersky ได้ทำการวิเคราะห์การเชื่อมโยงระหว่าง Andariel และแรนซัมแวร์ Maui ที่เกิดขึ้น      ในรัสเซีย อินเดีย และเอเชียตะวันออกเฉียงใต้ จึงมีแนวโน้มว่า Andariel อาจมีเป้าหมายเป็นการสร้างรายได้จากการโจมตี   EarlyRAT ถูกค้นพบโดย Kaspersky ขณะทำการตรวจสอบแคมเปญที่เกี่ยวข้องกับ Andariel     ตั้งแต่ช่วงกลางปี 2022 ซึ่ง Andariel ใช้ประโยชน์จากช่องโหว่ในซอฟต์แวร์ Log4j โดยดาวน์โหลดเครื่องมือ  ที่มีอยู่ทั่วไป เช่น 3Proxy, Putty, Dumpert…
Read More