News

Ukraine CERT-UA warns of new attacks launched by Russia-linked Armageddon APT

CERT-UA ของยูเครน เตือนถึงการโจมตีครั้งใหม่โดย Armageddon APT. ที่เชื่อมโยงกับรัสเซีย

Ukraine Computer Emergency Response Team (CERT-UA) ได้รายงาน phishing campaign ที่ใช้ข้อความโดยมี subject ชื่อ “On revenge in Kherson!” และมีไฟล์แนบ "Plan Kherson.

Microsoft: แพตซ์ล่าสุดในเดือนพฤษภาคมของ Windows อาจทำให้เกิดปัญหาการ authentication บน AD

Microsoft กำลังตรวจสอบปัญหาเกี่ยวกับ authentication failures สำหรับ Windows services บางรายการ หลังจากติดตั้งอัปเดตใน Patch Tuesday ช่วงเดือนพฤษภาคม 2022 โดยปัญหานี้เกิดขึ้นหลังจากผู้ดูแลระบบ Windows เริ่มรายงานเกี่ยวกับ policies failing หลังจากมีการติดตั้งการอัปเดตด้านความปลอดภัยในเดือนนี้ ซึ่งทำให้การตรวจสอบสิทธิ์ไม่สำเร็จเนื่องจากข้อมูล credentials ของผู้ใช้ไม่ตรงกัน ไม่ว่าจะเป็นชื่อผู้ใช้ที่ระบุไม่ตรงกับบัญชีที่มีอยู่ หรือรหัสผ่านไม่ถูกต้อง

ปัญหาดังกล่าวส่งผลกระทบต่อ Windows platforms ของไคลเอนต์ และเซิร์ฟเวอร์ และระบบที่ใช้ Windows ทุกเวอร์ชัน รวมถึงเวอร์ชันล่าสุดของ Windows 11 และ Windows Server 2022

Microsoft กล่าวว่าปัญหาดังกล่าวจะเกิดขึ้นหลังจากติดตั้งการอัปเดตบนเซิร์ฟเวอร์ที่ใช้เป็น domain controllers เท่านั้น การอัปเดตจะไม่ส่งผลกระทบกับ Windows บน client และ Windows Servers ที่ไม่ใช่ domain controllers

Microsoft กล่าวว่าหลังจากติดตั้งการอัปเดตบน domain controllers ที่เผยแพร่เมื่อวันที่ 10 พฤษภาคม 2022 อาจจะพบการ authentication failures บนเซิร์ฟเวอร์หรือไคลเอนต์ สำหรับบริการต่างๆ เช่น Network Policy Server (NPS), Routing and Remote access Service (RRAS), Radius, Extensible Authentication Protocol (EAP) และ Protected Extensible Authentication Protocol (PEAP) และพบปัญหาที่เกี่ยวข้องกับวิธีการจัดการ mapping of certificates กับบัญชีเครื่องโดยตัว domain controllers โดย Microsoft กำลังตรวจสอบปัญหาดังกล่าว และจะทำการอัปเดตเพื่อแก้ไขปัญหาในรอบถัดไป

Microsoft อธิบายในรายงานว่าปัญหาของ service authentication ที่กำลังเกิดขึ้นอยู่นี้ เกิดจากการอัปเดตความปลอดภัยที่มีหมายเลข CVE-2022-26931 และ CVE-2022-26923 ซึ่งเป็นช่องโหว่การยกระดับสิทธิ์ใน Windows Kerberos และ Active Directory Domain Services และอีกช่องโหว่คือ CVE-2022-26923 ที่ทำให้ผู้โจมตีที่เข้าถึงบัญชีที่มีสิทธิ์ต่ำสามารถยกระดับสิทธิ์เป็น domain admin ได้

เพื่อแก้ไขปัญหาที่เกิดขึ้นในครั้งนี้ Microsoft แนะนำให้ mapping certificate กับ machine account ใน Active Directory ด้วยตนเอง จนกว่าจะมีการอัปเดตอย่างเป็นทางการ ถ้าหากวิธีการดังกล่าวยังไม่สามารถแก้ไขปัญหาได้ สามารถดูรายละเอียดใน 'KB5014754—Certificate-based authentication changes on Windows domain controllers' เพื่อแก้ไขปัญหาอื่น ๆ ที่เป็นไปได้ ในส่วนของ SChannel registry key section

Microsoft กล่าวว่าการอัปเดตในเดือนพฤษภาคม 2565 จะตั้งค่า StrongCertificateBindingEnforcement registry key โดยอัตโนมัติ ซึ่งจะเปลี่ยน enforcement mode ของ Kerberos Distribution Center (KDC) ไปเป็น Compatibility mode (ควรอนุญาตให้มีการตรวจสอบสิทธิ์ทั้งหมด เว้นแต่ certificate จะเก่ากว่าผู้ใช้) อย่างไรก็ตาม ผู้ดูแลระบบ Windows ให้ข้อมูลกับ BleepingComputer ว่าวิธีเดียวที่จะทำให้ผู้ใช้บางคนเข้าสู่ระบบด้วยการอัปเดตครั้งนี้ได้คือปิดใช้งาน StrongCertificateBindingEnforcement key โดยตั้งค่าเป็น 0 และหากไม่พบคีย์ใน registry ให้สร้างขึ้นมาใหม่ทั้งหมดโดยใช้ REG_DWORD Data Type และตั้งค่าให้เป็น 0 เพื่อปิดใช้งาน certificate mapping check ถึงแม้ว่า Microsoft จะไม่แนะนำ แต่ก็เป็นวิธีเดียวที่จะอนุญาตให้ผู้ใช้ทั้งหมดเข้าสู่ระบบได้

ที่มา : bleepingcomputer.

พบมัลแวร์ Nerbian RAT กำลังถูกใช้ในการโจมตีอย่างต่อเนื่อง

พบ Remote access trojan ตัวใหม่ที่มีชื่อว่า Nerbian RAT ซึ่งประกอบไปด้วยคุณสมบัติพิเศษหลายอย่าง รวมไปถึงการหลบเลี่ยงการตรวจจับ และวิเคราะห์จากนักวิจัย

มัลแวร์รูปแบบใหม่นี้ถูกเขียนจากภาษา Go ซึ่งทำให้มันสามารถทำงานได้หลายแพลตฟอร์ม โดยปัจจุบันเริ่มพบการแพร่กระจายผ่านทางอีเมลล์ที่มีไฟล์แนบที่ฝังมาโครที่เป็นอันตรายไว้ภายใน

แคมเปญการโจมตีนี้ถูกค้นพบโดยนักวิจัยจาก Proofpoint ซึ่งมีการเผยแพร่รายงานเกี่ยวกับมัลแวร์ Nerbian RAT ตัวใหม่ในวันนี้ (11 พ.ค. 2565)

ปลอมแปลงเป็นองค์การอนามัยโลก (WHO)

แคมเปญการโจมตีที่ใช้ในการแพร่กระจาย Nerbian RAT ในครั้งนี้ มีความพยายามปลอมแปลงข้อความว่ามาจากองค์การอนามัยโลก (WHO) ในการส่งข้อมูลสำคัญที่เกี่ยวข้องกับ COVID-19 ไปยังเป้าหมาย

โดยจะมีไฟล์ที่แนบมาเป็น .RAR และมีเอกสาร Word ที่ฝังมาโครไว้ เมื่อเปิดไฟล์ใน Microsoft Office และอนุญาตให้มาโครทำงาน มันจะทำการรัน PowerShell เพื่อดาวน์โหลด 64-bit dropper ที่มีชื่อว่า "UpdateUAV.exe" ซึ่งเขียนด้วยภาษา Golang โดย UpdateUAV จะประกอบไปด้วยโค้ดที่ใช้เพื่อหลีกเลี่ยงการตรวจจับจากอุปกรณ์ทางด้าน Security ก่อนที่จะทำการติดตั้ง Nerbian RAT โดยเมื่อตัว Dropper สามารถทำงานได้อย่างสมบูรณืบนเครื่องเหยื่อ มันจะทำการตั้ง schedule task ที่จะสั่งรัน Nerbian RAT ทุกๆชั่วโมง

Proofpoint สรุปรายการของเครื่องมือที่ใช้สำหรับหลีกเลี่ยงการตรวจจับไว้ดังนี้

ตรวจสอบ reverse engineering หรือ debugging โปรแกรมว่าถูกรันอยู่บนเครื่องเป้าหมายหรือไม่
ตรวจสอบ MAC Address บนเครื่องเป้าหมาย
ตรวจสอบ WMI strings เพื่อดูชื่อของดิสก์บนเครื่องเป้าหมาย
ตรวจสอบขนาดฮาร์ดดิสก์ว่าต่ำกว่า 100GB หรือไม่ เพื่อดูว่าตัวมันกำลังถูกรันอยู่บน Virtual Machine หรือไม่
ตรวจสอบ memory analysis หรือ tampering detection โปรแกรมว่าถูกรันอยู่บนเครื่องเป้าหมายหรือไม่
ตรวจสอบระยะเวลาที่ใช้ตั้งแต่ตัวมัลแวร์เริ่มดำเนินการ เปรียบเทียบกับเกณฑ์การทำงานตามปกติของมัน
ใช้ IsDebuggerPresent API เพื่อตรวจสอบว่าตัวติดตั้งของมันกำลังถูก Debug อยู่หรือไม่

การตรวจสอบทั้งหมดนี้ทำให้ค่อนข้างยากที่จะนำ RAT ดังกล่าวไปทดสอบบน sandbox หรือ virtual machine เพื่อวิเคราะห์การทำงานของมัน รวมไปถึงก็จะทำให้มัลแวร์สามารถแฝงตัวอยู่บนระบบของเหยื่อได้นานมากยิ่งขึ้นด้วยเช่นเดียวกัน

คุณสมบัติของ Nerbian RAT
ตัวโทรจันจะถูกดาวน์โหลดมาด้วยชื่อ "MoUsoCore.

ช่องโหว่ Critical บน F5 BIG-IP เริ่มถูกใช้ในการโจมตีเพื่อลบข้อมูลบนระบบ

ช่องโหว่บน F5 BIG-IP ที่ถูกเปิดเผยออกมาเมื่อเร็วๆ นี้ เริ่มถูกนำมาใช้ในการโจมตีโดยการพยายามลบ file system บนเครื่อง BIG-IP ของเหยื่อ เพื่อทำให้ระบบไม่สามารถเข้าใช้งานได้

เมื่อสัปดาห์ที่แล้ว F5 เปิดเผยช่องโหว่หมายเลข CVE-2022-1388 ซึ่งทำให้ผู้โจมตีสามารถสั่งรันคำสั่งบนอุปกรณ์ BIG-IP ด้วยสิทธิ์ 'root' โดยไม่ต้องมีการตรวจสอบสิทธิ์ เนื่องจากระดับความอันตรายของช่องโหว่ดังกล่าว F5 แนะนำให้ผู้ดูแลระบบทำการอัปเดตแพตซ์โดยเร็วที่สุด

ไม่กี่วันต่อมานักวิจัยปล่อย exploits ที่ใช้สำหรับทดสอบการโจมตีออกสู่สาธารณะทั้งทาง Twitter และ GitHub ซึ่งทำให้ผู้โจมตีทั่วไปสามารถนำมาปรับใช้ในการโจมตีได้

แม้ว่าการโจมตีส่วนใหญ่จะใช้เพื่อ drop webshells เพื่อใช้ในการเข้าถึงเครือข่ายในเบื้องต้น, ขโมยคีย์ SSH และระบุข้อมูลบนระบบ แต่ล่าสุดทาง SANS Internet Storm Center พบว่ามีการโจมตีสองครั้งที่โจมตีอุปกรณ์ BIG-IP ในลักษณะที่ร้ายแรงกว่ามาก

SANS กล่าวว่า honeypots ของพวกเขาพบการโจมตีสองครั้งที่มาจาก IP 177.54.127[.]111 ที่มีการสั่งรันคำสั่ง 'rm -rf /' บนอุปกรณ์ BIG-IP ของเป้าหมาย ซึ่งคำสั่งนี้เป็นความพยายามจะลบไฟล์ทั้งหมดบนระบบ Linux ของอุปกรณ์ BIG-IP เนื่องจากช่องโหว่ดังกล่าวทำให้ผู้โจมตีมีสิทธิ์ root ในระบบปฏิบัติการ Linux คำสั่ง rm -rf / จึงสามารถลบไฟล์ได้เกือบทุกไฟล์ รวมถึงไฟล์ configuration ที่จำเป็นสำหรับอุปกรณ์

การโจมตีรูปแบบนี้อาจยังพบไม่มากนัก เพราะผู้โจมตีส่วนใหญ่ต้องการเข้าควบคุมอุปกรณ์มากกว่าสร้างความเสียหาย

บริษัทข่าวกรองด้านภัยคุกคามความปลอดภัยทางไซเบอร์ Bad Packets และ GreyNoise กล่าวว่าพวกเขาไม่พบการโจมตีในลักษณะดังกล่าวบน honeypots ของพวกเขา

Kimber นักวิจัยของ GreyNoise กล่าวว่าส่วนใหญ่พฤติกรรมที่เห็นจะเป็นการ drop webshells, exfiltrate configs หรือเรียกใช้คำสั่งเพื่อสร้างบัญชีผู้ดูแลระบบบนอุปกรณ์ ซึ่งการโจมตีที่เกิดขึ้นทำให้ผู้ดูแลระบบจำเป็นต้องอัปเดตแพตช์ให้เป็นเวอร์ชันล่าสุด และไม่เปิดให้เข้าถึงหน้า management ของ BIG-IP จากภายนอก

ที่มา : bleepingcomputer.

Microsoft แก้ไขช่องโหว่ Zero-day NTLM relay ใน Windows ทุกเวอร์ชัน

Microsoft แจ้งเตือนช่องโหว่ zero-day ที่กำลังถูกใช้ในการโจมตีในลักษณะ Windows LSA spoofing ซึ่งจะทำให้ผู้โจมตีที่ไม่ต้องผ่านการตรวจสอบสิทธิ์สามารถใช้ประโยชน์จากช่องโหว่เพื่อบังคับให้ตัว Domain controllers รับรองให้ผู้โจมตีสามารถเข้าถึงระบบได้ ผ่านโปรโตคอล Windows NT LAN Manager (NTLM)

LSA (Local Security Authority) เป็นระบบหนึ่งของ Windows ที่ทำหน้าที่ในการ enforces local policies และตรวจสอบการ sign-in เข้าใช้งานของ users ทั้งจาก local และ remote

ช่องโหว่ดังกล่าว มีหมายเลขช่องโหว่คือ CVE-2022-26925 โดยมีการรายงานช่องโหว่จาก Raphael John ของ Bertelsmann Printing Group ซึ่งพบว่าถูกนำไปใช้ในการโจมตีจริงแล้วในปัจจุบัน และจะเป็นช่องทางใหม่สำหรับการโจมตีแบบ PetitPotam NTLM relay attack

การโจมตีแบบ PetitPotam ถูกค้นพบโดยนักวิจัยด้านความปลอดภัย GILLES Lionel ในเดือนกรกฎาคม พ.ศ. 2564 โดยมีความพยายามจากทาง Microsoft ในการบล็อกการโจมตีในรูปแบบดังกล่าว อย่างไรก็ตามวิธีการแก้ไขปัญหาชั่วคราว และการอัปเดตความปลอดภัยจาก Microsoft ที่มีการอัปเดตออกมา ก็ยังไม่สามารถบล็อกการโจมตีด้วยวิธีการ PetitPotam ทั้งหมด

กลุ่ม LockFile ransomware ก็เป็นหนึ่งในกลุ่มที่ใช้วิธีการโจมตีแบบ PetitPotam NTLM relay ด้วยการ hijack ตัว Windows domains เพื่อติดตั้ง payloads ที่เป็นอันตราย

Microsoft แนะนำให้ผู้ดูแลระบบ Windows ตรวจสอบวิธีการลดผลกระทบจากการโจมตีแบบ PetitPotam และมาตรการการลดผลกระทบใน NTLM Relay Attacks บน Active Directory Certificate Services (AD CS) โดยสามารถตรวจสอบได้จากลิงค์ https://support.

Hackers are now hiding malware in Windows Event Logs

แฮ็กเกอร์ใช้วิธีการซ่อนมัลแวร์ใน Windows Event Logs

นักวิจัยด้านความปลอดภัยได้ตรวจพบแคมเปญการโจมตีซึ่งใช้ Windows event logs เพื่อจัดเก็บมัลแวร์ ซึ่งเป็นเทคนิคที่ไม่เคยถูกใช้ในการโจมตีมาก่อน โดยวิธีการนี้ทำให้ผู้โจมตีสามารถวาง fileless มัลแวร์ บน file system ได้ ซึ่งวิธีการนี้จะประกอบไปด้วยเทคนิค และโมดูลที่ออกแบบมาเพื่อหลบเลี่ยงการตรวจจับเป็นจำนวนมาก

การเพิ่ม Payload ไปยัง Windows event logs

นักวิจัยจาก Kaspersky ได้รวบรวมตัวอย่างมัลแวร์ที่สามารถตรวจจับได้ และถูกระบุว่าเป็นภัยคุกคามบนคอมพิวเตอร์ของผู้ใช้งาน จากการตรวจสอบพบว่ามัลแวร์เป็นส่วนหนึ่งของแคมเปญ “very targeted” และมีการใช้ชุดเครื่องมือจำนวนมากที่เป็นทั้งแบบ Custom และที่มีจำหน่ายในเชิงพาณิชย์

โดยส่วนที่น่าสนใจของการโจมตีคือการ injecting shellcode payloads เข้าไปใน Windows event logs สำหรับ Key Management Services (KMS) ซึ่งเป็นการดำเนินการโดย custom malware dropper

Denis Legezo หัวหน้านักวิจัยด้านความปลอดภัยของ Kaspersky กล่าวว่าวิธีนี้ถูกใช้เป็นครั้งแรกในแคมเปญการโจมตีจากมัลแวร์

โดยตัว Dropper จะคัดลอกไฟล์จัดการ OS error ที่ชื่อไฟล์ว่า WerFault.

พบการสร้าง Exploits สำหรับใช้โจมตีช่องโหว่ Critical บน F5 BIG-IP แล้ว องค์กรควรรีบอัปเดตแพตช์ทันที!

นักวิจัยด้านความปลอดภัยแจ้งเตือนผู้ดูแลระบบ F5 BIG-IP ให้รีบติดตั้งแพตซ์อัปเดตด้านความปลอดภัยล่าสุดทันที หลังจากพบว่ามีการสร้าง Exploits ที่ใช้สำหรับการโจมตีช่องโหว่ Remote code execution (CVE-2022-1388) เรียบร้อยแล้ว

เมื่อสัปดาห์ที่ผ่านมา F5 ออกมาเปิดเผยช่องโหว่ RCE ระดับ Critical บน F5 BIG-IP ที่มีหมายเลข CVE-2022-1388 โดยช่องโหว่นี้เกิดจากระบบ BIG-IP iControl REST และทำให้ผู้โจมตีสามารถเลี่ยงการตรวจสอบสิทธิ์ และสั่งรันคำสั่งที่เป็นอันตรายบนอุปกรณ์ด้วยสิทธิ์ระดับสูงได้

เนื่องจาก F5 BIG-IP ถูกใช้ในองค์กรต่างๆจำนวนมาก ช่องโหว่นี้จึงมีความเสี่ยงสูงมาก เนื่องจากจะทำให้ผู้โจมตีสามารถใช้ประโยชน์จากช่องโหว่ดังกล่าวเพื่อเข้าถึงเครือข่ายของเหยื่อในขั้นต้น แล้วจึงค่อยแพร่กระจายไปยังอุปกรณ์อื่นๆ

การโจมตีประเภทนี้สามารถใช้เพื่อขโมยข้อมูลขององค์กร หรือติดตั้ง ransomware บนอุปกรณ์ทั้งหมดบนเครือข่าย

Exploits ถูกสร้างได้ง่ายมาก

สุดสัปดาห์นี้ นักวิจัยด้านความปลอดภัยทางไซเบอร์จาก Horizon3 และ Positive Technologies ต่างก็สามารถสร้าง Exploits ** สำหรับช่องโหว่ F5 BIG-IP ดังกล่าวได้ พวกเขาเตือนว่าผู้ดูแลระบบทุกคนควรอัปเดตอุปกรณ์ของตนโดยเร็วที่สุด

Zach Hanley จาก Horizon3 ให้ข้อมูลกับ BleepingComputer ว่าพวกเขาใช้เวลาเพียงสองวันในการสร้าง Exploits และคาดว่าผู้โจมตีจะเริ่มทำการโจมตีช่องโหว่ดังกล่าวในเร็วๆ นี้

Hanley บอกกับ BleepingComputer ผ่านอีเมลว่า "หากดูจากวิธีการแก้ไขชั่วคราวที่ออกมาจาก F5 สำหรับ CVE-2022-1388 ถือเป็นข้อมูลที่สำคัญมากในการทำ reverse application เพื่อสร้างเครื่องมือในการโจมตี ซึ่งคาดว่าผู้โจมตีรายอื่นๆก็อาจพบวิธีการสร้างเครื่องมือที่ใช้ในการโจมตีได้เช่นเดียวกัน"

Hanley ยังเตือนด้วยว่าผลกระทบจากการโจมตีช่องโหว่นี้นอกจากจะช่วยให้ผู้โจมตีสามารถเข้าควบคุมอุปกรณ์ได้แล้ว ยังสามารถทำให้ผู้โจมตีสามารถเข้าถึงเครือข่ายภายในองค์กรได้อีกด้วย

โดยนักวิจัยจาก Rapid7 จาค็อบ เบนส์ ทวีตว่าพบอุปกรณ์มากกว่า 2,500 เครื่องที่สามารถเข้าถึงได้จากอินเทอร์เน็ต ซึ่งทำให้มีความเสี่ยงอย่างมากต่อองค์กร

Horizon3 กล่าวว่าพวกเขาจะเผยแพร่ PoC ที่ใช้ในการทดสอบการโจมตีออกสู่สาธารณะภายในสัปดาห์นี้ เพื่อผลักดันให้องค์กรต่างๆรีบอัปเดตอุปกรณ์ของตนโดยด่วน

ติดตั้งการอัปเดตด้านความปลอดภัยทันที!

F5 ได้ออกแพตซ์อัปเดตด้านความปลอดภัยสำหรับ F5 BIG-IP เรียบร้อยแล้ว ซึ่งผู้ดูแลระบบควรอัปเดตเป็นเวอร์ชันดังต่อไปนี้:

BIG-IP versions 16.1.0 to 16.1.2 (Patch released)
BIG-IP versions 15.1.0 to 15.1.5 (Patch released)
BIG-IP versions 14.1.0 to 14.1.4 (Patch released)
BIG-IP versions 13.1.0 to 13.1.4 (Patch released)
BIG-IP versions 12.1.0 to 12.1.6 (End of Support)
BIG-IP versions 11.6.1 to 11.6.5 (End of Support)
เวอร์ชัน 11.x และ 12.x จะไม่ได้รับการอัปเดตด้านความปลอดภัย และควรอัปเกรดเป็นเวอร์ชันใหม่โดยเร็วที่สุด

ที่มา : bleepingcomputer.

Trend Micro Antivirus มีการแก้ไข Registry ของ Windows โดยไม่ได้ตั้งใจ

โปรแกรมป้องกันไวรัสของ Trend Micro ได้แก้ไขข้อผิดพลาด ที่ส่งผลให้ Apex One endpoint ตรวจจับการอัปเดต Microsoft Edge ว่าเป็นมัลแวร์ และทำให้ registry ของ Windows ถูกแก้ไขอย่างไม่ถูกต้อง

ตามรายงานจากผู้ใช้งานหลายร้อยรายเมื่อต้นสัปดาห์นี้ในฟอรัมของบริษัท และบนเครือข่ายสังคมออนไลน์ ว่าเกิดการตรวจจับที่ผิดพลาดกับแพทช์การอัปเดตของ Microsoft Edge  โดย Trend Micro Apex One ระบุว่าการอัปเดตเบราว์เซอร์ลักษณะดังกล่าวเป็นไวรัส/มัลแวร์: TROJ_FRS.VSNTE222 และไวรัส/มัลแวร์: TSC_GENCLEAN

(more…)

HEROKU บังคับผู้ใช้งาน Reset รหัสผ่าน หลังถูกขโมย GitHub OAuth Token

Heroku บริษัทในเครือของ Salesforce ถูกขโมย GitHub OAuth tokens ซึ่งเป็นข้อมูลของลูกค้า โดย Token ที่ถูกขโมยออกไปประกอบไปด้วย hashed และ salted passwords ของผู้ใช้งาน

จากปัญหาที่เกิดขึ้น ทาง Salesforce แจ้งว่าได้ทำการ Reset User Password ทั้งหมดของ HEROKU และให้ผู้ใช้งานมั่นใจได้ว่า Credentials ทั้งหมดที่รั่วไหลออกไปจะไม่สามารถนำมาใช้งานได้ และได้เพิ่มมาตรการตรวจสอบด้านความปลอดภัยเพิ่มเติมแล้ว

การโจมตีเกิดขึ้นเมื่อวันที่ 12 เมษายน ซึ่งยังไม่สามารถระบุตัวตนของผู้โจมตีได้ โดยผู้โจมตีได้ทำการขโมย OAuth User Tokens ที่ออกให้กับ 3rd Party OAuth Integator ทั้งหมด 2 กลุ่ม ได้แก่ HEROKU และ TRAVIS-CI เพื่อทำการดาวน์โหลดข้อมูลจากหลาย ๆ องค์กร รวมไปถึง NPM ด้วย

Timeline ของแต่ละเหตุการณ์ที่เกิดขึ้น มีรายละเอียดดังนี้

วันที่ 7 เมษายน 2565 ผู้โจมตีได้เข้าถึงฐานข้อมูลของ HEROKU และทำการดาวน์โหลด OAuth Access Tokens ของลูกค้าที่ใช้สำหรับ GITHUB Integration

วันที่ 8 เมษายน 2565 ผู้โจมตี enumerates หา metadata ที่เกี่ยวข้องกับลูกค้า โดยใช้ Tokens ที่ขโมยมา

วันที่ 9 เมษายน 2565 ผู้โจมตีทำการดาวน์โหลดข้อมูลของ HEROKU จาก GITHUB

ที่มา : thehackernews

FNoutlet[.]com ถูกโจมตีจาก LockBit 2.0 Ransomware

RedPacket Security ได้ออกมาให้ข่าวเรื่องการถูกโจมตีด้วยมัลแวร์เรียกค่าไถ่ของบริษัท เอฟเอ็น แฟคตอรี่เอาท์เล็ท จำกัด (มหาชน) ซึ่งเป็นบริษัทผลิต และจำหน่ายเครื่องแต่งกาย ประกอบกิจการจำหน่ายเครื่องหนัง เสื้อผ้า เฟอร์นิเจอร์ และเครื่องใช้ภายในบ้าน

LockBit ระบุว่าได้ข้อมูลออกไปทั้งหมด 2236 ไฟล์ และหากเหยื่อไม่จ่ายค่าไถ่ก็เตรียมจะเผยแพร่ข้อมูลทั้งหมดในบล็อกของ LockBit ภายในวันที่ 13 พ.ค. 2565 เวลา 00:00:00

ที่มา : redpacketsecurity