Trend Micro ได้ออกมาประกาศการค้นพบมัลแวร์บนแอนดรอยด์ตัวใหม่ "HiddenMiner" ซึ่งถูกติดตั้งบนเครื่องของเหยื่อเพื่อขุดสกุลเงินดิจิตอล Monero โดยที่มาของชื่อของมัลแวร์นั้นมีที่มาจากความยากในการค้นหาและระบุตัวรวมไปถึงการเอาออกจากอุปกรณ์

Trend Micro เปิดเผยการวิเคราะห์ HiddenMiner ในเบื้องต้นว่า HiddenMiner มีความแตกต่างจากมัลแวร์ตัวอื่นตรงที่มันถูกพัฒนาให้ทำงานไปเรื่อยๆ ไม่มีเงื่อนไขใดๆ ที่จะหยุดการทำงานของมัลแวร์ได้ ซึ่งอาจทำให้อุปกรณ์ที่ถูกแพร่กระจายนั้นเป็นพาหะขุดสกุลเงินดิจิตอลไปเรื่อยๆ จนกว่าแบตจะหมด หรือเครื่องร้อนจนพังและดับไป

HiddenMiner แพร่กระจายผ่านทางแอปพลิเคชันปลอมบน Google Play สามารถสังเกตได้จากสิทธิ์ของแอปที่จะขอสิทธิ์ของผู้ดูแลระบบเมื่อติดตั้ง ซึ่งเป็นสิทธิ์จำเป็นเพื่อให้มัลแวร์สามารถทำงานอยู่เบื้องหลังได้ นอกเหนือจากนั้นมัลแวร์ยังมีรูปแอปเป็นรูปสีใสทำให้ค้นหาได้ยาก ไม่สามารถค้นหาได้จากหน้าต่างเมนูและไม่สามารถเอาออกได้จนกว่าจะถูกดำเนินการโดยใช้สิทธิ์ของผู้ดูแลระบบที่เท่ากัน

ที่มา : techrepublic

โรงงานผลิตชิ้นส่วนเครื่องบินโบอิ้ง 77 ในนอร์ทชาร์ลสตันของโบอิ้ง (Boeing) บริษัทผู้ผลิตเครื่องบินรายใหญ่ที่สุดของโลกติดมัลแวร์ถูกโจมตีด้วยมัลแวร์ WannaCry

จากการแถลงการณ์ล่าสุดของโบอิ้ง โบอิ้งกล่าวว่าระบบที่มีการแพร่กระจายของ WannaCry เป็นระบบที่ไม่ได้รับการแพตช์ยังสมบูรณ์ทำให้ยังคงมีช่องโหว่ที่สามารถใช้เพื่อแพร่กระจายได้อยู่ อย่างไรก็ตามระบบที่ได้รับผลกระทบนั้นต่างเป็นระบบส่วนที่ไม่ได้กระทบกับกระบวนการผลิตของบริษัท

อย่างที่ทราบกันดีเมื่อวันที่ 12 พฤษภาคม 2560 WannaCry ransomware ถือเป็นการโจมตีที่รุนแรงที่สุด ซึ่งเริ่มต้นโจมตีจากระบบเครือข่ายของ National Health Service (NHS) ในสหราชอาณาจักร การโจมตีดังกล่าวใช้เครื่องมือที่รั่วไหลจาก NSA อย่าง EternalBlue และ DoublePulsar และใช้ประโยชน์จากช่องโหว่ SMB ที่ติดตั้งอยู่ในเครื่อง Windows รุ่นเก่า (MS17-010) ทำให้การโจมตีจาก WannaCry ransomware แพร่กระจายไปยัง 150 ประเทศและกำหนดเป้าหมายไปยังคอมพิวเตอร์มากกว่า 200,000 เครื่อง

การกลับมาของ WannaCry ไม่น่าแปลกใจมากนัก เนื่องจากปัจจุบันพบการโจมตีของมัลแวร์เพิ่มขึ้นอย่างมากจนทำให้บริการต่างๆขัดข้องและผู้ใช้ไม่สามารถเข้าถึงคอมพิวเตอร์ได้ ซึ่งเมื่อเดือนที่แล้วบริษัท Colorado DOT ถูกโจมตีจาก SamSam ransomware ทำให้เครื่องคอมพิวเตอร์กว่า 2,000 เครื่องติด Ransomware ในขณะที่บริษัทด้านความปลอดภัยเทคโนโลยีสารสนเทศยักษ์ใหญ่อย่าง Avast ได้ทำการบล็อคการโจมตี WannaCry จำนวน 1.7 ล้านรายในอินโดนีเซีย, 1.2 ล้านรายในอินเดียและ 1.1 ล้านรายในบราซิล

ที่มา : hackread

Bank Negara Malaysia ได้มีการเปิดเผยเมื่อช่วงสัปดาห์ที่ผ่านมาหลังจากมีการค้นพบและได้รับการแจ้งเตือนว่ามีการพยายามที่จะส่งคำสั่ง SWIFT เพื่อโอนเงินโดยที่ไม่ได้รับอนุญาต อย่างไรก็ตามอ้างอิงจากแถลงการณ์ล่าสุด Bank Negara Malaysia ระบุว่าไม่มีความเสียหายใดๆ ที่เกิดขึ่นจากการโจมตีทางไซเบอร์ในครั้งนี้ และยังระบุว่าในขณะนี้ทางธนาคารกำลังประสานงานกับผู้เชี่ยวชาญภายนอกเพื่อเข้าตรวจสอบและหาที่มาของการโจมตีในครั้งนี้ ในขณะเดียวกันทาง SWIFT ก็ยืนยันว่าระบบส่วนกลางของตนนั้นไม่ได้ถูกโจมตี

ในขณะนี้ยังไม่มีข้อมูลที่ชัดเจนว่าผู้โจมตีใช้ขั้นตอนใดในการโจมตีและสั่งการให้เกิด transaction ปลอมดังกล่าวขึ้นมาและอาจจะเป็นไปได้ด้วยว่า transaction ดังกล่าวอาจถูกดักจับและปลอมแปลงก่อนถูกส่งถึงปลายทาง

ที่มา: straitstimes

เมื่อช่วงปลายเดือนที่ผ่านมา Cisco ได้มีการประกาศแพตช์ด้านความปลอดภัยให้กับซอฟต์แวร์ในตระกูล IOS, IOS XE และ IOS XR กว่า 20 รายการซึ่งโดยส่วนมาเป็นช่องโหว่ที่มีความร้ายแรงในระดับสูงหรือระดับสูงสุด

หนึ่งในช่องโหว่ที่ร้ายแรงสูดสุดนั้นคือช่องโหว่รหัส cisco-sa-20180328-smi2 ซึ่งเป็นช่องโหว่ที่อยู่ใน Software Smart Install ของ IOS และ IOS XE ซึ่งส่งผลให้ผู้ใช้งานโจมตีช่องโหว่ buffer overflow เพื่อรันโค้ดที่เป็นอันตรายได้ Cisco ยังมีการแพตช์ช่องโหว่ cisco-sa-20180328-xesc ซึ่งเป็นปัญหาที่เกิดจากการค้นพบว่ามีการฝังข้อมูลสำหรับเข้าสู่ระบบไว้ในอุปกรณ์ซึ่งสามารถทำให้ผู้ไม่ประสงค์ร้ายสามารถใช้ข้อมูลดังกล่าวซึ่งเหมือนกันในเกือบทุกระบบเพื่อเข้าถึงอุปกรณ์ได้จากระยะไกลได้

Recommendation: แนะนำให้ทำการตรวจสอบกับอุปกรณ์และทำการแพตช์หากพบว่าได้รับผลกระทบจากช่องโหว่โดยด่วน

ที่มา: us-cert.

โครงการ Ruby ได้มีการประกาศรุ่นใหมสี่รุ่นซึ่งแต่ละรุ่นจะได้รับการแพตช์ช่องโหว่ด้านความปลอดภัยทั้งหมด 7 ช่องโหว่ด้านความปลอดภัยเหมือนกันเมื่อช่วงปลายเดือนที่ผ่านมา โดยช่องโหว่ด้านความปลอดภัยที่มีการแพตช์นั้นมีตามรายการดังต่อไปนี้

- CVE-2017-17742: ช่องโหว่ HTTP response splitting ใน WEBrick
- CVE-2018-8777: ช่องโหว่ DoS เมื่อส่งรีเควสต์ขนาดใหญ่ไปยัง WEBrick
- CVE-2018-6914: ช่องโหว่ Directory Traversal ซึ่งก่อนจากการสร้างไฟล์ใน tmpfile และ tmpdir
- CVE-2018-8778: ช่องโหว่ Buffer under-read ใน String#unpack
- CVE-2018-8779: ช่องโหว่สร้าง socket ในพาธที่อาจมีข้อมูลที่อ่อนไหวสูงโดยการส่งแพ็คเกตที่มี NUL byte ปิดท้ายให้กับ UNIXServer และ UNIXSocket
- CVE-2018-8780: ช่องโหว่ Directory Traversal จากการใช้งานเมธอดในคลาส Dir ร่วมกับ NUL byte
- ช่องโหว่อื่นๆ ใน RubyGems

Affected Platform Ruby ก่อนหน้าเวอร์ชัน 2.2.10, 2.3.7, 2.4.4 และ 2.5.1

ที่มา: https://www.

โครงการ Struts ได้มีการประกาศช่องโหว่ใหม่รหัส CVE-2018-1327 (S2-056) ซึ่งถูกค้นพบโดย Yevgeniy Grushka และ Alvaro Munoz จาก HPE โดยเป็นช่องโหว่ DoS ที่ความรุนแรงระดับกลาง อาจส่งผลให้เกิดการโจมตีเพื่อไม่ให้เซอร์วิสให้บริการได้

ช่องโหว่ดังกล่าวนั้นอยู่ในส่วนของ XStream handler ใน Struts REST plugin กระทบเวอร์ชันของ Struts ตั้งแต่ 2.1.1 ถึง 2.5.14.1 โดยแนะนำให้อัปเดตเป็น 2.5.16 เพื่อลดความเสี่ยงที่จะถูกโจมตีโดยช่องโหว่ดังกล่าวโดยด่วน

Recommendation แนะนำให้อัปเดตเป็น 2.5.16 เพื่อลดความเสี่ยงที่จะถูกโจมตีโดยช่องโหว่ดังกล่าวโดยด่วน
Affected Platform Struts ตั้งแต่ 2.1.1 ถึง 2.5.14.1

ที่มา: cwiki.

บริษัทด้านความปลอดภัย Netlab 360 ได้มีการเปิดเผยพฤติกรรมของบ็อตเน็ต Hajime ล่าสุดซึ่งเริ่มมีการสแกนหาพอร์ต 8291/TCP เพื่อระบุว่าอุปกรณ์เป้าหมายเป็นอุปกรณ MikroTik หรือไม่ และจะพยายามใช้ช่องโหว่ "Chimay Red" ในการพยายามโจมตีและเข้ายึดครองอุปกรณ์

สำหรับพฤติกรรมของ Hajime ในเวอร์ชันนี้นั้น มัลแวร์จะทำการสแกนพอร์ต 8291 รวมไปถึง 0,81,82,8080,8081,8082,8089,8181,8880 จากนั้นมัลแวร์จะพยายามระบุหาเวอร์ชันของอุปกรณ์ก่อนจะเริ่มโจมตีด้วยช่องโหว่ Chimay Red ผลลัพธ์จากการโจมตีทำให้ผู้โจมตีสามารถเข้าควบคุม สั่งการรวมไปถึงติดตั้งโปรแกรมที่เป็นอันตรายบนอุปกรณ์ดังกล่าวได้อย่างสมบูรณ์ แบบ ในขณะนี้นั้นประเทศที่มีสแกนพอร์ต 8192 ที่มากที่สุดนั้นมีที่มาจากบราซิล, อิหร่านและรัสเซีย

ช่องโหว่ Chimay Red เป็นหนึ่งในช่องโหว่ที่รั่วไหลมาจาก Vault 7 หรือโครงการพัฒนาศักยภาพความปลอดภัยทางด้านไซเบอร์ของ CIA และมีการนำรายละเอียดของช่องโหว่ที่รั่วไหลออกมานั้นมาพัฒนาโปรแกรมที่สามารถใช้งานได้จริงแล้ว

Recommendation: MikroTik แนะนำให้ผู้ใช้งานทำการอัปเดตเฟิร์มเวอร์ของอุปกรณ์เป็นรุ่นใหม่โดยด่วน รวมไปถึงทำการบล็อคพอร์ต 8192 ในกรณีที่ไม่จำเป็นต้องใช้งานด้วย

ที่มา: netlab

อ้างอิงจากการประกาศอย่างเป็นทางการ Europol ร่วมกับตำรวจแห่งชาติสเปนได้สนธิกำลังกันเข้าจับกุมหัวหน้ากลุ่มอาชญากรไซเบอร์ "Carbanak" สัญชาติรัสเซีย-ยูเครนในสเปนแล้ว หลังจากมีการตามล่ากันมาอย่างยาวนาน

กลุ่มแฮกเกอร์ Carbanak มีผลงานการขโมยเงินกว่า 1.2 พันล้านยูโรจากสถาบันการเงินในหลายประเทศ และยังเป็นผู้พัฒนาเฟรมเวิร์คของมัลแวร์ที่จะเข้าไปควบคุมการทำงานของเอทีเอ็มจากเน็ตเวิร์กภายในของธนาคารเพื่อสั่งให้ ATM ทำการถอนเงินมาได้อีกด้วย มัลแวร์ที่ถูกพัฒนาโดยกลุ่ม Carbanak นั้นรวมไปถึง Anunak, Carbanak และมัลแวร์อีกชนิดหนึ่งที่มีการใช้ Cobalt Strike ซึ่งเป็นเฟรมเวิร์คสำหรับทดสอบเจาะระบบมาใช้ในการช่วยแพร่กระจาย ซึ่งโดยส่วนมากกลายแพร่กระจายของมัลแวร์มักมีจุดเริ่มต้นมาจากการโจมตีแบบ spear phishing ไปยังพนักงานภายในก่อนที่จะเข้ายึดครองและควบคุม

ที่มา: cyberscoop

ระบบ Aadhaar หรือฐานข้อมูลประชากรอินเดียซึ่งมีการเก็บข้อมูลส่วนตัวที่ใช้ในการลงทะเบียนกับระบบต่างๆ ของราชการและยังมีการข้อมูลอย่างลายนิ้วมือและข้อมูลสำหรับตัวตนทางชีวภาพอื่นๆ ถูกระบุว่ามีปัญหาด้านความปลอดภัยวันนี้ ซึ่งอาจส่งผลให้ใครก็ตามสามารถเข้าถึงและนำข้อมูลดังกล่าวออกมาจากระบบได้

ปัญหาด้านความปลอดภัยดังกล่าวถูกค้นพบโดยนักวิจัยด้านความปลอดภัย Karan Saini และถูกพิสูจน์ให้เห็นแล้วว่าเป็นช่องโหว่ที่สามารถโจมตีเพื่อขโมยข้อมูลออกมาได้จริง อย่างไรก็ตามอ้างอิงจาก ZDNet แม้จะมีการพยายามติดต่อส่วนราชการหลายต่อครั้ง ช่องโหว่นี้ก็ยังคงถูกโจมตีได้และไม่มีการแพตช์ใดๆ

ปัญหาด้านความปลอดภัยดังกล่าวมีที่มาจาก API ของ endpoint ที่ใช้ในการเข้าถึงฐานข้อมูลที่ถูก hardcode เอาไว้และสามารถแกะออกมาใช้งานได้

ยังไม่มีการแก้ไขใดๆ ในขณะนี้แม้จะมีการแจ้งเตือนไปแล้วหลายต่อหลายครั้งก็ตาม

ที่มา: zdnet

OpenSSL ออกรุ่นย่อยให้กับเวอร์ชัน 1.1.0 และ 1.0.2 เพื่อแก้ช่องโหว่ด้านความปลอดภัย 3 รายการ โดยมี 2 ช่องโหว่ที่มีความเสี่ยงอยู่ในระดับกลางและอีก 1 ช่องโหว่อยู่ในระดับต่ำ

สำหรับช่องโหว่ระดับกลาง 2 ช่องโหว่นั้น ช่องโหว่หนึ่งส่งผลให้ผู้โจมตีสามารถทำ DoS โดยการสร้างใบรับรองในฟอร์แมต ASN.1 ในรูปแบบที่ผิดปกติได้ ส่วนอีกช่องโหว่หนึ่งเป็นช่องโหว่เฉพาะในซีพียู HP-UX PA-RISC ที่อาจทำให้เกิดการจำลองข้อมูลที่ผ่านการพิสูจน์ตัวตนซึ่งอาจกระทบต่อคุณสมบัติด้านปลอดภัยได้ ส่วนช่องโหว่ในระดับต่ำที่ถูกระบุว่ามีการแพตช์แล้วนั้นเป็นช่องโหว่ overflow ที่ความเสี่ยงและโอกาสเกิดขึ้นต่ำ

Recommendation OpenSSL ในเวอร์ชัน 1.1.0 ควรถูกอัปเกรดให้อยู่ในรุ่น 1.1.0h ส่วนในเวอร์ชัน 1.0.2 ควรอัปเกรดให้อยู่ในรุ่น 1.0.2o

ที่มา: us-cert