Imperva ค้นพบการโจมตีเซิร์ฟเวอร์ PostgreSQL เพื่อติดตั้งมัลแวร์การทำเหมืองข้อมูล cryptocurrency ซึ่งมัลแวร์นี้ถูกซ่อนไว้ในภาพดารา Hollywood ชื่อดังอย่าง Scarlett Johansson

ผู้บุกรุกทำการโจมตี PostgreSQL ผ่านการใช้ module ที่ได้รับการดัดแปลงสำหรับหลีกเลี่ยงการตรวจจับใน Metasploit เมื่อได้ shell ของเครื่องแล้ว สิ่งแรกที่ทำคือการตรวจสอบข้อมูลของ CPU และ GPU ว่าเหมาะสมต่อการทำ cryptocurrency mining ขนาดไหน จากนั้นจะทำการดาวน์โหลดภาพของ Scarlett Johansson จากเว็บไฟล์โฮสติ้ง เมื่อทำการตรวจสอบภาพดังกล่าวพบว่ามีข้อมูลไบนารีที่ผิดปกติซ่อนไว้

จากการตรวจสอบ wallet address ของแฮ็กเกอร์พบว่ามี coin มูลค่าประมาณ 90,000 เหรียญ ซึ่งหมายความว่าผู้โจมตีน่าจะมีการฝังโปรแกรมขุดไว้บนเซิร์ฟเวอร์หลายเครื่องแล้ว

แต่ทำไมผู้โจมตีใช้รูปภาพของคนดังเพื่อฝังมัลแวร์? นักวิจัยเชื่อว่าการทำเช่นนี้เป็นการหลอกลวงโปรแกรมรักษาความปลอดภัยเนื่องจากเทคนิคการผนวกรหัสไบนารีกับไฟล์รูปภาพหรือเอกสารที่แท้จริงทำให้ไฟล์ดูถูกต้องปลอดภัยและสามารถผ่านซอฟต์แวร์ป้องกันไวรัสส่วนใหญ่ได้

ที่มา : hackread

นักวิจัยจาก Kroll Cyber Security ค้นพบมัลแวร์ขนาดเล็กซึ่งมีขนาดประมาณ 6k โดยจัดอยู่ในกลุ่มของ Point-of-sale malware ถูกเรียกว่า "PinkKite" ด้วยขนาดที่เล็กทำให้มัลแวร์หลีกเลี่ยงการตรวจจับได้ง่าย

มัลแวร์ยังมีการใช้ obfuscation โดยใช้การเข้ารหัสด้วย double-XOR ซึ่งเข้ารหัสตัวเลข 16 หลักของหมายเลขบัตรเครดิตด้วยคีย์ที่กำหนดไว้ล่วงหน้าเพื่อให้การตรวจจับทำได้ยาก นอกจากนี้ยังมีการใช้ memory-scraping เพื่อดึงข้อมูลสำคัญจาก Memory ของเครื่อง

ผู้โจมตีได้ใช้สำนักหักบัญชีทั้งหมดสามแห่งในเกาหลีใต้ แคนาดาและเนเธอร์แลนด์เพื่อรับข้อมูลที่ถูกขโมย แทนที่จะส่งไปยัง C&C โดยตรง โดยข้อมูลบัตรเครดิตจะถูกเก็บไว้ในไฟล์บีบอัดที่มีชื่อเช่น. f64, .n9 หรือ. sha64 แต่ละแฟ้มข้อมูลสามารถมีได้สูงสุด 7,000 หมายเลขบัตรเครดิต และทำการจัดส่งผ่านเซอร์วิส Remote Desktop ไปยังหนึ่งในสามสำนักหักบัญชี

Kroll คาดว่าผู้โจมตีทำการโจมตีที่ระบบหลักจากนั้นใช้ PsExec เพื่อโจมตีระบบอื่นๆภายในเครือข่าย และทำการวาง malware ใน POS นอกจากนี้ผู้โจมตียังมีการใช้เครื่องมือที่ได้รับความนิยมอย่าง Mimikatz เพื่อดึงข้อมูล credentials จาก Local Security Authority Subsystem Service (LSASS) ทำให้สามารถเข้าถึงจากระยะไกลผ่านเซอร์วิส Remote Desktop (RDP) เพื่อลบข้อมูลบัตรเครดิตภายหลังได้

ที่มา : threatpost

พบการระบาดของมัลแวร์ กระทบผู้ใช้ส่วนใหญ่ในรัสเซียและตุรกีกว่า 400,000 คน ภายในช่วงระยะเวลา 12 ชั่วโมง จากการใช้ backdoor บน BitTorrent สัญชาติรัสเซีย ที่ชื่อว่า "MediaGet"

ไมโครซอฟท์เปิดเผยรายงานเชิงลึกเกี่ยวกับการทำงานของโทรจันตัวนี้ ที่มีชื่อว่า Dofoil หรือ Smoke Loader โดยจะถูกติดตั้งลงบนคอมพิวเตอร์ของผู้ใช้ผ่านทางไฟล์ชื่อ my.

SAP ได้ประกาศแพตช์รักษาความปลอดภัยของเดือนมีนาคม 2018 แล้วพร้อมทั้งแก้ไขช่องโหว่ที่มีความสำคัญระดับสูงและระดับปานกลางหลายรายการ รายละเอียดดังนี้

ช่องโหว่ที่มีความสำคัญระดับสูง
- CVE-2004-1308 (CVSS Base Score: 8.8 memory corruption)
- CVE-2005-2974 (denial of service)
- CVE-2005-3350 (remote code execution)

โดยช่องโหว่เหล่านี้เกิดขึ้นมานานมากพอสมควร จะมีผลกระทบกับ libtiff, giflib และ libpng ที่เป็น third-party open source libraries เกี่ยวกับการจัดการพวกไฟล์รูป TIFF, GIF และ PNG เป็นต้น
แนะนำให้ตรวจสอบและทำการอัปเดตแพตช์โดยด่วน

Ref : SECURITYWEEK

Adobe ประกาศแพตช์ด้านความปลอดภัยประจำเดือนมีนาคม 2018 โดยในแพตช์รอบนี้นั้นประกอบไปด้วยแพตช์ช่องโหว่ที่ทำให้ผู้โจมตีสามารถรันโค้ดอันตรายจากระยะไกลได้เพียงแค่ผู้ใช้งานมีการเปิดไฟล์ที่แฮกเกอร์สร้างขึ้นผ่านทางโปรแกรมที่มีช่องโหว่

ช่องโหว่ในรอบนี้นั้นส่งผลกระทบกับผลิตภัณฑ์ในระบบต่างๆ ต่อไปนี้
- Adobe Flash Player Desktop Runtime (28.0.0.161) และก่อนหน้าบน Windows, Macintosh และ Linux
- Adobe Flash Player for Google Chrome (28.0.0.161) และก่อนหน้าบน Windows, Macintosh, Linux และ Chrome OS
- Adobe Flash Player for Microsoft Edge and Internet Explorer 11 (28.0.0.161) และก่อนหน้าบน Windows 10 and Windows 8.1

ผู้ใช้งานควรทำการอัปเดตโปรแกรมที่ระบุไว้ในข้างต้นให้เป็นเวอร์ชันล่าสุดที่มีการแพตช์ช่องโหว่แล้วคือเวอร์ชัน 29.0.0.113 โดยด่วน

Ref : JPCERT

โครงการซอฟต์แวร์ชื่อดังอย่าง Samba ได้ทำการปล่อยแพตช์ด้านความปลอดภัยเวอร์ชันใหม่เพื่ออุดช่องโหว่สำคัญสองตัวด้วยกัน โดยช่องโหว่ทั้งสองช่องโหว่จะทำให้ผู้โจมตีทำการโจมตีแบบ DoS รวมไปถึงทำการเปลี่ยนรหัสผ่านของผู้ใช้รายอื่นๆ รวมถึงของตัวผู้ดูแลระบบ ได้

ช่องโหว่ตัวแรก (CVE-2018-1050) มีผลกระทบกับ Samba ตั้งแต่เวอร์ชัน 4.0.0 เป็นต้นไป โดยเป็นผลลัพธ์ที่เกิดจากการไม่ตรวจสอบค่านำเข้าผ่านทาง RPC call ที่เหมาะสม ผู้โจมตีสามารถส่งคำสั่งมาทางช่องทางดังกล่าวเพื่อทำให้ระบบไม่สามารถใช้งานได้ได้ ในส่วนของช่องโหว่ตัวที่สอง (CVE-2018-1057) นั้น เป็นช่องโหว่ที่ทำให้ผู้ใช้งานที่ไม่ได้มีสิทธิ์ของผู้ดูแลระบบหรือสิทธิ์ที่สูงมากพอสามารถเปลี่ยนรหัสผ่านของผู้ใช้งานอื่นๆ ได้ผ่านทาง LDAP โดยจะกระทบเฉพาะ Samba ที่มีการอิมพลีเมนต์ Active Directory เท่านั้น
Recommendation แพตช์ของทั้งสองช่องโหว่ของ Samba มาพร้อมกับเวอร์ชันใหม่ 4.7.6, 4.6.14, 4.5.16 แนะนำผู้ดูแลระบบให้ทำการอัปเดทเซิร์ฟเวอร์ที่มีความเสี่ยงในทันที

Ref : The Hacker News

สัปดาห์ที่ผ่านมา มีการแจ้งเตือนว่า Windows Server, Redis และ Apache Solr กำลังตกเป็นเป้าหมายในการโจมตีและติดตั้งมัลแวร์ coinminer เป็นจำนวน การโจมตีดังกล่าวนั้นสามารถแยกออกได้เป็น 2 รูปแบบ

** รูปแบบการโจมตีที่พุ่งเป้า Redis และ Windows Server **

จากรายงาน Imperva ได้ตั้งชื่อสำหรับแคมเปญนี้ว่า RedisWannaMine โดยแฮกเกอร์จะอาศัยช่องโหว่ของ Redis ที่เป็นเวอร์ชั่นเก่าๆ ที่ได้รับหมายเลขช่องโหว่ CVE-2017-9805 เพื่อโจมตีเซิร์ฟเวอร์ผ่านทางอินเตอร์เน็ต เมื่อเข้าถึงเครื่องเหยื่อสำเร็จแล้ว แฮกเกอร์จะทำการติดตั้งมัลแวร์ ReddisWannaMine หลังจากนั้นก็จะทำการรัน coinminer นอกจากนี้ ReddisWannaMine ยังสามารถแพร่กระจายตัวเองด้วยการสแกนหาเครื่องเหยื่อที่มีการใช้งาน SMB เพื่อโจมตีผ่านช่องโหว่อีกด้วย

** รูปแบบการโจมตีที่พุ่งเป้า Apache Solr **

ทีม ISC SANS กล่าวว่ายังมี Apache Solr ที่ตกเป็นเป้าหมายในการโจมตีครั้งนี้อีกด้วย โดยโจมตีผ่านทางช่องโหว่ Apache Solr ที่ไม่ได้ทำการอัพเดทแพทช์หมายเลข CVE-2017-12629 แต่การทำงานก็ไม่ได้ต่างจาก ReddisWannaMine มากนัก โดยจะเน้นไปที่ใช้เครื่องเหยื่อที่ติดไวรัสเพื่อขุดเหมือง ทาง ISC SANS ได้ระบุถึงเครื่อง เซิร์ฟเวอร์ ที่ได้รับผลกระทบโดยประมาณ 1,777 ราย เกิดขึ้นในช่วง วันที่ 28 กุมภาพันธ์ และวันที่ 8 มีนาคม ที่ผ่านมา

ที่มา : bleepingcomputer

Kaspersky เปิดเผยการโจมตีในรูปแบบ APT ของมัลแวร์ Slingshot โดยใช้ช่องโหว่บนเราเตอร์ของ Mikrotik ในการโจมตี ซึ่งคาดว่าเริ่มมีการแพร่กระจายตั้งแต่ช่วงปี 2012 แต่ไม่มีใครสามารถตรวจจับได้ โดยมีผู้ได้รับผลกระทบกว่าหลายแสนรายในตะวันออกกลางและแอฟริกา

กลุ่มแฮกเกอร์ใช้ส่วนหนึ่งของมัลแวร์ที่เรียกว่า Slingshot เพื่อฝังเข้าไปยังเครื่องของเหยื่อ โดยทาง Kaspersky ค้นพบว่าผู้โจมตีพยายามใช้ประโยชน์จากช่องโหว่บนเราเตอร์ของ Mikrotik ในการแพร่กระจายสปายแวร์ไปยังเครื่องเป้าหมาย โดยทาง Kaspersky ได้พุ่งเป้าไปที่ WikiLeaks Vault 7 CIA Leaks ซึ่งเผยให้เห็นถึงการใช้ ChimayRed ที่มีอยู่ใน GitHub เพื่อเจาะเข้าสู่อุปกรณ์ Mikrotik

เมื่อสามารถเจาะเราเตอร์สำเร็จแฮกเกอร์จะวางไฟล์อันตรายแทนที่ไฟล์ DLL (dynamic link libraries) บนเครื่องของเหยื่อ เมื่อผู้ใช้เรียกใช้งานซอฟต์แวร์ WinBox Loader จะมีการโหลดไฟล์ดังกล่าวลงในหน่วยความจำหลักของเครื่องเป้าหมาย และเชื่อมต่อไปยังเซิร์ฟเวอร์ของแฮกเกอร์จากระยะไกลเพื่อดาวน์โหลดมัลแวร์ที่เป็นอันตราย

Slingshot มัลแวร์จะทำงานโดยอาศัย 2 โมดูลหลักๆ ได้แก่ Cahnadr และ GollumApp

Cahnadr หรือสามารถเรียกอีกชื่อหนึ่งว่า NDriver จะทำหน้าที่ในการหลบเลี่ยงการถูกตรวจจับ, การทำ Rootkit และการดักฟังข้อมูลต่างๆ รวมถึงยังทำการติดตั้งโมดูลอื่นๆ เพิ่มเติมและทำการเชื่อมต่อระบบเครือข่ายได้อีกด้วย

GollumApp จะทำการสอดส่องพฤติกรรมของผู้ใช้งาน, ทำการ Capture หน้าจอ, รวบรวมข้อมูลที่เกี่ยวข้องกับระบบเครือข่าย, รวบรวมรหัสผ่านที่บันทึกเอาไว้ใน Web Browser, บันทึกการพิมพ์ข้อมูลต่างๆ และเชื่อมต่อกับ Command & Control (C&C) Server เพื่อรับคำสั่งใหม่ๆ ในภายหลัง โดย GollumApp นี้ทำงานในระดับ Kernel ทำให้สามารถสร้าง Process ใหม่ๆ ภายใต้สิทธิ์ระดับ SYSTEM ได้ ทำให้ผู้โจมตีเข้ายึดครองเครื่องของเหยื่อได้โดยสมบูรณ์

ที่มา : thehackernews

เมื่อสองวันที่ผ่านมา Microsoft ตรวจพบการแพร่กระจายตัวที่รวดเร็วของ Cryptocurrency-Mining Malware ซึ่งมีเครื่องที่ตกเป็นเหยื่อเกือบ 500,000 เครื่องในช่วงเวลา 12 ชั่วโมง แต่ทาง Microsoft ก็ได้ทำการหยุดการแพร่ได้สำเร็จก่อนที่จะกระจายตัวไปมากกว่านี้ Malware ดังกล่าวชื่อว่า Dofoil หรือที่รู้จักกันในชื่อ Smoke Loader ทำการติดตั้งตัวโปรแกรมที่ใช้ขุดเหรียญดิจิตอล (Cryptocurrency Miner Program) ลงบนเครื่องของเหยื่อเพื่อขุดเหรียญ Electroneum เมื่อวันที่ 6 มีนาคม 2018 ที่ผ่านมา โปรแกรม Window Defender ของ Microsoft ตรวจพบเหตุการณ์พฤติกรรมของ Dofoil มากกว่า 80,000 ครั้ง ซึ่งเป็นเหตุการณ์สำคัญสำหรับแผนกวิจัยที่ "Microsoft Windows Defender Research Department" และในอีก 12 ชั่วโมงต่อมาก็พบอีกกว่า 400,000 เหตุการณ์ที่บันทึกได้

ทีมนักวิจัยพบว่าเหตการณ์เหล่านี้ที่แพร่กระจายอย่างรวดเร็ว ผ่านประเทศรัสเซีย ตุรกี และยูเครน กำลังขนตัวติดตั้งโปรแกรมขุดเหรียญไปด้วย ซึ่งจะหลอกตัวโปรแกรมตรวจจับว่าเป็นไฟล์ไบนารีของ Windows อย่างไรก็ตามทาง Microsoft ไม่ได้ออกมาชี้แจงถึงสาเหตุว่าทำไมถึงมีการกระจายตัวไปมากขนาดนี้ Dofoil จะใช้แอพพลิเคชันที่ปรับแต่งขึ้นมาเพื่อให้สามารถขุดเหรียญได้หลายชนิด แต่ในครั้งนี้ถูกโปรแกรมมาเพื่อขุดเหรียญ Electroneum เท่านั้น สืบเนื่องจากข้อมูลของนักวิจัย Dofoil จะใช้เทคนิค code injection เก่าเรียกว่า "Process Hollowing" เป็นการสร้างกระบวนการทำงานปลอมขึ้นมาเพื่อหลอกเครื่องมือตรวจจับว่าเครื่องยังทำงานปกติอยู่ ต่อมาไฟล์ explorer.

นักวิจัยด้านความปลอดภัยพบ Malware ตัวใหม่ชื่อว่า ComboJack ซึ่งมีความสามารถในการตรวจจับหากว่าผู้ใช้งานมีการก็อป cryptocurrency address เอาไว้ใน clipboard โดยจะนำ Address ที่ตัวเองสร้างขึ้นมาไปแทนที่

Malware ตัวนี้มีความคล้ายคลึงกับ Evrial และ CryptoShuffler แต่แตกต่างตรงที่สามารถรองรับ Cryptocurrencies ได้หลายตัวไม่ใช่แค่เพียง Bitcoin สืบเนื่องจากข้อมูลของ Palo Alto Network ตัว ComboJack สามารถตรวจจับได้ว่าเมื่อใดก็ตามที่มีการก็อป Address ของ Bitcoin, Litecoin, Ethereum, และ Monero รวมไปถึงระบบจ่ายเงินดิจิตอลตัวอื่นๆ ด้วย เช่น Qiwi, Yandex

ขั้นตอนการแพร่กระจายตัวของ ComboJack มีความซับซ้อน เริ่มจากการที่ Hacker ส่งอีเมลซึ่งอ้างว่ามีการสแกนข้อมูลพาสพอร์ทที่หายไปเอาไว้ ไฟล์แนบมาจะอยู่ในรูปแบบของไฟล์ PDF เมื่อผู้ใช้ทำการโหลดและเปิดไฟล์ PDF ตัวไฟล์จะทำการเปิด RTF file ซึ่งภายในมี Embedded HTA Object ที่จะพยายามเจาะช่องโหว่ของ DirectX (CVE-2017-8579) เมื่อทำการเจาะสำเร็จ HTA File ซึ่งอยู่ภายใน RTF File ซึ่งอยู่ภายในไฟล์ PDF อีกชั้นหนึ่ง จะสั่งรันคำสั่ง PowerShell Commands ที่จะโหลดไฟล์มาและสั่งรันตัวเอง เป็นไฟล์ประเภท Self-Extracting Executable (SFX) หลังจากนั้นตัว SFX จะโหลดและสั่งรัน "password-protected SFX" ที่จะทำการติดตั้งตัว ComboJack
ComboJack จะได้สิทธิ์ในการบูทเครื่อง และจะเริ่มทำการวสแกนข้อมูลที่มีการก็อปไว้ใน Windows Clipboard ทุกๆ ครึ่งวินาทีเผื่อว่ามีการก็อปข้อมูลใหม่ เมื่อไรก็ตามที่ผูใช้งานมีการก็อปข้อมูล(ในที่นี้หมายถึง Address ของ Cryptocurrency) ซึ่งตรงกับฐานข้อมูลของ ComboJack ตัว ComboJack จะแทนที่ Address เก่าที่ผู้ใช้ก็อปไว้ด้วย Address ใหม่ที่สร้างขึ้นเองจากฐานข้อมูล

ที่มา : bleepingcomputer