ทีมนักวิจัยด้านความปลอดภัยจาก Check Point ได้มีการเปิดเผยเทคนิคของมัลแวร์ชนิดใหม่ "Bashware" ซึ่งใช้ในการหลบเลี่ยงการตรวจจับจากระบบตรวจจับและป้องกันต่างๆ ที่ติดตั้งไว้บนเครื่อง เทคนิคนี้อาศัยฟีเจอร์ Subsystem for Linux (WSL) ซึ่งพึ่งมีการเปิดตัวใน Windows 10

ฟีเจอร์ Subsytem for Linux (WSL) เป็นฟีเจอร์ที่ทำให้ผู้ใช้งานบนระบบปฏิบัติการ Windows 10 สามารถรันโปรแกรมและดำเนินการต่างๆ ได้เสมือนกับการดำเนินการบนระบบปฏิบัติการลินุกซ์ ฟีเจอร์ WSL นี้ใช้รูปแบบของการแชร์การทำงานบนระบบปฏิบัติการเดียวกันแทนที่จะเป็นการใช้เทคโนโลยีจำลองการทำงาน (virtualization) ซึ่งทำให้ใช้ทรัพยากรของระบบน้อยกว่าวิธีการจำลองการทำงานเยอะมาก

เทคนิค Bashware นี้ อาศัยฟีเจอร์ WSL ในการติดตั้งโปรแกรม เช่น wine ซึ่งทำให้โปรแกรมแบบ executable บนวินโดวส์ (นามสกุล .EXE) สามารถรันบนสภาพแวดล้อมของลินุกซ์ได้ หลังจากนั้นจึงใช้ wine ในการรันไฟล์ที่เป็นอันตราย จากการทดสอบของ Check Point นั้นแสดงให้เห็นอย่างชัดเจนว่าระบบป้องกันบางระบบนั้นไม่สามารถตรวจหาการรันของโปรแกรมที่เป็นอันตรายซึ่งถูกรันอยู่ภายใต้ฟีเจอร์ WSL ได้
Recommendation แม้ว่าฟีเจอร์ WSL จะไม่ได้มีการเปิดการทำงานเป็นค่าเริ่มต้น แต่ผู้โจมตีก็สามารถเปิดฟีเจอร์ดังกล่าวได้อัตโนมัติ ดังนั้นการป้องกันที่ดีที่สุดคือการไม่ติดตั้งไฟล์ที่อันตรายหรือต้องสงสัยซึ่งเป็นต้นเหตุของการแพร่กระจายของมัลแวร์จะเป็นการดีที่สุด

ที่มา : checkpoint

นักวิจัยด้านความปลอดภัย Logan Kipp จาก SIteLock ได้มีการรายงานการค้นพบช่องโหว่ XSS บนส่วนเสริม Product Vendors เวอร์ชัน 2.0.35 และก่อนหน้าของปลั๊กอิน WooCommerce ซึ่งถูกใช้งานในเว็บไซต์ขายของออนไลน์กว่า 28% ซึ่งส่งผลให้ผู้โจมตีอาจสามารถใช้ช่องโหว่ดังกล่าวในการเข้าถึงข้อมูลที่เป็นความลับของระบบได้

Logan Kipp กล่าวว่าช่องโหว่ในลักษณะ reflected XSS นี้อาจนำไปสู่การบังคับรันสคริปต์ที่เป็นอันตรายโดยที่ผู้ใช้งานไม่รู้ตัวได้ อีกทั้งอาจทำให้ผู้โจมตีได้รับสิทธิ์ของผู้ดูแลเว็บไซต์ที่สามารถจัดการการตั้งค่าต่างๆ ของเว็บไซต์ได้

ผู้พัฒนาเว็บไซต์สามารถลดความเสี่ยงจากช่องโหว่นี้ได้โดยการเปิดใช้งานฟีเจอร์ Automatic Updates ซึ่งจะช่วยในการอัพเดตปลั๊กอินต่างๆ ให้เป็นเวอร์ชันล่าสุดโดยอัตโนมัติ

ที่มา : threatpost

ข้อมูลลูกค้า 5,400 รายของ AXA Insurance ในประเทศสิงคโปร์รั่วไหล

AXA Insurance บริษัทประกันภัยระดับโลก สัญชาติฝรั่งเศส ได้มีการเปิดเผยว่าข้อมูลลูกค้าในกลุ่มประกันภัยด้านสุขภาพทั้งเก่าและปัจจุบันในประเทศสิงคโปร์จำนวน 5,400 ราย ได้รั่วไหล โดยข้อมูลที่ได้มาสามารถนำไปใช้ในการเข้าสู่ระบบผ่านหน้า Health Portal ซึ่งใช้สำหรับการเข้าสู่ระบบบน Website

จากรายงานระบุว่าข้อมูลที่รั่วไหลเป็นเพียงข้อมูลส่วนบุคคลบางรายการ เช่น E-mail, วันเกิด และเบอร์โทรศัพท์มือถือที่ใช้ในการส่ง OTP โดยได้รับการยืนยันว่าไม่มีข้อมูลบัตรเครดิต, ธนาคาร, ข้อมูลสุขภาพ และเลขประจำตัวประชาชนรั่วไหล คาดว่าผู้โจมตีน่าจะใช้วิธี Phishing เพื่อหลอกให้เหยื่อกรอกข้อมูล

ทั้งนี้ได้มีการส่ง E-mail แจ้งไปยังผู้ใช้งานที่ได้รับผลกระทบตั้งแต่วันพฤหัสบดีที่ผ่านมา และมีคำแนะนำให้ทำการเปลี่ยน Password ของ E-mail account ที่รั่วไหล เพื่อความปลอดภัย อย่างไรก็ตามมีความเห็นจากนักวิจัยของ Fortinet ว่าข้อมูลที่รั่วไหลนี้อาจจะถูกนำไปใช้ในการโจมตีรอบใหม่ เพื่อได้มาซึ่งข้อมูลสำคัญอื่นๆ เช่น การเงิน หรือข้อมูล Social Media อื่นๆ เพิ่มเติมในอนาคต

ที่มา : zdnet, gov

โรงพยาบาลบางแห่งของ NHS Lanarkshire board ถูกโจมตีด้วย Bit Paymer ransomware โดยโรงพยาบาลที่เป็นส่วนหนึ่งของ NHS Lanarkshire board นั้น เช่น Hairmyres Hospital in East Kilbride, Monklands Hospital เป็นต้น การถูกโจมตีครั้งนี้เกิดขึ้นเมื่อวันศุกร์ที่ 25 สิงหาคม 2017 และทางเจ้าหน้าของทาง NHS Lanarkshire ทราบเรื่องทันทีในวันนั้น ในวันต่อมาทางบอร์ดบริหารได้ออกให้ข่าวว่าควบคุมสถานการณ์ไว้แล้ว และกำลังกู้ระบบต่างๆกลับขึ้นมาอยู่ ซึ่งคาดการณ์ว่าจะใช้เวลาจนถึงวันจันทร์ที่ 28 สิงหาคม 2017 มีเพียงข้อมูลเรื่องของกระบวนการและกำหนดการเพียงเล็กนอยที่ถูกยกเลิกไปเนื่องจากเหตุการณ์โจมตีครั้งนี้
Bit Paymer Ransomware เริ่มเป็นที่รู้จักครั้งแรกเมื่อวันที่ 21 มิถุนายน 2017 เมื่อมีนักวิจัยทวีตข้อมูลตัวอย่างของมัลแวร์ที่เขาได้ upload ไปยัง VirusTotal (web-based file scanning service) หรือบริการการสแกนไฟล์แบบเว็บ สิ่งที่ทำให้ต่างจาก ransomware ตัวอื่นๆ ในปัจจุบันคือ Bit Paymer มีการเขียนโค้ดที่ดีมากทำให้ดูเหมือนว่าเป็นการเขียนของ programmer ที่มีประสบการณ์สูง
เจ้าหน้าที่ด้านความปลอดภัยของทาง Emsisoft เชื่อว่า ransomware ถูกลงลงไว้ในเครื่องหลังจากผู้โจมตีทำการโจมตีแบบ brute-force ไปยัง RDP endpoints ที่ไม่ได้รับการป้องกัน เมื่อผู้โจมตีเข้ามาในระบบหนึ่งได้แล้ว จะย้ายไปยังระบบอื่นเรื่อยๆ เพื่อลงตัว Bit Paymer ransomware ไว้ที่ทุกๆระบบที่สามารถเข้าไปได้ การเข้ารหัสไฟล์จะเป็นการรวมกันของ RC4 และ RSA-1024 ซึ่งทางนักวิจัยบอกว่ายังไม่มีวิธีในการถอดรหัสไฟล์ดังกล่าวได้ ไฟล์ที่ถูกเข้ารหัสจะมี ".locked" ต่อท้ายที่ชื่อไฟล์เดิม และมีการสร้างไฟล์ text ทิ้งไว้ทุกๆ จุดที่ไปเข้ารหัสไฟล์ โดยในไฟล์ text จะบอกรายละเอียดเรื่องของการจ่ายเงิน รูปแบบของการจ่ายเงินจะแปลกกว่า ransomware ตัวอื่นๆ ตรงที่จะให้ส่ง 1 Bitcoin confirmation มาสามครั้งก่อนการจ่ายเงินจริงเพื่อป้องกันการส่งเงินไปผิดที่อยู่

bleepingcomputer

พบช่องโหว่ในตัว Android Bootloader จาก 5 ผู้ผลิต chipset ซึ่งทำให้เสีย CoT (Chain of Trust) ระหว่างที่กำลังทำการ boot-up ซึ่งทำให้ตัวเครื่องสามารถถูกโจมตีได้ CoT คือสิ่งที่ถูกสร้างขึ้นจากการตรวจสอบทั้ง hardware และ software จากส่วนย่อย ซึ่งจุดประสงค์ก็เพื่อทำให้แน่ใจว่ามีเพียง software และ hardware ที่ไว้ใจได้เท่านั้นที่อนุญาติให้ใช้งานได้ โดยที่ภาพรวมยังคงประสิทธิภาพเดิมอยู่ ทีมนักวิจัยจึงเริ่มทำการวิจัยเกี่ยวกับช่องโหว่นี้ พบว่าเนื่องจากส่วนต่างๆ ในตัว Android bootloaders เป็น closed source และมักจะไม่มี typical metadata (program headers หรือ debugging symbols) ที่พบในโปรแกรมปกติทั่วไป จึงทำให้การวิเคราะห์ข้อมูลทำได้ยาก ซึ่งข้อมูลเลห่านี้จะช่วยในเรื่องของการทำ reverse engineering และการทำ security audits
งานวิจัยส่วนใหญ่จะเน้นไปที่การพัฒนาเครื่องมือใหม่ที่ชื่อว่า BootStomp ซึ่งจะช่วยในเรื่องของการทำ test และวิเคราะห์ bootloaders ในกรณีนี้จากการใช้ BootStomp เข้ามาทดสอบพบว่ามีช่องโหว่ 7 จุดโดยที่เป็นช่องโหว่ใหม่ 6 ตัวและ ที่เคยพบมาแล้วอีก 1 ตัว(CVE-2014-9798) ช่องโหว่ดังกล่าวบางตัวอาจทำให้ผู้โจมตีสามารถ execute arbitrary code หรือทำการโจมตีแบบ Dos ทีมนักวิจัยได้ให้ข้อมูลเพิ่มเติมว่าเครื่องมือ BootStomp ยังตรวจเจอช่องโหว่อีกสองตัวที่อาจช่วยให้ผู้โจมตีสามารถยกระดับสิทธิ์การเข้าใช้งานของตัวเองให้เป็นสิทธิ์ root บนระบบได้

ที่มา : bleepingcomputer

WikiLeaks รายงานการรั่วไหลของข่าวเกี่ยวกับเรื่องที่ว่า CIA ทำการสอดแนมพันธมิตรด้านข่าวกรองทั่วโลกซึ่งรวมไปถึง FBI, DHS, NSA เพื่อเก็บรวบรวมข้อมูลจากองค์กรเหล่านั้นอย่างลับๆ CIA เสนอระบบเก็บข้อมูลแบบ Biometric (biometric collection system) ให้กับทางตัวแทนพันธมิตรด้านข่าวกรอง ซึ่งระบบมีการตั้งค่าต่างๆ มาให้แล้วทั้ง hardware, OS, และ software เพื่อช่วยให้รวมและใช้ข้อมูลร่วมกันระหว่างองค์กรได้ง่ายขึ้น แต่เนื่องจากไม่มีองค์กรไหนที่ยอมแบ่งปันข้อมูลด้วยระหว่างกัน ทำให้หน่วยงานย่อยใน CIA ชื่อว่า Office of Technical Services (OTS) พัฒนาเครื่องมือสอดแนมข้อมูลขึ้นมาอย่างลับๆ
เนื้อหาในข่าวที่รั่วไหลออกมาระบุว่า software สอดแนมตัวนี้ชื่อว่า Expresslane จะถูกลงโปรแกรมโดยเจ้าหน้าที่จาก CIA ให้เป็นส่วนหนึ่งของ Biometric system routine Upgrade รายงานยังระบุเพิ่มเติมอีกว่า OTS officers ซึ่งเป็นผู้ดูแล biometric collection systems จะทำการลงโปรแกรมตัวนี้ ในระหว่างที่หน้าจอกำลังแสดงแถบ upgrade โดย Software ดังกล่าวประกอบด้วยสองส่วนคือ Create Partition ซึ่งมีหน้าที่ช่วยให้สร้าง partition โดยจะซ่อนอยู่ในระบบเพื่อใช้เป็นที่เก็บข้อมูลที่สอดแนมมาได้ และส่วนที่สองคือ Exit Ramp ช่วยให้ดึงข้อมูลจาก partition ที่สร้างไว้ในตอนแรกเพียงแค่เสียบ USB
เวอร์ชันล่าสุดของ Expresslane คือ ExpressLane 3.1.1 โดยค่า default คือการลบตัวเองทิ้งหลังจากการลงโปรแกรม 6 เดือน เพื่อเป็นการป้องกันการแกะรอย ถึงแม้ว่าเจ้าหน้าที่ OTA จะสามารถเปลี่ยนจำนวนวันดังกล่าวได้ก็ตาม

ที่มา : thehackernews

นักวิจัยจากทีม lgtm นำโดย Man Yue Mo ค้นพบช่องโหว่ CVE-2017-9805 ที่มีผลกระทบต่อ Struts ตั้งแต่รุ่น 2.5 ขึ้นมาทั้งหมด

CVE-2017-9805 เป็นช่องโหว่มาจาก REST API plugin ที่เป็นช่องทางในการสื่อสารของ Struts servers และยังใช้งานบัคของโปรแกรมที่อนุญาตให้ส่งข้อมูลจากแหล่งที่ไม่น่าเชื่อถือได้ โดยเรียกกระบวนการนี้ว่า
unsafe deserialization ทั้งหมดนี้สามารถทำให้ผู้ไม่ประสงค์ดีรันโค้ดจากระยะไกลได้

โดยตอนนี้ทาง Apache ได้ปล่อย Struts 2.5.13 แก้ไขช่องโหว่นี้แล้ว

ที่มา : SECURITYWEEK

นักวิจัยด้านความปลอดภัยจาก 2 บริษัท พบแคมปญการส่งอีเมล์ที่มีการแพร่กระจาย Locky ransomware ถึง 2 ครั้ง
แคมเปญแรกพบโดยนักวิจัยจาก AppRiver มีการส่งเมล์ 23 ฉบับภายใน 24 ชั่วโมง เมื่อวันที่ 28 สิงหาคมที่ผ่านมา ในสหรัฐอเมริกา โดยอีเมล์ที่ส่งออกมานั้นจะมีข้อความที่คลุมเคลือเพื่อหลอกให้ผู้ใช้คลิก เช่น “กรุณาสั่งพิมพ์”, “เอกสาร”, “รูป”, “ภาพ”, “สแกน” และอีเมล์จะมาพร้อมกับไฟล์ ZIP ที่มี Visual Basic Script (VBS) เมื่อเหยื่อคลิกเปิดไฟล์ ก็จะเริ่มดาวน์โหลด Locky ransomware ตัวล่าสุดที่ชื่อ Lukitus (หมายถึง "ล็อก" เป็นภาษาฟินแลนด์) แล้วเข้ารหัสไฟล์ทั้งหมดในเครื่องของเหยื่อ และใส่สกุลไฟล์ว่า [.]lukitus จากนั้นจะแสดงข้อความบน desktop และให้เหยื่อดาวน์โหลดและติดตั้งชื่อ Tor บน browser เพื่อเข้าเว็บไซต์ของผู้โจมตีสำหรับจ่ายเงินเป็นจำนวน 0.5 Bitcoin (~$2,300)

แคมเปญฉบับที่ 2 ในเดือนสิงหาคม พบโดยบริษัท Comodo Labs เป็นการส่งผ่านอีเมลจำนวนมากกว่า 62,000 ฉบับ ที่มีการฝัง Locky ransomware สายพันธุ์ใหม่ที่ชื่อว่า KARUSdilapidated โดยใช้ที่อยู่ไอพีที่ต่างกันถึง 11,625 IP ใน 133 ประเทศ ลักษณะคล้ายโดนโจมตีผ่านเครื่องซอมบี้หรือบอทเน็ตในการช่วยกระจายเมล์ ซึ่งหากต้องการไฟล์คืนก็จะต้องจ่ายเงิน อยู่ระหว่าง 0.5 Bitcoin (~$2,311) และ 1 Bitcoin (~$4,623)

ที่มา : The Hacker News

นักวิจัยด้านความปลอดภัยพบช่องโหว่ 5 จุดบนเฟิร์มแวร์ที่กำลังใช้งานอยู่บนโมเด็ม Arris ซึ่งถูกแจกโดย AT&T โดย 3 ใน 5 ช่องโหว่ดังกล่าวเป็นบัญชีการเข้าใช้งานผ่านช่องทางลับซึ่งฝังอยู่ในอุปกรณ์ ผู้โจมตีสามารถใช้บัญชีใดก็ได้ก็ไดในสามบัญชีนี้เพื่อเข้าควบคุมเครื่องของเหยื่อ รายละเอียดช่องโหว่ทั้ง 5 มีดังนี้

Backdoor 1: โดยปกติ modem จะเปิดใช้งาน SSH ไว้เป็นค่า default และสามารถเข้าถึงได้จากภายนอก นั่นหมายความว่าผู้โจมตีสามารถใช้ ชื่อผู้ใช้งาน "remotessh" และรหัสผ่าน "5SaP9I26" ซึ่งเป็นค่า default ในการเข้ามา authen เครื่องด้วยสิทธิ์ root นั่นหมายความว่าสามารถจะทำอะไรกับเครื่องนั้นก็ได้

Backdoor 2: Arris จะมี built-in web server ที่ทำงานอยู่ใน internal admin panel ซึ่งผู้โจมตีสามารถผ่านการระบุตัวตนผ่าน port 49955 ด้วยชื่อ “tech” และรหัสผ่านแบบเปล่า

ช่องโหว่ Command injection: เกี่ยวข้องกับ built-in web server ตัวเดิม ซึ่งมีช่องโหว่ให้ผู้โจมตีทำการสั่ง run shell command บน web server ได้

Backdoor 3: ผู้โจมตีสามารถใช้ชื่อผู้ใช้งาน "bdctest" และรหัสผ่าน "bdctest" เพื่อเข้าสู่ระบบผ่าน port 61001 โดยจะต้องรู้ serial number ของตัวเครื่องเพื่อเข้าสู่ระบบทางช่องทางนี้ด้วย

Firewall bypass: ผู้โจมตีสามารถสร้าง HTTP request ที่ถูกปรับแต่งขึ้นมาโดยส่งผ่าน port 49152 ทำให้ผู้โจมตีสามารถ bypass internal firewall ของตัวอุปกรณ์และเปิดการเชื่อมต่อ TCP proxy กับตัวเครื่องซึ่งจะทำให้ผู้โจมตีใช้งานช่องโหว่ที่เหลืออีก 4 จุดได้ ถึงแม้ว่าผู้ใช้งานจะทำการเปิด on-device firewall แล้วก็ตาม

ในขณะนี้ยังตรวจไม่พบการโจมตีผ่านทางช่องโหว่ทั้ง 5 ช่องโหว่ดังกล่าว แต่ก็ควรเพิ่มการระมัดระวังหากมีการใช้งานอุปกรณ์เหล่านี้อยู่

ที่มา : BLEEPINCOMPUTER

Cex, หนึ่งใน Website ตัวกลางรายใหญ่ที่ทำหน้าเป็นตัวกลางในการซื้อขายอุปกรณ์ IT เช่น ชิ้นส่วนคอมพิวเตอร์, เกมส์, ภาพยนต์, อัลบั้มเพลงเก่าและอื่นๆ ได้ออกมาให้ข่าวว่าถูก Hacker เจาะระบบและขโมยข้อมูล

ทางบริษัทกำลังติดต่อลูกค้าทุกคนที่คาดว่าได้รับผลกระทบจากเหตุการณ์นี้ ทาง Cex ได้มีการกล่าวเพิ่มเติมเกี่ยวกับผลกระทบของข้อมูลที่หลุดไปว่า ข้อมูลที่ Hacker ได้ไปนั้นรวมไปถึงข้อมูลเช่น ชื่อ-นามสกุล, ที่อยู่, เบอร์โทรศัพท์และอีเมล ซึ่งล้วนแล้วแต่เป็นข้อมูลที่ถูกเก็บอยู่ในฐานข้อมูลจำนวนกว่า 2,000,000 รายการ อย่างไรก็ตาม Cex ได้หยุดเก็บรายละเอียดของบัตร credit และ debit ตั้งแต่ปี 2009 ทำให้ข้อมูลที่ Hacker สามารถขโมยไปได้ในตอนนั้นหมดอายุแล้วในเวลานี้และไม่สามารถใช้งานได้อีก

หากใครได้รับอีเมลจาก Cex แนะนำให้ปฏิบัติตามโดยการแก้ไขข้อมูลรหัสผ่านให้เหมาะสม

ที่มา : BLEEPINCOMPUTER