IBM ได้มีการปล่อยอัพเดทเพื่อปิดช่องโหว่ที่พบในซอฟต์แวร์ IBM Cisco MDS Series Switches Data Center Network Manager (DCNM) หากถูกเจาะผ่านช่องโหว่ดังกล่าว จะทำให้ผู้ที่โจมตีสามารถเข้าควบคุมระบบที่ได้รับผลกระทบดังกล่าวได้ ทาง US-CERT กระตุ้นให้ทางผู้ใช้งาน และผู้ดูแลระบบทำการทบทวนรายละเอียดคำแนะนำเกี่ยวกับเรื่องของช่องโหว่ และรายละเอียดการบรรเทาผลกระทบ
ที่มา : us-cert
Impact Level : High
Affected Platform : ESXi 5.5, 6.0 ถึง 6.5 และ VMWare Tools ก่อนรุ่น 10.1.0
Conclusion : ช่องโหว่บน VMware VIX API ทำให้ผู้ใช้งานเข้าถึง Guest OS ที่ไม่ได้รับอนุญาตได้
นักวิจัยด้านความปลอดภัย Ofri Ziv จาก GuardiCore ได้เปิดเผยช่องโหว่บน VMware VIX API ในงาน Black Hat 2017 ที่ลาสเวกัสโดยช่องโหว่ดังกล่าวอนุญาตผู้ใช้งานที่มีสิทธิ์ใช้งานต่ำหรือถูกจำกัดสิทธิ์ไว้อยู่สามารถใช้ช่องโหว่ดังกล่าวในการเข้าถึง Guest OS ที่ไม่ได้รับอนุญาตได้
ช่องโหว่ดังกล่าวนั้นเกิดขึ้นในส่วนของ Virtual Infrastructure eXtension (VIX) API ซึ่งเป็น API ที่ช่วยให้ผู้ใช้งานสามารถทำการควบคุมการทำงานของ VM, จัดการไฟล์ภายใน Guest OS รวมไปถึงเข้าถึง Guest OS ได้โดยตรง ในการโจมตีช่องโหว่นี้บัญชีผู้ใช้งานใน vSphere ซึ่งมีสิทธิ์การใช้งานที่จำกัดอยู่จะได้ต้องรับสิทธิ์ในการอนุญาตให้ใช้ VIX API ก่อนด้วยจึงจะทำการโจมตีได้
ช่องโหว่ได้รับรหัส CVE-2017-4919 กระทบ ESXi 5.5, 6.0 และ 6.5 และ VMware Tools เวอร์ชันก่อน 10.1.0 ซึ่งมีการปิดการใช้งาน API ดังกล่าวเป็นค่าเริ่มต้นแล้ว
Recommendation : ในการลดผลกระทบที่เกิดจากช่องโหว่ ผู้ใช้งานสามารถทำการตั้งค่าใน ESXi เฉพาะรุ่น 6.0 (https://kb.
Impact Level : High
Affected Platform : Docker Latest Version
นักวิจัยด้านความปลอดภัย Sagie Dulce จากบริษัท Aqua Security ได้แสดงการใช้ API ของ Docker เพื่อสนับสนุนการทำงานของมัลแวร์ในงาน Black Hat ครั้งล่าสุดที่ลาสเวกัส โดยในการทดลองนี้ Docker API สามารถถูกใช้ในการซ่อน ฝังและสั่งการมัลแวร์ได้
การโจมตีนี้สามารถทำได้โดยระบบที่มีการติดตั้ง Docker ทุกเวอร์ชันที่มีการเปิดให้เรียกหา API ผ่านทางโปรโตคอล TCP (ยังคงเปิดใช้ฟีเจอร์นี้เป็นค่าดีฟอลต์ในรุ่นปัจจุบันบน Docker for Windows)
การใช้ Docker API ในการสนับสนุนการทำงานของมัลแวร์ประกอบด้วยการโจมตีหลายขั้นตอนและต้องอาศัยการตอบสนองจากผู้ใช้งาน โดยประกอบด้วยขั้นตอนในการข้ามผ่านฟีเจอร์ Same Origin Policy ด้วยการโจมตีที่เรียกว่า Host Rebinding Attack ที่ส่งผลให้ผู้โจมตีสามารถเข้าถึง Docker daemon REST API ได้ รวมไปถึงการสร้าง "Shadow Container" เพื่อคงการเข้าถึงเอาไว้แม้จะมีการรีบูตระบบ
Recommendation : ในการป้องกันนั้น Sagie Dulce แนะนำให้ปรับแต่งการตั้งค่าในการเรียก Docker API ให้เฉพาะไคลเอนต์ที่มีการพิสูจน์ตัวตน (ผ่านใบรับรอง) รวมถึงบล็อคการเข้าถึงพอร์ต 2375 และปิดการใช้งานโปรโตคอล LLMNR และ NetBIOS เพื่อป้องกันการ Host Rebinding Attack ด้วย
ที่มา : threatpost
Affected Platform : Diebold Opteva ATM with AFD Platform
บริษัทด้านความปลอดภัย IOActive ได้ประกาศการค้นพบสองช่องโหว่ร้ายแรงบนเอทีเอ็มของ Diebold รุ่น Opteva ที่มีการใช้แพลตฟอร์ม AFD เพื่อปกป้องกล่องเก็บเงินซึ่งส่งผลให้ผู้โจมตีสามารถขโมยเงินจากตู้ได้โดยตรงโดยไม่ต้องมีการยืนยันตัวตนใดๆ
ในการโจมตีนั้น ผู้โจมตีจะต้องมีการใช้ทั้งสองช่องโหว่ควบคู่กันเนื่องจากระบบของเอทีเอ็มมักจะมีการแยกระบบปฏิบัติการออกจากส่วนที่มีการเก็บเงิน โดยในขั้นตอนแรกผู้โจมตีจะต้องทำการเข้าถึง AFD controller ด้วยวิธีทางกายภาพคือการเสียบแท่งเหล็กขนาดเล็กเข้าไปในส่วนลำโพง แท่งเหล็กดังกล่าวจะถูกใช้ในการยกตัวล็อคข้างในที่ทำการป้องกันการเข้าถึงคอมพิวเตอร์ของเอทีเอ็มเอาไว้อยู่ จากนั้นผู้โจมตีจะต้องทำการถอดสาย USB ที่ต่อเข้ากับคอมพิวเตอร์แล้วใช้ช่องทางนีทำเพื่อทำการเชื่อมต่อและส่งข้อมูลกับ AFD controller โดยตรง จากนั้นผู้โจมตีจะทำการโจมตีช่องโหว่ที่เกิดจากการไม่เข้ารหัสและไม่ตรวจสอบแหล่งที่มาของโปรโตคอลของ AFD เพื่อส่งคำสั่งปลอมให้ระบบทำการถอนเงินออกมาได้
อย่างไรก็ตามปัญหาของช่องโหว่นี้อยู่ที่การแพตช์ IOActive กล่าวว่าทางบริษัทได้มีการติดต่อกับ Diebold เป็นระยะเพื่อสอบถามความคืบหน้าในเรื่องการแพตช์แต่กลับยังไม่ได้รับคำตอบที่ชัดเจนว่าได้มีการแพตช์แล้วในเฟิร์มแวร์รุ่นใหม่แล้วหรือไม่ จน IOActive ต้องตัดสินเผยแพร่รายงานการวิเคราะห์ดังกล่าวในที่สุด
ดูรายงานได้ที่: https://www.
Impact Level: High
Affected Platform : Cross Platform
มัลแวร์ SambaCry ซึ่งมีการใช้ช่องโหว่ในชื่อเดียวกันบน Samba ที่พึ่งได้รับแพตช์มาเมื่อไม่นานมานี้ กำลังถูกใช้โดยมัลแวร์ CowerSnail ในรูปแบบเดียวกับการแพร่กระจายของ WannaCry
จากการวิเคราะห์ของ Kaspersky มัลแวร์ CowerSnail น่าจะเป็นมัลแวร์ที่ถูกพัฒนาโดยนักพัฒนาเดียวกับที่พัฒนามัลแวร์ SambaCry อันเนื่องมาจากการใช้ C&C server เดียวกัน มัลแวร์ CowerSnail ถูกออกแบบมาให้ทำงานได้บนหลายระบบโดยพุ่งเป้าไปที่การแพร่กระจายและฝังตัวเป็นระยะเวลานานผ่านการควบคุมบนโปรโตคอล IRC ที่ทำให้ผู้โจมตีสามารถสั่งการมัลแวร์ได้จากระยะไกล
Recommendation : แนะนำให้ตรวจสอบความผิดปกติของระบบอย่างสม่ำเสมอเพื่อตรวจหาการมีอยู่ของมัลแวร์
ที่มา : The Register
MalwareBytes ได้มีการแจ้งเตือนผู้ใช้งานเกี่ยวกับการค้นพบมัลแวร์เรียกค่าไถ่ CryptoMix สายพันธุ์ใหม่ซึ่งในคราวนี้จะเปลี่ยนนามสกุลของไฟล์ที่มีการเข้ารหัสเป็น .EXTE
มัลแวร์เรียกค่าไถ่ CryptoMix แม้ว่าจะเป็นมัลแวร์เรียกค่าไถ่ที่ไม่ค่อยมีฟังก์ชันหรือการทำงานพิเศษที่เป็นที่รู้จักเท่าไหร่ แต่มันก็ยังคงมีการอัพเดตตัวเองและแพร่กระจายอยู่อย่างสม่ำ สำหรับในเวอร์ชันใหม่นี้นั้น ทาง MalwareBytes ตรวจพบความเปลี่ยนแปลงเล็กน้อยในส่วนที่เป็นนามสกุลของไฟล์ที่มัลแวร์มีการเข้ารหัสจากเดิม .AZER เป็น .EXTE และเปลี่ยนชื่อของไฟล์ ransom note จากเดิมคือ HELP_YOUR_FILES.TXT เป็น _HELP_INSTRUCTION.TXT แต่การทำงานและขั้นตอนในการเข้ารหัสนั้นยังคงเหมือนเดิม คือมีการฝังกุญแจเข้ารหัสไว้จำนวน 10 รายการเพื่อให้สามารถเข้ารหัสไฟล์โดยไม่จำเป็นต้องติดต่อกับเซิร์ฟเวอร์ที่ใช้ออกคำสั่งและควบคุม
Recommendation CryptoMix ยังคงใช้วิธีการแพร่กระจายเหมือนกับมัลแวร์เรียกค่าไถ่ประเภทอื่นคือทั้งทางช่องทางอีเมลและ drive-by download แนะนำให้ทำการตรวจสอบการป้องกันเพื่อพร้อมรับมือกับภัยคุกคามในลักษณะนี้อย่างสม่ำเสมอ
ที่มา : securityweek
Spyware ที่สั่งการผ่าน Telegram’s Bot API โดยมีเป้าหมายที่ผู้ใช้ Android ในประเทศอิหร่าน
Spyware จะหลอกว่าตัวมันเองนั้นปลอดภัยโดยการสวมรอยเป็นแอปพลิเคชัน Cleaner Pro หรือ Profile Checker นอกจากนี้ยังมีแอปพลิเคชันอันตรายสำหรับ Facebook เช่นกัน โดยจะมีคำบรรยายว่าจะช่วยให้ผู้ใช้ทราบว่าใคร “unfriended” ผู้ใช้ไปบ้าง เมื่อผู้ใช้ดาวน์โหลดแอปพลิเคชันก็จะขอข้อมูล Telegram ของผู้ใช้เพื่อเรียกดูจำนวนผู้ที่เคยดูโปรไฟล์ของผู้ใช้ หลังจากนั้นแอปพลิเคชันจะหายไปแต่ความจริงแล้วแอบทำงานอย่างลับๆ
เมื่ออุปกรณ์ของเหยื่อติดต่อสื่อสารกับผู้บุกรุกผ่านทาง Telegram Bot API ที่สามารถส่งและรับคำสั่งได้แล้วสิ่งแรกที่แอปนี้ทำคือบันทึกภาพของเหยื่อโดยใช้กล้องด้านหน้าของอุปกรณ์ จะมีการขโมยข้อความรวมถึงหมายเลขโทรศัพท์ของผู้ส่งและผู้รับ , รายชื่อผู้ติดต่อ , Google email address , รูปถ่าย , ข้อมูลเกี่ยวกับแอปพลิเคชันที่ติดตั้ง โดยข้อมูลจะถูกจัดเก็บไว้อย่างผิดกฎหมายในไฟล์ใหม่ที่แยกต่างหากสำหรับการอัปโหลดภายหลังไปยังเซิร์ฟเวอร์ของผู้โจมตี และยังสามารถลบหรือร้องขอไฟล์ส่วนตัวของเหยื่อได้ไม่ใช่เฉพาะไฟล์ที่แอปฯของผู้ไม่หวังดีสร้างขึ้นมาใหม่
Spyware ได้อัปโหลดไฟล์ทั้งหมดผ่านทางสคริปต์ PHP และบันทึกไว้ในไดเร็กทอรี / rat / uploads บนเซิร์ฟเวอร์ โดยไฟล์เหล่านี้ทุกคนที่รู้ URL สามารถเข้าถึงได้ สาเหตุอาจเพราะผู้ไม่หวังดีวางมาตรการรักษาความปลอดภัยไม่เพียงพอ
ผู้ใช้งานสามารถหลีกเลี่ยง Spyware และการโจมตีรูปแบบอื่นได้ โดยปฎิบัติตามนี้
- ติดตั้งแอปพลิเคชันจากแหล่งที่เชื่อถือได้เท่านั้น
- สังเกตแอปพลิเคชันอื่นๆผู้พัฒนา และควรอ่านรีวิวแต่ไม่ควรไว้ใจแอปฯที่มีคำรีวิวที่ไม่น่าใว้ใจ เช่น “แอปที่ดีที่สุดตลอดกาล” , “Thank you!” , “รักแอปฯนี้ที่สุดเลย”
- ควรอ่านรายละเอียดสิทธิ์การเข้าถึงที่แอปพลิเคชันร้องขอ
ที่มา : avast
นักวิจัยด้านความปลอดภัยจากไทยคุณวรวิทย์ วังวรัญญู ได้ทำการพัฒนาเครื่องมือสำหรับโจมตีช่องโหว่ (exploit) ใหม่โดยมีต้นแบบจากเครื่องมือ ETERNALSYNERGY ที่ถูกเผยแพร่โดยกลุ่ม The Shadow Brokers โดยการพัฒนาเครื่องมือสำหรับโจมตีช่องโหว่ใหม่นี้ทำให้ความสามารถของ TERNALSYNERGY ได้ใช้ประโยชน์จาก ETERNALSYNERGY ซึ่งสามารถกำหนดเป้าหมายไปยังเวอร์ชันใหม่ๆของระบบปฏิบัติการ Windows ได้ เช่น Windows 10
ETERNALSYNERGY เป็นหนึ่งในเครื่องมือสำหรับโจมตีของ NSA ที่เปิดเผยโดยกลุ่มการแฮ็กเกอร์ Shadow Brokers ตามการวิเคราะห์ทางเทคนิคของ Microsoft เครื่องมือ ETERNALSYNERGY สามารถทำให้ผู้โจมตีสามารถรันโค้ดบนเครื่อง Windows โดยผ่านทางช่องโหว่จากโปรโตคอล SMB version 1 ช่องโหว่นี้ถูกกำหนดเป็น CVE-2017-0143
การโจมตีนี้ทำงานได้กับ Windows 8 ตามที่ Microsoft กล่าว ซึ่งเทคนิคที่ใช้ ETERNALSYNERGY แบบเดิมไม่ได้ผลกับบนแพลตฟอร์มใหม่ ๆ เนื่องจากมีการปรับปรุงความปลอดภัยของเคอร์เนลหลายจุด ปัจจุบันผู้บุกรุกสามารถใช้ประโยชน์จากทั้ง ETERNALSYNERGY และ ETERNALROMANCE เพื่อกำหนดเป้าหมายได้เกือบทุกเวอร์ชั่นของ Windows ตั้งแต่ XP ไปจนถึง Windows Server 2016 ยกเว้นเพียง Windows 10 นั่นคือประมาณ 75% ของพีซีทุกเครื่องที่ใช้ Windows ทั้งหมดที่มีในปัจจุบัน
ที่มา : bleepingcomputer
การ hack กลุ่มแฮคเกอร์กลับนั้นไม่ใช่สิ่งที่ทาง Microsoft ผู้ซึ่งพยายามที่จะปกป้องลูกค้าจากเหล่าแฮคเกอร์ อาชญากรไซเบอร์ หรือกลุ่มที่ได้รับการสนับสนุนจากภาครัฐนั้นเลือกที่จะทำ ซึ่งทาง Microsoft เองเลือกที่จะใช้ตัวกฎหมายเป็นเครื่องมือในการจัดการกับแฮคเกอร์กลุ่มใหญ่ที่มีชื่อว่า Fancy Bear โดยทางองค์กรได้ทำการขโมยข้อมูลเซิร์ฟเวอร์จากความช่วยเหลือของตัวกฎหมาย Microsoft ให้ทีมกฎหมายฟ้อง Fancy Bear ในศาสสรัฐบาลกลางนอก Washington DC
Fancy Bear คือกลุ่ม hacker ที่รู้จักกันในอีกหลายๆ ชื่อ เช่น APT28, Sofacy, Sednit, และ Pawn Storm เริ่มมีการเคลื่อนไหวตั้งแต่ปี 2007 และเคยถูกกล่าวหาว่ามีส่วนเกี่ยวข้องกับการพยายามแฮคข้อมูลของคณะกรรมการพรรคเดโมแครต หรือ Democratic National Committee (DNC) เป็นที่เชื่อกันว่ากลุ่มแฮคเกอร์ดังกล่าวเกี่ยวข้องกับหน่วยสืบราชการลับของรัสเซียแม้ว่าทาง Microsoft ยังไม่พบการเชื่อมต่อใดๆ ระหว่างสองฝ่ายนี้ Fancy Bear เลือกจะที่ใช้ Domain Name ที่มีความคล้ายกับ domain ที่ทาง Microsoft ให้บริการอยู่ จึงทำให้ Microsoft สามารถใช้จุดนี้ทำให้กลุ่ม Fancy Bear ถูกนำตัวมาขึ้นศาล
ความตั้งใจของ Microsoft ไม่ใช่การนำตัวแฮคเกอร์เหล่านี้มาขึ้นศาล แต่ว่าต้องการที่จะเป็นเจ้าของ domain ของ Fancy Bear ซึ่งทำหน้าที่เป็น command-and-control เซิร์ฟเวอร์ ถึงแม้ว่า Microsoft จะไม่ได้สิทธิ์ครอบครองอย่างเต็มตัว แต่เมื่อปีที่ผ่านมาศาลตัดสินให้ Domain Name registrars ที่ชื่อ "compelling them to alter" ซึ่งเป็น DNS ของอย่างน้อย 70 domains ของ Fancy Bear ให้วิ่งไปที่เซิร์ฟเวอร์ที่ถูกควบคุมโดย Microsoft ซึ่งต่อมา Microsoft ใช้คดีความนี้เป็นเครื่องมือในการช่วยสร้าง Sinkhole Domains ซึ่งทำให้หน่วยอาชญากรรมดิจิตอลขององค์กรสามารถใช้เฝ้าสังเกตุการณ์พฤติกรรมได้
ที่มา : thehackernews
ก่อนหน้านี้ มัลแวร์ FruitFly ถูกตรวจพบโดยนักวิจัย Thomas Reed ของ Malwarebytes โดย FruitFly สามารถรีโมตเข้าควบคุมเครื่องได้ เช่น webcams หน้าจอ เมาส์ คีย์บอร์ดและติดตั้งซอฟต์แวร์ที่เป็นอันตรายบนเครื่อง ซึ่ง Apple ได้รีบออกแพตช์เพื่อแก้ไขปัญหาเมื่อต้นปีที่ผ่านมา
ปัจจุบัน Patrick Wardle อดีตนักวิจัยด้านความปลอดภัยของ NSA และ Synack พบคอมพิวเตอร์ 400 เครื่องที่ติดมัลแวร์ FruitFly (FruitFly 2) สายพันธุ์ใหม่ และจำนวนเครื่องที่ติดมัลแวร์อาจจะเพิ่มสูงขึ้นเรื่อยๆ FruitFly2 สามารถรันคำสั่ง shell, ย้ายและคลิกเคอร์เซอร์, จับภาพเว็บแคม, ปิดการทำงาน Process บนเครื่อง รวมถึงสามารถแจ้งเตือนแฮ็กเกอร์เมื่อเหยื่อเข้าใช้งาน Mac ของตนอีกครั้ง ตอนนี้ยังไม่มีรายงานเกี่ยวกับช่องทางการติดมัลแวร์ FruitFly 2 ที่แน่ชัด แต่ Fruitfly ส่วนใหญ่จะเข้าถึงเครื่อง Mac ผ่านทางเว็บไซต์อันตรายโดยการส่งมัลแวร์ผ่านทางอีเมลฟิชชิ่ง
ที่มา : thehackernews