อัปเดตเร่งด่วนบน Windows 10 เพื่อแก้ไขปัญหาบน Microsoft Store app

 

Microsoft ได้ออกอัปเดตแพตซ์แบบ out-of-band ในช่วงเย็นวันพฤหัสบดีที่ผ่านมา เพื่อแก้ไขปัญหาใหม่ที่พบซึ่งส่งผลต่อแอปบน Microsoft Store

โดยในระบบที่ได้รับผลกระทบ ผู้ใช้งานอาจประสบปัญหาในการเปิด หรือติดตั้งแอปจาก Microsoft Store โดยในบางกรณีอาจยังพบ error code : 0xC002001B

ปัญหาที่นี้ส่งผลต่ออุปกรณ์ที่ใช้ Windows 10 (เวอร์ชัน 21H2, 21H1 และ 20H2) ซึ่งผู้ใช้งานที่ได้ติดตั้ง KB5011831 ที่เผยแพร่ตั้งแต่วันที่ 25 เมษายนที่ผ่านมา

"หลังจากติดตั้ง KB5011831 หรือแพตซ์หลังจากนั้น ผู้ใช้งานอาจพบข้อความ error code:0xC002001B เมื่อพยายามติดตั้งแอปจาก Microsoft Store" Microsoft อธิบาย

"แอปบน Microsoft Store บางแอปอาจเปิดไม่ได้เช่นกัน โดย Windows ที่ได้รับผลกระทบ จะพบว่ามีการใช้งาน CPU ซึ่งรองรับ Control-flow Enforcement Technology (CET) เช่น CPU Intel Gen.

Cisco แนะนำให้ผู้ดูแลระบบอัปเดตแพตซ์แก้ไขช่องโหว่ zero-day บน IOS XR

Cisco ได้แก้ไขช่องโหว่ Zero-day ในซอฟต์แวร์ IOS XR Router ซึ่งทำให้ผู้โจมตีที่ไม่มีสิทธิ์สามารถเข้าถึง Redis instances ที่รันอยู่บน NOSi Docker containers ได้

IOS XR Network OS ถูกใช้บน Router ของ Cisco หลายตัว รวมถึง Router NCS 540 & 560, NCS 5500, 8000 และ ASR 9000 series

ช่องโหว่ที่พบมีหมายเลข CVE-2022-20821 ถูกค้นพบในระหว่างการแก้ไขปัญหาให้กับผู้ใช้งานของทีม Cisco TAC (Technical Assistance Center)

Cisco ได้ออกมาอธิบายเกี่ยวกับการโจมตีนี้ว่า "ช่องโหว่นี้เกิดจากการตรวจสอบสถานะของ RPM มีการเปิดใช้งานพอร์ต TCP 6379 เป็นค่าเริ่มต้น ซึ่งทำให้ผู้โจมตีสามารถโจมตีช่องโหว่นี้เพื่อเชื่อมต่อกับ Redis instances บนพอร์ตที่เปิดอยู่"

"หากโจมตีได้สำเร็จอาจทำให้ผู้โจมตีเข้าถึงฐานข้อมูล หน่วยความจำ และดึงข้อมูลบนฐานข้อมูลของ Redis ออกไปได้"

แต่การโจมตีช่องโหว่นี้ ผู้โจมตีจะไม่สามารถสั่งรันโค้ดที่เป็นอันตรายจากระยะไกลเพื่อเข้าควบคุมเครื่องได้ เนื่องจาก Redis Instance นั้นรันอยู่ใน sandboxed container

แม้ว่าช่องโหว่นี้จะมีผลกับ Router Cisco 8000 Series ที่มีการติดตั้ง และใช้งาน Health check RPM เท่านั้น แต่ Cisco ได้แนะนำให้ผู้ใช้งานรีบดำเนินการอัปเดตแพตซ์โดยด่วน หรือปฏิบัติตามคำแนะนำเพื่อแก้ไขปัญหาชั่วคราว กับอุปกรณ์ที่ใช้ซอฟต์แวร์ที่มีช่องโหว่ที่ยังไม่สามารถดำเนินการอัปเดตได้

Cisco PSIRT ได้กล่าวว่า "เรากังวลว่าอาจจะพบการโจมตีเกิดขึ้นจริงจากช่องโหว่ดังกล่าวภายในเดือนพฤษภาคม พ.ศ. 2565"

"Cisco แนะนำให้ผู้ใช้งานปฏิบัติตามคำแนะนำเพื่อแก้ไขปัญหาชั่วคราว หรือทำการ Upgrade ซอฟต์แวร์ให้เป็นปัจจุบันเพื่อแก้ไขช่องโหว่นี้"

คำแนะนำเพื่อแก้ไขปัญหาชั่วคราว
สำหรับผู้ใช้งานที่ยังไม่สามารถอัปเดตความปลอดภัยได้ เพื่อป้องกันการถูกโจมตีจากช่องโหว่ CVE-2022-20821 สามารถแก้ไขปัญหาเบื้องต้นได้ดังนี้

ผู้ดูแลระบบต้องทำการ disable health check และลบ health check RPM ออกจากอุปกรณ์ที่มีช่องโหว่ หากต้องการดูว่าอุปกรณ์ได้รับผลกระทบหรือไม่ สามารถใช้คำสั่ง run docker ps และหา docker container ที่ชื่อว่า NOSi
ผู้ดูแลระบบยังสามารถใช้ Infrastructure Access Control List (iACLs) เพื่อบล็อกพอร์ต 6379 ไม่ให้ผู้โจมตีสามารถเข้าถึง Redis instances ได้
Cisco แนะนำว่า "วิธีแก้ไขปัญหาชั่วคราว อาจส่งผลกระทบต่อการทำงาน หรือประสิทธิภาพของเครือข่าย แนะนำให้ผู้ดูแลระบบประเมินการแก้ไขโดยอิงจากสถานการณ์ และข้อจำกัดในการใช้งานบนระบบของตน"

ก่อนหน้านี้ Cisco ได้แก้ไขช่องโหว่บน NFVIS ที่ทำให้ผู้โจมตีสามารถเรียกใช้คำสั่งด้วยสิทธิ์ของ root และช่องโหว่บน Cisco Umbrella Virtual Appliance (VA)
ที่ทำให้ผู้โจมตีที่ไม่ผ่านการตรวจสอบสิทธิ์สามารถขโมยข้อมูล credentials ของผู้ดูแลระบบได้

ที่มา : bleepingcomputer

Microsoft ตรวจพบการเพิ่มขึ้นอย่างรวดเร็วของมัลแวร์ Linux XorDDoS

Microsoft พบว่ามัลแวร์ที่ถูกใช้ในการโจมตีระบบปฏิบัติการ Linux และสร้าง DDoS botnet ได้เพิ่มขึ้นมากถึง 254% ในช่วงหกเดือนที่ผ่านมา ซึ่งสอดคล้องกับทาง CrowdStrike ที่พบว่ามัลแวร์บน Linux มีการเติบโต 35% ในช่วงปี 2021 เมื่อเทียบกับปีที่แล้ว และ Intezer เปิดเผยในรายงานเดือนกุมภาพันธ์ 2021 ว่ามัลแวร์ Linux เพิ่มขึ้นประมาณ 40% ในปี 2020 เมื่อเทียบกับปี 2019

XorDDoS, Mirai, Mozi เป็นกลุ่มที่แพร่หลายมากที่สุด คิดเป็น 22% ของการโจมตีมัลแวร์ทั้งหมดที่กำหนดเป้าหมายไปยังอุปกรณ์ Linux ในปี 2021 และในมัลแวร์ 3 ตัวนี้ CrowdStrike กล่าวว่า XorDDoS มีการเพิ่มขึ้นอย่างเด่นชัดเมื่อเทียบเป็นรายปีถึง 123%

มัลแวร์นี้ถูกพบตั้งแต่ปี 2014 เรียกว่า XorDDoS เนื่องจากมีการใช้การเข้ารหัสแบบ XOR เมื่อเชื่อมต่อกับเซิร์ฟเวอร์ command-and-control (C2) และถูกใช้เพื่อโจมตีแบบ DDoS โดยเป็นที่รู้จักจากการมุ่งเป้าหมายไปยังระบบปฏิบัติการ Linux จำนวนมาก ตั้งแต่ ARM (IoT) ไปจนถึง x64 (Servers) และการโจมตีโดยใช้ช่องโหว่ SSH brute-force

ความสำเร็จของมัลแวร์ XorDDos คาดว่ามาจากมัลแวร์ใช้วิธีหลบเลี่ยงการตรวจจับต่างๆ ซึ่งทำให้ตรวจพบ และลบออกได้ยาก เช่น วิธีการเขียนทับไฟล์ด้วย null byte ทำให้สามารถเลี่ยงการตรวจจับไฟล์ที่เป็นอันตรายโดยใช้ค่าแฮชได้ ,การใช้ shell script ในการแพร่กระจายไปยังอุปกรณ์อื่นๆ พยายามเข้าสู่ระบบในฐานะรูทโดยใช้รหัสผ่านต่างๆ ที่มีการเปิดเผยในอินเทอร์เน็ตนับพันระบบ ,การติดตั้ง rootkits รักษาการเข้าถึงอุปกรณ์ที่ถูกแฮ็ก และทิ้งเพย์โหลดที่เป็นอันตรายเพิ่มเติม โดยอุปกรณ์ที่ติด XorDDos ครั้งแรกนั้นจะติดมัลแวร์เพิ่มเติมในภายหลัง เช่น Tsunami backdoor ซึ่งปรับใช้ในการขุดเหรียญ XMRig

ที่มา: bleepingcomputer

มัลแวร์ Snake Keylogger แอบฝังไฟล์ Microsoft Word ที่เป็นอันตรายเข้าไปภายในไฟล์ PDF

นักวิเคราะห์ภัยคุกคามได้ค้นพบแคมเปญเกี่ยวกับการกระจายมัลแวร์รูปแบบใหม่ โดยใช้ไฟล์แนบที่เป็น PDF แล้วฝังการเรียกใช้งานไฟล์เอกสาร Microsoft Word ที่เป็นอันตรายไว้ภายใน

ในรายงานของนักวิจัยจาก HP Wolf Security ได้ระบุว่าไฟล์ PDF ได้ถูกใช้เป็นเครื่องมือในการส่งเอกสารที่มี Macro ที่เป็นอันตราย ที่จะใช้ในการดาวน์โหลด และติดตั้ง Malware ขโมยข้อมูลของเครื่องเหยื่อโดยการฝังเอกสาร Microsoft Word ไว้ในไฟล์ PDFs

โดยในแคมเปญนี้ทางผู้โจมตีจะมีการส่งอีเมล์ที่มีการแนบไฟล์ PDF ที่มีชื่อว่า “Remittance Invoice” ซึ่งรายละเอียดภายในอีเมลระบุว่าจะมีการจ่ายเงินให้กับผู้รับ และเมื่อเปิดไฟล์ PDF ขึ้นมาก็จะมีการแจ้งให้ผู้ใช้เปิดไฟล์ DOCX ที่อยู่ภายใน ซึ่งอาจทำให้เหยื่อหลงเชื่อ และยอมอนุญาตให้เปิดไฟล์ขึ้นมาได้

(more…)

แฮ็กเกอร์หลอกให้ผู้ใช้ดาวน์โหลด Windows 11 ปลอม เพื่อติดตั้งมัลแวร์ Vidar

Zscaler ได้กล่าวในรายงานถึงเว็บไซต์ที่ปลอมเป็นหน้าดาวน์โหลด official Microsoft Windows 11 เวอร์ชันล่าสุด ที่ถูกสร้างขึ้นเพื่อแจกจ่ายไฟล์ ISO ที่เป็นอันตราย และติดตั้งมัลแวร์ Vidar info-stealer ที่เครื่องปลายทาง และมัลแวร์ Vidar เหล่านี้ยังดึงข้อมูล C2 configuration จากโฮสต์ social media channels ที่ควบคุมโดยผู้โจมตี บนเครือข่าย Telegram และ Mastodon

เมื่อวันที่ 20 เมษายนที่ผ่านมา ผู้โจมตีได้ลงทะเบียนโดเมนหลายโดเมนที่ใช้ในการกระจายมัลแวร์ โดยรายชื่อโดเมนทั้งหมดที่มีการเชื่อมโยงกับผู้โจมตีจะระบุอยู่ในส่วน Indicators of Compromise (IOC) ด้านล่างของรายงานนี้

บริษัทรักษาความปลอดภัยทางไซเบอร์ยังเตือนถึงการโจมตีของผู้โจมตีซึ่งนอกจากการแพร่กระจายไฟล์ .ISO แล้ว ยังแอบใช้ประโยชน์จาก Adobe Photoshop และซอฟต์แวร์ที่มีการใช้งานตามปกติอื่นๆ เช่น Microsoft Teams เพื่อส่งมัลแวร์ Vidar อีกด้วย

ในส่วนของไบนารีในไฟล์ ISO เป็นไบนารี PE32 และมีขนาดไฟล์ที่ใหญ่ผิดปกติ (มากกว่า 300 MB) ซึ่งจะช่วยให้ผู้โจมตีสามารถหลบเลี่ยงการตรวจจับของระบบรักษาความปลอดภัยของเครือข่ายที่มีการจำกัดขนาดไฟล์ได้ และไบนารีในไฟล์ ISO ได้ signed ด้วยใบรับรองที่หมดอายุจาก Avast ซึ่งมีแนวโน้มว่าจะถูกขโมยหลังจากการโจมตีในเดือนตุลาคม 2019

(more…)

Conti ransomware ยุติปฏิบัติการ เพื่อรีแบรนด์กลุ่มให้เล็กลง

กลุ่ม Conti ransomware ที่โด่งดังได้ยุติปฏิบัติการอย่างเป็นทางการแล้ว โดยหัวหน้าของกลุ่ม Conti แจ้งว่าจะไม่มีการใช้ชื่อ Conti อีกต่อไป

ข้อมูลนี้มาจาก Yelisey Boguslavskiy จากบริษัท Advanced Intel ซึ่งทวิตว่าระบบที่ใช้ในปฏิบัติการของกลุ่ม Conti ได้ปิดตัวลงแล้ว ในขณะที่เว็บไซต์ที่เข้าถึงได้จากสาธาณะอย่าง 'Conti News' และเว็บไซต์สำหรับการเจรจาเรียกค่าไถ่ยังคงออนไลน์อยู่ แต่ Boguslavskiy บอกกับ BleepingComputer ว่า Tor admin panels ที่สมาชิกใช้ในการพูดคุย และเผยแพร่ข่าวการรั่วไหลของข้อมูลนั้นออฟไลน์อยู่ นอกจากนี้ BleepingComputer ยังได้รับแจ้งว่าบริการภายในอื่นๆ เช่น rocket chat servers กำลังจะถูกยกเลิกการใช้งาน

แม้ว่าจะค่อนข้างแปลกที่ปฏิบัติการของกลุ่ม Conti จะปิดตัวลง ทั้งที่ยังอยู่ระหว่างการโจมตีรัฐบาล Costa Rica แต่ Boguslavskiy เชื่อว่าการโจมตีนี้มีขึ้นเพื่อถ่วงเวลาให้สมาชิกของกลุ่มค่อยๆย้ายการปฏิบัติการไปยังชื่อกลุ่มใหม่ที่เล็กลงกว่าเดิม

ซึ่งการค้นพบของ AdvIntel นำไปสู่ข้อสรุปคือ “เป้าหมายเดียวที่ Conti ต้องการในการโจมตีครั้งสุดท้ายคือการใช้แพลตฟอร์มในการประชาสัมพันธ์ว่าจะยุติปฏิบัติการ และกลับมาใหม่ในรูปแบบที่ดีขึ้นกว่าเดิม”

(more…)

ข้อมูลของนักเรียนในรัฐชิคาโก้ สหรัฐอเมริการั่วไหลกว่า 500,000 รายชื่อ หลังจากถูกโจมตีด้วย Ransomware

โรงเรียนในรัฐชิคาโกประสบกับปัญหาข้อมูลรั่วไหลครั้งใหญ่ ซึ่งทำให้ข้อมูลของนักเรียนเกือบ 500,000 คน และพนักงานเกือบ 60,000 คนได้รับผลกระทบ หลังจากที่บริษัท Battelle for Kids ถูกโจมตีด้วยแรนซัมแวร์ในเดือนธันวาคม

Battelle for Kids ซึ่งตั้งอยู่ในรัฐโอไฮโอเป็นองค์กรการศึกษาที่ไม่แสวงหาผลกำไรที่วิเคราะห์ข้อมูลนักเรียนที่แชร์โดยระบบโรงเรียนของรัฐเพื่อออกแบบรูปแบบการสอน และประเมินผลการปฏิบัติงานของครู

Battelle for Kid กล่าวว่าพวกเขาทำงานร่วมกับระบบโรงเรียน 267 แห่ง และโครงการต่างๆ โดยบริษัทมีข้อมูลของนักเรียนถึง 2.8 ล้านคน

การรั่วไหลของข้อมูลจำนวนมากของโรงเรียนในรัฐชิคาโก

เมื่อวานนี้ Chicago Public School (CPS) เปิดเผยว่าการโจมตีด้วยแรนซัมแวร์ในวันที่ 1 ธันวาคมที่ Battelle for Kids ได้ทำให้ข้อมูลของนักเรียนที่ถูกเก็บไว้ 495,448 คนและพนักงาน 56,138 คนในระบบโรงเรียนรั่วไหลออกไป

CPS ได้ร่วมมือกับ Battelle for Kids จัดทำระบบโรงเรียนเพื่ออัปโหลดข้อมูลหลักสูตรของนักเรียน และข้อมูลการประเมินสำหรับการประเมินครู

CPS กล่าวว่าข้อมูลที่จัดเก็บไว้ในเซิร์ฟเวอร์ของ Battelle for Kids เป็นข้อมูลสำหรับปีการศึกษา 2015 ถึง 2019

โดยผู้โจมตีสามารถเข้าถึงข้อมูล ชื่อ วันเกิด เพศ ระดับชั้น โรงเรียน หมายเลขประจำตัวนักเรียนของโรงเรียนรัฐบาลชิคาโก หมายเลขประจำตัวนักเรียนของรัฐ ข้อมูลเกี่ยวกับหลักสูตรของนักเรียน และคะแนนจากงานด้านประสิทธิภาพที่ใช้ในการประเมินครูในช่วงปีการศึกษา ส่วนข้อมูลของพนักงาน ผู้โจมตีอาจเข้าถึงชื่อ โรงเรียน หมายเลขประจำตัวพนักงาน CPS ที่อยู่อีเมล และชื่อผู้ใช้ Battelle for Kids ในช่วงปีการศึกษา 2015-2016, 2016-2017, 2017-2018 และ/หรือ 2018-2019

CPS กล่าวว่าไม่มีการเปิดเผยหมายเลขประกันสังคม ที่อยู่บ้าน ข้อมูลด้านสุขภาพ หรือข้อมูลทางการเงิน

CPS จัดทำระบบสำหรับการตรวจสอบ และการป้องกันการนำข้อมูลที่ถูกโจรกรรมไปใช้ในทางมิชอบ ให้กับนักเรียน หรือเจ้าหน้าที่ที่ได้รับผลกระทบสามารถเข้ามาใช้บริการการเฝ้าระวังข้อมูลของตนได้ฟรี

ในเดือนเมษายน เขตการศึกษาในโอไฮโอเริ่มออกการแจ้งเตือนการข้อมูลรั่วไหลเพื่อเตือนนักเรียน และเจ้าหน้าที่ว่าข้อมูลของพวกเขาอาจได้รับผลกระทบจากการโจมตีแรนซัมแวร์ใน Battelle for Kids

แม้ว่า CPS จะบอกว่าสัญญาของพวกเขากับ Battelle for Kids ต้องมีการแจ้งเตือนทันทีเกี่ยวกับการรั่วไหลของข้อมูล แต่จริงๆแล้ว CPS ได้รับทราบถึงการรั่วไหลของข้อมูลครั้งแรกในวันที่ 26 เมษายน 2022 ล่าช้าไปถึง 4 เดือนหลังจากที่ Battelle for Kids ถูกโจมตี

Battelle for Kids แจ้งให้เราทราบว่าสาเหตุของการแจ้ง CPS ล่าช้าคือระยะเวลาที่ Batelle ใช้ในการตรวจสอบความถูกต้องของการรั่วไหลของข้อมูล ผ่านการวิเคราะห์จากทีม forensic และเพื่อให้หน่วยงานบังคับใช้กฎหมายตรวจสอบ

แม้ว่าจะยังไม่มีข่าวว่ากลุ่มแรนซัมแวร์กลุ่มใดอยู่เบื้องหลังการโจมตีนี้ แต่ปกติแล้วทุกกลุ่มจะมีการทิ้งบันทึกค่าไถ่ไว้บนอุปกรณ์ที่เข้ารหัส ซึ่งจะมีที่อยู่อีเมล หรือลิงก์ไปยังเว็ปไซต์การเจรจาเรียกค่าไถ่ แก๊งแรนซัมแวร์มักให้หลักฐานว่าพวกเขาขโมยข้อมูลออกไป โดยแชร์รายชื่อโฟลเดอร์ที่ถูกขโมยทั้งหมด และบางครั้งก็แชร์ไฟล์แต่ละไฟล์เพื่อเป็นหลักฐาน เมื่อเหยื่อปฏิเสธที่จะจ่ายค่าไถ่ จากนั้นผู้โจมตีจึงจะเปิดเผยข้อมูลออกสู่ต่อสาธารณะต่อไป

ที่มา: bleepingcomputer

กลุ่ม Lazarus แฮ็กเกอร์ มุ่งเป้าโจมตี VMware servers ด้วยช่องโหว่ Log4Shell

กลุ่มแฮ็กเกอร์สัญชาติเกาหลีเหนือ ที่เป็นรู้จักกันในชื่อกลุ่ม Lazarus ได้ปฏิบัติการโจมตีโดยใช้ช่องโหว่ Log4J เพื่อวาง backdoor รวมถึง payload ที่ใช้สำหรับขโมยข้อมูลบนระบบ VMware Horizon servers

โดยช่องโหว่ CVE-2021-44228 หรือที่เรียกว่า Log4Shell ที่เกิดขึ้นเมื่อปีแล้วนั้น ส่งผลกระทบต่อผลิตภัณฑ์จำนวนมาก ซึ่ง VMware Horizon ก็เป็นหนึ่งในระบบที่ได้รับผลกระทบเช่นกัน

นักวิเคราะห์ที่ ASEC ของ Ahnlab ระบุว่ากลุ่ม Lazarus ได้กำหนดเป้าหมายการโจมตีรอบใหม่ไปยัง VMware Horizon ที่มีช่องโหว่ผ่าน Log4Shell ตั้งแต่เดือนเมษายน 2565 ซึ่งจริงๆแล้วช่องโหว่นี้ ถูกพบตั้งแต่เดือนมกราคม 2565 แต่ผู้ดูแลระบบจำนวนมากยังไม่ได้ทำการอัปเดตแพตช์

รายละเอียดการโจมตี

กลุ่ม Lazraus จะโจมตีโดยใช้ประโยชน์จากช่องโหว่ของ Log4j ผ่าน Apache Tomcat ของ VMware Horizon เพื่อดำเนินการรันคำสั่งบน PowerShell ในการติดตั้ง Backdoor ที่ชื่อว่า NukeSped

ซึ่ง NukeSped (หรือ NukeSpeed) เป็นมัลแวร์ที่เกี่ยวข้องกับแฮ็กเกอร์กลุ่ม DPRK ถูกพบครั้งแรกในฤดูร้อนปี 2561 และเชื่อมโยงกับแคมเปญในปี 2563 ที่ Lazarus จัดเตรียมไว้

หลังจาก NukeSped ถูกติดตั้ง มันจะทำการบันทึกกิจกรรมต่างๆของเครื่องที่ถูกติดตั้ง เช่น การจับภาพหน้าจอ บันทึกการกดปุ่ม การเข้าถึงไฟล์ ฯลฯ นอกจากนี้ NukeSped สามารถบันทึกข้อมูลที่พิมพ์บน Command Line ได้อีกด้วย

ล่าสุดมีรายงานว่า NukeSped มีการขโมยข้อมูลบน USB และยังสามารถเข้าถึงกล้องบน Labtop ได้อีกด้วย

ข้อมูลเพิ่มเติม

นอกจากนี้มีรายงานจากการวิเคราะห์ข้อมูลของ ASEC พบว่า Backdoor นี้ยังสามารถขโมยข้อมูลดังต่อไปนี้ได้อีกด้วย

ข้อมูลบัญชี และประวัติการเข้าใช้งานที่จัดเก็บไว้ใน Google Chrome, Mozilla Firefox, Internet Explorer, Opera และ Naver Whale
ข้อมูลบัญชีอีเมลที่เก็บไว้ใน Outlook Express, MS Office Outlook และ Windows Live Mail
ชื่อไฟล์ที่ใช้ล่าสุดจาก MS Office (PowerPoint, Excel และ Word) และ Hancom 2010
ในบางกรณี พบว่า Lazarus กำลังติดตั้ง Jin Miner แทน NukeSped โดยใช้ประโยชน์จาก Log4Shell ในการทำ cryptocurrency mining
แนวทางการป้องกัน

เพื่อเป็นการป้องกัน ผู้ดูแลระบบควรตรวจสอบ และอัปเดตอุปกรณ์ให้เป็นเวอร์ชันล่าสุดอยู่เสมอ และหมั่นติดตามข่าวสารอย่างใกล้ชิด

ที่มา : bleepingcomputer.

VMware ออกแพตช์แก้ไขช่องโหว่การเลี่ยงการตรวจสอบสิทธิ์ในหลายผลิตภัณฑ์

วันนี้ VMware ออกคำเตือนผู้ใช้งานให้รีบดำเนินการแก้ไขช่องโหว่การเลี่ยงการตรวจสอบสิทธิ์ทันที ซึ่งส่งผลกระทบต่อผู้ใช้งานบน local domain ในหลายผลิตภัณฑ์ ที่หากโจมตีได้สำเร็จผู้โจมตีจะได้สิทธิ์ของผู้ดูแลระบบ

CVE-2022-22972 ได้รับการรายงานโดยจาก Innotec Security โดยช่องโหว่ดังกล่าวส่งผลกระทบต่อ Workspace ONE Access, VMware Identity Manager (vIDM) และ vRealize Automation

"ผู้โจมตีที่สามารถเข้าถึงเครือข่ายไปยังหน้า UI อาจได้รับสิทธิ์การเข้าถึงในระดับผู้ดูแลระบบโดยไม่ต้องผ่านการตรวจสอบสิทธิ์" บริษัทกล่าว

แนะนำผู้ดูแลระบบให้ดำเนินการอัปเดตแพตช์ทันที

"ช่องโหว่ดังกล่าวควรได้รับการแก้ไขทันทีตามคำแนะนำใน VMSA-2021-0014 เนื่องจากมีโอกาสสูงที่ช่องโหว่จะถูกใช้ในการโจมตีเป็นวงกว้าง เมื่อพิจารณาจากความรุนแรงของช่องโหว่แล้ว เราขอแนะนำให้ดำเนินการทันที" VMware แจ้งเตือนผู้ใช้งานเมื่อวันพุธที่ผ่านมา

บริษัทยังได้แก้ไขช่องโหว่ด้านความปลอดภัย เรื่องการยกระดับสิทธิ์ที่มีระดับความรุนแรงสูงรองลงมา (CVE-2022-22973) ซึ่งทำให้ผู้โจมตีสามารถยกระดับสิทธิ์เป็น 'root' บนอุปกรณ์ที่มีช่องโหว่

รายการผลิตภัณฑ์ VMware ทั้งหมดที่ได้รับผลกระทบจากช่องโหว่ด้านความปลอดภัย

VMware Workspace ONE Access (Access)
VMware Identity Manager (vIDM)
VMware vRealize Automation (vRA)
VMware Cloud Foundation
vRealize Suite Lifecycle Manager

สามารถดาวน์โหลดแพตช์ และคำแนะนำในการติดตั้งได้จากเว็บไซต์ของ VMware รวมไปถึงวิธีแก้ปัญหาชั่วคราวสำหรับผู้ดูแลระบบที่ยังไม่สามารถอัปเดตแพตซ์ได้ อย่างไรก็ตามทาง VMware กล่าวว่าวิธีเดียวที่จะแก้ไขช่องโหว่ CVE-2022-22972 ได้อย่างเต็มที่คือการอัปเดตแพตซ์ของผลิตภัณฑ์ที่มีช่องโหว่

ในเดือนเมษายน VMwareได้แก้ไขช่องโหว่ในการเรียกใช้โค้ดที่เป็นอันตรายจากระยะไกล (CVE-2022-22954) ใน VMware Workspace ONE Access และ VMware Identity Manager ซึ่งมีผู้โจมตีเริ่มใช้ประโยชน์จากช่องโหว่ดังกล่าวในการโจมตีเพื่อติดตั้ง coinminers และแบ็คดอร์

 

ที่มา : bleepingcomputer.

ธนาคารกลางแห่งชาติแซมเบียถูกโจมตีจาก Ransomware แต่ธนาคารตัดสินใจไม่ยอมจ่ายค่าไถ่ ด้วยการส่งรูปอวัยวะเพศตอบโต้กลับไปให้แฮ็กเกอร์แทน

หลังจากถูกโจมตีด้วย Hive ransomware ธนาคารกลางแห่งชาติแซมเบียได้ปฏิเสธอย่างชัดเจนว่าพวกเขาจะไม่ยอมจ่ายเงินค่าไถ่ให้กับแฮ็กเกอร์ ด้วยการโพสต์ภาพอวัยวะเพศชายตอบกลับไปยังแฮ็กเกอร์ โดยเมื่อสัปดาห์ที่ผ่านมา Bank of Zambia ซึ่งเป็นธนาคารกลางของประเทศ ออกมาเปิดเผยว่าเหตุที่ระบบธนาคารขัดข้องครั้งล่าสุดนั้นเป็นผลมาจากการถูกโจมตีทางไซเบอร์

ธนาคารแถลงข่าวเปิดเผยว่า “ธนาคารแห่งแซมเบียมีความประสงค์ที่จะแจ้งให้ประชาชนทราบว่าธนาคารประสบปัญหาแอปพลิเคชันหยุดชะงักบางส่วน ในวันจันทร์ที่ 9 พฤษภาคม พ.ศ. 2565"
การหยุดชะงักซึ่งส่งผลกระทบต่อบางระบบของธนาคาร เช่น ระบบ Bureau De Change Monitoring และเว็บไซต์บางส่วนของธนาคาร ซึ่งเกิดจากเหตุการณ์ด้านความปลอดภัยทางไซเบอร์ ซึ่งขอยืนยันว่าระบบเหล่านี้ได้รับการกู้คืนกลับมาให้สามารถใช้งานได้ตามปกติเรียบร้อยแล้ว

ข้อความตอบกลับ

แม้ว่า Bank of Zambia จะไม่ได้เปิดเผยรายละเอียดของการโจมตีทางไซเบอร์ แต่ BleepingComputer คาดว่าการโจมตีดังกล่าวถูกดำเนินการโดยกลุ่ม Hive ransomware ซึ่งอ้างว่าได้เข้ารหัสอุปกรณ์ Network Attached Storage (NAS) ของธนาคาร อย่างไรก็ตามแทนที่จะยอมจ่ายค่าไถ่ให้กับผู้โจมตี ตัวแทนของธนาคารได้ตอบโต้การเจรจาเรียกค่าไถ่กลับไปหาแฮ็กเกอร์ที่ชื่อว่า '14m3-sk1llz' ด้วยการโพสต์ลิงก์ไปยังรูปอวัยวะเพศชายแทน

การตอบกลับในรูปแบบนี้ทำให้นักวิจัยด้านความปลอดภัย MalwareHunterTeam โพสต์โพลสอบถามความคิดเห็นของผู้คนว่าภาพดังกล่าวเป็นข้อความจากเหยื่อเองจริงๆ หรือเป็นข้อความที่ถูกส่งโดยบางคนที่ต้องการป่วนในการเจรจาต่อรองการจ่ายค่าไถ่ ผลการสำรวจความคิดเห็นจากผู้ตอบแบบสอบถามส่วนใหญ่เชื่อว่ามาจากเหยื่อเป็นคนส่งเอง

(more…)