News

กลุ่ม REvil เพิ่มราคาค่าไถ่จากเหยื่อในเหตุการณ์การโจมตี Kaseya

กลุ่มอาชญากรผู้อยู่เบื้องหลังมัลแวร์เรียกค่าไถ่ REvil ทำการเพิ่มราคาค่าไถ่จากเหยื่อในเหตุการณ์การโจมตี "Kaseya" ในลักษณะ Supply Chain Attack เมื่อวันที่ 2 ก.ค.64 ที่ผ่านมา

เป็นเรื่องปกติที่กลุ่ม REvil จะทำการศึกษาข้อมูลขององค์กรที่ตกเป็นเหยื่อในการโจมตีด้วยการวิเคราะห์ข้อมูลที่ขโมยมาได้ รวมถึงข้อมูลขององค์กรที่เผยแพร่ต่อสาธารณะ เช่น ข้อมูลทางการเงิน นโยบายการประกันภัยทางไซเบอร์ รวมถึงข้อมูลอื่น ๆ ที่เกี่ยวข้อง เมื่อนำมาประกอบกับจำนวนของเครื่องคอมพิวเตอร์ที่ถูกเข้ารหัสและปริมาณของข้อมูลที่ถูกขโมยออกมาก่อนหน้า กลุ่มอาชญากรจะสามารถประมาณการณ์ราคาค่าไถ่สูงสุดที่เป็นไปได้เท่าที่เหยื่อจะจ่ายไหวสำหรับใช้ในการเจรจาต่อรอง

แต่อย่างไรก็ตามในเหตุการณ์การโจมตี Kaseya VSA Server นั้น ทางกลุ่มอาชญากร REvil มุ่งเป้าโจมตีไปที่ Kaseya ในฐานะที่เป็น Managed Service Providers (MSP) เป็นหลัก ไม่ได้พุ่งเป้าโจมตีไปที่กลุ่มลูกค้าของ MSP เพราะฉะนั้นในตอนแรกกลุ่มอาชญากรจึงยังตัดสินใจไม่ได้ว่าควรจะกำหนดราคาค่าไถ่ที่จำนวนเท่าไหร่ในกรณีที่เหยื่อคือกลุ่มลูกค้าของ MSP

ผลปรากฏว่ากลุ่มอาชญากรกำหนดราคากลางสำหรับราคาค่าไถ่ดังนี้

5 ล้านดอลล่าสหรัฐ หรือประมาณ 160,500,000 บาท สำหรับ MSP
44,999 ดอลล่าสหรัฐ หรือประมาณ 1,444,467 บาท สำหรับกลุ่มลูกค้าของ MSP

แต่ทว่ากลุ่มอาชญากรเริ่มไม่ซื่อสัตย์ และไม่ยอมใช้ราคากลางของค่าไถ่ดังกล่าวในการเจรจาต่อรอง ซึ่งเห็นได้จากบทสนทนาในการเจรจาต่อรองค่าไถ่ที่มีการแชร์ไปยัง BleepingComputer

สิ่งที่เกิดขึ้นในการโจมตีด้วยมัลแวร์เรียกค่าไถ่ REvil นั้น ตัวมัลแวร์ฯจะทำเข้ารหัสไฟล์ต่างๆ และสามารถสร้างนามสกุลไฟล์ขึ้นมาได้หลายชนิด ซึ่งโดยปกติแล้วเครื่องมือสำหรับถอดรหัสข้อมูลที่กลุ่มอาชญากรส่งมอบให้เหยื่อหลังจ่ายค่าไถ่เรียบร้อยแล้ว จะสามารถใช้ในการถอดรหัสไฟล์ได้ทุกชนิด

แต่ในกรณีของเหยื่อจากเหตุการณ์การโจมตี Supply Chain Attack Kaseya กลับแตกต่างออกไป เพราะกลุ่ม REvil คิดราคาค่าไถ่ 40,000 - 45,000 ดอลล่าสหรัฐ ต่อนามสกุลไฟล์ที่ถูกเข้ารหัสบนระบบของเหยื่อ

หนึ่งในเหตุการณ์ตัวอย่างคือ เหยื่อแจ้งว่าในระบบของตัวเองมีนามสกุลไฟล์ที่ถูกเข้ารหัสอยู่เกือบ 12 ชนิด ซึ่งทางกลุ่มอาชญากรได้แจ้งกลับมาว่าต้องการค่าไถ่จำนวน 500,000 ดอลล่าสหรัฐ แลกกับการถอดรหัสไฟล์ทั้งหมด

อย่างไรก็ตามยังมีข่าวดีอยู่บ้างเมื่อตัวแทนของกลุ่ม REvil ได้บอกกับเหยื่อรายนี้ว่า การโจมตีมีเพียงการเข้ารหัสไฟล์เท่านั้น และไม่มีอะไรอย่างอื่นนอกเหนือจากนี้ นั่นหมายความว่า มีความเป็นไปได้ที่กลุ่ม REvil จะไม่ได้ขโมยข้อมูลขององค์กรของเหยื่อรายนี้ออกไป ซึ่งเป็นที่ทราบกันดีว่าข้อมูลดังกล่าวมักจะถูกนำมาใช้ในการข่มขู่เรียกค่าไถ่ที่เพิ่มขึ้น

แสดงให้เห็นว่าในการโจมตีที่เกิดขึ้น กลุ่ม REvil ยังไม่สามารถเข้าถึงระบบเครือข่ายขององค์กรอื่นๆได้ คาดว่าน่าจะทำได้เพียงแค่การใช้เทคนิคสั่งการจากระยะไกล (Remotely Exploited) ในการโจมตีช่องโหว่ Kaseya VSA เพื่อส่งเครื่องมือเข้ารหัสเข้าไปยังระบบของเหยื่อและทำการเรียกใช้งานเครื่องมือดังกล่าว

สถานการณ์หลังเหตุโจมตี

หลังเหตุการณ์โจมตีในลักษณะ Supply Chain Attack กับ Kaseya โดยกลุ่ม REvil ที่เกิดขึ้นในวันที่ 2 ก.ค.64 ทางผู้ผลิตซอฟต์แวร์ Kaseya ได้ทำการปล่อยแพตช์เพื่อแก้ไขช่องโหว่ zero-day ที่เกิดขึ้น

ช่องโหว่ zero-day ดังกล่าวถูกค้นพบโดยนักวิจัยจาก DIVD ซึ่งมีส่วนช่วยในการทดสอบแพตช์ดังกล่าวอีกด้วย แต่เป็นที่น่าเสียดายเมื่อกลุ่ม REvil ก็ค้นพบช่องโหว่ดังกล่าวในเวลาไล่เลี่ยกันและนำมาใช้ในการโจมตีก่อนที่แพตช์จะถูกปล่อยออกมาก่อนหน้าวันหยุดยาวซึ่งเป็นวันชาติของประเทศสหรัฐอเมริกา

จากการโจมตีที่เกิดขึ้น เชื่อว่ามีธุรกิจมากกว่า 1,000 แห่ง ได้รับผลกระทบ เช่น บริษัทยายักษ์ใหญ่สัญชาติสวีเดน, บริษัทระบบขนส่ง SJ และรวมไปถึงบริษัท Coop ซึ่งเป็นผู้ให้บริการซุปเปอร์มาร์เก็ตยักษ์ใหญ่สัญชาติสวีเดน ทำให้ต้องปิดการให้บริการไปมากกว่า 500 สาขา ซึ่งเป็นผลมาจากการโจมตีดังกล่าว

โจ ไบเดน ประธานาธิบดีสหรัฐ ได้สั่งการให้หน่วยข่าวกรองสหรัฐทำการสืบสวนเหตุการณ์โจมตีที่เกิดขึ้น แต่ปัจจุบันยังไม่ถึงขั้นที่จะบอกได้ว่ารัสเซียเป็นผู้อยู่เบื้องหลังในการโจมตีครั้งนี้

Federal Bureau of Investigation (FBI) ได้ออกประกาศเมื่อวันที่ 4 ก.ค.64 ว่ากำลังสืบสวนเรื่องนี้และทำงานร่วมกับ Cybersecurity and Infrastructure Security Agency (CISA) รวมถึงหน่วยงานอื่นๆ อย่างใกล้ชิด ซึ่งคำประกาศมีรายละเอียดดังนี้

"FBI กำลังสืบสวนเหตุการณ์การโจมตี Kaseya ด้วยมัลแวร์เรียกค่าไถ่ และทำงานร่วมกับ CISA อย่างใกล้ชิด รวมถึงร่วมมือกับหน่วยงานอื่นๆ เพื่อทำความเข้าใจขอบเขตของภัยคุกคามดังกล่าว"

"ถ้าหากคุณเชื่อว่าระบบของตนถูกโจมตีจากเหตุการณ์นี้ เราขอให้คุณทำตามคำแนะนำในรับมือ ด้วยการปฏิบัติตามขั้นตอนของ Kaseya ในการปิดเครื่องแม่ข่าย VSA โดยทันทีและรีบรายงานมายัง FBI ที่เว็บไซต์ ic3.gov"

ที่มา :  bleepingcomputer

คำแนะนำสำหรับช่องโหว่ CVE-2021-34527 Windows Print Spooler

ในวันอังคารที่ 6 ถึง พุธที่ 7 กรกฎาคม 2021 Microsoft ได้ออกแพตซ์ของช่องโหว่ CVE-2021-34527 ซึ่งเป็นช่องโหว่ของ Windows Print Spooler โดยแก้ไขช่องโหว่สำหรับ Windows ทุกเวอร์ชันที่ยังอยู่ในการ Supported ทั้งหมด โดยเป็นการออกแพตซ์นอกช่วงเวลาปกติ Out-of-band (OOB) (ปกติ Microsoft จะออกแพตซ์ทุกวันอังคารที่ 2 ของเดือน หรือที่เรียกกันว่า Tuesday Patch)

จาก Out-of-band (OOB) แพตซ์ที่ถูกปล่อยออกมา มีการตั้งคำถามถึงเรื่องการป้องกันที่ดูแล้วอาจจะยังเป็นแพตซ์ที่ไม่สามารถป้องกันการโจมตีนี้ได้อย่างเต็มประสิทธิภาพ

จากการตรวจสอบของทาง Microsoft พบว่า OOB แพตซ์สามารถทำงานได้ถูกต้องตามที่ออกแบบไว้ และสามารถป้องกันช่องโหว่ Printer Spooling Exploits หรือที่รู้จักกันในชื่อ PrintNightmare ที่ถูกปล่อยออกมาให้ใช้งานในปัจจุบันได้ ซึ่งจากรายงานทั้งหมดที่พบในปัจจุบันการโจมตีที่ยังอาจจะสามารถทำได้อยู่ จะเกี่ยวข้องกับการเปลี่ยนค่า Registry ตั้งต้น ในส่วนที่ชื่อว่า "Point and Print" ให้ไปเป็นค่าที่ไม่ปลอดภัย

โดยทาง Microsoft แนะนำให้ลูกค้าทำตามขั้นตอนเหล่านี้

อัปเดตแพตซ์ CVE-2021-34527 ในทุกกรณี การอัปเดตจะไม่เปลี่ยนการตั้งค่า registry ที่มีอยู่
หลังจากอัปเดตแพตซ์ ควรตรวจสอบคำแนะนำการตั้งค่า registry ที่ระบุไว้ในช่องโหว่ CVE-2021-34527
หากไม่พบ registry keys นี้ (HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows NT\Printers\PointAndPrint) ไม่จำเป็นต้องดำเนินการใดๆ เพิ่มเติม
หากพบ registry keys นี้อยู่ (HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows NT\Printers\PointAndPrint) เพื่อความปลอดภัย ต้องตั้งค่า registry keys ต่อไปนี้ให้เป็นค่า 0 (ศูนย์) ดังนี้
- HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows NT\Printers\PointAndPrint
- NoWarningNoElevationOnInstall = 0 (DWORD) หรือ not defined (default setting)
- UpdatePromptSettings = 0 (DWORD) หรือ not defined (default setting)

สำหรับรายละเอียดคำแนะนำเพิ่มเติม สามารถดูได้จาก KB5005010: Restricting installation of new printer drivers after applying the July 6, 2021 updates และ CVE-2021-34527.

ที่มา : Microsoft

ช่องโหว่ Print Spooler (CVE-2021-1675) และ ช่องโหว่ PrintNightmare (CVE-2021-34527)

ช่องโหว่ Print Spooler (CVE-2021-1675)

ในเดือนมิถุนายนที่ผ่านมาพบช่องโหว่บน Print Spooler (CVE-2021-1675) โดยทาง Microsoft กล่าวว่าเป็นช่องโหว่ที่ไม่รุนแรงมาก ซึ่งกระทบกับ Windows ตั้งแต่ Windows 7 SP1 ไปจนถึง Server 2019, ARM64 versions of Windows และ Windows RT 8.1 ต่อมาเมื่อวันที่ 21 มิถุนายนที่ผ่านมา ทาง Microsoft ได้ออกมาอัปเดตว่าช่องโหว่นี้อาจใช้ทำ Remote Code Execution ได้และระดับความรุนแรงจะมากขึ้น โดยนักวิจัยจากบริษัทรักษาความปลอดภัยทางไซเบอร์ Sangfor ซึ่งกำลังเตรียมนำเสนอบทความเกี่ยวกับจุดบกพร่องของ Print Spooler ในการประชุม Black Hat ที่กำลังจะมีขึ้นในเดือนสิงหาคม 2564 แต่ได้มีการเปิดเผยโค้ดเพื่อสาธิตก่อนกำหนดเพราะเข้าใจว่ามีแพตซ์แก้ไขช่องโหว่นี้ไปแล้ว แต่ช่องโหว่ที่ทาง Sangfor เปิดเผยโค้ด ไม่ใช่ช่องโหว่ด้านความปลอดภัยแบบเดียวกับที่ได้รับการแก้ไขใน Patch Tuesday โดยทีมนักวิจัยดังกล่าวได้รีบลบข้อมูลโค้ดนั้นทันที แต่โค้ดช่องโหว่ดังกล่าวได้ถูกดาวน์โหลดและเผยแพร่ซ้ำที่อื่นไปแล้ว โดยช่องโหว่ใหม่นี้มีชื่อเรียกว่า PrintNightmare เป็นช่องโหว่การเรียกใช้โค้ดจากระยะไกลของ Windows Print Spooler เช่นเดียวกับ CVE-2021-1675 แต่ยังไม่มีแพตซ์แก้ไขช่องโหว่นี้

ช่องโหว่ใหม่มีชื่อว่า PrintNightmare (CVE-2021-34527)

เป็นช่องโหว่ในการเรียกใช้ Remote code excution เมื่อผู้โจมตีประสบความสำเร็จในการใช้ประโยชน์จากช่องโหว่ Windows Print Spooler สามารถเรียกใช้รหัสด้วย SYSTEM privileges สามารถติดตั้งโปรแกรม ดู เปลี่ยนแปลง ลบข้อมูล หรือสร้างบัญชีใหม่พร้อมสิทธิ์ผู้ใช้เต็มรูปแบบ

ทั้ง 2 ช่องโหว่จะมีความคล้ายคลึงกัน

CVE-2021-1675 เป็นช่องโหว่ที่สามารถโจมตีแบบ Remote Code Execution บน Print Spooler ได้ มี Patch แก้ไขแล้ว สามารถดาวน์โหลดได้ที่ Microsoft
CVE-2021-34527 มีลักษณะการโจมตีที่คล้ายคลึงกันแต่แตกต่างกันที่ RpcAddPrinterDriverEx() เกี่ยวกับการตั้งค่าไดรเวอร์ของ Printer ยังไม่มี Patch แก้ไข สามารถติดตามข้อมูลได้ที่ msrc.

มัลแวร์เรียกค่าไถ่ REvil พัฒนาเครื่องมือเข้ารหัสเวอร์ชั่น Linux เพื่อมุ่งเป้าโจมตี VMware ESXi

กลุ่มอาชญากรผู้อยู่เบื้องหลังมัลแวร์เรียกค่าไถ่ REvil เริ่มมีการใช้งานเครื่องมือเข้ารหัสเวอร์ชั่น Linux โดยพุ่งเป้าโจมตีเครื่องคอมพิวเตอร์แม่ข่ายแบบเสมือนหรือ Virtual Machine (VM) ที่ทำงานอยู่บน VMware ESXi เป็นหลัก ซึ่งเป็นผลมาจากความนิยมในการใช้งาน VM ขององค์กรในยุคปัจจุบันทำให้กลุ่มอาชญากรไซเบอร์เร่งพัฒนาเครื่องมือที่จะใช้ในการโจมตีด้วยการเข้ารหัสข้อมูลของ VM

เมื่อเดือนพฤษภาคมที่ผ่านมา ผู้เชี่ยวชาญด้านข่าวกรองทางไซเบอร์, Yelisey Boguslavskiy โพสต์ข้อมูลผ่านทวิตเตอร์ว่าพบข้อมูลการประกาศบนเว็บบอร์ดแห่งหนึ่งโดยกลุ่มอาชญากรผู้อยู่เบื้องหลังมัลแวร์เรียกค่าไถ่ REvil ทำการยืนยันว่าได้เปิดให้ใช้งานเครื่องมือเข้ารหัสเวอร์ชั่นระบบปฏิบัติการ Linux ซึ่งสามารถใช้โจมตีอุปกรณ์ NAS ได้อีกด้วย

เมื่อวันที่ 28 มิ.ย.64 ที่ผ่านมา กลุ่มนักวิจัยด้านความปลอดภัยทางไซเบอร์จาก MalwareHunterTeam เปิดเผยว่าตรวจพบมัลแวร์เรียกค่าไถ่ REvil เวอร์ชั่น Linux เช่นกัน หรือที่รู้จักกันในชื่อ "Sodinokibi" ซึ่งกำลังพุ่งเป้าโจมตีเครื่องแม่ข่ายที่ใช้งาน VMware ESXI

Vitali Kremez ซึ่งเป็นผู้เชี่ยวชาญด้านข่าวกรองทางไซเบอร์ให้สัมภาษณ์ BleepingComputer หลังจากมีโอกาสได้ทำการวิเคราะห์ไฟล์มัลแวร์พันธ์ุใหม่นี้ว่า มันเป็นไฟล์ ELF ชนิด 64-bit ซึ่งมีการนำรูปแบบการตั้งค่าการใช้งานเหมือนกับไฟล์ Executable ที่พบได้บนระบบปฏิบัติการ Windows และนี่เป็นครั้งแรกที่มีการค้นพบมัลแวร์เรียกค่าไถ่ REvil เวอร์ชั่น Linux ในการโจมตีที่เกิดขึ้นจริงนับตั้งแต่มันถูกเปิดให้ใช้งาน

สำหรับขีดความสามารถของมัลแวร์ชนิดนี้ ผู้โจมตีสามารถกำหนดตำแหน่งของไฟล์ที่ต้องการเข้ารหัสได้ รวมทั้งสามารถเปิดการใช้งาน "Silent Mode" ซึ่งใช้สำหรับป้องกันการปิดการทำงานของ "VMs mode" ดังแสดงตามรายละเอียดในคำแนะนำการใช้งาน (Usage Instructions) ของมัลแวร์ ดังนี้

Usage example: elf.

พบการจ่ายเงินให้กับแรนซัมแวร์บางส่วนถูกส่งต่อไปยังเว็บไซต์ร้านนวดเฉพาะจุด

นักวิจัยด้านความปลอดภัยทางไซเบอร์ตรวจพบความเชื่อมโยงของเงินค่าไถ่จากมัลแวร์เรียกค่าไถ่ (Ransomware) ที่แพร่ระบาดในประเทศอิสราเอล เชื่อมโยงกับเว็บไซต์ร้านนวดเฉพาะจุด

การโจมตีในครั้งนี้เกิดขึ้นโดยมัลแวร์เรียกค่าไถ่ในปฏิบัติการชื่อ Ever101 ซึ่งโจมตีผู้ให้บริการคอมพิวเตอร์สัญชาติอิสราเอลด้วยการเข้ารหัสข้อมูลบนอุปกรณ์ทำให้ไม่สามารถใช้งานได้

จากรายงานที่เผยแพร่โดย Profero และ Security Joes ซึ่งเป็นบริษัทด้านความปลอดภัยทางไซเบอสัญชาติอิสราเอล และเป็นผู้ที่เข้ารับมือเหตุการณ์โจมตีครั้งนี้ แสดงให้เห็นว่า Ever101 เป็นมัลแวร์เรียกค่าไถ่สายพันธ์เดียวกันกับ Everbe และ Payment45

เมื่อเริ่มทำการเข้ารหัสไฟล์ นามสกุลไฟล์จะถูกต่อท้ายด้วยคำว่า ".ever101" และทำการสร้างไฟล์ชื่อ """=READMY="".txt" สำหรับข่มขู่เรียกค่าไถ่เอาไว้ในทุกๆ โฟลเดอร์บนเครื่องคอมพิวเตอร์

ในระหว่างการตรวจสอบเครื่องคอมพิวเตอร์ที่ถูกโจมตี นักวิจัยพบว่าโฟลเดอร์ชื่อ “Music” ถูกใช้เป็นที่เก็บไฟล์สำหรับใช้เป็นเครื่องมือในการโจมตีจำนวนมาก ซึ่งเผยให้เห็นถึง Tactics, Techniques, Procedures (TTPs) ของผู้โจมตี

ตามรายงานของ Profero และ Security Joe กล่าวไว้ว่า “ในระหว่างการตรวจสอบเครื่องคอมพิวเตอร์ที่ถูกโจมตี เราพบข้อมูลที่สำคัญเก็บไว้ภายในโฟลเดอร์ Music โดยภายในนั้นมีไฟล์ไบนารี่ของมัลแวร์เรียกค่าไถ่รวมถึงไฟล์อีกจำนวนหนึ่งที่เข้ารหัสไว้ และที่ยังไม่ได้เข้ารหัสซึ่งเราเชื่อว่าผู้โจมตีใช้เครื่องมือเหล่านี้ในการรวบรวมข้อมูล และโจมตีไปยังเครือข่ายต่อไป”

เครื่องมือที่ถูกใช้โดยกลุ่ม Ever101 เช่น

xDedicLogCleaner - ใช้เพื่อกลบร่องรอยใน Windows event logs, system logs, และโฟลเดอร์ Temp

PH64.exe - โปรแกรม Process Hacker (64-bit) ที่ถูกเปลี่ยนชื่อเพื่อหลีกเลี่ยงการตรวจจับ

Cobalt Strike - ใช้เพื่อให้สามารถเข้าถึงเครื่องได้จากระยะไกล โดยในการโจมตีครั้งนี้ Cobalt Strike Beacon ถูกฝังอยู่ในไฟล์ชื่อ WEXTRACT.exe

SystemBC - ใช้เพื่อซ่อนข้อมูลการเชื่อมต่อของ Cobalt Strike บน SOCKS5 Proxy เพื่อหลีกเลี่ยงการตรวจจับ

ไฟล์เครื่องมือที่เหลือถูกเข้ารหัสจากการทำงานของมัลแวร์เรียกค่าไถ่แต่ทว่าสามารถคาดเดาลักษณะการทำงานได้จากชื่อของไฟล์ได้ เช่น

SoftPerfect Network Scanner - ใช้เพื่อสแกน IPv4/IPv6 network

shadow.

พบแพ็คเกจอันตรายใน PyPi ที่จะเปลี่ยนอุปกรณ์ของ Developer ให้กลายเป็นเครื่องขุด cryptocurrency

ในสัปดาห์ที่ผ่านมานั้น มีการตรวจพบแพ็คเกจที่เป็นอันตรายจำนวนมากใน PyPi (Python Package Index) พื้นที่จัดเก็บโปรแกรมและไลบรารีเสริมที่มีไว้ใช้สำหรับพัฒนา Project Python ซึ่งแพ็คเกจเหล่านั้นจะเปลี่ยนอุปกรณ์ของ Developer ให้กลายเป็นเครื่องขุด cryptocurrency

แพ็คเกจที่เป็นอันตรายทั้งหมดถูกเผยแพร่โดยบัญชีผู้ใช้เดียวกันคือ "nedog123" และหลอกให้ Developer ดาวน์โหลดแพ็คเกจอันตรายเหล่านั้นกว่าหลายพันครั้งโดยใช้วิธีการสะกดชื่อให้มีความใกล้เคียงกับแพ็คเกจที่เป็นของจริง

แพ็คเกจอันตรายที่มีการตรวจพบในเดือนเมษายนทั้งหมดมี 6 รายการดังนี้

maratlib
maratlib1
matplatlib-plus
mllearnlib
mplatlib
learninglib

จะสังเกตเห็นได้ว่าแพ็คเกจอันตรายทั้งหมดที่ตรวจพบนั้นจะมีการพยายามสะกดชื่อแพ็คเกจให้มีความใกล้เคียงกับแพ็คเกจของจริง matplotlib

Ax Sharma นักวิจัยด้านความปลอดภัยของบริษัทพัฒนาระบบอัตโนมัติ Sonatype ได้วิเคราะห์ 1 ในแพ็คเกจอันตราย “maratlib” ในบล็อกโพสต์ โดยตั้งข้อสังเกตว่าในแพ็คเกจเหล่านั้นประกอบไปด้วยหลายส่วนที่เป็นอันตราย และแต่ละส่วนมีการทำงานร่วมกัน

"สำหรับแต่ละแพ็คเกจ โค้ดที่เป็นอันตรายจะอยู่ในไฟล์ setup.

พบช่องโหว่อันตรายใน NVIDIA Jetson Chipsets

บริษัทผู้ผลิตกราฟฟิกชิปชื่อดังของสหรัฐอเมริกา NVIDIA ได้ออกอัปเดคซอฟแวร์เพื่อแก้ไขช่องโหว่ทั้งหมด 26 ช่องโหว่ ที่ส่งผลกระทบกับชุดผลิตภัณฑ์ Jetson system-on-module (SOM) โดยผู้ไม่หวังดีสามารถยกระดับสิทธิ์เพื่อเข้าถึงระบบ หรือทำให้ระบบหยุดทำงาน และเข้าถึงเพื่อขโมยข้อมูลต่างๆที่สำคัญได้ กลุ่มผลิตภัณฑ์ NVIDIA Jetson ประกอบด้วย Linux AI, โมดูลคอมพิวเตอร์วิชันคอมพิวติ้ง, ชุดพัฒนาสำหรับคอมพิวเตอร์วิชัน และระบบอัตโนมัติ เช่น หุ่นยนต์เคลื่อนที่ และโดรน เป็นต้น

โดยช่องโหว่มีหมายเลข CVE‑2021‑34372 ถึง CVE‑2021‑34397 ส่งผลกระทบต่อ Jetson TX1, TX2 series, TX2 NX, AGX Xavier series, Xavier NX และ Nano และ Nano 2GB ที่รัน Jetson Linux เวอร์ชันก่อน 32.5.1 บริษัท Frédéric Perriot ของ Apple Media Products เป็นผู้รายงานปัญหาทั้งหมด

ช่องโหว่สำคัญคือหมายเลข CVE‑2021-34372 (คะแนน CVSS: 8.2) ซึ่งเป็นช่องโหว่ทีทำให้เกิด buffer overflow ใน Trusty trusted Execution (TEE) ที่อาจส่งผลให้เกิดการเข้าถึงเพื่อขโมยข้อมูล การเพิ่มระดับสิทธิ์ และการทำให้ระบบหยุดให้บริการ

อีก 8 ช่องโหว่เป็นช่องโหว่ที่เกี่ยวข้องกับ memory, stack overflows ซึ่งช่องโหว่เกี่ยวข้องกับ Trusty trusted Execution (TEE) และ Bootloader ซึ่งนำไปใช้โจมตีรันโค้ดที่เป็นอันตราย ทำให้ระบบหยุดให้บริการ และเข้าถึงข้อมูลได้เช่นกัน

NVIDIA แนะนำให้ผู้ใช้งานดำเนินการอัปเดตเวอร์ชั่นให้เป็นเวอร์ชั่นล่าสุดคือ 32.5.1 หากมีการใช้เวอร์ชั่น 32.5.1 อยู่แล้ว แนะนำให้อัปเดตในส่วนของแพ็กเกจ Debian ให้เป็นเวอร์ชันล่าสุด

ที่มา: thehackernews.

PYSA ransomware ใช้ Backdoor เพื่อโจมตีองค์กรการศึกษาโดย Malware ที่ชื่อว่า ChaChi

กลุ่ม PYSA ransomware ได้ใช้ remote access trojan (RAT) ที่ชื่อว่า ChaChi ในการฝัง Backdoor บนระบบขององค์กรด้านสุขภาพ และด้านการศึกษาเพื่อขโมยข้อมูล และเข้ารหัสเครือข่ายของเหยื่อในลักษณะการโจมตีที่ถูกเรียกว่า double extortion (นอกจากเรียกค่าไถ่จากการเข้ารหัสไฟล์ด้วย ransomware แล้ว ยังมีการเรียกค่าไถ่จากข้อมูลที่ถูกขโมยออกไป โดยการข่มขู่ว่าจะปล่อยข้อมูลออกสู่สาธารณะ) (more…)

บริษัท ADATA ประสบปัญหาการรั่วไหลของข้อมูลขนาด 700 GB จากการโจมตีโดยมัลแวร์เรียกค่าไถ่ Ragnar Locker

กลุ่มอาชญากรผู้อยู่เบื้องหลังมัลแวร์เรียกค่าไถ่ Ragnar Locker ได้เผยแพร่ลิงก์สำหรับดาวน์โหลดข้อมูลที่มีขนาดมากกว่า 700 GB ซึ่งขโมยมาจากบริษัท ADATA ที่เป็นผู้ผลิตหน่วยความจำและชิปจัดเก็บข้อมูลในประเทศไต้หวัน

ข้อมูลดังกล่าวเป็นไฟล์ประเภทบีบอัด จำนวน 13 ไฟล์ ที่คาดว่าถูกขโมยมาจากบริษัท ADATA ถูกเผยแพร่ผ่านบริการรับฝากไฟล์ซึ่งเปิดให้ดาวน์โหลดได้แบบสาธารณะ

ไฟล์ขนาดใหญ่ของ ADATA

เมื่อวันเสาร์ที่ 19 มิ.ย.64 กลุ่มอาชญากร ได้เผยแพร่ลิงก์สำหรับดาวน์โหลดไฟล์เอกสารชุดใหม่ที่ขโมยมาจากบริษัท ADATA พร้อมประกาศบนเว็บไซต์ของตนเองให้ผู้ที่สนใจเร่งทำการดาวน์โหลดก่อนที่ไฟล์จะถูกลบ

คำเตือนของกลุ่มอาชญากรเป็นความจริง เพราะหลังจากนั้นไม่นานผู้ให้บริการรับฝากไฟล์ “MEGA” ซึ่งกลุ่มอาชญากรเลือกใช้ในการฝากไฟล์ของบริษัท ADATA ได้ทำการปิดกั้นการเข้าถึงไฟล์ดังกล่าวและปิดบัญชีผู้ใช้งานของกลุ่มอาชญากรฯ ทันที

แต่จากข้อมูลที่หลุดมาพบว่า มีไฟล์สองรายการที่มีขนาดใหญ่อย่างน่าตกใจคือมีขนาดมากกว่า 100 GB ในขณะที่ไฟล์ส่วนใหญ่ที่เหลือมีขนาดน้อยกว่า 1.1 GB

หากอ้างอิงข้อมูล Metadata ของไฟล์ ที่เผยแพร่โดยกลุ่มอาชญากรฯ พบว่าไฟล์ที่มีขนาดใหญ่ที่สุดจะมีขนาดเท่ากับ 300 GB (ชื่อไฟล์ Archive#1.7z) รองลงมาคือ 117 GB (ชื่อไฟล์ Archive#2.7z) แต่ก็ยากที่จะคาดว่าข้อมูลข้างในคืออะไรเพราะชื่อไฟล์ดังกล่าวถูกตั้งโดยที่ไม่สื่อความหมายใด ๆ

แต่เมื่อพิจารณาชื่อของไฟล์อื่น ๆ ที่เหลืออยู่ คาดการณ์ได้ว่าเอกสารที่ถูกขโมยออกมาจากบริษัท ADATA บางส่วนอาจเกี่ยวข้องกับข้อมูลทางการเงินและเอกสารข้อตกลงไม่เปิดเผยข้อมูลของบริษัท

แม้จะยังไม่มีข้อมูลว่าลิงก์สำหรับดาวน์โหลดสามารถใช้งานได้นานแค่ไหนและปริมาณของการดาวน์โหลดอยู่ที่เท่าไหร่ แต่บริษัท MEGA ให้สัมภาษณ์กับ BleepingComputer โดยกล่าวว่ามีความเป็นไปได้ที่ไฟล์อาจจะยังถูกดาวน์โหลดไปไม่เยอะมาก และ MEGA ใช้เวลาเพียง 4 นาทีในการดำเนินการปิดบัญชีผู้ใช้งานของกลุ่มอาชญากร หลังจากได้รับการรายงานเกี่ยวกับการละเมิดกฏการใช้งาน (MEGA’s terms of service) เมื่อวันที่ 21 มิ.ย.64 นอกจากนั้นทางบริษัทจะให้ความร่วมมือกับเจ้าหน้าที่ที่เกี่ยวข้องในการสืบสวนสอบสวนในครั้งนี้

บริษัท ADATA ถูกโจมตีด้วยมัลแวร์เรียกค่าไถ่เมื่อวันที่ 23 พ.ค.64 ส่งผลให้บริษัทตัดสินใจออฟไลน์ระบบทั้งหมด ซึ่งทางบริษัทฯ ให้สัมภาษณ์กับ BleepingComputer โดยกล่าวว่าบริษัทฯ จะทำการกู้คืนระบบด้วยตัวเองและไม่ยินยอมที่จะจ่ายเงินค่าไถ่ให้กับกลุ่มอาชญากร

กลุ่มอาชญากร กล่าวอ้างว่าก่อนที่จะเริ่มกระบวนการเข้ารหัสไฟล์ (Encryption) พวกตนสามารถขโมยไฟล์ที่มีความสำคัญมากกว่า 1.5 TB ออกมาได้ สาเหตุเพราะมีเวลาเหลือเฟือในการปฏิบัติการเนื่องจากระบบป้องกันทางเครือข่าย (Network Defenses) ของบริษัท ADATA นั้นไร้ประสิทธิภาพไฟล์ที่รั่วไหลออกมาครั้งนี้เป็นไฟล์ชุดที่สอง ซึ่งไฟล์ชุดแรกถูกเผยแพร่ไปเมื่อเดือนพฤษภาคม ปี 2564 ซึ่งประกอบไปด้วยไฟล์ประเภท Archive (7-zip) จำนวน 4 ไฟล์ (ขนาดน้อยกว่า 250 MB) และยังสามารถดาวน์โหลดได้ถึงปัจจุบันนี้

ที่มา: bleepingcomputer.

Apple ออกแพตช์เร่งด่วน หลังพบช่องโหว่ Zero-Day 2 ช่องโหว่ถูกนำมาใช้ในการโจมตี

เมื่อวันจันทร์ที่ผ่านมา Apple ได้ออกอัปเดตแพตช์ความปลอดภัยเพื่อแก้ไขช่องโหว่ Zero-day
2 ช่องโหว่ใน iOS 12.5.3 หลังพบว่ากำลังถูกใช้ในการโจมตีเป็นวงกว้าง

อัปเดตล่าสุดของ iOS 12.5.4 มาพร้อมกับการแก้ไขช่องโหว่ด้านความปลอดภัยจำนวน 3 ช่องโหว่ คือ memory corruption ใน ASN.1 decoder (CVE-2021-30737) และอีก 2 ช่องโหว่ที่เกี่ยวกับ Webkit browser engine ที่อาจทำให้ผู้โจมตีรันโค้ดที่เป็นอันตรายจากระยะไกลได้ โดยมีรายละเอียดดังนี้

CVE-2021-30761 – ปัญหา memory corruption ผู้โจมตีสามารถลักลอบรันโค้ดที่เป็นอันตราย เมื่อมีการเรียกใช้งาน Malicious content บนเว็บไซต์ที่ถูกสร้างขึ้น โดยช่องโหว่ได้รับการแก้ไขด้วยการจัดการ และปรับปรุงหน่วยความจำ
CVE-2021-30762 – ปัญหา use-after-free ผู้โจมตีสามารถลักลอบรันโค้ดที่เป็นอันตราย เมื่อมีการเรียกใช้งาน Malicious content บนเว็บไซต์ที่ถูกสร้างขึ้น ช่องโหว่ได้รับการแก้ไขด้วยการจัดการ และปรับปรุงหน่วยความจำ
ทั้ง CVE-2021-30761 และ CVE-2021-30762 ถูกรายงานไปยัง Apple โดยผู้ที่ไม่ประสงค์ออกนาม โดยบริษัทที่อยู่ใน Cupertino ได้ระบุไว้ในคำแนะนำว่าช่องโหว่ดังกล่าวอาจจะถูกใช้ในการโจมตีแล้วในปัจจุบัน โดยปกติแล้ว Apple จะไม่เปิดเผยรายละเอียดใดๆ เกี่ยวกับลักษณะของการโจมตี และเหยื่อที่อาจตกเป็นเป้าหมาย หรือกลุ่มผู้โจมตีที่เกี่ยวข้อง

อย่างไรก็ตามความพยายามในการโจมตี จะเป็นการมุ่งเป้าไปที่อุปกรณ์รุ่นเก่า เช่น iPhone 5s, iPhone 6, iPhone 6 Plus, iPad Air, iPad mini 2, iPad mini 3 และ iPod touch (รุ่นที่ 6) ซึ่ง Apple ได้มีการแก้ไขช่องโหว่ buffer overflow (CVE-2021-30666) ไปเมื่อวันที่ 3 พฤษภาคม
ที่ผ่านมา

นอกจากช่องโหว่ข้างต้นแล้ว Apple ยังได้แก้ไขช่องโหว่ Zero-day อีก 12 ช่องโหว่ ที่อาจส่งผล
กระทบต่อ iOS, iPadOS, macOS, tvOS และ watchOS ตั้งแต่ต้นปี มีรายละเอียดดังนี้

CVE-2021-1782 (Kernel) - ช่องโหว่ในระดับ Kernel ซึ่งส่งผลให้แอพพลิเคชั่นที่เป็นอันตรายสามารถยกระดับสิทธิ์การโจมตีได้
CVE-2021-1870 (WebKit) - ช่องโหว่ใน Webkit ที่ช่วยให้ผู้โจมตีรันโค้ดที่เป็นอันตรายจากระยะไกลได้
CVE-2021-1871 (WebKit) - ช่องโหว่ใน Webkit ที่ช่วยให้ผู้โจมตีรันโค้ดที่เป็นอันตรายจากระยะไกลได้
CVE-2021 -1879 (WebKit) - ช่องโหว่ใน Webkit ที่เมื่อมีการเรียกใช้งาน Malicious content บนเว็บไซต์ที่ถูกสร้างขึ้นอาจทำให้ถูกโจมตีในรูปแบบ universal cross-site scripting ได้
CVE-2021-30657 (System Preferences) - ช่องโหว่ที่ทำให้แอปพลิเคชันที่เป็นอันตรายสามารถเลี่ยงการตรวจสอบจาก Gatekeeper ได้
CVE-2021-30661 (WebKit Storage) - ช่องโหว่ใน WebKit Storage ที่ช่วยให้ผู้โจมตีสามารถลักลอบรันโค้ดที่เป็นอันตราย เมื่อมีการเรียกใช้งาน Malicious content บนเว็บไซต์ที่ถูกสร้างขึ้น
CVE-2021-30663 (WebKit) - ช่องโหว่ใน Webkit ที่ช่วยให้ผู้โจมตีสามารถลักลอบรันโค้ดที่เป็นอันตราย เมื่อมีการเรียกใช้งาน Malicious content บนเว็บไซต์ที่ถูกสร้างขึ้น
CVE-2021-30665 (WebKit) - ช่องโหว่ใน Webkit ที่ช่วยให้ผู้โจมตีสามารถลักลอบรันโค้ดที่เป็นอันตราย เมื่อมีการเรียกใช้งาน Malicious content บนเว็บไซต์ที่ถูกสร้างขึ้น
CVE-2021-30666 (WebKit ) - ช่องโหว่ใน Webkit ที่ช่วยให้ผู้โจมตีสามารถลักลอบรันโค้ดที่เป็นอันตราย เมื่อมีการเรียกใช้งาน Malicious content บนเว็บไซต์ที่ถูกสร้างขึ้น
CVE-2021-30713 (TCC framework) - ช่องโหว่ TCC framework ที่ทำให้แอปพลิเคชันที่เป็นอันตรายสามารถ bypass การตั้งค่าความเป็นส่วนตัวได้
แนะนำให้ผู้ใช้อุปกรณ์ Apple อัปเดตระบบปฏบัติการให้เป็นเวอร์ชันล่าสุดเพื่อลดความเสี่ยงที่อาจจะเกิดขึ้นจากช่องโหว่ข้างต้น

ที่มา: thehackernews.