หลังจากช่วงต้นปีที่ผ่านมามีข่าวแฮกเกอร์ได้ทำการขายข้อมูลที่แฮกมาจากเว็บไซต์ชื่อดัง ต่างๆ เช่น LinkedIn, MySpace, Tumblr และ VK.com ถึงตอนนี้มีรายงานว่ามีการซื้อขายข้อมูลที่สำคัญของผู้ใช้งาน Yahoo เป็นจำนวนกว่า 200 ล้านบัญชีในราคา 3 BTC หรือประมาณ $1,824

โดยแฮกเกอร์ที่ใช้นามแฝงว่า Peace ได้ทำการอัพโหลดข้อมูลดังกล่าวขึ้นสู่เว็บไซต์ผิดกฏหมาย โดยข้อมูลต่างๆ นั้นประกอบด้วยชื่อผู้ใช้, รหัสผ่านแบบ md5 และข้อมูลวันเกิด รวมไปถึงอีเมล์ ประเทศ และรหัสไปรษณีย์ด้วย, เนื่องจากรหัสผ่านเป็น md5 จึงง่ายต้องการถอดรหัส แฮกเกอร์นาม Peace ได้บอกว่าเป็นฐานข้อมูลของ Yahoo ตั้งแต่ปี 2012

อย่างไรก็ตามผู้ที่ใช้งานเว็บไซต์หรือบริการต่างๆของ Yahoo ควรเปลี่ยนรหัสผ่านให้มีความซับซ้อน ไม่ซ้ำกับเว็บไซต์หรือบริการอื่นๆ หรือใช้งานโปรแกรม Password Managers เป็นต้น

ที่มา: thehackernews

นักวิจัยจาก Proofpoint  พบการแพร่กระจายของ Chthonic banking Trojan ซึ่งแนบเป็น malicious link จาก User PayPal ด้วยการเปิดให้ refund เงินและหลอกให้เหยื่อกด link ดังกล่าวเพื่อ redirect ไป download JavaScript file ชื่อ paypalTransactionDetails.

Maxthon Browser จะมีการเก็บข้อมูลเกี่ยวกับการใช้งานโปรแกรม ระบบปฏิบัติการ ความละเอียดหน้าจอ ซีพียู แรม โฮมเพจ ประวัติเว็บไซต์ที่ผู้ใช้เข้าชม ข้อความที่ค้นหาในเว็บ Google รวมถึงรายชื่อและเวอร์ชันของซอฟต์แวร์ที่ติดตั้งในเครื่อง ส่งกลับไปยังบริษัทที่พัฒนาโปรแกรมด้วย

นักวิจัยด้านความปลอดภัยจาก Exatel ค้นพบว่าข้อมูลบางส่วนถูกส่งออกไป และถึงแม้ว่าข้อมูลที่ส่งออกไปจะถูกเข้ารหัสลับไว้ แต่ก็มีกุญแจสำหรับถอดรหัสลับถูกฝังอยู่ในโค้ดของโปรแกรม Maxthon Browser ทำให้สามารถถูกแกะข้อมูลออกมาอ่านได้

ทาง CEO ของ Maxthon Browser ได้ออกมาชี้แจงแล้วว่าการเก็บข้อมูลนี้ทำไปเพื่อปรับปรุงประสบการณ์การใช้งานโปรแกรมให้ดียิ่งขึ้น และได้สั่งระงับการส่งข้อมูลกลับมา แต่ยังค้นพบ Browser อื่นที่ยังมีพฤติกรรมลักษณะนี้อยู่ เช่น QQ Browser, Baidu Browser
ข้อแนะนำสำหรับผู้ใช้งาน Maxthon Browser หากมีความกังวลเรื่องความเป็นส่วนตัว ควรหยุดใช้โปรแกรมก่อนชั่วคราวจนกว่าจะมีการอัปเดตแก้ไขปัญหา

ที่มา: softpedia

Microsoft ได้แจ้งเตือนเกี่ยวกับ อีเมล์ที่มีการแนบไฟล์สคิปต์ที่มี dot ลงท้ายชื่อไฟล์ มาในสกุล .WSF

Nemucod ซึ่งเป็นมัลแวร์ประเภทโทรจันที่จะดาวน์โหลดมัลแวร์ตัวอื่นมาติดตั้งลงในเครื่องต่อ ซึ่งมีการแพร่กระจายมาก่อนหน้านี้ แต่ล่าสุดมีการใช้เทคนิคใหม่เพื่อหลอกล่อให้เหยื่อติดตั้งมัลแวร์ลงในเครื่อง
โดยส่งมาเป็นอีเมลที่แนบไฟล์ .ZIP โดยที่ภายในมีไฟล์นามสกุล .WSF ไฟล์ที่แนบมาจะมีลักษณะ เป็น dot( . ) ต่อท้ายชื่อไฟล์ ตัวอย่าง profile-d39a..wsf ทำให้ผู้ใช้หลงเชื่อว่าเป็นไฟล์ที่มีชื่อยาวเกินที่จะแสดงผล

เมื่อทำการกดเข้าไปยังไฟล์ ก็จะถูกติดตั้งมัลแวร์ ทำให้ไม่สามารถเปิดไฟล์ข้อมูลได้หากไม่มีการชำระเงิน แนะนำลูกค้าควรติดตั้งตัว Antimalware และมีการอัพเดตให้เป็นเวอร์ชั้นล่าสุดอยู่เสมอ ใช้ Applocker ทำการบล็อคไฟล์ .wsf และใช้ office 365

ที่มา: theregister, technet

Juniper Networks บริษัทชั้นนำทางด้านนวัตกรรมระบบเครือข่าย ประกาศออกแพทช์อุดช่องโหว่ความรุนแรงสูงหลายรายการบนอุปกรณ์ด้าน Network และ Security ที่ใช้ระบบปฏิบัติการ Junos OS ซึ่งช่วยให้แฮ็คเกอร์สามารถเข้าควบคุมอุปกรณ์ได้ในระดับ Admin รวมไปถึงช่องโหว่ Denial-of-Service
ช่องโหว่ที่รุนแรงที่สุด คือ CVE-2016-1279 ได้รับคะแนน CVSS 9.8/10 เป็นช่องโหว่บนอินเตอร์เฟส J-Web ซึ่งช่วยให้ผู้ดูแลระบบสามารถมอนิเตอร์ ตั้งค่า แก้ไขปัญหา และบริหารจัดการเราท์เตอร์ที่ใช้งาน Junos OS ได้ ช่องโหว่นี้เกิดจากปัญหา Information Leak ซึ่งช่วยให้แฮ็คเกอร์ได้สิทธิ์ระดับ Admin และสามารถเข้าควบคุมอุปกรณ์ได้ทันที

Juniper แนะนำให้อัพเดท Junos OS เป็นเวอร์ชัน 12.1X46-D45, 12.1X46-D46, 12.1X46-D51, 12.1X47-D35, 12.3R12, 12.3X48-D25, 13.3R10, 13.3R9-S1, 14.1R7, 14.1X53-D35, 14.2R6, 15.1A2, 15.1F4, 15.1X49-D30 หรือ 15.1R3 ขึ้นอยู่กับระบบปฏิบัติการที่ใช้

นอกจากนี้ Juniper ยังได้ออกแพทช์สำหรับอุดช่องโหว่ อื่นๆ อีกหลายรายการ ได้แก่

• Crafted UDP packet can lead to kernel crash on 64-bit platforms (CVE-2016-1263)
• Kernel crash with crafted ICMP packet (CVE-2016-1277)
• On High-End SRX-Series, ALG’s applied to in-transit traffic may trigger high CP (central point) utilization leading to denial of services.

การตรวจสอบโค้ดเพื่อหาช่องโหว่ความปลอดภัยเป็นระยะเพื่อป้องกันแฮกเกอร์พบช่องโหว่เหล่านี้ก่อนเป็นแนวทางที่เอกชนเริ่มให้ความใส่ใจมากขึ้นในช่วงหลัง เช่น Core Infrastructure Initiative หรือ Secure Open Source ตอนนี้ภาครัฐอย่างสหภาพยุโรปก็เริ่มเข้ามามีบทบาทโดยจัดสรรงบประมาณมาตรวจสอบโค้ดโครงการโอเพนซอร์ส

ทางสหภาพยุโรปได้ทำแบบสำรวจเป็นเวลาประมาณสามสัปดาห์เพื่อหาว่าซอฟต์แวร์ใดควรได้รับการตรวจสอบโค้ด ได้รับคำตอบกว่า 3,200 ชุด สองอันดับแรก คือ KeePass (23.1%) และ Apache HTTP Server (18.7%) ได้รับเลือกให้เข้าโครงการ อันดับถัดๆ ไปที่ไม่ได้รับเลือก เช่น VLC (8.8%), MySQL (4.3%), 7-zip (4.2%), Git (4.1%)

กระบวนการตรวจสอบโค้ดจะเริ่มในอีกไม่กี่สัปดาห์ข้างหน้า ถ้าไม่มีอะไรผิดพลาดเราน่าจะได้อ่านรายงานกันฟรีๆ อีกครั้ง

ที่มา: blognone, joinup

นักวิจัยจาก Cisco Talos พบช่องโหว่ในระบบปฏิบัติการ iOS, Mac OS X, watchOS และ tvOS โดยช่องโหว่นี้เกิดจากความผิดพลาดในส่วน ImageIO ที่ใช้ประมวลผลไฟล์รูปภาพ ทำให้แฮกเกอร์สามารถส่งไฟล์รูปภาพที่มีโค้ดอันตรายฝังอยู่เข้ามาเพื่อควบคุมเครื่องได้

วิธีการโจมตีสามารถทำได้หลายช่องทาง เช่น ส่งไฟล์รูปภาพมาทาง MMS, iMessage ส่งอีเมลที่มีไฟล์รูปภาพ หรือหลอกให้ผู้ใช้เข้าเว็บไซต์ที่ทำไว้สำหรับโจมตี สาเหตุที่ทำให้ช่องโหว่นี้มีระดับความอันตรายสูงเนื่องจากเครื่องเป้าหมายสามารถถูกโจมตีได้สำเร็จโดยไม่จำเป็นต้องได้รับการยืนยันใดๆ จากผู้ใช้

ปัจจุบัน Apple ได้ออกอัปเดตแก้ไขช่องโหว่นี้แล้ว ผู้ใช้งานควรอัปเดตระบบปฏิบัติการให้เป็นเวอร์ชันล่าสุด (iOS 9.3.3, Mac OS X 10.11.6, tvOS 9.2.2 และ watchOS 2.2.2) เพื่อป้องกันการถูกโจมตี

ที่มา : thehackernews

กรรมการกำกับดูแลตลาดหลักทรัพย์สหรัฐฯ (US Securities and Exchange Commission - SEC) สั่งปรับ Citigroup เป็นเงิน 7 ล้านดอลลาร์หลังจากพบว่าธนาคารส่งรายงานการซื้อขายไม่ครบถ้วนตั้งแต่ปี 1999 ไปจนถึงปี 2014
สาเหตุของความผิดพลาดเนื่องจากระบบการออกรายงานที่เขียนในช่วงปี 1995 มีการกรองหมายเลขสาขา 089 ถึง 100 ออกไป เนื่องจากเลขสาขาเหล่านี้เป็นสาขาปลอมที่สร้างขึ้นเพื่อทดสอบระบบ โค้ดนี้รันต่อเนื่องมาโดยตลอดและทาง Citigroup สร้างสาขาใหม่ๆ เป็นหมายเลขที่มีตัวอักษรได้ด้วย เช่น 10B, 10C ปรากฏว่าโค้ดเดิมกลับกรองสาขาเหล่านี้ออกไปด้วย ทำให้รายงานจากสาขาเหล่านั้นไม่ถูกส่งไปยัง SEC ตลอดระยะเวลาที่บั๊กนี้มีผล ทำให้ SEC ไม่ได้รับรายงานการซื้อขาย 26,810 รายการ จากการขอข้อมูล 2,300 ครั้ง
บั๊กนี้ถูกพบหลังจาก Citigroup ส่งรายงานการซื้อขายชุดใหญ่ไปยังทีมเทคนิคของ SEC เพื่อสอบถามการให้หมายเลขการซื้อขาย แต่ SEC พบว่าในรายงานมีเลขสาขาที่ไม่ปรากฏอยู่ในรายงานก่อนหน้านี้

ที่มา : blognone

Nikolay Nikiforov โฆษกประจำกระทรวงการสื่อสารของรัสเซีย เปิดเผยกับ SC Magazine ว่าปัจจุบันบรรดาวายร้าย Hacker ทุ่มงบประมาณถึง 40% ของเงินลงทุนที่ได้จากการทำทุจริตบนโลกอินเทอร์เน็ต เพื่อสร้างเทคโนโลยีในการจู่โจมแบบใหม่
Hacker ให้ความสำคัญกับการจัดหาทุนให้เกิดพัฒนาทางซอฟท์แวร์ก็คือ เน้นพัฒนาการเข้ารหัสของโปรแกรมไวรัส เพื่อให้ระบบป้องกันภัยบนโลกไซเบอร์ยุคใหม่ๆ ตรวจจับไม่พบ ซึ่งเงินที่ใช้ในการลงทุนก็มาจากความเสียหายของผู้บริสุทธิ์ที่ถูกปล้นบนโลกไซเบอร์นั่นเอง
โดยนำผลที่ได้ไปต่อยอดเพื่อเจาะช่องโหว่ด้านการรักษาความปลอดภัยไปยังระบบ บัญชีธนาคารอื่น ๆ ของเหยื่อที่ถูกโจมตี ตัวอย่างที่เกิดขึ้นก็คือธนาคาร Russian Kuznetsky ที่เป็นธนาคารใหญ่อันดับต้น ๆ ของรัสเซีย เพิ่งถูกโจมตีจาก Hacker ทำให้เกิดความเสียหายทางการเงินเป็นมูลค่าถึง 500 ล้านรูเบิ้ล (ประมาณ 20 ล้านเหรียญสหรัฐ)

ที่มา : enterpriseitpro

Foxit ออก patch version 8.0 เพื่อปิดช่องโหว่ จำนวนมากในส่วนของ PDF Reader รุ่น 7.3.4.311 และก่อนหน้าในช่วงอาทิตย์ที่ผ่านมา ซึ่งกว่าครึ่งของช่องโหว่นั้นเป็นการโจมตีในเชิง Remote code execute ไปเครื่องเป้าหมายที่ได้มีการติดตั้งโปรแกรมดังกล่าว ซึ่งพบพฤติกรรมที่เป็นการโจมตีในลักษณะของ PDF vulnerabilities โดยหลอกล่อให้

เหยื่อเปิดไฟล์หรือเข้า malicious pdf file ตาม website ต่าง ๆ Attacker สามารถใช้ไฟล์ image เช่น BMP, TIFF, GIF, JPEG ในการ exploit ผ่านช่องโหว่ดังกล่าวได้ และยังมี bug ในส่วนของการตรวจสอบ file SWF ที่อยู่ภายใน file PDF ที่ทำให้ attacker สามารถเข้าถึง Sensitive information ได้อีกด้วย

Recommendation ดำเนินการ update patch เพื่อลดความเสี่ยงในการถูกโจมตีด้วยช่องโหว่ดังกล่าว

ที่มา :  threatpost