News

Cisco อัปเดตเเพตซ์ช่องโหว่ที่มีความเสี่ยงสูง 10 รายการที่ส่งผลกระทบกับซอฟต์แวร์ในอุปกรณ์ Switch และ Fiber Storage

Cisco ได้เปิดตัวแพตช์ความปลอดภัยเพื่อแก้ไขช่องโหว่ที่มีความเสี่ยงสูง 10 รายการในซอฟต์แวร์ NX-OS รวมถึงข้อบกพร่องบางประการที่อาจนำไปสู่การเรียกใช้โค้ดและการเพิ่มยกระดับสิทธิ์ โดยช่องโหว่ที่สำคัญและได้รับการเเก้ไขมีดังนี้

CVE-2020-3517 ช่องโหว่อยู่ในซอฟต์แวร์ Cisco FXOS และ NX-OS บน Cisco Fabric Services ช่องโหว่จะทำให้ผู้โจมตีที่ไม่ได้รับการตรวจสอบสามารถทำให้กระบวนการขัดข้องซึ่งอาจส่งผลให้เกิดการปฏิเสธการให้บริการ (DoS) ในอุปกรณ์ที่ได้รับผลกระทบ
CVE-2020-3415 ช่องโหว่การเรียกใช้โค้ดจากระยะไกล (RCE) ใน Data Management Engine (DME) ของซอฟต์แวร์ NX-OS ช่องโหว่จะทำให้ผู้โจมตีสามารถเรียกใช้โค้ดได้โดยไม่ได้รับอนุญาตด้วยสิทธิ์ระดับผู้ดูแลระบบหรือทำให้เกิดเงื่อนไขการปฏิเสธการให้บริการ (DoS) บนอุปกรณ์ที่ได้รับผลกระทบ
CVE-2020-3394 ช่องโหว่การยกระดับสิทธ์บนอุปกรณ์สวิตช์ Nexus 3000 และ 9000 series ช่องโหว่จะทำให้ผู้โจมตีสามารถรับสิทธิ์ระดับผู้ดูแลระบบเต็มรูป
CVE-2020-3397 และ CVE-2020-3398 ช่องโหว่ DoS ใน BGP Multicast VPN ของซอฟต์แวร์ NX-OS ซึ่งกระทบกับอุปกรณ์สวิตช์ Nexus 7000 series
ทั้งนี้ผู้ใช้งานและผู้ดูแลระบบควรทำการอัปเดตเเพตซ์ให้เป็นเวอร์ชันล่าสุดเพื่อป้องกันผู้ประสงค์ร้ายทำการใช้ประโยชน์จากช่องโหว่ทำการโจมตีระบบ

ที่มา:

securityaffairs.

นักวิจัยของ Google รายงานว่าพบช่องโหว่ 3 รายการใน Apache

Apache ออกประกาศแก้ไขช่องโหว่ต่างๆ บนซอฟต์แวร์เว็บเซิร์ฟเวอร์ของตนเอง เนื่องจากช่องโหว่เหล่านี้เปิดให้รันโค้ดอันตรายและอาจทำให้ผู้โจมตีทำเซิร์ฟเวอร์ล่ม หรือไม่สามารถให้บริการต่อได้ (Denial of Service)

ช่องโหว่ที่พบมี 3 รายการ CVE-2020-9490, CVE-2020-11984, CVE-2020-11993 ถูกค้นพบโดย Felix Wilhelm จาก Google Project Zero ทาง Apache Foundation ได้ทราบรายละเอียดจึงนำไปแก้ไขในเวอร์ชันล่าสุด (2.4.46)

ช่องโหว่แรก (CVE-2020-11984) เป็นปัญหาเกี่ยวกับช่องโหว่ในการรันโค้ดจากระยะไกลด้วยการทำ Buffer Overflow กับโมดูล "mod_uwsgi" ซึ่งอาจทำให้ผู้โจมตีสามารถเข้ามาดู, เปลี่ยนแปลงหรือลบข้อมูลได้ โดยขึ้นอยู่กับสิทธิที่เกี่ยวข้องกับแอปพลิเคชันที่ทำงานบนเซิร์ฟเวอร์
ส่วนช่องโหว่ที่สอง (CVE-2020-11993) เป็นช่องโหว่ที่เกิดขึ้นเมื่อเปิดใช้งานดีบั๊กในโมดูล "mod_http2" ช่องโหว่จะทำให้ log statement ที่ทำการบันทึกการเชื่อมต่อทำงานผิดพลาดและอาจส่งผลให้หน่วยความจำเกิดเสียหายเนื่องจากการใช้งาน log pool ร่วมกัน
ช่องโหว่รายการสุดท้าย (CVE-2020-9490) เป็นช่องโหว่ที่มีความรุนแรงที่สุดและยังอยู่ในโมดูล HTTP/2 ช่องโหว่จะทำให้ผู้โจมตีที่ใช้ Cache-Digest Header ที่ออกเเบบมาเป็นพิเศษทำการโจมตีในหน่วยความจำเพื่อทำให้หน่วยความจำเสียหายซึ่งนำไปสู่ความผิดพลาดและการปฏิเสธบริการ (DoS)
แนะนำให้ติดตั้งเวอร์ชันล่าสุดของซอฟต์แวร์เซิร์ฟเวอร์ Apache เพื่อป้องกันไม่ให้แฮกเกอร์เข้ามาควบคุมได้

ที่มา: thehackernews.

มัลแวร์เรียกค่าไถ่ Conti (Ryuk) ออกเว็บไซต์สำหรับปล่อยข้อมูล

กลุ่มผู้อยู่เบื้องหลังมัลแวร์เรียกค่าไถ่หันมาขโมยข้อมูลก่อนที่จะปล่อยมัลแวร์เข้ารหัสไฟล์มากขึ้นเพื่อข่มขู่เหยื่อให้ยอมจ่ายค่าไถ่ ไม่อย่างนั้นจะปล่อยข้อมูลที่ขโมยมา โดยเทคนิคข่มขู่นี้เริ่มมาจาก Maze ransomware ในเดือนธันวาคม 2019 และมีกลุ่มที่ดำเนินรอยตามอีกมาก รวมไปถึงมัลแวร์เรียกค่าไถ่ตัวใหม่ Conti

มัลแวร์เรียกค่าไถ่ Conti พบครั้งแรกในช่วงเดือนมิถุนายน 2020 จากการวิเคราะห์พบว่ามัลแวร์นี้น่าจะมาจากกลุ่มทีเคยอยู่เบื้องหลังมัลแวร์เรียกค่าไถ่ Ryuk มาก่อน โดย Conti แพร่กระจายผ่าน TrickBot และมีโค้ดแบบเดียวกับ Ryuk ในวันที่ 25 สิงหาคม 2020 ที่ผ่านมามีนักวิจัยรายงานการค้นพบเว็บไซต์สำหรับปล่อยข้อมูลผู้ที่ตกเป็นเหยื่อ Conti ซึ่งมีข้อมูลของเหยื่อแล้วกว่า 26 ราย

ZDNet ระบุว่าเทรนด์การขโมยข้อมูลก่อนเรียกค่าไถ่นี้ทำให้องค์กรต้องเพิ่มความสามารถในการรับมือตรวจสอบภัยคุกคามมากขึ้นกว่าแค่กู้คืนระบบ ต้องมีการตรวจสอบหากมี backdoor หลงเหลืออยู่ในระบบ รวมถึงต้องมีการประกาศข้อมูลรั่วไหลหากพบว่าข้อมูลผู้ใช้งานหรือพนักงานถูกขโมยออกไป

ที่มา

bleepingcomputer.

อย่างกับหนังสายลับ! FBI ประกาศการจับกุมชาวรัสเซียจากแผนการพยายามติดสินบนพนักงาน Tesla ให้ติดตั้งมัลแวร์เรียกค่าไถ่

FBI ประกาศการจับกุม Egor Igorevich Kriuchkov อายุ 27 ปี ชาวรัสเซียหลังจากมีการสืบทราบว่า Egor มีแผนที่จะติดสินบนพนักงานของ Tesla เพื่อให้ติดตั้งมัลแวร์เรียกค่าไถ่ในโรงงาน Gigafactory ในเนวาดา โดย Egor ถูกจับกุมในระหว่างที่กำลังจะจัดแจงเตรียมการบินออกนอกสหรัฐฯ ด้าน Elon Musk ก็ออกมายืนยันการเหตุการณ์ที่เกิดขึ้นแล้วผ่านทางบัญชีทวิตเตอร์ของเขา

ในเอกสารจากทางการ Egor พยายามที่จะติดสินบนพนักงานของ Tesla จำนวน 1 ล้านดอลลาร์สหรัฐฯ (ประมาณ 31 ล้านบาท) เพื่อให้ติดตั้งมัลแวร์เรียกค่าไถ่ไม่ทราบประเภทผ่านทาง USB กับระบบภายในของโรงงาน Gigafactory โดยอ้างอิงจากการสืบสวนเบื้องต้นนั้น มัลแวร์ดังกล่าวมีศักยภาพในการเข้าถึงไฟล์ในระบบซึ่งคาดว่า Egor จะใช้เพื่อต่อรองกับทาง Tesla เพื่อทำการเรียกค่าไถ่

การสืบสวนยังพบว่า Egor ใช้วิธีนัดพบแบบเห็นหน้ากับพนักงานของ Tesla หลังจากมีการพูดคุยทาง WhatsApp และอ้างว่าเขาได้มีการ "โครงการในลักษณะนี้" มาก่อนแล้วกับสองบริษัท และได้ค่าไถ่จำนวน 4 ล้านดอลลาร์สหรัฐฯ (ประมาณ 124 ล้านบาท) โดย Egor ยังมีการพูดถึงแผนในการที่จะใช้การโจมตีแบบ DDoS เพื่อดึงความสนใจของเป้าหมายระหว่างที่มีการติดตั้งมัลแวร์

การสืบสวนและจัดกุมนี้เริ่มขึ้นจากการประสานงานระหว่างฝั่ง Tesla และ FBI โดยพนักงานที่ได้รับการติดต่อในยินยอมที่จะส่งมอบโทรศัพท์มือถือที่ได้รับการติดต่อให้กับทาง FBI ทำการตรวจสอบ โดย Egor จะถูกตัดสินจำคุก 5 ปีและปรับจำนวน 250,000 ดอลลาร์สหรัฐฯ ตามกฎหมายสหรัฐฯ

ที่มา: bleepingcomputer.

นักวิจัยพบพฤติกรรมอันตรายใน iOS SDK ที่มีแอปใช้งานกว่า 1,200 แอป

นักวิจัยจาก Snyk ออกบทความเผยแพร่การค้นพบพฤติกรรมอันตราย SDK โฆษณาใน iOS ชื่อ Mintegral SDK จากบริษัทโฆษณา Mobvista ประเทศจีนมีพฤติกรรมขโมยข้อมูลของผู้ใช้งานและขโมยการกดคลิกโฆษณาของ SDK โฆษณาตัวอื่น Mintegral SDK มีแอปใช้งานกว่า 1,200 แอป รวมยอดผู้ใช้งานกว่า 300 ล้านคนต่อเดือน

Snyk ระบุว่า Mintegral SDK เก็บข้อมูลของผู้ใช้งานผ่านการเก็บ URL request ที่เกิดขึ้นบนแอปที่ใช้ Mintegral SDK ซึ่งเป็นไปได้ที่จะมีข้อมูลส่วนบุคคลของผู้ใช้งานและข้อมูลสำคัญอื่นๆ ปนไปกับ URL request เหล่านั้น นอกจากนี้ยังมีการขโมยรายได้เมื่อผู้ใช้งานมีการกดโฆษณาบน SDK โฆษณาตัวอื่นมาเป็นรายได้ของ Mintegral SDK

ทั้งนี้ทาง Apple ระบุว่าได้ตรวจสอบรายงานของ Snyk เกี่ยวกับ Mintegral SDK แล้วและยังไม่พบหลักฐานว่า Mintegral SDK เป็นอันตรายต่อผู้ใช้งานในขณะนี้ โดย Mintegral SDK แถลงเพิ่มเติมว่าการเก็บข้อมูลที่ทำเป็นการทำเพื่อการทำโฆษณาให้เฉพาะเจาะจงกับผู้ใช้เท่านั้น ไม่ได้มีการละเมิด terms of service ของ Apple

ที่มา:

thehackernews.

ผู้เชี่ยวชาญเปิดเผยรายละเอียดช่องโหว่ที่ยังไม่ได้รับการเเพตซ์ของ Safari ที่จะทำให้ผู้โจมตีสามารถใช้เพื่อขโมยไฟล์จากระบบของเป้าหมายได้

Pawel Wylecial ผู้เชี่ยวชาญด้านความปลอดภัยและผู้ก่อตั้งบริษัทรักษาความปลอดภัย REDTEAM.PL และ BlackOwlSec ได้เปิดเผยถึงรายละเอียดของช่องโหว่ที่ยังไม่ได้รับการเเพตซ์ในเว็บเบราว์เซอร์ Safari ของ Apple ซึ่งจะทำให้ผู้โจมตีสามารถขโมยไฟล์จากระบบของเป้าหมายได้

Wylecial กล่าวว่าช่องโหว่เกิดจาก Web Share API ซึ่งโดยทั่วไปจะอนุญาตให้ผู้ใช้แชร์ลิงก์จาก Safari ผ่านแอพ third-party เช่นอีเมลและแอปที่ใช้ส่งข้อความ ในเชิงเทคนิคนั้น ช่องโหว่เกิดจากปัญหาเมื่อมีการเรียกใช้ scheme file:/// โดยลิงก์จะถูกส่งไปยังฟังก์ชัน navigator.

Blockchain Investigation: ทางการสหรัฐฯ ไล่อายัด Bitcoin และ Ethereum ซึ่งเกี่ยวข้องกับการโจมตีของแฮกเกอร์สัญชาติเกาหลีเหนือ

ทางการสหรัฐฯ ออกหมายเพื่อทำการควบคุมและยึด Bitcoin และ Ethereum มูลค่ากว่า 100 ล้านบาทซึ่งคาดว่าถูกถือครองโดยแฮกเกอร์สัญชาติเกาหลีเหนือซึ่งเป็นผลมาจากการโจมตีและขโมยมาจากบริการ Exchange ระหว่างในเดือนกรกฎาคม 2019 และเดือนกันยายน 2019

เบื้องหลังการออกหมายและยึดนั้น ทางการสหรัฐฯ ได้มีการระบุในหมายศาลว่าพวกเขามีการเทคโนโลยี Blockchain analysis ในการไล่หาความสัมพันธ์ระหว่างความเชื่อมโยงจากบัญชีที่เกี่ยวข้องกับบริการ Exchange และการทำธุรกรรมทั้งหมดที่เกี่ยวข้องกว่า 280 บัญชี โดยแฮกเกอร์มีการใช้เทคนิคซึ่งถูกเรียกว่า Chain hopping ในการอำพรางการโอนและทำให้การตรวจสอบเป็นไปได้ยาก

อ้างอิงจากเอกสาร เทคนิค Chain hopping หรือ Blockchain hopping เป็นเทคนิคในการฟอกเงินโดยอาศัยการเปลี่ยนสกุลเงินออนไลน์สลับไปมาเพื่อทำให้การตรวจสอบเป็นไปได้ยาก แฮกเกอร์จะใช้การกระจายเหรียญที่ขโมยมาได้ออกไปสู่หลายบัญชีเพื่อทำให้มูลค่าของการโอนระหว่างการนั้นน้อยลงจนสังเกตได้ยาก อย่างไรก็ตามเทคโนโลยี Blockchain analysis ในปัจจุบันสามารถตรวจสอบพบการดำเนินการเหล่านี้และนำไปสู่การออกหมายเพื่อยึดเหรียญคืนได้

เอกสารยังเปิดเผยถึงการดำเนินการในขั้นตอนต่อไปคือเข้าควบคุมบัญชีซึ่งครอบครองเหรียญเหล่านี้อยู่และดำเนินการโอนคืนให้กับบริการ Exchange และผู้ใช้งานที่ได้รับผลกระทบต่อไป

ที่มา: zdnet.

ช่องโหว่ใน Google Drive สามารถทำให้ผู้โจมตีหลอกให้ผู้ใช้งานติดตั้งมัลแวร์ได้

Nikoci นักวิจัยด้านความปลอดภัยได้เปิดเผยช่องโหว่ใน Google Drive ที่สามารถทำให้ผู้โจมตีหลอกให้ผู้ใช้งานติดตั้งมัลแวร์ได้ หลังพบผู้ใช้ได้รับผลกระทบจากการดาวน์โหลดไฟล์ที่มีมัลแวร์ซ่อนอยู่

ช่องโหว่ของ Google Drive ซึ่งยังไม่ได้รับการแก้ไขนั้นทำให้ผู้โจมตีสามารถเผยแพร่มัลแวร์ผ่าน Google Drive โดยผู้ประสงค์ร้ายสามารถใช้เมนู "Manage versions" โดยมีขั้นตอนเพียงแค่ทำการอัปโหลดไฟล์ปกติลงบน Google Drive ก่อนและหลังจากนั้นทำการอัปเดตไฟล์ใหม่ด้วยไฟล์ที่เป็นอันตรายที่มีชื่อเดียวกันเเทนไฟล์ที่ทำการอัปโหลดครั้งเเรกผ่าน "Manage versions"

จุดอ่อนของฟีเจอร์นี้อยู่ในข้อเท็จจริงที่ Google Drive จะไม่ตรวจสอบว่าไฟล์ที่อัปโหลดไปใหม่นั้นเป็นไฟล์ชนิดเดียวกันหรือไม่ ทำให้ผู้โจมตีสามารถซ่อนมัลแวร์ได้อย่างแนบเนียนและทำการกระจายมัลแวร์ไปสู่เป้าหมาย โดยช่องโหว่นี้แฮกเกอร์สามารถปรับใช้เทคนิค Spear-phishing attack เพื่อหลอกผู้ใช้ให้ทำการดาวน์โหลดและติดตั้งซอฟเเวร์ผ่านทาง Google Drive โดยไฟล์ดังกล่าวอาจเป็นไฟล์ที่่มีมัลแวร์ซ่อนอยู่

ปัจจุบัน Google ยังไม่ได้แก้ปัญหานี้ ในขณะเดียวกันเว็บเบราว์เซอร์อย่าง Google Chrome ก็มักจะเชื่อถือไฟล์ที่ดาวน์โหลดจาก Google Drive แม้ว่าไฟล์จะถูกตรวจพบโดยซอฟต์แวร์ Antivirus ตัวอื่นๆ ว่าเป็นอันตรายก็ตาม

คำแนะนำ: ก่อนที่จะดาวน์โหลดไฟล์ควรตรวจสอบที่มาของไฟล์ก่อนโหลด ทั้งนี้ควรทำการสแกนและอัปเดตฐานข้อมูล Antivirus อยู่เสมอเพื่อป้องกันมัลแวร์ที่อาจถูกซ่อนอยู่ในไฟล์

ที่มา: thehackernews.

กลุ่มเเฮกเกอร์ Lazarus กำหนดเป้าหมายการโจมตีในบริษัท Cryptocurrency โดยทำการโจมตีผ่านข้อความ LinkedIn

กลุ่มเเฮกเกอร์ Lazarus กำหนดเป้าหมายการโจมตีในบริษัท Cryptocurrency โดยทำการโจมตีผ่านข้อความ LinkedIn

นักวิจัยด้านความปลอดภัยจาก F-Secure Labs ได้เปิดเผยถึงแคมเปญใหม่จากกลุ่มแฮกเกอร์เกาหลีเหนือ “Lazarus” หรือที่รู้จักในชื่อ HIDDEN COBRA ทำการใช้ LinkedIn ในทำแคมเปญการโจมตีด้วย Spear phishing โดยเป้าหมายของแคมเปญครั้งนี้คือกลุ่มบริษัทที่ทำธุรกรรมประเภท Cryptocurrency และสกุลเงินดิจิทัลที่อยู่ในประเทศสหรัฐอเมริกา, สหราชอาณาจักร, เยอรมนี, สิงคโปร์, เนเธอร์แลนด์, ญี่ปุ่นและประเทศอื่น ๆ

นักวิจัยด้านความปลอดภัยกล่าวว่าแคมเปญการโจมตีของกลุ่ม Lazarus นั้นได้พุ่งเป้าโจมตีบริษัท Cryptocurrency โดยการแนบ Microsoft Word ที่ฝังโค้ดมาโครไว้ จากนั้นส่งผ่านบริการ LinkedIn ไปยังเป้าหมาย เมื่อเป้าหมายเปิดเอกสาร ลิงค์ของ bit[.]ly ที่ฝังอยุ่จะทำงานและทำการดาวน์โหลดมัลแวร์และทำการติดต่อ C&C เพื่อใช้ในการควมคุมเหยื่อ ซึ่งเมื่อสามารถเข้าควบคุมเครื่องของเหยื่อได้แล้ว กลุ่มเเฮกเกอร์จะทำการปิด Credential Guard จากนั้นจะใช้ Mimikatz เพื่อรวบรวม Credential ของผู้ใช้และทำการใช้ข้อมูลดังกล่าวเพื่อเข้าสู่ระบบและหาประโยชน์ต่อไป

ทั้งนี้ผู้ใช้งานควรทำการตรวจสอบไฟล์ที่เเนบมากับลิงค์หรืออีเมลทุกครั้งที่ทำการเปิดเพื่อป้องกันการตกเป็นเหยื่อของผู้ประสงค์ร้าย ซึ่งอาจจะทำให้เกิดความเสียหายต่อระบบและอาจต้องสูญเสียทรัพย์สิน

ที่มา:

bleepingcomputer.

Mercenary hacker group targets companies with 3Ds Max malware

พบแฮกเกอร์ทำการรับจ้างเเฮกบริษัทด้านสถาปัตยกรรมโดยใช้ช่องโหว่จาก Autodesk 3Ds Max

นักวิจัยด้านความปลอดภัยจาก Bitdefender ได้เปิดเผยถึงกลุ่มแฮกเกอร์กลุ่มใหม่ที่รับการจ้างบุกรุกคอมพิวเตอร์ของบริษัทต่างๆ ทั่วโลกโดยใช้มัลแวร์ที่ฝังอยู่ในปลั๊กอิน “PhysXPluginMfx” ของซอฟต์แวร์ Autodesk 3Ds Max ทำการโจมตีเพื่อขโมยข้อมูล

เมื่อผู้ใช้ทำการติดตั้งปลั๊กอิน “PhysXPluginMfx” ภายใน Autodesk 3Ds Max ยูทิลิตี้ MAXScript จะทำการเรียกใช้โค้ดที่เป็นอันตรายและจะทำให้ไฟล์ MAX (*.max) ภายในเครื่องติดมัลแวร์ ทั้งนี้มัลแวร์สามารถแพร่กระจายไปยังผู้ใช้รายอื่นได้โดยการรับและเปิดไฟล์ที่ติดมัลเเวร์บนเครือข่าย นอกจากการเเพร่กระจายแล้วมัลแวร์มีความสามารถในการรวบรวมข้อมูลและขโมยข้อมูลที่อยู่ภายในเครื่องเช่น Screen capture, Username, IP addresses และข้อมูลการโปรเซสเซอร์ภายใน RAM ออกไปยังเซิร์ฟเวอร์ C&C ของกลุ่มเเฮกเกอร์ที่ถูกพบในประเทศต่างๆ เช่น เกาหลีใต้, สหรัฐอเมริกา, ญี่ปุ่นและแอฟริกาใต้

จากการตรวจสอบการโจมตีและสามารถยืนยันได้พบมีการโจมตีอย่างน้อยหนึ่งครั้งเป็นบริษัทสถาปัตยกรรมและผลิตวิดีโอคอนเทนต์ที่ทำงานร่วมบริษัทอสังหาริมทรัพย์ระดับใหญ่ในสหรัฐอเมริกา, อังกฤษ, ออสเตรเลียและโอมาน

เพื่อเป็นการหลีกเลี่ยงการโจมตีจากเเฮกเกอร์กลุ่มนี้ผู้ใช้ที่ใช้งาน Autodesk 3Ds Max ควรทำการตรวจสอบปลั๊กอินที่ใช้อยู่ว่ามีการใช้งานปลั๊กอิน “PhysXPluginMfx” หรือไม่ ถ้าพบว่ามีการใช้งานควรทำการลบออกจากเครื่อง ซึ่งทั้งนี้ไม่ควรทำการโหลดปลั๊กอินจากเเหล่งที่ไม่รู้จักเพื่อป้องกันการขโมยข้อมูลและการเเพร่กระจายมัลเเวร์ภายในเเครือข่ายขององค์กรและบริษัท

ที่มา: zdnet.