Rootkit ที่ชื่อว่า “Necurs” ซึ่งในเดือนพฤศจิกายนที่ผ่านมา พบว่ามีเครื่องคอมพิวเตอร์กว่า 83,427 เครื่องติด Rootkit ตัวนี้ โดย Rootkit ตัวนี้สามารถทำงานได้ทั้งใน Windows แบบ 32 บิทและ 64 บิท แพร่กระจายผ่านทางเว็ปไซต์ที่มีการฝัง Blackhole exploit kit เอาไว้ โดยเจ้าของ Rootkit ดังกล่าวสามารถเข้าไปยังเครื่องของเหยื่อเพื่อตรวจดูกิจกรรมต่างๆของเหยื่อ, ส่งสแปมเมล์หรือติดตั้ง scareware (มัลแวร์ประเภทที่ข่มขู่เหยื่อให้จ่ายค่าปรับหรือให้โอนเงินเพื่อเหตุผลอย่างใดอย่างหนึ่งเพื่อแก้ไขสิ่งผิดปกติที่มัลแวร์แจ้งให้เหยื่อทราบ) นอกจากนี้ Rootkit ตัวนี้ยังสามารถหยุดการทำงานของโปรแกรมด้านความปลอดภัยบนเครื่องของเหยื่อได้อีกด้วย Rootkit ดังกล่าวถูกตั้งชื่อว่า “Trojan:Win32/Necurs” และมันจะดาวน์โหลดตัวมันเองไปเก็บไว้ในโฟลเดอร์ "%windir%Installer" ของเครื่องเหยื่อ และยังพบอีกว่ามัลแวร์บางตัวในตระกูลนี้สามารถฝังโค้ดของมันลงไปทุกๆ Process ที่ทำงานอยู่ หรือที่รู้จักกันในชื่อ “dead byte” ส่งผลให้เครื่องของเหยื่อต้อง Restart ตัวเอง และยังมีฟีเจอร์ที่ป้องกันตัวเองเพื่อไม่ให้ถูกลบออกจากเครื่องเหยื่อ โดยมี Necurs Driver ที่ป้องกันการกระทำใดๆบนเครื่องเหยื่อที่พยายามกำจัดองค์ประกอบของ Rootkit ตัวนี้

ที่มา : thehackernews

บริษัทผลิตน้ำมันรายใหญ่ที่สุดของประเทศซาอุดิอาระเบีย “Aramco” ออกมาเปิดเผยว่ากรณีที่เกิดการโจมตี Cyber Attack ในเดือนสิงหาคมที่ผ่านมา ซึ่งส่งให้เครื่องคอมพิวเตอร์กว่า 30,000 เครื่อง ติดไวรัสเพื่อเป้าหมายของแฮกเกอร์ท่ต้องการหยุดการผลิตน้ำมันและก๊าซของบริษัทที่ส่งออกน้ำมันรายใหญ่นี่เอง

โดยการโจมตีดังกล่าวทำโดยกลุ่มแฮกเกอร์จากหลายๆประเทศเท่านั้น โดยมีชื่อกลุ่มว่า “Cutting Sword of Justice” ที่ออกมาอ้างความรับผิดชอบ ไม่เกี่ยวกับพนักงานหรือผู้รับจ้างของ Aramco เป้าหมายของการโจมตีดังกล่าวคือต้องการจะหยุดการส่งออกน้ำมันของบริษัทไปสู่ตลาดทั้งภายในและภายนอกประเทศ ซึ่งไม่สำเร็จ จากคำกล่าวของรองประธานบริษัท Aramco

รายละเอียดของการโจมตีดังกล่าวใช้คอมพิวเตอร์ไวรัสที่รู้จักกันในชื่อ Shamoon ซึ่งแพร่กระจายไปยังคอมพิวเตอร์ในเครื่อข่ายของ Aramco และลบข้อมูลจากฮาร์ดไดร์ฟของคอมพิวเตอร์เหล่านั้น แต่จากเหตุการณ์นี้มีผลกระทบเพียงคอมพิวเตอร์ของออฟฟิตเท่านั้น ไม่ได้มีผลกระทบกับระบบที่ส่งผลต่อการดำเนินงาน

ที่มา : thehackernews

บริษัทด้านความปลอดภัย “ReVuln” โพสวีดีโอแสดงตัวอย่างการโจมตีบน Smart TV ของ Sumsang ที่สามารถเข้าถึงสิทธิ์ Root ได้ โดยมีช่องโหว่ที่สามารถเข้าไปลบข้อมูลไฟล์จากส่วนที่เก็บข้อมูลในอุปกรณ์ได้

วีดีโอ Demo ดังกล่าวจะแสดงให้เห็นถึงช่องโหว่ที่เป็น 0-day ซึ่งสามารถขโมยข้อมูลส่วนตัว, เข้าถึงสิทธิ์ Root และสามารถ monitor และเข้าควบคุมอุปกรณ์ดังกล่าวได้ ซึ่งทางทีมงานยังเปิดเผยอีกว่า พวกเขาได้ทดสอบช่องโหว่ดังกล่าวกับ Smart TV ของ Samsung หลายๆรุ่น รวมไปถึงรุ่นล่าสุดที่ใช้ Firmware ตัวล่าสุดอีกด้วย

ทีึ่มา : thehackernews

แฮกเกอร์ชาวรัสเซียแฮกข้อมูลศูนย์พยาบาลของ Gold Coast ที่ประเทศออสเตรเลีย โดยได้ข้อมูลการรักษาพยาบาลผู้ป่วยไปทำการเข้ารหัสแล้วทำการเรียกค่าไถ่เพื่อแลกกับการถอดรหัสข้อมูลออกมาเป็นเงิน 4,000 เหรียญดอลล่าร์

ที่ีมา : hack in the box

นักวิจัยของ Symantec ได้ค้นพบมัลแวร์ตัวใหม่ที่ชื่อ W32.Narilam ซึ่งมัลแวร์ตัวนี้มีเป้าหมายอยู่ที่การโจมตีระบบฐานข้อมูลของบริษัทที่ใช้เป็น Microsoft SQL database และมีการเชื่อมต่อแบบ OLEDB โดยมัลแวร์ตัวนี้จะทำการเปลี่ยนแปลงและลบข้อมูลในระบบฐานข้อมูลของบริษัท มัลแวร์ตัวนี้มีการระบาดในประเทศทางแถบตะวันออกกลาง และมีการระบาดอยู่ในสหรัฐอเมริกาและอังกฤษในจำนวนเล็กน้อย มัลแวร์ตัวนี้จะค้นหาชื่อตารางหรือวัตถุในฐานข้อมูลด้วยคำต่อไปนี้ alim, maliran, shahd, Asnad.

เว็ปไซต์ Piwik ซึ่งเป็นเว็ปไซต์ของโปรแกรม Open source ที่ใช้ในการสแกนและวิเคราะห์เว็ปไซต์ได้ถูกแฮกเกอร์อัพโหลดไฟล์ Zip ที่มีการฝังมัลแวร์ Backdoor ไว้ขึ้นไปบนเว็ปไซต์ให้คนทั่วไปดาวโหลด ทางเว็ปไซต์ได้แนะนำให้คนที่ดาวโหลดไฟล์ Piwik update 1.9.2 ตั้งแต่เวลา 15:43 UTC ถึง 23:59 UTC ในวันที่ 26/11/12 ให้เข้าไปเช็คไฟล์ piwik/core/Loader.

นักวิจัยของ Trusteer ได้ค้นพบฟังก์ชั่นการทำงานของมัลแวร์ Shylock ที่ใช้ในการตรวจจับและหลีกเลี่ยงการติดตั้งลงในเครื่อง Lab ที่มีการเปิดให้สามารถ Remote Desktop เข้ามาได้ มัลแวร์ Shylock ตรวจจับโดยการส่งข้อมูลที่ไม่มีอยู่จริงไปยังปลายทางที่มีอยู่จริงแล้วดู error code ที่ตอบกลับมา ถ้า error code ที่ตอบกลับมาแตกต่างจาก error code ที่ตอบกลับมาจากเครื่องปกติ มัลแวร์ Shylock จะไม่ติดตั้งลงในเครื่องนั้น ซึ่งวิธีการนี้สามารถใช้ในการตรวจสอบเครื่องนั้นว่าเป็นเครื่อง Virtual หรือ Sandbox ได้เช่นกัน

ที่มา : trusteer

มีรายงานช่องโหว่ที่รุ่นแรงใน Apache Tomcat ซึ่งผู้ประสงค์ร้ายสามารถโจมตีโดยผ่านมาตการรักษาความปลอดภัย และทำให้เกิด DoS (Denial of Service) ช่องโหว่ดังกล่าวมีผลกระทบกับ Apache Tomcat 6.x และ  Apache Tomcat 7.x .
อ้างอิงจาก
-    CVE-2012-4431 การปลอมแปลงคำขอทำธุรกรรม(CSRF)อาจจะสามารถผ่านมาตการการป้องกันได้ ถ้ามีการร้องขอข้อมูลที่ไม่มีการป้องกันข้อมูลโดยการระบุตัวตนใน Session ที่มีการ request
-    CVE-2012-4534 เป็นช่องโหว่ที่ทำให้เกิดการใช้งานทรัพยากรมากเกินไป เช่น ระบบมีการใช้หน่วยความจำมากเกินไป จนทำให้ระบบทั้งหมดหยุดทำงาน
-    CVE-2012-3546 ผู้ใช้งานหรือผู้ประสงค์ร้ายที่จงใจใช้งานผ่านมาตการรักษความปลอดภัยของโปรแกรม จะมีผลกระทบที่แตกต่างกันขึ้นอยู่กับการออกแบบและวัตถุประสงค์ที่จะให้เกิดผลกระทบกับโปรแกรมนั้น
ถ้าเวอร์ชั่นที่คุณใช้อยู่มีช่องโหว่ดังกล่าวสามารถแก้ไขได้ด้วยการ update เวอร์ชั่น ดังนี้
-    Tomcat 7.x: Update เป็น เวอร์ชั่น 7.0.32.
-    Tomcat 6.x: Update เป็น เวอร์ชั่น 6.0.36.

ที่มา : thehackernews

US CERT ออกมาเตือนเกี่ยวกับปริ้นเตอร์บางรุ่นของ Sumsung ที่ผลิตให้กับ Dell ก่อนวันที่ 31 ตุลาคม 2012 อาจจะพบ backdoor ที่ชื่อว่า backdoor administrator account ซึ่งสามารถทำให้ผู้โจมตีสามารถเข้ามากำหนดค่า,อ่านข้อมูลของ Network หรือเก็บข้อมูลส่วนตัวและข้อมูลที่มีความสำคัญผ่านปริ้นเตอร์โดยบัญชีผู้ใช้งาน

ถึงแม้ว่า SNMP (Simple network Management Protocol) จะปิดการใช้งาน  แต่ "backdoor administrator account" ยังคงทำงานอยู่และทำให้ทำให้ผู้โจมตีนำไปใช้ในการเข้าถึงเครื่องปริ้นเตอร์  SNMP เป็น Internet protocol ทั่วไป ที่แนบมากับอุปกรณ์ network ที่ผู้ใช้สามารถตรวจสอบและดูสถิติการใช้งานได้

ที่มา : thehackernews

แฮกเกอร์ที่ชื่อว่า “Christopher Weatherhead” หรือในชื่อโลกออนไลน์ “Nerdo” เป็นนักเรียนชาวอังกฤษ วัย 22 ปีที่เกี่ยวข้องกับกลุ่ม Anonymous  ได้รับการตัดสินโทษในสหราชอณาจักร ในการมีส่วนร่วมโจมตี Paypal, มาสเตอร์การ์ด, วีซ่าในปี 2010 และพบว่ามีความผิดที่เค้าร่วมมือกับเพื่อนอีก 3 คน

แฮกเกอร์ทั้ง 4 คนนี้ ถูกจับในข้อหาการโจมตี DOS ไปยังบริษัทเหล่านั้น เนื่องจากพวกเขาหยุดการดำเนินการจ่ายเงินให้กับ WikiLeaks ซึ่งค่าใช้จ่ายในการโจมตี PayPal มากกว่า 3.5 ล้านปอนด์ ซึ่งนาย Weatherhead ถูกตัดสินในวันต่อมาซึ่งอาจมีโทษจำคุกถึง 10 ปี

ที่มา : ehackingnews