ใบรับรองดิจิตอลของ D-Link ถูกขโมยมาใช้ในการแพร่มัลแวร์

นักวิจัยของ ESET ได้ค้นพบการแพร่ระบาดมัลแวร์ครั้งใหม่ที่ใช้ใบรับรองดิจิตอลที่ขโมยมา เนื่องจากระบบของ ESET เตือนถึงไฟล์ที่น่าสงสัย แต่ไฟล์ดังกล่าวมีใบรับรองดิจิตอลจากบริษัท D-Link ซึ่งเป็นบริษัทผลิตอุปกรณ์ด้านเน็ตเวิร์คชื่อดังของไต้หวัน นักวิจัยจึงประสานงานกับบริษัท D-Link และยกเลิกไม่ให้ใบรับรองดังกล่าวที่ถูกขโมยใช้งานต่อได้อีก และจากการตรวจสอบเพิ่มเติมยังพบมัลแวร์ที่ใช้ใบรับรองดิจิตอลจากบริษัท Changing Information Technology ซึ่งเป็นบริษัทให้บริการด้านความปลอดภัยอีกด้วย

นักวิจัยของ ESET เปิดเผยว่าใบรับรองดิจิตอลดังกล่าวถูกใช้ทำเครื่องหมายให้กับมัลแวร์สองตระกูล ซึ่งเคยถูกใช้โดยกลุ่มจารกรรมข้อมูลทางไซเบอร์ชื่อ BlackTech

มัลแวร์ตัวแรกคือ Plead เป็นแบ็คดอร์ที่ช่วยให้ผู้ไม่ประสงค์ดีสามารถควบคุมระบบของผู้ใช้งานเพื่อขโมยข้อมูลและสอดแนมผู้ใช้
มัลแวร์อีกตัวคือ มัลแวร์ขโมยรหัสผ่านที่ใช้ร่วมกับ Plead เพื่อรวบรวมรหัสผ่าน จาก Google Chrome Microsoft Internet Explorer Microsoft Outlook และ Mozilla Firefox

ใบรับรองดิจิตอลถูกขโมยเพื่อนำใช้ในการแพร่มัลแวร์มาแล้วหลายครั้ง เนื่องจากคอมพิวเตอร์จะเชื่อถือโปรแกรมที่ทำเครื่องหมายด้วยใบรับรองดิจิตอล และทำงานโปรแกรมดังกล่าวโดยไม่ขึ้นข้อความแจ้งเตือน ทำให้ผู้ใช้หลงเชื่อว่าโปรแกรมดังกล่าวไม่เป็นอันตราย

ที่มา:welivesecurity

นักวิจัยค้นพบโทรจันที่สามารถตัดสินใจได้ว่าจะโจมตีคอมพิวเตอร์ด้วยใช้ขุด Cryptocurrency หรือ Ransomware

นักวิจัยค้นพบโทรจันที่สามารถสามารถตัดสินใจได้ว่าจะโจมตีคอมพิวเตอร์ด้วยใช้ขุด Cryptocurrency หรือ Ransomware โดยมีการพัฒนามาจาก Trojan-Ransom.

Diebold ประกาศแจ้งเตือนการโจมตี Jackpotting และมัลแวร์ในเอทีเอ็ม พร้อม Fraud แบบใหม่จาก NCR

Diebold และ NCR บริษัทผู้ผลิตและจัดจำหน่ายระบบเอทีเอ็มและ POS รายใหญ่ออกประกาศด้านความปลอดภัยในระยะเวลาไล่เลี่ยกันเมื่อวานที่ผ่านมา โดยในประกาศของ Diebold นั้นโฟกัสไปที่การโจมตีด้วยวิธีการ Jackpotting และการค้นพบมัลแวร์ในเอทีเอ็ม สว่นประกาศจาก NCR นั้นเน้นไปที่เรื่องของเทคนิคการ Fraud "Transaction Reversal Fraud (TRF)" และวิธีการป้องกัน

Diebold ประกาศหลังจากตรวจพบเพิ่มขึ้นของการโจมตีในรูปแบบ Jackpotting กับระบบเอทีเอ็มซึ่งอยู่ในยุโรปและละตินอเมริกาโดยพุ่งเป้าไปที่ตู้รุ่น Opteva ที่มีการใช้งานตัวจ่ายเงินรุ่น Advacned Function Dispenser (AFD) 1.x ผู้โจมตีอาศัยทั้งการเข้าถึงทางกายภาพและทางซอฟต์แวร์เพื่อข้ามผ่านการตรวจสอบและยืนยันอุปกรณ์ โดยมีจุดมุ่งหมายเพื่อทำให้เกิดการเชื่อมต่อกับอุปกรณ์ภายนอกที่สามารถใช้เพื่อควบคุมระบบของเอทีเอ็มให้สามารถสั่งจ่ายเงินได้ อย่างไรก็ตามการโจมตีส่วนมากที่ตรวจพบนั้นไม่ประสบความสำเร็จด้วยเหตุผลทางด้านเทคนิค Diebold แนะนำให้ผู้ใช้งานทำการอัปเดตซอฟต์แวร์ให้เป็นรุ่นล่าสุดเพื่อป้องกันการโจมตีนี้

ในขณะเดียวกัน Diebold ได้ประกาศการค้นพบมัลแวร์ที่พุ่งเป้าโจมตีระบบเอทีเอ็มภายใต้ชื่อ "Peralta" โดยมัลแวร์ชนิดดังกล่าวนั้นถูกออกแบบมาเพื่อสร้างการโจมตีแบบ Jackpotting โดยใช้ซอฟต์แวร์แทนที่จะเป็นการโจมตีทางกายภาพกับระบบเอทีเอ็ม ในการโจมตีนั้น ผู้โจมตีใช้วิธีการถอดฮาร์ดดิสก์ของเอทีเอ็มที่อยู่บริเวณด้านบนของตู้ออกก่อนจะทำการแก้ไขข้อมูลในฮาร์ดดิสก์เพื่อสอดแทรกมัลแวร์ โดยมัลแวร์จะทำการโจมตีช่องโหว่รหัส MS16-032 ซึ่งมีการแพตช์ไปแล้วเพื่อยกระดับสิทธิ์ด้วยสคริปต์ PowerShell หลังจากนั้นจึงทำการเริ่มการทำงานของส่วนหลักของมัลแวร์ที่จะเริ่มการทำงานโดยอัตโนมัติเมื่อระบบของเอทีเอ็มถูกเปิด และคอยรอรับคำสั่งที่เป็นชุดของการกดแป้นพิมพ์ต่อ

สำหรับประกาศจากทาง NCR นั้น ได้มีการแจ้งเตือนความถีที่เพิ่มขึ้นของรูปแบบการโจมตีที่มีชื่อเรียกว่า Transaction Reversal Fraud (TRF) ซึ่งเป็นการโจมตีเพื่อขโมยเงินจากเอทีเอ็มออกโดยอาศัยการทำให้เกิด "ข้อผิดพลาด" ในกระบวนการถอนเงินที่เกือบสำเร็จ ซึ่งส่งผลให้บริเวณของส่วนจ่ายเงินยังเปิดอยู่และชิงเอาเงินออกมาก่อนที่เงินจะถูกส่งคืนกลับเซฟได้

ที่มา : response

Diebold ประกาศแจ้งเตือนการโจมตี Jackpotting และมัลแวร์ในเอทีเอ็ม พร้อม Fraud แบบใหม่จาก NCR

Diebold และ NCR บริษัทผู้ผลิตและจัดจำหน่ายระบบเอทีเอ็มและ POS รายใหญ่ออกประกาศด้านความปลอดภัยในระยะเวลาไล่เลี่ยกันเมื่อวานที่ผ่านมา โดยในประกาศของ Diebold นั้นโฟกัสไปที่การโจมตีด้วยวิธีการ Jackpotting และการค้นพบมัลแวร์ในเอทีเอ็ม สว่นประกาศจาก NCR นั้นเน้นไปที่เรื่องของเทคนิคการ Fraud "Transaction Reversal Fraud (TRF)" และวิธีการป้องกัน

Diebold ประกาศหลังจากตรวจพบเพิ่มขึ้นของการโจมตีในรูปแบบ Jackpotting กับระบบเอทีเอ็มซึ่งอยู่ในยุโรปและละตินอเมริกาโดยพุ่งเป้าไปที่ตู้รุ่น Opteva ที่มีการใช้งานตัวจ่ายเงินรุ่น Advacned Function Dispenser (AFD) 1.x ผู้โจมตีอาศัยทั้งการเข้าถึงทางกายภาพและทางซอฟต์แวร์เพื่อข้ามผ่านการตรวจสอบและยืนยันอุปกรณ์ โดยมีจุดมุ่งหมายเพื่อทำให้เกิดการเชื่อมต่อกับอุปกรณ์ภายนอกที่สามารถใช้เพื่อควบคุมระบบของเอทีเอ็มให้สามารถสั่งจ่ายเงินได้ อย่างไรก็ตามการโจมตีส่วนมากที่ตรวจพบนั้นไม่ประสบความสำเร็จด้วยเหตุผลทางด้านเทคนิค Diebold แนะนำให้ผู้ใช้งานทำการอัปเดตซอฟต์แวร์ให้เป็นรุ่นล่าสุดเพื่อป้องกันการโจมตีนี้

ในขณะเดียวกัน Diebold ได้ประกาศการค้นพบมัลแวร์ที่พุ่งเป้าโจมตีระบบเอทีเอ็มภายใต้ชื่อ "Peralta" โดยมัลแวร์ชนิดดังกล่าวนั้นถูกออกแบบมาเพื่อสร้างการโจมตีแบบ Jackpotting โดยใช้ซอฟต์แวร์แทนที่จะเป็นการโจมตีทางกายภาพกับระบบเอทีเอ็ม ในการโจมตีนั้น ผู้โจมตีใช้วิธีการถอดฮาร์ดดิสก์ของเอทีเอ็มที่อยู่บริเวณด้านบนของตู้ออกก่อนจะทำการแก้ไขข้อมูลในฮาร์ดดิสก์เพื่อสอดแทรกมัลแวร์ โดยมัลแวร์จะทำการโจมตีช่องโหว่รหัส MS16-032 ซึ่งมีการแพตช์ไปแล้วเพื่อยกระดับสิทธิ์ด้วยสคริปต์ PowerShell หลังจากนั้นจึงทำการเริ่มการทำงานของส่วนหลักของมัลแวร์ที่จะเริ่มการทำงานโดยอัตโนมัติเมื่อระบบของเอทีเอ็มถูกเปิด และคอยรอรับคำสั่งที่เป็นชุดของการกดแป้นพิมพ์ต่อ

สำหรับประกาศจากทาง NCR นั้น ได้มีการแจ้งเตือนความถีที่เพิ่มขึ้นของรูปแบบการโจมตีที่มีชื่อเรียกว่า Transaction Reversal Fraud (TRF) ซึ่งเป็นการโจมตีเพื่อขโมยเงินจากเอทีเอ็มออกโดยอาศัยการทำให้เกิด "ข้อผิดพลาด" ในกระบวนการถอนเงินที่เกือบสำเร็จ ซึ่งส่งผลให้บริเวณของส่วนจ่ายเงินยังเปิดอยู่และชิงเอาเงินออกมาก่อนที่เงินจะถูกส่งคืนกลับเซฟได้

กระบวนการป้องกันการโจมตีและภัยคุกคามทั้งหมดสามารถตรวจสอบเพิ่มเติมได้จากลิงค์แหล่งที่มาส่วนท้ายบทความ

ที่มา : response

PHP ประกาศแพตช์ช่องโหว่ด้านความปลอดภัย 7 รายการในรุ่น 7.1.19 และ 7.2.7 วันนี้โดยช่องโหว่ที่ร้ายแรงสูงสุดใน 7 รายการนั้นสามารถทำให้ผู้โจมตีรันโค้ดที่เป็นอันตรายเพื่อโจมตีระบบที่มีช่องโหว่ได้จากระยะไกล ยังไม่พบการใช้ช่องโหว่ดังกล่าวในการโจมตีจริงในตอนนี้
ผู้ใช้งานสามารถทำการอัปเดต PHP เพื่อรับแพตช์ช่องโหว่ด้านความปลอดภัยดังกล่าวได้โดยสำหรับรุ่น 7.2 นั้นให้ผู้ใช้งานอัปเดตไปยังรุ่น 7.2.7 ส่วนในรุ่น 7.1 นั้นให้ผู้ใช้งานอัปเดตไปยังรุ่น 7.1.19 PHP รุ่น 7.2 ก่อนหน้ารุ่น 7.2.7 และ PHP รุ่น 7.1. ก่อนหน้ารุ่น 7.1.19

ที่มา : Center for Internet Security

ทีมนักวิจัยนานาชาติได้เปิดเผยว่าอุปกรณ์ Android ที่เปิดตัวตั้งแต่ปี 2012 เกือบทุกเครื่อง เสี่ยงต่อช่องโหว่ในหน่วยความจำตัวใหม่ชื่อว่า "RAMpage"

ย้อนกลับไปก่อนหน้านี้ได้มีการค้นพบช่องโหว่ CVE-2018-9442 เป็นรูปแบบของการโจมตีที่เรียกว่า "Rowhammer" ซึ่งเป็นช่องโหว่ของฮาร์ดแวร์ในการ์ดหน่วยความจำรุ่นใหม่ เมื่อมีคนส่งคำสั่ง write/read เข้าไปยัง memory cell เดียวกันซ้ำๆ จะทำให้เกิดสนามไฟฟ้าที่จะสามารถเปลี่ยนแปลงข้อมูลที่เก็บอยู่ในหน่วยความจำใกล้เคียง และพบว่าสามารถโจมตีโดยใช้ Rowhammer ผ่านทาง JavaScript, GPU card และ network packet ได้

RAMpage เป็นช่องโหว่จำพวกเดียวกับ Rowhammer โดยช่องโหว่นี้สามารถทำลายขอบเขตการป้องกันความปลอดภัยระหว่างแอพพลิเคชั่น และระบบปฏิบัติการที่ได้ออกแบบมาบนอุปกรณ์มือถือ ซึ่งช่วยป้องกันไม่ให้แอพพลิเคชั่นใดๆที่ลงบนอุปกรณ์สามารถอ่านข้อมูลจากแอพพลิเคชั่นอื่นๆที่ลงบนเครื่องได้ แต่แอพพลิเคชั่นที่ถูกดัดแปลงให้ใช้ช่องโหว่นี้ จะสามารถโจมตีเพื่อเพิ่มสิทธิ์ตนเองให้สามารถควบคุมเครื่อง และทำการอ่านข้อมูลสำคัญๆที่ถูกเก็บอยู่บนเครื่องได้ เช่น พาสเวิร์ดที่อยู่ใน password manager หรือบน browser, รูปถ่าย, email, chat และเอกสารสำคัญทางธุรกิจต่างๆที่อยู่บนเครื่อง

โดยความแตกต่างระหว่างช่องโหว่ก่อนหน้านี้(Drammer Rowhammer) และ RAMpage Rowhammer เวอร์ชันใหม่คือ RAMpage มุ่งเป้าหมายไปที่ระบบหน่วยความจำ Android ที่เรียกว่า ION ซึ่งเป็นส่วนหนึ่งของระบบ Android ที่ใช้จัดการหน่วยความจำระหว่างแอพพลิเคชั่นและระบบปฏิบัติการ ทั้งนี้ Google ได้มีการเปิดตัว ION ใน Android 4.0 (Ice Cream Sandwich) ตั้งแต่วันที่ 18 ตุลาคม 2554

ที่มา : BLEEPINGCOMPUTER

กลุ่มแฮกเกอร์ที่เรียกตัวเองว่า "Tick" ได้มุ่งเป้าหมายไปที่การโจมตีผ่าน USB drive เพื่อเข้าสู่ระบบที่มีมาตรการรักษาความปลอดภัยเครือข่ายคอมพิวเตอร์ที่แยกตัวจากเครือข่ายที่มีความเสี่ยง หรือที่เรียกว่า Air-Gapped system และสามารถทำงานบนระบบปฏิบัติการ Microsoft Windows XP หรือ Windows Server 2003 ได้

นักวิจัยจาก Palo Alto Networks ค้นพบว่า Malware ที่ถูกใช้ในการโจมตีครั้งนี้ไม่ต้องใช้การเชื่อมต่อเพื่อเข้าถึง Command-and-Control Server ของแฮกเกอร์เพื่อรับคำสั่งเหมือนอย่าง Malware ทั่วๆไปที่เคยถูกใช้โดยแฮกเกอร์กลุ่มนี้มาก่อน แต่กลับใช้วิธีการรันตัวเองจาก USB drive ที่เสียบบนเครื่อง ซึ่งเป็นเทคนิคที่ไม่ค่อยได้พบเห็นบ่อยนัก อย่างไรก็ตามนักวิจัยเองก็ไม่สามารถวิเคราะห์ข้อมูลใดๆเพิ่มเติมมากกว่านี้ได้ หากไม่ได้ทำการวิเคราะห์ USB drive ที่ถูกใช้ และ ไฟล์ต้องสงสัยที่ถูกวางบนเครื่องเหยื่อ

ที่มา : cyberscoop

กลุ่มแฮกเกอร์เกาหลีเหนือ Lazarus Group อาจเป็นผู้อยู่เบื้องหลังการโจมตีตลาดแลกเปลี่ยน Cryptocurrency สัญชาติเกาหลีใต้ "Bithumb"

บริษัทด้านความปลอดภัย AlienVault เปิดเผยรายงานการวิเคราะห์ไฟล์เอกสารซึ่งเชื่อกันว่าเป็นไฟล์เอกสารที่ถูกใช้ในการโจมตีเว็บไซต์ตลาดแลกเปลี่ยน Cryptocurrency สัญชาติเกาหลีใต้ "Bithumb" ส่งผลให้มีเงินสูญหายกว่า 30 ล้านดอลลาร์สหรัฐฯ

ไฟล์เอกสารนี้เป็นไฟล์เอกสารที่ถูกจัดทำโดยโปรแกรม Hangul Word Processor ซึ่งเป็นโปรแกรมแก้ไขเอกสารจากเกาหลีใต้ ไฟล์เอกสารถูกระบุชื่อแตกต่างกันออกไป อาทิ "국제금융체제 실무그룹 회의결과.hwp หรือ Results of the international financial system working group meeting, "금융안정 컨퍼런스 개최결과.hwp หรือ 금융안정 컨퍼런스 개최결과.hwp" เมื่อไฟล์เอกสารถูกเปิดออก มัลแวร์ Manuscrypt จะถูกดาวโหลดมาติดตั้งในระบบ

อ้างอิงจากรายงานข่าวของสำนักข่าว KBS ซึ่งรายงานรายละเอียดตรงกันว่าการโจมตี Bithumb นั้นมีจุดเริ่มต้นในลักษณะที่คล้ายกันคือการได้รับไฟล์เอกสาร HWP ก่อนที่การโจมตีจะเกิดขึ้นและพบตัวอย่างมัลแวร์ที่ลักษณะคล้ายคลึงกันอีกด้วย

ที่มา: darkreading

ทีม Cisco Talos ได้มีการประกาศถึงโปรเจคล่าสุดวันนี้โดยโปรเจคดังกล่าวนั้นเป็นโปรแกรมสำหรับถอดรหัสไฟล์ที่ถูกเข้ารหัสโดยมัลแวร์เรียกค่าไถ่ Thanatos ซึ่งเคยแพร่กระจายอยู่ในช่วงเดือนกุมภาพันธ์ที่ผ่านมา หลังจากที่มีการค้นพบว่ามัลแวร์เรียกค่าไถ่ Thanatos มีบั๊กในโปรแกรมทำให้ไม่สามารถถอดรหัสไฟล์ได้แม้จะถูกถอดรหัสไฟล์โดยผู้พัฒนามัลแวร์เอง

เมื่อเข้ารหัสไฟล์ มัลแวร์เรียกค่าไถ่ Thanatos จะทำการแก้ไขนามสกุลโดยต่อท้ายคำว่า ".THANATOS" ไปด้วย เป้าหมายของมัลแวร์เรียกค่าไถ่ Thanatos นั้นได้แก่ไฟล์หลายประเภททั้งไฟล์เอกสารทั่วไปไปจนถึงไฟล์ .VMDK หรือไฟล์ .LNK

ผู้ใช้งานที่ได้รับผลกระทบจากมัลแวร์เรียกค่าไถ่ Thanatos สามารถดาวโหลดโปรแกรมถอดรหัสได้ที่ลิงค์ด้านล่าง โดยจะต้องติดตั้ง Microsoft Visual C++ Redistributable for Visual Studio 2017 ก่อนจึงจะสามารถรันในเครื่องที่ถูกเข้ารหัสเพื่อถอดรหัสไฟล์ได้

Thanatos Decryptor: https://github.

แบงค์ชาติอินเดียประกาศ ทุกธนาคารต้องเลิกใช้ Windows XP ภายในเดือนมิถุนายน 2019

หน่วยงานกับการดูแลธนาคารของอินเดีย Reserve Bank of India (RBI) ออกประกาศเมื่อสัปดาห์ที่ผ่านมาให้ธนาคารภายในประเทศทุกธนาคารนั้นทำการอัปเกรดระบบ ATM ที่ยังมีการใช้งาน Windows XP ไปยังระบบรุ่นใหม่กว่าภายในเดือนมิถุนายน 2019 มิฉะนั้นอาจมีบทลงโทษแก่ผู้ฝ่าฝืน

นอกเหนือจากประเด็นในเรื่องของการอัปเดตระบบปฏิบัติการแล้ว RBI ยังประกาศให้ทุกธนาคารภายในประเทศเริ่มทำการตั้งค่าระบบ ATM เกี่ยวกับความปลอดภัยภายในเดือนสิงหาคมนี้ โดยการตั้งค่าดังกล่าวนั้นรวมไปถึงการตั้งรหัสผ่านให้กับ BIOS, ปิดการใช้งานพอร์ต USB และฟีเจอร์ autorun รวมไปถึงการอัปเดตแพตช์ด้านความปลอดภัยด้วย

ธนาคารในอินเดียเคยตกเป็นเหยื่อในการแฮกข้อมูลบัตรเดบิตครั้งใหญ่ครั้งหนึ่งซึ่งเกิดจากการโจมตีแพลต์ฟอร์ม Hitachi Payment Services ทำให้ผู้โจมตีได้ข้อมูลของบัตรเดบิตไปกว่า 3.2 ล้านรายการ

ที่มา: bleepingcomputer