กลุ่ม Turla ใช้ MSBuild เพื่อทำให้ Tiny BackDoor สามารถหลีกเลี่ยงการตรวจจับ

CRIL พบการโจมตีโดยใช้ไฟล์ .LNK ที่เป็นอันตราย ซึ่งแฝงตัวเป็นไฟล์เอกสาร PDF ที่เมื่อผู้ใช้งานเปิดไฟล์ .LNK มันจะแสดงคำเชิญเข้าร่วมสัมมนาเกี่ยวกับสิทธิมนุษยชน ซึ่งแสดงให้เห็นว่าผู้โจมตีมุ่งเป้าหมายไปที่บุคคลที่มีความสนใจในประเด็นสิทธิมนุษยชน (more…)

Veeam แจ้งเตือนช่องโหว่ Authentication bypass ระดับ Critical บน Backup Enterprise Manager

Veeam แจ้งเตือนลูกค้าให้ทำการแก้ไขช่องโหว่ด้านความปลอดภัยระดับ Critical ซึ่งทำให้ Hacker ที่ไม่จำเป็นต้องผ่านการยืนยันตัวตนสามารถลงชื่อเข้าใช้บัญชีใด ๆ ผ่านทาง Veeam Backup Enterprise Manager (VBEM) (more…)

Microsoft เริ่มบังคับใช้การยืนยันตัวตนแบบ multi-factor สำหรับ Azure ในเดือนกรกฎาคมนี้

ตั้งแต่เดือนกรกฎาคมเป็นต้นไป Microsoft จะเริ่มบังคับใช้การยืนยันตัวตนแบบหลายปัจจัย (MFA) สำหรับผู้ที่ลงทะเบียนเข้าใช้งาน Azure ทุกคน

(more…)

Google Chrome ปล่อยอัปเดตฉุกเฉินเพื่อแก้ไขช่องโหว่ Zero-day ครั้งที่ 6 ในปี 2024

Google ออกแพตซ์อัปเดตความปลอดภัยฉุกเฉินสำหรับเบราว์เซอร์ Chrome เพื่อแก้ไขช่องโหว่ Zero-day ที่มีระดับความรุนแรงสูงซึ่งกำลังถูกนำมาใช้ในการโจมตี

(more…)

ชุดทดสอบการโจมตีสำหรับช่องโหว่ RCE บนเร้าเตอร์ D-Link EXO AX4800 ถูกเผยแพร่ออกมาแล้ว

D-Link EXO AX4800 (DIR-X4860) เร้าเตอร์ (Router) มีช่องโหว่ในการเรียกใช้คำสั่งที่เป็นอันตรายจากระยะไกลโดยไม่ต้องผ่านการยืนยันตัวตน ซึ่งจะนำไปสู่การเข้ายึดเครื่องโดยผู้โจมตีได้ผ่าน HNAP พอร์ท (HNAP)

(more…)

มัลแวร์ Banking Trojan ตัวใหม่ชื่อ Antidot ปลอมเป็น Google Play Update ปลอม

Antidot เป็น Banking Trojan บน Android ที่กำลังปลอมตัวเป็นแอปพลิเคชัน "Google Play Update" โดยมุ่งเป้าไปที่ผู้ใช้ Android ในหลายภูมิภาค และใช้เทคนิค VNC (Virtual Network Computing) และ Overlay เพื่อเก็บรวบรวมข้อมูลที่สำคัญของผู้ใช้

ในเดือนเมษายนที่ผ่านมา ทาง Cyble Research and Intelligence Labs (CRIL) ได้เผยแพร่การวิเคราะห์รายละเอียดเกี่ยวกับ Android Banking Trojan ตัวใหม่ที่ชื่อ "Brokewell" ซึ่งถูกสร้างขึ้นโดยนักพัฒนามัลแวร์ชื่อ "Baron Samedit" ซึ่งโทรจันนี้มีความสามารในการเข้าควบคุมอุปกรณ์ได้อย่างสมบูรณ์

เมื่อไม่นานมานี้ ได้พบ Android Banking Trojan ตัวใหม่อีกหนึ่งตัวที่ชื่อว่า "Antidot" ซึ่งถูกพบครั้งแรกในวันที่ 6 May 2024 (a6f6e6fb44626f8e609b3ccb6cbf73318baf01d08ef84720706b205f2864b116) โดยโทรจันตัวนี้ใช้การโจมตีแบบ Overlay เป็นวิธีการหลัก เพื่อเก็บรวบรวมข้อมูลที่สำคัญของผู้ใช้

มัลแวร์ตัวนี้มีคุณสมบัติหลายอย่าง เช่น

VNC : การควบคุมอุปกรณ์จากระยะไกล
Keylogging : การบันทึกการกดแป้นพิมพ์
Overlay attack : การสร้างหน้าต่างปลอมซ้อนทับเพื่อขโมยข้อมูล
Screen recording : การบันทึกหน้าจอ
Call forwarding : การส่งต่อสายโทรศัพท์
Collecting contacts and SMSs : การเก็บรวบรวมรายชื่อผู้ติดต่อ และข้อความ SMS
Performing USSD requests : การส่งคำสั่ง USSD
Locking and unlocking the device : การล็อก และปลดล็อกอุปกรณ์

Antidot ได้ชื่อนี้เนื่องจากการพบสตริง “Antidot” ภายในโค้ดต้นฉบับ ซึ่งใช้สำหรับการบันทึกข้อมูลข้ามคลาสต่าง ๆ มัลแวร์นี้ใช้การเข้ารหัสแบบกำหนดเองเพื่อทำให้สตริงต่าง ๆ ไม่สามารถอ่านได้ รวมถึงการตั้งชื่อคลาสให้เป็นอักษรที่ไม่สามารถเข้าใจได้ ทำให้การวิเคราะห์มีความยากมากขึ้น

โดยมัลแวร์จะปลอมแปลงเป็นแอปพลิเคชัน "Google Play update" โดยแสดงหน้าการอัปเดต Google Play ปลอมเมื่อทำการติดตั้ง หน้าการอัปเดตปลอมนี้ถูกสร้างขึ้นในหลายภาษา เช่น ภาษาเยอรมัน, ฝรั่งเศส, สเปน, รัสเซีย, โปรตุเกส , โรมาเนีย, และอังกฤษ ซึ่งมุ่งเป้าไปที่ผู้ใช้ Android ในภูมิภาคที่ใช้ภาษาต่าง ๆ เหล่านี้

รายละเอียดทางเทคนิค

ตามที่ได้ระบุไว้ก่อนหน้านี้ หลังจากที่ติดตั้งมัลแวร์แล้ว มัลแวร์จะแสดงหน้าอัปเดตปลอมที่มีปุ่ม "ดำเนินการต่อ" ซึ่งจะเปลี่ยนเส้นทางผู้ใช้ไปยังการตั้งค่าการเข้าถึง (Accessibility settings) เช่นเดียวกันกับ Banking Trojans ตัวอื่น ๆ

Command and Control server communication

ในเบื้องหลัง มัลแวร์จะเริ่มการสื่อสารกับ C2 Server "hxxp://46[.]228.205.159:5055/" นอกจากการเชื่อมต่อด้วย HTTP แล้ว Antidot ยังเริ่มการสื่อสารผ่าน WebSocket โดยใช้ไลบรารี socket.

ช่องโหว่ Zero-day RCE ในฟีเจอร์ Share ของ QNAP QTS กำลังถูกนำมาใช้ในการโจมตี

ผลลัพธ์จากการตรวจสอบด้านความปลอดภัยทั้งหมดของ QNAP QTS ซึ่งเป็นระบบปฏิบัติการสำหรับผลิตภัณฑ์ NAS ของบริษัท QNAP พบว่ามีช่องโหว่ 15 รายการที่มีระดับความรุนแรงแตกต่างกัน โดยมีช่องโหว่ 11 รายการที่ยังไม่ได้รับการแก้ไข

หนึ่งในนั้นคือ CVE-2024-27130 ซึ่งเป็นช่องโหว่ stack buffer overflow ในฟังก์ชัน 'No_Support_ACL' ของ 'share.

พบกลุ่ม Ransomware มุ่งเป้าการโจมตีไปยังผู้ดูแลระบบ Windows ผ่าน PuTTy และ WinSCP ปลอม

Rapid7 ออกรายงานการค้นพบแคมเปญการโจมตีของกลุ่ม Ransomware ที่มุ่งเป้าการโจมตีไปยังผู้ดูแลระบบ Windows เนื่องจากมีสิทธิ์การใช้งานที่สูงกว่าผู้ใช้งานทั่วไป โดยใช้โฆษณาบน Google หลอกให้เหยื่อดาวน์โหลด Putty และ WinSCP ปลอม เมื่อทำการค้นหาบน Google หรือ Bing

WinSCP และ Putty เป็น Windows utilities ยอดนิยม โดย WinSCP เป็น SFTP client และ FTP client ส่วน Putty เป็น SSH client

โดยที่กลุ่ม Ransomware ได้ทำการสร้างหน้าเว็บไซต์ขึ้นมา คือ [https://www[.]chiark.

CISA แจ้งเตือนพบ Hacker กำลังใช้ช่องโหว่ Chrome และ D-Link router ในการโจมตีเป้าหมาย

CISA แจ้งเตือนพบ Hacker กำลังใช้ช่องโหว่ Chrome และ D-Link router ในการโจมตีเป้าหมาย

หน่วยงาน US Cybersecurity & Infrastructure Security Agency (CISA) ได้เพิ่มช่องโหว่ 3 รายการไปยัง Known Exploited Vulnerabilities catalog (KEV) หรือรายการช่องโหว่ที่กำลังถูกใช้ในการโจมตี โดยมีช่องโหว่ 1 รายการที่ส่งผลกระทบต่อ Google Chrome และช่องโหว่ 2 รายการที่ส่งผลกระทบต่อ D-Link router

(more…)

แฮ็กเกอร์พี่น้องถูกจับในข้อหาขโมยเงิน 25 ล้านดอลลาร์จากการโจมตีบล็อคเชน Ethereum

กระทรวงยุติธรรมของสหรัฐอเมริกาได้ฟ้องร้องอดีตนักศึกษา MIT สองคนในข้อหาควบคุมการจัดการบล็อกเชน Ethereum และขโมยเงินดิจิทัลมูลค่า 25 ล้านดอลลาร์ภายในเวลาประมาณ 12 วินาทีในการดำเนินการ

Anton Peraire-Bueno และ James Pepaire-Bueno ถูกจับในบอสตัน และนิวยอร์กเมื่อวันอังคาร (14 พฤษภาคม 2024) ในข้อหาฉ้อโกง และสมรู้ร่วมคิดในการฉ้อโกง และการฟอกเงิน หากถูกตัดสินว่ามีความผิด แต่ละคนจะต้องได้รับโทษจำคุกสูงสุด 20 ปีแต่ละข้อหา

คดีของพวกเขาถูกสอบสวนโดยหน่วยสืบสวนทางไซเบอร์ของ IRS Criminal Investigation (IRS-CI) ในนิวยอร์ก โดยได้รับความช่วยเหลือจากกรมตำรวจนครนิวยอร์ก และกรมศุลกากร และป้องกันชายแดนของสหรัฐอเมริกา

เดเมียน วิลเลียมส์ อัยการสหรัฐฯ ระบุว่า “สองพี่น้องที่เรียนอยู่ในคณะวิทยาการคอมพิวเตอร์ และคณิตศาสตร์ในมหาวิทยาลัยที่มีชื่อเสียงที่สุดแห่งหนึ่งของโลก ถูกกล่าวหาว่าใช้ทักษะเฉพาะทาง เพื่อแก้ไข และจัดการโปรโตคอลที่ผู้ใช้ Ethereum หลายล้านคนทั่วโลกใช้ในการขโมยเงินดิจิทัล โดยพวกเขาใช้เวลาเพียง 12 วินาทีเท่านั้น”

อดีตนักศึกษาสถาบันเทคโนโลยีแมสซาชูเซตส์ (MIT) สองคนถูกกล่าวหาว่าควบคุมการจัดการกระบวนการตรวจสอบธุรกรรมบนบล็อกเชน โดยการเข้าถึงธุรกรรมส่วนตัวที่รอดำเนินการ เปลี่ยนแปลงธุรกรรม รับสกุลเงินดิจิทัลของเหยื่อ และปฏิเสธคำขอให้คืนเงินที่ถูกขโมย และดำเนินการเพื่อปกปิดกำไรที่ได้มาอย่างผิดกฎหมาย

คำฟ้องอ้างว่าสองพี่น้องได้เรียนรู้พฤติกรรมของเหยื่อ และเตรียมการโจมตีตั้งแต่เดือนธันวาคม 2022 และใช้มาตรการต่าง ๆ เพื่อปกปิดตัวตน และเงินที่ถูกขโมยไป

พวกเขายังใช้ที่อยู่สกุลเงินดิจิทัลหลายแห่ง และการแลกเปลี่ยนเงินตราต่างประเทศ และจัดตั้งบริษัทปลอม ภายหลังจากการโจมตีพวกเขาย้ายสินทรัพย์ crypto ที่ถูกขโมยผ่านการทำธุรกรรมที่จะปิดบังแหล่งที่มา และความเป็นเจ้าของ

ตลอดกระบวนการ ทั้งสองคนยังค้นหาข้อมูลออนไลน์เกี่ยวกับการโจมตี, ปกปิดการมีส่วนร่วมของพวกเขาในการโจมตี, การฟอกเงินผ่านการแลกเปลี่ยนสกุลเงินดิจิทัล, การจ้างทนายความที่มีความเชี่ยวชาญด้านสกุลเงินดิจิทัล รวมถึงขั้นตอนการส่งผู้ร้ายข้ามแดน และอาชญากรรมที่ระบุไว้ในคำฟ้อง

เจ้าหน้าที่พิเศษของ IRS-CI โธมัส ฟัตโตรุสโซ่ ระบุเพิ่มเติมว่า “ทั้งสองคนถูกกล่าวหาว่ากระทำการยักยอก Ethereum blockchain โดยเข้าถึงธุรกรรมที่รอดำเนินการ เปลี่ยนแปลงการเคลื่อนไหวของสกุลเงินอิเล็กทรอนิกส์ และในที่สุดก็ขโมยเงินดิจิทัล 25 ล้านดอลลาร์จากเหยื่อของพวกเขา”

ที่มา: bleepingcomputer.