แจ้งเตือน Locky สายพันธุ์ใหม่ เข้ารหัสพร้อมนามสกุล "ykcol"

Fortinet ออกประกาศแจ้งเตือนการแพร่กระจายของมัลแวร์เรียกค่าไถ่ Locky สายพันธุใหม่ซึ่งมีจุดแตกต่างสำคัญคือมีการเปลี่ยนนามสกุลของไฟล์ที่ถูกเข้ารหัสเป็น ".ykcol"

การแพร่กระจายของ Locky ในรอบนี้นั้นมีลักษณะที่แตกต่างกันถึง 6 แบบ โดยทั้งหมดยังคงใช้วิธีการแพร่กระจายผ่านทางอีเมลพร้อมไฟล์แนบนามสกุล .7z และ .rar โดยไฟล์ดังกล่าวเมื่อถูกเปิดออกจะทำการเรียกไปยังเว็บไซต์ที่ถูกแฮกเพื่อแพร่กระจายมัลแวร์เพื่อดาวโหลดไฟล์มัลแวร์ อ้างอิงจากข้อมูลของ Fortinet ผู้ที่ได้รับกระทบในตอนนี้มีมากที่สุดถึง 3000 รายในสหรัฐฯ Locky ในเวอร์ชันนี้เรียกร้องค่าไถ่ 0.25 BTC หรือประมาณ 1,000 ดอลลาร์สหรัฐฯ

ในปี 2017 นี้มีการตรวจพบ Locky ทั้งหมด 4 สายพันธุ์แล้วด้วยกันคือ .loptr, .diablo6, lukitus และล่าสุด .ykcol

Recommendation แนะนำให้ผู้ใช้งานเพิ่มความระมัดระวังเมื่อเปิดไฟล์แนบจากอีเมลหรือคลิกลิงค์ใดๆ จากอีเมล สำหรับผู้ดูแลระบบ แนะนำให้ตรวจสอบลิงค์สำหรับดาวโหลดมัลแวร์ในแหล่งที่มาและดำเนินการบล็อคการเข้าถึงลิงค์ดังกล่าวโดยทันที

ที่มา : blog.

นักวิจัยค้นพบ Android Banking Trojan ใหม่โดยใช้ชื่อว่า Red Alert 2.0 Red Alert จะกระจายตัวอยู่ตามแหล่ง Android app stores ที่ไม่ได้อยู่ภายใต้การดูแลของ Google มีการทำงานคล้ายกับภัยคุกคามที่ผ่านมา Red Alert โดยจะซ่อนตัวจนกว่าผู้ใช้จะเปิดแอปพลิเคชัน Banking หรือ Social Media แล้วแสดงผลซ้อนทับแอปพลิเคชันเพื่อส่งการแจ้งเตือนหลอกๆให้ผู้ใช้งานกรอกข้อมูลลงไป จากนั้น Red Alert จะส่งข้อมูลกลับไป Server ของผู้ที่ไม่หวังดี

Red Alert จะใช้ข้อมูลเหล่านี้ข้าถึงบัญชีธนาคารของเหยื่อเพื่อทำธุรกรรมที่หลอกลวงหรือแอปโซเชียลมีเดียของเหยื่อเพื่อเผยแพร่ Spam นอกจากนี้ Red Alert ยังมีคุณลักษณะในการรวบรวมรายชื่อผู้ติดต่อจากอุปกรณ์ที่ติดไวรัส และเพื่อหลีกเลี่ยงการถูกตรวจจับโทรจันยังเข้าควบคุมฟังก์ชัน SMS ที่คอยส่งข้อความแจ้งเตือนต่างๆ แถมด้วยความสามารถในการบล็อกโทรศัพท์โดยอัตโนมัติจากหมายเลขที่เชื่อมโยงกับธนาคารและสถาบันการเงิน นักวิจัยคาดว่าจะมีการเพิ่มคุณสมบัติการควบคุมระยะไกลกับอุปกรณ์ที่ติดเชื้อเพิ่ม Red Alert เพิ่มขึ้นอีกด้วย

นักวิจัยกล่าวว่า Red Alert สามารถกำหนดเป้าหมายไปยังสมาร์ทโฟนที่ใช้ Android ได้ถึง Version 6.0 (Marshmallow) มาพร้อมกับการสนับสนุนการแสดงซ้อนทับ HTML สำหรับ Social Media Apps และกว่า 60 แอปพลิเคชัน

ผู้ใช้สามารถหลีกเลี่ยง Android malware ส่วนใหญ่ได้โดยไม่ใช้ Application แหล่งที่ไม่น่าไว้ใจ และเลือกใช้แอปพลิเคชันเฉพาะใน Play สโตร์เท่านั้น
และต้องตรวจสอบว่าได้ปิดตัวเลือก "ไม่รู้จักที่มา" ในอุปกรณ์แอนดรอยด์ของคุณเพื่อป้องกันการติดตั้ง Application จากแหล่งที่ไม่รู้จัก
สิ่งสำคัญที่สุดคือตรวจสอบสิทธิ์ของ Application ก่อนติดตั้งแม้กระทั่งจาก Google Play Store อย่างเป็นทางการและหากคุณพบแอปพลิเคชันใดๆที่ต้องการการเข้าถึงสิทธิที่มากว่าที่ควร ก็ไม่ควรติดตั้งลงไป การมี Application ป้องกันไวรัสจากผู้ขายที่มีชื่อเสียงซึ่งสามารถตรวจจับและป้องกันไม่ให้โทรจันดังกล่าวติดตั้งอุปกรณ์ดังกล่าวจะช่วยได้ นอกจากนี้ควร Update ระบบและ Application ให้ทันสมัยเสมอ

Affected Platform Android Banking

ที่มา : bleepingcomputer

Joomla! 3.8.0 มาแล้ว พร้อมแพตช์ด้านความปลอดภัย

Joomla! ประกาศการออกเวอร์ชันใหม่ที่ 3.8.0 โดยนอกจากจะมีการเปลี่ยนแปลงทางด้านฟังก์ชันการทำงานแล้ว ในเวอร์ชันนี้ยังมีรองรับการเข้ารหัสจากไลบรารี sodium พร้อมกับแพตช์ด้านความปลอดภัยอีก 2 แพตช์ด้วย ดังนี้

แพตช์แรกรหัส CVE-2017-14596 ความร้ายแรงระดับกลาง กระทบ Joomla 1.5.0 - 3.7.5 เป็นแพตช์ปิดช่องโหว่ที่ทำให้ข้อมูล username และ password รั่วไหลได้จาก LDAP authentication plugin

แพตช์ที่สองรหัส CVE-2017-14595 ความร้ายแรงระดับต่ำ กระทบ 3.7.0 - 3.7.5 เป็นแพตช์ปิดช่องโหว่ที่ทำให้ข้อมูลของบทความหรือโพสต์รั่วไหลออกมาได้แม้ว่าจะถูก archive แล้ว

Affected Platform Joomla 1.5.0 - 3.7.5 และ Joomla 3.7.0 - 3.7.5 (แยกตามช่องโหว่)

Recommendation แนะนำให้ทำการอัพเดตเป็นเวอร์ชันล่าสุดเพื่อลดความเสี่ยงที่จะถูกโจมตีโดยช่องโหว่ดังกล่าวโดยด่วน

ที่มา : joomla

Samba Team ประกาศแพตช์ให้กับ 3 ช่องโหว่บน Samba วันนี้ โดยช่องโหว่ที่ร้ายแรงที่สุดอาจส่งผลให้เกิดการเขียนข้อมูลทับหน่วยความจำส่วนอื่นได้

แพตช์แรกปิดช่องโหว่ CVE-2017-12150 กระทบ Samba 3.0.25 ถึง 4.6.7 โดยเกิดขึ้นจากการไม่ signing การเชื่อมต่อเมื่อมีการรับส่งขอมูลแม้ว่าจะมีการบังคับให้ทำ signing ซึ่งอาจส่งผลให้ผู้โจมตีทำการโจมตีแบบ MitM เพื่อดักข้อมูลได้

https://www.

Cisco ออกแพตช์ช่องโหว่ให้ CVP, Cisco AsyncOS และ Cisco Small Business Managed Switches

Cisco ประกาศแพตช์ด้านความปลอดภัยให้กับสามผลิตภัณฑ์วันนี้ โดยแพตช์ด้านความปลอดภัยทั้งหมดปิดช่องโหว่ที่มีความร้ายแรงระดับสูง (High) ซึ่งทำให้ผู้โจมตีสามารถ DoS หรือยกระดับสิทธิ์กับซอฟต์แวร์หรืออุปกรณ์ได้

ผลิตภัณฑ์ที่ได้รับแพตช์ได้แก่ Cisco Unified Customer Voice Portal Operations Console ปิดช่องโหว่ยกระดับสิทธิ์ CVE-2017-12214, Cisco Email Security Appliance ปิดช่องโหว่ DoS CVE-2017-12215 และ Cisco Small Business Managed Switches ปิดช่องโหว่ CVE-2017-6720

Affected Platform Cisco Unified Customer Voice Portal Operaitons Console, Cisco Email Security Appliance และ Cisco Small Business Managed Switches

Recommendation ดูรายละเอียดของแพตช์หรือดาวโหลดแพตช์เพิ่มเติมได้จากแหล่งที่มา

ที่มา : us-cert

Kali Linux 2017.2 มาแล้ว

Offensive Security ได้ประกาศเวอร์ชันล่าสุดสำหรับ Kali Linux ประจำปี 2017 (2017.2) วันนี้ โดยสำหรับในเวอร์ชันนี้นั้นได้มีการเพิ่มเครื่องมือสำหรับทดสอบเจาะระบบมาอีก 17 รายการ พร้อม burpsuite, WPScan, nmap เวอร์ชันใหม่

ผู้ใช้งานที่ใช้งานในเวอร์ชัน 2017.1 อยู่สามารถอัพเกรดผ่าน apt ได้ทันที หรือสามารถดาวโหลดได้จากแหล่งที่มาด้านล่าง

ที่มา : kali

คณะกรรมการกำกับหลักทรัพย์สหรัฐฯ (U.S. Securities and Exchange Commision) ได้ออกมาเปิดเผยเมื่อวานนี้ว่าทางองค์กรกำลังดำเนินการตรวจสอบกรณีที่มีการตรวจพบว่าระบบจัดการเอกสาร "EDGAR" ถูกแฮกและอาจมีการเข้าถึงข้อมูลที่ไม่ได้มีการเปิดเผยสู่สาธารณะ โดยในเบื้องต้นนั้นการแฮกครั้งนี้ถูกตรวจพบเมื่อปี 2016 และเพิ่งมีข้อสรุปออกมาเมื่อเดือนสิงหาคมเกี่ยวกับความเสียหายที่เกิดขึ้น จากแถลงการณ์ของ S.E.C. ผู้โจมตีไม่ได้มีการเข้าถึงส่วนบุคคลหรือสร้างความเสียหายให้กับระบบ แต่ก็มีโอกาสที่ผู้โจมตีอาจนำข้อมูลที่เข้าถึงบางส่วนได้จากการแฮกมาใช้เพื่อหาประโยชน์ในการลงทุนได้

S.E.C. ยังไม่มีการระบุรายละเอียดใดๆ ที่ชัดเจนนอกเหนือจากนี้ รวมไปถึงปริมาณข้อมูลที่รั่วไหลและรายละเอียดของกลุ่มผู้โจมตี อย่างไรก็ตาม S.E.C. กล่าวว่าช่องโหว่ในระบบ EDGAR ซึ่งถูกโจมตีนั้นได้ถูกแพตช์เป็นที่เรียบร้อยแล้วและจะดำเนินร่วมกับหน่วยงานอื่นเพื่อสอบสวนต่อไป

ที่มา : nytimes

iOS 11 มาแล้ว พร้อมแพตช์ด้านความปลอดภัยล่าสุด

แอปเปิลได้มีการประกาศ iOS 11 เมื่อวานนี้ตามเวลาในบ้านเรา โดยนอกจาก iOS 11 จะมีการเปลี่ยนแปลงทางด้านฟังก์ชันการทำงานและหน้าตาแล้ว iOS 11 ก็ยังมาพร้อมกับแพตช์ซึ่งจะช่วยปกป้องผู้ใช้งานจาก 15 ช่องโหว่อันตรายด้วยกัน

สำหรับช่องโหว่ที่ร้ายแรงที่สุดในรอบนี้นั้น อันดับหนึ่งเป็นของ 5 ช่องโหว่ใน Wi-Fi ของ iOS ที่ถูกค้นพบโดย Gal Beniamini จาก Google Project Zero ซึ่งสามารถทำให้ผู้โจมตีสามารถรันโค้ดที่เป็นอันตรายได้โดยเพียงแค่ส่งแพ็คเกตเพื่อโจมตีโมดูล Wi-Fi ที่มีช่องโหว่ โดยช่องโหว่นี้กระทบตั้งแต่ iPhone 5s จนถึงรุ่นปัจจุบัน, iPad Air จนถึงรุ่นปัจจุบัน, และ iPod touch 6th generation

นอกเหนือจากแพตช์สำหรับ iOS แล้ว แอปเปิลยังปล่อยแพตช์ให้กับ Safari 11, watchOS 4, tvOS 11 และ Xcode99 ด้วย แนะนำให้ผู้ใช้งานอัพเดตซอฟต์แวร์ที่ใช้งานเป็นเวอร์ชันปัจจุบันเพื่อปิดช่องโหว่ดังกล่าวโดยด่วน

ที่มา : threatpost

(ข่าวเก่า) พบช่องโหว่ในเครื่องควบคุมการให้สารละลายทางหลอดเลือด (infusion pump) สามารถถูกโจมตีและควบคุมได้จากระยะไกล

นักวิจัยด้านความปลอดภัยอิสระ Scott Gayou ได้เปิดเผยการค้นพบ 8 ช่องโหว่ด้านความปลอดภัยในอุปกรณ์ควบคุมการให้สายละลายทางหลอดเลือดของ Medfusion รุ่น 4000 ผลิตโดย Smiths Medical ซึ่งช่องโหว่ที่ร้ายแรงที่สุดนั้นอาจทำให้ผู้โจมตีสามารถควบคุมการทำงานของอุปกรณ์ได้ หมายถึงผู้โจมตีอาจควบคุมปริมาณยาหรือสารละลายที่ให้แก่ผู้ป่วยได้

หนึ่งใน 8 ช่องโหว่นั้นคือช่องโหว่ CVE-2017-12725 ซึ่งมีคะแนน CVSS ทั้งหมด 9.8 (เต็ม 10) โดยเกิดขึ้นหากผู้ใช้อุปกรณ์ไม่ได้มีการเปลี่ยนแปลงรหัสผ่านที่ถูกตั้งมาเป็นค่าเริ่มต้น ทำให้ผู้โจมตีสามารถเข้าถึงอุปกรณ์แบบไร้สายได้ด้วยรหัสผ่านเริ่มต้นดังกล่าว นอกเหนือจากนั้นอุปกรณ์ยังมีช่องโหว่ buffer overlow (CVE-2017-12718) ที่ทำให้ผู้โจมตีสามารถโจมตีด้วยวิธีการ remote code execution ด้วย

ช่องโหว่ทั้งหมดส่งผลกระทบกับเฟิร์มแวร์ของอุปกรณ์ในรุ่น 1.1, 1.5 และ 1.6 โดยทาง Smiths Medical มีการประกาศว่าเฟิร์มแวร์รุ่นใหม่ (1.6.1) ซึ่งแก้ปัญหาด้านความปลอดภัยทั้งหมดแล้ว จะถูกปล่อยออกมาในเดือนมกราคม 2018 นี้

ที่มา : The Hacker News

OurMine เป็นกลุ่มแฮกเกอร์ Saudi Arabian ที่มีประวัติการแฮ็คบัญชี social มามากมายเช่น Facebook CEO Mark Zuckerberg, Google CEO Sundar Pichai, Twitter CEO Jack Dorsey, Game of Thrones, Sony's PlayStation Network (PSN), Netflix, the WWE, HBO, และ WikiLeaks

OurMine ทำการแฮ็ค Vevo Music Video Online ได้ข้อมูลภายในออกไปประมาณ 3.12 เทราไบต์ ซึ่งเป็นข้อมูลเอกสาร documents, videos, promotion และยังสามารถจัดการกับข้อมูลที่มีความ sensitive หลังจากได้เจาะเข้าสู่ Server Vevo ได้สำเร็จ จากนั้นกลุ่มแฮ็คเกอร์ได้ทำการโพสเอกสารต่างๆ ที่ได้มาลงบนเว็บไซต์ของตนเอง และก็ได้ทำการลบข้อมูลออกจากหน้าเว็บไซต์หลังจากมีการมีคำร้องขอจาก Vevo

ยังไม่เป็นที่ทราบแน่ชัดว่าแฮ็กเกอร์เข้าถึงระบบ Vevo ได้นานเท่าใดและสามารถเข้าถึง server ได้อย่างไร รวมไปถึงข้อมูลอื่นๆ ที่แฮ็คเกอร์อาจจะได้ไป เช่น อีเมล เอกสารทางการเงินและรหัสผ่าน

ที่มา : The Hacker News