ในวันที่ 18/03/20213 เวบไซด์ Spamhaus ซึ่งเป็นผู้ให้บริการฐานข้อมูลบัญชีดำหมายเลขไอพี (IP blacklist) สำหรับใช้ในการกรองอีเมลขยะได้ถูกโจมตีแบบ DDOS อย่างหนักจนใช้การไม่ได้ในระยะหนึ่งจนต้องย้ายไปใช้บริการของ CloudFlare ซึ่งเป็นผู้ให้บริการระบบ Cloud โดยการโจมตี DDOS ครั้งนี้เป็นการโจมตีแบบ DNS amplification ซึ่งมีรูปแบบการโจมตีคือ ทางผู้โจมตีจะทำการปลอมแปลงเป็น IP ของเหยื่อ แล้วทำการส่ง Request DNS ยัง DNS Server ที่เป็น Open DNS เพื่อทำการ Resolve DNS และเมื่อ DNS Server ได้รับคำร้องแล้ว ก็จะส่ง Request กลับไปหา IP ของเหยื่อ (ตามที่ผู้โจมตีปลอมมา) ทำให้เหยื่อได้รับ Packet DNS ปริมาณมหาศาล จากรายงานของ CloudFlare ได้ระบุว่าในการโจมตีครั้งแรกนั้นมี Traffic เริ่มต้นที่ 10 Gbps และได้เพิ่มขนาดของ Traffic ไปถึง 100 Gbps ภายใน 1 ชม. ซึ่ง Traffic ขนาดนี้มีขนาดเท่ากับ Traffic ที่ทำการ DDOS ไปยัง U.S. Banks ในเดือนกันยายนที่ผ่านมา และในการโจมตีครั้งที่ 2 ได้มีการเริ่มการโจมตีที่ 120 Gbps โดยโจมตีนานนับชั่วโมง หลังจากที่ผู้โจมตีเห็นว่าไม่สามารถ Down ระบบของ CloudFlare ได้ก็หันไปโจมตี Providers ที่ CloudFlare ได้ซื้อ Bandwidth ไว้แทนซึ่ง Traffic ของการโจมตีครั้งนี้ได้มี Traffic ที่สูงถึง 300 Gbps เลยทีเดียว ทาง Cloud Flare ได้ออกมาระบุว่า พวกเค้าได้พบว่า DNS resolver Server จำนวนมากกว่า 30,000 DNS resolver Server มีส่วนเกี่ยวข้องในการโจมตีครั้งนี้และทางผู้โจมตีได้มีการทำให้ขนาดของ Request มีขนาดต่ำกว่า 2.5Mbps ทำให้ DNS resolvers Server ไม่สามารถตรวจจับความผิดปกติได้ จากเทคนิคนี้ทำให้ผู้โจมตีใช้เพียงแค่ควบคุม botnet หรือ Server ที่ได้ยึดไว้ให้ส่ง request traffic ออกมาแค่ 750Mbps เท่านั้น

ที่มา : threatpost

ชาวธิเบตและชาวอุยเกอร์ ของจีนตกเป็นเป้าหมายในการโจมตีของมัลแวร์ตัวใหม่ที่ออกแบบมาสำหรับระบบปฏิบัติการ Android
นักวิจัยด้านความปลอดภัยของ Kaspersky  กล่าวว่า พวกเขาได้พบมัลแวร์ที่มีเป้าหมายการโจมตีไปยังอุปกรณ์มือถือ Android ซึ่งดูเหมือนว่าจะมาจากจีน ซึ่งใช้การโจมตีในรูปแบบ social engineering ซึ่งเป็นการใช้จิตวิทยาในการหลอกลวง เพื่อที่จะเข้าไปยังอุปกรณ์เป้าหมาย โดยมีจุดประสงค์ที่จะขโมย รายชื่อ , ข้อมูลการโทร และข้อความ  ของเหยื่อ
Kaspersky ได้ระบุว่าเป็นโทรจัน  "Chuli," หลังจากที่ได้ใช้คำสั่งให้แสดงข้อมูลก่อนที่จะโพสต์ข้อมูลไปที่ command-and-control server ที่ URL :  hxxp://64.78.161.133/*victims's_cell_phone_number*/process.

เว็บไซต์ www.1337day.com  ซึ่งเป็นเว็บชื่อดังที่รวบรวมรูปแบบการโจมตีผ่านช่องโหว่ต่างๆ  ถูกโจมตีและเปลี่ยนหน้าเว็บ ดังภาพประกอบโดยมีการทิ้งข้อความฝากถึงคนที่อยู่บน 1337day.

นักวิจัยความปลอดภัยที่ชื่อ Fernando A. Lagos Berardi  ได้ค้นพบช่องโหว่ในปลั้กอินของ WordPress ที่มีชื่อว่า WP Banners Lite ซึ่งเป็นปลั้กอินที่ใช้ในการจัดการแบนเนอร์โฆษณาใน WordPress เวอร์ชั่นของปลั้กอินที่ได้รับผลกระทบจากช่องโหว่นี้ได้แก่เวอร์ชั่น 1.29, 1.31 และ 1.40 ซึ่งเป็นเวอร์ชั่นล่าสุด โดยช่องโหว่ที่พบเกิดจากการที่ในไฟล์ wpbanners_show.

จากข่าวนี้ที่เกาหลีใต้โดนโจมตีจนทำให้ TV และธนาคารของเกาหลีใต้ใช้งานไม่ได้นั้น ได้มีนักวิจัยของ Finnish cybersecurity firm F-Secure ได้ออกบทวิเคราะห์ Malware ออกมาซึ่งระบุว่าเครื่องที่ติดมัลแวร์นั้นถูกหลอกให้ติดตั้งมัลแวร์ผ่านทางการโจมตีแบบ Spear Phishing ในรายงานที่ออกโดย The South Korean NSHC Red Alert Team ได้ระบุว่าการโจมตีนี้เป็นหนึ่งในแผนการโจมตีเกาหลีใต้ โดยมีเป้าหมายการโจมตีอยู่ที่ธนาคาร Shinhan ซี่งเป็น 1 ใน 4 ธนาคารของเกาหลีใต้ที่ได้รับผลกระทบจากการโจมตีครั้งนี้ ทาง F-Secure ได้สังเกตเห็นว่าไฟล์มัลแวร์ที่ใช้ในการโจมตีครั้งนี้มีชื่อไฟล์ที่ยาวมาก ซึ่งนั้นทำให้ F-Secure วิเคราะห์ว่าไฟล์มัลแวร์ตัวนี้น่าจะถูกติดตั้งผ่านทางการโจมตีแบบ Spear Phishing เนื่องจากมีรูปแบบการโจมตีคล้ายกับการแพร่กระจายของเวิร์มผ่านทางเมล์ก่อนหน้านี้
จากบันทึกของ F-Secure ซึ่งระบุว่าเป็นวันที่ 17/03/2013 ซึ่งเป็นวันก่อนที่จะมีการโจมตีเกาหลีใต้นั้น ได้มีการติดตั้งไอคอน Internet Explorer(IE) ปลอมลงไปในเครื่องของเป้าหมาย เมื่อเป้าหมายกดเปิด IE ปลอมขึ้นมาจะเป็นการสั่งให้ Payload ไป Execute ไฟล์ Dynamic Link Library (DLL) ขึ้นมาตามวันและเวลาที่แฮกเกอร์ได้ตั้งไว้ ซึ่งวันและเวลาที่ถูกตั้งไว้คือวันที่ 20/03/2013 เวลา 15.00 น. หลังจากไฟล์ DLL ถูกสั่ง Execute แล้วมันก็จะเริ่มดาวโหลดมัลแวร์มาติดตั้งและรันมัลแวร์ที่ดาวโหลดมา โดยมัลแวร์ที่ดาวโหลดมานั้นจะถูกดาวโหลดมาจากเวบไซด์ที่แฮกเกอร์ได้ไปควบคุมไว้อีกทีหนึ่ง เวบไซด์ที่ถูกใช้ในการโจมตีนี้ได้ถูกปิดลงไปหลังจากที่ F-Secure ได้ตรวจพบเวบไซด์นี้ นักวิจัยของ F-Secure ที่ใช้ชื่อแทนตัวเองว่า “Brod” ได้ออกมาระบุว่า “SSH clients ที่ถูกออกแบบโดย Felix Deimel และ VanDyke ซึ่งมีการใช้งานเหมือน RAR archive ได้ถูกใช้ในการโจมตีนี้ ซึ่ง SSH Clients นั้นเป็นซอฟแวร์ที่ไม่ได้ถูกรับรองโดย Third-party หรือ Windows และการโจมตีนี้ไม่ได้มีเป้าหมายที่จะลบข้อมูลในระบบ Linux และ Unix  จึงทำให้การโจมตีนี้ดูน่าสนใจ”

ที่มา : threatpost

หลังจาก Grum บอทเนทถูกปิด Command and Control(C&C) Server ในปีที่แล้ว หลังจากนั้นได้มีความพยายามในการตั้ง C&C Server ขึ้นมาใหม่แต่ก็ยังไม่ประสบความสำเร็จ จนกระทั่งไม่กี่วันที่ผ่านมา ได้มีนักวิจัยของ Trustwave Spider Labs ได้ตรวจพบว่า ทาง Grum's botmasters ได้ตั้ง C&C Serverขึ้นมาใหม่จำนวน 5 Server และได้ส่งข้อความที่ได้เข้ารหัสไว้ไปยังเครื่องที่ยังติด Grum บอทเนทอยู่ โดยข้อความที่ส่งไปนั้นจะเป็นการสั่งให้เครื่องที่ถูกยึดไว้ส่งสแปมเมล์ไปยังเครื่องอื่นๆ โดยข้อความในสแปมเมล์นั้นจะนำไปสู่เวบไซด์เกี่ยวกับการขายยาที่ผิดกฎหมาย ในตอนนี้เครื่องที่ติดบอทเนทกำลังค่อยๆเพิ่มขึ้นอย่างๆช้า และทางนักวิจัยได้บอกว่าถ้าจะหยุดการทำงานของบอทเนทอย่างถาวร คุณจะต้องกำจัดที่เครื่อง C&C Server ซึ่งเป็นเครื่องต้นเหตุเลยไม่ใช่ที่ปลายเหตุ

ที่มา : net-security

ออราเคิลได้อัพเดทแพทช์อย่างเร่งด่วนสำหรับช่องโหว่บน Java  ที่เกิดขึ้นหลายครั้งในช่วงหลายเดือนที่ผ่านมา
กว่า 100 ล้านคอมพิวเตอร์ถูกพบว่าเป็นช่องโหว่ที่สามารถเข้าถึงเครื่องผ่าน Java ซอฟต์แวร์
กระทรวงความมั่นคงของ US-CERT เตือนให้ผู้ใช้ปิดการใช้งานจาวาอย่างถาวร เพื่อหยุดแฮกเกอร์ควบคุมเครื่องของผู้ใช้
ผู้เชี่ยวชาญด้านความปลอดภัยแนะนำว่า “การป้องกันที่ดีที่สุดสำหรับการโจมตีประเภทนี้คือการปิด Java ในเบราว์เซอร์อย่างถาวร” ผู้เชี่ยวชาญ Websense กล่าวว่า ส่วนใหญ่การติดตั้งเบราว์เซอร์รุ่นเก่า
โดยใช้ plug-in ของจาวา อย่างน้อยมีช่องโหว่ที่ทำให้โจมตีผ่าน attack toolkit ได้ ซึ่ง Expoii kit เปนที่นิยมใช้ในการโจมตี Java-based
Websense แสดงให้เห็นว่าเพียง 5.5% ของเบราว์เซอร์ที่เปิดใช้งานใช้ Java รุ่นล่าสุด มีผู้ใช้งานที่มีช่องโหว่เบราว์เซอร์ที่ 93.77% และมากกว่า 75% ใช้จาวาตัวเก่าเมื่อหกเดือนที่แล้ว

ที่มา : thehackernews

ตำรวจสโลเวเนีย ทำการตรวจค้นบ้านของผู้ต้อง 12 หลังและจับกุมผู้ต้องหาได้ 5 คน ซึ่งเชื่อว่ามีส่วนร่วมในการใช้มัลแวร์ในการโจมตีเพื่อขโมยเงินจากบัญชีธนาคารของบริษัท โดยเหตุการณ์ดังกล่าวเกิดขึ้นเมื่อ Slovenian national Computer Emergency Response Team(SI-CERT) ได้รับรายงานเกี่ยวกับการโจมตี โดยเหยื่อจะได้รับอีเมลหลอกลวงที่อ้างว่ามาจากธนาคารภายในประเทศและหน่วยงานของรัฐทีมีอำนาจในการเก็บภาษีซึ่งมีการแนบโทรจันมาด้วย เมื่อมัลแวร์ดังกล่าวถูกติดตั้ง จะมีการรีโมทเข้ามายังเครื่องของเหยื่อเพื่อขโมยข้อมูล e-banking ในเครื่องของเหยื่อและส่งไปให้กับกลุ่มมิจฉาชีพ

ในกรณีที่อาจมีความเสียงในการถูกขโมยข้อมูลคือเหยื่อไม่ได้ทำการลบ smart card ที่ออกให้โดยธนาคารหลังการใช้งานเสร็จสิ้นแล้ว ซึ่งเป็นช่องทางให้กลุ่มมิจฉาชีพสามารถเข้าถึงบัญชีธนาคารของบริษัทได้อีก โดยผู้โจมตีได้วางแผนการโจมตีมาเป็นอย่างดีมักจะใช้ช่วงวันศุกร์หรือวันหยุดประจำชาติ ซึ่งจะทำให้บริษัทไม่สามารถที่จะทราบได้ทันทีที่มีการขโมยเงิน
ตามรายงานพบว่ากลุ่มมิจฉาชีพได้ว่าจ้างคนจำนวน 25 คนเพื่อโอนเงินกว่า 2 ล้านยูโรไปให้กลุ่มมิจฉาชีพดังกล่าว

ที่มา : ehackingnews

วัยรุ่นชายรัฐจอร์เจีย วัย 17 ปี ถูกจับที่โรงเรียน หลังตำรวจตั้งข้อหาความรุนแรงกับเยาวชน 8 กระทงและ 1 กระทงข้อหาการเอาเปรียบทางเพศต่อเด็ก
โดยผู้ต้องหาใช้การส่งข้อความโฆษณาผ่านโทรศัพท์มือถือไปยังเครื่องเหยื่อที่เป็นเยาวชน เมื่อเหยื่อกดลิ้งข้อความดังกล่าวก็จะติดมัลแวร์ ทำให้สามารถเข้าถึงข้อมูลส่วนตัว รูปภาพบนมือถือ รวมถึงบัญชีเว็บไซต์ social network
ของเหยื่อเช่น Facebook และ Twitter ได้ จากนั้นจึงนำไปโพสต์ในเว็บไซต์อนาจาร จึงโดนจับกุมได้พร้อมยึดเครื่องคอมพิวเตอร์ สืบสวนต่อมาพบว่ามีเหยื่ออีก 8 ราย โดยเป็นเยาวชนอายุต่ำสุดคือ 14 ปี

ที่มา : nakedsecurity

หน้าเว็บ iForgot password reset ของ Apple กลับมาออนไลน์ได้แล้วในตอนนี้  และ iMore ได้มีการยืนยันช่องโหว่ทางความปลอดภัย ซึ่งได้ค้นพบเมื่อเช้าตรู่ของวันนี้ในหน้า password reset ของ Apple จากนั้นจึงได้มีการออฟไลน์ดังกล่าว
จากเหตุการณ์ก่อนหน้านี้  หลังจากมีการแจก Apple ID และวันเดือนปีเกิดของเหยื่อ  แฮกเกอร์จะส่ง URL ที่ไปยัง Apple โดยจะสามารถเปลี่ยน Password สำหรับ account ดังกล่าว  โดยไม่จำเป็นต้องใส่ Security Question       ในการโต้ตอบในครั้งนี้  Apple  ได้มีการบล็อคหน้า Password reset และ ทำให้หน้าเว็บไซต์ดังกล่าวออฟไลน์ไป
เพียงแค่หนึ่งวันหลังจากนั้น Apple ได้มีการเริ่มระบบการยืนยันตัวตนแบบสองขั้นตอน    User ที่ได้มีการลงทะเบียนในระบบใหม่จะได้รับความปลอดภัยจากช่องโหว่ Password Reset      โชคร้ายสำหรับ User ที่จะต้องรอเป็นระยะเวลา 3 วัน เพื่อจะเริ่มใช้ระบบการยืนยันตัวตนแบบสองขั้นตอน  เหตุการณ์ในวันนี้เป็นตัวอย่างที่สำคัญว่าทำไมระบบการยืนยันตัวตนแบบสองขั้นตอนเป็นแนวคิดที่ดี

ที่มา : imore