ทีม X-Force ของไอบีเอ็มพบโทรจันที่มุ่งขโมยข้อมูลทางการเงินภายใต้ชื่อ IcedID ซึ่งแม้จะอยู่ในขั้นตอนการพัฒนาแต่มันก็มีประสิทธิภาพและความอันตรายเทียบเท่ากับโทรจันชื่อดังอย่าง Zeus
IcedID ประกอบด้วยโหมดการโจมตีสองแบบ ได้แก่ การโจมตี webinjection และการโจมตีการเปลี่ยนเส้นทาง โดย IcedID สามารถขโมยข้อมูลการเงินของผู้ใช้งานผ่านการโจมตีแบบ redirection คือทำการติดตั้ง local proxy เพื่อเปลี่ยนเส้นทางผู้ใช้งานไปยังหน้าเว็บอันตราย และการโจมตีผ่านเว็บ คือการโจมตีไปที่เบราเซอร์ของเหยื่อเพื่อแสดงเนื้อหาปลอมบนหน้าเว็บเดิม โดยในอดีตมีเพียงมัลแวร์ Dridex เป็นมัลแวร์ชนิดเดียวกันที่รุนแรงที่สุดที่ใช้การโจมตีทั้งสองรูปแบบ

กลุ่มแฮกเกอร์ที่อยู่เบื้องหลังโทรจันจะใช้ประโยชน์จากเครือข่าย botnetชื่อว่า Emotet เพื่อส่ง IcedID ไปยังคอมพิวเตอร์ ซึ่ง IcedID จะใช้ความสามารถในการกำหนดเป้าหมายของ Emotet เพื่อส่งโทรจันให้กับเหยื่อเฉพาะในประเทศที่ระบุเท่านั้น ซึ่งขณะนี้มัลแวร์กำหนดเป้าหมายไปที่กลุ่มธนาคารผู้ให้บริการบัตรเครดิต ผู้ให้บริการโทรศัพท์มือถือ payroll เว็บเมลและอีคอมเมิร์ซในสหรัฐฯ และธนาคารใหญ่ๆ สองแห่งในสหราชอาณาจักร
ความอ่อนแอของโทรจันในตอนนี้คือมันยังไม่มีมาตรการการตรวจจับ anti-VM และ anti-sandbox ขั้นสูงที่อาจช่วยให้มันหลบเลี่ยงการตรวจจับและการวิเคราะห์ได้ ขณะนี้ยังไม่ชัดเจนว่า IcedID เป็นเพียงมัลแวร์ในเวอร์ชันทดสอบที่ยังไม่สมบูรณ์หรือไม่ จะต้องดูว่าโทรจันจะมีวิวัฒนาการอย่างไรต่อไป

ที่มา : bleepingcomputer

อาชญากรไซเบอร์มักเป็นที่รู้กันว่าสามารถใช้ประโยชน์จากทุกสิ่งทุกอย่างที่เป็นที่นิยมในหมู่ผู้คนเพื่อแพร่กระจายมัลแวร์และ Play Store ก็เป็นหนึ่งในช่องทางการแพร่กระจายเป็นอย่างดี ข้อเท็จจริงนี้ได้รับการยืนยันเมื่อมีการพบผู้ใช้งานระบบปฏิบัติการ Android ได้มีการดาวน์โหลดแอปพลิเคชั่นแชทชื่อดัง WhatsApp ซึ่งแท้จริงแล้วเป็นแอปพลิเคชันปลอมที่ถูกมีการแอบอ้างโดยใช้โลโก้และปลอมแปลงชื่อผู้ผลิตของแอปจริง (WhatsApp Inc.

VMSA-2017-0017 มีการอัพเดต VMware vCenter Server เพื่อแก้ไขปัญหา LDAP DoS, SSRF และ CLRF injection ครอบคลุม CVE-2017-4927 และ CVE-2017-4928 ซึ่งเป็นปัญหาที่มีความรุนแรงระดับปานกลาง

CVE-2017-4927: VMware vCenter Server ไม่สามารถจัดการกับ LDAP แพ็กเก็ตที่ถูกสร้างขึ้นมาเป็นพิเศษ ซึ่งอาจจะทำให้เกิด remote DoS ได้ ส่งผลกระทบผลต่อ vCenter Server 6.5 และ 6.0 โดยได้มีการออก vCenter Server 6.5 U1 และได้ออก 6.0 U3c เพื่อแก้ไขปัญหานี้

CVE-2017-4928: ปัญหาของ SSRF และ CRLF injection ใน vSphere web client ปัญหานี้ส่งผลกระทบผลต่อ vCenter Server 6.0 และ 5.5 โดยได้มีการออก vCenter Server 6.0 U3c และ 5.5 U3f เพื่อแก้ไขปัญหานี้

ที่มา : blogs.

Microsoft ได้ออก Tuesday Patch ประจำเดือนพฤศจิกายน ออกมาเมื่อวานนี้ การ Patch ในรอบนี้ครอบคลุม
CVE ทั้งหมด 53 รายการ ซึ่งรวมถึงการแก้ไขในส่วนของ Adobe Flash และ Microsoft Office ด้วย โดยมี 19 รายการที่ถูกจัดอยู่ในระดับ "Critical", 31 รายการถูกจัดอยู่ในระดับ "Important" และ 3 รายการที่ถูกจัดอยู่ในระดับ "Moderate"
ทั้งนี้รายการแก้ปัญหาส่วนใหญ่ที่เป็นระดับ "Critical" ในรอบนี้จะเป็นปัญหาในส่วนของ Microsoft Scripting Engine นอกเหนือจากนี้ก็จะเป็นการแก้ปัญหาใน Internet Explorer และ Edge, ส่วนที่เป็นการแก้ปัญหาใน Microsoft Office จะอยู่ในระดับ "Important" ซึ่งเป็นการแก้ปัญหาที่เกี่ยวกับการสั่งรัน Code ที่ไม่ปลอดภัย(arbitrary code execution) และการเพิ่มสิทธิ์อย่างไม่ถูกต้อง(privilege escalation)
ถึงแม้จะมีการออก Patch เพื่อแก้ปัญหาช่องโหว่ต่างๆ ออกมาเป็นระยะก็ตาม แต่ผู้ใช้งานก็ยังคงต้องหลีกเลี่ยงการเข้าสู่เวปไซต์ใดๆ ก็ตามที่มีความเสี่ยง หรือเปิดเอกสารใดๆ ก็ตามที่อาจไม่ปลอดภัย จะเป็นวิธีการที่ดีที่สุดที่ช่วยหลีกเลี่ยงการเกิดปัญหาที่ไม่พึงประสงค์ได้

ที่มา : BLEEPINGCOMPUTER

Chats ในเกมส์ MMORPGs อาจมีความเสี่ยงที่ทำให้ผู้ใช้งานติดมัลแวร์

อ้างอิงจากโพสต์ใน Reddit ที่มีการพูดถึงเกมส์ MMORPG Tera ของเกาหลีว่ามีการใช้ประโยชน์จากการแชทในเกมส์เพื่อส่งมัลแวร์ไปยังผู้เล่นคนอื่นๆ โดยจากการตรวจสอบพบว่า Interface ในช่องแชทในเกมส์ของ Tera ใช้ HTML ทำให้เป็นไปได้ที่จะมีการส่งข้อมูลที่อาจจะฝัง Code เอาไว้ โดยอาจจะเป็นภาพธรรมดาไปจนถึงบางอย่างที่อันตรายกว่าอย่างพวกมัลแวร์

หลังจากทีมผู้ผลิตทราบถึงปัญหาดังกล่าว พวกเขาได้ประกาศปิดการแชทในเกมส์และการใช้งานออนไลน์จนกว่าจะสามารถแก้ปัญหาดังกล่าวได้สำเร็จ

ที่มา : ubergizmo

สิ่งหนึ่งที่ช่วยให้เราท่องเว็บไซต์อย่างปลอดภัยคือการใช้ซอฟแวร์ป้องกันไวรัสหรือ Antivirus Software แต่การค้นพบเมื่อไม่นานมานี้พิสูจน์ให้เห็นว่าแม้แต่ซอฟต์แวร์ป้องกันไวรัสที่ดีที่สุดก็ไม่ใช่ตัวช่วยที่ดีนัก

ที่ปรึกษาด้านความปลอดภัย Florian Bogner พบการใช้ประโยชน์จากฟังก์ชัน "restore from quarantine" ในโปรแกรมป้องกันไวรัสจำนวนมาก ที่ทำให้ผู้ใช้งานสามารถย้ายมัลแวร์จากโฟลเดอร์กักกันไปยังที่อื่นในคอมพิวเตอร์ของเหยื่อเพื่อเรียกใช้งานมัลแวร์ได้

โดยปกติการคืนค่าจากฟังก์ชันกักกัน "restore from quarantine" จะไม่อนุญาตให้ผู้ที่ไม่ใช่ผู้ดูแลระบบเขียนไฟล์ลงในโฟลเดอร์ C: \ Program หรือ C: \ Windows ของคอมพิวเตอร์ แต่การโจมตีนี้จะใช้ฟังก์ชัน NTFS ของ Windows เพื่อได้สิทธิ์ในการเข้าถึงไปยังโฟลเดอร์เหล่านี้ แต่มีข้อจำกัดที่สำคัญคือแฮกเกอร์ต้องอยู่หน้าเครื่องเหยื่อ คอมพิวเตอร์ขององค์กรอาจเสี่ยงต่อการโจมตีประเภทนี้มากที่สุด แม้ว่าจะดูไม่เป็นปัญหามากนัก แต่ก็เป็นไปได้ที่พนักงานที่ไม่พึงพอใจต่อองค์กรอาจตัดสินใจทำ โดย Bogner เสนอวิธีง่ายๆ ในการแก้ไขปัญหานี้โดยการปิดใช้งานฟังก์ชัน "restore from quarantine" บนคอมพิวเตอร์ขององค์กร

ในส่วนของโปรแกรมป้องกันไวรัส Bogner ได้แจ้งผู้จำหน่ายซอฟต์แวร์ต่างๆ ที่มีช่องโหว่นี้และหลายที่ได้เปิดตัวแพทช์เพื่อแก้ไขปัญหานี้แล้ว

ที่มา : DIGITAL TRENDS

Keyboard Mechanical Gaming แบบ 104 key ยี่ห้อ Mantistek รุ่น GK2 พบว่ามีการแอบเก็บบันทึกข้อมูลการพิมพ์ (Keylogger) และส่งไปยัง Server ของกลุ่ม Alibaba โดยมีผู้ใช้บางคนสังเกตเห็นและได้แชร์ปัญหานี้ยังไป online forum

ตามที่ Tom's Hardware ระบุว่า คีย์บอร์ดดังกล่าวใช้ซอฟต์แวร์ 'Cloud Driver' รวบรวมข้อมูลการใช้งานเพื่อนำไปวิเคราะห์ แต่ได้ส่งข้อมูลสำคัญไปยัง Server ของ Alibaba
หลังจากวิเคราะห์อย่างใกล้ชิดทีม Tom's Hardware พบว่า Keyboard Mantistek ยังไม่ได้เป็น keylogger เต็มรูปแบบ แต่จะบันทึกจำนวนครั้งที่มีการกดปุ่มและส่งข้อมูลนี้กลับไปยัง Server ออนไลน์

ผู้ใช้ที่ได้รับผลกระทบได้แสดงภาพหน้าจอที่แสดงให้เห็นว่ามีการเก็บการกดแป้นพิมพ์บนคีย์บอร์ดและจะถูกอัปโหลดไปยัง Server ในจีนที่อยู่ IP: 47.90.52.88
และมีการรายงานว่าซอฟต์แวร์ของ MantisTek keyboard' ถูกส่งข้อมูลที่เก็บรวบรวมไปยังจุดหมายปลายทางสองแห่งตามที่อยู่ IP คือ
/cms/json/putkeyusedata.

Joomla! เปิดตัวเวอร์ชันใหม่ 3.8.2 พร้อมแพตช์ด้านความปลอดภัย

Joomla เวอร์ชั่น 3.8.2 ได้เปิดตัวอย่างเป็นทางการแล้ว โดยในรุ่นนี้นั้นนอกจากจะมีการอัพเดตฟีเจอร์ใหม่ ยังมีการปล่อยแพตช์ด้านความปลอดภัยที่มีการอุดช่องโหว่ด้านความปลอดภัย 3 ช่องโหว่หลักและแก้ไขบั๊กที่รายงานหลังจากออก Joomla รุ่นก่อน ๆ จำนวนกว่า 90 บั๊ก

3 ช่องโหว่หลักด้านความปลอดภัยที่ทำการแก้ไขดังนี้

- ช่องโหว่ที่มีความรุนแรงระดับกลาง : ข้อมูลรั่วไหลผ่านฟังก์ชันที่มีการอิมพลีเมนต์โปรโตคอล LDAP (กระทบ 1.5.0 ถึง 3.8.1)

- ช่องโหว่ที่มีความสำคัญระดับกลาง : ข้ามผ่านระบบยืนยันตัวตนแบบสองขั้นตอน (Two-Factor Authentication) (กระทบ 3.2.0 ถึง 3.8.1)

- ช่องโหว่ที่มีความสำคัญระดับต่ำ : ข้อมูลเฉพาะของเว็บไซต์รั่วไหลไปยังผู้ใช้งานที่ไม่มีสิทธิ์เข้าถึง (กระทบ 3.7.0 ถึง 3.8.1)

แนะนำให้ผู้ใช้งานทำการอัพเดตซอฟต์แวร์ให้เป็นเวอร์ชันล่าสุดโดยด่วน

ที่มา : joomla

แจ้งเตือนการโจมตีพุ่งเป้ากลุ่มประเทศใน ASEAN ขโมยข้อมูล, ดักฟังและแพร่กระจายมัลแวร์

บริษัทด้านความปลอดภัย Volexity ได้มีการเปิดเผยแคมเปญการโจมตีล่าสุดซึ่งเชื่อกันว่ามีผู้อยู่เบื้องหลังคือกลุ่มแฮกเกอร์เวียดนามภายใต้ชื่อรหัส APT32 หรือ OceanLotus โดยในแคมเปญนี้นั้นมีเป้าหมายโจมตีหลายประเทศในกลุ่มอาเซียน และเน้นไปที่การขโมยและเก็บข้อมูลที่มีความอ่อนไหวสูง

สำหรับประเทศที่มีการตรวจพบการโจมตีแล้วนั้นได้แก่ เวียดนาม, กัมพูชา, ลาว, ฟิลิปปินส์รวมไปถึงประเทศจีน โดยผู้โจมตีมีการเจาะระบบเว็บไซต์ราชการหลายแห่งและใช้เว็บไซต์เหล่านั้นในการแพร่กระจายมัลแวร์ไปยังระบบอื่นๆ ต่อ การโจมตีของแคมเปญการโจมตีนี้เน้นหนักไปที่การเก็บข้อมูลของผู้ใช้งาน เก็บหมายเลขไอพีของผู้เยี่ยมชมเว็บไซต์และฝังแบ็คดอร์ไว้ในระบบต่างๆ เพื่อให้เข้าถึงได้ภายหลัง

แนะนำให้ผู้ดูแลระบบตรวจสอบความผิดปกติในระบบอย่างสม่ำเสมอ รวมไปถึงการเข้าถึงที่ไม่ได้รับอนุญาต การส่งข้อมูลออกไปยังระบบภายนอกที่ต้องสงสัย ผู้อ่านสามารถดูพฤติกรรมการโจมตีของแฮกเกอร์กลุ่มนี้เพิ่มเติมได้จากลิงค์แหล่งที่มา

ที่มา : volexity

ผู้เชี่ยวชาญจาก Positive Technologies ค้นพบเทคนิคที่สามารถใช้ในการโจมตี Intel Management Engine(Intel ME) ผ่านการใช้งาน USB และมีแผนที่จะแสดงให้ดูในงาน Black Hack เดือนธันวาคมนี้

ช่องโหว่ Remote code execution(RCE) สำคัญที่ได้รับรหัสเป็น CVE-2017-5689 นี้ ถูกค้นพบเมื่อเดือนมีนาคมที่ผ่านมา ซึ่งพบบน Remote Management Feature ของ Intel Chipset ที่ใช้ในการอำนวยความสะดวกให้ผู้ดูแลระบบสามารถจัดการเครื่องภายในองค์กรได้จากระยะไกล เริ่มถูกใช้ในคอมพิวเตอร์รุ่นต่างๆตั้งแต่ 9 ปีที่แล้ว(2008) มีผลกระทบครอบคลุมกับ Intel Management Engine(Intel ME) บน Firmware ของระบบที่มีการใช้ Active Management Technology (AMT), Small Business Technology (SBT) และ Intel Standard Manageability (ISM) ทำให้ผู้โจมตีสามารถเข้ายึดเครื่องที่มีช่องโหว่ได้จากระยะไกล

เทคนิคที่เพิ่งถูกค้นพบในการโจมตีด้วยช่องโหว่นี้ จะเป็นการใช้ Joint Test Action Group (JTAG) ซึ่งเป็น Hardware Debugging บน Intel ME เพื่อให้มีสิทธิ์เข้าถึงอุปกรณ์บน PCH(Platform Control Hub) โดยการใช้ Direct Connect Interface(DCI) ผ่าน USB
ที่มา securityaffairs