ผลการค้นหาด้วยระบบปัญญาประดิษฐ์ (AI) ใหม่ของ Google อาจแนะนำเว็บไซต์ที่มีมัลแวร์ และการหลอกลวง

ผลการค้นหาด้วยระบบปัญญาประดิษฐ์ (AI) ใหม่ของ Google อาจแนะนำเว็บไซต์ที่มีมัลแวร์ และการหลอกลวง

นักวิจัยพบว่าอัลกอริทึม "Search Generative Experience" (SGE) ใหม่ของ Google ซึ่งใช้ปัญญาประดิษฐ์ (AI) อาจแนะนำเว็บไซต์หลอกลวง ซึ่งเว็บไซต์เหล่านี้อาจทำให้ผู้เข้าชมถูกเปลี่ยนเส้นทางไปยังเว็บไซต์ที่ไม่ต้องการ เช่น Chrome extensions, แคมเปญแจก iPhone ปลอม, spam subscriptions ในเบราว์เซอร์, เว็บไซต์หลอกลวงด้านเทคนิคอื่น ๆ

(more…)

TheMoon malware แพร่กระจายไปยังเราเตอร์ ASUS กว่า 6,000 เครื่องภายใน 72 ชั่วโมงผ่าน proxy service

TheMoon malware แพร่กระจายไปยังเราเตอร์ ASUS กว่า 6,000 เครื่องภายใน 72 ชั่วโมงผ่าน proxy service

พบ malware botnet เวอร์ชันใหม่ในชื่อ "TheMoon" แพร่กระจายไปยังเราเตอร์ และอุปกรณ์ IoT ในสำนักงานขนาดเล็ก และโฮมออฟฟิศ (SOHO) ที่มีช่องโหว่หลายพันเครื่องใน 88 ประเทศ

(more…)

เยอรมนีแจ้งเตือนเซิร์ฟเวอร์ Microsoft Exchange ที่มีช่องโหว่กว่า 17,000 เครื่องเข้าถึงได้จากอินเทอร์เน็ต

หน่วยงานด้านความมั่นคงปลอดภัยไซเบอร์แห่งชาติของเยอรมนี ออกมาแจ้งเตือนเมื่อวันอังคาร (26 มีนาคม 2024) ที่ผ่านมาว่า พบเซิร์ฟเวอร์ Microsoft Exchange อย่างน้อย 17,000 เครื่องในเยอรมนีที่เปิดให้เข้าถึงได้จากอินเทอร์เน็ต และมีความเสี่ยงต่อช่องโหว่ด้านความปลอดภัยระดับ Critical อย่างน้อยหนึ่งรายการ

ตามรายงานจากสำนักงานสหพันธรัฐเยอรมนีเพื่อความมั่นคงปลอดภัยด้านเทคโนโลยีสารสนเทศ (BSI) พบว่า เซิร์ฟเวอร์ Microsoft Exchange ประมาณ 45,000 เครื่องในเยอรมนีมี Outlook Web Access (OWA) เปิดใช้งาน และสามารถเข้าถึงได้จากอินเทอร์เน็ต

ประมาณ 12% ของเซิร์ฟเวอร์เหล่านี้ ยังคงใช้ Exchange เวอร์ชันเก่า (2010 หรือ 2013) ซึ่งไม่ได้รับการอัปเดตความปลอดภัยมาตั้งแต่เดือนตุลาคม 2020 และเมษายน 2023 ตามลำดับ

สำหรับเซิร์ฟเวอร์ Exchange 2016 หรือ 2019 ที่เข้าถึงได้จากอินเทอร์เน็ต ประมาณ 28% ไม่ได้รับการแพตช์มาอย่างน้อย 4 เดือน ทำให้มีความเสี่ยงต่อช่องโหว่ด้านความปลอดภัยระดับ Critical อย่างน้อยหนึ่งช่องโหว่ ทำให้สามารถถูกโจมตีในลักษณะ code execution ได้จากภายนอก

BSI เตือนว่า โดยรวมอย่างน้อย 37% ของเซิร์ฟเวอร์ Exchange ในเยอรมนี (และในหลายกรณี ยังรวมถึงเครือข่ายเบื้องหลังด้วย) มีช่องโหว่ด้านความปลอดภัยระดับ Critical ซึ่งคิดเป็นจำนวนประมาณ 17,000 ระบบ โดยเฉพาะอย่างยิ่งสถาบันที่ได้รับผลกระทบเหล่านี้ ได้แก่ โรงเรียน, วิทยาลัย, คลินิก, สถานพยาบาล, บริการพยาบาลผู้ป่วยนอก, สถาบันทางการแพทย์อื่น ๆ, ทนายความ และที่ปรึกษาทางกฎหมาย, รัฐบาลท้องถิ่น และบริษัทขนาดกลาง

BSI เคยแจ้งเตือนไปแล้วหลายครั้งตั้งแต่ปี 2021 เกี่ยวกับการใช้ช่องโหว่ด้านความปลอดภัยระดับ Critical ใน Microsoft Exchange และถือว่าเป็นสถานการณ์ความเสี่ยงด้านเทคโนโลยีสารสนเทศ อย่างไรก็ตามสถานการณ์ก็ยังไม่ดีขึ้นนับตั้งแต่ตอนนั้น เนื่องจากผู้ดูแลระบบเซิร์ฟเวอร์ Exchange จำนวนมากยังคงไม่ระมัดระวังมากพอ และไม่รีบทำการอัปเดตแพตซ์ด้านความปลอดภัย

 

BSI แนะนำให้ผู้ดูแลเซิร์ฟเวอร์ที่ยังไม่ได้รับการแพทช์ให้ใช้ Exchange เวอร์ชันล่าสุดเสมอ ติดตั้งอัปเดตความปลอดภัยทั้งหมดที่มีอยู่ และกำหนดค่าเซิร์ฟเวอร์ที่เปิดเผยออนไลน์อย่างปลอดภัย

เพื่อดำเนินการดังกล่าว ผู้ดูแลระบบจำเป็นต้องตรวจสอบระบบของตนเองเป็นประจำว่าได้ทำการอัปเดตแพตซ์ Microsoft Exchange ให้เป็นเวอร์ชันล่าสุดหรือไม่ รวมถึงทำการติดตั้งการอัปเดตความปลอดภัยประจำเดือนมีนาคม 2024 โดยเร็วที่สุด

Exchange Server 2019 CU14 Mar24SU (Build number 15.2.1544.9)
Exchange Server 2019 CU13 Mar24SU (build number 15.2.1258.32)
Exchange Server 2016 CU23 Mar24SU (build number 15.1.2507.37)

BSI ยังแนะนำให้จำกัดการเข้าถึงบริการเซิร์ฟเวอร์ Exchange ที่ใช้เว็บ เช่น Outlook Web Access เฉพาะที่อยู่ IP ที่เชื่อถือได้เท่านั้น หรือ ใช้ VPN เพื่อเข้าถึงบริการเหล่านี้แทนการเปิดให้เข้าถึงได้จากอินเทอร์เน็ตโดยตรง

นอกจากนี้เพื่อป้องกันการใช้ช่องโหว่ CVE-2024-21410 ซึ่งเป็นช่องโหว่การยกระดับสิทธิ์ระดับ Critical ที่ Microsoft เปิดเผยออกมาเมื่อเดือนที่แล้ว ซึ่งต้องเปิดใช้ Extended Protection บนเซิร์ฟเวอร์ Exchange โดยใช้สคริปต์ PowerShell ที่ออกแบบมาเฉพาะ

ในเดือนกุมภาพันธ์ บริการตรวจสอบภัยคุกคาม Shadowserver แจ้งเตือนว่ามีเซิร์ฟเวอร์ Microsoft Exchange จำนวน 28,500 เครื่อง มีช่องโหว่ต่อการถูกโจมตีจากช่องโหว่ CVE-2024-21410 อย่างต่อเนื่อง นอกจากนี้ Shadowserver ยังยืนยันผลการวิจัยของ BSI โดยระบุว่ามีเซิร์ฟเวอร์มากถึง 97,000 เครื่อง ซึ่งรวมถึงกว่า 22,000 เครื่องในเยอรมนี อาจมีความเสี่ยงเนื่องจากไม่ได้เปิดใช้งาน Extended Protection

ตอนนี้ Microsoft ได้เปิดการใช้งาน Extended Protection อัตโนมัติบนเซิร์ฟเวอร์ Exchange หลังจากติดตั้งการอัปเดตประจำเดือนกุมภาพันธ์ 2024 H1 Cumulative Update (CU14)

Microsoft ยังแนะนำให้ผู้ดูแลระบบ Exchange ติดตั้งการอัปเดตความปลอดภัยอย่างเร่งด่วนบนเซิร์ฟเวอร์ on-premises เพื่อให้สามารถป้องกันการโจมตีที่อาจจะเกิดขึ้นได้

ที่มา : bleepingcomputer

พบองค์กรกว่า 100 แห่งในสหรัฐอเมริกา และสหภาพยุโรป ตกเป็นเป้าการโจมตีของมัลแวร์ StrelaStealer

พบแคมเปญมัลแวร์ StrelaStealer กำลังมุ่งเป้าโจมตีเพื่อขโมยข้อมูลบัญชีอีเมล โดยส่งผลกระทบต่อองค์กรกว่า 100 แห่งทั่วสหรัฐอเมริกา และยุโรป

StrelaStealer ถูกพบครั้งแรกในเดือนพฤศจิกายน 2022 โดยเป็นมัลแวร์สำหรับขโมยข้อมูลตัวใหม่ที่มีความสามารถในการขโมยข้อมูลบัญชีอีเมลจาก Outlook และ Thunderbird โดยมีความสามารถเด่น คือการใช้วิธีการติดมัลแวร์แบบ polyglot file (การรวมรูปแบบไฟล์สองรูปแบบขึ้นไปเข้าด้วยกันในลักษณะที่แต่ละรูปแบบสามารถทำงานได้โดยไม่มีข้อผิดพลาด เช่นไฟล์ JAR และ MSI) เพื่อหลบเลี่ยงการตรวจจับจากซอฟต์แวร์รักษาความปลอดภัย

ในช่วงแรกมัลแวร์ StrelaStealer มุ่งเป้าหมายการโจมตีไปยังผู้ใช้งานชาวสเปนเป็นส่วนใหญ่

ต่อมาตามรายงานล่าสุดโดย Unit42 ของ Palo Alto Networks พบว่ามัลแวร์ StrelaStealer ได้เปลี่ยนแปลงเป้าหมายการโจมตีไปยังผู้ใช้งานจากสหรัฐอเมริกาและยุโรปแทน

รวมถึงพบว่า StrelaStealer ได้เผยแพร่ผ่านทางแคมเปญฟิชชิ่งเพิ่มขึ้นอย่างมากในเดือนพฤศจิกายน 2023 โดยพบว่าได้มีการกำหนดเป้าหมายไปที่องค์กรมากกว่า 250 แห่ง จนถึง 500 แห่งในสหรัฐอเมริกา รวมถึงพบการกำหนดเป้าหมายอย่างน้อย 100 แห่งในยุโรป ซึ่งปริมาณการโจมตีผ่านแคมเปญฟิชชิ่งเพิ่มขึ้นอย่างต่อเนื่องจนถึงปี 2024 ตามข้อมูลการบันทึกกิจกรรมระหว่างปลายเดือนมกราคม 2024 ถึงต้นเดือนกุมภาพันธ์ 2024 ของนักวิเคราะห์ของ Unit42 ซึ่ง StrelaStealer ใช้ภาษาอังกฤษ และภาษายุโรปอื่น ๆ เพื่อปรับใช้ตามการโจมตีเป้าหมาย

ซึ่งหน่วยงานเป้าหมายในการโจมตีส่วนใหญ่เป็นองค์กรทางด้านเทคโนโลยีขั้นสูง ตามด้วยภาคส่วนต่าง ๆ เช่น ภาคการเงิน บริการด้านกฎหมาย ภาคการผลิต รัฐบาล สาธารณูปโภคและพลังงาน ประกันภัย และการก่อสร้าง

วิธีการโจมตีรูปแบบใหม่

วิธีการติดมัลแวร์แบบเดิมของ StrelaStealer ตั้งแต่ปลายปี 2022 คือการส่งอีเมลที่แนบไฟล์ .ISO ที่มีไฟล์ .Lnk shortcut และไฟล์ HTML ซึ่งใช้หลายภาษาเพื่อเรียกใช้ 'rundll32.exe' และดำเนินการเพย์โหลดของมัลแวร์

ต่อมาได้เปลี่ยนมาใช้วิธีการโจมตีโดยใช้ไฟล์แนบ ZIP เพื่อวางไฟล์ JScript บนระบบของเหยื่อ ซึ่งเมื่อวางไฟล์สำเร็จ สคริปต์จะปล่อย batch file และ base64-encode ซึ่งจะถอดรหัสเป็นไฟล์ DLL และดำเนินการผ่าน rundll32.exe อีกครั้งเพื่อปรับใช้เพย์โหลด StrelaStealer รวมถึงยังใช้วิธีการโจมตีที่สร้างความสับสนในระหว่างการโจมตีเพื่อทำให้การวิเคราะห์การโจมตียากยิ่งขึ้น และลบ PDB string เพื่อหลบเลี่ยงการตรวจจับโดยเครื่องมือที่ใช้ signature ในการตรวจจับ โดยฟังก์ชันหลักของ StrelaStealer ยังคงเหมือนเดิม นั่นคือเพื่อขโมยข้อมูลการเข้าสู่ระบบอีเมลจากไคลเอนต์อีเมลยอดนิยม และส่งไปยัง command and control (C2) server ของ Hacker

ดังนั้นผู้ใช้งานจึงควรระมัดระวังเมื่อได้รับอีเมลไม่พึงประสงค์ที่อ้างว่าเกี่ยวข้องกับการชำระเงิน หรือใบแจ้งหนี้ และหลีกเลี่ยงการดาวน์โหลดไฟล์แนบจากผู้ส่งที่ไม่รู้จัก เพื่อป้องกันการโจมตี

ที่มา : bleepingcomputer

แคมเปญมัลแวร์ Sign1 แพร่กระจายไปยังเว็บไซต์ WordPress กว่า 39,000 แห่ง

แคมเปญมัลแวร์ Sign1 แพร่กระจายไปยังเว็บไซต์ WordPress กว่า 39,000 แห่ง

พบแคมเปญมัลแวร์ในชื่อ Sign1 ได้แพร่กระจายไปยังเว็บไซต์มากกว่า 39,000 แห่งในช่วงหกเดือนที่ผ่านมา ทำให้ผู้ใช้งานจะถูก redirect และเห็นโฆษณา popup ads ที่ไม่ต้องการ

(more…)

Ivanti แก้ไขช่องโหว่ร้ายแรง ใน Standalone Sentry ที่ถูกรายงานโดย NATO

Ivanti แก้ไขช่องโหว่ร้ายแรง ใน Standalone Sentry ที่ถูกรายงานโดย NATO

Ivanti ได้เผยแพร่รายงานการแก้ไขช่องโหว่ Standalone Sentry ที่มีความรุนแรงระดับสูง ซึ่งถูกค้นพบ และรายงานโดยนักวิจัยของ NATO Cyber Security Center

(more…)

แฮ็กเกอร์ใช้ Cracked Software บน GitHub แพร่กระจาย RisePro เพื่อขโมยข้อมูล

นักวิจัยด้านความปลอดภัยทางไซเบอร์จากบริษัท G DATA พบ GitHub repositories จำนวนหนึ่ง มี Cracked Software ที่ใช้ในการติดตั้งมัลแวร์สำหรับขโมยข้อมูลที่เรียกว่า RisePro
แคมเปญนี้มีชื่อว่า gitgub ประกอบด้วย repositories 17 แห่งที่เกี่ยวข้องกับบัญชีที่แตกต่างกัน 11 บัญชี จากข้อมูลของ G DATA ปัจจุบัน repositories ที่เป็นปัญหาได้ถูกลบออกไปแล้ว

(more…)

Google เปิดตัวการป้องกัน URL ที่เป็นอันตรายแบบเรียลไทม์ที่ได้รับการปรับปรุงสำหรับผู้ใช้ Chrome

เมื่อวันพฤหัสบดีที่ผ่านมา Google ประกาศเปิดตัว Safe Browsing เวอร์ชันปรับปรุงเพื่อให้การปกป้อง URL ที่เป็นอันตรายแบบเรียลไทม์ และรักษาความเป็นส่วนตัว รวมถึงปกป้องผู้ใช้จากการเยี่ยมชมเว็บไซต์ที่อาจเป็นอันตราย

(more…)

ทำเนียบขาวและ EPA แจ้งเตือนแฮ็กเกอร์โจมตีระบบจัดการน้ำ

สำนักงานความมั่นคงแห่งชาติของสหรัฐอเมริกา (NSC) และสำนักงานคุ้มครองสิ่งแวดล้อม (EPA) เตือนผู้ว่าการรัฐในวันนี้ว่า พบกลุ่มแฮ็กเกอร์กำลังมุ่งเป้าโจมตีโครงสร้างพื้นฐานที่สำคัญทุกภาคส่วนเกี่ยวกับระบบการจัดการน้ำของประเทศ โดยสำนักงานขอการสนับสนุนจากผู้ว่าการรัฐเพื่อให้แน่ใจว่าระบบจัดการน้ำในรัฐได้รับการปกป้องอย่างเพียงพอจากการโจมตีทางไซเบอร์ และสามารถกลับมาใช้งานได้หากถูกโจมตี
(more…)

พบข้อมูล plaintext password รั่วไหลกว่า 19 ล้านรายการ จาก Firebase instance ที่ตั้งค่าไม่ปลอดภัย

นักวิจัยด้านความปลอดภัยทางไซเบอร์รายงานการค้นพบ plaintext password กว่า 19 ล้านรหัส ที่ถูกเปิดเผยบนอินเทอร์เน็ตจาก Firebase instance ที่ตั้งค่าไม่ปลอดภัย โดย Firebase เป็นแพลตฟอร์มของ Google สำหรับการโฮสต์ฐานข้อมูล การประมวลผลแบบคลาวด์ และการพัฒนาแอป ซึ่งนักวิจัยได้ทำการสแกนโดเมนมากกว่า 5 ล้านโดเมน และพบเว็บไซต์ 916 แห่ง จากองค์กรที่ไม่ได้เปิดใช้งานมาตรการด้านความปลอดภัย หรือตั้งค่าไม่ถูกต้อง

โดยข้อมูล plaintext password ที่รั่วไหลประกอบไปด้วย ข้อมูลผู้ใช้ที่มีความสำคัญมากกว่า 125 ล้านรายการ รวมถึงอีเมล ชื่อ รหัสผ่าน หมายเลขโทรศัพท์ และข้อมูลการเรียกเก็บเงินพร้อมรายละเอียดธนาคาร (more…)