สายการบินบริติชแอร์เวย์ ได้แจ้งตำรวจหลังจากมีการขโมยข้อมูลลูกค้าจากเว็บไซต์และแอปฯ ในมือถือ

สายการบินบริติชแอร์เวย์กล่าวว่าการโจมตีตังกล่าวกระทบกับข้อมูลส่วนบุคคลและการเงินของลูกค้าที่ทำการจองในเว็บไซต์หรือแอปพลิเคชันตั้งแต่เวลา 10.58 น. ตามเวลาท้องถิ่นในวันที่ 21 สิงหาคมถึงเวลา 9.45 น. ในวันที่ 5 กันยายน โดยกระทบบัตรเครดิตประมาณ 380,000 ใบ โดยข้อมูลที่ถูกขโมยไม่รวมข้อมูลรายละเอียดเกี่ยวกับการเดินทางหรือรายละเอียดบนหนังสือเดินทาง ซึ่งสายการบินแก้ไขช่องโหว่ที่ถูกโจมตีแล้ว ทำให้เว็บไซต์กลับมาทำงานได้ตามปกติ และจะสืบสวนกรณีนี้อย่างเร่งด่วน

สายการบินบริติชแอร์เวย์กำลังแจ้งลูกค้าที่ได้รับผลกระทบและแนะนำให้ทุกคนที่อาจได้รับผลกระทบติดต่อธนาคารหรือผู้ให้บริการบัตรเครดิตของตน

ที่มา : ZDNet

ช่องโหว่ zero-day ใน Task Scheduler บน Windows ถูกใช้โจมตีด้วยมัลแวร์แล้ว

หลังจากที่มีผู้เผยแพร่ช่องโหว่ zero-day ใน Task Scheduler บน Windows ในช่วงเช้าวันอังคารที่ 28 สิงหาคม ตามเวลาในประเทศไทย นักวิจัยจาก ESET ได้ค้นพบมัลแวร์ที่ใช้ประโยชน์จากช่องโหว่ดังกล่าวแล้วสร้างโดยกลุ่ม PowerPool ในสองวันต่อมา

กลุ่ม PowerPool ถูกตั้งชื่อตามวิธีในการโจมตี ซึ่งเป็นการโจมตีด้วยสคริปต์ PowerShell กลุ่ม PowerPool ทำการโจมตีไปทั่วโลกผ่านทาง spam อีเมลโดยพบเหยื่อจากหลายประเทศ ได้แก่ ชิลี เยอรมัน อินเดีย ยูเครน เป็นต้น อีเมลดังกล่าวประกอบด้วยไฟล์แนบอันตรายที่จะทำให้เครื่องของเหยื่อที่หลงเปิดติด backdoor หากกลุ่ม PowerPool คาดว่าเครื่องของเหยื่อมีข้อมูลสำคัญ จะทำการยกสิทธิ์ของ backdoor ด้วยช่องโหว่ zero-day ดังกล่าว

นักวิจัยจาก ESET กล่าวว่า ช่องโหว่นี้ถูกใช้โจมตีได้อย่างรวดเร็วเนื่องจากผู้เผยแพร่ช่องโหว่ได้เปิดเผย source code ที่ใช้ในการโจมตีด้วย ทำให้ง่ายต่อการนำไปใช้ต่อ ทั้งนี้มีการคาดการว่าไมโครซอฟต์จะทำการแพตช์ช่องโหว่ดังกล่าวในแพตช์ประจำเดือนกันยายน 2018

ที่มา : ZDNet

Group-IB เปิดโปงกลุ่มแฮกเกอร์กลุ่มใหม่ มุ่งโจมตีสถาบันทางการเงิน

นักวิจัยจาก Group-IB ออกรายงานชื่อ Silence: Moving into the darkside เปิดเผยกลุ่มแฮกเกอร์กลุ่มใหม่ชื่อ Silence เชื่อมโยงกับการขโมยเงินจากธนาคารในรัสเซีย, ธนาคารในยุโรปตะวันออก และสถาบันทางการเงิน

Group-IB ค้นพบการเคลื่อนไหวของกลุ่ม Silence ตั้งแต่เดือนกรกฏาคมปี 2016 โดยกลุ่ม Silence พยายามทำการถอนเงินผ่านระบบกลางที่เชื่อมระหว่างแต่ละธนาคารในรัสเซีย (AWS CBR: Automated Work Station Client of the Russian Central Bank) แต่ไม่ประสบความสำเร็จ จากนั้นกลุ่ม Silence มีการพัฒนาเทคนิคการโจมตีและทดลองอีกหลายครั้งจนกระทั่งทำการโจมตีสำเร็จในเดือนตุลาคมปี 2017 และทำการโจมตีต่อมาอีกหลายครั้งในปี 2018 รวมเป็นเงินกว่า 800,000 ดอลลาร์สหรัฐฯ

Group-IB คาดว่ากลุ่ม Silence ประกอบด้วยบุคคลเพียงสองคน ทำให้ดำเนินการได้ช้ากว่ากลุ่มอื่นๆ อย่าง Cobalt หรือ MoneyTraper ที่สามารถขโมยเงินได้หลายล้านดอลลาร์สหรัฐ การโจมตีของกลุ่ม Silence จะเริ่มต้นจากการใช้ spear-phishing อีเมลที่โจมตีผ่านช่องโหว่ของ Windows และ Office อย่าง CVE-2017-0199, CVE-2017-11882+CVE-2018-0802, CVE-2017-0262, CVE-2017-0263 และ CVE-2018-8174 ตามด้วยการโจมตีด้วยมัลแวร์ โดย Group-IB ตั้งสมมติฐานว่ากลุ่ม Silence น่าจะมีสมาชิกเป็นอดีตพนักงานหรือพนักงานปัจจุบันที่ทำงานในบริษัทด้านการรักษาความปลอดภัยทางไซเบอร์เนื่องจากมีความสามารถในการดัดแปลงมัลแวร์อื่นๆ ที่ไม่ได้เขียนขึ้นเอง เช่น Kikothac backdoor, the Smoke downloader และ the Undernet DDoS bot มาใช้งาน

ในปัจจุบันกลุ่ม Silence ประสบความสำเร็จในการโจมตีจำกัดแค่ประเทศรัสเซียและประเทศในแถบยุโรปตะวันออก แต่ได้มีการพยายามส่ง spear-phishing อีเมลไปกว่า 25 ประเทศซึ่งรวมไปถึงเยอรมัน สหราชอาณาจักร มาเลเซีย และอิสราเอล โดยผู้ที่สนใจสามารถอ่านรายละเอียดในรายงานดังกล่าวได้จาก https://www.

Cisco ออกอัปเดทแก้ไขช่องโหว่ 30 ช่องโหว่ กว่าครึ่งเป็นช่องโหว่ร้ายแรงมากและช่องโหว่ร้ายแรง

Cisco ออกอัปเดทแก้ไขช่องโหว่ 30 ช่องโหว่โดยมี 3 ช่องโหว่เป็นช่องโหว่ร้ายแรงมาก (Critical) หนึ่งในนั้นคือช่องโหว่ที่ได้รับผลกระทบจากช่องโหว่ใน Apache Struts (CVE-2018-11776) Cisco อธิบายเพิ่มเติมว่าแม้ผลิตภัณฑ์ของ Cisco หลายตัวจะมีการใช้งาน Apache Struts แต่ได้รับผลกระทบจากช่องโหว่ดังกล่าวเพียงบางผลิตภัณฑ์เท่านั้นเนื่องจากวิธีการใช้งาน library ของแต่ละผลิตภัณฑ์แตกต่างกัน

อีก 2 ช่องโหว่ร้ายแรงที่ได้รับการแก้ไขเป็นช่องโหว่ใน Cisco Umbrella API (CVE-2018-0435) และใน Routers รุ่น RV110W, RV130W และ RV215W (CVE-2018-0423) และยังมีช่องโหว่ร้ายแรง (high) อีก 15 รายการ

ผู้ดูแลระบบสามารถตรวจสอบรายละเอียดเพิ่มเติมเกี่ยวกับการอัปเดทครั้งนี้ได้ที่ https://tools.

กระทรวงยุติธรรมของสหรัฐฯ ตั้งข้อหาชาวเกาหลีเหนือด้วยข้อหาแฮกบริษัท Sony และแพร่กระจาย WannaCry

กระทรวงยุติธรรมของสหรัฐฯ ตั้งข้อหาชาวเกาหลีเหนือชื่อ Pak Jin Hyok ด้วยความผิดในการแฮกบริษัท Sony Picture ในปี 2014 และการแพร่กระจาย WannaCry ransomware ในปี 2017ทั้งนี้นาย Pak Jin Hyok ตกเป็นผู้ต้องสงสัยว่าเป็นสมาชิกในกลุ่ม Lazarus ที่ทำการโจมตีทางไซเบอร์อีกหลายรายการทั้วโลกอีกด้วย

IBM รายงานว่า WannaCry ในปี 2017 น่าจะทำให้เกิดความสูญเสียกว่า 8 พันล้านดอลลาร์สหรัฐใน 150 ประเทศทั่วโลก ซึ่งเจ้าหน้าที่ได้ใช้เวลากว่า 4 ปีในการเชื่อมโยงนาย Pak Jin Hyok เข้ากับการโจมตีผ่านมัลแวร์ที่ใช้โจมตี โดเมน อีเมล และบัญชีโซเชียลต่างๆ โดยระบุรายละเอียดไว้ที่ https://www.

360Netlab ได้ประกาศว่ามีเครื่อง MikroTik router มากกว่า 7,500 ทั่วโลกกำลังส่งข้อมูล TZSP (TaZmen Sniffer Protocol) ไปยังที่อยู่ IP ภายนอกจำนวน 9 แห่งจากการที่ผู้บุกรุกได้ปรับเปลี่ยนการตั้งค่า packet sniffing ของอุปกรณ์เพื่อส่งต่อข้อมูลไปหา IP ของผู้บุกรุก โดยปลายทางที่มีการส่งข้อมูลหนาแน่นมากที่สุดคือ IP 37.1.207.114 และมีเหยื่อจากทั้งรัสเซีย บราซิล อินเดีย ยูเครน

MikroTik router ส่วนใหญ่ที่ถูกบุกรุกจะมีการเปิดใช้งาน Socks4 proxy ซึ่งมีช่องโหว่อนุญาตให้เข้าถึงได้จาก IP 95.154.216.128/25 โดยส่วนใหญ่จะพบที่ IP 95.154.216.167 ผู้โจมตีสามารถควบคุมอุปกรณ์ได้แม้จะได้รับการรีบูต(เปลี่ยน IP) โดยการรายงานที่อยู่ IP ใหม่ล่าสุดเป็น URL กลับไปยังช่วง IP ดังกล่าว

จากการสังเกตของนักวิจัยพบว่าผู้บุกรุกจะอาศัยช่องโหว่ CVE-2018-14847 ซึ่งจะพบใน Winbox for MikroTik RouterOS 6.42 หรือรุ่นที่ต่ำกว่า นักวิจัยแนะนำให้ผู้ใช้ MikroTik router อัปเดต Firmware เป็นเวอร์ชันล่าสุด

ที่มา : Bleepingcomputer

Chrome เปิดตัวเบราว์เซอร์เวอร์ชั่น 69 รวมถึงออกแพตช์อัพเดทช่องโหว่ความปลอดภัยด้านการออกแบบในเบราว์เซอร์ Chrome ที่ส่งผลให้ผู้โจมตีสามารถใช้ประโยชน์จากช่องโหว่ดังกล่าวขโมยข้อมูลสำหรับการเข้าสู่ระบบ Wifi ทั้งแบบบ้านและระบบเครือข่ายขององค์กร โดยปัญหาดังกล่าวเกิดจากเบราว์เซอร์ Chrome เวอร์ชั่นเก่ามีกรอกค่า Username และ Passwords บนแบบฟอร์มการเข้าสู่ระบบผ่าน HTTP แบบอัตโนมัติ (auto-fill)

Elliot Thompson นักวิจัยด้านความปลอดภัยจาก SureCloud ได้ทำการรวบรวมเทคนิคการโจมตีจากการใช้ประโยชน์ของปัญหาในการออกแบบเบาร์เซอร์ซึ่งมีขั้นตอนที่หลากหลายและซับซ้อน โดยการโจมตีดังกล่าวชื่อว่า Wi-Jacking (WiFi Jacking) ซึ่งได้ผลกับ Chrome บน Windows ขั้นตอนสำหรับการโจมตี Wi-Jacking มีรายละเอียดดังนี้
ขั้นตอนที่1 ผู้โจมตีจำเป็นต้องอยู่บริเวณใกล้เคียงกับระบบเครือข่าย WiFi ของเครื่องเป้าหมายเพื่อให้สามารถเข้าถึงได้โดยการส่งคำขอ deauthentication ไปยังเราเตอร์เพื่อทำการตัดการเชื่อมต่อของผู้ใช้งานออกจากระบบ WiFi
ขั้นตอนที่2 ผู้โจมตีใช้เทคนิคการโจมตีแบบ classic Karma attack เพื่อหลอกให้เป้าหมายเชื่อมต่อกับระบบเครือข่ายอันตรายที่ผู้โจมตีสร้างไว้
ขั้นตอนที่3 ผู้โจมตีทำการสร้างเว็บไซต์โดยจำลองหน้าเว็บต่างๆให้มีความคล้ายกับเว็บไซต์หลักของเราเตอร์ และทำการซ่อนฟิลด์สำหรับรับค่าข้อมูลสำหรับ Login ไว้ และเนื่องจากเป้าหมายเชื่อมต่อกับเครือข่ายของผู้โจมตีทำให้ผู้โจมตีสามารถตั้งค่า URL ของหน้าเว็บปลอมไปยัง URL ที่ถูกต้องของเราเตอร์ที่เป้าหมายใช้งานได้ทำให้เป้าหมายเข้าใจว่าเข้าถึงเว็บไซต์หลักที่ถูกต้อง ซึ่งหากเป้าหมายอนุญาตให้เบราว์เซอร์ Chrome กรอกข้อมูลสำหรับ Login แบบอัตโนมัติ (auto-fill) ข้อมูลเหล่านั้นจะถูกป้อนไปยังฟิลด์ที่ซ่อนไว้ในหน้าเว็บที่ผู้โจมตีสร้างไว้โดยอัตโนมัติ
ขั้นตอนที่4 ผู้โจมตีหยุดเทคนิค Karma และช่วยให้เป้าหมายเชื่อมต่อกลับไปยังเครือข่าย WiFi เดิม
ขั้นตอนที่5 หากเป้าหมายคลิกส่วนใดๆ ในหน้าเว็บที่เป็นอันตรายหรือหน้าเว็บดังกล่าวยังคงทำงานอยู่ในเบราว์เซอร์ของเป้าหมาย จะส่งข้อมูลการ Login ที่ซ่อนอยู่ในฟิลด์การเข้าสู่ระบบไปยัง backend panel ของเราเตอร์จริง วิธีนี้จะทำให้ผู้โจมตีสามารถตรวจสอบการเข้าถึงของเป้าหมายและช่วยให้ผู้โจมตีสามารถตรวจจับ WPA / WPA2 PSK (pre-shared key) จากการตั้งค่า Wi-Fi ของเราเตอร์ของเป้าหมาย และสามารถใช้เข้าสู่ระบบได้

นอกเหนือจากเบราว์เซอร์ Chrome ยังมีเบราว์เซอร์ Opera ที่ได้รับผลกระทบจากการโจมตีด้วยวิธีการ Wi-Jacking แต่เบราว์เซอร์อื่นๆ เช่น Firefox, Edge, Internet Explorer และ Safari ไม่เสี่ยงต่อการถูกโจมตีเนื่องจากไม่มีการกรอกข้อมูลสำหรับการ Login แบบอัตโนมัติ (auto-fill)

ที่มา : Zdnet

เมื่อสัปดาห์ที่แล้วหลังจากที่มีข่าวว่า Google ยังสามารถทำการติดตามการไปที่ต่างๆของผู้ใช้งานแม้จะปิดฟังค์ชันปิดไปแล้วก็ตาม ตอนนี้ได้มีการเปิดเผยว่ามีการเซ็นสัญญาแบบลับๆกับบริษัท Mastercard

เชื่อว่า Google ได้จ่ายเงินหลายล้านดอลล่าเพื่อแลกเปลี่ยนกับการเข้าถึงข้อมูลนี้ ทั้ง Google และ Mastercard ไม่มีการเปิดเผยการเป็นพันธมิตรทางธุรกิจนี้ออกมา แต่ธุรกิจนี้ได้ถูกเปิดเผยออกมาโดย Bloomberg เชื่อว่าการดำเนินการดังกล่าวนี้สามารถบรรลุข้อตกลงกันได้หลังจากที่ได้มีการเจรจาต่อรองกันมา 4 ปี ทำให้ Google จะได้รับข้อมูลการทำธุรกรรมของชาวอเมริกัน ซึ่งจะถูกเข้ารหัสก่อนส่งมา

โดย Google ได้ทำการเพิ่มข้อมูลใส่ไปในเครื่องมือสำหรับโฆษณาโดยตั้งชื่อว่า Store Sales Measurement และปัจจุบันกำลังทดสอบเครื่องมือกับกลุ่มเล็กๆของผู้โฆษณาในการโฆษณาบนโลกออนไลน์ ปีที่แล้ว Google ประกาศว่าบริการ Store Sales Measurement service มีการเข้าถึงข้อมูลประมาณ 70% ของบัตรเครดิตและบัตรเดบิต แต่ไม่ได้มีการเปิดเผยชื่อ จากที่ได้กล่าวมาทำให้เชื่อว่าไม่ใช่มีแค่ Mastercard แต่ Google มีข้อตกลงกับ บริษัทบัตรเครดิตอื่น ๆ เช่นกัน ซึ่งทั้งหมดเป็นข้อมูลการทำธุรกรรมในประเทศสหรัฐอเมริกา แต่ดูเหมือนว่าผู้ใช้สามารถที่จะเลือกเอาการติดตามของโฆษณาแบบออฟไลน์ออกได้โดยการเลือกปิด "Web and App Activity" ในบัญชี Google ของพวกเขา

Mastercard ได้ออกมาปฏิเสธแล้วว่าบริษัทไม่ได้มีการให้ข้อมูลส่วนบุคคลใดๆ กับบุคคลที่สาม และ Google เองก็ได้มีการออกมาระบุว่า บริษัทไม่ได้มีการเข้าถึงข้อมูลส่วนบุคคลใดๆ ของบริษัทที่เป็นพันธมิตร และไม่มีการแบ่งปันข้อมูลส่วนบุคคลใดๆ ให้กับบริษัทพันธมิตรเช่นเดียวกัน

ที่มา: thehackernews

สืบเนื่องจากข่าว พบช่องโหว่ CVE-2018-11776 ที่ส่งผลต่อโค้ดหลักโดยไม่ต้องใช้งานปลั๊กอิน และช่วยให้แฮกเกอร์สามารถสั่งรันโค้ดจากระยะไกลบนเซิร์ฟเวอร์ที่มีช่องโหว่ ที่มีการใช้งาน Apache Struts 2

จากรายงานได้กล่าวว่าทาง Oracle ได้ออกมาแจ้งเตือนกลุ่มลูกค้าของทาง Oracle ว่าจากช่องโหว่ CVE-2018-11776 ส่งผลทำให้ผลิตภัณฑ์ของ Oracle จำนวนมากได้รับผลกระทบ โดยแฮกเกอร์สามารถใช้ประโยชน์จากช่องโหว่เพื่อการขุดบิทคอยน์ได้

รายชื่อผลิตภัณฑ์ที่ได้รับผลกระทบจากช่องโหว่นี้จะถูกส่งให้ลูกค้าของ Oracle เท่านั้น ทั้งนี้ Oracle ได้เคยแจ้งรายการของผลิตภัณฑ์ที่มีการใช้งาน Apache Struts ไปแล้วเมื่อปีที่แล้ว (ดูได้จากลิ้งค์ด้านล่าง) ซึ่งผลิตภัณฑ์เหล่านั้นจัดอยู่ในกลุ่มของ MySQL Enterprise Monitor, Communications Policy Management, FLEXCUBE Private Banking, Retail XBRi, Siebel, WebLogic Server และผลิตภัณฑ์ที่ให้บริการทางการเงินและประกันภัยต่างๆ

ปัจจุบันทาง Oracle แจ้งว่ากำลังจะมีแพทช์ ออกมาแก้ไข Oracle Critical Patch Update (CPU) ภายในวันที่ 16 ตุลาคม 2561

รายการผลิตภัณฑ์ที่มีการใช้งาน Apache Struts --> http://www.

ทีมงาน Wireshark ประกาศแพตช์แก้ไขช่องโหว่ร้ายแรงที่เปิดโอกาสให้แฮกเกอร์สามารถทำระบบล้มเหลว หรือที่เรียกว่า Denial of Service (Dos)

Wireshark เป็นโปรแกรมประเภท Packet Analyzer ใช้ในการตรวจสอบสถานะของ Network ซึ่งช่องโหว่เหล่านั้นคือ CVE-2018-16056, CVE-2018-16057 และ CVE-2018-16058 ส่งผลกระทบกับ Wireshark เวอร์ชัน 2.6.0 ถึง 2.6.2, 2.4.0 ถึง 2.4.8 และ 2.2.0 ถึง 2.2.16

รายละเอียดช่องโหว่ต่างๆมีดังนี้

CVE-2018-16056 เป็นช่องโหว่ที่มีอยู่ในส่วนประกอบของอุปกรณ์วิเคราะห์ข้อมูล Bluetooth Attribute Protocol (ATT) ของ Wireshark ระบุว่า ไฟล์ source code /dissectors/packet-btatt.