โปรแกรม Notepad++ ปลอมถูกโฆษณาผ่าน Google ads โดยไม่ถูกตรวจจับเป็นเวลาหลายเดือน

นักวิจัยพบแคมเปญโฆษณามัลแวร์ใน Google Search ที่มุ่งเป้าไปที่ผู้ใช้งานที่ต้องการดาวน์โหลดโปรแกรมแก้ไขข้อความ Notepad++ ที่เป็นที่นิยม โดยใช้เทคนิคเพื่อหลีกเลี่ยงการตรวจจับ และการวิเคราะห์

โดยพบว่าช่วงที่ผ่านมาผู้โจมตีใช้ Google Ads ในทางที่ผิดมากขึ้นเรื่อย ๆ ในการโฆษณาเพื่อโปรโมทเว็บไซต์ของซอฟต์แวร์ปลอมที่ใช้ในการแพร่กระจายมัลแวร์

จากข้อมูลของ Malwarebytes ซึ่งตรวจพบแคมเปญโฆษณามัลแวร์ Notepad++ พบว่ามีการใช้งานมาแล้วหลายเดือน แต่ก็ยังสามารถเข้าถึงได้อยู่ตลอดเวลา

payload ที่จะถูกส่งไปยังเหยื่อยังไม่แน่ชัด แต่ Malwarebytes ระบุว่ามีแนวโน้มมากที่สุดคือ Cobalt Strike ซึ่งมักจะนำไปสู่การติดตั้ง ransomware ที่สร้างความเสียหายอย่างมาก (more…)

แพ็กเกจ NuGet ที่เป็นอันตราย มุ่งเป้าหมายไปที่นักพัฒนา .NET ด้วย SeroXen RAT

พบแพ็กเกจที่เป็นอันตรายที่โฮสต์บน NuGet package manager สำหรับ .NET Framework ที่ถูกใช้เพื่อติดตั้งมัลแวร์ในการเข้าถึงจากระยะไกล (RAT) ที่เรียกว่า SeroXen RAT

บริษัทด้านความปลอดภัยซอฟต์แวร์ supply chain Phylum ระบุในรายงานว่า แพ็กเกจดังกล่าวมีชื่อว่า Pathoschild.

การโจมตีด้วยแรนซัมแวร์เพิ่มขึ้นเป็นสองเท่า เตรียมพร้อมสำหรับภัยคุกคามทางไซเบอร์ในปี 2024

การโจมตีด้วยแรนซัมแวร์มีความซับซ้อน และความสามารถเพิ่มขึ้นอย่างมากในช่วงปีที่ผ่านมา ตั้งแต่เทคนิคการหลีกเลี่ยงการตรวจจับ และเทคนิคป้องกันการวิเคราะห์ใหม่ ๆ ไปจนถึงแรนซัมแวร์ที่ถูกเขียนด้วยภาษาโปรแกรมใหม่ ๆ กลุ่มแรนซัมแวร์ได้ปรับเปลี่ยนกลยุทธ์ของตนเองเพื่อหลีกเลี่ยงกลยุทธ์ป้องกันทั่วไปได้อย่างมีประสิทธิภาพมากขึ้น (more…)

มัลแวร์ DarkGate แพร่กระจายผ่านบัญชี Skype ที่ถูกแฮ็ก

ระหว่างเดือนกรกฎาคม ถึงกันยายน การโจมตีด้วยมัลแวร์ DarkGate ได้ใช้บัญชี Skype ที่ถูกแฮ็กเพื่อติดตั้งบนเครื่องเป้าหมาย ผ่านข้อความที่มีไฟล์แนบสคริปต์ VBA loader (more…)

แพตซ์อัปเดตความปลอดภัยของ Windows 10 ในเดือนตุลาคมไม่สามารถติดตั้งได้

Microsoft รายงานว่าการอัปเดตแพตซ์ความปลอดภัยของ Windows 10 ที่ถูกปล่อยในช่วง "Patch Tuesday" ประจำเดือนนี้อาจล้มเหลวในการติดตั้ง พร้อมกับเกิดข้อผิดพลาด 0x8007000d แม้ว่าตอนแรกจะแสดงผลความคืบหน้าในการติดตั้ง (more…)

นักวิจัยเปิดเผยชุดเครื่องมือใหม่ของกลุ่ม ToddyCat ที่ใช้สำหรับการขโมยข้อมูล

กลุ่ม APT ที่เป็นที่รู้จักกันในชื่อ ToddyCat ถูกคาดว่ามีความเกี่ยวข้องกับชุดเครื่องมือใหม่ที่ถูกออกแบบมาเพื่อการขโมยข้อมูล ซึ่งทำให้นักวิจัยสามารถเข้าใจรูปแบบการทำงานของของกลุ่มแฮ็กเกอร์กลุ่มนี้ได้ดีขึ้น (more…)

ช่องโหว่ Zero-Day ของ HTTP/2 Rapid Reset ถูกใช้เพื่อโจมตีแบบ DDoS เป็นสถิติใหม่

Amazon Web Services (AWS), Cloudflare และ Google ได้ประกาศในวันอังคารที่ผ่านมาว่า ได้ดำเนินการเพื่อลดผลกระทบของการโจมตีแบบ Distributed Denial-of-Service (DDoS) ที่ใหญ่ที่สุดเท่าที่เคยมีมา ซึ่งใช้เทคนิคใหม่ที่เรียกว่า HTTP/2 Rapid Reset

โดยบริษัทต่าง ๆ ได้เปิดเผยข้อมูลร่วมกันว่าการโจมตีใน Layer 7 ครั้งนี้ ถูกพบในช่วงปลายเดือนสิงหาคม 2023 โดยมีความเกี่ยวข้องกับช่องโหว่หมายเลข CVE-2023-44487 ซึ่งมีคะแนน CVSS สูงถึง 7.5 จากเต็ม 10 คะแนน

ในขณะที่การโจมตีที่มุ่งเป้าไปที่ระบบคลาวด์ของ Google มีปริมาณสูงสุดที่ 398 ล้าน requests ต่อวินาที (RPS) ส่วนการโจมตีที่มุ่งเป้าไปที่ AWS และ Cloudflare นั้นมีปริมาณสูงกว่า 155 ล้าน requests ต่อวินาที และ 201 ล้าน requests ต่อวินาทีตามลำดับ (more…)

อุปกรณ์ขยายสัญญาณ D-Link WiFi มีช่องโหว่สำหรับการโจมตีแบบ command injection

อุปกรณ์ขยายสัญญาณ WiFi 6 ยอดนิยมอย่าง D-Link DAP-X1860 มีช่องโหว่ที่ทำให้เกิดการโจมตีแบบ DoS (denial of service) และการโจมตีแบบ command injection ได้

โดยอุปกรณ์ขยายสัญญาณ WiFi 6 รุ่น D-Link DAP-X1860 เป็นอุปกรณ์ที่ได้รับความนิยมอย่างมากจากผู้ใช้งาน เนื่องจากเป็นอุปกรณ์ที่มีราคาไม่แพง และใช้งานง่าย รวมถึงยังได้รับคะแนนรีวิวที่ดีเยี่ยมจากผู้ใช้งานบนเว็บไซต์ Amazon อีกด้วย

ทีมนักวิจัยจากประเทศเยอรมนี (RedTeam) ที่เป็นผู้ค้นพบช่องโหว่นี้ ซึ่งมีหมายเลข CVE-2023-45208 ระบุว่า แม้จะพยายามแจ้งเตือนไปยัง D-Link หลายครั้ง แต่ยังไม่ได้รับการตอบกลับ และไม่มีการเผยแพร่แพตซ์สำหรับแก้ไข

รายละเอียดช่องโหว่

ปัญหาอยู่ที่ฟังก์ชันการสแกนเครือข่ายของ D-Link DAP-X1860 โดยเฉพาะการที่ไม่สามารถวิเคราะห์ SSID ที่มีเครื่องหมาย (') ในชื่อได้ โดยทำให้มีการอ่านความหมายผิดว่าเป็นการสิ้นสุดคำสั่ง

ในทางเทคนิคแล้วปัญหานี้มาจากฟังก์ชัน parsing_xml_stasurvey ในไลบรารี libcgifunc.

ช่องโหว่ใหม่ใน Citrix NetScaler อาจทำให้มีการเปิดเผยข้อมูลที่มีความสำคัญ

พบช่องโหว่ information disclosure ระดับ Critical ใน Citrix NetScaler ADC และ Citrix NetScaler Gateway ซึ่งอาจส่งผลให้มีการเปิดเผยข้อมูลที่มีความสำคัญ จากอุปกรณ์ที่มีช่องโหว่ได้

ช่องโหว่นี้มีหมายเลข CVE-2023-4966 และได้รับคะแนน CVSS ที่ระดับ 9.4 โดยช่องโหว่นี้สามารถถูกโจมตีจากภายนอกได้โดยไม่จำเป็นต้องใช้ User ที่มีสิทธิ์สูง การโต้ตอบจากผู้ใช้ และง่ายต่อการโจมตี

อย่างไรก็ตาม ช่องโหว่นี้จะส่งผลกระทบต่ออุปกรณ์ Citrix NetScaler ADC และ Citrix NetScaler Gateway ที่ถูกกำหนดค่าให้เป็น Gateway (VPN virtual server, ICA Proxy, CVPN, RDP Proxy) หรือ AAA virtual server เท่านั้น

แม้ว่าช่องโหว่นี้อาจทำให้มีการเปิดเผยข้อมูลที่มีความสำคัญ แต่ Citrix ยังไม่ได้ให้รายละเอียดใด ๆ เกี่ยวกับช่องโหว่ดังกล่าว

อีกช่องโหว่ที่ถูกเปิดเผยคือ CVE-2023-4967 ซึ่งเป็นช่องโหว่ที่มีระดับความรุนแรงสูง (คะแนน CVSS: 8.2) ที่มีเงื่อนไขในลักษณะเดียวกัน ซึ่งอาจทำให้เกิดการโจมตีแบบ denial of service (DoS) บนอุปกรณ์ที่มีช่องโหว่ได้

เวอร์ชันของ Citrix ได้รับผลกระทบมีดังนี้:

NetScaler ADC and NetScaler Gateway 14.1 before 14.1-8.50
NetScaler ADC and NetScaler Gateway 13.1 before 13.1-49.15
NetScaler ADC and NetScaler Gateway 13.0 before 13.0-92.19
NetScaler ADC 13.1-FIPS before 13.1-37.164
NetScaler ADC 12.1-FIPS before 12.1-55.300
NetScaler ADC 12.1-NDcPP before 12.1-55.300
โดยแนะนำให้ผู้ใช้งานอัปเกรดเป็นเวอร์ชันที่ได้รับการแก้ไขทั้ง 2 ช่องโหว่แล้ว โดยทาง Citrix ไม่ได้ให้คำแนะนำในการลดความเสี่ยง หรือวิธีแก้ไขปัญหาชั่วคราวสำหรับช่องโหว่ครั้งนี้

ประกาศด้านความปลอดภัยของ Citrix ระบุว่า "แนะนำให้ลูกค้าที่ได้รับผลกระทบของ NetScaler ADC และ NetScaler Gateway ติดตั้งเวอร์ชันอัปเดตล่าสุดของ NetScaler ADC และ NetScaler Gateway โดยเร็วที่สุด"

เวอร์ชันเป้าหมายที่จะมีการอัปเกรดมีดังนี้:

NetScaler ADC and NetScaler Gateway 14.1-8.50 and later
NetScaler ADC and NetScaler Gateway 13.1-49.15 and later releases of 13.1
NetScaler ADC and NetScaler Gateway 13.0-92.19 and later releases of 13.0
NetScaler ADC 13.1-FIPS 13.1-37.164 and later releases of 13.1-FIPS
NetScaler ADC 12.1-FIPS 12.1-55.300 and later releases of 12.1-FIPS
NetScaler ADC 12.1-NDcPP 12.1-55.300 and later releases of 12.1-NDcPP
เวอร์ชัน 12.1 ของ Citrix NetScaler ADC และ Citrix NetScaler Gateway ได้ถึงวันที่สิ้นสุดการสนับสนุน (EOL) และจะไม่ได้รับการสนับสนุนจาก Citrix อีกต่อไป ดังนั้นผู้ใช้งานควรอัปเกรดเป็นเวอร์ชันที่ใหม่กว่า เพื่อให้ได้รับการสนับสนุนอย่างต่อเนื่อง

ช่องโหว่ที่มีระดับความรุนแรงสูงในผลิตภัณฑ์ของ Citrix เป็นสิ่งที่แฮ็กเกอร์ต้องการอย่างมาก เนื่องจากองค์กรขนาดใหญ่มักใช้อุปกรณ์เหล่านี้

ที่มา : bleepingcomputer.

กลุ่มแฮ็กเกอร์ที่เกี่ยวข้องกับกาซาโจมตีองค์กรภาคพลังงาน และการป้องกันประเทศของอิสราเอล

กลุ่มผู้โจมตีทางไซเบอร์ที่คาดว่าอยู่ในกาซา ถูกเชื่อมโยงเข้ากับการโจมตีทางไซเบอร์หลายครั้ง ที่มุ่งเป้าไปที่องค์กรพลังงาน, การป้องกัน และการสื่อสารโทรคมนาคมของภาคเอกชนของอิสราเอล

Microsoft เปิดเผยรายละเอียดของการโจมตีในรายงาน Digital Defense ประจำปีฉบับที่สี่ และติดตามแคมเปญนี้ภายใต้ชื่อ Storm-1133

Microsoft ประเมินว่ากลุ่มผู้โจมตีกลุ่มนี้ทำงานเพื่อส่งเสริมผลประโยชน์ของกลุ่มฮามาส ซึ่งเป็นกลุ่มติดอาวุธนิกายซุนนีที่เป็นหน่วยงานที่เป็นผู้ปกครองในฉนวนกาซา เนื่องจากพฤติกรรมที่เชื่อมโยงกับการโจมตีกลุ่มนี้ ได้ส่งผลกระทบต่อองค์กรต่าง ๆ ที่ถูกมองว่าเป็นศัตรูของฮามาสเป็นส่วนใหญ่

เป้าหมายของแคมเปญนี้เป็นองค์กรในภาคพลังงาน และกลุ่มป้องกัน และรักษาความมั่นคงของอิสราเอล และหน่วยงานที่จงรักภักดีต่อกลุ่มฟาตาห์ ซึ่งเป็นพรรคชาตินิยมปาเลสไตน์ และมีสำนักงานใหญ่อยู่ในภูมิภาคเวสต์แบงก์

การโจมตีได้ใช้เทคนิคการผสมผสานระหว่าง social engineering และบัญชีปลอมบน LinkedIn ที่ปลอมตัวเป็นผู้จัดการฝ่ายทรัพยากรบุคคล ผู้ควบคุมโครงการ และนักพัฒนาซอฟต์แวร์ชาวอิสราเอล เพื่อติดต่อ และส่งข้อความฟิชชิ่ง ทำการสอดแนม และส่งมัลแวร์ให้กับพนักงานองค์กรในอิสราเอล

Microsoft ยังพบว่ากลุ่ม Storm-1133 พยายามแทรกซึมองค์กร third-party ที่มีความสัมพันธ์กับอิสราเอล

การโจมตีเหล่านี้ถูกออกแบบมาเพื่อติดตั้ง backdoor ควบคู่ไปกับการกำหนดค่าที่ทำให้ผู้โจมตีสามารถอัปเดตการสั่งการจาก C2 ที่อยู่บน Google Drive

รายงานนี้มาพร้อมกับการยกระดับความขัดแย้งระหว่างอิสราเอลกับปาเลสไตน์ ซึ่งสอดคล้องกับการเพิ่มขึ้นของการดำเนินการของกลุ่มแฮ็กเกอร์จากปาเลสไตน์ เช่น Ghosts of Palestine ซึ่งมีเป้าหมายเพื่อปิดเว็บไซต์รัฐบาล และระบบไอทีในอิสราเอล สหรัฐอเมริกา และอินเดีย

"Falconfeeds.