News

Cisco ถูกโจมตี และขโมยข้อมูลกว่า 2.8GB โดยกลุ่มแรนซัมแวร์ Yanluowang

Cisco ยืนยันเมื่อวันที่ 10 สิงหาคม 2565 ว่าถูกกลุ่มแรนซัมแวร์ Yanluowang โจมตีเครือข่ายขององค์กรเมื่อปลายเดือนพฤษภาคม และผู้โจมตีมีการข่มขู่ว่าจะเผยแพร่ไฟล์ที่ถูกขโมยออกไปจากโฟลเดอร์ Box ที่เชื่อมต่อกับบัญชีของพนักงานที่ถูกโจมตี และในวันเดียวกันนี้ ผู้โจมตีได้เผยแพร่ตัวอย่างรายการไฟล์ที่ได้ขโมยออกมาจาก Cisco บน Dark Web

ข้อมูลประจำตัวของพนักงานที่ถูกขโมย และถูกใช้ในการโจมตีเครือข่ายของ Cisco

กลุ่ม Yanluowang เข้าถึงเครือข่ายของ Cisco โดยการใช้ข้อมูลประจำตัวที่ถูกขโมยมาจากพนักงาน หลังจากสามารถเข้าถึงบัญชี Google ส่วนตัวของพนักงาน และมีข้อมูลข้อมูลประจำตัวบางอย่างถูกเก็บไว้บนเบราว์เซอร์

จากนั้นผู้โจมตีพยายามใช้วิธี voice phishing โดยการแอบอ้างเป็นองค์กรที่น่าเชื่อถือ เพื่อให้พนักงานของ Cisco กดลิงค์ยืนยัน MFA ทำให้ผู้โจมตีจึงสามารถเข้าถึงบัญชี VPN ของพนักงานคนดังกล่าวได้

เมื่อเข้าถึงเครือข่ายของ Cisco ได้แล้ว กลุ่ม Yanluowang จึงเชื่อมต่อเข้าไปยังเซิร์ฟเวอร์ Citrix และ domain controllers เพื่อให้ได้รับสิทธิ์ในการเข้าควบคุมระบบ

หลังจากได้รับสิทธิ์ผู้ดูแลระบบบนโดเมนแล้ว ผู้โจมตีมีการใช้เครื่องมือต่างๆ เช่น ntdsutil, adfind และ secretsdump เพื่อเก็บรวบรวมข้อมูลเพิ่มเติม และพยายามติดตั้งเพย์โหลดของมัลแวร์ไปยังระบบที่ถูกโจมตี รวมถึงแบ็คดอร์ด้วย

สุดท้าย Cisco สามารถตรวจพบ และจัดการผู้โจมตีออกจากระบบได้ แต่ยังมีการพยายามในการกลับมาโจมตีอีกครั้งในสัปดาห์ถัดไป แต่ยังไม่สำเร็จ

(more…)

พบซ่องโหว่ Dependency confusion บน AWS CodeArtifact

AWS CodeArtifact ทำหน้าที่เป็น private repository เพื่อเก็บ software package ที่ใช้ภายในองค์กร

CodeArtifact มีช่องโหว่ที่หากผู้โจมตีทราบชื่อ package ที่ใช้ภายใน แล้วนำ malicious package ที่เป็นชื่อเดียวกันแต่มีเลข version สูงกว่า upload ไปยัง public repository เมื่อ package manager จะ install package ตัว CodeArtifact จะไปดึง malicious package จาก public repository แทนที่จะเป็น internal package ที่ถูก upload ไว้ใน CodeArtifact

วิธีการแก้ไข

ตั้งแต่เดือนพฤษภาคม 2022 เป็นต้นมา AWS เพิ่ม feature ใหม่ Package Origin Controls โดย Default package ที่ถูก upload ไปยัง CodeArtifact เมือมี package manager install ตัว CodeArtifact จะไม่ดึง package ที่มีชื่อเดียวกันจาก public repository เพื่อป้องกันการโจมตีในลักษณะ dependency confusion

สำหรับ package ทีถูก upload ไปก่อนหน้าพฤษภาคม 2022 ต้องแก้ Origin controls Upstream เป็น Block

ที่มา: zego.

Cisco แก้ไขช่องโหว่ที่ทำให้สามารถเข้าถึง RSA private key ได้ บนอุปกรณ์ ASA และ FTD

Cisco ได้แก้ไขช่องโหว่ที่มีระดับความรุนแรงสูงซึ่งส่งผลกระทบต่อ Adaptive Security Appliance (ASA) และ Firepower Threat Defense (FTD)

ช่องโหว่มีหมายเลข CVE-2022-20866 โดยเป็นช่องโหว่ที่เกิดจากการจัดการ RSA keys บนอุปกรณ์ ASA และ FTD

หากสามารถโจมตีได้สำเร็จ ผู้โจมตีที่ไม่จำเป็นต้องมีการตรวจสอบสิทธิ์ สามารถเข้าถึง RSA private keys ได้ ซึ่งทำให้ผู้โจมตีสามารถอ่านข้อมูลที่ถูกเข้ารหัสระหว่างการรับส่งข้อมูลของอุปกรณ์ หรือปลอมแปลงเป็นอุปกรณ์ Cisco ASA/FTD ได้

ช่องโหว่ดังกล่าวส่งผลกระทบต่อ Cisco ASA (9.16.1 ขึ้นไป) หรือ Cisco FTD (7.0.0 ขึ้นไป) ได้แก่

ASA 5506-X with FirePOWER Services
ASA 5506H-X with FirePOWER Services
ASA 5506W-X with FirePOWER Services
ASA 5508-X with FirePOWER Services
ASA 5516-X with FirePOWER Services
Firepower 1000 Series Next-Generation Firewall
Firepower 2100 Series Security Appliances
Firepower 4100 Series Security Appliances
Firepower 9300 Series Security Appliances
Secure Firewall 3100

ที่มา : bleepingcomputer.

พบช่องโหว่บนแพลตฟอร์ม PAN-OS ของ Palo Alto ผู้โจมตีสามารถใช้ประโยชน์จากช่องโหว่นี้ทำให้เกิด DDoS Attack ได้

Palo Alto Networks กำลังดำเนินการแก้ไขปัญหาช่องโหว่ที่ผู้ไม่หวังดีสามารถใช้เทคนิค Reflection Amplification ก่อให้เกิดการปฏิเสธการให้บริการ (DoS) ได้ ซึ่งช่องโหว่นี้ส่งผลกระทบกับ PAN-OS ของ Next-Gen Firewall

ลักษณะการทำงาน

ผู้เชี่ยวชาญจาก Palo Alto Networks พบผู้ไม่หวังดีพยายามใช้ Firewall หลากหลายยี่ห้อ ทำการโจมตีแบบ Reflected denial-of-service (RDoS) แต่ไม่ได้ระบุว่าเป็นยี่ห้อใด และมีองค์กรไหนบ้างได้รับผลกระทบ โดยระบุเพียงว่า Firewall ของตนก็ตกเป็นหนึ่งในอุปกรณ์ถูกที่ใช้สำหรับโจมตี โดยช่องโหว่นี้คือ CVE-2022-0028 (คะแนน CVSS 8.6) ซึ่งเกิดจากการตั้งค่าผิดพลาดบนฟีเจอร์ URL Filtering ของ PAN-OS ส่งผลให้ผู้ไม่หวังดีสามารถใช้ช่องโหว่ดังกล่าวสร้าง DoS attack ได้

การโจมตีดังกล่าวเกิดขึ้นได้บน Firewall Palo Alto ทั้ง PA-Series (hardware), VM-Series (virtual) และ CN-Series (container) อย่างไรก็ตาม การโจมตีจำเป็นต้องมีการระบุเป้าหมายที่จะโจมตีด้วย นอกจากนี้การใช้ประโยชน์จากช่องโหว่ดังกล่าว ผู้โจมตีต้องปฏิบัติตามเงื่อนไขบางอย่างโดยเฉพาะ เช่น มีการตั้งค่าฟีเจอร์ URL Filtering หรือ Packet-based attack protection ที่ผิดปกติ

แนวทางการป้องกัน

ผู้ใช้งานสามารถลบ Policy ที่ทำให้เกิดช่องโหว่ ตัวอย่างเช่น Policy ที่ Source Zone มีการใช้งาน Interface ภายนอก (External Interface) และใน Policy นั้นมีการเปิดใช้งานฟีเจอร์ URL Filtering อยู่ และใน URL Filtering นั้นจำเป็นจะต้องมี Category ที่เป็น Block อย่างน้อย 1 ชนิดขึ้นไป
ไม่ควรเปิดใช้งานโหมด Packet-based attack protection และ Flood Protection พร้อมกัน
อัพเดทแพตช์ จาก PAN-OS 10.1 เป็น 10.1.6-h6
ส่วนแพตช์สำหรับ PAN-OS 8.1, 9.0, 9.1, 10.0 และ 10.2 นั้นคาดว่าจะปล่อยออกมาในช่วงวันที่ 15 สิงหาคม 2022

ที่มา : securityweek.

Intel ออกแพตช์อัปเดตสำหรับช่องโหว่ที่มีความรุนแรงใน Firmware และ Management Software

Intel ได้เผยแพร่คำแนะนำด้านความปลอดภัย 27 รายการ ซึ่งมีรายละเอียดช่องโหว่ประมาณ 60 รายการใน Firmware, software libraries และ Endpoint and data center management products.

Microsoft ออกแพตช์แก้ไขช่องโหว่ Zero-day ‘DogWalk’ ที่กำลังถูกใช้โจมตีอยู่ในปัจจุบัน

Microsoft ออกแพตช์อัปเดตเดือนสิงหาคม 2022 "Patch Tuesday" เพื่อแก้ไขช่องโหว่ Zero-day บน Windows ที่ถูกเผยแพร่ออกสู่สาธารณะ และกำลังถูกใช้โจมตีอยู่ในปัจจุบัน โดยช่องโหว่มีหมายเลข CVE-2022-34713 และถูกเรียกว่า DogWalk โดยช่องโหว่เป็นลักษณะ path traversal บน Windows Support Diagnostic Tool (MSDT) ที่ทำให้ผู้โจมตีสามารถใช้ประโยชน์จากช่องโหว่เพื่อสั่งรันโค้ดที่เป็นอันตรายจากระยะไกลได้ โดยผู้โจมตีอาจใช้วิธีการส่งไฟล์ .diagcab ที่ถูกสร้างขึ้น เพื่อหลอกให้ผู้ใช้งานเปิดใช้งานผ่านทางอีเมลล์ หรือดาวน์โหลดผ่านหน้าเว็ปไซต์ โดยมันจะทำงานโดยอัตโนมัติ หลังจากมีการรีสตาร์ทระบบ และทำการดาวน์โหลดเพย์โหลดของมัลแวร์อื่นๆเพิ่มเติม

DogWalk ได้รับการเผยแพร่ออกสู่สาธารณะโดย Imre Rad นักวิจัยด้านความปลอดภัยเมื่อสองปีที่แล้วในเดือนมกราคม 2020 แต่ Microsoft แจ้งว่าช่องโหว่ดังกล่าวจะไม่มีการแก้ไข เนื่องจาก Microsoft มองว่าไม่ได้เป็นปัญหาทางด้านความปลอดภัย แต่อย่างไรก็ตามช่องโหว่ Microsoft Support Diagnostics Tool ดังกล่าวถูกพบอีกครั้งเมื่อเร็วๆ นี้ และถูกรายงานโดยนักวิจัยด้านความปลอดภัย j00sean

จากข้อมูลของ Microsoft DogWalk จะมีผลกับ Windows ทุกรุ่น รวมถึงไคลเอนต์ และเซิร์ฟเวอร์เวอร์ชันล่าสุด Windows 11 และ Windows Server 2022 โดยรวมแล้ว Microsoft ได้แก้ไขช่องโหว่ 112 รายการในเดือนสิงหาคม 2022 ซึ่งรวมถึงช่องโหว่ที่สำคัญ 17 รายการ ที่สามารถสั่งรันโค้ดที่เป็นอันตรายจากระยะไกล และยกระดับสิทธิ์ได้

ที่มา : bleepingcomputer

แพตซ์ล่าสุดของ Microsoft Exchange ต้องเปิด Extended Protection เพิ่มเติม เพื่อแก้ไขช่องโหว่ได้อย่างสมบูรณ์

Microsoft ระบุว่าช่องโหว่ของ Exchange Server ที่ได้รับการแก้ไขไปเมื่อเดือนสิงหาคม 2565 ยังต้องมีการให้ผู้ดูแลระบบเปิดใช้งาน Extended Protection ด้วยตนเองบนเซิร์ฟเวอร์ที่ได้รับผลกระทบ เพื่อให้สามารถบล็อกการโจมตีได้ทั้งหมด เมื่อวันที่ 9 สิงหาคม 2565 ทาง Microsoft ได้ออกแพตซ์แก้ไขช่องโหว่ 121 รายการ รวมถึงช่องโหว่ zero-day บน Windows ที่ชื่อว่า DogWalk ซึ่งกำลังถูกใช้โจมตีอยู่ในปัจจุบัน และช่องโหว่บน Exchange หลายรายการ (CVE-2022-21980, CVE-2022-24477 และ CVE-2022-24516) ซึ่งมีระดับความรุนแรง critical ที่ทำให้สามารถโจมตีในรูปแบบการยกระดับสิทธิ์ได้ โดยผู้โจมตีสามารถโจมตีช่องโหว่ดังกล่าวเพื่อยกระดับสิทธิ์ได้ด้วยการหลอกให้ผู้ใช้งานเข้าถึงเว็ปไซต์ที่เป็นอันตรายผ่านทาง phishing อีเมลล์ หรือข้อความแชท

(more…)

มัลแวร์บน IoT ตัวใหม่ RapperBot มุ่งเป้าโจมตี Linux Servers ด้วยการ Brute-Force SSH

มัลแวร์บน IoT ตัวใหม่ RapperBot ถูกพบว่ามีการพัฒนาความสามารถขึ้นอย่างรวดเร็วตั้งแต่ที่ถูกพบครั้งแรกเมื่อช่วงกลางเดือนมิถุนายน 2022 “มัลแวร์ตัวนี้นำ Source code ส่วนใหญ่มาจาก Mirai botnet แต่สิ่งที่แตกต่างจากมัลแวร์ IoT ตัวอื่น ๆ คือความสามารถแบบ Built-in ในการ Brute-force Credentials และเข้าถึง SSH Server แทนการเข้าถึง Telnet เหมือนอย่าง Mirai botnet” Fortinet FortiGuard Labs ระบุในรายงาน
ชื่อของมัลแวร์ตัวนี้ได้มาจากการที่มี URL ที่ลิงก์ไปยังวิดีโอเพลงแร็ปบน Youtube ในเวอร์ชันแรก ๆ ปัจจุบันพบว่าจำนวน SSH Server ที่ถูกเข้าควบคุมมีเพิ่มมากขึ้น โดยมัลแวร์ตัวนี้ได้ใช้ Unique IP addresses มากกว่า 3,500 IP ในการ Scan และ Brute-force ไปยัง Server ต่าง ๆ

(more…)

GwisinLocker Ransomware สามารถเข้ารหัสได้ทั้ง Windows, Linux และ ESXi Server

ผู้เชี่ยวชาญจาก Ahnlab และ ReversingLabs ได้ค้นพบ Ransomware ตระกูลใหม่ที่ชื่อว่า 'GwisinLocker' ซึ่งในครั้งนี้เป้าหมายคือบริษัทด้านการดูแลสุขภาพ อุตสาหกรรม และเภสัชกรรมของเกาหลีใต้ โดยมันสามารถเข้ารหัสได้ทั้งระบบปฏิบัติการ Windows, Linux และ ESXi Server

จากการตรวจสอบเพิ่มเติม พบว่ามัลแวร์ตัวใหม่นี้เป็นผลงานของกลุ่มแฮ็กเกอร์ที่มีชื่อว่าว่า Gwisin ซึ่งแปลว่า "ผี" ในภาษาเกาหลี โดยปัจจุบันยังไม่มีข้อมูลเกี่ยวกับแฮ็กเกอร์กลุ่มนี้มากนัก โดยการโจมตีเกิดขึ้นในช่วงวันหยุดราชการของเกาหลี และเกิดในช่วงเช้ามืด ดังนั้น Gwisin จึงอาจเป็นกลุ่มที่เข้าใจภาษาเกาหลี รวมไปถึงวัฒนธรรม และลักษณะธุรกิจในประเทศได้เป็นอย่างดี

ลักษณะการทำงาน

บนระบบปฏิบัติการ Windows การทำงานของ GwisinLocker เริ่มจากไฟล์ MSI ที่ถูกติดตั้ง จะทำการดาวน์โหลดไฟล์ DLL ผ่าน Command Line ซึ่งสาเหตุที่เป็น Command Line เนื่องจากยากต่อการตรวจสอบ และวิเคราะห์ข้อมูล ซึ่งภายหลัง ไฟล์ DLL ที่ดาวน์โหลดมาจะทำหน้าที่เป็นตัวเข้ารหัสของ Ransomware
หลังจากระบุพารามิเตอร์บน Command Line เรียบร้อบ ไฟล์ DLL จะถูกติดตั้งเข้าไปใน Process ของ Windows เพื่อหลบเลี่ยงการตรวจจับจาก AntiVirus และทำการเข้ารหัสเครื่องเป้าหมาย
ในบางครั้ง GwisinLocker จะทำงานใน Safe Mode โดยจะคัดลอกตัวมันเองลงใน ProgramData และสร้าง Services ขึ้นมาสำหรับ Reboot เครื่องเป้าหมายไปยัง Safe Mode
สำหรับระบบปฏิบัติการ Linux การเข้ารหัสจะเน้นไปที่ระบบ VMware ESXi Server โดยมี Command Line ดังต่อไปนี้

Usage: Usage

-h, --help แสดงข้อความช่วยเหลือ

Options
-p, --vp Path ที่จะทำการเข้ารหัส
-m, --vm ใช้สำหรับหยุดการทำงานของ VM โดยมีตัวเลือกให้ STOP หรือ KILL ทิ้ง
-s, --vs กำหนดเวลาที่จะเข้าสู่โหมด Sleep ก่อนทำการเข้ารหัส
-z, --sf ข้ามการเข้ารหัสไฟล์ที่เกี่ยวข้องกับ ESXi
-d, --sd คำสั่งลบตัวเองหลังติดตั้งเสร็จ
-y, --pd สร้าง text message ลงบนไฟล์ที่เข้ารหัส
-t, --tb เข้าสู่ Loop การทำงานใหม่ หาก Unix Epoch Time น้อยกว่า 4 ชั่วโมง

ซึ่งการเข้ารหัสจะเริ่มหลังจากมีการระบุพารามิเตอร์ต่างๆ บน Command Line สำเร็จ

เมื่อเข้ารหัสไฟล์ ตัวเข้ารหัสจะใช้การเข้ารหัสแบบ AES symmetric-key โดยค่า Hash คือ SHA256
อย่างไรก็ตาม ตัวเข้ารหัสทั้งหมดได้รับการปรับแต่งให้รวมกับชื่อบริษัทเป้าหมายในไฟล์เรียกค่าไถ่ และมีการใช้นามสกุลเฉพาะสำหรับไฟล์ที่เข้ารหัส ทำให้ผู้เชี่ยวชาญเข้าใจว่ากลุ่มแฮ็กเกอร์เองก็เป็นชาวเกาหลี หรือผู้ที่มีความรู้เกี่ยวกับบริษัทในเกาหลีเป็นอย่างมาก
ไฟล์ที่ระบุสำหรับเรียกค่าไถ่ ใช้ชื่อว่า '!!Unable to render embedded object: File (_HOW_TO_UNLOCK_[company_name]_FILES_) not found.

Semikron บริษัทผู้ผลิตเซมิคอนดักเตอร์ ถูกโจมตีโดย LV Ransomware

บริษัท Semikron ผู้ผลิตอุปกรณ์ไฟฟ้าจากประเทศเยอรมนี เปิดเผยว่าบริษัทถูกโจมตีโดย Ransomware ที่เข้ารหัสเครือข่ายของบริษัทบางส่วน

บริษัท Semikron มีพนักงานมากกว่า 3,000 คน สำนักงาน 24 แห่ง และโรงงานผลิต 8 แห่งทั่วโลกในเยอรมนี, บราซิล, จีน, ฝรั่งเศส อินเดีย, อิตาลี, สโลวาเกีย และสหรัฐอเมริกา โดยมีมูลค่าการซื้อขายประมาณ 461 ล้านดอลลาร์ในปี 2563

นอกจากนี้ยังถือว่าเป็นหนึ่งในผู้ผลิตส่วนประกอบด้านวิศวกรรมกำลังไฟฟ้าชั้นนำของโลก โดยกังหันลม 35% ใช้เทคโนโลยีของบริษัท Semikron

การโจมตีจาก LV Ransomware

LV Ransomware มีโครงสร้างโค้ดเหมือนกับ REvil ที่กลุ่มผู้โจมตีอย่าง GOLD SOUTHFIEL เคยนำมาใช้ในการโจมตี และอาจมีการขายซอร์สโค้ด หรือแบ่งปันกับกลุ่มผู้โจมตีอื่นๆ ซึ่งจากการวิเคราะห์ CTU™ คาดว่ากลุ่ม GOLD NORTHFIELD อาจเป็นผู้ที่นำรุ่นเบต้าของ REvil v2.03 และ REvil binary มาใช้ใหม่กับ LV Ransomware

บริษัท Semikron ระบุเมื่อวันจันทร์ที่ผ่านมาว่า บริษัทถูกโจมตีโดยกลุ่มแฮ็กเกอร์ และอ้างว่าได้ขโมยข้อมูลจากระบบของบริษัท การโจมตีมีการเข้ารหัสบางส่วนของระบบไอที และไฟล์ต่างๆ ขณะนี้เครือข่ายทั้งหมดกำลังอยู่ระหว่างการปรับเปลี่ยน และแก้ไขตามการแจ้งเตือนที่ออกโดยสำนักงานความมั่นคงของข้อมูลแห่งสหพันธรัฐเยอรมัน (Bundesamt für Sicherheit in der Informationstechnik) ผู้โจมตีได้ดำเนินการแบล็กเมล์บริษัท และขู่ว่าจะเผยแพร่ข้อมูลที่ถูกขโมยมาออกสู่สาธารณะ

แม้ว่าบริษัทจะไม่เปิดเผยข้อมูลใดๆ เกี่ยวกับแรนซัมแวร์ที่ใช้โจมตีในเหตุการณ์นี้ แต่บันทึกเรียกค่าไถ่ที่ใช้เข้ารหัสบนระบบของ Semikron ระบุว่าเป็นการโจมตีจาก LV Ransomware และขโมยข้อมูลเอกสารออกไป 2TB โดย Semikron และผู้เชี่ยวชาญด้านความปลอดภัยทางไซเบอร์ กำลังตรวจสอบคำกล่าวอ้างของผู้โจมตีว่าได้ขโมยข้อมูลจากระบบก่อนการเข้ารหัส บริษัทจะทำการแจ้งเตือนลูกค้า และคู่ค้าหากพบหลักฐานการขโมยข้อมูลออกไปจริงๆ

ที่มา:

bleepingcomputer

secureworks