จากการวิเคราะห์บอทเนทที่ชื่อว่า Skynet ของนักวิจัยของ Rapid7 ได้อธิบายว่าบอทเนทตัวนี้มีการติดต่อระหว่างเครื่อง Command and Control Server กับเครื่อง Zombie(เหยื่อ) ผ่านทาง Tor Network มัลแวร์ Skynet มีขนาดประมาณ 15 MB, มีโปรแกรมแอนตี้ไวรัสเพียงแค่ 7 โปรแกรมจาก 42 โปรแกรมเท่านั้นที่สามารถตรวจจับได้ มัลแวร์ Skynet จะประกอบไปด้วย 1.โปรแกรมบอทเนท Zeus ที่ได้รับการปรับแต่งมา 2. Tor client สำหรับวินโดว์ 3. โปรแกรม CGMiner Bitcoin mining สำหรับการทำ Bitcoins mining 4. ไฟล์ OpenCL.dll ซึ่งถูกใช้โดย CGMiner โดยใช้สำหรับการคำนวณหาค่า Hash เมื่อมัลแวร์ถูกรันขึ้นมามันจะก็อปปี้ตัวเองไปวางไว้ในพาธ AppData แบบสุ่มโดยจะทำเสมือนตัวเองเป็น Internet Explorer หรือเป็น svchost.

จากการวิเคราะห์บอทเนทที่ชื่อว่า Skynet ของนักวิจัยของ Rapid7 ได้อธิบายว่าบอทเนทตัวนี้มีการติดต่อระหว่างเครื่อง Command and Control Server กับเครื่อง Zombie(เหยื่อ) ผ่านทาง Tor Network มัลแวร์ Skynet มีขนาดประมาณ 15 MB, มีโปรแกรมแอนตี้ไวรัสเพียงแค่ 7 โปรแกรมจาก 42 โปรแกรมเท่านั้นที่สามารถตรวจจับได้ มัลแวร์ Skynet จะประกอบไปด้วย 1.โปรแกรมบอทเนท Zeus ที่ได้รับการปรับแต่งมา 2. Tor client สำหรับวินโดว์ 3. โปรแกรม CGMiner Bitcoin mining สำหรับการทำ Bitcoins mining 4. ไฟล์ OpenCL.dll ซึ่งถูกใช้โดย CGMiner โดยใช้สำหรับการคำนวณหาค่า Hash เมื่อมัลแวร์ถูกรันขึ้นมามันจะก็อปปี้ตัวเองไปวางไว้ในพาธ AppData แบบสุ่มโดยจะทำเสมือนตัวเองเป็น Internet Explorer หรือเป็น svchost.

Rootkit ที่ชื่อว่า “Necurs” ซึ่งในเดือนพฤศจิกายนที่ผ่านมา พบว่ามีเครื่องคอมพิวเตอร์กว่า 83,427 เครื่องติด Rootkit ตัวนี้ โดย Rootkit ตัวนี้สามารถทำงานได้ทั้งใน Windows แบบ 32 บิทและ 64 บิท แพร่กระจายผ่านทางเว็ปไซต์ที่มีการฝัง Blackhole exploit kit เอาไว้ โดยเจ้าของ Rootkit ดังกล่าวสามารถเข้าไปยังเครื่องของเหยื่อเพื่อตรวจดูกิจกรรมต่างๆของเหยื่อ, ส่งสแปมเมล์หรือติดตั้ง scareware (มัลแวร์ประเภทที่ข่มขู่เหยื่อให้จ่ายค่าปรับหรือให้โอนเงินเพื่อเหตุผลอย่างใดอย่างหนึ่งเพื่อแก้ไขสิ่งผิดปกติที่มัลแวร์แจ้งให้เหยื่อทราบ) นอกจากนี้ Rootkit ตัวนี้ยังสามารถหยุดการทำงานของโปรแกรมด้านความปลอดภัยบนเครื่องของเหยื่อได้อีกด้วย Rootkit ดังกล่าวถูกตั้งชื่อว่า “Trojan:Win32/Necurs” และมันจะดาวน์โหลดตัวมันเองไปเก็บไว้ในโฟลเดอร์ "%windir%Installer" ของเครื่องเหยื่อ และยังพบอีกว่ามัลแวร์บางตัวในตระกูลนี้สามารถฝังโค้ดของมันลงไปทุกๆ Process ที่ทำงานอยู่ หรือที่รู้จักกันในชื่อ “dead byte” ส่งผลให้เครื่องของเหยื่อต้อง Restart ตัวเอง และยังมีฟีเจอร์ที่ป้องกันตัวเองเพื่อไม่ให้ถูกลบออกจากเครื่องเหยื่อ โดยมี Necurs Driver ที่ป้องกันการกระทำใดๆบนเครื่องเหยื่อที่พยายามกำจัดองค์ประกอบของ Rootkit ตัวนี้

ที่มา : thehackernews

บริษัทผลิตน้ำมันรายใหญ่ที่สุดของประเทศซาอุดิอาระเบีย “Aramco” ออกมาเปิดเผยว่ากรณีที่เกิดการโจมตี Cyber Attack ในเดือนสิงหาคมที่ผ่านมา ซึ่งส่งให้เครื่องคอมพิวเตอร์กว่า 30,000 เครื่อง ติดไวรัสเพื่อเป้าหมายของแฮกเกอร์ท่ต้องการหยุดการผลิตน้ำมันและก๊าซของบริษัทที่ส่งออกน้ำมันรายใหญ่นี่เอง

โดยการโจมตีดังกล่าวทำโดยกลุ่มแฮกเกอร์จากหลายๆประเทศเท่านั้น โดยมีชื่อกลุ่มว่า “Cutting Sword of Justice” ที่ออกมาอ้างความรับผิดชอบ ไม่เกี่ยวกับพนักงานหรือผู้รับจ้างของ Aramco เป้าหมายของการโจมตีดังกล่าวคือต้องการจะหยุดการส่งออกน้ำมันของบริษัทไปสู่ตลาดทั้งภายในและภายนอกประเทศ ซึ่งไม่สำเร็จ จากคำกล่าวของรองประธานบริษัท Aramco

รายละเอียดของการโจมตีดังกล่าวใช้คอมพิวเตอร์ไวรัสที่รู้จักกันในชื่อ Shamoon ซึ่งแพร่กระจายไปยังคอมพิวเตอร์ในเครื่อข่ายของ Aramco และลบข้อมูลจากฮาร์ดไดร์ฟของคอมพิวเตอร์เหล่านั้น แต่จากเหตุการณ์นี้มีผลกระทบเพียงคอมพิวเตอร์ของออฟฟิตเท่านั้น ไม่ได้มีผลกระทบกับระบบที่ส่งผลต่อการดำเนินงาน

ที่มา : thehackernews

บริษัทด้านความปลอดภัย “ReVuln” โพสวีดีโอแสดงตัวอย่างการโจมตีบน Smart TV ของ Sumsang ที่สามารถเข้าถึงสิทธิ์ Root ได้ โดยมีช่องโหว่ที่สามารถเข้าไปลบข้อมูลไฟล์จากส่วนที่เก็บข้อมูลในอุปกรณ์ได้

วีดีโอ Demo ดังกล่าวจะแสดงให้เห็นถึงช่องโหว่ที่เป็น 0-day ซึ่งสามารถขโมยข้อมูลส่วนตัว, เข้าถึงสิทธิ์ Root และสามารถ monitor และเข้าควบคุมอุปกรณ์ดังกล่าวได้ ซึ่งทางทีมงานยังเปิดเผยอีกว่า พวกเขาได้ทดสอบช่องโหว่ดังกล่าวกับ Smart TV ของ Samsung หลายๆรุ่น รวมไปถึงรุ่นล่าสุดที่ใช้ Firmware ตัวล่าสุดอีกด้วย

ทีึ่มา : thehackernews

แฮกเกอร์ชาวรัสเซียแฮกข้อมูลศูนย์พยาบาลของ Gold Coast ที่ประเทศออสเตรเลีย โดยได้ข้อมูลการรักษาพยาบาลผู้ป่วยไปทำการเข้ารหัสแล้วทำการเรียกค่าไถ่เพื่อแลกกับการถอดรหัสข้อมูลออกมาเป็นเงิน 4,000 เหรียญดอลล่าร์

ที่ีมา : hack in the box

นักวิจัยของ Symantec ได้ค้นพบมัลแวร์ตัวใหม่ที่ชื่อ W32.Narilam ซึ่งมัลแวร์ตัวนี้มีเป้าหมายอยู่ที่การโจมตีระบบฐานข้อมูลของบริษัทที่ใช้เป็น Microsoft SQL database และมีการเชื่อมต่อแบบ OLEDB โดยมัลแวร์ตัวนี้จะทำการเปลี่ยนแปลงและลบข้อมูลในระบบฐานข้อมูลของบริษัท มัลแวร์ตัวนี้มีการระบาดในประเทศทางแถบตะวันออกกลาง และมีการระบาดอยู่ในสหรัฐอเมริกาและอังกฤษในจำนวนเล็กน้อย มัลแวร์ตัวนี้จะค้นหาชื่อตารางหรือวัตถุในฐานข้อมูลด้วยคำต่อไปนี้ alim, maliran, shahd, Asnad.

เว็ปไซต์ Piwik ซึ่งเป็นเว็ปไซต์ของโปรแกรม Open source ที่ใช้ในการสแกนและวิเคราะห์เว็ปไซต์ได้ถูกแฮกเกอร์อัพโหลดไฟล์ Zip ที่มีการฝังมัลแวร์ Backdoor ไว้ขึ้นไปบนเว็ปไซต์ให้คนทั่วไปดาวโหลด ทางเว็ปไซต์ได้แนะนำให้คนที่ดาวโหลดไฟล์ Piwik update 1.9.2 ตั้งแต่เวลา 15:43 UTC ถึง 23:59 UTC ในวันที่ 26/11/12 ให้เข้าไปเช็คไฟล์ piwik/core/Loader.

นักวิจัยของ Trusteer ได้ค้นพบฟังก์ชั่นการทำงานของมัลแวร์ Shylock ที่ใช้ในการตรวจจับและหลีกเลี่ยงการติดตั้งลงในเครื่อง Lab ที่มีการเปิดให้สามารถ Remote Desktop เข้ามาได้ มัลแวร์ Shylock ตรวจจับโดยการส่งข้อมูลที่ไม่มีอยู่จริงไปยังปลายทางที่มีอยู่จริงแล้วดู error code ที่ตอบกลับมา ถ้า error code ที่ตอบกลับมาแตกต่างจาก error code ที่ตอบกลับมาจากเครื่องปกติ มัลแวร์ Shylock จะไม่ติดตั้งลงในเครื่องนั้น ซึ่งวิธีการนี้สามารถใช้ในการตรวจสอบเครื่องนั้นว่าเป็นเครื่อง Virtual หรือ Sandbox ได้เช่นกัน

ที่มา : trusteer

มีรายงานช่องโหว่ที่รุ่นแรงใน Apache Tomcat ซึ่งผู้ประสงค์ร้ายสามารถโจมตีโดยผ่านมาตการรักษาความปลอดภัย และทำให้เกิด DoS (Denial of Service) ช่องโหว่ดังกล่าวมีผลกระทบกับ Apache Tomcat 6.x และ  Apache Tomcat 7.x .
อ้างอิงจาก
-    CVE-2012-4431 การปลอมแปลงคำขอทำธุรกรรม(CSRF)อาจจะสามารถผ่านมาตการการป้องกันได้ ถ้ามีการร้องขอข้อมูลที่ไม่มีการป้องกันข้อมูลโดยการระบุตัวตนใน Session ที่มีการ request
-    CVE-2012-4534 เป็นช่องโหว่ที่ทำให้เกิดการใช้งานทรัพยากรมากเกินไป เช่น ระบบมีการใช้หน่วยความจำมากเกินไป จนทำให้ระบบทั้งหมดหยุดทำงาน
-    CVE-2012-3546 ผู้ใช้งานหรือผู้ประสงค์ร้ายที่จงใจใช้งานผ่านมาตการรักษความปลอดภัยของโปรแกรม จะมีผลกระทบที่แตกต่างกันขึ้นอยู่กับการออกแบบและวัตถุประสงค์ที่จะให้เกิดผลกระทบกับโปรแกรมนั้น
ถ้าเวอร์ชั่นที่คุณใช้อยู่มีช่องโหว่ดังกล่าวสามารถแก้ไขได้ด้วยการ update เวอร์ชั่น ดังนี้
-    Tomcat 7.x: Update เป็น เวอร์ชั่น 7.0.32.
-    Tomcat 6.x: Update เป็น เวอร์ชั่น 6.0.36.

ที่มา : thehackernews