มัลแวร์ Raspberry Robin เวอร์ชันล่าสุดนั้นสามารถซ่อนตัวได้ดีกว่าเดิม และอันตรายมากขึ้นด้วยการโจมตีแบบ one-day exploits กับระบบที่ไม่ได้มีการป้องกันอย่างดีพอ

One-day exploits หมายถึง exploits code ที่ใช้ประโยชน์จากช่องโหว่ของซอฟต์แวร์ที่เพิ่งถูกค้นพบ และผู้พัฒนาซอฟต์แวร์เพิ่งออกแพตช์แก้ไขไปได้ไม่นาน โดยที่การแก้ไขนั้นยังไม่ได้ถูกเผยแพร่ไปยังผู้ใช้งานทุกคน หรือยังไม่ได้ถูกติดตั้งบนระบบที่มีช่องโหว่ทั้งหมด

โดยนับตั้งแต่ที่ผู้พัฒนาเปิดเผยช่องโหว่ พร้อมกับการเผยแพร่แพตช์เพื่อแก้ไขช่องโหว่ ผู้ไม่หวังดีก็จะรีบสร้างโค้ดสำหรับการโจมตี เพื่อใช้โจมตีก่อนที่การอัปเดตแพตช์จะถูกเผยแพร่ไปยังระบบต่าง ๆ ที่มีช่องโหว่ (more…)

Ivanti แจ้งเตือนช่องโหว่ authentication bypass ใหม่ ที่ส่งผลกระทบต่อ Connect Secure, Policy Secure และ ZTA gateway โดยแนะนำให้ผู้ดูแลระบบทำการอัปเดตเพื่อป้องกันช่องโหว่ทันที

CVE-2024-22024 (คะแนน CVSS 8.3/10 ความรุนแรงระดับ High) เป็นช่องโหว่ XXE (XML eXternal Entities) ใน SAML component ของ gateway ที่ทำให้สามารถเข้าถึงทรัพยากรที่ถูกจำกัดบนอุปกรณ์ที่มีช่องโหว่ได้จากระยะไกล และมีความซับซ้อนในการโจมตีต่ำ รวมถึงไม่ต้องการการโต้ตอบ หรือการยืนยันตัวตนจากผู้ใช้ โดย Ivanti ระบุว่าขณะนี้ยังไม่พบหลักฐานการโจมตีโดยใช้ช่องโหว่ดังกล่าว (more…)

CISA ออกมาแจ้งเตือนการพบกลุ่ม Hacker ได้ใช้ช่องโหว่การเรียกใช้คำสั่งจากระยะไกล (RCE) ความรุนแรงระดับ Critical ที่ได้รับการแก้ไขไปแล้วในวันที่ 8 กุมภาพันธ์ 2024 จากทาง Fortinet

CVE-2024-21762 (คะแนน CVSS 9.6/10 ความรุนแรงระดับ Critical) เป็นช่องโหว่ out-of-bounds write ใน FortiOS ที่ช่วยให้ Hacker สามารถเรียกใช้คำสั่งที่เป็นอันตรายจากระยะไกล โดยใช้ HTTP request ที่ออกแบบมาเพื่อการโจมตีโดยเฉพาะ

Fortinet แนะนำว่าหากผู้ดูแลระบบยังไม่สามารถทำการการอัปเดตความปลอดภัยเพื่อแก้ไขช่องโหว่ได้ในทันที สามารถป้องกันการโจมตีจากช่องโหว่ดังกล่าวชั่วคราวได้โดยการปิดใช้งาน SSL VPN บนอุปกรณ์ไปก่อน โดยขณะนี้ทาง Fortinet ยังไม่ได้เปิดเผยรายละเอียดเพิ่มเติมเกี่ยวกับข้อมูลของช่องโหว่ดังกล่าว

การประกาศของ CISA เกิดขึ้นหนึ่งวันหลังจากที่ Fortinet เผยแพร่การอัปเดตช่องโหว่ดังกล่าว โดยระบุว่ามีความเป็นไปได้ที่ช่องโหว่ CVE-2024-21762 จะถูกนำไปใช้ในการโจมตีแล้ว รวมถึงได้เพิ่มช่องโหว่ดังกล่าวไปยังรายการ Known Exploited Vulnerabilities Catalog หรือช่องโหว่ที่พบว่าถูกใช้ในการโจมตีอยู่ในปัจจุบัน

รวมถึง CISA ได้แจ้งเตือนให้หน่วยงานรัฐบาลกลางของสหรัฐอเมริกาทำการอัปเดตอุปกรณ์ FortiOS ภายในเจ็ดวัน ให้เสร็จสิ้นภายในวันที่ 16 กุมภาพันธ์ 2024 โดยคำสั่งการปฏิบัติงานที่มีผลผูกพัน (BOD 22-01) ที่ออกมาในเดือนพฤศจิกายน 2021

การประกาศช่องโหว่อื่น ๆ ของ Fortinet

นอกจากนี้ทาง Fortinet ยังได้แก้ไขช่องโหว่ RCE ที่สำคัญอีก 2 รายการ (CVE-2024-23108 และ CVE-2024-23109) ในโซลูชัน FortiSIEM ในสัปดาห์เดียวกัน ซึ่งในตอนแรกทาง Fortinet ได้ปฏิเสธช่องโหว่ดังกล่า วและอ้างว่าเป็นช่องโหว่ที่ซ้ำกันกับ CVE-2023-34992 ซึ่งได้รับการแก้ไขไปแล้วในเดือนตุลาคม 2023 แต่ทาง Zach Hanley ผู้เชี่ยวชาญด้านช่องโหว่ Horizon3 ซึ่งเป็นผู้ที่ค้นพบ และรายงานช่องโหว่ดังกล่าวได้รายงานว่าช่องโหว่ CVE 2 รายการที่เพิ่งค้นพบนั้นแตกต่างจากช่องโหว่เดิมของ CVE-2023-34992 เนื่องจาก Hacker ที่ไม่จำเป็นผ่านการยืนยันตัวตนจากภายนอก สามารถใช้ช่องโหว่เหล่านี้เพื่อเรียกใช้คำสั่งบนอุปกรณ์ที่มีช่องโหว่ได้

ทั้งนี้แนะนำให้ผู้ดูแลระบบทำการอัปเดตอุปกรณ์ Fortinet ทั้งหมดโดยเร็วที่สุดในทันที เนื่องจากช่องโหว่ของ Fortinet ซึ่งส่วนใหญ่เป็น zero-day มักตกเป็นเป้าหมายการโจมตีของเหล่า Hacker เพื่อเข้าถึงเครือข่ายองค์กรเพื่อโจมตีด้วยแรนซัมแวร์ และขโมยข้อมูลออกไป

ที่มา : bleepingcomputer

การแพร่กระจายของ XPhase Clipper ตัวใหม่ผ่านเว็บไซต์ Cryptocurrency ปลอม และวิดีโอบน YouTube

Cyble วิเคราะห์ Clipper ตัวใหม่ชื่อ 'XPhase' ซึ่งมีเป้าหมายไปที่ผู้ใช้ Cryptocurrency และจะแพร่กระจายผ่านเว็บไซต์ปลอม และวิดีโอบน Youtube

(more…)

กลุ่ม Hacker ในชื่อ 'ResumeLooters' ได้ขโมยข้อมูลส่วนบุคคลของผู้สมัครงานมากกว่าสองล้านรายการ หลังการโจมตีเว็บไซต์หางาน และเว็บไซต์ค้าปลีก 65 แห่ง โดยใช้การโจมตีแบบ SQL injection และ Cross-site Scripting (XSS)

โดยกลุ่ม ResumeLooters มุ่งเน้นการโจมตีไปที่ภูมิภาค APAC เป็นหลัก โดยกำหนดเป้าหมายไปยัง ออสเตรเลีย ไต้หวัน จีน ไทย อินเดีย และเวียดนาม เพื่อขโมยชื่อผู้หางาน ที่อยู่อีเมล หมายเลขโทรศัพท์ ประวัติการทำงาน การศึกษา และข้อมูลอื่น ๆ ที่เกี่ยวข้อง

ตามข้อมูลของ Group-IB ซึ่งได้ติดตามกลุ่ม Hacker ดังกล่าวตั้งแต่เดือนพฤศจิกายน 2023 พบว่า ResumeLooters พยายามขายข้อมูลที่ถูกขโมยผ่านช่องทาง Telegram (more…)

Infection Vector

เอกสาร Excel ที่เป็นอันตราย

ในขั้นตอนแรกของการโจมตี คือการใช้เอกสาร Excel ที่มีสคริปต์ VBA ที่รันคำสั่ง PowerShell เพื่อดาวน์โหลด 'Windows Update.

ผู้ไม่หวังดีกำลังใช้โฆษณารับสมัครงานบน Facebook ปลอม เพื่อหลอกล่อเป้าหมายให้ติดตั้งมัลแวร์ขโมยข้อมูลบน Windows ตัวใหม่ที่ชื่อ 'Ov3r_Stealer'

Trustwave SpiderLabs ระบุในรายงานที่แชร์กับ The Hacker News ว่า "มัลแวร์ถูกออกแบบมาเพื่อขโมยข้อมูลส่วนบุคคล และกระเป๋าเงินดิจิทัล และส่งข้อมูลไปที่ Telegram ของผู้ไม่หวังดี"

'Ov3r_Stealer' สามารถดึงข้อมูลที่สำคัญ เช่น IP address location, ข้อมูลฮาร์ดแวร์, รหัสผ่าน, คุกกี้, ข้อมูลบัตรเครดิต, การกรอกข้อมูลอัตโนมัติ, ส่วนขยายของเบราว์เซอร์, กระเป๋าเงินดิจิทัล, เอกสาร Microsoft Office และรายการของโปรแกรมป้องกันไวรัสที่ติดตั้งบนเครื่อง (more…)

Fortinet ออกมาแจ้งเตือนการพบช่องโหว่การเรียกใช้โค้ดที่เป็นอันตรายจากระยะไกล (RCE) ใน FortiOS SSL VPN ซึ่งอาจกำลังถูกนำมาใช้ในการโจมตีอยู่ในปัจจุบัน

CVE-2024-21762 (คะแนน CVSS 9.6/10 ความรุนแรงระดับ Critical) เป็นช่องโหว่ out-of-bounds write ใน FortiOS ที่ช่วยให้ Hacker สามารถเรียกใช้คำสั่งที่เป็นอันตรายจากระยะไกลได้โดยไม่ต้องผ่านการยืนยันตัวตน ผ่านทาง request ที่ถูกสร้างขึ้น (more…)

AnyDesk ออกมารายงานการถูกโจมตีทางไซเบอร์ ซึ่งทำให้ผู้โจมตีสามารถเข้าถึงระบบการผลิตของบริษัทได้ในวันที่ 2 กุมภาพันธ์ 2024 โดยทาง AnyDesk ระบุว่าการโจมตีดังกล่าวส่งผลกระทบกับระบบของ AnyDesk แค่บางส่วน หลังจากที่บริษัทได้ทำการตรวจสอบด้านความปลอดภัย และพบหลักฐานของระบบที่ถูกโจมตี โดย AnyDesk ได้แนะนำให้ผู้ใช้งานทำการเปลี่ยนรหัสผ่านหากใช้ข้อมูลเดียวกันกับที่ใช้กับที่อื่น (more…)

อัปเดต 5 กุมภาพันธ์ 2024 ทาง HPE เปิดเผยว่าข้อมูลถูกนำไปขายบน Dark Web นั้นเป็นข้อมูลที่มาจาก "test environment" โดยไม่พบการเข้าถึงระบบหลักของ HPE หรือข้อมูลลูกค้า

Hewlett Packard Enterprise (HPE) กำลังสืบสวนเหตุการณ์โจมตีทางไซเบอร์ใหม่ที่อาจเกิดขึ้น ภายหลังที่พบ Hacker ได้นำข้อมูลที่ขโมยมาขายบน Dark Web โดยอ้างว่าข้อมูลดังกล่าวประกอบไปด้วย ข้อมูลประจำตัวของ HPE และข้อมูลที่มีความสำคัญอื่น ๆ (more…)