Cisco ได้มีการประกาศการตรวจสอบด้านและแจ้งเตือนความปลอดภัยของซอฟต์แวร์บางส่วนหลังจากมีความเป็นไปได้ว่าซอฟต์แวร์บางรายการนั้นอาจจะได้รับผลกระทบจากช่องโหว่ Apache Struts
ช่องโหว่ Apache Struts ดังกล่าวนั้น เป็นช่องโหว่ที่ทำให้ผู้โจมตีสามารถทำการโจมตีแบบ remote code execution เพื่อเข้าสั่งการเครื่องเป้าหมายได้จากระยะไกล อ้างอิงจากการประกาศของ Cisco ซอฟต์แวร์ที่ได้รับผลกระทบโดยส่วนมากเป็นซอฟต์แวร์ในกลุ่ม VoIP และซอฟต์แวร์จัดการเครือข่าย ผู้ใช้งานและผู้ดูแลระบบสามารถตรวจสอบรายการของซอฟต์แวร์ที่ได้รับผลกระทบได้จากลิงค์ด้านล่าง
https://tools.

ผู้เชี่ยวชาญด้านความปลอดภัยจาก Palo Alto Networks เปิดเผยรายละเอียดการโจมตีบนฟีเจอร์ของ Android ที่เรียกว่า Toast Notification ซึ่งทำให้มัลแวร์ หรือผู้โจมตีได้รับสิทธิ์ระดับ Admin
Toast Notification ถูกใช้ในการแสดงข้อความแจ้งเตือนบนหน้าจอ ซึ่ง Toast Notification จะแสดงอยู่ในตำแหน่งล่าง ๆ ของหน้าจอ เป็น pop-up แสดงข้อความสั้น ๆ ให้ผู้ใช้ทราบ เช่น เมื่อมีการเพิ่มข้อมูล และบันทึกข้อมูลเรียบร้อยแล้ว หรือหน้าต่างสำหรับยืนยันการทำงานต่างๆ
เมื่อเหยื่อหลงกลติดตั้งแอพพลิเคชั่นแล้ว จะมี pop-up แจ้งเตือนให้ผู้ใช้งานดำเนินการบางอย่าง โดยใช้ความสามารถของ Toast Notification ซึ่งจะทำให้ pop-up นั้นได้สิทธิ์ Admin เหนือแอพพลิเคชั่นอื่นๆโดยปริยาย หรือที่เรียกว่า "Draw on top"
Android ที่ได้รับผลกระทบคือ ทุกเวอร์ชันก่อน Android 8.0 Oreo (CVE-2017-0752) จึงแนะนำให้ผู้ใช้อุปกรณ์ Android อัพเกรดเป็นเวอร์ชันล่าสุด 8.0 Oreo หรือดาวน์โหลดแพตซ์ได้ที่ https://source.

Microsoft แพตซ์ช่องโหว่ด้านความปลอดภัยบน Office ซึ่งพบว่าถูกใช้ในการโจมตีกลุ่มเป้าหมายที่เป็นผู้ใช้ภาษารัสเซีย โดยมีจุดมุ่งหมายเพื่อลง spyware สำหรับสอดแนมที่ชื่อว่า "FinSpy"
นักวิจัย FireEye พบช่องโหว่ zero-day ที่ส่งผลให้มัลแวร์แพร่กระจายโดยไฟล์เอกสาร Microsoft Office RTF เมื่อเปิดเอกสาร ทำให้เครื่องคอมพิวเตอร์เป้าหมายโดนติดตั้ง spyware ที่ชื่อว่า "FinSpy" ซึ่งเป็นซอฟต์แวร์สอดแนมของบริษัทในเครือ Gamma Group ซึ่งเป็นบริษัทที่ขายโปรแกรมสอดแนมให้กับรัฐบาลทั่วโลก
ในปี 2014 WikiLeaks เคยเปิดเผยข้อมูลว่ารัฐบาลใหญ่ ๆ หลายแห่งอยู่ในรายชื่อลูกค้าที่ใช้งาน "FinFisher" ซึ่งเป็น spyware เช่นเดียวกับ "FinSpy" โดย FireEye ไม่สามารถระบุได้อย่างชัดเจนว่าใครเป็นผู้โจมตี แต่คาดว่าน่าจะเป็นบุคคลจากรัฐบาลประเทศใดสักแห่ง และเหตุการณ์อาจเริ่มตั้งแต่ช่วงต้นเดือนกรกฎาคม แต่เพิ่งจะถูกตรวจพบ
Microsoft ได้จัดให้ช่องโหว่ดังกล่าวอยู่ในระดับ "important" โดยล่าสุด Microsoft ได้มีการปล่อยให้อัพเดท เพื่อแก้ไขช่องโหว่ล่าสุดทั้งหมด 81 รายการ ใน Tuesday Patch ประจำเดือนกันยายน ซึ่งรวมช่องโหว่นี้ด้วย

ที่มา : zdnet

KHRAT เป็น Backdoor ที่ถูกใช้ในการจารกรรมข้อมูลความลับของกลุ่มแฮกเกอร์จากจีน ที่รู้จักกันในนาม 'DragonOK' ซึ่งก่อนหน้านี้เคยมีการใช้มัลแวร์ เช่น NetTraveler (TravNet), PlugX, Saker, Netbot, DarkStRat และ ZeroT โจมตีองค์กรในรัสเซียและประเทศอื่น ๆ โดยล่าสุดมุ่งเป้าหมายไปที่เหยื่อในกัมพูชา

มัลแวร์ถูกออกแบบมาให้ทำการเข้าถึงข้อมูลในเครื่องของเหยื่อ เช่น Username, ภาษาของระบบและ IP โดยใช้เทคนิค RAT เพื่อส่งข้อมูลกลับไปให้ C&C server เสมือนกับการลงทะเบียนเครื่องที่มีการแพร่กระจายแล้ว
นักวิจัยจาก Palo Alto ได้สรุปว่าแฮกเกอร์ได้มีการพัฒนาความสามารถของ spear phishing, ปรับหน้าตา และใช้วิธีหลากหลายในการดาวน์โหลดและเรียกใช้ payload เพิ่มเติม โดยใช้แอพพลิเคชัน built-in ของ Windows

นอกจากนี้แฮกเกอร์ยังขยายขนาดของไฟล์โฮสติ้ง โดยเลียนแบบ Dropbox ซึ่งเป็นไฟล์โฮสติ้งที่รู้จักกันดีในระบบคลาวด์เพื่อหลอกลวงเหยื่อ
แม้ว่าจะยังไม่มีการแพร่ระบาดมากนัก แต่ในช่วงสองเดือนที่ผ่านมาพบว่ามีการโจมตีเป้าหมายในกัมพูชา จากการพบเอกสาร Word ที่มีพฤติกรรมการติดต่อออกไปยังไฟล์โฮสติ้ง เมื่อช่วงเดือนมิถุนายนที่ผ่านโดยนีกวิจัยจาก Palo Alto

ที่มา: securityweek

พบการโจมตีที่ชื่อว่า IDN homograph โดยมีการใช้งานเว็บไซต์ปลอมเป็นตัวแพร่กระจายมัลแวร์ Beta Bot backdoor ซึ่งจะเป็นมัลแวร์ที่ใช้ในการแพร่กระจายมัลแวร์ขโมยข้อมูลและขุดบิทคอยน์ต่อ การโจมตี IDN homograph นี้จะเป็นการโจมตีที่อาศัยการจดชื่อโดเมนเนม (ชื่อเว็บไซต์) โดยใช้อักขระที่มีความคล้ายกับชื่อโดเมนเนมจริงหรืออักขระที่เมื่อเปิดผ่านโปรแกรมเว็บเบราว์เซอร์แล้วจะเห็นเป็นโดเมนเนมของจริง เช่น “apple.

นักวิจัยด้านความปลอดภัย Brad Duncan จาก Palo Alto Networks และ MalwareHunter ได้แจ้งเตือนถึงการตรวจพบการใช้ CDN (Content Delivery Network) ซึ่งเป็นลักษณะของเซิร์ฟเวอร์ซึ่งกระจายอยู่ทั่วโลกเพื่อให้ผู้ใช้งานสามารถเข้าถึงเนื้อหาต่างๆ ได้อย่างรวดเร็วของบริการที่มีชื่อเสียง อาทิ Facebook, Dropbox และ Google ในการเก็บไฟล์อันตรายหรือมัลแวร์เพื่อแพร่กระจาย สืบเนื่องมาจากหลายองค์กรหรือหลายระบบความปลอดภัยนั้นอนุญาตให้ผู้ใช้งานเข้าถึงข้อมูลซึ่งมาจากแหล่งเหล่านี้ได้

ในการโจมตีนั้น กลุ่มแฮกเกอร์ดังกล่าวจะทำการแนบลิงค์ของ CDN สำหรับดาวโหลดไฟล์ไปกับอีเมลซึ่งถูกปลอมแปลงให้มีลักษณะคล้ายกับอีเมลของหน่วยงานราชการ เมื่อผู้ใช้งานดาวโหลดไฟล์มัลแวร์จาก CDN แล้ว ไฟล์มัลแวร์ดังกล่าวจะเป็นไฟล์ลิงค์ (LNK) ที่ถูกบีบอัดให้เป็นไฟล์ RAR หรือ ZIP เมื่อผู้ใช้งานเปิดไฟล์ลิงค์ดังกล่าวแล้ว ไฟล์ลิงค์จะทำการรันคริปสต์ batch หรือ powershell เพื่อดาวโหลดและติดตั้งมัลแวร์ตัวจริงอีกครั้ง กระบวนการทั้งหมดมีชื่อเรียกอย่างไม่เป็นทางการว่าเทคนิค Squiblydoo

จุดที่น่าสนใจในการโจมตีนี้นั้นอยู่ที่การเลือกเป้าหมาย นักวิจัยด้านความปลอดภัยมีการค้นพบว่า มัลแวร์จะทำการตรวจสอบประเทศของเป้าหมายจากหมายเลขไอพีแอดเดรส ซึ่งหากเป้าหมายไม่ได้อยู่ในประเทศที่กำหนดไว้แล้วก็จะไม่ทำการดาวโหลดมัลแวร์เพื่อโจมตีด้วย ในขณะนี้บริการที่มีการใช้ CDN และถูกใช้ในการโจมตีได้ถูกดำเนินการตรวจสอบแล้ว ผู้ใช้ควรระมัดระวังการโจมตีในลักษณะเดียวกันกับบริการอื่นๆ ไว้ด้วย

ที่มา: bleepingcomputer

แจ้งเตือนช่องโหว่ด้านความปลอดภัยบน FireEye AX 5400 ทำให้มัลแวร์สามารถเข้าถึง Appliance ได้

Andreas Dewald ได้เปิดเผยช่องโหว่ด้านความปลอดภัยบนอุปกรณ์ FireEye AX รุ่น 5400 ซึ่งส่งผลให้มัลแวร์หรือโปรแกรมซึ่งถูกสร้างมาเป็นพิเศษเพื่อโจมตีช่องโหว่ดังกล่าวสามารถเข้าถึง appliance หรือโจมตีเพื่อแพร่ระบาดตัวเองไปยังโฮสต์อื่นในเครือข่ายได้

FireEye AX เป็นอุปกรณ์ที่ถูกออกแบบมาเพื่อใช้ในการตรวจสอบและพิสูจน์มัลแวร์หรือไฟล์ที่เป็นอันตรายในสภาพแวดล้อมที่มีการควบคุม (sandbox) อุปกรณ์ดังกล่าวมีรูปแบบการทำงานอยู่ด้วยกัน 2 ลักษณะคือ รูปแบบการทำงานแบบ sandbox และรูปแบบการทำงานแบบ live โดยในรูปแบบการทำงานแบบ sandbox นั้น สภาพแวดล้อมในการทดสอบจะถูกควบคุมอย่างเข้มงวด แตกต่างกันในรูปแบบการทำงานแบบ live ที่มีการยินยอมให้โปรแกรมที่เป็นอันตรายส่งข้อมูลออกไปยังอินเตอร์เน็ตได้

Andreas Dewald ค้นพบว่า เมื่ออุปกรณ์ถูกตั้งค่าให้ทำงานในรูปแบบ live โปรแกรมที่ถูกวิเคราะห์นั้นสามารถเข้าถึงพอร์ตของ SSH ที่ใช้ในการตั้งค่าของอุปกรณ์ได้ด้วย ทำให้โปรแกรมที่เป็นอันตรายนั้นสามารถทำการโจมตีแบบ brute force หรือหากรู้รหัสผ่านอยู่แล้วก็สามารถเข้าควบคุมอุปกรณ์ผ่านทาง SSH ได้ ผู้โจมตีเพียงแค่ส่งไฟล์ที่เป็นอันตรายในช่องทางใดๆ ก็ตามที่อุปกรณ์จะทำการวิเคราะห์ เช่น ช่องทางอีเมล ก็จะสามารถโจมตีช่องโหว่ดังกล่าวได้

Recommendation: ช่องโหว่ดังกล่าวได้ถูกแก้ไขแล้วในซอฟต์แวร์รุ่น 7.7.7 และ 8.0.1 แนะนำให้ผู้ใช้งานอุปกรณ์ดังกล่าวอยู่ทำการอัพเกรดซอฟต์แวร์เป็นเวอร์ชันล่าสุดโดยทันที รายละเอียดของช่องโหว่และโค้ดสำหรับทดสอบโจมตีช่องโหว่สามารถตรวจสอบได้จากแหล่งที่มา

ที่มา: insinuator

ทาง Microsoft ได้ออกแพตช์ให้อัพเดทประจำเดือน กันยายน 2560 สำหรับช่องโหว่ที่มีความสำคัญในผลิตภัณฑ์ต่างๆ สำหรับเดือนนี้รวมทั้งหมด 81 ช่องโหว่ โดยมีรายละเอียดดังนี้
• ช่องโหว่ที่อยู่ในระดับรุนแรง(critical) มีทั้งหมด 27 รายการ
• ช่องโหว่ที่มีความสำคัญ(important) มีทั้งหมด 52 รายการ
• ช่องโหว่ที่อยู่ในระดับปานกลาง(moderate) มีทั้งหมด 2 รายการ
ช่องโหว่ดังกล่าวส่วนใหญ่จะมีผลกระทบครอบคลุมผลิตภัณฑ์ตามรายการที่สำคัญดังนี้
• Edge
• Internet Explorer
• Adobe Flash Player ที่ถูกติดตั้งอยู่ใน Edge และ Internet Explorer
• Hyper-V
• Office
• Remote Desktop Protocol
• Sharepoint
• Windows Graphic Display Interface
• Windows Kernel Mode Drivers
• Etc.

สรุปบทความ เรื่อง Incident Insight สรุปการโจมตี Equifax รายละเอียดดังนี้ PAGE FACEBOOK : i-SECURE

บริษัทด้านความปลอดภัยบน IoT(Internet of Things) ของ Palo Alto ชื่อว่า "Armis" ได้ค้นพบช่องโหว่ของ Bluetooth ที่ถูกตั้งชื่อว่า "BlueBorne" ซึ่งหากถูกโจมตีจะทำให้ผู้โจมตีสามารถเข้าควบคุมอุปกรณ์ได้อย่างสมบูรณ์ ครอบคลุมระบบปฎิบัติการ Android, iOS, Linux และ Windows ที่เปิดใช้งาน Bluetooth เอาไว้ เพียงแค่อยู่ในรัศมีที่ไม่เกิน 32 ฟุต จากเครื่องเป้าหมาย และสามารถโจมตีได้โดยที่ตัวอุปกรณ์ไม่จำเป็นต้องจับคู่ (Pair) กับอุปกรณ์ที่ใช้โจมตี รวมถึงไม่จำเป็นต้องเปิดโหมดค้นหาอุปกรณ์ (Discovery mode) แต่อย่างใด
ช่องโหว่ BlueBorne คล้ายกับการโจมตีด้วย Broadcom Wi-Fi ที่ถูกค้นพบเมื่อต้นปีนี้ในเดือนเมษายนและกรกฎาคม การโจมตีทำให้ผู้โจมตีสามารถโจมตีระยะไกลได้กับอุปกรณ์ iPhones และอุปกรณ์ Android เกือบทั้งหมด

ระบบที่ได้รับผลกระทบ
• ระบบปฏิบัติการ iOS เวอร์ชัน 9.3.5 หรือต่ำกว่า
• ระบบปฏิบัติการ Android ที่ยังไม่ได้ติดตั้งแพตช์ประจำเดือนกันยายน 2560
• ระบบปฏิบัติการ Windows ที่ยังไม่ได้ติดตั้งแพตช์ประจำเดือนกันยายน 2560
• ระบบปฏิบัติการ Linux ที่ยังไม่ได้ติดตั้งแพตช์หลังจากวันที่ 12 กันยายน 2560
• ระบบปฏิบัติการ macOS เวอร์ชัน 10.11 หรือต่ำกว่า

ทั้งนี้ผู้ใช้งาน Android สามารถดาวน์โหลดแอพพลิเคชั่นเพื่อใช้ตรวจสอบช่องโหว่ BlueBorne ซึ่งถูกพัฒนาโดยทีมจาก Armis ซึ่งเป็นผู้พบช่องโหว่ดังกล่าว ได้จาก Link ด้านล่าง
https://play.