Symantec ได้รายงานว่า โทรจัน Crisis เวอร์ชั่นวินโดว์สามารถลอบเข้าไปใน VMware ได้ ซึ่งทำให้ Crisis อาจจะเป็นมัลแวร์ตัวแรกที่โจมตี virtual machines และมันยังสามารถแพร่กระจายเข้าไปในมือถือที่ใช้ระบบปฎิบัติการณ์วินโดว์ได้ด้วย เมื่อ Crisis พบไฟล์ Image บนเครื่องของเหยื่อ มันจะ Mount Image ไฟล์หลังจากนั้นมันก็จะก็อปปี้ตัวมันเองลงไปในไฟล์ Image โดยการใช้ VMware Player tool Takashi Katsuki ได้บอกว่ามัลแวร์ Crisis/Morcut ไม่ได้ exploit ช่องโหว่ใน VMware แต่ใช้ประโยชน์จากการที่โปรแกรม virtualization ทุกโปรแกรมจะถูกเก็บไว้เสมือนเป็น Local File บนเครื่อง Host ไฟล์เหล่านี้สามารถจัดการแก้ไขได้ถึงแม้ virtual machine จะไม่ได้รันอยู่ตาม Katsuki ยังได้บอกอีกว่า มัลแวร์สามารถแพร่กระจายไปยังมือถือที่ใช้ระบบปฎิบัติการณ์วินโดว์ที่เชื่อมต่อกับคอมพิวเตอร์ที่ติดมัลแวร์ตัวนี้อยู่ผ่านทาง Remote Application Programming Interface ขณะที่มัลแวร์ Crisis เวอร์ขั่นก่อนหน้านี้เน้นไปที่กิจกรรมต่างๆ มัลแวร์ Crisis เวอร์ชั่นนี้จะคอยดักจับข้อมูลการทำธุรกรรมออนไลน์อย่างเช่น การทำธุรกรรมทางการเงินออนไลน์ เป็นต้น หรือการทำวิจัยมัลแวร์ที่ทำบนเครื่อง virtual machine ที่เพิ่งลงมาใหม่ Lysa Myers ได้เขียนลงไปใน Mac Security บล็อคว่า การที่มัลแวร์ Crisis จะสามารถลอบเข้าไปใน virtual machine ได้นั้น ผู้ใช้จะต้องรันมัลแวร์ครั้งแรกภายนอก virtual machine ถ้าผู้ใช้รันมัลแวร์ภายใน virtual machine ตั้งแต่ครั้งแรกมันก็ไม่สามารถที่จะออกจาก virtual machine เพื่อแพร่ไปยังไฟล์ virtual machine image อื่นๆได้

ที่มา : threatpost

กลุ่มแฮกเกอร์ '3xp1r3 Cyber Army'ของบังคลาเทศ ได้ทำการแฮกหน้าเว็บไซต์ประมาณ 400 เว็บไซต์ ซึ่งมีเว็บไซต์ของอินเดียรวมอยู่ด้วย สาเหตุในการแฮกก็เพียงแค่พวกเขาจะแสดงให้เห็นถึงการขาดมาตรการรักษาความปลอดภัยของเว็บไซต์ดังกล่าว และได้มีการเปิดเผยว่ากำลังวางแผนประกาศ cyberwar แต่ยังไม่ได้เปิดเผยว่าจะเป็นประเทศใดซึ่งอยู่ระหว่างการตัดสินใจ

ที่มา : ehackingnews

วันที่ 14 ส.ค. ที่ผ่านมา Adobe ได้ออกแพทช์ของ Reader เวอร์ชั่น 9.5.1 รวมถึง Acrobat เวอรชั่น 10.1.3 ซึ่งมีระดับความรุนแรงของช่องโหว่อยู่ที่ระดับ Critical จึงควรทำการอัพเดทแพชท์โดยเร็วที่สุด

ที่มา : packetstormsecurity

เว็บไซต์สำนักข่าว Russia Today (RT.com) ถูกโจมตีด้วยการ DDoS โดยกลุ่มแฮกเกอร์ Antileaks ซึ่งก่อนหน้านี้เมื่อต้นเดือนกลุ่มแฮกเกอร์ดังกล่าวได้ทำการ DDoS เว็บไซต์ Wikileaks มาแล้ว

ที่มา : ehackingnews

มัลแวร์ Bafruz คือมัลแวร์ที่จะทำการสร้าง Backdoor ไว้ในเครื่องของเหยื่อเพื่อใช้สำหรับสร้างการเชื่อมต่อแบบ Peer-to-Peer(P2P) ไปยัง Command and Control Server (C&C Server) มัลแวร์ Bafruz ยังมีความสามารถในการขโมยข้อมูลบัญชี Facebook และ Vkontakte, ใช้เครื่องของเหยื่อเพื่อทำการโจมตีแบบ Distributed Denial of Service (DDOS), ทำการ Bitcoin mining (การใช้เครื่องทำการเพิ่ม Block ลงไปใน Block Chain ซึ่งจะได้รางวัลป็น 50 Bitcoins(เรท ณ ตอนที่เขียนข่าว) ทุก Block ที่ทำการเพิ่มเข้าไป), ดาวโหลดมัลแวร์ตัวอื่นๆ และปิดการทำงานทางด้านความปลอดภัยและโปรแกรมแอนตี้ไวรัสของเครื่องของเหยื่อ ส่วนที่น่าสนใจที่สุดของมัลแวร์ Bafruz ก็คือ วิธีการในการปิดการทำงานโปรแกรมแอนตี้ไวรัสของเครื่องของเหยื่อ วิธีการก็คือ เมื่อเครื่องของเหยื่อติดมัลแวร์ Bafruz มัลแวร์ Bafruz จะขึ้น ข้อความเตือนปลอมเหมือนในรูปซึ่งจะบอกให้เหยื่อต้องรีสตาร์ทเครื่องถ้าจะเอาไวรัสออก เมื่อเหยื่อกดให้รีสตาร์ท มัลแวร์จะรีสตาร์ทเครื่องของเหยื่อในเซฟโหมดซึ่งมัลแวร์สามารถปิดการทำงานทุกอย่างของแอนตี้ไวรัสได้ทั้งหมด สิ่งที่น่าสนใจอีกอย่าง คือ ข้อความเตือนปลอมที่ขึ้นมานั้นจะขึ้นอยู่กับแอนตี้ไวรัสที่ลงบนเครื่องของเหยื่อ ไมโครซอฟได้เอามัลแวร์ Bafruz เข้าไปในรายชื่อมัลแวร์ที่สามารถเอาออกได้โดยใช้โปรแกรม Malicious Software Removal Tool (MSRT)

ที่มา : ehackingnews

บล็อคของสำนักข่าวรอยเตอร์ได้ถูกเจาะระบบถึง 2 ครั้งภายใน 2 สัปดาห์ ในการเจาะระบบครั้งนี้ข่าวปลอมที่ถูกโพสขึ้นไปบนบล็อคคือ “รัฐมนตรีต่างประเทศของซาอุดิอาระเบีย เจ้าชาย Saud al-Faisal ได้เสียชีวิตลงแล้ว” ซึ่งรอยเตอร์ได้ยืนยันว่าข่าวนี้ไม่ได้ถูกโพสลงในบล็อคด้วยฝีมือของนักข่าว และข่าวนี้ไม่ได้เป็นความจริงอย่างแน่นอน ในตอนนี้รอยเตอร์กำลังพยายามทำงานเพื่อแก้ปัญหานี้อยู่โดยรอยเตอร์เชื่อว่า บุคคลที่อยู่เบื้องหลังการเจาะระบบครั้งนี้น่าจะเป็นคนๆเดียวกับที่เจาะระบบบล็อคของรอยเตอร์และขโมยหนึ่งในบัญชีทวิตเตอร์ของรอยเตอร์เมื่อต้นเดือนที่ผ่านมา การสืบสวนหลังจากการเจาะระบบครั้งแรกได้แสดงให้เห็นว่ารอยเตอร์ได้ใช้ WordPress เวอร์ชั่นเก่าที่มีปัญหาทางด้านความปลอดภัยซึ่งเป็นที่รู้กันทั่วไปอยู่ซึ่งนั้นเป็นอาจจะเป็นช่องโหว่ที่แฮกเกอร์ใช้ป็นช่องทางในการเจาะระบบ

ที่มา : net-security

Saudi Aramco บริษัทน้ำมันแห่งชาติของซาอุดิอาระเบียได้รายงานว่า ได้มีการขโมยข้อมูลสำคัญเกิดขึ้นในเครือข่ายของพวกเขา ตอนนี้ยังไม่รู้ว่ามัลแวร์ที่แพร่กระจายอยู่ในเครือข่ายของพวกเขาคืออะไร พวกเขาได้โพสข้อความลงใน Facebook ของพวกเขาดังนี้ “ในวันพุธที่ 15 สิงหาคม ปี 2012 พนักงานของ Saudi Aramco ได้ยืนยันว่าบริษัทได้มีการแยกระบบอิเล็กทรอนิกส์ออกจากการเชื่อมต่อที่มาจากภายนอกทั้งหมด เพื่อป้องกันการโจมตีที่จะทำลายบางส่วนของเครือข่ายอิเล็กทรอนิกส์แบบทันที การโจมตีนี้เป็นที่ต้องสงสัยว่าจะเกิดจากไวรัสที่แพร่กระจายอยู่ในเครื่องคอมพิวเตอร์ส่วนบุคคลที่อยู่ในบริษัทโดยที่ไม่ได้ส่งผลถึงเครือข่ายหลัก บริษัท Saudi Aramco ได้ยืนยันว่าเครือข่ายอิเล็กทรอนิกส์ที่ควบคุมแกนกลางของธุรกิจและการผลิตของบริษัทไม่ได้รับผลกระทบจากเหตุการณ์ครั้งนี้ บริษัทได้มีการจ้างการจัดทำระบบระมัดระวังภัยล่วงหน้าและมีการใช้ multiple redundant system บนระบบที่มีความซับซ้อนสูงเพื่อป้องกันการปฎิบัติงานและระบบฐานข้อมูลของบริษัทไว้แล้ว” จากรายงานที่ไม่ยืนยันทาง Twitter และ Pastebin ได้บอกว่าสถานการณ์เลวร้ายมาก ถึงแม้ข้อมูลจะถูกเข้ารหัสไว้แต่ข้อมูลของระบบในหลายๆระบบได้ถูกลบทั้งหมด ซึ่งรวมไปถึงข้อมูลในเวบและเมลเซิฟเวอร์ด้วย และ domain controller ก็ถูกโจมตีในการโจมตีครั้งนี้ด้วย

ที่มา : net-security

พบการโจมตีแบบ Spear-phishing แนบมัลแวร์ ที่มีเป้าหมายการโจมตีเฉพาะบางบริษัทในบางอุตสาหกรรมซึ่งรวมถึงอุตสาหกรรมทางด้านพลังงานได้ถูกตรวจพบโดยบริษัทที่ให้บริการเกี่ยวกับการรักษาความปลอดภัยจำนวนมาก

มัลแวร์ตัวนี้มีชื่อว่า “Shamoon” โดยชื่อนี้มีที่มาจาก ชื่อของโฟลเดอร์ที่มัลแวร์ execute ออกมา ขั้นตอนสุดท้ายของการโจมตีนี้คือ ส่งมัลแวร์ที่จะทำให้เครื่องเป้าหมายใช้งานไม่ได้ ส่วนที่น่าสนใจเกี่ยวกับมัลแวร์ตัวนี้คือ มันสามารถหลบหลีกการตรวจจับ และ เก็บข้อมูลของเหยื่อได้ในเวลาเดียวกัน มัลแวร์ตัวนี้ยังได้ถูกออกแบบเพื่อสร้างไฟล์ใหม่ทับลงไปแทนที่ไฟล์เก่าในเครื่องของเหยื่อและลบไฟล์ในเครื่องของเหยื่อทิ้งทั้งหมดรวมถึง Master-Boot Record ของเครื่องของเหยื่อด้วย นักวิจัยของ Seculert ได้ระบุว่า “มัลแวร์ที่ออกแบบมาเพื่อโจมตีเป้าหมายเฉพาะนั้นเป็นมัลแวร์ที่หายาก และ เพื่อนที่ Kaspersky Lab ได้บอกว่าพฤติกรรมแบบนี้เป็นพฤติกรรมเดียวกับที่พบใน “Flame” แต่ผู้เชี่ยวชาญของ Kaspersky Lab ได้สงสัยว่าการโจมตีนี้จะเป็นการโจมตีอันเดียวกับที่โจมตีอิหร่านในเดือนเมษายน ปี 2012 หรือไม่ เพราะว่าการโจมตีในอิหร่านจะใช้ service names ที่มีอยู่จริงร่วมกับชื่อไฟล์เฉพาะในการทำงานของมัลแวร์ แต่ใน Shamoon มัลแวร์กลับไม่มีการทำงานแบบนั้น Shamoon มัลแวร์ดูเหมือนจะเป็นมัลแวร์ที่ทำเลียนแบบขึ้นมาโดยได้แรงบันดาลใจจาก Flame มัลแวร์ มันเป็นการยากที่จะบอกว่าใครอยู่เบื้องหลังการโจมตีนี้เนื่องจากการทำลายล้างที่ไม่ธรรมดาของมัลแวร์และการที่มันโจมตีอย่างเปิดเผยแบบนี้

ที่มา : net-security

Apache ได้ออก Apache HTTP Server เวอร์ชั่น 2.4.3 ในเวอร์ชั่นนี้ได้แก้บัคมากกว่า 50 บัคและปิดช่องโหว่ 2 ช่องโหว่ ช่องโหว่ 2 ช่องโหว่นี้ได้ถูกพบใน mod_proxy_aip, mod_proxy_http และ mod_negotiation modules ช่องโหว่ 2 ช่องโหว่นี้ถูกตั้งชื่อเป็น CVE-2012-3502 และ CVE-2012-2687

ช่องโหว่แรกที่เจอจะพบใน mod_proxy_sjp และ mod_proxy_http ใน backend(ส่วนจัดการเว็บไซด์) เมื่อทำการปิดการเชื่อมต่อ ซึ่งสามารถนำไปสู่ปัญหาทางด้าน privacy

ช่องโหว่ที่สองพบใน mod_negotiation ช่องโหว่นี้สามารถทำได้โดยการ cross-site scripting(XSS) ซึ่งจะทำให้แฮกเกอร์สามารถอัพโหลดไฟล์ขึ้นไปที่เซอเวอร์ได้ อัพเดทสามารถเข้าไปโหลดด้ที่เวบเพจของโปรเจ็ค Apache

ที่มา : h-online

เว็บไซต์ Wikileaks ไม่สามารถใช้งานได้เนื่องจากถูก DDoS (Distributed Denial of Service) จากกลุ่ม AntiLeaks เป็นเวลา 5 วันนับจากวันที่ 3 สิงหาคมที่ผ่านมา และสามารถกลับมาใช้ได้วันนี้ (9 สิงหาคม) หัวหน้ากลุ่ม AntiLeaks ได้บอกถึงแรงจูงใจว่าเพื่อเป็นการต่อต้านผู้ก่อการร้ายที่ลี้ภัยในเอกวาดอร์ที่ชื่อว่า Julian Assange โดย  Wikileaks ถูก DDos ครั้งนี้เป็นครั้งที่ 2 ในรอบปี หลังจากเหตุการณ์ดังกล่าวเคยเกิดขึ้นครั้งแรกเมื่อเดือนพฤษภาคมที่ผ่านมา

ที่มา : ehackingnews