นักวิจัยด้านความปลอดภัยพบ Malware ตัวใหม่ชื่อว่า ComboJack ซึ่งมีความสามารถในการตรวจจับหากว่าผู้ใช้งานมีการก็อป cryptocurrency address เอาไว้ใน clipboard โดยจะนำ Address ที่ตัวเองสร้างขึ้นมาไปแทนที่

Malware ตัวนี้มีความคล้ายคลึงกับ Evrial และ CryptoShuffler แต่แตกต่างตรงที่สามารถรองรับ Cryptocurrencies ได้หลายตัวไม่ใช่แค่เพียง Bitcoin สืบเนื่องจากข้อมูลของ Palo Alto Network ตัว ComboJack สามารถตรวจจับได้ว่าเมื่อใดก็ตามที่มีการก็อป Address ของ Bitcoin, Litecoin, Ethereum, และ Monero รวมไปถึงระบบจ่ายเงินดิจิตอลตัวอื่นๆ ด้วย เช่น Qiwi, Yandex

ขั้นตอนการแพร่กระจายตัวของ ComboJack มีความซับซ้อน เริ่มจากการที่ Hacker ส่งอีเมลซึ่งอ้างว่ามีการสแกนข้อมูลพาสพอร์ทที่หายไปเอาไว้ ไฟล์แนบมาจะอยู่ในรูปแบบของไฟล์ PDF เมื่อผู้ใช้ทำการโหลดและเปิดไฟล์ PDF ตัวไฟล์จะทำการเปิด RTF file ซึ่งภายในมี Embedded HTA Object ที่จะพยายามเจาะช่องโหว่ของ DirectX (CVE-2017-8579) เมื่อทำการเจาะสำเร็จ HTA File ซึ่งอยู่ภายใน RTF File ซึ่งอยู่ภายในไฟล์ PDF อีกชั้นหนึ่ง จะสั่งรันคำสั่ง PowerShell Commands ที่จะโหลดไฟล์มาและสั่งรันตัวเอง เป็นไฟล์ประเภท Self-Extracting Executable (SFX) หลังจากนั้นตัว SFX จะโหลดและสั่งรัน "password-protected SFX" ที่จะทำการติดตั้งตัว ComboJack
ComboJack จะได้สิทธิ์ในการบูทเครื่อง และจะเริ่มทำการวสแกนข้อมูลที่มีการก็อปไว้ใน Windows Clipboard ทุกๆ ครึ่งวินาทีเผื่อว่ามีการก็อปข้อมูลใหม่ เมื่อไรก็ตามที่ผูใช้งานมีการก็อปข้อมูล(ในที่นี้หมายถึง Address ของ Cryptocurrency) ซึ่งตรงกับฐานข้อมูลของ ComboJack ตัว ComboJack จะแทนที่ Address เก่าที่ผู้ใช้ก็อปไว้ด้วย Address ใหม่ที่สร้างขึ้นเองจากฐานข้อมูล

ที่มา : bleepingcomputer

นักวิจัยด้านความปลอดภัย Tal Be’ery และ Amichai Shulman ได้สาธิตอีกมุมหนึ่งของฟีเจอร์ Cortana ซึ่งสามารถช่วยให้ผู้ประสงค์ร้ายสามารถเข้าควบคุมเครื่องได้แม้เครื่องดังกล่าวจะอยู่ในสถานะที่มีการล็อคหน้าจอ

Cortana เป็น AI ที่มีความสามารถในการรับคำสั่งเสียงได้หลายภาษา โดยฟังก์ชันใหม่ของตัว Cortana ที่พูดถึงกันอย่างมากจะเป็นในส่วนของเวอร์ชัน Desktop และเวอร์ชัน Mobile คือการช่วยในส่วนของการสั่งเปิดแอพ แนะนำคูปองส่วนลด และช่วยการคำณวนแบบอย่างง่าย อย่างไรก็ตามเนื่องจากตัว Cortana เองถูกพัฒนาให้สามารถรับคำสั่งเสียงได้ตลอดเวลาแม้กระทั่งตอนที่มีการล็อกเครื่องอยู่ก็ตามและตัวซอฟต์แวร์ยังมีการอนุญาตให้เข้าเว็บได้โดยตรง จึงอาจทำให้ผู้โจมตีสั่งการ Cortana ให้ทำการเปิดเว็บเบราว์เซอร์ควบคู่ไปกับการใช้วิธีการอย่าง ARP poisoning ผ่านทางอุปกรณ์ USB เพื่อขโมยข้อมูลที่ไม่ถูกเข้ารหัสได้

ในการป้องกันเบื้องต้นนั้น ผู้ใช้งานควรทำการปิดฟังก์ชันการรับคำสั่งเสียงในตอนที่มีการล็อคเครื่องโดยเข้าไปที่ Settings> Cortana and disable the option “Use Cortana even when my device is locked และให้ทำการตั้งรหัสผ่านเมื่อมีการล็อกเครื่องเพื่อกันไม่ให้มีคนอื่นสามารถเปิดเครื่องได้ง่ายหรือเมื่อไม่อยู่ที่หน้าเครื่องเป็นเวลานาน และตั้งค่าให้มีการใส่รหัสผ่านเมื่อตัวเครื่องไม่มีการใช้งานในช่วงระยะเวลาที่กำหนด

ที่มา : hackread

พบ Malware ในระบบ POS (Point of Sale) ของร้านอาหาร Applebee กว่า 160 ร้าน ทำให้มีข้อมูลบัตรเครดิตของลูกค้ารั่วไหลออกไป

ทางด้าน RMH ซึ่งเป็นผู้ถือสิทธิ์แฟรนไชส์ โดยเป็นทั้งเจ้าของและผู้จัดการกว่า 160 สาขาได้ออกมาบอกว่าพบ Malware ระบาดอยู่ในระบบ POS ซึ่งทำให้ Hacker สามารถขโมยข้อมูลรายบุคคล เช่น ชื่อ เลขบัตร วันหมดอายุของบัตร เป็นต้น ร้าน Applebee ได้รับผลกระทบอยู่หลายวัน โดยช่วงแรกเกิดขึ้นประมาณ พฤศจิกายน หรือ ธันวาคม 2017 ตามรายงานจากเว็บไซต์ของ RHM

ทาง RHM เชื่อว่า Malware ดังกล่าวถูกออกแบบมาให้ดักจับข้อมูลบัตร และอาจส่งผลกระทบต่อระบบซื้อขายบางรายการสำหรับสาขาที่ติด Malware RHM ได้บอกกับทาง Threatpost ว่ามีการสืบสวนเรื่องนี้โดยได้รับความช่วยเหลือจากบริษัทด้านรักษาความปลอดภัยชั้นนำ และได้มีการรายงานเรื่องนี้ไปยังผู้บังคับใช้กฎหมาย โฆษกของ RHM บอกกับทาง Threatpost ว่าสามารถควบคุมเหตุการณ์ทันทีที่พบเมื่อวันที่ 13 กุมภาพันธ์ 2018 RHM ให้ข้อมูลเพิ่มเติมว่าได้ใช้งานตัวระบบ POS แยกจากเครือข่ายของทาง Applebee ต่างหาก และจะมีผลแค่กับสาขาที่ทาง RHM เป็นเจ้าของเท่านั้น POS Malware คือภัยคุกคามที่กำลังเพิ่มจำนวนขึ้นสำหรับผู้ที่ลงทุนในอุตสาหกรรมอย่างโรงพยาบาล

Fred Kneip, CEO ของบริษัท CyberGRX บอกกับทาง Threatpost ว่า RHM ได้แนะนำให้ลูกค้าตรวจสอบข้อมูลการใช้บัตรอยู่เสมอ แต่การป้องกัน POS Malware ที่ดีที่สุดต้องมาจากตัวผู้ค้าเอง

ที่มา : threatpost

ตรวจพบช่องโหว่หลายช่องโหว่ใน PHP ซึ่งเป็นภาษาการเขียนโปรแกรมที่ออกแบบมาเพื่อใช้ในแอ็พพลิเคชันบนเว็บที่มีเนื้อหา HTML ส่งผลให้แฮกเกอร์สามารถโจมตีรันโค้ดได้ เพื่อเปลี่ยนแปลงแก้ไขข้อมูล หรือสร้างบัญชีใหม่ได้โดยสิทธิ์ของผู้ใช้งานเต็บรูปแบบ รายละเอียดดังนี้

ความเสี่ยงที่อยู่ในระดับสูงของหน่วยงานต่างๆ

รัฐบาล:

- หน่วยงานภาครัฐขนาดใหญ่และขนาดกลาง
- หน่วยงานรัฐบาลขนาดเล็ก

ธุรกิจ

- องค์กรธุรกิจขนาดใหญ่และขนาดกลาง
- หน่วยงานธุรกิจขนาดเล็ก

ส่วนผู้ใช้งานทั่วไปๆจัดอยู่ในระดับต่ำ

สรุปทางเทคนิค:

เวอร์ชั่น 7.2.3

- Bug #49876 (Fix LDAP path lookup on 64-bit distros).
- Bug #54289 (Phar::extractTo() does not accept specific directories to be extracted). Phar :: extractTo () ไม่ยอมรับไดเรกทอรีเฉพาะที่จะแยกออก
- Bug #65414 (deal with leading slash when adding files correctly). จัดการกับเครื่องหมาย / เมื่อเพิ่มไฟล์
- Bug #65414 (deal with leading slash while adding files correctly). จัดการกับเครื่องหมาย / ขณะที่เพิ่มไฟล์
- Bug #68406 (calling var_dump on a DateTimeZone object modifies it). เรียกใช้งาน var_dump ที่ DateTimeZone
- Bug #73725 (Unable to retrieve value of varchar(max) type). ไม่สามารถดึงข้อมูลค่าของ varchar (สูงสุด) ได้
- Bug #74519 (strange behavior of AppendIterator). พฤติกรรมแปลก ๆ ของ AppendIterator
- Bug #75729 (opcache segfault when installing Bitrix). opcache segfault เมื่อติดตั้ง Bitrix
- Bug #75838 (Memory leak in pg_escape_bytea()). หน่วยความจำรั่วไหลใน pg_escape_bytea ()
- Bug #75857 (Timezone gets truncated when formatted). เวลาไม่ถูกต้อง
- Bug #75864 ("stream_isatty" returns wrong value on s390x). stream_isatty ส่งคืนค่าผิดพลาดใน s390x
- Bug #75871 (use pkg-config where available). ใช้งาน pkg-config ได้
- Bug #75882 (a simple way for segfaults in threadsafe php just with configuration). กำหนดค่า segfaults ใน threadsafe php
- Bug #75893 (file_get_contents $http_response_header variable bugged with opcache). ตัวแปร $ http_response_header ถูกบีบอัดด้วย opcache
- Bug #75916 (DNS_CAA record results contain garbage).
- Bug #75928 (Argument 2 for DateTimeZone::listIdentifiers() should accept null). อาร์กิวเมนต์ 2 ควรใช้ค่า Null ได้
- Bug #75938 (Modulus value not stored in variable). ค่าโมดูไม่ได้เก็บไว้ในตัวแปร
- Bug #75981 (Prevent reading beyond buffer start in http wrapper). ป้องกันไม่ให้อ่านนอกเหนือจากบัฟเฟอร์ที่มีค่าเริ่มต้นใน http wrapper

เวอร์ชั่น 7.0.28

- Bug #75981 (stack-buffer-overflow while parsing HTTP response). เกิดการ stack-buffer-overflow ในขณะที่มีการตอบกลับจาก HTTP

เวอร์ชั่น 5.6.34

- Bug #75981 (stack-buffer-overflow while parsing HTTP response). เกิดการ stack-buffer-overflow ในขณะที่มีการตอบกลับจาก HTTP

ระบบที่ได้รับผลกระทบ:

- PHP 7.2 ก่อนหน้า 7.2.3
- PHP 7.0 ก่อนหน้า 7.0.28
- PHP 5.0 ก่อนหน้า 5.6.34
- PHP 7.1 ก่อนหน้า 7.1.15

ข้อแนะนำ

- อัปเกรดเป็น PHP เวอร์ชันล่าสุดทันทีหลังจากการทดสอบที่เหมาะสม
- ตรวจสอบว่าไม่มีการปรับเปลี่ยนระบบโดยไม่ได้รับอนุญาตเกิดขึ้นในระบบก่อนที่จะใช้แพทช์
- ใช้หลักการสิทธิพิเศษน้อยที่สุดในทุกระบบและบริการ
- เตือนให้ผู้ใช้ไม่เข้าชมเว็บไซต์หรือทำตามลิงก์ที่มาจากแหล่งที่ไม่รู้จักหรือไม่น่าเชื่อถือ

ที่มา : cisecurity

พนักงานขององค์กร FS-ISAC ตกเป็นเหยื่อของการโจมตีแบบฟิชชิ่ง ทำให้ข้อมูลการเข้าสู่ระบบ(Credentials) โดนขโมย และถูกใช้ในการโจมตีพนักงานคนอื่นต่อไป

เหตุการณ์เกิดขึ้นหลังจากมีพนักงานคนหนึ่งดันไปเปิดอีเมลล์ที่เป็นอันตราย ทำให้ credentials ของเครื่องตนเองหลุดออกไป ผู้โจมตีจึงฉวยโอกาสสร้างอีเมลล์ที่แนบ PDF ซึ่งฝังลิงก์อันตราย แล้วส่งต่อไปยังพนักงานคนอื่นๆได้

แต่การโจมตีดังกล่าวก็ไม่สามารถสร้างผลกระทบได้มากนัก เนื่องจากมีพนักงานหลายคนที่ได้รับอีเมลล์ดังกล่าว สังเกตเห็นและได้แจ้งถึงการพบอีเมลล์ที่น่าสงสัย จึงสามารถจำกัดผลกระทบได้อย่างรวดเร็ว

จะเห็นได้ว่าการปลูกฝังจิตสำนึกด้านความปลอดภัยทางเทคโนโลยีให้แก่พนักงาน อย่างเช่นการจัด Awareness Training นั้น สามารถช่วยป้องกันและจำกัดความเสียหายที่อาจจะเกิดขึ้นจากการโจมตีได้ องค์กรหรือบริษัทจึงควรตระหนัก และไม่มองข้ามความสำคัญในข้อนี้ไป

ที่มา : scmagazine

Bitdefender ได้ปล่อยโปรแกรม Decrypter สำหรับช่วยถอดรหัสให้ผู้ตกเป็นเหยื่อของการติด ransomware ชนิด GandCrab ได้โดยไม่ต้องจ่ายค่าไถ่ ซึ่งสามารถดาวน์โหลดโปรแกรมได้ผ่านทางเว็ปไซต์ของ NoMoreRansom ซึ่ง Bitdefender เป็นสมาชิกอยู่

ransomware GandCrab พบครั้งแรกเมื่อปลายเดือนมกราคมที่ผ่านมา แพร่กระจายอย่างรวดเร็วผ่านการใช้ Exploit kits และอีเมลสแปม โดยไมโครซอฟท์กล่าวว่า GandCrab กลายเป็น ransomware ที่มีการแพร่กระจายมากที่สุดเป็นอันดับ 3 ในปีนี้ การตรวจสอบว่าไฟล์สามารถถอดรหัสได้หรือไม่ จำเป็นต้องใช้ ransom note ที่ปรากฎอยู่บนเครื่องหลังจากถูกเข้ารหัส และไฟล์ที่ถูกเข้ารหัสจำนวน 5 ไฟล์เพื่ออัพโหลดไปยัง Bitdefender เพื่อตรวจสอบ

Bitdefender กล่าวว่า Decrypter สามารถทำงานได้กับ GandCrab ในทุกเวอร์ชั่น แต่ก็มีผู้ใช้ และนักวิจัยด้านความปลอดภัยหลายรายที่รายงานปัญหาเกี่ยวกับขั้นตอนการถอดรหัส ซึ่งอาจจะมีข้อบกพร่องได้ เนื่องจากเป็น decrypter รุ่นแรก อย่างไรก็ตามหากพบปัญหา Bitdefender แนะนำให้ผู้ใช้ลองศึกษาเอกสารคู่มือก่อน และหากยังไม่สามารถแก้ปัญหาได้ สามารถส่งไปแจ้งตามอีเมลล์ที่ได้ระบุไว้ในเอกสารได้

เว็ปไซต์ : https://www.

หลังจากที่ GitHub ถูกโจมตีด้วย DRDoS โดยใช้หลักการความแตกต่างระหว่าง request/response ที่ถูกส่งไปยังเซิร์ฟเวอร์ Memcached พร้อมกับการทำ IP spoofing ด้วยปริมาณข้อมูลถึง 1.3 Tbps ซึ่งเป็นสถิติของการโจมตี DDoS ที่ใหญ่ที่สุดของโลก เมื่อวันจันทร์ที่ผ่านมาสถิติกลับถูกทุบด้วยการโจมตีที่มีปริมาณใหญ่กว่าถึง 1.7 Tbps

สำหรับการโจมตีในครั้งนี้นั้นยังคงมีการใช้เซิร์ฟเวอร์ Memcached เพื่อทำการโจมตีแบบ DRDoS เช่นเดิม โดยเป้าหมายในครั้งเป็นผู้ให้บริการรายหนึ่ง อย่างไรก็ตามผลลัพธ์การโจมตีกลับไม่ได้ทำให้ระบบไม่สามารถให้บริการได้อันเนื่องมาจากการป้องกันและตอบสนองที่ดีพอ อ้างอิงจากรายงานของ Arbor Networks

เมื่อวันพุธที่ผ่านมา HackerNews มีการรายงานหลังจากที่ตรวจพบการเผยแพร่โปรแกรมสำหรับโจมตี DRDoS ใส่ระบบอื่นโดยการใช้เซิร์ฟเวอร์ Memcached อีกทั้งตัวโปรแกรมสำหรับโจมตีนั้นยังมีการแนบรายการของเซิร์ฟเวอร์ Memcached ที่สามารถใช้ในการโจมตีได้มาด้วยกว่า 17,000 รายการ

สคริปต์ที่มีการค้นพบนั้นมีอยู่ 2 เวอร์ชันคือเวอร์ชันที่ถูกพัฒนาด้วยภาษา C และอีกเวอร์ชันที่ถูกพัฒนามาจากภาษา Python โดยสำหรับสคริปต์โจมตีที่ถูกพัฒนาในภาษา Python มีการใช้บริการของ Shodan ในการหาเซิร์ฟเวอร์ Memcached ที่สามารถใช้โจมตีได้มาใช้งานด้วย

กลุ่มนักวิจัยจาก Corero Network Security ประกาศการค้นพบเทคนิคใหม่ที่ทำให้เหยื่อที่ถูกโจมตี DRDoS จากเซิร์ฟเวอร์ Memcached นั้นสามารถหยุดการโจมตีได้ทันที

Kill Switch ในรอบนี้นั้นคือการส่งคำสั่งเพื่อ flush ข้อมูลออกจากแคชของ Memcached เซิร์ฟเวอร์ด้วยการส่งคำสั่ง "shutdown\r\n" หรือ "flush_all\r\n" กลับไปที่เซิร์ฟเวอร์โดยตรงซึ่งอาจทำได้ผ่านโปรแกรม nc/netcat โดยใช้คำสั่ง nc x.x.x.x 11211 < "flush_all"

ที่มา : Theregister

แพตช์ประจำเดือนของแอนดรอยด์หรือ Android Security Bulletin ประจำเดือนมีนาคม 2018 ถูกประกาศออกมาแล้ว โดยภายในเดือนนี้นั้นมีช่องโหว่ระดับร้ายแรงสูงสุด (critical) จำนวน 11 จากทั้งหมด 37 ช่องโหว่ที่ถูกแพตช์ ซึ่งส่วนมากเป็นช่องโหว่ที่ทำให้ผู้โจมตีสามารถรันโค้ดที่เป็นอันตรายได้จากระยะไกล

สำหรับช่องโหว่ที่ร้ายแรงที่สุดในรอบนี้ก็ยังหนีไม่พ้นที่จะมาจากตำแหน่งโดยกับที่ช่องโหว่ Stagefright เคยอยู่คือส่วนของ Media Framework การโจมตีช่องโหว่ดังกล่าวสามารถทำได้โดยการส่งไฟล์มีเดียที่ถูกสร้างแบบพิเศษไปให้ผู้ใช้งานเปิด เมื่อการโจมตีช่องโหว่สำเร็จ ผู้โจมตีจะสามารถรันโค้ดอันตรายได้ด้วยสิทธิ์เดียวกับโปรเซสที่ถูกโจมตี

ที่มา : Threatpost

กลุ่มนักวิจัยด้านความปลอดภัยจากบริษัท Devcore ได้มีการเปิดเผยการค้นพบช่องโหว่บนซอฟต์แวร์ Exim หลังจากมีการปล่อยแพตช์ช่องโหว่ดังกล่าวออกมา โดยแพตช์ดังกล่าวนั้นถูกยืนยันว่า *กระทบ Exim ทุกเวอร์ชัน* ซึ่งทำให้ผู้โจมตีสามารถรันโค้ดที่เป็นอันตรายได้จากระยะไกลก่อนจะมีการพิสูจน์ตัวตน (Pre-auth Remote Code Execution)

ช่องโหว่ดังกล่าวนั้นเกิดขึ้นจากการคำนวณขนาดของ buffer เมื่อมีการถอดรหัสข้อมูลจากอัลกอริธึม Base64 ที่ผิดพลาด ส่งผลให้เกิดช่องโหว่แบบ one-byte heap overflow หรือ off-by-one ซึ่งอาจส่งผลให้เกิดการนำไปใช้งานเพื่อทำให้เกิดเงื่อนไขที่ผู้โจมตีสามารถทำการรันโค้ดได้จากระยะไกลจากปกติที่เกิดเพียงแค่การเขียนข้อมูลทับข้อมูลอื่นในหน่วยความจำ

Recommendation : ช่องโหว่ดังกล่าวส่งผลกระทบ Exim ในทุกๆ เวอร์ชัน แนะนำให้อัปเดตเป็นเวอร์ชันที่มีการแพตช์แล้วคือ 4.90.1 หรือใหม่กว่าโดยด่วน

Affected Platform : Exim ทุกเวอร์ชัน

ที่มา : Andreafortuna

Bitdefender ได้ปล่อยโปรแกรม Decrypter สำหรับช่วยถอดรหัสให้ผู้ตกเป็นเหยื่อของการติด ransomware ชนิด GandCrab ได้โดยไม่ต้องจ่ายค่าไถ่ ซึ่งสามารถดาวน์โหลดโปรแกรมได้ผ่านทางเว็ปไซต์ของ NoMoreRansom ซึ่ง Bitdefender เป็นสมาชิกอยู่

ransomware GandCrab พบครั้งแรกเมื่อปลายเดือนมกราคมที่ผ่านมา แพร่กระจายอย่างรวดเร็วผ่านการใช้ Exploit kits และอีเมลสแปม โดยไมโครซอฟท์กล่าวว่า GandCrab กลายเป็น ransomware ที่มีการแพร่กระจายมากที่สุดเป็นอันดับ 3 ในปีนี้ การตรวจสอบว่าไฟล์สามารถถอดรหัสได้หรือไม่ จำเป็นต้องใช้ ransom note ที่ปรากฎอยู่บนเครื่องหลังจากถูกเข้ารหัส และไฟล์ที่ถูกเข้ารหัสจำนวน 5 ไฟล์เพื่ออัพโหลดไปยัง Bitdefender เพื่อตรวจสอบ

Bitdefender กล่าวว่า Decrypter สามารถทำงานได้กับ GandCrab ในทุกเวอร์ชั่น แต่ก็มีผู้ใช้ และนักวิจัยด้านความปลอดภัยหลายรายที่รายงานปัญหาเกี่ยวกับขั้นตอนการถอดรหัส ซึ่งอาจจะมีข้อบกพร่องได้ เนื่องจากเป็น decrypter รุ่นแรก อย่างไรก็ตามหากพบปัญหา Bitdefender แนะนำให้ผู้ใช้ลองศึกษาเอกสารคู่มือก่อน และหากยังไม่สามารถแก้ปัญหาได้ สามารถส่งไปแจ้งตามอีเมลล์ที่ได้ระบุไว้ในเอกสารได้

เว็ปไซต์ : https://www.