หลังจากมีการปล่อย Patch Tuesday ไปเมื่อวันอังคารที่ผ่านมา Microsoft ได้รับทราบถึงข้อมูลการโจมตีในลักษณะ Remote Code Execution อีก 1 ช่องโหว่ที่อยู่ใน Service Print Spooler โดยทาง Microsoft ให้ข้อมูลเสริมว่ากำลังดำเนินการเพื่อแก้ไขช่องโหว่นี้ และจะมีการปล่อยให้อัพเดทแพตซ์แก้ไขช่องโหว่ในการอัพเดทครั้งถัดไป

ช่องโหว่นี้ได้รหัสเป็น CVE-2021-36958(CVSS score: 7.3) ซึ่งช่องโหว่นี้ถือว่าเป็นส่วนนึงของช่องโหว่ PrintNightmare ที่ Microsoft ออกแพตซ์ปิดช่องโหว่ไปในช่วงที่ผ่านมา Victor Mata จาก Accenture Security ผู้รายงานช่องโหว่ได้รายงานช่องโหว่ดังกล่าวให้กับ Microsoft ในเดือนธันวาคม 2020 ที่ผ่านมา

ช่องโหว่ Remote Code Execution นี้จะเกิดขึ้นเมื่อ Windows Print Spooler Service ดำเนินการกับไฟล์ด้วยสิทธิ์ที่ไม่เหมาะสม ซึ่งทำให้หลังจากที่ผู้โจมตีทำการโจมตีช่องโหว่นี้สำเร็จ จะสามารถเรียกรันโค้ดต่างๆได้ด้วยสิทธิ์ system ของระบบ ทำให้ผู้โจมตีสามารถติดตั้ง โปรแกรม ดู เปลี่ยนแปลง หรือ ลบข้อมูล หรือ สร้างบัญชีใหม่พร้อมสิทธิ์ผู้ใช้งานเต็มรูปแบบได้

เป็นที่น่าสังเกตว่าก่อนหน้านี้ Microsoft ทำการปล่อยอัปเดต patch ของ Windows โดยใช้วิธีเปลี่ยนค่าตั้งต้นของ Point และ Print โดยป้องกันไม่ให้สามารถติดตั้งหรืออัปเดตไดรเวอร์ Printer ใหม่ได้จากภายนอก หากไม่มีสิทธิ์ของผู้ดูแลระบบ

การแก้ไขปัญหาชั่วคราวทาง Microsoft แนะนำให้ผู้ใช้งานปิด Service Print Spooler เพื่อป้องกันไม่ให้ผู้ประสงค์ร้ายใช้ประโยชน์จากช่องโหว่ โดยศูนย์ประสานงาน CERT ยังแนะนำให้ผู้ใช้บล็อกการรับส่งข้อมูล SMB ขาออกเพื่อป้องกันการเชื่อมต่อกับเครื่องพิมพ์ที่ถูกสร้างขึ้นเพื่อใช้ในการโจมตีได้

ที่มา : thehackernews.

 

กลุ่มแฮกเกอร์ไม่ทราบชื่อกำลังใช้ประโยชน์จากช่องโหว่ร้ายแรงในการข้ามขั้นตอนการพิสูจน์ตัวตน ทำให้สามารถเข้าควบคุม Router และแพร่มัลแวร์ Mirai botnet เพื่อใช้ในการโจมตี DDoS

CVE-2021-20090 (CVSS score: 9.9) เป็นช่องโหว่ Path Traversal บนเว็บอินเตอร์เฟสของ Router ซึ่งทำให้แฮกเกอร์สามารถข้ามขั้นตอนการพิสูจน์ตัวตนเพื่อเข้าควบคุม Router ได้ ซึ่งช่องโหว่นี้เกิดขึ้นกับเฟิร์มแวร์ของ Arcadyan โดยผู้เชี่ยวชาญจาก Tenable ได้เปิดเผยเมื่อวันที่ 3 สิงหาคม ว่าช่องโหว่นี้น่าจะมีมานานกว่า 10 ปีแล้ว  ซึ่งส่งผลกระทบกับ Router อย่างน้อย 20 รุ่นจากผู้ผลิต 17 ราย

 

การใช้ประโยชน์จากช่องโหว่นี้จะทำให้แฮกเกอร์สามารถข้ามขั้นตอนการพิสูจน์ตัวตน และเข้าถึงข้อมูลสำคัญต่างๆ ได้ เช่น Request tokens ซึ่งสามารถใช้เพื่อส่ง Request ไปแก้ไขการตั้งค่าของ Router ได้

ต่อมาไม่นาน Juniper Threat Labs ก็ค้นพบการโจมตีซึ่งพยายามจะใช้ประโยชน์จากช่องโหว่นี้มาจาก IP address ซึ่งระบุว่าอยู่ในประเทศจีน โดยเริ่มตั้งแต่วันที่ 5 สิงหาคม ที่แฮกเกอร์พยายามจะปล่อย Mirai botnet ไปยัง Router ต่างๆ ซึ่งผู้เชี่ยวชาญให้ความเห็นว่าพฤติกรรมการโจมตีที่พบนี้แสดงให้เห็นว่าเป็นการโจมตีจากแฮกเกอร์กลุ่มเดียวกันกับรายงานเหตุการณ์การโจมตีของผู้เชี่ยวชาญจาก Palo Alto Network ซึ่งได้พบเห็นการโจมตีในรูปแบบเดียวกันนี้ตั้งแต่ในช่วงเดือนมีนาคม

นอกจากช่องโหว่ CVE-2021-20090 แล้ว แฮกเกอร์ยังพยายามใช้ช่องโหว่อื่นๆ ในการโจมตี Router อีก เช่น

CVE-2020-29557 (Pre-authentication remote code execution in D-Link DIR-825 R1 devices)
CVE-2021-1497 และ CVE-2021-1498 (Command injection vulnerabilities in Cisco HyperFlex HX)
CVE-2021-31755 (Stack buffer overflow vulnerability in Tenda AC11 leading to arbitrary code execution)
CVE-2021-22502 (Remote code execution flaw in Micro Focus Operation Bridge Reporter)
CVE-2021-22506 (Information Leakage vulnerability in Micro Focus Access Manager)

เพื่อหลีกเลี่ยงการถูกโจมตี ผู้เชี่ยวชาญได้แนะนำให้ผู้ใช้งานพยายามอัพเดตเฟิร์มแวร์ของ Router ให้เป็นเวอร์ชันปัจจุบันอยู่เสมอ

ที่มา: thehackernews

ผู้ใช้งาน 1.2 ล้านคนได้รับผลกระทบจากข้อมูลรั่วไหลของบริษัท Practicefirst จากการโจมตีด้วย Supply Chain Ransomware

Practicefirst บริษัทให้บริการด้านการจัดการทางการแพทย์ ในรัฐนิวยอร์ก ได้ออกมาเปิดเผยถึงข้อมูลรั่วไหลต่อเจ้าหน้าที่ของรัฐบาลกลาง เมื่อวันที่ 1 กรกฎาคม จากคำชี้แจงของบริษัท บริษัทได้จ่ายเงินค่าไถ่เพื่อแลกกับการให้ผู้โจมตีสัญญาว่าจะทำลาย และไม่เปิดเผยไฟล์ข้อมูลอออกสู่สาธารณะ

HIPAA Breach Reporting Tool ซึ่งเป็นเว็บไซต์ดูแลโดย Department of Health and Human Services ได้แสดงรายการข้อมูลด้านสุขภาพที่ถูกขโมยไป ซึ่งส่งผลกระทบต่อประชาชนอย่างน้อย 500 ราย หรือมากกว่านั้น
ส่วน Practicefirst รายงานว่าเหตุการณ์ดังกล่าวส่งผลกระทบต่อผู้ใช้งานมากกว่า 1.2 ล้านราย ซึ่งเป็นการละเมิดข้อมูลสุขภาพที่ใหญ่เป็นอันดับหกที่รายงานบนเว็บไซต์ HHS ในปี 2564

เมื่อวันที่ 30 ธันวาคม 2020 บริษัท Practicefirst ออกมาชี้แจงว่าพบแฮ็กเกอร์พยายามใช้แรนซัมแวร์เพื่อเข้ารหัสข้อมูลบนระบบ และได้คัดลอกไฟล์หลายไฟล์จากระบบ รวมถึงไฟล์ที่มีข้อมูลส่วนตัวของผู้ป่วย และพนักงาน เมื่อบริษัททราบถึงสถานการณ์ดังกล่าว บริษัทแจ้งว่าได้ปิดระบบ เปลี่ยนรหัสผ่าน แจ้งหน่วยงานบังคับใช้กฎหมาย และจ้างผู้เชี่ยวชาญด้านความความปลอดภัยเข้ามาช่วยเหลือแล้ว

ข้อมูลที่ถูกขโมยออกไปประกอบไปด้วย ชื่อ ที่อยู่ อีเมล วันเดือนปีเกิด หมายเลขใบขับขี่ หมายเลขประกันสังคม การวินิจฉัย ข้อมูลห้องปฏิบัติการและการรักษา หมายเลขประจำตัวผู้ป่วย ข้อมูลยา ข้อมูลระบุ และเคลมประกันสุขภาพ หมายเลขประจำตัวผู้เสียภาษี ชื่อผู้ใช้พร้อมรหัสผ่าน ชื่อผู้ใช้ของพนักงานที่มีคำถาม และคำตอบเพื่อความปลอดภัย บัญชีธนาคาร ข้อมูลบัตรเครดิต/บัตรเดบิต เป็นต้น

ที่มา : ehackingnews.

Microsoft ได้อัปเดต Patch Tuesday ในเดือนกรกฎาคม โดยมีการแก้ไขช่องโหว่ด้านความปลอดภัยทั้งหมด 117 รายการ รวมถึง Zero-Days 9 รายการ ซึ่งผู้ไม่หวังดีสามารถใช้โจมตี และควบคุมเครื่องเหยื่อได้

ช่องโหว่ทั้งหมด 117 รายการมี 13 รายการที่มีระดับความรุนแรงเป็น Critical อีก 103 รายการมีระดับความรุนแรงเป็น Important และ 1 รายการที่มีระดับความรุนแรงเป็น Moderate

การอัปเดตครั้งครอบคลุมผลิตภัณฑ์ต่างๆ ของ Microsoft รวมถึง Windows, Bing, Dynamics, Exchange Server, Office, Scripting Engine, Windows DNS และ Visual Studio Code
ในเดือนกรกฎาคมนี้มีการค้นพบช่องโหว่จำนวนมาก ซึ่งมากกว่าเดือนก่อนหน้านี้คือเดือนพฤษภาคม 55 รายการ และมิถุนายน 50 รายการ

ช่องโหว่ด้านความปลอดภัยที่ถูกนำไปใช้มีดังนี้

CVE-2021-34527 (CVSS score: 8.8) - ช่องโหว่การเรียกใช้โค้ดจากระยะไกลของ Windows Print Spooler (หรืออีกชื่อที่รู้จักกัน "PrintNightmare")
CVE-2021-31979 (CVSS score: 7.8) - ช่องโหว่ที่เกี่ยวกับการยกระดับสิทธิ์บน Windows Kernel
CVE-2021-33771 (CVSS score: 7.8) - ช่องโหว่ที่เกี่ยวกับการยกระดับสิทธิ์บน Windows Kernel
CVE-2021-34448 (CVSS score: 6.8) - Scripting Engine Memory Corruption Vulnerability

ซึ่งทาง Microsoft ยังเน้นย้ำถึงการโจมตีของ CVE-2021-34448 ว่าผู้ไม่หวังดีอาจจะหลอกให้เหยื่อนั้น คลิกลิงก์ที่นำไปสู่เว็บไซต์ที่เป็นอันตรายที่ผู้ไม่หวังดีเตรียมไว้ และเว็บไซต์นั้นจะมีไฟล์ที่สร้างขึ้นเป็นพิเศษซึ่งออกแบบมาเพื่อใช้โจมตีช่องโหว่

มีช่องโหว่ Zero-Days ที่เปิดเผยต่อสาธารณะ 5 รายการ แต่ยังไม่ได้ถูกนำไปใช้ในการโจมตีจริง มีดังนี้

CVE-2021-34473 (CVSS score: 9.1) - ช่องโหว่การเรียกใช้โค้ดจากระยะไกลของ Microsoft Exchange Server
CVE-2021-34523 (CVSS score: 9.0) - ช่องโหว่ที่เกี่ยวกับการยกระดับสิทธิ์บน Microsoft Exchange Server
CVE-2021-33781 (CVSS score: 8.1) - ช่องโหว่การ Bypass ฟีเจอร์รักษาความปลอดภัย Active Directory
CVE-2021-33779 (CVSS score: 8.1) - ช่องโหว่การ Bypass ฟีเจอร์รักษาความปลอดภัย Windows ADFS
CVE-2021-34492 (CVSS score: 8.1) - ช่องโหว่การปลอมแปลงของ Certificate Windows

ช่องโหว่ที่สำคัญอื่นๆ ที่ Microsoft ได้แก้ไขไปนั้น ได้แก่ ช่องโหว่การเรียกใช้โค้ดจากระยะไกลที่ส่งผลต่อ Windows DNS Server (CVE-2021-34494, CVSS score 8.8) และ Windows Kernel (CVE-2021-34458) ที่ได้การจัดระดับความรุนแรง CVSS score 9.9

"ปัญหานี้ทำให้อุปกรณ์ single root input/output virtualization (SR-IOV) ที่ถูกกำหนดให้เป็น Guest อาจรบกวนการทำงานของ Peripheral Component Interface Express (PCIe) ที่ต่ออยู่กับ Guest หรือ Root อื่นๆ ได้" Microsoft ระบุไว้ในคำแนะนำสำหรับ CVE-2021-34458 เมื่อเพิ่ม Windows instances ที่ Host ของ Virtual Machines ก็มีความเสี่ยงที่จะพบกับช่องโหว่นี้

Bharat Jogi ผู้เชี่ยวชาญจาก Qualys บอกกับ The Hacker News ว่า "Patch Tuesday นี้ออกมาเพียงไม่กี่วันหลังจากที่มีการเผยแพร่การอัปเดต out-of-band Patch เพื่อแก้ไข PrintNightmare ซึ่งเป็นช่องโหว่ที่สำคัญใน Windows Print Spooler service ที่พบใน Windows ทุกรุ่น"

"แม้ว่า MSFT ได้ออก Patch เพื่อแก้ไขช่องโหว่แล้ว แต่ผู้ใช้ยังคงต้องแน่ใจว่าการกำหนดค่าที่จำเป็นได้รับการตั้งค่าอย่างถูกต้อง ระบบที่มีการกำหนดค่าผิดพลาดจะยังคงเสี่ยงต่อการถูกโจมตี แม้ว่าจะอัปเดต Patch ล่าสุดแล้วก็ตาม PrintNightmare นั้นเป็นปัญหาร้ายแรงอย่างยิ่ง ที่เน้นย้ำถึงความสำคัญของการตรวจจับ และการแก้ไข" Jogi กล่าวเสริม

ช่องโหว่ PrintNightmare ยังกระตุ้นให้หน่วยงานความปลอดภัยทางไซเบอร์และโครงสร้างพื้นฐานของสหรัฐอเมริกา (CISA) ออกคำสั่งฉุกเฉิน ให้หน่วยงานของรัฐบาลกลางทำการอัปเดตความปลอดภัยล่าสุดทันที และปิด Windows Print Spooler service บนเซิร์ฟเวอร์ และบน Microsoft Active Directory Domain Controllers.

Ransomware BlackMatter เวอร์ชัน Linux มุ่งเป้าโจมตีไปยัง VMWare ESXi

กลุ่ม BlackMatter ได้เข้าร่วมกลุ่มปฏิบัติการแรนซัมแวร์เพื่อพัฒนาตัวเข้ารหัสเวอร์ชัน Linux ที่กำหนดเป้าหมายไปยัง VMWare ESXi
องค์กรมีการเปลี่ยนไปใช้ Virtual Machine สำหรับเซิร์ฟเวอร์ของตนมากขึ้นเรื่อยๆ เพื่อการจัดการทรัพยากรที่ดีขึ้นและการกู้คืนระบบจากความเสียหาย เนื่องจาก VMware ESXi เป็นแพลตฟอร์ม Virtual Machine ที่ได้รับความนิยมมากที่สุด ทำให้ Ransomware ส่วนใหญ่เริ่มพัฒนาตัวเข้ารหัสที่มุ่งเป้าโจมตีไปที่ Virtual Machine กันมากขึ้น

BlackMatter มุ่งเป้าไปที่ VMware ESXi
เมื่อวันที่ 4 สิงหาคมที่ผ่านมา นักวิจัยด้านความปลอดภัย MalwareHunterTeam พบตัวเข้ารหัส Linux ELF64 [VirusTotal] ของกลุ่มแรนซัมแวร์ BlackMatter ที่กำหนดเป้าหมายเซิร์ฟเวอร์ไปยัง VMware ESXi โดยเฉพาะ โดยดูจากฟังก์ชันของการทำงาน

BlackMatter เป็นปฏิบัติการแรนซัมแวร์ที่ค่อนข้างใหม่ ซึ่งเริ่มต้นเมื่อเดือนที่แล้ว และเชื่อว่าเป็นการรีแบรนด์ของ DarkSide หลังจากที่นักวิจัยพบตัวอย่าง ก็พบว่าการทำงานเข้ารหัสที่ใช้โดย Ransomware นั้นเป็นแบบเดียวกับที่ใช้ใน DarkSide

DarkSide ปิดตัวลงหลังจากโจมตี และปิดระบบท่อส่งน้ำมันโคโลเนียล จึงทำให้ถูกกดดัน และไล่ล่าอย่างหนักจากการบังคับใช้กฎหมายระหว่างประเทศ และรัฐบาลสหรัฐฯ

จากตัวอย่างตัวเข้ารหัส Linux ของ BlackMatter ที่ BleepingComputer ได้รับมา เป็นที่ชัดเจนว่าได้รับการออกแบบมาโดยเฉพาะเพื่อกำหนดเป้าหมายไปยังเซิร์ฟเวอร์ VMWare ESXi

Vitali Kremez ผู้เชี่ยวชาญของบริษัท Intel ซึ่งได้ลองทดสอบด้วยการ Reverse Engineering ได้ให้ข้อมูลกับทาง BleepingComputer ว่าผู้โจมตีได้สร้างไลบรารี 'esxi_utils' ที่ใช้ในการดำเนินการต่างๆ บนเซิร์ฟเวอร์ VMware ESXiรูปที่ 1.1 ตัวอย่าง แต่ละฟังก์ชัน

รูปที่ 1.2 ตัวอย่าง ฟังก์ชัน stop_firewall()

ในขณะที่ฟังก์ชัน stop_vm() จะดำเนินการคำสั่ง esxcli ต่อไปนี้ รูปที่ 1.3 ตัวอย่าง ฟังก์ชัน stop_vm()

Ransomware ทั้งหมดที่กำหนดเป้าหมายไปยังเซิร์ฟเวอร์ ESXi พยายามปิดเครื่องเสมือนก่อนที่จะเข้ารหัสไดรฟ์ เพื่อป้องกันข้อมูลเสียหายขณะเข้ารหัส

เมื่อ VM ทั้งหมดถูกปิด มันจะเข้ารหัสไฟล์ที่ตรงกับนามสกุลไฟล์เฉพาะตามการกำหนดค่าที่มาพร้อมกับ Ransomware

การกำหนดเป้าหมายเซิร์ฟเวอร์ ESXi นั้นมีประสิทธิภาพมากเมื่อทำการโจมตีโดยใช้ Ransomware เนื่องจากช่วยให้ผู้คุกคามสามารถเข้ารหัสเซิร์ฟเวอร์จำนวนมากพร้อมกันด้วยคำสั่งเดียว

เมื่อมีธุรกิจจำนวนมากที่ย้ายไปยังแพลตฟอร์มประเภทนี้สำหรับเซิร์ฟเวอร์ เราจะยังคงเห็นนักพัฒนาแรนซัมแวร์มุ่งเน้นไปที่เครื่อง Windows เป็นหลัก แต่ยังสร้างตัวเข้ารหัสเวอร์ชัน Linux โดยเฉพาะซึ่งมุ่งเป้าไปยัง ESXi

Emsisoft CTO Fabian Wosar บอกกับ BleepingComputer ว่าปฏิบัติการ Ransomware อื่นๆ เช่น REvil, HelloKitty, Babuk, RansomExx/Defray, Mespinoza, GoGoogle ได้สร้างตัวเข้ารหัสเวอร์ชัน Linux เพื่อจุดประสงค์นี้เช่นกัน

ที่มา : Bleepingcomputer

Cryptominer ELFs ใช้ MSR เพื่อเพิ่มกระบวนการขุด
ทีมวิจัยภัยคุกคามของ Uptycs สังเกตเห็น Golang-based worm ปล่อยไบนารี cryptominer ซึ่งใช้ไดรเวอร์ MSR (Model Specific Register) เพื่อปิดใช้งานการดึงข้อมูลล่วงหน้าของฮาร์ดแวร์ (Hardware Prefetcher) และเพิ่มความเร็วของกระบวนการขุดขึ้น 15%
The Golang-based worm ซึ่งมุ่งเป้าการโจมตีไปยังเป้าหมายเซิร์ฟเวอร์ *nix ที่มีช่องโหว่ โดยใช้ประโยชน์จากช่องโหว่ของเว็บเซิร์ฟเวอร์ที่เป็นที่นิยม เพื่อแพร่กระจายตัวเอง และตัวขุดที่ฝังตัว worm สายพันธุ์ใหม่ซึ่งถูกตรวจจับได้ในเดือนมิถุนายน พ.ศ. 2564 โดยระบบ Threat Intelligence แม้ว่าฟังก์ชันการทำงานบางอย่างจะคล้ายกับมัลแวร์ที่บริษัทรักษาความปลอดภัย Intezer กล่าวถึงเมื่อปีที่แล้ว แต่มัลแวร์รุ่นใหม่นี้ก็มีฟังก์ชันที่มากกว่าเดิม
ข้อมูลต่อไปนี้จะให้รายละเอียดเกี่ยวกับการใช้ MSR เพื่อปิดใช้งานการดึงข้อมูลฮาร์ดแวร์ล่วงหน้าในมัลแวร์ cryptomining นอกจากนี้ยังกล่าวถึงเทคนิคใหม่บางอย่างที่ใช้โดยผู้โจมตีใน kill chain เพื่อฝังตัว และติดตั้ง Worm ลงในไดเร็กทอรีที่สำคัญบนเซิร์ฟเวอร์ที่มีช่องโหว่

ตัวดึงข้อมูลฮาร์ดแวร์ (Hardware Prefetcher) และ MSR
ตัวดึงข้อมูลฮาร์ดแวร์ล่วงหน้าเป็นเทคนิคที่โปรเซสเซอร์ใช้ดึงข้อมูลล่วงหน้าโดยพิจารณาจากพฤติกรรมการเข้าถึงที่ผ่านมาโดย Core โปรเซสเซอร์ (หรือ CPU) โดยตัวดึงข้อมูลฮาร์ดแวร์ล่วงหน้า จะเก็บข้อมูลจากหน่วยความจำหลักลงในแคช L2 อย่างไรก็ตาม สำหรับโปรเซสเซอร์แบบมัลติคอร์ การดึงข้อมูลฮาร์ดแวร์ล่วงหน้าอาจส่งผลให้ประสิทธิภาพของระบบโดยรวมลดลง
MSR ในสถาปัตยกรรมโปรเซสเซอร์ใช้เพื่อสลับคุณลักษณะบางอย่างของ CPU และการตรวจสอบประสิทธิภาพของคอมพิวเตอร์ การจัดการกับการ MSR ทำให้สามารถปิดใช้งานการดึงข้อมูลฮาร์ดแวร์ล่วงหน้าได้

ซอฟต์แวร์ขุดเหรียญคริปโตใช้ MSR เพื่อปิดใช้งานการดึงข้อมูลฮาร์ดแวร์ล่วงหน้า
ซอฟต์แวร์ขุดเหรียญคริปโตที่ทำงานด้วยสิทธิ์ของ Root สามารถปิดใช้งานตัวดึงข้อมูลล่วงหน้าได้ สิ่งนี้ทำเพื่อเพิ่มประสิทธิภาพการดำเนินการขุดเหรียญ ซึ่งจะเป็นการเพิ่มความเร็วของกระบวนการขุด โดยมีการตรวจพบจากการขุดเหรียญ Xmrig โดยระบบ Threat Intelligence ซึ่งใช้ MSR เพื่อปิดการใช้งานตัวดึงข้อมูลฮาร์ดแวร์ล่วงหน้า
นักขุด Xmrig ใช้อัลกอริทึม RandomX สร้างโปรแกรมที่ไม่ซ้ำกันหลายโปรแกรม ซึ่งสร้างขึ้นโดยข้อมูลที่เลือกจากชุดข้อมูลที่สร้างจากแฮชของบล็อกคีย์ รหัสที่จะเรียกใช้ภายใน VM ถูกสร้างขึ้นแบบสุ่มและแฮชผลลัพธ์จะถูกใช้ในการทำงาน
เนื่องจากโปรแกรม RandomX ทำงานใน VM การดำเนินการนี้จึงมักใช้หน่วยความจำมาก ดังนั้น ตัวขุดจะปิดใช้งานตัวดึงข้อมูลฮาร์ดแวร์ล่วงหน้าโดยใช้ MSR ตามเอกสารของ Xmrig การปิดใช้งานตัวดึงข้อมูลฮาร์ดแวร์ล่วงหน้าจะเพิ่มความเร็วได้มากถึง 15%
นักขุดเหมืองใช้คำสั่ง modprobe msr เพื่อโหลดไดรเวอร์ msr (ดังรูปที่ 1)
รูปที่ 1: คำสั่งที่ใช้โหลดไดรเวอร์ msr

(more…)

เมื่อเดือนที่แล้ว Cloudflare บริษัทผู้ให้บริการระบบเครือข่าย network และรักษาความปลอดภัยเว็บไซต์ ได้แก้ไขช่องโหว่ที่สำคัญในไลบรารี CDNJS ซึ่งมีการใช้งานอยู่ที่ 12.7% ของเว็บไซต์ทั้งหมดบนอินเทอร์เน็ต

CDNJS เป็นเครือข่ายการส่งเนื้อหา (Content Delivery Network) แบบโอเพ่นซอร์สที่ให้บริการฟรี ซึ่งให้บริการไลบรารี JavaScript และ CSS ประมาณ 4,041 รายการ ทำให้เป็น CDN ไลบรารี JavaScript ที่ได้รับความนิยมสูงสุดเป็นอันดับสองรองจาก Google Hosted Libraries

ข้อผิดพลาดเกี่ยวข้องกับปัญหาในเซิร์ฟเวอร์อัปเดตไลบรารี CDNJS ที่อาจอนุญาตให้ผู้โจมตีดำเนินการรันคำสั่งที่เป็นอันตรายได้ และนำไปสู่การเข้าถึงระบบโดยสมบูรณ์

ช่องโหว่ดังกล่าวถูกค้นพบและรายงานโดยนักวิจัยด้านความปลอดภัย RyotaK เมื่อวันที่ 6 เมษายน พ.ศ. 2564 ซึ่งยังไม่พบหลักฐานว่ามีการใช้ช่องโหว่นี้ในการโจมตีจริง

ช่องโหว่นี้ทำงานโดยการส่งแพ็คเกจไปยัง CDNJS ของ Cloudflare โดยใช้ GitHub และ npm ใช้เพื่อทริกเกอร์ช่องโหว่ path traversal และท้ายที่สุดคือทำให้เซิร์ฟเวอร์สามารถเรียกใช้โค้ดจากระยะไกลได้ น่าสังเกตว่าโครงสร้างพื้นฐานของ CDNJS มีการอัปเดตไลบรารีเป็นอัตโนมัติโดยเรียกใช้สคริปต์บนเซิร์ฟเวอร์เป็นระยะ เพื่อดาวน์โหลดไฟล์ที่เกี่ยวข้องจากที่เก็บ Git ซึ่งมีการจัดการโดยผู้ใช้หรือรีจิสตรีแพ็กเกจ npm

RyotaK พบว่า "สามารถเรียกใช้โค้ดได้ หลังจากดำเนินการ path traversal จากไฟล์ .tgz ไปยัง npm และเขียนทับสคริปต์ที่ทำงานเป็นประจำบนเซิร์ฟเวอร์" และ “ช่องโหว่นี้สามารถโจมตีได้โดยไม่ต้องใช้ทักษะพิเศษใดๆ แต่ก็สามารถส่งผลกระทบต่อเว็บไซต์จำนวนมากได้ ทำให้เป็นไปได้ว่าจะเกิดการโจมตีช่องโหว่นี้ในลักษณะ Supply-chain ได้"

เป้าหมายของการโจมตีคือการส่งแพ็คเกจที่สร้างขึ้นเป็นพิเศษไปยังที่เก็บ จากนั้นจะเลือกเซิร์ฟเวอร์อัปเดตไลบรารี CDNJS เพื่อเผยแพร่แพ็คเกจ กระบวนการคือการคัดลอกเนื้อหาของแพ็คเกจที่เป็นอันตรายไปยังโฮสต์ไฟล์สคริปต์ปกติที่เรียกใช้งานเป็นประจำบนเซิร์ฟเวอร์ ส่งผลให้มีการเรียกใช้โค้ดอันตรายได้

นี่ไม่ใช่ครั้งแรกที่นักวิจัยด้านความปลอดภัยค้นพบช่องโหว่ในลักษณะดังกล่าว โดยในเดือนเมษายน 2564 RyotaK ได้เปิดเผยช่องโหว่ที่สำคัญในที่เก็บ Homebrew Cask ซึ่งทำให้ผู้โจมตีสามารถรันโค้ดที่เป็นอันตรายได้บนเครื่องของผู้ใช้งาน

ที่มา : thehackernews

นักวิจัยด้านความปลอดภัยทางไซเบอร์ที่ Software Secured บริษัทสัญชาติแคนาดาระบุช่องโหว่ร้ายแรงใน Less.

นักวิจัยของ Bitdefender ให้ข้อมูลว่า กลุ่ม Crytojacking โจมตีด้วยวิธีการ SSH brute-forcer ที่เรียกว่า Diicot brute เพื่อเข้าถึงเครื่อง Linux และติดตั้ง miner XMRig ซึ่งเป็น open-source ที่ถูกดัดแปลงเพื่อใช้ในการทำ Crytojacking โดยกลุ่มแฮกเกอร์จำนวนมาก

นักวิจัยกล่าวว่า กลุ่ม Crytojacking นี้มีความเกี่ยวข้องกับ botnet ที่พัฒนาบน Linux-based ซึ่งมักใช้ในการทำ DDoS อย่างน้อย 2 ตัวด้วยกันคือ “Chernobyl” และ Perl IRC bot โดยแรงจูงใจหลักของ campaign นี้คือการติดตั้งมัลแวร์สำหรับขุด Monero Coin (XMR) และยังมีเครื่องมือที่สามารถขโมยข้อมูลจากผู้ใข้งานได้

Cryptojacking ได้รายได้จากการขุดไม่มากนัก เลยเป็นเหตุผลให้ผู้โจมตีนิยมใช้ botnet เพื่อพยายามแพร่กระจายไปยังอุปกรณ์ต่างๆให้มากที่สุด เพราะการต้องติดตั้งระบบเพื่อใช้ในการขุด Cryptocurrency ไม่คุ้มค่ามากพอในปัจจุบัน ดังนั้นผู้โจมตีจึงต้องใช้วิธีเข้าควบคุมเครื่องต่างๆที่พวกเค้าควบคุมไว้จากระยะไกลแทน

ผู้โจมตีกำหนดเป้าหมายไปที่เครื่องที่มีการตั้งค่าเริ่มต้น หรือรหัสผ่านที่ไม่ปลอดภัย เป็นเหตุผลว่าทำไมผู้ใช้งานถึงโดน SSH Brute-forcing ได้อย่างง่ายดาย

ผู้เชี่ยวชาญจาก Bitdefender กล่าวเพิ่มเติมว่า การที่แฮกเกอร์ Brute force SSH ที่มีรหัสผ่านที่สามารถคาดเดาได้ง่ายไม่ใช่เรื่องแปลก แต่ที่วิธีการที่ทำให้ไม่สามารถตรวจจับการโจมตีได้เป็นเรื่องที่ยากกว่า ซึ่ง Diicot Brute force มีความสามารถในการหลบเลี่ยงระบบที่คาดว่าถูกทำไว้เป็น Honeypots ได้อีกด้วย

นักวิจัยจาก Bitdefenderได้ติดตามกลุ่ม Cryptojacking ซึ่งพบการดาวน์โหลดมัลแวร์จาก “.93joshua” แต่น่าแปลกที่สามารถตรวจพบ “[http://45[.]32[.]112[.]68/.sherifu/.93joshua]” ในไดเร็กทอรีที่สามารถเปิดได้อย่างง่ายผิดปกติ แม้ว่าจะมีการซ่อนไฟล์จำนวนมากรวมไว้ในสคริปต์อื่นๆ และนักวิจัยยังพบว่ามีโดเมนที่เกี่ยวข้องอื่นๆเช่น mexalz.

เมื่อเกือบ 3 สัปดาห์ที่ผ่านมา บริษัท KASEYA ได้ถูกโจมตีโดย REvil Ransomware ซึ่งทำให้เกิดผลกระทบกับบริษัทต่าง ๆ ที่เกี่ยวข้องเป็นจำนวนมาก

โดยเมื่อวันที่ 21 กรกฎาคมที่ผ่านมา ทางบริษัท KASEYA ได้กล่าวว่าพวกเขาได้รับตัวถอดรหัสจากการโจมตีของ REvil Ransomware จากบุคคลที่ 3 ที่ยังไม่สามารถระบุตัวตนของบุคคลดังกล่าวได้ และจะทำการกู้คืนข้อมูลของลูกค้าที่ได้รับผลกระทบจากการโจมตีในครั้งนี้ให้กลับมาเป็นปกติ (more…)