News

ธนาคาร BancoEstado ในชีลีประกาศปิดระบบเนื่องจากโดนโจมตีด้วยแรนซัมแวร์

ธนาคาร BancoEstado หนึ่งในสามธนาคารที่ใหญ่ที่สุดของชิลีได้ประกาศปิดทำการทุกสาขาของธนาคารเนื่องจากระบบเครือข่ายของธนาคารถูกโจมตีด้วยแรนซัมแวร์

รายงานการโจมตีที่ถูกเผยเเพร่ผ่าน ZDNet ระบุว่าเครือข่ายภายในของธนาคารนั้นถูกโจมตีด้วย REvil ransomware หรือ Sodinokibi ต้นกำเนิดของการโจมตีนั้นมาจากพนักงานในธนาคารได้รับเอกสารและทำการเปิดเอกสาร Office ที่เป็นอันตรายและมีแบ็คดอร์แฝงอยู่จึงทำให้แฮกเกอร์ใช้แบ็คดอร์นี้เพื่อเข้าถึงเครือข่ายของธนาคารและติดตั้งแรนซัมแวร์บนเครือข่าย

ตามที่ธนาคารระบุว่าเว็บไซต์พอร์ทัลของธนาคาร, แอพมือถือและเครือข่าย ATM ไม่ได้รับผลกระทบเนื่องจากการออกแบบโครงสร้างพื้นฐานของธนาคารซึ่งได้แบ่งกลุ่มการใช้งานเครือข่ายภายในของธนาคารไว้

REvil ransomware เป็น Ransomware-as-a-Service ซึ่งได้พุ่งเป้าการโจมตีด้วยแรนซัมแวร์ไปยังกลุ่มอุสาหกรรมต่างๆ และมีผู้ตกเป็นเหยือจำนวนมาก ผู้ใช้ควรทำการตรวจสอบไฟล์ทุกครั้งที่ทำการเปิดและควรใช้ซอฟต์แวร์ป้องกันมัลแวร์ที่มีประสิทธิภาพเพื่อเป็นการป้องกันการตกเป็นเหยื่อจากการโจมตี

ที่มา:zdnet.

Microsoft ออกแพตซ์เเก้ไขช่องโหว่จำนวน 129 รายการใน Microsoft Patch Tuesday ประจำเดือนกันยายน 2020

Microsoft ได้ประกาศเผยแพร่แพตซ์การเเก้ไขความปลอดภัยประจำเดือนกันยายน 2020 หรือที่เรียกว่า Microsoft Patch Tuesday ซึ่งในเดือนกันยายนนี้ Microsoft ได้ทำการเเก้ไขช่องโหว่จำนวน 129 รายการในผลิตภัณฑ์ของ Microsoft โดยมีช่องโหว่ระดับ Critical 23 รายการ, ระดับ Important 105 รายการและระดับ Moderate 1 รายการ

Microsoft กล่าวว่าเเพตซ์ในเดือนกันยายนนี้ไม่พบช่องโหว่ Zero-day และยังไม่พบการใช้ประโยชน์จากช่องโหว่ทำการโจมตี แต่แพตซ์นี้ก็มีช่องโหว่ที่สามารถใช้ประโยชน์จากระยะไกลได้โดยมีรายละเอียดที่น่าสนใจดังนี้

CVE-2020-16875 ช่องโหว่ Memory Corruption ใน Microsoft Exchange ช่องโหว่จะสามารถทำให้ผู้โจมตีจากระยะไกลทำการเรียกใช้โค้ดจากระยะไกลได้โดยเพียงแค่ส่งอีเมลที่ออกแบบมาเป็นพิเศษไปยังเซิร์ฟเวอร์ Microsoft Exchange
CVE-2020-0922 ช่องโหว่ Remote Code Execution (RCE) ใน Microsoft COM ผู้โจมตีสามารถใช้ประโยชน์จากช่องโหว่โดยการหลอกล่อผู้ใช้ไปยังไซต์ที่มี JavaScript ที่เป็นอันตราย และเรียกใช้โค้ดได้จากระยะไกล
CVE-2020-0908 ช่องโหว่ Remote Code Execution (RCE) ใน Microsoft Windows Text Service ผู้โจมตีสามารถใช้ประโยชน์จากช่องโหว่โดยการหลอกล่อผู้ใช้ไปยังเว็บไซต์ที่มีเนื้อหาหรือโฆษณาที่เป็นอันตรายของผู้โจมตีและเรียกใช้โค้ดได้จากระยะไกล

ผู้ใช้ควรทำการอัปเดตเเพตซ์ให้เป็นเวอร์ชันใหม่ล่าสุดเพื่อป้องกันผู้ประสงค์ร้ายใช้ประโยชน์จากช่องโหว่ทำการโจมตีผู้ใช้ ทั้งนี้ผู้ที่สนใจรายละเอียดเเพตซ์การเเก้ไขช่องโหว่เพิ่มเติมสามารถดูได้จากเเหล่งที่มา

ที่มา: bleepingcomputer.

Cisco แก้ไขช่องโหว่ใน Jabber สำหรับ Windows ที่จะทำให้ผู้โจมตีสามารถเรียกใช้โค้ดได้จากระยะไกลได้

Cisco ได้แก้ไขช่องโหว่การเรียกใช้โค้ดจากระยะไกลที่มีความรุนแรงระดับ “Critical” โดยช่องโหว่นี้จะส่งผลกระทบต่อซอฟต์แวร์ Cisco Jabber สำหรับ Windows ในหลายเวอร์ชัน

ช่องโหว่ถูกติดตามด้วยรหัส CVE-2020-3495 (CVSS: 9.8) ถูกรายงานและค้นพบโดย Olav Sortland Thoresen จาก Watchcom ช่องโหว่เกิดจากการตรวจสอบเนื้อหาจากข้อความที่ไม่เหมาะสม ซึ่งจะทำให้ผู้โจมตีจากระยะไกลที่ได้รับการรับรองความถูกต้องสามารถเรียกใช้โค้ดได้โดยไม่ได้รับอนุญาตบนระบบที่ใช้ซอฟต์แวร์ Jabber สำหรับ Windows

ผู้โจมตีสามารถใช้ประโยชน์จากช่องโหว่ได้ด้วยการส่งข้อความ Extensible Messaging and Presence Protocol (XMPP) ที่ออกแบบมาเป็นพิเศษไปยังอุปกรณ์ที่มีช่องโหว่ ทั้งนี้การจะใช้ช่องโหว่ให้สำเร็จได้นั้นผู้โจมตีจำเป็นต้องเข้าถึงโดเมน XMPP ของเหยื่อเพื่อส่งข้อความ XMPP ที่เป็นอันตราย

ช่องโหว่นี้มีผลกระทบกับ Cisco Jabber สำหรับ Windows เวอร์ชัน 12.1 ถึง 12.9 โดย Cisco Jabber สำหรับ macOS และ Cisco Jabber สำหรับ Mobile Platform จะไม่ได้รับผลกระทบ

Cisco ได้ออกข้อเเนะนำสำหรับผู้ใช้ Cisco Jabber สำหรับ Windows ให้ทำการอัปเดตเเพตซ์เป็นเวอร์ชันล่าสุดคือ 12.1.3, 12.5.2, 12.6.3, 12.7.2, 12.8.3, 12.9.1 เพื่อป้องกันผู้ประสงค์ร้ายใช้ประโยชน์จากช่องโหว่ทำการโจมตีผู้ใช้

ที่มา: bleepingcomputer.

Iran-linked APT group Pioneer Kitten sells access to hacked networks

กลุ่ม APT อิหร่าน "Pioneer Kitten" เร่ขายข้อมูลการเเฮกเครือข่ายให้กับแฮกเกอร์รายอื่นใน Dark Web

Crowdstrike ได้ออกรายงานถึงกลุ่ม APT อิหร่านที่ชื่อว่า Pioneer Kitten หรือที่รู้จักกันในชื่อ Fox Kitten และ Parisite ได้กำลังพยายามขายข้อมูลการเข้าถึงเครือข่ายขององค์กรต่างๆ ที่ทางกลุ่มได้ทำการบุกรุกแล้วให้กับแฮกเกอร์รายอื่นใน Dark Web

ตามรายงานที่เผยแพร่โดย Crowdstrike ระบุว่ากลุ่มแฮกเกอร์ชาวอิหร่านได้ทำการโจมตี VPN ขององค์กรต่างๆ ในช่วงหลายเดือนที่ผ่านมา โดยทำการกำหนดเป้าหมายการโจมตีและหาประโยชน์จากช่องโหว่ต่างๆ ที่เกี่ยวข้องกับ VPN เช่น CVE-2018-13379 Fortinet VPN servers, CVE-2019-1579 (Palo Alto Network), CVE-2019-11510 (Pulse Secure), CVE-2019-19781 (Citrix) และ CVE-2020-5902 (F5 Networks) เมื่อสามารถบุกรุกเครือข่ายที่เป็นเป้าหมายได้แล้วกลุ่มแฮกเกอร์จะใช้ประโยชน์จาก SSH tunneling ผ่านเครื่องมือโอเพ่นซอร์สเช่น Ngrok และ SSHMinion เพื่อใช้ในการเชื่อมต่อกับมัลแวร์ที่ติดตั้งในเครือข่ายเป้าหมาย

Crowdstrike ที่ได้ติดตามกิจกรรมของกลุ่ม Pioneer Kitten พบว่าในขณะนี้กลุ่มเเฮกเกอร์ได้เริ่มทำการโฆษณาที่ทำการขายข้อมูลใน Dark Web

ทั้งนี้ผู้ดูแลระบบควรทำการตรวจสอบอัปเดตเเพตซ์ของซอฟต์แวร์บนอุปกรณ์ VPN ให้เป็นเวอร์ชันล่าสุดเพื่อป้องกันผู้ประสงค์ร้ายทำการใช้ประโยชน์จากช่องโหว่ทำการโจมตีระบบ

ที่มา : securityaffairs

Cisco warns of actively exploited IOS XR zero-day

Cisco เเจ้งเตือนช่องโหว่ Zero-day ใหม่ในอุปกรณ์ที่ใช้งานซอฟเเวร์ Cisco IOS XR ที่อาจส่งผลต่อหน่วยความจำของอุปกรณ์

Cisco ออกเตือนถึงช่องโหว่ Zero-day ใหม่ที่ถูกพบในฟีเจอร์ Distance Vector Multicast Routing Protocol (DVMRP) ของซอฟต์แวร์ในระบบปฏิบัติการ Cisco IOS XR ซึ่งอาจทำให้ผู้โจมตีจากระยะไกลที่ไม่ได้รับการรับรองความถูกต้องสามารถโจมตีการประมวลผลหน่วยความจำของอุปกรณ์ที่ได้รับผลกระทบ

ช่องโหว่ถูกติดตามด้วยรหัส CVE-2020-3566 (CVSS: 8.6) ช่องโหว่เกิดจากการจัดการคิวไม่เพียงพอสำหรับแพ็กเก็ต Internet Group Management Protocol (IGMP) ในฟีเจอร์ DVMRP ผู้โจมตีสามารถใช้ประโยชน์จากช่องโหว่ได้โดยการส่งทราฟิก IGMP ที่สร้างขึ้นไปยังอุปกรณ์ที่ได้รับผลกระทบ ซึ่งการโจมตีในลักษณะอาจทำให้ผู้โจมตีทำให้เกิด memory exhaustion ในอุปกรณ์และอาจส่งผลให้กระบวนการอื่น ๆ ในอุปกรณ์ไม่เสถียร

ช่องโหว่นี้มีผลกับอุปกรณ์ที่ใช้ระบบปฏิบัติการ Cisco IOS XR ที่ทำงานบนแพลตฟอร์มเราเตอร์หลายตระกูลเช่น NCS 540 และ 560, NCS 5500, 8000 และ ASR 9000

ในขณะนี้ยังไม่มีเเพตซ์การเเก้ไขช่องโหว่ Cisco ได้ออกคำเเนะนำให้ผู้ดูแลระบบทำการบรรเทาภัยจากช่องโหว่ดังนี้

จำกัด Rate limiting เพื่อลดอัตราการรับส่งข้อมูลทราฟฟิก IGMP
ผู้ดูแลระบบสามารถปรับการใช้งาน Access Control Entry (ACE) ไปยังการควบคุมอินเตอร์เฟสของ Access Control List (ACL) ที่มีอยู่หรืออีกวิธีหนึ่งคือผู้ดูแลระบบสามารถสร้าง ACL เฉพาะอินเทอร์เฟซโดยการ deny inbound DVRMP ทราฟิกบนอินเทอร์เฟซนั้น
ปิดใช้งาน IGMP routing บนอินเทอร์เฟซที่ไม่จำเป็น

ที่มา : tools.

CenturyLink routing issue led to outages on Hulu, Steam, Discord, more

CenturyLink มีปัญหาการ Routing ทราฟิกทำให้ผู้ให้บริการจำนวนมากเกิดปัญหาการเชื่อมต่อกับเซิฟเวอร์

ในวันที่ 30 สิงหาคม 2020 ที่ผ่านมา CenturyLink บริษัทโทรคมนาคมรายใหญ่ของสหรัฐอเมริกาได้ออกรายงานสาเหตุของปัญหาการตั้งค่า BGP routing ผิดพลาดทำให้ส่งผลกระทบกับการให้บริการของเซิฟเวอร์ที่เชื่อมต่ออินเทอร์เน็ตเป็นจำนวนมากเช่น Cloudflare, Amazon AWS, Garmin, Steam, Discord, Blizzard และอื่น ๆ อีกมากมาย

ปัญหาที่ถูกพบนั้นเกิดขึ้นที่ดาต้าเซนเตอร์ CA3 ในเมือง Mississauga ประเทศแคนนาดา โดย IP Network Operations Center (NOC) ได้ทำคอนฟิก Flowspec ผิดพลาดจึงทำให้ Border Gateway Protocol (BGP) Route เกิดปัญหาและไม่สามารถจัดการเส้นทางการเชื่อมต่อเครือข่ายได้จึงทำให้เครือข่ายหยุดทำงาน

ทั้งนี้ Flowspec คือส่วนต่อขยายของ BGP ที่ทำให้วิศวกรสามารถฟิลเตอร์และปรับใช้ Rule ของ Firewall กับ BGP Route จำนวนมากเพื่อป้องกันการโจมตีด้วย Distributed-Denial-of-Service (DDoS)

จากปัญหา Matthew Prince ซีอีโอของ Cloudflare กล่าวว่าการหยุดให้บริการของ CenturyLink ทำให้ปริมาณการใช้อินเทอร์เน็ตทั่วโลกลดลง 3.5% และสำหรับ Cloudflare นั้นได้รับผลกระทบในช่วงสั้นๆ เมื่อได้รับทราบปัญหาก็มีระบบอัตโนมัติที่ทำการรีไดเร็คทราฟฟิคที่เข้ามาออกไปทางผู้ให้บริการเครือข่ายอื่นจนกว่าปัญหาจะได้รับการแก้ไข ซึ่ง CenturyLink ได้ใช้เวลาในการเเก้ไขปัญหาเป็นเวลากว่า 7 ชั่วโมง

ที่มา : bleepingcomputer

Google Play apps promised free shoes, but users got ad fraud malware instead

Google ลบแอปพลิเคชันจำนวน 56 รายการที่แฝงมัลเเวร์ออกจาก Google Play Store

Google ดำเนินการลบแอปพลิเคชัน 56 รายการออกจาก Google Play Store หลังถูกระบุว่ามีบ็อตเน็ต Terracotta แฝงอยู่ในแอปพลิเคชัน อ้างอิงจากการวิจัยโดย White Ops ที่ได้ทำการติดตามการเคลื่อนไหวตั้งเเต่ปลายปี 2019

พฤติกรรมของ Terracotta คือการหลอกผ่านโฆษณาแอปให้ติดตั้งแอปอันตรายเพิ่มเพื่อแลกกับการได้รางวัล โดยแอปอันตรายที่จะถูกติดตั้งหากผู้ใช้หลงเชื่อนั้นจะแฝงฟังก์ชันในการโหลดโฆษณาเพื่อแอบหารายได้เอาไว้

จากรายงานของ WhiteOps ที่ออกในเดือนมิถุนายน 2020 นั้นพบว่ามีผู้ตกเป็นเหยื่อถูกทำให้โหลดโฆษณาที่ทำการซ่อนไว้มากกว่าสองพันล้านรายการจากจำนวนมากกว่า 65,000 เครื่องและมีแอปมากกว่า 5,000 แอปพลิเคชันที่ทำการเเฝง Terracotta ไว้

ผู้ใช้งาน Android ควรทำการตรวจสอบแอปพลิเคชันที่ทำการดาวน์โหลดทุกครั้งก่อนทำการติดตั้งเพื่อป้องกันการตกเป็นเหยื่อของผู้ประสงค์ร้ายที่พยายามกระจายแอปพลิเคชันที่เป็นอันตรายสู่ Google Play Store

ที่มา : zdnet

Iranian hackers impersonate journalists to set up WhatsApp calls and gain victims’ trust

กลุ่ม APT จากอิหร่านใช้วิธีการ Social Engineering โดยปลอมตัวเป็นนักข่าวเพื่อหลอกเหยื่อ

นักวิจัยจาก ClearSky ออกรายงานล่าสุดซึ่งมีการเปิดเผยการโจมตีที่เกิดขึ้นในช่วงเดือนกรกฎาคมถึงสิงหาคม 2020 ที่ผ่านมา โดยรายงานดังกล่าวพุ่งประเด็นไปที่พฤติกรรมของกลุ่มแฮกเกอร์อิหร่าน CharmingKitten (APT35) ที่มุ่งโจมตีนักวิชาการ กลุ่มสิทธิมนุษยชน และนักข่าวที่มีเชี่ยวชาญเกี่ยวกับอิหร่าน

หนึ่งในเทคนิคการเข้าถึงเป้าหมายที่ถูกเปิดเผยออกมานั้นคือพฤติกรรมที่แฮกเกอร์อิหร่านปลอมตัวเป็นนักข่าวเพื่อหลอกล่อเหยื่อ โดยพยายามติดต่อเหยื่อผ่านทาง LinkedIn จากนั้นมีการโทรคุยผ่าน WhatsApp เพื่อหลอกให้เหยื่อเชื่อใจ ก่อนจะส่ง phishing หรือมัลแวร์ให้กับเหยื่อ

ในอดีตกลุ่ม CharmingKitten เคยมีการปลอมตัวในลักษณะนี้มาก่อน แต่ใช้เพียงแค่อีเมลกับ SMS นักวิจัยระบุว่าการพยายามโทรหาเหยื่อเสี่ยงต่อการเปิดเผยตัวผู้โจมตี แต่ถ้าสำเร็จจะทำให้เหยื่อเชื่อใจได้มากขึ้น

ที่มา: zdnet

North Korea’s BeagleBoyz Robbing Banks

รัฐบาลสหรัฐฯ เตือนแฮกเกอร์เกาหลีเหนือพุ่งเป้าโจมตีธนาคารทั่วโลก

รัฐบาลสหรัฐอเมริกาได้ออกเตือนถึงกลุ่มเเฮกเกอร์ชาวเกาหลีเหนือที่เรียกว่ากลุ่ม “BeagleBoyz” ได้ทำการโจมตีโดยใช้มัลแวร์เพื่อทำการขโมยเงินหลายล้านดอลลาร์และกำลังกำหนดเป้าหมายเป็นธนาคารในกว่า 30 ประเทศ

จากรายงานข้อมูลที่รวบรวมและตรวจสอบโดยนักวิเคราะห์จาก CISA, กระทรวงการคลัง, FBI และ USCYBERCOM ระบุว่ากลุ่มแฮกเกอร์ได้กำหนดเป้าหมายเพื่อทำการขโมยเงินจากธนาคารในหลายประเทศ โดยการใช้โดยมัลเเวร์ CCENTRICBANDWAGON สามารถเก็บข้อมูลจากการพิมพ์, ภาพหน้าจอ และ Credential ต่อมาแฮกเกอร์จะทำการใช้มัลเเวร์ VIVACIOUSGIFT ที่มีความสามารถในการเป็นพร็อกซีเซิฟเวอร์เพื่อใช้ในการเชื่อมต่อกับเซิฟเวอร์ C&C ท้ายที่สุดกลุ่มแฮกเกอร์จะพยามยามค้นหาเทอร์มินัล SWIFT และ ATM payment switch application ภายในเครือข่ายเพื่อใช้และจะใช้เครื่องมือที่ชื่อว่า FASTCASH สำหรับ Windows เพื่อที่จะทำการสั่งถอนเงินสดจาก ATM ของธนาคารได้จากทั่วโลก

นอกเหนือจากการขโมยเงินจากสถาบันการเงินแล้วกลุ่ม BeagleBoyz ยังกำหนดเป้าหมายไปยัง Cryptocurrency exchange เพื่อขโมย Cryptocurrency ด้วย

ทั้งนี้ผู้ที่สนใจรายละเอียดสามารถอ่านข้อมูล IoC และข้อมูลเพิ่มเติมเกี่ยวกับกลุ่ม “BeagleBoyz” ได้ที่นี่ :

https://us-cert.

กลุ่ม SunCrypt Ransomware ประกาศเข้าร่วมเป็นสมาชิกในกลุ่ม Maze Ransomware

กลุ่ม Ransomware ที่ชื่อ SunCrypt ประกาศเข้าเป็นสมาชิกในกลุ่ม Maze Ransomware เพื่อแชร์ข้อมูลเชิงลึกโดยการแบ่งปันข้อมูลด้านเทคนิคและส่วนเเบ่งจากเงินค่าไถ่จากกลุ่ม Maze Ransomware โดย SunCrypt Ransomware นั้นถูกพบการปฏิบัติการครั้งเเรกในเดือนตุลาคม 2019 ซึ่งยังไม่เป็นที่รู้จักและไม่ค่อยมีการถูกพูดถึงมากนัก

จากตัวอย่าง SunCrypt Ransomware ที่ถูกวิเคราะห์เบื้องต้นพบว่า SunCrypt Ransomware จะทำการติดตั้งตัวเองผ่าน PowerShell โดยแรนซัมแวร์จะทำการเชื่อมต่อกับเซิฟเวอร์ C&C ของกลุ่ม Maze Ransomware ที่ [91[.]218.114.31|http://91[.]218.114.31/] เมื่อทำการรันไฟล์แรนซัมแวร์จะพบว่าแรนซัมแวร์เข้ารหัสไฟล์บนคอมพิวเตอร์ที่ตกเป็นเหยื่อโดยจะทำการเพิ่มเลขฐานสิบหกต่อท้ายชื่อไฟล์ นอกจากนั้นในทุกโฟลเดอร์จะมีไฟล์บันทึกเรียกค่าไถ่ชื่อ YOUR_FILES_ARE_ENCRYPTED HTML ถูกสร้างขึ้น

ไฟล์บันทึกเรียกค่าไถ่จะลิงก์ไปยังเว็บไซต์การชำระเงินด้วย Tor Network โดยในเว็บไซต์การชำระเงินจะมีเพียงหน้าจอแชทที่เหยื่อสามารถเจรจาค่าไถ่กับผู้กลุ่ม SunCrypt Ransomware และนอกจากนี้ยังมีลิงก์ที่เชื่อมโยงไปยังเว็บไซต์ที่กลุ่ม SunCrypt Ransomware ทำขึ้นเพื่อเพื่อเผยแพร่ข้อมูลตัวอย่างของเหยื่อ

เนื่องจาก SunCrypt Ransomware เป็นแรนซัมแวร์ชนิดใหม่ทำให้โปรเเกรมป้องกันไวรัสหลายๆ ชนิดยังไม่สามารถตรวจจับได้ ผู้ใช้งานควรทำการระมัดระวังในการดาวน์โหลดไฟล์เเหล่งที่ไม่รู้จักหรือเปิดอีเมลจากเเหล่งที่ไม่รู้ที่มาเพื่อเป็นการป้องกันการโจมตีด้วย Ransomware ชนิดใหม่นี้

ที่มา: bleepingcomputer.