Cisco Talos แจ้งเตือนการปลอมแปลงอีเมล SEC เพื่อแพร่กระจายมัลแวร์ DNSMessenger

Cisco Talos ออกรายงานการวิเคราะห์เมื่อกลางสัปดาห์ที่ผ่านมาหลังจากมีการตรวจพบลักษณะการโจมตีใหม่ที่ผู้โจมตีมีการใช้เว็บไซต์ทางราชการสหรัฐฯ เป็นเครื่องมือเพื่อช่วยในการโจมตี โดยมีจุดประสงค์เพื่อแพร่กระจายมัลแวร์ DNSMessenger ซึ่งมีการติดต่อกับเซิร์ฟเวอร์ที่ใช้ออกคำสั่งและควบคุม (C&C server) ผ่านโปรโตคอล DNS เป็นหลัก

แคมเปญการโจมตีมีจุดเริ่มต้นที่อีเมลสแปมที่ใช้ในการแพร่กระจายมัลแวร์ ผู้โจมตีจะทำการปลอมแปลงที่มาของอีเมลว่ามาจากระบบ EDGAR ของสำนักงานคณะกรรมการกำกับหลักทรัพย์และตลาดหลักทรัพย์สหรัฐฯ (SEC) ซึ่งเป็นระบบจัดการเอกสารรูปแบบหนึ่ง ไฟล์มัลแวร์จะถูกแพร่กระจายในรูปแบบของไฟล์เอกสาร

จุดน่าสนใจของวิธีการที่ผู้โจมตีใช้คือผู้โจมตีไม่ได้มีการใช้ลักษณะมาโครสคริปต์ในไฟล์เอกสารเพื่อดาวโหลดและติดตั้งมัลแวร์ แต่ผู้โจมตีมีการใช้ฟีเจอร์ที่เก่าแก่กว่ามาโครสคริปต์ Dynamic Data Exchange (DDE) เพื่อดาวโหลดและสั่งรันมัลแวร์ ด้วยรูปแบบใหม่นี้ระบบป้องกันที่เน้นไปที่การตรวจจับและป้องกันมาโครสครติป์จะไม่สามารถป้องกันการโจมตีในรูปแบบนี้ได้

เมื่อไฟล์เอกสารถูกเปิดและมีการอนุญาตให้ไฟล์เอกสารเรียกโปรแกรมอื่น (ผู้ใช้งานจำเป็นต้องกดอนุญาตเอง) มัลแวร์จะถูกดาวโหลดและติดตั้งที่เครื่องของผู้ใช้งาน โดยจะมีการแก้ไขค่าของรีจีสทรีและ Scheduled Tasks ให้รันตัวเองโดยอัตโนมัติเมื่อมีการเริ่มต้นการทำงานของระบบด้วย

แนะนำให้ผู้ใช้งานระมัดระวังเมื่อมีการเปิดไฟล์เอกสารใดๆ และควรตรวจสอบแหล่งที่มาให้ดีก่อนดาวโหลดไฟล์แนบจากอีเมล

ที่มา: zdnet

แจ้งเตือนการโจมตีระบบ Office 365 รูปแบบใหม่ "KnockKnock" เน้นเงียบแต่ได้ผล

นักวิจัยด้านความปลอดภัยจาก SkyHigh "Sandeep Chandana" ได้ออกมาเผยแพร่ถึงวิธีการโจมตี Office 365 รูปแบบใหม่โดยบ็อตเน็ตที่พึ่งมีการตรวจพบภายใต้ชื่อการโจมตี "KnockKnock" ที่เน้นไปที่การโจมตีระบบที่อยู่ข้างหลังที่มักจะขาดการป้องกันที่เหมาะสม เพื่อนำข้อมูลกลับมาใช้ในการเข้าถึงระบบที่ต้องการโจมตีต่อไป

การโจมตี KnockKnock ถูกตรวจพบในเดือนพฤษภาคม 2017 และยังคงมีการใช้วิธีการนี้ในการโจมตีอยู่ โดยมีแหล่งที่มาของการโจมตีจากกว่า 15 ประเทศทั่วโลก

ลักษณะการโจมตีแบบ KnockKnock มักมีคุณลักษณะพิเศษอยู่ 2 อย่างคือ การโจมตีที่มีกลุ่มเป้าหมายค่อนข้างเล็กโดย SkyHigh ระบุว่ามักจะเป็น 2% ของบัญชีผู่ใช้งานทั้งหมด และการโจมตี KnockKnock นั้นจะไม่ใช่การโจมตีแบบ bruteforce แต่จะเป็นการโจมตีเพื่อคาดเดารหัสผ่านเพียง 3-5 ครั้งต่อบัญชีเพื่อไม่ให้สามารถตรวจจับได้ ซึ่งโดยมากจะเป็นการโจมตีแบบ phishing เป็นส่วนใหญ่ เมื่อโจมตีระบบใดระบบหนึ่งได้แล้ว ผู้โจมตีจึงจะใช้ข้อมูลที่ได้จากการโจมตีไปโจมตีระบบอื่นๆ ต่อ

เป้าหมายของบริการที่ KnockKnock โจมตีนั้นจะมุ่งไปที่ระบบที่มักมีการใช้ร่วมกัน มีการใช้งานอยู่เบื่องหลังองค์กรและมักจะมีการป้องกันที่ไม่ดีพอ อาทิ ระบบสำหรับ provision, ระบบสำหรับจัดการศูนย์ข้อมูล, ระบบจัดการการขาย, JIRA, Jenkin หรือ GitHub เป็นต้น ระบบเหล่านี้นั้นมักจะไม่มีฟังก์ชันอย่าง 2 factor authentication หรือ Single-Sign-On ทำให้การโจมตีเป็นไปได้โดยง่าย

แนะนำให้ผู้ใช้งานและผู้ดูแลระบบเพื่อความระมัดระวังและกวดขันความปลอดภัยในระบบเหล่านี้เพื่อป้องกันการโจมตีในลักษณะดังกล่าว การตอบโต้ที่ง่ายที่สุดในการจัดการกับการโจมตี KnockKnock คือการเปิดใช้งาน 2FA สำหรับบัญชีพนักงานและบัญชีระบบ รวมถึงใช้รหัสผ่านที่ปลอดภัยและควรตั้งรหัสผ่านของแต่ละบัญชีไม่ให้ซ้ำกัน

ที่มา: bleepingcomputer

กลุ่มแฮกเกอร์โจมตีสถาบันการเงิน "FIN7" เปลี่ยนขั้นตอนการแพร่กระจายมัลแวร์

กลุ่มแฮกเกอร์ FIN7 (หรือรู้จักกันในชื่อ Anunak หรือ Carbanak) ซึ่งพุ่งไปที่การโจมตีสถาบันการเงิน ได้มีการเปลี่ยนรูปแบบการแพร่กระจายมัลแวร์จากเดิมที่ใช้ไฟล์ LNK หรือไฟล์ลิงค์ฝังเข้าไปในไฟล์เอกสาร เป็นการใช้ไฟล์ CMD ทำให้หลีกเลี่ยงกระบวนการตรวจจับได้

เมื่อเหยื่อทำการเปิดไฟล์เอกสารซึ่งมักถูกส่งมากับอีเมล ไฟล์เอกสารดังกล่าวจะทำการถอดรหัสตัวเองก่อนจะทำการดาวโหลดมัลแวร์มาติดตั้งบนระบบของเหยื่อ มัลแวร์ดังกล่าวทำหน้าที่เป็นช่องทางลับทำให้ผู้โจมตีสามารถเข้าถึง สั่งการและควบคุมเครื่องของเหยื่อได้ในภายหลัง การเปลี่ยนแปลงพฤติกรรมของ FIN7 ล่าสุดอาจทำให้ขั้นตอนเหล่านี้ตรวจจับได้ยากขึ้นด้วย นอกเหนือจากนั้นภายในฟังก์ชันการทำงานของมัลแวร์เอง มัลแวร์ยังสามารถที่จะดึงข้อมูลรายการผู้ติดต่ออัตโนมัติจาก Outlook ได้อีกด้วย

แนะนำให้ผู้ใช้งานระมัดระวังก่อนเปิดไฟล์แนบที่มากับอีเมล รวมไปถึงตรวจสอบแหล่งที่มาของอีเมลทุกครั้ง

ที่มา: securityweek

บริษัทด้านความปลอดภัย Rapid 7 ได้ตรวจพบช่องโหว่ SQL injection บนซอฟต์แวร์ e-commerce "SmartVista" ซึ่งใช้กันอย่างแพร่หลายในสวิตเซอร์แลนด์ อย่างไรก็ตามโลกแห่งความจริงนั้นไม่ได้ง่ายและปลอดภัยเมื่อบริษัทผู้พัฒนาซอฟต์แวร์ BCP Banking ไม่ยอมรับทราบและแก้ปัญหาใดๆ ตั้งแต่เดือนพฤษาภาคม 2017

ช่องโหว่ดังกล่าวเกิดจากระบบไม่ได้มีการตรวจสอบข้อมูลที่ผู้ใช้งานส่งเข้ามาดีพอ ทำให้ผู้โจมตีสามารถเข้าถึงข้อมูลที่อยู่ฐานข้อมูลได้ผ่านการโจมตี SQL injection
ขณะนี้ CERT/CC กับ SwissCERT ได้ดำเนินการแจ้งไปยังบริษัทผู้พัฒนาซอฟต์แวร์แล้ว เนื่องจากซอฟต์แวร์ดังกล่าวมีการใช้งานอย่างแพร่หลาย ในส่วนของผู้ที่ใช้ซอฟต์แวร์นั้น การใช้ฟีเจอร์ของ WAF ในการป้องกัน SQL injection อาจช่วยลดความเสี่ยงที่จะถูกโจมตีได้บางส่วน

ที่มา: theregister

ทีม Tomcat Apache ได้แจ้งเตือนช่องโหว่ Remote Code Execution (RCE) รหัส CVE-2017-12617 ซึ่งถูกจัดอันดับความรุนแรงเป็น Important ทำให้แฮกเกอร์สามารถสั่งรันโค้ดจากระยะไกลได้
ช่องโหว่นี้จะมีผลกระทบกับเวอร์ชันก่อน 9.0.1 (Beta), 8.5.23, 8.0.47 และ 7.0.82 ที่มีการตั้งค่าตัวแปร(Parameter) ของ readonly บน Default Servlet หรือ WebDAV Servlet เป็น False และได้เปิดให้มีการใช้งาน HTTP PUT เอาไว้ ส่งผลให้สามารถทำการอัพโหลดไฟล์ JSP ไปยัง Apache Tomcat Server และสั่งให้ทำงานได้ จากรายงานยังได้ระบุว่า ช่องโหว่นี้ถูกค้นพบหลังจากที่มีการแก้ไขช่องโหวที่คล้ายคลึงกันใน Apache Tomcat 7 สำหรับ Windows เมื่อวันที่ 20 กันยายนที่ผ่านมา

จึงแนะนำให้ผู้ดูแลระบบ Apache ควรรีบอัพเดทแพทช์ให้เป็นเวอร์ชั่นล่าสุดโดยเร็ว ตามรายละเอียดด้านล่าง
อัปเกรดเป็น Apache Tomcat 9.0.1 หรือใหม่กว่า
อัปเกรดเป็น Apache Tomcat 8.5.23 หรือใหม่กว่า
อัปเกรดเป็น Apache Tomcat 8.0.47 หรือใหม่กว่า
อัปเกรดเป็น Apache Tomcat 7.0.82 หรือใหม่กว่า

ที่มา: alphabot

แจ้งเตือนการโจมตีผ่านไฟล์เอกสารรูปแบบใหม่ ไม่ต้องใช้มาโครสคริตป์

นักวิจัยด้านความปลอดภัย Etienne Stalmans และ Saif El-Sherei จาก Sensepost ได้เผยแพร่วิธีในการควบคุมการทำงานของไฟล์เอกสารเพื่อให้ดาวโหลดและติดตั้งมัลแวร์รูปแบบใหม่โดยใช้ฟีเจอร์ของ Microsoft Office เรียกว่า Dynamic Data Exchange (DDE)

Dynamic Data Exchange (DDE) นั้นเป็นฟีเจอร์ที่อนุญาตให้ Microsoft Office สามารถเรียกใช้แอปพลิเคชันอื่นได้เพื่อการรับส่งข้อมูลระหว่างกัน โดยในการใช้งาน DDE ในการโจมตีนั้นจะไม่มีการปรากฎถึงคำเตือนด้านความปลอดภัยที่มักจะปรากฎเมื่อใช้งานมาโครสคริปต์ แต่จะมีการปรากฎของการแจ้งเตือนถึงผู้ใช้งานว่าจะมีการเรียกใช้งานโปรแกรมอื่น ซึ่งอ้างอิงจาก Sensepost คำเตือนเหล่านี้ก็สามรถถูกแก้ไขได้ด้วย

วิธีการใช้งาน DDE ในการโจมตีนั้นมีการตรวจพบแล้วโดย Cisco Talos เพื่อการแพร่กระจายมัลแวร์ DNSMessenger

แนะนำให้ผู้ใช้งานเพิ่มความระมัดระวังในการเปิดไฟล์เอกสาร และหากต้องการวิธีในตรวจสอบ แจ้งเตือนและป้องกันการโจมตีในลักษณะนี้สามารถติดต่อไอ-ซีเคียวเพื่อรับคำปรึกษาได้ทันทีครับ

ที่มา : bleepingcomputer , thehackernews

เมื่อวันที่ 5 กันยายน ที่ผ่านมามีการเปิดตัว Chrome 61 พร้อมฟีเจอร์ WebUSB API เพื่อให้เว็บแอพสามารถเข้าถึงอุปกรณ์ USB ของผู้ใช้ได้ ดังนั้นเว็บจึงสามารถเข้าใช้งานฟีเจอร์ของฮาร์ดแวร์อย่างคีย์บอร์ด, เมาส์, เครื่องพิมพ์ หรือเกมแพด ได้เมื่อผู้ใช้อนุญาต แต่มีบางอุปกรณ์ที่ WebUSB API ไม่สนับสนุนการใช้งาน เช่น webcams , HIDs หรือ อุปกรณ์จัดเก็บข้อมูลขนาดใหญ่

นักวิจัยด้านความปลอดภัยได้ทำการทดสอบ Proof of Concept (PoC) เพื่อแสดงให้เห็นถึงปัญหาที่เกิดจากการใช้ WebUSB API โดยการใช้ WebUSB เพื่อเข้าถึงโทรศัพท์ Android ที่ผู้ใช้ยอมให้เชื่อมต่อ เมื่อผู้ใช้รับคำขอจากนั้นหน้าเว็บจะใช้ WebUSB เพื่อดึงข้อมูลรูปภาพทั้งหมดจากโฟลเดอร์กล้องถ่ายรูป นอกจากจะสามารถขโมยไฟล์ที่อ่านได้ทั้งหมดจากระบบ ยังสามารถติดตั้ง APK เพื่อเข้าถึงกล้องและไมโครโฟนเพื่อสอดแนมผู้ใช้และอาจทำการยกระดับสิทธิเป็นสิทธิสูงสุดของระบบ

ดังนั้นผู้ใช้ไม่ควรให้เว็บไซต์ที่ไม่น่าเชื่อถือเข้าถึงอุปกรณ์ USB ที่มีข้อมูลที่สำคัญ ซึ่งอาจส่งผลให้อุปกรณ์มีความเสี่ยงต่อการถูกโจมตีได้

ที่มา : mwrinfosecurity

Microsoft Cortana เพิ่มฟีเจอร์ใหม่ที่สามารถอ่านข้อความ Skype ของผู้ใช้งานได้ ซึ่งอาจส่งผลต่อความเป็นส่วนตัวของผู้ใช้งาน

Microsoft ได้มีการเพิ่มการทำงานของ Cortana เข้ามาเป็นผู้ช่วยของ Skype messenger บนอุปกรณ์ Android รวมทั้งอุปกรณ์ iOS โดยมีการใช้ความสามารถของ AI เพื่อทำความเข้าใจบทสนทนาของผู้ใช้งานและช่วยผู้ใช้งานในการให้คำแนะนำต่างๆ

อย่างไรก็ตามประเด็นที่ส่งผลตามมาอย่างชัดเจนคือประเด็นเรื่องความเป็นส่วนตัว เนื่องจากการสนทนาผ่าน Skype นั้นไม่มีการเข้ารหัสแบบ end-to-end ซึ่งส่งผลให้ Microsoft มีสิทธิ์เข้าถึงการสื่อสารส่วนตัวทั้งหมดของผู้ใช้งานได้ อีกทั้งข้อมูลที่ถูกเก็บโดย Cortana นั้นก็อาจมีข้อมูลส่วนตัวที่ส่งผลกระทบต่อผู้ใช้งานได้เช่นเดียวกัน

อ้างอิงจากเอกสารของ NSA ในโครงการ PRISM นั้น เคยมีการแสดงภาพให้เห็นอย่างชัดเจนว่า NSA สามารถเข้าถึงข้อมูลจาก Skype ได้ซึ่งเป็นผลมาจากการดักฟังที่ "อาจ" ได้รับความยินยอมจาก Microsoft

Cortana สำหรับ Skype เวอร์ชั่นล่าสุด มีให้บริการเฉพาะผู้ใช้ชาวอเมริกันและไม่ได้มีการเปิดเป็นค่าเริ่มต้น หากต้องการใช้งานผู้ใช้งานจำเป็นต้องเปิดใช้งานฟีเจอร์ดังกล่าวด้วยตัวเอง

ที่มา : thehackernews

นักวิจัยด้านความปลอดภัยค้นพบมัลแวร์ ATM สายพันธุ์ใหม่ชื่อ ATMii โดยมีเป้าหมายเฉพาะเครื่อง ATM ที่ทำงานบน Windows 7 และ Windows Vista เท่านั้น
เมื่อช่วงต้นปีที่ผ่านมาพบธนาคารแห่งหนึ่งถูกโจมตีจากมัลแวร์ ATMii และได้เปิดเผยรายละเอียดทางด้านเทคนิคเกี่ยวกับความสามารถของมัลแวร์ โดยนักพัฒนาอาวุโสของ Kaspersky "Konstantin Zykov" กล่าวว่ามัลแวร์ดังกล่าวไม่ซับซ้อนเท่า ATM มัลแวร์สายพันธุ์ที่ผ่านมา
ATMii ใช้ไฟล์เพียงสองไฟล์เท่านั้นคือ exe.

Microsoft ได้ปล่อย Tuesday Patch ประจำเดือนตุลาคมออกมา ครอบคลุมช่องโหว่มากกว่า 60 รายการ ทั้งที่เป็น Critical และ Important โดยเป็นช่องโหว่ด้านความปลอดภัยที่ส่งผลกระทบต่อการใช้งาน Graphics, Edge, Internet Explorer, Office, Sharepoint, Windows Graphic Display Interface, Windows Kernel Mode Drivers เป็นต้น อย่างไรก็ตามยังไม่มี Patch สำหรับการแก้ไขช่องโหว่ของ Flash ออกมาแต่อย่างไร

สำหรับ Patch ที่ปล่อยออกมามีช่องโหว่ 3 รายการ ที่ได้รับการแนะนำว่าจำเป็นจะต้องทำการอัพเดท ได้แก่ ช่องโหว่ของ Memory ใน Microsoft Office(CVE-2017-11826), ช่องโหว่ของ Cross-site scripting ใน Sharepoint Server(CVE-2017-11777) และ ช่องโหว่ DoS ใน Windows Subsystem รวมถึงช่องโหว่ที่เกี่ยวข้องกับ Firmware อย่าง Trusted Platform Modules (TPMs) ซึ่งเป็นปัญหาของการสร้างคีย์ที่มีความปลอดภัยต่ำ(weak cryptographic keys) ขึ้นมาใช้งาน

ทั้งนี้สามารถเข้าไปดาวน์โหลด Patch ล่าสุดได้จากเว็ปไซต์ทางการของ Microsoft ได้แล้ว หรือทำการเปิด Automatically Update ไว้ เพื่อให้ระบบทำการอัพเดทให้เองโดยอัตโนมัติ

ที่มา : theregister