Ukrainian and Russian police arrest banking Trojan masterminds

“Kommersant” เว็บไซต์ข่าวของยูเครนได้รายงานการจับกุมผู้ต้องหา 20 คนที่ทำการขโมยเงินไปมากกว่า $ 250 ล้าน ผ่าน “Online Banking Fraud” การรโกงเงินจากบัญชีออนไลน์ กว่า 5 ปี        SBU  ( Security Service of Ukraine ) และ FSB ( Federal Security Service of Russia ) ได้ใช้เวลากว่าหนึ่งปีที่สืบหาที่อยู่ของแก๊งดังกล่าวใน Kiev, Zaporozhye, Lviv, Herson และ Odessa         ผู้ที่ถูกจับกุมมีอายุระหว่าง 25 ปีถึง 30ปี และเป็นผู้ที่รับผิดชอบด้านการเขียนโปรแกรม Banking Malware ที่รวมไปถึง Scam     รายละเอียดข้อมูลทั้งหมดถูกขโมยแล้วส่งไปยังเซิร์ฟเวอร์ที่ Odessa ใน Ukrain ซึ่งเป็นที่อยู่ของผู้บงการชาวรัชเซียวัย 28 ปี ทาง SBU กำลังรวบรวมหลักฐานที่พบจากคอมพิวเตอร์ที่ยึดมา

มัลแวร์ตัวนี้ได้ถูกออกแบบมาเพื่อขโมย Banking Credential, Logins/password และ ข้อมูลบัญชีจากซอฟแวร์ที่เป็นที่นิยมของบริษัทรัชเซีย (e.g. 1C)     หนึ่งในผู้ต้องหารได้กล่าวกับ Kommersant ว่าหลังจากแก๊งของเขาได้ยึดเครื่องคอมพิวเตอร์ที่ใช้ในทางธุรกิจ พวกเขาจะทำการเรียนรู้องค์กรของเหยื่อเพื่อที่จะส่งเป็น ปลอมแบบฟอร์มการชำระเงิน จากเครื่องของเหยื่อไปยังเครื่องของบริษัทต่างๆที่ผู้ต้องหาที่ควบคุมด้วย shell

ที่มา : nakedsecurity

North Korean News website Uriminzokkiri, Twitter, Flickr account hacked

แฮกเกอร์กลุ่ม Anonymous ทำการแฮกเว็บไซต์สำนักข่าวของเกาหลีเหนือ (Uriminzokkiri.com) โดยบอกว่าได้ข้อมูลผู้ใช้งานประมาณ 15,000 คน และได้นำไปโพสไว้ในเว็บไซต์ pastebin จำนวนนึงคือ 9,001 บัญชีซึ่งประกอบด้วยข้อมูลอีเมลแอดเดรสและรหัสผ่าน นอกจากนี้ยังควบคุมบัญชี Twitter และ Flickr ของสำนักข่าวดังกล่าวไว้อีกด้วย

ที่มา : ehackingnews

World's largest Digital documents library 'Scribd' Hacked

ห้องสมุดดิจิตอลที่ใหญ่ที่สุดของโลกชื่อว่า “Scribd” ประกาศว่าพวกเขาถูกแฮกและถูกโจมตี ซึ่งแฮกเกอร์สามารถยึดข้อมูลของผู้ใช้ทั่วไป, ชื่อผู้ใช้, อีเมล รวมถึงรหัสผ่านที่เข้ารหัสของฐานข้อมูลบางส่วน และพวกเขายังบอกอีกว่า “แม้ว่าข้อมูลเหล่านี้ถูกเข้าถึงได้ แต่รหัสผ่านได้มีการเข้ารหัสไว้แล้ว”
พวกเขาส่งอีเมลถึงผู้ใช้ทุกคนที่รหัสผ่านถูกแฮกไป โดยมีรายละเอียดของสถานการณ์ และคำแนะนำสำหรับการตั้งค่ารหัสผ่านของผู้ใช้
สัปดาห์ก่อนหน้านี้ทีมงานของ Scribd ได้ค้นพบความผิดปกติและบล็อกกิจกรรมที่น่าสงสัยในเครือข่าย Scribd ที่ดูเหมือนจะมีเจตนาจะพยายามเข้าถึงที่อยู่อีเมลและรหัสผ่านของผู้ใช้
หากบัญชีของคุณเป็นหนึ่งในผู้ได้รับผลกระทบเหล่านั้น ให้เข้าไปที่ http://www.

Trojan phishes for credit card info through fake Facebook page

นักวิจัยของ Trend Micro ได้ออกมาเตือนถึงโทรจันที่มุ่งเป้าโจมตีไปยังผู้ใช้ Facebook โดยโทรจันตัวนี้มีชื่อว่า TSPY_MINOCDO.A โทรจันตัวนี้จะแพร่กระจายผ่านทาง การดาวโหลดผ่าน Trojan dropper หรือวิธีการ drive-by-download(ดาวโหลดมาลงเครื่องโดยอัตโนมัติ) ผ่านทางเวบไซด์ที่แฮคเกอร์สร้างขึ้นมาหรือแฮคเกอร์ได้ไปฝังโค้ดเอาไว้ เมื่อโทรจันตัวนี้ลงที่เครื่องของเหยื่อแล้วมันจะทำตัวเสมือนตัวเองเป็น System Service ตัวหนึ่งเพื่อให้ทุกครั้งที่เครื่องเปิดขึ้นมาตัวมันเองจะได้ถูกรันโดยอัตโนมัติทุกครั้ง หลังจากที่มันถูกรันแล้วมันจะแก้ HOSTS files ของเครื่องเหยื่อ เพื่อที่เวลาเหยื่อพยายามเข้าเวบไซด์  www .facebook.

Malware tries to invade technology companies once every 60 seconds

บริษัทด้านเทคโนโลยีได้ถูกเป็นเป้าหมายของภัยคุกคามจาก Malware อย่างน้อย 1 ครั้ง ในทุก ๆ นาที โดยเฉลี่ยจาการบันทึก ”รายงานภัยคุกคามขั้นสูง” ของบริษัท FireEye ที่ออกมาเมื่อวันพุธ     โดยรายงานได้วิเคราะห์ 87 ล้าน เหตุการณ์ของ malware กว่าครึ่งปีของปี  2012  โดยได้มีการพบว่า องค์กรไปถึงอุตสาหกรรมได้ถูกเป็นเป้าหมายอย่างน้อย 1 ครั้ง ในทุก ๆ นาที โดยเฉลี่ย FireEye ได้ระบุว่าเหตุการณ์เหล่านี้เป็นพฤติกรรมที่พยายามจะเจาะระบบด้านความปลอดภัย เช่น Firewall, Anti-Virus และ IPS   โดยจะมากับ Malicious File, ไฟล์แนบ หรือ ลิ้งเว็บที่พยายามจะแทรกซึมเข้าไปยังเนตเวิร์คของบริษัทและถ้าสำเร็จจะทำให้สามารถส่งคำสั่งหรือติดต่อจาก C&C Server ได้
ยกตัวอย่าง  Spear Phishing Emails ที่แนบ HTML-based เพื่อที่จะถูกใช้แพร่กระจาย Trojan ไปยังกลุ่มเป้าหมายหลาย ๆ บริษัทที่เกาหลีใต้   จากการรายงานมีการสรุปว่าวิธีการส่งด้วยไฟล์ .zip เป็นทางเลือกของ Malware กว่า 92%  ที่โจมตี

ที่มา : scmagazine

Cisco Fixes Seven Critical Security Bugs

บริษัท Cisco ได้ออกแพทช์เพื่อแก้ไขช่องโหว่ทั้งหมด 7 ช่องโหว่ที่พบใน Internetwork operating system (IOS) ซึ่งเป็นระบบปฎิบัติการที่ใช้ใน Switch และ Router ของบริษัท Cisco โดยช่องโหว่ที่พบประกอบไปด้วย
1.    การทำงานของ IP service level agreements (SLA) บน IOS ที่มีช่องโหว่อนุญาตให้แฮคเกอร์สามารถ Remote เข้ามาใช้งานได้โดยไม่ต้องทำการ Authentication ซึ่งทำให้แฮคเกอร์สามารถเข้าไปโจมตีอุปกรณ์อื่นๆที่มีช่องโหว่ให้ใช้งานไม่ได้ชั่วคราว
2.    ช่องโหว่ในฟังก์ชั่น  virtual routing and forwarding aware network address translation เมื่อทำการแปลง IP Packets โดยช่องโหว่นี้ทำให้แฮคเกอร์สามารถปรับลดจำนวน memory ของอุปกรณ์เป้าหมายในระยะเวลาสั้นๆ เพื่อให้อุปกรณ์นั้นทำการ Reload ซ้ำๆ จนทำให้อุปกรณ์นั้นใช้งานไม่ได้ชั่วคราว
3.    ช่องโหว่ในฟังก์ชั่น  smart install client ที่แฮกเกอร์สามารถโจมตีเข้ามาเพื่อทำการ Reload อุปกรณ์นั้นซ้ำๆ จนทำให้อุปกรณ์นั้นใช้งานไม่ได้ชั่วคราว
4.    ช่องโหว่ในฟังก์ชั่น  Cisco’s IOS protocol translation  ที่แฮกเกอร์สามารโจมตีเข้ามาเพื่อทำการ Reload อุปกรณ์นั้นซ้ำๆ จนทำให้อุปกรณ์นั้นใช้งานไม่ได้ชั่วคราว
5.    ช่องโหว่ในระบบปฎิบัติการ IOS ที่แฮคเกอร์สามารถปรับลดจำนวน memory ของอุปกรณ์เป้าหมายเพื่อให้อุปกรณ์นั้นทำการ Reload ซ้ำๆ จนทำให้อุปกรณ์นั้นใช้งานไม่ได้ชั่วคราว
6.    ช่องโหว่ในฟังก์ชั่น IOS software key exchange ที่แฮกเกอร์สามารถโจมตีเข้ามาเพื่อทำการปรับลดจำนวน memory ของอุปกรณ์เป้าหมายเพื่อให้อุปกรณ์นั้นทำการ Reload ซ้ำๆ จนทำให้อุปกรณ์นั้นใช้งานไม่ได้ชั่วคราว
7.    ช่องโหว่ใน resource reservation protocol ที่อยู่ในโปรแกรม IOS XE โดยมีช่องโหว่ที่อนุญาตให้แฮคเกอร์สามารถ Remote เข้ามาใช้งานได้โดยไม่ต้องทำการ Authentication ซึ่งทำให้แฮคเกอร์สามารถเข้าไปทำการ Reload อุปกรณ์ที่เปิดการทำงานของฟังก์ชั่น multiprotocol label switching with traffic engineering ซ้ำๆ จนทำให้อุปกรณ์นั้นใช้งานไม่ได้ชั่วคราว

ที่มา : threatpost

Cisco Fixes Seven Critical Security Bugs

บริษัท Cisco ได้ออกแพทช์เพื่อแก้ไขช่องโหว่ทั้งหมด 7 ช่องโหว่ที่พบใน Internetwork operating system (IOS) ซึ่งเป็นระบบปฎิบัติการที่ใช้ใน Switch และ Router ของบริษัท Cisco โดยช่องโหว่ที่พบประกอบไปด้วย
1.    การทำงานของ IP service level agreements (SLA) บน IOS ที่มีช่องโหว่อนุญาตให้แฮคเกอร์สามารถ Remote เข้ามาใช้งานได้โดยไม่ต้องทำการ Authentication ซึ่งทำให้แฮคเกอร์สามารถเข้าไปโจมตีอุปกรณ์อื่นๆที่มีช่องโหว่ให้ใช้งานไม่ได้ชั่วคราว
2.    ช่องโหว่ในฟังก์ชั่น  virtual routing and forwarding aware network address translation เมื่อทำการแปลง IP Packets โดยช่องโหว่นี้ทำให้แฮคเกอร์สามารถปรับลดจำนวน memory ของอุปกรณ์เป้าหมายในระยะเวลาสั้นๆ เพื่อให้อุปกรณ์นั้นทำการ Reload ซ้ำๆ จนทำให้อุปกรณ์นั้นใช้งานไม่ได้ชั่วคราว
3.    ช่องโหว่ในฟังก์ชั่น  smart install client ที่แฮกเกอร์สามารถโจมตีเข้ามาเพื่อทำการ Reload อุปกรณ์นั้นซ้ำๆ จนทำให้อุปกรณ์นั้นใช้งานไม่ได้ชั่วคราว
4.    ช่องโหว่ในฟังก์ชั่น  Cisco’s IOS protocol translation  ที่แฮกเกอร์สามารโจมตีเข้ามาเพื่อทำการ Reload อุปกรณ์นั้นซ้ำๆ จนทำให้อุปกรณ์นั้นใช้งานไม่ได้ชั่วคราว
5.    ช่องโหว่ในระบบปฎิบัติการ IOS ที่แฮคเกอร์สามารถปรับลดจำนวน memory ของอุปกรณ์เป้าหมายเพื่อให้อุปกรณ์นั้นทำการ Reload ซ้ำๆ จนทำให้อุปกรณ์นั้นใช้งานไม่ได้ชั่วคราว
6.    ช่องโหว่ในฟังก์ชั่น IOS software key exchange ที่แฮกเกอร์สามารถโจมตีเข้ามาเพื่อทำการปรับลดจำนวน memory ของอุปกรณ์เป้าหมายเพื่อให้อุปกรณ์นั้นทำการ Reload ซ้ำๆ จนทำให้อุปกรณ์นั้นใช้งานไม่ได้ชั่วคราว
7.    ช่องโหว่ใน resource reservation protocol ที่อยู่ในโปรแกรม IOS XE โดยมีช่องโหว่ที่อนุญาตให้แฮคเกอร์สามารถ Remote เข้ามาใช้งานได้โดยไม่ต้องทำการ Authentication ซึ่งทำให้แฮคเกอร์สามารถเข้าไปทำการ Reload อุปกรณ์ที่เปิดการทำงานของฟังก์ชั่น multiprotocol label switching with traffic engineering ซ้ำๆ จนทำให้อุปกรณ์นั้นใช้งานไม่ได้ชั่วคราว

ที่มา : threatpost

Stealthy BaneChant Trojan Lurks in Word File, Relies on Multiple Mouse Clicks

Trojan ใหม่ที่มีการรายงานโดยสามารถตรวจจับการคลิ๊ก Mouse เพื่อหลีกเลี่ยงการวิเคราะห์ด้วย Sandbox,   “Stealthy BaneChant Trojan” มีความสามรถในการปลอมตัวเป็นเอกสารไฟล์ Word และรวมถึงเทคนิคขั้นสูงในการหลีกเหลี่ยงการตรวจับทำให้ Trojan ตัวนี้สามารถขโมยข้อมูลได้ดีกว่า Trojan ที่เคยมีมา     เชี่ยวชาญจาก FireEye ได้ให้ความสนใจเกี่ยวกับ Malware ที่เป็น Malicious Document ที่แปลงไปเป็น “Islamic Jihad.

Critical vulnerability in BIND 9 regular expression handling

จากการที่ก่อนหน้านี้มีข่าวออกมาว่า regular expression บางอย่างสามารถทำให้เซิร์ฟเวอร์ที่ใช้ BIND DNS (Bind คือ DNS Server บน Linux)นั้นเกิด denial-of-service ได้ ซึ่งช่องโหว่นี้ทำให้แฮกเกอร์สามารถที่จะส่ง regular expression บางอย่างเข้าไป แล้วจากนั้นจะทำให้ named process ของระบบใช้งานหน่วยความจำอย่างมาก แล้วหลังจากนั้นหน่วยความจำทั้งหมดก็จะถูกใช้ ทำให้ระบบและโปรแกรมอื่น ๆ ในเซิร์ฟเวอร์ไม่สามารถทำงานได้ โดยที่ช่องโหว่นี้นั้นมีผลกับ BIND version 9 ที่ทำงานในระบบ Linux และ Unix เท่านั้น

ซึ่งตอนนี้ก็ได้มีเวอร์ชั่นที่ได้แก้ไขช่องโหว่นี้ออกมาแล้ว ซึ่งเป็นเวอร์ชั่น 9.9.2-P2 และ 9.8.4-P2

ทางด้าน Internet Systems Consortium (ISC) ซึ่งเป็นหน่วยงานที่ดูแล BIND ก็ได้ออกมาบอกว่าช่องโหว่นี้นั้นสามารถถูกโจมตีได้ง่าย ดังนั้นขอให้อัพเดตเป็นเวอร์ชั่นดังกล่าวให้เร็วที่สุดเท่าที่เป็นไปได้

ที่มา : h-online