Comodo Threat Research Lab ออกประกาศแจ้งเตือนแคมเปญการโจมตีด้วยช่องทางอีเมลฟิชชิ่งใหม่เพื่อแพร่กระจายมัลแวร์ Adwind RAT โดยพุ่งเป้าไปยังกลุ่มผู้ใช้งานเซอร์วิส SWIFT Financial Messaging เป็นหลัก ซึ่งอาจส่งผลให้เกิดการโจมตีระบบอื่นๆ ที่เกี่ยวข้องเมื่อมีการแพร่กระจายของมัลแวร์ตัวนี้ในระบบได้
อีเมลฟิชชิ่งนี้นั้นถูกส่งมาในหัวข้อ "FW: Swift Messaj" โดยหลอกล่อให้ผู้รับอีเมลนั้นทำการเปิดไฟล์แนบที่มาพร้อมกับอีเมลเพื่อตรวจสอบข้อมูลและดำเนินการ ไฟล์แนบซึ่งมากับอีเมลนั้นถูกระบุนามสกุลเป็น "*.pdf.
ทีมนักวิจัยด้านความปลอดภัยจาก CheckPoint ได้ออกมาเปิดเผยถึงแคมเปญการโจมตีล่าสุดเพื่อแพร่กระจายมัลแวร์ Coinminer โดยมีเป้าหมายเป็นเซิร์ฟเวอร์ Jenkins ที่มีช่องโหว่ด้านความปลอดภัย จากการประเมินเบื้องต้น ผู้ประสงค์สามารถสร้างรายได้กว่า 3 ล้านดอลลาร์สหรัฐฯ เมื่อแปลงจากสกุลเงิน Monero แล้ว แนะนำให้รีบแพตช์ช่องโหว่โดยด่วน
สำหรับช่องโหว่ที่ผู้ประสงค์ร้ายมุ่งโจมตีนั้นเป็นช่องโหว่รหัส CVE-2017-1000353 ซึ่งมีที่มาจากกระบวนการ serialization/deserialization อย่างไม่ปลอดภัยของ Jenkins CLI ทำให้ผู้ประสงค์ร้ายมีโอกาสในการสแกนหาเซิร์ฟเวอร์ Jenkins ที่สามารถเข้าถึงได้จากอินเตอร์เน็ตและทำการทดลองโจมตีช่องโหว่ดังกล่าวเพื่อที่จะรันโค้ดที่เป็นอันตรายจากระยะไกลเพื่อควบคุมการทำงานของระบบเป้าหมายได้ ช่องโหว่ดังกล่าวส่งผลกระทบจนถึงเวอร์ชัน 2.56 สำหรับ main line release และจนถึงเวอร์ชัน 2.46.1 สำหรับ LTS release
Recommendation : โครงการ Jenkins ได้ออกมาคำแนะนำให้ผู้ใช้งานทำการอัปเกรด Jenkins เป็นเวอร์ชันล่าสุดก่อน (2.57 สำหรับ main line release และ 2.46.2 สำหรับ LTS release) จากนั้นให้ทำการปิดการเข้าถึงจากระยะไกลผ่านทาง CLI โดยเปลี่ยนขั้นตอนในการเข้าถึงเป็นโปรโตคอลอื่นๆ อาทิ HTTP หรือ SSH แทน
Affected Platform : Jenkins main line release จนถึงเวอร์ชัน 2.56 และ Jenkins LTS release จนถึงเวอร์ชัน 2.46.1
ที่มา : hackread
FireEye ได้มีการออกประกาศเพิ่มเติมวันนี้หลังจากมีกการตรวจพบการใช้ช่องโหว่ Adobe Flash Player (CVE-2018-4847) ในการโจมตีระบบเพื่อแพร่กระจายมัลแวร์ ในเบื้องต้นคาดว่าเป็นกลุ่มแฮกเกอร์จากเกาหลีเหนือที่มีจุดประสงค์เพื่อจารกรรรมและขโมยข้อมูล
APT37 หรือ Reaper ซึ่งเป็นชื่อเรียกของกลุ่มแฮกเกอร์โดย FireEye พุ่งเป้าโจมตีไปที่เกาหลีใต้ ญี่ปุ่น เวียดนามรวมไปถึงประเทศในกลุ่มตะวันออกกลาง โดยเน้นไปที่องค์กรหรือบรรษัทขนาดใหญ่ กระบวนการโจมตีเริ่มต้นจากการใช้เทคนิค social engineering แบบเจาะจงบุคคลรวมไปถึงโจมตีเว็บไซต์ที่เกี่ยวข้องกับเป้าหมายเพื่อแพร่กระจายมัลแวร์ ในส่วนของเทคโนโลยีนั้น APT37 มีการใช้ช่องโหว่ Adobe Flash Player (CVE-2018-4847) และช่องโหว่ของ Hangul Word Processor (HWP) เพื่อลักลอบรันโค้ดที่เป็นอันตรายหรือมัลแวร์ซึ่งจะฝังตัวอยู่ในระบบเป็นเวลานานเพื่อทยอยขโมยข้อมูลออกจากระบบ
Recommendation ในขณะนี้ยังไม่พบการโจมตีหรือการแพร่กระจายของมัลแวร์ในไทย แต่ทางไอ-ซีเคียวก็ขอแนะนำให้ผู้ใช้งานดำเนินการป้องกันการโดยการตรวจสอบความทันสมัยของโปรแกรมและแพตช์ด้านความปลอดภัยอย่างสม่ำเสมอ โดยควรมีการติดตามอัปเดตทุกครั้งเมื่อมีการประกาศจากผู้ผลิตซอฟต์แวร์
ที่มา : FireEye
Tavis Ormandy จาก Google Project Zero ได้ออกมาประกาศการค้นพบช่องโหว่บนโปรโตคอล JSON-RPC ซึ่งใช้ในโปรแกรม uTorrent รวมไปถึง Bittorrent ซึ่งทำให้ผู้โจมตีสามารถอัปโหลดไฟล์ที่เป็นอันตรายไปยังเครื่องที่มีช่องโหว่ได้ พร้อมช่องโหว่เล็กน้อยๆ อื่นอีกจำนวนหนึ่ง แนะนำให้อัปเดตเป็นเวอร์ชันเบต้าโดยด่วน
หนึ่งในช่องโหว่ที่มีความร้ายแรงสูงนั้นเกิดขึ้นจากการที่ uTorrent มีการรองรับการเชื่อมต่อผ่านโปรโตคอล JSON-RPC เป็นค่าเริ่มต้นและมีการเก็บข้อมูลซึ่งเกี่ยวข้องกับการพิสูจนต์ตัวตนที่ไม่ปลอดภัย ทำให้ผู้โจมตีสามารถใช้เทคนิคการโจมตีที่เรียกว่า DNS rebinding attack เพื่อลักลอบดึงข้อมูลที่เกี่ยวข้องกับการพิสูจน์ตัวตนดังกล่าวมาใช้งาน และควบคุมโปรแกรมให้ทำการอัปโหลด/ดาวโหลดไฟล์ไปยังตำแหน่งต่างๆ ในระบบได้
นอกเหนือจากช่องโหว่ที่เกี่ยวข้องกับ JSON-RPC นั้น โปรแกรม uTorrent ยังไม่มีการรองรับฟีเจอร์การป้องกันการของระบบ เช่น ASLR และมีการใช้ฟังก์ชันในการสร้าง token สำหรับพิสูจน์ตัวตนที่ไม่ปลอดภัยอีกด้วย Tavis ยังค้นพบว่า Bittorent นั้นก็ได้รับผลกระทบจากช่องโหว่ JSON-RPC เดียวกัน
Recommendation ในขณะนี้ uTorrent ได้มีการประกาศ uTorrent รุ่น 3.5.3 Beta ซึ่งมีการแก้ไขช่องโหว่ดังกล่าวแล้ว แนะนำให้ผู้ใช้งานทำการอัปเดตโปรแกรมเป็นเวอร์ชันล่าสุดโดยด่วน
ที่มา : Chromium
นักวิจัยด้านความปลอดภัย Alexy Firsh จาก Kaspersky Lab ออกมาเปิดเผยถึงรายละเอียดช่องโหว่บนแอปแช็ต Telegram ในเวอร์ชันเดสทอปก์เฉพาะของวินโดวส์ซึ่งค้นพบตั้งแต่เดือนตุลาคม 2017 หลังจากตรวจพบการนำมาใช้ในการโจมตีเพื่อแพร่กระจายมัลแวร์สำหรับขุดในสกุลเงิน Monero และ Zcash
ช่องโหว่ดังกล่าวนั้นเกิดขึ้นจากวิธีการที่ Telegram แสดงผลตัวอักษรยูนิโค้ด U+202E โดยเป็นตัวอักษรที่ส่งผลให้เกิดการกลับของข้อความต่อจากนั้นแบบสลับขวาซ้ายซึ่งใช้กันมากในภาษาอารบิกและฮีบรู แฮกเกอร์ใช้ประโยชน์ของช่องโหว่นี้ในการ "ซ่อนนามสกุลของไฟล์อันตราย" เพื่อทำให้ไฟล์อันตรายนั้นเมื่อถูกแสดงผ่าน Telegram ในรุ่นที่มีช่องโหว่จะแสดงเป็นนามสกุลไฟล์ที่แฮกเกอร์ต้องการได้
ตัวอย่างการโจมตี เช่น หากตั้งชื่อไฟล์เป็น photo_high_re*U+202E*gnp.
ทีมนักวิจัยด้านความปลอดภัย MalwareHunterTeam ได้ประกาศการค้นพบมัลแวร์เรียกค่าไถ่สายพันธุ์ใหม่ "Saturn" เข้ารหัสไฟล์พร้อมแก้นามสกุลไฟล์เป็น .saturn ยังไม่มีวิธีการถอดรหัสโดยไม่จ่ายค่าไถ่ในขณะนี้
แมในตอนนี้ยังไม่มีการเปิดเผยข้อมูลถึงวิธีการแพร่กระจายของมัลแวร์เรียกค่าไถ่ Saturn ได้พฤติกรรมและรูปแบบการแพร่กระจายที่ไม่ได้มีการเพิ่มขึ้นอย่างรวดเร็วมากนัก จึงอาจสรุปได้ว่า Saturn ยังคงแพร่กระจายได้วิธีการอย่างอีเมลพร้อมไฟล์แนบ การเข้าเว็บไซต์ที่มีการแสดงโฆษณาและมีการฝังสคริปต์ที่เป็นอันตราย มัลแวร์เรียกค่าไถ่ Saturn ยังไม่มีพฤติกรรมในการลบไฟล์ข้อมูลสำรองจากฟีเจอร์ Volume Shadow Copies, Windows Backup Catalog และปิดการทำงาน Windows Startup Repair
Recommendation
แนะนำให้เพิ่มความระมัดระวังก่อนเปิดไฟล์ที่ต้องสงสัยใดๆ รวมไปถึงการตั้งค่าระบบให้ปลอดภัยเพื่อป้องกันการโจมตีระบบเพื่อแพร่กระจายมัลแวร์เรียกค่าไถ่
ที่มา : bleepingcomputer
ธนาคารสัญชาติอินเดีย City Union Bank ได้มีการประกาศแจ้งเตือนลูกค้าเมื่อวันอาทิตย์ที่ผ่านมาหลังจากตรวจพบการทำธุรกรรมที่ผิดปกติจากระบบ SWIFT ของทางธนาคารและยืนยันผ่านทางประกาศว่าระบบของธนาคารถูกโจมตี โดยผู้โจมตีประสบความสำเร็จในการถอนเงินออกจากธนาคารไปได้เกือบ 2 ล้านดอลลาร์สหรัฐฯ
อ้างอิงจากแถลงการณ์ของธนาคาร ทางธนาคารได้มีการยืนยันว่าการโจมตีดังกล่าวนั้นเกิดขึ้นจากองค์กรอาชญากรข้ามชาติที่มุ่งโจมตีระบบของธนาคารโดยตรง และยืนยันว่าไม่มีการร่วมมือของบุคคลภายในในการโจมตีแต่อย่างใด
สำหรับธุรกรรมที่ถูกดำเนินการผิดปกตินั้นประกอบด้วย 3 ธุรกรรมย่อยซึ่งทั้งหมดนั้นถูกบล็อคอันเนื่องมาจากพฤติกรรมที่ผิดปกติ โดยหนึ่งในสามของธุรกรรมที่เป็นการโอนเงินมูลค่า 500,000 ดอลลาร์สหรัฐฯ ได้รับการยืนยันว่ามีการส่งคืนเงินจำนวนดังกล่าวแล้ว ทาง City Union Bank จะดำเนินการประสานงานกับธนาคารปลายทางเพื่อเจรจาขอยกเลิกการทำธุรกรรมและกู้คืนเงินในแต่ละธุรกรรมต่อไป
ในขณะนี้ยังไม่มีข้อมูลที่แน่ชัดถึงวิธีการที่ผู้โจมตีดำเนินการเพื่อโจมตีระบบ
ที่มา : theregister
นักวิจัยด้านความปลอดภัยชาวอิตาเลียนจาก Mobile World แจ้งเตือนหลังจากมีการค้นพบช่องโหว่ใหม่ซึ่งกระทบเกือบทุกอุปกรณ์ของแอปเปิล โดยเป็นผลมาจากตัวอักษรเพียงตัวอักษรเดียวซึ่งเมื่อถูกเปิดด้วยแอปพลิเคชันบางประเภทที่อยู่บนอุปกรณ์แล้ว อาจทำให้อุปกรณ์ค้างจนหรือปิดตัวเองได้
ตัวอักษรดังกล่าวนั้นเป็นตัวอักษรในภาษาอินเดียซึ่งเรียกว่า Telugu ในการโจมตีช่องโหว่นี้นั้น ผู้โจมตีเพียงแค่ทำการส่งตัวอักษรไปยังช่องทางต่างๆ โดยหากทำการส่งตัวอักษรไปซ้ำๆ กันหลายครั้ง ระบบปลายทางที่รับตัวอักษรดังกล่าวจะค้างและทำการรีบูตตัวเองทันที
ในขณะนี้แอปพลิเคชันที่คาดว่าได้รับผลกระทบได้แก่ WhatsApp, Facebook Messenger, Outlook for iOS, และ Gmail ทางแอปเปิลได้รับทราบถึงการมีอยู่ของช่องโหว่ดังกล่าวแล้ว โดยจะมีการแก้ไขใน iOS 11.3 ซึ่งจะถูกปล่อยในช่วงฤดูใบไม้ผลิ
Recommendation
ในส่วนของการป้องกันสำหรับผู้ใช้งานทั่วไปนั้น หากผู้ใช้งานค้นพบพฤติกรรมที่ผิดปกติ เช่น ระบบมีการรีบูตตัวเองหรือแอปที่ใช้งานอยู่นั้นปิดตัวเองโดยอัตโนมัติ ให้พยายามระบุหาข้อความซึ่งอาจมีตัวอักษร Telegu นี้ผสมอยู่แล้วดำเนินการลบการสนทนาหรือข้อความนั้นออกโดยทันที
ที่มา : thehackernews
ไมโครซอฟต์ออกประกาศเตรียมเพิ่มระบบปฏิบัติการที่สามารถใช้งาน Windows Defender Advanced Threat Protection (ATP) ได้โดยการเพิ่ม Windows 7 SP1 และ Windows 8.1 เข้าไปหลังจากแต่เดิมนั้นใช้ได้เพียง Windows 10 โดยจะเริ่มดำเนินการเร็วนี้ๆ
Windows Defender Advacned Threat Protection (ATP) เป็นบริการแบบเสียตังค์จากไมโครซอฟต์โดยมีแกนหลักเป็นระบบตรวจจับภัยคุกคามที่อาศัยเอนจินบนคลาวด์ โดยอาศัยการตรวจสอบทั้งจากพฤติกรรมของไฟล์ การใช้งานเครือข่ายหรือลักษณะของไฟล์ต่างๆ ในระบบ ATP ยังมีการเพิ่มประสิทธิภาพการตรวจจับโดยใช้เทคโนโลยี machine learning ร่วมด้วย
ที่มา : bleepingcomputer
ไมโครซอฟต์ประกาศ Patch Tuesday ประจำเดือนกุมภาพันธ์ 2018 แล้วเมื่อวานนี้ โดยในรอบนี้นั้นมีแพตช์ช่องโหว่ด้านความปลอดภัยทั้งหมด 50 รายการ ซึ่งมี 14 รายการเป็นแพตช์ระดับร้ายแรง (critical) รวมไปถึงแพตช์ปรับปรุงสำเร็จช่องโหว่ Spectre และ Meltdown ด้วย
หนึ่งในแพตช์ที่น่าสนใจในรอบนี้มาจากช่องโหว่รหัส CVE-2018-0852 สำหรับผลิตภัณฑ์ Microsoft Outlook มีการค้นพบว่าผู้โจมตีสามารถรันโค้ดที่อันตรายบนระบบของเหยื่อ ติดตั้งมัลแวร์หรือขโมยข้อมูลที่สำคัญออกไปได้เพียงแค่ส่งอีเมลที่มีโค้ดสำหรับโจมตีช่องโหว่อยู่และถูกเปิดโดย Microsoft Outlook นั้นรุ่นที่มีช่องโหว่
Recommendation
แนะนำให้ตรวจสอบและอัปเดตแพตช์ผ่านทางช่องทางต่างๆ เพื่อลดผลกระทบหากมีการโจมตีช่องโหว่ดังกล่าวโดยด่วน
Affected Platform
- IE 9, 10, 11
- Microsoft Edge
- Windows 7, 8.1, RT 8.1, 10, Server 2008/2008 R2, Sever 2012, 2012 R2, Server 2016
- SharePoint Server 2016
- Project Server 2013
- Outlook/Word/Office 2007, 2010, 2013, 2016
- ChakraCore
- Adobe Flash
ที่มา : bleepingcomputer