นักวิจัยความปลอดภัยทางไซเบอร์จาก Mandiant ได้รายงานในวันอังคารที่ผ่านมาว่า Ars Technica ได้ถูกนำมาใช้ในการโจมตีด้วยมัลแวร์ใน Stage ที่สอง ในแคมเปญการโจมตีที่ยังไม่เคยถูกพบมาก่อน เพื่อหลีกเลี่ยงการตรวจจับได้อย่างชาญฉลาด (more…)

FBI ขัดขวางการโจมตีของ Chinese Botnet ด้วยการจัดการ Router ที่ติด malware

FBI ได้ขัดขวางการโจมตีของ KV Botnet ที่ถูกใช้โดย Volt Typhoon ซึ่งเป็นกลุ่มที่ได้รับการสนันสนุนจากรัฐบาลจีน เพื่อหลบเลี่ยงการตรวจจับระหว่างการโจมตี โดยมีเป้าหมายการโจมตีไปยังโครงสร้างพื้นฐานที่สำคัญของสหรัฐฯ

(more…)

Ivanti แจ้งเตือนช่องโหว่ Zero-Day ใหม่ใน Connect Secure ที่กำลังถูกใช้ในการโจมตี

Ivanti แจ้งเตือนพบช่องโหว่ Zero-Day ใหม่ 2 รายการที่ส่งผลกระทบต่อ Connect Secure, Policy Secure และ ZTA gateway ซึ่งหนึ่งในช่องโหว่ Zero-Day ดังกล่าวได้ตกเป็นเป้าหมายของการโจมตีอยู่ในปัจจุบัน

(more…)

Schneider Electric บริษัทชั้นนำด้านพลังงานถูกโจมตีจาก Cactus ransomware โจมตี

Schneider Electric บริษัทชั้นนำด้านพลังงาน และระบบอัตโนมัติ ได้เปิดเผยว่าถูกโจมตีจาก Cactus ransomware และขโมยข้อมูลออกไป

(more…)

 

นักวิจัยจาก AT&T พบการโจมตี phishing ที่ใช้ 'chat group' ของ Microsoft Teams เพื่อแพร่กระจายมัลแวร์ DarkGate ไปยังระบบของเหยื่อ โดยผู้โจมตีใช้ Domain '.onmicrosoft.

 

Atlassian เปิดเผยช่องโหว่ Remote Code Execution (RCE) ออกมาเมื่อวันที่ 16 มกราคม 2024 โดยมีหมายเลข CVE-2023-22527 ซึ่งส่งผลกระทบต่อเวอร์ชันเก่าของ Confluence Data Center และ Confluence Server

CVE-2023-22527 เป็นช่องโหว่ระดับ critical ที่เกี่ยวกับ Object-Graph Navigation Language (OGNL) injection และมีคะแนน CVSS สูงถึง 10 คะแนน

OGNL (Object-Graph Navigation Language) เป็นภาษาแสดงผลที่ใช้ใน Java และถูกใช้ในแอปพลิเคชัน เช่น Atlassian Confluence เมื่อแอปพลิเคชันเหล่านี้ไม่สามารถตรวจสอบ และ sanitize ข้อมูลที่ผู้ใช้ป้อนเข้ามาให้ถูกต้อง ก่อนนำมาใช้ใน OGNL มันสามารถส่งผลให้เกิดช่องโหว่ด้านความปลอดภัยที่เรียกว่า 'OGNL insert' ได้

เหตุนี้ทำให้ผู้ไม่หวังดีสามารถป้อนสตริงที่ถูกสร้างขึ้นมาโดยเฉพาะเพื่อใส่ใน OGNL expressions ภายในหน้าจอผู้ใช้ หรือในช่องป้อนข้อมูล ซึ่งทำให้เกิดการเรียกใช้โค้ดที่เป็นอันตรายจากระยะไกลบนระบบที่ได้รับผลกระทบ

Cyble Global Sensor Intelligence (CGSI) network ตรวจพบการพยายามโจมตีโดยใช้ช่องโหว่ CVE-2023-22527 เมื่อวันที่ 26 มกราคม 2024 การวิเคราะห์ของรูปแบบการโจมตีที่ CGSI ตรวจพบ แสดงให้เห็นว่าผู้โจมตีมุ่งเป้าหมายการโจมตีไปที่แอปพลิเคชัน Atlassian Confluence ที่มีช่องโหว่ในประเทศต่อไปนี้

China
Singapore
Brazil
United States
Russia
Vietnam
India
Germany
United Kingdom
Romania

 

 

กรณีที่ข้อมูลถูกเปิดเผยใน Atlassian Confluence

ตามรายงานการสแกนของ Cyble ODIN ระบุว่าในช่วงสามเดือนที่ผ่านมามี Confluence มากกว่า 4,000 แห่ง ที่เปิดให้เข้าถึงได้จากอินเทอร์เน็ต โดยส่วนใหญ่อยู่ในประเทศสหรัฐอเมริกา, เยอรมนี, จีน และรัสเซีย

รายละเอียดของช่องโหว่

ช่องโหว่ RCE (การเรียกใช้โค้ดที่เป็นอันตรายจากระยะไกล) ใน Confluence Data Center และ Confluence Server

CVE-2023-22527 (CVSS:3.1: 9.8) ระดับความรุนแรง Critical ช่องโหว่ template injection ใน Confluence Data Center และ Server เวอร์ชันเก่า ที่ทำให้ผู้โจมตีสามารถ Remote Code Execution ในเวอร์ชันที่ได้รับผลกระทบได้

เวอร์ชันที่ได้รับผลกระทบ : Confluence Data Center and Confluence Server endpoints, versions 8.0.x, 8.1.x, 8.2.x, 8.3.x, 8.4.x, and 8.5.0 to 8.5.3

รายละเอียดทางเทคนิค

ช่องโหว่นี้เกิดขึ้นจากไฟล์ template 'velocity' ชื่อ 'text-inline.

รหัสผ่านที่ถูกเผยแพร่อย่างผิดพลาด อาจส่งผลให้ source code ของ Mercedes-Benz รั่วไหล

Mercedes-Benz พลาดเปิดเผยข้อมูลภายในโดยไม่ได้ตั้งใจ หลังจากปล่อยให้ private key ถูกเข้าถึงได้ออนไลน์ ซึ่งอาจทำให้ผู้ไม่หวังดีสามารถเข้าถึง source code ของบริษัทได้ ตามข้อมูลจากบริษัทวิจัยด้านความปลอดภัยที่ค้นพบ

(more…)

เปิดเผยการโจมตีของ Atomic Stealer (AMOS) และการเพิ่มขึ้นของ Dead Cookies Restoration

Cyble Research and Intelligence Labs (CRIL) พบว่ามีการแพร่กระจายเวอร์ชันอัปเดตของ AMOS Stealer ผ่านเว็บไซต์ปลอม โดยปลอมเป็นแอปพลิเคชันบน Mac เช่น arallels Desktop, CleanMyMac, Arc Browser และ Pixelmator

(more…)

Microsoft ออกมาอธิบายกรณี Exchange Online account ถูกโจมตี

Microsoft ออกมายืนยันว่ากลุ่ม Hacker ซึ่งเป็นหน่วยข่าวกรองต่างประเทศของรัสเซีย ได้โจมตีเข้าสู่บัญชีอีเมลของผู้บริหารในเดือนพฤศจิกายน 2023 รวมถึงการโจมตีองค์กรอื่น ๆ ซึ่งเป็นส่วนหนึ่งของแคมเปญการโจมตีที่มุ่งเป้าหมายไปที่ Exchange Online

(more…)

พบกลุ่ม Hacker Blackwood ควบคุม WPS Office ที่ทำการอัปเดตเพื่อติดตั้งมัลแวร์

พบกลุ่ม Hacker ในชื่อ Blackwood กำลังใช้มัลแวร์ที่มีความสามารถสูงในชื่อ “NSPX30” เพื่อทำการโจมตีทางไซเบอร์ต่อบริษัท และบุคคล

(more…)