พบ DeadBolt ransomware รูปแบบใหม่ มีเป้าหมายที่ระบบ Network Attached Storage (NAS) ที่เข้าถึงได้จากอินเทอร์เน็ต

Fernando Mercês ผู้เชี่ยวชาญจาก Trend Micro ได้รายงานถึงการพบ DeadBolt ransomware รูปแบบใหม่ซึ่งต่างจาก Ransomware อื่นๆที่มักจะมีเป้าหมายไปยังอุปกรณ์ต่างๆขององค์กร

แต่ในครั้งนี้เป้าหมายคือระบบ Network Attached Storage (NAS) ที่มีการที่เชื่อมต่อกับอินเทอร์เน็ต (Internet Facing) สาเหตุเกิดจากปัจจัยหลายประการ เช่น ระบบมีความปลอดภัยที่ต่ำ ความพร้อมใช้งานสูง มูลค่าของข้อมูลสูง และเป็นระบบปฏิบัติการที่ใช้อย่างแพร่หลายทั่วไปอย่าง Linux โดยเป้าหมายในครั้งนี้เป็นทั้งผู้ให้บริการ และผู้รับบริการ NAS นอกจากนี้ Script ของ Ransomware เป็นรูปแบบใหม่ที่สามารถเข้ารหัสไฟล์ให้ตรงกับ Vendor บนระบบ NAS ได้ ซึ่งอาจจะเป็นมาตรฐานของ Ransomware อื่นๆต่อไปที่จะเกิดขึ้นในอนาคต

โดยในเดือนพฤษภาคมที่ผ่านมา QNAP ได้ออกมาเตือนผู้ใช้งาน NAS ให้ระวังการถูกโจมตีจาก DeadBolt ransomware และในเดือนมกราคม รายงานจาก Censys.

Qbot เริ่มนำช่องโหว่ Windows MSDT zero-day มาใช้ในการโจมตีแบบฟิชชิ่ง

ช่องโหว่ Zero-day ของ Windows หรือที่รู้จักในชื่อ Follina ซึ่งปัจจุบันยังไม่ได้รับการแก้ไขจาก Microsoft ถูกนำไปใช้ประโยชน์ด้วยการโจมตีผ่านทางอีเมลล์ฟิชชิ่งที่มีไฟล์แนบที่เป็นอันตรายซึ่งจะทำให้เหยื่อติดมัลแวร์ Qbot

Proofpoint รายงานเมื่อวันจันทร์ว่ามีการใช้ zero-day ดังกล่าวมาใช้โจมตีในรูปแบบฟิชชิ่ง ซึ่งกำหนดเป้าหมายไปยังหน่วยงานรัฐบาลของสหรัฐอเมริกา และสหภาพยุโรป

โดยเมื่อสัปดาห์ที่ผ่านมา บริษัทผู้เชี่ยวชาญด้านความปลอดภัยทางไซเบอร์พึ่งจะเปิดเผยว่าพบกลุ่มแฮ็คเกอร์ TA413 ของจีนใช้ประโยชน์จากช่องโหว่ดังกล่าวในการโจมตีที่กำหนดเป้าหมายไปยังชาวทิเบตเช่นเดียวกัน

ตามรายงานที่นักวิจัยด้านความปลอดภัยของ Proofpoint ได้เผยแพร่ในวันนี้พบว่ากลุ่ม TA570 ได้เริ่มใช้เอกสาร Microsoft Office .docx ที่เป็นอันตรายเพื่อโจมตีโดยใช้ช่องโหว่ Follina CVE-2022-30190 และทำให้เหยื่อติดมัลแวร์ Qbot

ผู้โจมตีใช้วิธีการแนบไฟล์ HTML ไปในอีเมล ซึ่งหากเหยื่อคลิกเปิดไฟล์ มันจะทำการดาวน์โหลดไฟล์ ZIP ที่มีไฟล์ IMG อยู่ภายใน และภายไฟล์ IMG จะประกอบไปด้วยไฟล์ DLL, Word และ shortcut files

ซึ่งไฟล์ shortcut จะโหลด Qbot DLL ที่มากับไฟล์ IMG ส่วนไฟล์ .docx จะเชื่อมต่อกับเซิร์ฟเวอร์ภายนอกเพื่อโหลดไฟล์ HTML ที่ใช้ประโยชน์จากช่องโหว่ Follina เพื่อเรียกใช้โค้ด PowerShell ที่จะดาวน์โหลด และรัน Qbot DLL อีกตัวหนึ่ง

เป็นอีกครั้งในปีนี้ที่เครือข่ายของ Qbot พยายามเปลี่ยนวิธีการโจมตี โดยครั้งแรกในช่วงเดือนกุมภาพันธ์ มันจะใช้กลอุบายที่เก่าที่เรียกว่า Squibbledoo เพื่อแพร่กระจายมัลแวร์ผ่านเอกสาร Microsoft Office โดยใช้ regsvr32.exe

อีกครั้งในเดือนเมษายน หลังจากที่ Microsoft เริ่มเปิดตัวฟีเจอร์ VBA macro autoblock สำหรับผู้ใช้ Office บน Windows กลุ่มแฮ็คเกอร์จึงหยุดใช้เอกสาร Microsoft Office ที่มีมาโครที่เป็นอันตราย และเปลี่ยนเป็นไฟล์แนบไฟล์ ZIP ที่ใส่รหัสผ่าน ที่ภายในมีตัวติดตั้งแบบ MSI Windows Installer แทน

Qbot คืออะไร?

Qbot (หรือที่รู้จักว่า Qakbot, Quakbot และ Pinkslipbot) เป็นมัลแวร์บน Windows ที่ถูกใช้เพื่อขโมยข้อมูลธนาคาร และด้วยความสามารถของมันที่แพร่กระจายบนระบบในลักษณะ worm ทำให้มันสามารถแพร่กระจายไปบนเครือข่ายของเหยื่อได้เป็นจำนวนมากผ่านการโจมตีด้วยวิธีการ brute-force บัญชีผู้ดูแลระบบบน Active Directory

มัลแวร์นี้ถูกใช้มาตั้งแต่ปี 2550 เพื่อเก็บข้อมูลธนาคาร, ข้อมูลส่วนบุคคล, ข้อมูลทางการเงิน และเป็นแบ็คดอร์เพื่อแอบติดตั้ง Cobalt Strike beacons

บริษัทในเครือ Ransomware ที่เชื่อมโยงกับการดำเนินการในลักษณะ Ransomware as a Service (RaaS) (รวมถึง REvil, PwndLocker, Egregor, ProLock และ MegaCortex) ต่างก็ใช้ Qbot เพื่อเข้าถึงเครือข่ายองค์กร

ที่มา: www.

นักวิจัยจาก Lightspin พบช่องโหว่ local file read ใน RDS และ Aurora PostgreSQL บน AWS โดยการใช้ third-party open-source PostgreSQL extension ที่ชื่อว่า “log_fdw” ปกติแล้ว log_fdw จะใช้ในการอ่านไฟล์ log ในเครื่อง RDS แต่นักวิจัยสามารถ Bypass การตรวจสอบชื่อไฟล์ของ log_fdw ทำให้สามารถอ่านไฟล์ใดก็ได้ในเครื่อง RDS

โดย RDS คือบริการ Database ที่ผู้ใช้งานไม่ต้องบริหารจัดการตัว OS, Database Patch หรือ Security Patch ทุกอย่างถูกจัดการให้โดย AWS จึงทำให้ปกติแล้วผู้ใช้งานจะไม่มีสิทธ์เข้าถึง OS โดยตรง หรือสิทธ์ Superuser ใน Database

ซึ่งนักวัจัยพบว่าเมื่อสามารถเข้าถึงไฟล์ RDS config ‘/rdsdbdata/config/postgresql.

เมื่อวันพุธที่ผ่านมา ( 9 มิถุนายน 2564 ) พบฐานข้อมูลบนคลาวด์เป็นข้อมูลที่ถูกขโมยมากว่า 1.2 TB ประกอบไปด้วยข้อมูล cookie และ credentials ที่มาจากคอมพิวเตอร์ที่ใช้ระบบปฏิบัติการ Windows จำนวน 3.2 ล้านเครื่อง จากมัลแวร์ที่ไม่เคยพบมาก่อน ที่เรียกว่า “nameless”

ในบล็อกของ NordLocker บริษัทซอฟต์แวร์เข้ารหัสไฟล์ที่รวมกับที่เก็บข้อมูลบนคลาวด์ที่เข้ารหัสแบบ end-to-end ได้กล่าวไว้ว่า ไวรัสสามารถหลบซ่อนการตรวจจับพร้อมกับข้อมูลที่ขโมยกว่า 6 ล้านไฟล์ ที่ขโมยมาจากเครื่องเดสก์ท็อป และยังสามารถถ่ายภาพผู้ใช้งานได้หากอุปกรณ์นั้นมีเว็บแคม โดยมัลแวร์จะแพร่กระจายผ่านซอฟต์แวร์ Adobe PhotoShop ที่ละเมิดลิขสิทธิ์ เครื่องมือ Crack Windows และเกมส์ละเมิดลิขสิทธิ์ต่าง ๆ ซึ่งกลุ่มแฮ็กเกอร์ได้ทำการเปิดเผยข้อมูลดังกล่าวโดยไม่ได้ตั้งใจและผู้ให้บริการคลาวด์ได้รับแจ้งว่าให้ทำการ take down โฮสต์ดังกล่าวไป ซึ่งข้อมูลที่ถูกขโมยนั้นอยู่ระหว่าง ปี 2018 ถึง 2020 โดยมี cookie กว่า 2 พันล้านรายการ

Sean Nikkel นักวิเคราะห์ภัยคุกคามทางไซเบอร์อาวุโสของ Digital Shadows ได้กล่าวว่า เรายังคงต้องประสบกับปัญหาทางข้อมูลถูกโจมตีหรือรั่วไหล ตราบใดที่ผู้คนไม่ได้ใช้แนวทางปฏิบัติด้านความปลอดภัยที่ดีทั้งหมด ซึ่งหากบริษัทจัดเก็บข้อมูลไว้บนระบบคลาวด์ จะมีตัวเลือกมากมายสำหรับการรักษาความปลอดภัยบนคลาวด์ และควรจัดหมวดหมู่ของข้อมูลว่าข้อมูลนั้นจำเป็นหรือเป็นข้อมูลที่ไม่ควรเปิดเผย และควรจัดเก็บข้อมูลให้เป็นไปตามการปฏิบัติตามข้อกำหนดด้านความปลอดภัย และตรวจสอบอย่างสม่ำเสมอเพื่อไม่ให้เกิดช่องโหว่ต่าง ๆ และอย่างน้อยที่สุด ให้ทำการเข้ารหัสที่ปลอดภัยให้กับข้อมูล และตรวจสอบ หรือทดสอบระบบเป็นระยะ ๆ

Law Floyd ผู้อำนวยการฝ่ายบริการคลาวด์ของ Telos กล่าวเสริมว่า ผู้เชี่ยวชาญด้านความปลอดภัยควรใช้การควบคุมการเข้าถึงที่เข้มงวดกับฐานข้อมูล และตรวจสอบให้แน่ใจว่า port ที่เปิดให้เข้าถึงฐานข้อมูลนั้นเป็น port ที่จำเป็นเท่านั้น และควรสร้าง policy ที่เหมาะสม รวมทั้งตรวจสอบให้แน่ใจว่าบุคลากรได้รับการศึกษาเกี่ยวกับ policy เหล่านี้อย่างเหมาะสม

ที่มา : scmagazine

เมื่อวันที่ 20 มีนาคมที่ผ่านมา VMGoA (Volkswagen Group of America, Inc.) ได้รับแจ้งจาก Vendor ว่ามีการเข้าถึงข้อมูลจากบุคคลที่ไม่ได้รับอนุญาต และได้ข้อมูลของลูกค้าของ Audi, Volkswagen และตัวแทนจำหน่ายบางราย โดยทาง VWGoA ได้ระบุว่าข้อมูลที่รัวไหลออกไปนั้น มีข้อมูลที่เกี่ยวข้องกับลูกค้า 3.3 ล้านคน โดย 97% เป็นของ Audi ซึ่งข้อมูลที่รั่วไหลนั้นประกอบไปด้วย ข้อมูลการติดต่อไปจนถึงข้อมูลหมายเลขประกันสังคมและหมายเลขเงินกู้

โดยทาง TechCrunch ได้รายงานเกี่ยวกับข้อมูลที่รั่วไหลออกไปนั้นจะประกอบไปด้วย ชื่อและนามสกุล ที่อยู่ส่วนบุคคลหรือทางธุรกิจ อีเมล หมายเลขโทรศัพท์ ข้อมูลเกี่ยวกับรถที่ซื้อหรือเช่า หมายเลขรถ (VIN) ยี่ห้อ รุ่น ปี สี และชุดแต่ง โดยข้อมูลดังกล่าว ยังมีข้อมูลที่มีความละเอียดอ่อนมากยิ่งขึ้นที่เกี่ยวข้องกับสิทธิ์ในการซื้อ เงินกู้ หรือสัญญาเช่า โดยมากกว่า 95% เป็นหมายเลขใบขับขี่ นอกจากนี้ยังมีข้อมูลของ วันเกิด ประกันสังคม เลขที่ประกัน เลขที่บัญชีหรือเงินกู้ และเลขประจำตัวผู้เสียภาษี อีกด้วย และสำหรับลูกค้า 90,000 ราย ที่มีการรั่วไหลของข้อมูลที่ละเอียดอ่อน ทาง Volkswagen จะให้การคุ้มครองเครดิต และบริการตรวจสอบฟรี ซึ่งรวมถึงประกันการโจรกรรมอีก 1 ล้านเหรียญสหรัฐ

แต่เป็นที่น่าสนใจ ข้อมูลที่รั่วไหลนั้นไม่ได้มาจาก Server ของทาง Volkswagen หรือ Audi แต่เป็นข้อมูลที่ทาง Vendor ของพวกเขาเก็บรวบรวมไว้ในช่วง 5 ปีระหว่าง 2014 ถึง 2019 โดยพวกเขากล่าวว่าข้อมูลดังกล่าวได้เก็บรวบรวมไว้เพื่อวัตถุประสงค์ทางการตลาดทั่วไป แต่ที่น่าเศร้าคือข้อมูลเหล่านั้นไม่ได้ถูกป้องกันและมีช่องโหว่

เนื่องจากข้อมูลของ Audi และ Volkswagen ไม่มีความปลอดภัยมาเป็นระยะเวลาหนึ่งแล้ว จึงไม่สามารถบอกได้ว่ามีข้อมูลใดบ้างที่ถูกเข้าถึงโดยไม่ได้รับอนุญาต ดังนั้นหากมีข้อความ อีเมล หรือการติดต่อใด ๆ ที่อ้างว่ามาจากทาง Audi หรือ Volkswagen ให้ถือว่าเป็นพฤติกรรมที่น่าสงสัยไว้เป็นอันดับแรก โดยเฉพาะอีเมลหรือข้อความ sms

ที่มา : bleepingcomputer

ฮอนด้าทำการตรวจสอบผลกระทบจากการโจมตีเครือข่ายโดย SNAKE Ransomware

บริษัทผู้ผลิตรถยนต์ยักษ์ใหญ่ของโลกฮอนด้าได้เผยถึงการโจมตีเครือข่ายคอมพิวเตอร์ในยุโรปและญี่ปุ่น ทำให้บริษัทต้องหยุดการผลิตบางส่วน จากการตรวจสอบสาเหตุเบื้องต้นพบเครือข่ายถูกโจมตีจาก SNAKE Ransomware ในวันอาทิตย์ที่ 7 มิถุนายน ที่ผ่านมา

ฮอนด้ากล่าวว่าในขณะนี้ยังไม่มีความชัดเจนถึงผลกระทบจากการโจมตี ในขณะนี้ฮอนด้ากำลังตรวจสอบอยู่

นักวิจัยด้านความปลอดภัย Milkream ได้พบตัวอย่างของ SNAKE (EKANS) ransomware ในช่วงเวลาใกล้เคียงกับที่ฮอนด้าถูกโจมตี เมื่อตรวจสอบมัลแวร์ที่ VirusTotal พบว่ามัลแวร์พยายามจะเรียกหาโดเมน "mds.

NSA: เเจ้งเตือนภัยจากกลุ่ม APT "Sandworm" ที่ใช้ประโยชน์จากช่องโหว่ Exim ทำการโจมตี Email Server

สำนักงานความมั่นคงแห่งชาติสหรัฐ (NSA) ได้เปิดเผยถึงความเคลื่อนไหวของเเฮกเกอร์ที่ได้รับการสนับสนุนจากรัฐบาลรัสเซียหรือที่รู้จักกันในชื่อ Sandworm Team ซึ่งได้ใช้ประโยชน์จากช่องโหว่ใน Mail Transfer Agent (MTA) ตั้งแต่สิงหาคม 2019

NSA กล่าวว่า แฮกเกอร์จากหน่วย 74455 ของ GRU Main Center for Special Technologies (GTsST) ได้ใช้ประโยชน์จากช่องโหว่ Exim ตั้งเเต่เดือนสิงหาคม 2019 ซึ่งปัจจุบันพบว่าเซิร์ฟเวอร์ที่ยังสามารถใช้ประโยชน์จากช่องโหว่ Exim นั้นมีมาถึง 2,481,000 เซิร์ฟเวอร์ที่สามารถเข้าผ่านอินเตอร์เน็ตได้

Sandworm Team ใช้ประโยชน์ช่องโหว่ที่ติดตามเป็นรหัส CVE-2019-10149 ซึ่งทำให้ผู้โจมตีจากระยะไกลที่ไม่ผ่านการตรวจสอบสิทธิ์สามารถรันโค้ดคำสั่งได้โดยใช้สิทธิ์ Root บนเซิร์ฟเวอร์อีเมลที่มีช่องโหว่ เมื่อทำการรันสคริปต์ Shell สคริปต์จะทำการเพิ่มสิทธิ์ผู้ใช้งาน, ปิดการตั้งค่าความปลอดภัยเครื่องข่าย, อัพเดตค่าคอนฟิก SSH เพื่อให้สามารถเข้าถึงจากระยะไกลและเรียกใช้งานสคริปต์อื่นๆที่จะสามารถใช้ประโยน์ภายในเครื่องที่บุกรุกได้

ข้อเเนะนำ
NSA ได้ออกคำเเนะนำให้ผู้ใช้งานและผู้ดูเลระบบที่จะทำการติดตั้งเซิร์ฟเวอร์ Exim ให้ทำการติดตั้งเวอร์ชัน 4.93 หรือใหม่กว่า สำหรับผู้ที่ใช้งานเซิร์ฟเวอร์ Exim Mail Transfer Agent อยู่แล้วให้ทำการอัปเดตซอฟต์แวร์ผ่าน Linux distribution package manager หรือดาวน์โหลดได้ที่
https://exim.

ระบบของ Cisco ถูกโจมตีผ่านช่องโหว่ SaltStack

Cisco ได้เปิดเผยว่าเซิร์ฟเวอร์แบ็กเอนด์ของ Cisco Virtual Internet Routing Lab Personal Edition (VIRL-PE) บางส่วนถูกโจมตี โดยการโจมตีนั้นใช้ประโยน์จากช่องโหว่ SaltStack

Cisco ระบุว่าเซิร์ฟเวอร์ Cisco maintained salt-master ที่เป็นเซอร์วิสของ Cisco VIRL-PE เวอร์ชั่น 1.2 และ 1.3 นั้นถูกโจมตี โดยแฮกเกอร์ได้ทำการโจมตีเซิร์ฟเวอร์แบ็กเอนด์ของ Cisco จำนวน 6 เเห่งคือ us-1.virl.

Google TAG เผยอินเดียกำลังเป็นแหล่งยอดฮิตของธุรกิจ Hack for Hire

Google Threat Analysis Group (TAG) หรือ Google TAG ซึ่งเป็นทีมที่ติดตามกลุ่มอาชญากรรมระดับสูงและอาชญากรรมทางไซเบอร์ของ Google ได้เผยแพร่รายงานประจำไตรมาสที่ 1 ปี 2020 ซึ่งเป็นรายงานจากการติดตามกลุ่มอาชญากรรมไซเบอร์ที่เป็นผู้โจมตีหรือได้รับการสนับสนุนจากรัฐบาลมากกว่า 270 กลุ่มจากกว่า 50 ประเทศ โดยประเด็นที่น่าสนใจมีดังนี้

ความพยายามในการแฮ็กและฟิชชิงของกลุ่มต่างๆ
ปัจจุบันจากการเเพร่ของโรค Coronavirus หรือ COVID-19 ที่เกิดการเเพร่กระจายเป็นจำนวนมากทำให้กลุ่มอาชญากรรมไซเบอร์ใช้ประโยชน์จากเหตุการณ์นี้เพื่อทำการแฮ็กและฟิชชิงข้อมูลโดยพุ่งเป้าหมายไปที่ ผู้นำธุรกิจ, บริษัทที่ให้บริการด้านการเงินและการให้คำปรึกษา, บริษัทด้านการดูแลสุขภาพในหลายประเทศ เช่น สหรัฐอเมริกา, สโลวีเนีย, แคนาดา, อินเดีย, บาห์เรน, ไซปรัสและสหราชอาณาจักร ตัวอย่างกิจกรรมทางไซเบอร์ที่เห็นได้ชัดคือ บริษัท “hack-for-hire” หรือบริษัทรับจ้างแฮกข้อมูลทางอินเตอร์เน็ตในประเทศอินเดียได้ทำการสร้างแอคเคาท์ Gmail ที่ทำการปลอมเเปลงเป็น WHO เพื่อใช้ในการฟิชชิงกลุ่มเป้าหมาย โดยทั้งนี้ Google TAG มองว่าบริษัท “hack-for-hire” ในอินเดียมีการเติบโตและมีจำนวนมากขึ้นจากไตรมาสก่อน

การดำเนินการเคลื่อนไหวทางการเมือง
ปัจจุบันกลุ่มที่ได้รับการสนับสนุนจากรัฐบาลหรือรัฐสนับสนุนมีเป้าหมายเพื่อการดำเนินการเคลื่อนไหวทางการเมืองโดยใช้การดำเนินการในเครือข่ายเว็บไซต์ของ Google เช่น YouTube, Play Store, AdSense นั้นมีมากขึ้นและทาง Google รับเเจ้งให้ได้ทำการตรวจเป็นจำนวนมากหลังจากการตรวจสอบ Google ได้ทำการยกเลิกบัญชีช่อง YouTube และบัญชีการโฆษณาเป็นจำนวนมากในช่วงที่ผ่านมา

ทั้งนี้ผู้ที่สนใจรายละเอียดเพิ่มเติมสามารถเข้าไปอ่านต่อได้ที่: https://blog.

บริษัท ASCO ผู้ผลิตชิ้นส่วนเครื่องบินในรัฐนิวเจอร์ซีย์ ซึ่งถือว่าเป็นหนึ่งในซัพพลายเออร์ผู้ผลิตชิ้นส่วนเครื่องบินที่ใหญ่ที่สุดในโลก ถูกโจมตีระบบไอทีด้วย Ransomware ทำให้ต้องหยุดกระบวนการผลิตของโรงงานใน 4 ประเทศ ซึ่งได้แก่ สหรัฐอเมริกา, เบลเยียม, เยอรมนีและแคนาดาเป็นเวลาหนึ่งสัปดาห์ ส่งผลให้พนักงานกว่าประมาณ 1,000 คนไม่มีงานทำ

Asco เป็นซัพพลายเออร์อะไหล่ให้กับบริษัทต่างๆ เช่น Airbus, Boeing, Bombardier และ Lockheed Martin และยังผลิตชิ้นส่วนให้กับเครื่องบินทหารเช่น F-35 fighter jet

เบื้องต้นยังไม่มีการเปิดเผยว่าบริษัท ASCO ติด ransomware ตัวใด

ที่มา: zdnet