General

Citrix ShareFile

CISA เตือนช่องโหว่ของ Citrix ShareFile ที่ถูกนำไปใช้ในการโจมตี 

0 CommentsNews
CISA เตือนช่องโหว่ CVE-2023-24489 ซึ่งเป็นช่องโหว่ในการถ่ายโอนไฟล์ของ Citrix ShareFile ตกเป็นเป้าหมายโดยผู้ไม่ประสงค์ดี  Citrix ShareFile เป็นโซลูชันการจัดเก็บไฟล์บนคลาวด์ SaaS ที่มีการจัดการซึ่งช่วยให้ลูกค้าและพนักงานสามารถอัปโหลดและดาวน์โหลดไฟล์ได้อย่างปลอดภัย  เมื่อวันที่ 13 มิถุนายน 2023 Citrix ได้เผยแพร่คำแนะนำเกี่ยวกับช่องโหว่ในโซนพื้นที่เก็บข้อมูล ShareFile นั่นก็คือ CVE-2023-24489 ซึ่งเป็นช่องโหว่ที่ทำให้ผู้ไม่ประสงค์ดีที่ไม่ผ่านการตรวจสอบสิทธิ์สามารถโจมตีโซนพื้นที่เก็บข้อมูลที่จัดการโดยลูกค้าได้  การใช้ช่องโหว่นี้ ผู้ไม่ประสงค์ดีสามารถอัปโหลดเว็บเชลล์ไปยังอุปกรณ์เพื่อให้เข้าถึงพื้นที่เก็บข้อมูลและไฟล์ทั้งหมดได้อย่างเต็มที่  กลุ่มผู้ไม่ประสงค์ดี Clop Ransomware เป็นกลุ่มที่ใช้ช่องโหว่ประเภทนี้เป็นพิเศษ โดยใช้ช่องโหว่เหล่านี้ในการโจมตีและการโจรกรรมข้อมูลตั้งแต่ปี 2021 ซึ่งใช้ประโยชน์จากช่องโหว่ Zero-day ในโซลูชัน SolarWinds Serv-U, GoAnywhere MFT และล่าสุดคือการโจมตีครั้งใหญ่บนเซิร์ฟเวอร์ MOVEit Transfer  GreyNoise พบว่ามีการใช้ประโยชน์จากช่องโหว่หรือตรวจสอบว่าเซิร์ฟเวอร์ ShareFile มีความเสี่ยงหรือไม่จากทั้ง 72 IP โดยส่วนใหญ่มาจากเกาหลีใต้และประเทศอื่นๆ ในฟินแลนด์ สหราชอาณาจักร และสหรัฐอเมริกา  …
Read More
McAfee ค้นพบแอป Android ที่เป็นอันตราย

แอปพลิเคชันบน Google Play Store ที่มีการติดตั้ง 2.5 ล้านครั้ง โหลดโฆษณาเมื่อปิดหน้าจอ 

0 CommentsNews
ทีมวิจัยอุปกรณ์เคลื่อนที่ของ McAfee ค้นพบแอป Android ที่เป็นอันตรายและรายงานให้ Google ทราบ เนื่องจากละเมิดนโยบายของ Google Play Store และในภายหลัง Google ได้ลบแอปพลิเคชันออกจากร้านค้าทางการของ Android   แอปพลิเคชันเหล่านี้ หลักๆเป็นแอปพลิเคชันสตรีมมิ่งสื่อและเครื่องมือรวบรวมข่าว และกลุ่มเป้าหมายเป็นส่วนใหญ่คือผู้ใช้ในประเทศเกาหลี กลยุทธ์การหลอกลวงเหล่านี้สามารถนำไปใช้ ในหมวดแอปพลิเคชันอื่น ๆ และกลุ่มผู้ใช้ที่หลากหลายได้  แม้ว่าแอปพลิเคชันเหล่านี้จะถูกพิจารณาว่าเป็นแอดแวร์ (adware) แต่ก็ยังเป็นอันตรายต่อผู้ใช้ เนื่องจากจะเปิดโอกาสให้เกิดความเสี่ยงในเรื่องของความเสี่ยงในการระบุตัวตนของผู้ใช้ พลังงานแบตเตอรี่บนอุปกรณ์ลดลงเร็วอย่างผิดปกติ ใช้ข้อมูลอินเทอร์เน็ตปริมาณมากขึ้น และกระทำการฉ้อโกงต่อผู้โฆษณา  รายงานของ McAfee ระบุว่าแอดแวร์ (adware) ถูกซ่อนอยู่ในแอปพลิเคชันบน Google Play Store  ที่ปลอมตัวเป็นแอปพลิเคชันเล่นทีวี/DMB Player, โปรแกรมดาวน์โหลดเพลง, ข่าว และปฏิทิน  หลังจากติดตั้งบนอุปกรณ์แล้ว แอปพลิเคชันแอดแวร์ (adware) จะรอเวลาหลายสัปดาห์ก่อนที่จะเริ่มปฎิบัติการฉ้อโกงโฆษณาเพื่อหลอกลวงผู้ใช้และหลบเลี่ยงการตรวจพบโดยผู้ตรวจสอบของ Google  McAfee กล่าวว่าการกำหนดค่าของแอดแวร์ (adware) สามารถแก้ไขและอัปเดตจากระยะไกลผ่าน…
Read More
Social Media กับภัยคุกคามที่อาจเกิดขึ้นกับคุณ

Social Media กับภัยคุกคามที่อาจเกิดขึ้นกับคุณ

0 CommentsGeneral
ทุกวันนี้เรามีการใช้โซเชียลมีเดียเป็นส่วนหนึ่งของชีวิตประจำวันไม่ว่าจะเป็นการติดตามข่าวสารข้อมูล หรือการสื่อสารกับเพื่อนๆและการเเชร์ข้อมูลส่วนตัวบางส่วนเช่น ข้อมูลการศึกษาสถานที่ทำงาน E-mail ไปถึงเบอร์ติดต่อซึ่งทำให้มีความเสี่ยงในการโดน Social Engineeringที่อาจส่งผลต่อการใช้ชีวิตส่วนตัวและยังสามารถกระทบต่อองค์กรได้วันนี้เรามาดูกันว่ามีภัยคุกคามอะไรบ้างที่สามารถเกิดขึ้นกับเรา 1. ความเสี่ยงจากการแฮกบัญชี:การไม่รักษาความปลอดภัย หรือ ใช้รหัสผ่านที่ง่ายเกินไปและไม่มีการเปลี่ยนรหัสผ่านอยู่เป็นประจำสามารถทำให้ผู้ไม่ประสงค์ดีเข้าถึงบัญชีของคุณได้ 2. การแพร่กระจายข้อมูลปลอม:ข้อมูลหรือข่าวสารที่ไม่เป็นความจริงหรือ Fake Newsมักถูกแชร์ไปอย่างกว้างขวาง จนสร้างความสับสนและทำให้เกิดปัญหาในสังคมทำให้ผู้ที่ไม่ระวังอาจเผลอกด Link ที่เป็นอันตรายได้ 3. ภัยจากการแชร์ข้อมูลส่วนตัว:การแชร์ที่อยู่, เบอร์โทร, หรือข้อมูลส่วนบุคคลอื่นๆอาจทำให้ผู้ไม่ประสงค์ดีสามารถเข้าถึงตัวเราได้ง่ายมากขึ้นและอาจทำให้เกิดเหตุการณ์ที่ไม่คาดฝัน  4. บุคคลที่อาจไม่ใช่เพื่อน:การเป็นเพื่อนกับบุคคลที่ไม่รู้จักในโลกออนไลน์สามารถเปิดโอกาสให้เกิดการละเมิดความเป็นส่วนตัวหรือทำให้เกิดการหลอกลวงได้ง่ายขึ้น 5. โฆษณาที่ก่อความรำคาญ:เราอาจเคยเจอกับแคมเปญการตลาดที่ก่อความรำคาญหรือโฆษณาที่น่าสงสัยซึ่งอาจเป็นช่องทางการแพร่มัลแวร์ ที่สร้างโดยผู้ไม่หวังดีด้วยการสร้าง Link ให้เหยื่อเข้าไปในเว็บไซต์ที่อันตรายได้ แนวทางในการป้องกัน: ตรวจสอบความเป็นส่วนตัวของบัญชีให้เข้มงวด อย่าเปิดลิงค์จากแหล่งที่ไม่น่าเชื่อถือ ใช้รหัสผ่านที่ซับซ้อนและเปลี่ยนบ่อยๆ สนับสนุนการใช้ 2FA (Two-Factor Authentication) เพื่อเพิ่มชั้นความปลอดภัย อย่างไรก็ตามเพื่อความปลอดภัยในการใช้โซเชียลมีเดีย ควรตระหนักถึงความเสี่ยงและควรมีความระมัดระวังในการแชร์ข้อมูลต่างๆ ไปถึงการตั้งค่าความเป็นส่วนตัวเพื่อป้องกันไม่ให้เกิดเหตุการณ์ไม่พึงประสงค์
Read More
EoL Zyxel Router 

มัลแวร์ Gafgyt ใช้ประโยชน์จากช่องโหว่ของ EoL Zyxel Router 

0 CommentsNews
Fortinet เตือนเกี่ยวกับมัลแวร์ Gafgyt botnet ใช้ประโยชน์จากช่องโหว่ใน Zyxel P660HN-T1A router ที่หมดอายุการใช้งานในการโจมตีนับพันครั้ง  มัลแวร์กำหนดเป้าหมายไปที่ CVE-2017-18368 ซึ่งเป็นช่องโหว่ที่ไม่ได้รับการตรวจสอบสิทธิ์ในฟังก์ชันRemote System Log forwarding ซึ่งได้รับการแก้ไขโดย Zyxel ในปี 2560  Fortinet ยังคงพบการโจมตีเฉลี่ย 7,100 ครั้งต่อวันตั้งแต่ต้นเดือนกรกฎาคม 2566 โดยการโจมตีดังกล่าวยังคงเกิดขึ้นจนถึงปัจจุบัน  ปริมาณการโจมตีที่เกิดขึ้นจากช่องโหว่ CVE-2017-18368   Zyxel ได้ให้คำแนะนำให้กับลูกค้าว่าช่องโหว่ CVE-2017-18363 ส่งผลกระทบต่ออุปกรณ์ที่ใช้เฟิร์มแวร์เวอร์ชัน 7.3.15.0 v001/3.40(ULM.0)b31 หรือเก่ากว่าเท่านั้น  P660HN-T1A routers ที่ใช้เฟิร์มแวร์เวอร์ชันล่าสุดซึ่งมีให้ใช้งานในปี 2560 เพื่อแก้ไขช่องโหว่เวอร์ชัน 3.40 (BYF.11) จะไม่ได้รับผลกระทบจากการโจมตีดังกล่าว  สัญญาณทั่วไปของการติด botnet บน routers ได้แก่ การเชื่อมต่อที่ไม่เสถียร, อุปกรณ์ร้อนเกินไป, การเปิดพอร์ตใหม่ และการ…
Read More
Windows Kernel CVE-2023-32019 

Microsoft เปิดใช้งานการแก้ไข Windows Kernel CVE-2023-32019 

0 CommentsNews
Mocrosoft ทำการเปิดใช้งานการแก้ไขช่องโหว่ Kernel หลังจากมีการปิดใช้งานไปก่อนหน้านี้ โดยที่ช่องโหว่ CVE-202332019 มีช่วงความรุนแรงอยู่ในระดับปานกลาง 4.7/10 โดย Microsoft ให้คะแนนช่องโหว่ดังกล่าวเป็นระดับ Important ซึ่งช่องโหว่ดังกล่าวได้ถูกค้นพบโดย Mateusz Jurczyk นักวิจัยด้านความปลอดภัยของ Google Project Zero และยังทำให้ผู้ไม่ประสงค์ดีสามารถเข้าถึงหน่วยความจำพิเศษเพื่อดึงข้อมูลได้ ซึ่งในตอนแรกนั้น Microsoft ได้ปล่อยการอัปเดตความปลอดภัยโดยปิดใช้งานการแก้ไข โดยเตือนว่าอาจทำให้เกิดการเปลี่ยนแปลงที่เสียหายในระบบปฏิบัติการ  ผู้ใช้ Windows ต้องทำการเปิดใช้งานการอัปเดตด้วยตนเองโดยเพิ่มค่ารีจิสทรีต่อไปนี้ HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Policies\Microsoft\FeatureManagement\Overrides key :  Windows 10 20H2, 21H2, 22H2: เพิ่มค่ารีจิสทรี DWORD ใหม่ชื่อ 4103588492 ด้วยข้อมูลค่า 1  Windows 11 21H2: เพิ่มค่ารีจิสทรี DWORD ใหม่ที่ชื่อว่า 4204251788 พร้อมข้อมูลค่า 1 …
Read More
Kubernetes Clusters เพื่อขุด Cryptocurrency 

พบการโจมตีใหม่ใช้ประโยชน์จาก Kubernetes Clusters เพื่อขุด Cryptocurrency 

0 CommentsNews
พบผู้ไม่ประสงค์ดีใช้ Kubernetes (K8s) Clusters ในการโจมตีเพื่อปรับใช้ตัวขุด Cryptocurrency และแบ็คดอร์อื่นๆ   นักวิจัย Michael Katchinskiy และ Assaf Morag เผยว่า Kubernetes Clusters ส่วนใหญ่ที่ถูกขโมยคือ ข้อมูลลูกค้า,บันทึกทางการเงิน,ข้อมูลรับรองการเข้าถึง,Configurations, Container images, Infrastructure Credentials,คีย์เข้ารหัส,ใบรับรอง และข้อมูลเครือข่ายหรือบริการความปลอดภัย  ผู้ไม่ประสงค์ดีมักใช้เครื่องมือค้นหา เช่น Shodan, Censys และ Zoomeye เพื่อค้นหาโฮสต์ที่กำหนดค่าผิดพลาดหรือมีช่องโหว่ นอกจากนี้ยังค้นหาอินเทอร์เน็ตเพื่อหาโฮสต์ที่เปิดเผยโดยใช้ บอตเน็ตหรือเครื่องมืออย่างเช่น Masscan หรือ Zgrab เพื่อสแกน IP ranges และระบุบริการบนพอร์ต  K8s Clusters ที่ถูกพบคือ Pods list ที่มี Access keys ที่ผู้ไม่ประสงค์ดีสามารถนำไปใช้เพื่อเข้าถึงที่เก็บSource Code ของเป้าหมายหรือแนะนำการแก้ไขที่เป็นอันตราย …
Read More
Merlin ซึ่งใช้ประโยชน์จาก Open Source

พบผู้ไม่ประสงค์ดีใช้เครื่องมือ Merlin ซึ่งใช้ประโยชน์จาก Open Source เพื่อทำการโจมตี 

0 CommentsNews
ยูเครนแจ้งเตือนเรื่องการโจมตีรูปแบบใหม่ที่กำหนดเป้าหมายไปยังองค์กรรัฐต่างๆ โดยใช้เครื่องมือ Merlin ซึ่งเป็น Open Source หลังการใช้ประโยชน์จากคําสั่งและการ Control Framework   Merlin เป็นชุดเครื่องมือที่ใช้ภาษาโปรแกรม Go ซึ่งสามารถใช้งานได้หลายแพลตฟอร์ม โดยสามารถ       ดาวน์โหลดฟรีได้ผ่าน GitHub และยังมีเอกสารประกอบอย่างครบถ้วนสำหรับผู้เชี่ยวชาญด้านความปลอดภัย          เพื่อใช้ในการฝึกซ้อมของ Red Team   การสนับสนุน HTTP/1.1 ผ่านทาง TLS และ HTTP/3 (HTTP/2 ผ่าน QUIC) ใช้สำหรับการสื่อสารCommand and Control  การเข้ารหัสสำหรับรับส่งข้อมูลด้วย PBES2 (RFC 2898) และ AES Key Wrap (RFC 3394)  OPAQUE Asymmetric Password Authenticated Key Exchange (PAKE) และ…
Read More
Windows Win32k

พบผู้ไม่ประสงค์ดีใช้ไฟล์โปรแกรมของ Microsoft Office เพื่อแพร่มัลแวร์ 

0 CommentsNews
LOLBAS Files เป็นไฟล์ที่ได้รับอนุญาตและมีสคริปต์อยู่ใน Windows ซึ่งถูกผู้ไม่ประสงค์ดี         นำมาใช้ประโยชน์ในการแพร่มัลแวร์ ส่งผลให้ระบบมีความเสี่ยง โดยจะเพิ่ม LOLBAS Files เข้าไปที่ตัวประมวลผลหลักสำหรับไคลเอนต์อีเมล Outlook ของ Microsoft และระบบการจัดการฐานข้อมูล Access ซึ่งเป็นไฟล์ปฏิบัติการหลักที่ใช้สําหรับแอปพลิเคชัน Microsoft Publisher โดยได้รับการยืนยันแล้ว ว่าสามารถใช้ในการดาวน์โหลด Payloads จากเซิร์ฟเวอร์ระยะไกลได้  LOLBAS ย่อมาจาก Living-off-the-Land Binaries และ Scripts เป็นไฟล์ที่มีความถูกต้อง          และมีความน่าเชื่อถือ ซึ่งมาจากระบบปฏิบัติการ Windows ที่ดาวน์โหลดมาจาก Microsoft โดยผู้ไม่ประสงค์ดีสามารถใช้ประโยชน์จากการโจมตี เพื่อดาวน์โหลดและเรียกใช้งาน Payloads โดยไม่ต้องเปิดใช้งานซอฟต์แวร์ป้องกันไวรัส.  Microsoft Office binaries:  Nir Chako เป็นผู้เชี่ยวชาญด้านความปลอดภัยที่ Pentera ซึ่งเป็นบริษัทที่ให้บริการตรวจสอบ             ความปลอดภัยแบบอัตโนมัติ โดยเริ่มค้นหา LOLBAS…
Read More
hVNC MacOS Hack

เครื่องมือเจาะระบบชนิดใหม่ชื่อ hVNC กำหนดเป้าหมายบนอุปกรณ์ macOS 

0 CommentsNews
นักวิเคราะห์ด้านความปลอดภัยที่ Guardz ได้เตือนภัยถึงเครื่องมือเจาะระบบอุปกรณ์ macOS       ตัวใหม่ที่มีชื่อว่า hVNC ซึ่งได้ถูกระบุว่าเป็นภัยคุกคาม โดยมีการซื้อขายในฟอรัมอาชญากรรมทางไซเบอร์            ของรัสเซียตั้งแต่เดือนเมษายนที่ผ่านมา  ข้อมูลเกี่ยวกับ hVNC  RastaFarEye กล่าวว่าผู้ไม่ประสงค์ดีรายอื่นสามารถซื้อ hVNC เวอร์ชั่นใหม่ที่มีความสามารถมากขึ้นพร้อมทั้งยังสามารถการชำระเงินเพิ่มเติมเพื่อใช้ฟังก์ชั่นอื่นได้ด้วย โดย hVNC สามารถทำงานบน macOS เวอร์ชัน 10 ถึง 13.2 เท่านั้น และสามารถทำงานโดยไม่ต้องรับสิทธิ์การอนุญาตจากเหยื่อ ซึ่งจะช่วยให้         ผู้ไม่ประสงค์ดีสามารถควบคุมเครื่องที่ติดไวรัสจากระยะไกลได้ โดยจุดประสงค์หลักของมัลแวร์                           คือการขโมยข้อมูลที่ละเอียดอ่อนรวมถึงข้อมูลประจำตัว ข้อมูลส่วนบุคคลและข้อมูลทางการเงิน  RastarFarEye เป็นสมาชิกที่ใช้งานอยู่ของฟอรัมอาชญากรรมทางไซเบอร์ตั้งแต่ปี 2021 โดยมีประวัติการโจมตีที่เป็นที่รู้จักจากการนำเสนอเครื่องมือ hVNC ในรูปแบบ Windows อีกทั้งยังมีบริการสร้างCertificate ของ Extended Validation (EV) อีกด้วย   ภัยคุกคามที่เพิ่มขึ้นสำหรับผู้ใช้ macOS  hVNC มีแนวโน้มเพิ่มขึ้นเรื่อยๆ ภัยคุกคามดังกล่าวมีเป้าหมายที่ผู้ใช้ Mac โดยมีเหตุการณ์ที่เกิดขึ้นสามเหตุการณ์ในเดือนที่แล้ว…
Read More
Clop Ransomware

พบ Clop Ransomware ใช้ประโยชน์จาก Torrents ในการขโมยข้อมูลและหลบเลี่ยงการตรวจจับ 

0 CommentsNews
Clop ได้เริ่มการโจมตีที่มีการขโมยข้อมูลของเหยื่อโดยใช้ช่องโหว่ Zero-day บนแพลตฟอร์ม       การถ่ายโอนไฟล์ชื่อว่า MOVEit Transfer ซึ่งการใช้ช่องโหว่ Zero-day ทำให้แฮกเกอร์สามารถขโมยข้อมูลจากหน่วยงานจำนวนเกือบ 600 องค์กรทั่วโลกได้ ก่อนที่เหยื่อจะรู้ตัวว่าถูกโจมตี  ในวันที่ 14 มิถุนายน Clop เริ่มการโจมตีเรียกค่าไถ่กับเหยื่อโดย ค่อย ๆ ปล่อยข้อมูลรั่วไหลของเหยื่อลงใน Tor Data Leak Site และจะเปิดเผยไฟล์แบบสาธารณะ แต่ในการปล่อยข้อมูลรั่วไหล Tor Data Leak Site นั้นมีข้อเสียบางประการ เนื่องจากความเร็วในการดาวน์โหลดช้า ทำให้การรั่วไหลในบางกรณี              ไม่เกิดความเสียหายมากเท่าที่ควรจะเป็น เพื่อที่จะรับมือกับสถานการณ์นี้ แรนซัมแวร์ Clop ได้สร้างเว็บไซต์ “ClearWeb” เพื่อทำการรั่วไหลข้อมูลของเหยื่อ สำหรับเหยื่อบางรายที่ถูกขโมยข้อมูลผ่าน MOVEit แต่โดเมนประเภทนี้จะถูกตรวจจับได้ง่ายกว่า  การเปลี่ยนไปใช้ทอร์เรนต์  เพื่อแก้ปัญหาการถูกตรวจจับได้ง่าย Clop จึงได้เริ่มใช้ Torrent เพื่อแพร่ข้อมูลที่ถูกขโมยผ่าน…
Read More