News

‼️‼️ แจ้งเตือนระดับวิกฤต ช่องโหว่ระดับอันตรายสูงสุดที่อาจสามารถทำให้เกิด The Next WannaCry ได้กำลังถูกปล่อยออกมา ‼️‼️

Cisco Talos ทำบล็อกแจ้งเตือนใหม่โดยเผลอหลุดชื่อช่องโหว่ RCE ใน SMBv3 ที่ไมโครซอฟต์กำลังจะออกแพตช์รหัส CVE-2020-0796 โดยช่องโหว่นี้มีลักษณะ Wormable ได้ ซึ่งหมายถึงว่ามันสามารถถูกเอามาใช้แพร่กระจายได้เช่นเดียวกับกรณีของ CVE-2017-0143/0144 ที่ #WannaCry ใช้

ตอนนี้ IPS ก็เริ่มมี signature มาก่อนแล้วโดยที่ข้อมูลช่องโหว่ยังไม่มีออกมา แต่จากรายละเอียดก็พอบอกได้แต่เพียงว่าเป็นช่องโหว่ Buffer Overflow ในส่วนของกระบวนการ compress packet

ด้วยสถานการณ์ตอนนี้ Patch Tuesday ที่กำลังจะมาถึงอาจจะเป็นหนึ่งในแพตช์ที่ช่วยรักษาชีวิตของเราไว้ได้อย่างที่เราคาดไม่ถึงครับ

ที่มา : twitter

Critical Netgear Bug Impacts Flagship Nighthawk Router

ช่องโหว่ร้ายแรงจาก Netgear ส่งผลต่อ Router รุ่นดัง Nighthawk
Netgear กำลังคำเตือนผู้ใช้เกี่ยวกับข้อผิดพลาด remote code execution ที่สำคัญ ซึ่งอาจทำให้ผู้โจมตีที่ไม่ได้รับอนุญาตทำการควบคุมฮาร์ดแวร์ Wireless AC Router Nighthawk (R7800) ที่รันเฟิร์มแวร์เวอร์ชั่นก่อนหน้า 1.0.2.68 ได้ คำเตือนยังรวมถึงช่องโหว่อื่นๆ ได้แก่ช่องโหว่ความรุนแรงระดับสูงอีกสองตัว 21 ข้อบกพร่องที่มีระดับความรุนเเรงปานกลาง เเละอีกหนึ่งข้อบกพร่องระดับความรุนเเรงต่ำ
ช่องโหว่ remote code execution ที่สำคัญนี้ ถูกติดตามโดย Netgear ในรหัส PSV-2019-0076 ส่งผลกระทบต่อผู้ใช้ Nighthawk X4S Smart Wi-Fi Router (R7800) ที่เปิดตัวครั้งแรกในปี 2016 และยังคงมีอยู่ในปัจจุบัน Netgear ให้รายละเอียดสั้น ๆ เกี่ยวกับความเสี่ยงนี้ เพียงเเค่กระตุ้นให้ลูกค้าเยี่ยมชมหน้า online support เพื่อดาวน์โหลดตัวแก้ไข Bug เท่านั้น

ที่มา : threatpost

Browsers to block access to HTTPS sites using TLS 1.0 and 1.1 starting this month

Browsers จะทำการบล็อคการเข้าถึงเว็บไซต์ HTTPS ที่ใช้ TLS 1.0 และ 1.1 เริ่มต้นในเดือนนี้
มากกว่า 850,000 เว็บไซต์ยังคงใช้โปรโตคอล TLS 1.0 และ 1.1 ที่ล้าสมัยจะไม่สามารถเข้าถึงได้จาก Browsers หลักส่วนใหญ่ในปลายเดือนนี้ Netcraft ระบุ
เว็บไซต์กว่า 850,000 นั้นใช้ HTTPS แต่ในเวอร์ชันที่ไม่ปลอดภัย เว็บไซต์เหล่านั้นใช้ HTTPS ผ่าน certificates การเข้ารหัสที่สร้างขึ้นบนโปรโตคอล TLS 1.0 และ TLS 1.1 ซึ่งเป็นโปรโตคอลที่เก่าเเก่ เปิดตัวในปี 1996 และ 2006 ตามลำดับ โปรโตคอลเหล่านี้ใช้อัลกอริธึมการเข้ารหัสที่ไม่ปลอดภัย และมีความเสี่ยงต่อการโจมตีเพื่อถอดรหัสต่างๆ เช่น BEAST, LUCKY 13, SWEET 32, CRIME และ POODLE การโจมตีเหล่านี้ช่วยให้ผู้โจมตีสามารถถอดรหัส HTTPS และเข้าถึง plaintext บน web traffic ของผู้ใช้ เวอร์ชันใหม่ของโปรโตคอลเหล่านี้เปิดตัวในปี 2008 (TLS 1.2) และ 2017 (TLS 1.3) ซึ่งทั้งสองอย่างนี้ ถือว่าดีกว่าและปลอดภัยกว่าการใช้งาน TLS 1.0 และ TLS 1.1
การถอดถอนการใช้งาน TLS 1.0 และ TLS 1.1 ถูกประกาศตั้งแต่เมื่อสองปีที่แล้ว หลังจากการเปิดตัว TLS 1.3 ในฤดูใบไม้ผลิปี 2018 ผู้ผลิตเบราว์เซอร์สี่ราย ได้แก่ Apple, Google, Mozilla และ Microsoft และประกาศร่วมกันในเดือนตุลาคม 2018 ว่ามีแผนที่จะยกเลิกการสนับสนุน TLS 1.0 และ TLS 1.1 ในต้นปี 2020 ขั้นตอนแรกของการถอดถอนการใช้งานนี้เริ่มขึ้นเมื่อปีที่แล้ว เมื่อเบราว์เซอร์เริ่มติดฉลากไซต์ที่ใช้ TLS 1.0 และ TLS 1.1 ด้วยตัวบ่งชี้ "Not Secure" ในแถบที่อยู่ URL และไอคอนแม่กุญแจ เป็นการบอกใบ้แก่ผู้ใช้ว่าการเชื่อมต่อ HTTPS นั้นไม่ปลอดภัยอย่างที่คิด ปลายเดือนนี้เบราว์เซอร์จะเปลี่ยนจากการแสดงคำเตือนที่ซ่อนอยู่ เป็นแสดง errors เต็มหน้าจอเมื่อผู้ใช้เข้าถึงเว็บไซต์ที่ใช้ TLS 1.0 หรือ TLS 1.1 การแสดง errors เต็มหน้าจอเหล่านี้ มีกำหนดการที่จะเปิดตัวในการเปิดตัว Chrome 81 และ Firefox 74 ซึ่งมีกำหนดเวลาปลายเดือนมีนาคม 2020 นี้ Safari ก็มีกำหนดถอดถอนการใช้งาน TLS 1.0 และ 1.1 ในเดือนนี้เช่นกัน Microsoft จะดำเนินการตามความเหมาะสมในช่วงปลายเดือนเมษายนด้วยการเปิดตัว (the Chromium-based) Edge 82

ที่มา : zdnet

 

Active Scans for Apache Tomcat Ghostcat Vulnerability Detected, Patch Now

แพตช์ด่วน พบการสแกนหาช่องโหว่ Ghostcat สำหรับ Apache Tomcat แล้ว

ในตอนนี้พบการสแกนหาช่องโหว่สำหรับเซิร์ฟเวอร์ Apache Tomcat ที่ยังไม่ได้แก้ไขช่องโหว่ Ghostcat ที่ช่วยให้ผู้โจมตียึดเซิร์ฟเวอร์ได้จำนวนมาก

Ghostcat เป็นช่องโหว่ความเสี่ยงสูงในการเข้าถึงการอ่านไฟล์ ซึ่งถูกติดตามในชื่อ CVE-2020-1938 และมีอยู่ใน Apache JServ Protocol (AJP) ของ Apache Tomcat ตั้งแต่เวอร์ชัน 6.x จนถึง 9.x
นักพัฒนา Apache Tomcat ออกเวอร์ชัน 7.0.100, 8.5.51 และ 9.0.31 เพื่อแก้ไขช่องโหว่แล้ว อย่างไรก็ตามผู้ใช้เวอร์ชัน 6.x จะต้องอัปเกรดเป็นเวอร์ชันที่ใหม่กว่า เนื่องจากเวอร์ชั่นนี้ถึงจุดสิ้นสุดการ support แล้ว และไม่ได้รับการอัพเดทอีกต่อไป
Apache Tomcat 6, 7, 8 และ 9 ทั้งหมดที่มีช่องโหว่ AJP Connector จะถูกเปิดใช้งานตามค่าเริ่มต้น และ listening บนพอร์ต 8009
มีการเผยแพร่โค้ดสำหรับพิสูจน์เเนวความคิดการมีอยู่ของช่องโหว่ (POC) แล้ว Tenable กล่าวว่า POC สำหรับโจมตีช่องโหว่นี้ถูกเผยแพร่ทั้วไปตาม GitHub ทำให้ผู้โจมตีสามารถนำมาใช้ได้
หากคุณไม่สามารถอัปเดทหรืออัพเกรดเซิร์ฟเวอร์ของคุณเป็นรุ่น Tomcat ที่ได้รับการแก้ไขได้ทันที ทีมวิจัยของ Chaitin Tech แนะนำให้ปิดใช้งาน AJP Connector ทั้งหมด เว้นแต่ตั้งค่า requiredSecret สำหรับ AJP Connector ไว้ ซึ่งทำให้ต้องอาศัย credential ในการเชื่อมต่อ
ช่องโหว่ Ghostcat สามารถนำไปสู่การครอบครองเซิร์ฟเวอร์ได้ เนื่องจากTomcat ถือว่าการเชื่อมต่อ AJP มีความน่าเชื่อถือสูงกว่าการเชื่อมต่อ HTTP หรือการเชื่อมต่อที่คล้ายกัน หากใช้ช่องโหว่ดังกล่าวผู้โจมตีสามารถอ่านเนื้อหาของไฟล์การกำหนดค่าและไฟล์ source code ของ webapp ทั้งหมดที่ติดตั้งบน Tomcat ได้
นอกจากนี้หาก webapp อนุญาตให้ผู้ใช้อัปโหลดไฟล์ ผู้โจมตีสามารถอัปโหลดไฟล์ที่มีรหัสสคริปต์ JSP ที่เป็นอันตรายไปยังเซิร์ฟเวอร์ก่อน ตามด้วยการโจมตีช่องโหว่ Ghostcat ซึ่งในที่สุดก็สามารถส่งผลให้สามารถทำ remote code execution ได้

ที่มา : bleepingcomputer

New Wi-Fi Encryption Vulnerability Affects Over A Billion Devices

ช่องโหว่ Kr00k กระทบอุปกรณ์จำนวนมาก

ช่องโหว่การเข้ารหัส Wi-Fi ใหม่มีผลต่ออุปกรณ์กว่าพันล้านเครื่อง นักวิจัยด้านความปลอดภัยด้านไซเบอร์ได้ค้นพบช่องโหว่ฮาร์ดแวร์ใหม่ที่มีความรุนแรงสูงซึ่งอยู่ในชิป Wi-Fi ที่ใช้กันอย่างแพร่หลายที่ผลิตโดย Broadcom และ Cypress เห็นได้ชัดว่ามีผลต่ออุปกรณ์กว่าพันล้านเครื่องรวมถึง smartphones, tablets, laptops, routers เเละอุปกรณ์ IoTมันถูกขนานนามว่า 'Kr00k' เเละได้รับรหัส CVE-2019-15126 ข้อบกพร่องนี้อาจทำให้ผู้โจมตีที่อยู่ใกล้เคียง ดักจับ และถอดรหัสแพ็คเก็ตที่ส่งผ่านทางเครือข่ายไร้สายได้โดยช่องโหว่ของอุปกรณ์
ผู้โจมตีไม่จำเป็นต้องเชื่อมต่อไปยังเครือข่ายไร้สายของเหยื่อ โดยสามารถใช้ได้กับ protocol ทั้ง WPA2-Personal และ WPA2-Enterprise ที่ใช้การเข้ารหัสแบบ AES-CCMP
ข้อบกพร่องของ Kr00k นั้นค่อนข้างเกี่ยวข้องกับการโจมตี KRACK ซึ่งเป็นเทคนิคที่ทำให้ผู้โจมตีแฮกรหัสผ่าน Wi-Fi ได้ง่ายขึ้น โดยใช้โปรโตคอลเครือข่าย WPA2 ที่ใช้กันอย่างแพร่หลาย
สิ่งที่ควรทราบเกี่ยวกับ Kr00k

ช่องโหว่ Kr00k ไม่ได้อยู่ในโปรโตคอลการเข้ารหัส Wi-Fi แต่อยู่ในวิธีที่ชิป Wi-Fi นำวิธีการเข้ารหัสนั้นมาประยุกต์ใช้
ช่องโหว่ Kr00k ไม่ใช่ช่องโหว่ที่ผู้โจมตีสามารถเชื่อมต่อกับเครือข่าย Wi-Fi และโจมตีแบบ man-in-the-middle
ช่องโหว่ Kr00k ทำให้ให้ผู้โจมตีทราบรหัสผ่าน Wi-Fi ของคุณ และการเปลี่ยนมันไม่ได้ช่วยให้คุณแก้ไขปัญหาได้
ช่องโหว่ Kr00k ไม่ส่งผลกระทบต่ออุปกรณ์สมัยใหม่ที่ใช้โปรโตคอล WPA3 (มาตรฐานความปลอดภัย Wi-Fi ล่าสุด)
ช่องโหว่ Kr00k ไม่กระทบการเข้ารหัส TLS เมื่อเข้าชมเว็บไซต์ที่ใช้ HTTP
ช่องโหว่ Kr00k ลดระดับความปลอดภัยของคุณไปอีกขั้นหนึ่ง โดยผู้โจมตีจะสามารถดักจับข้อมูลได้หากมีการใช้งาน network traffic ที่ไม่ได้มีการเข้ารหัสใน layer ต่อไป เช่น เข้าชมเว็บที่ไม่ได้ใช้ HTTPS
การโจมตีตั้งอยู่บนพื้นฐานที่ว่าเมื่ออุปกรณ์ถูกตัดการเชื่อมต่อจากเครือข่าย wireless ชิป Wi-Fi จะล้าง session key ในหน่วยความจำและตั้งค่าเป็นศูนย์ แต่ข้อผิดพลาดเกิดเมื่อชิปจะส่งเฟรมข้อมูลทั้งหมดที่เหลืออยู่ในบัฟเฟอร์โดยไม่ได้ตั้งใจด้วยคีย์เข้ารหัสที่เป็นศูนย์ทั้งหมดแม้หลังจากการยกเลิกการเชื่อมต่อเเล้ว ดังนั้นผู้โจมตีในบริเวณใกล้เคียงกับอุปกรณ์ที่มีช่องโหว่สามารถใช้ข้อบกพร่องนี้
นักวิจัย ESET รายงานปัญหานี้ ไปยังผู้ผลิตชิป Broadcom เเละ Cypress ที่ได้รับผลกระทบแล้วตั้งแต่เมื่อปีที่แล้วรวมถึงผู้ผลิตอุปกรณ์หลายรายที่ได้รับผลกระทบ ซึ่งผู้ผลิตเหล่านี้ต้องรับผิดชอบออกซอฟต์แวร์หรือเฟิร์มแวร์เพื่อแก้ไขช่องโหว่นี้

ที่มา : thehackernews

 

Cyber Attack ช่องโหว่บนโปรเเกรม Pulse VPN และ Android Devices

ช่องโหว่บน Pulse Secure VPN (CVE-2019-1150)

Kevin Beaumont ผู้เชี่ยวชาญด้าน Cybersecurity เปิดเผยว่า 'Revil' เป็น Ransomware ที่ Hac Hacker พยายามเจาะเข้าหาระบบผ่านช่องโหว่ของ Pulse Secure VPN ด้วย Ransomware ชนิดนี้ จากข้อมูลล่าสุด บริษัทที่ได้รับผลกระทบจากช่องโหว่เหล่านี้ คือบริษัททางด้านการแลกเปลี่ยนเงินตรา และ ประกันภัยการท่องเที่ยวที่ชื่อว่า Travelex และทำให้ทางบริษัทTravelex ต้องปิดช่องทางการออนไลน์ทั้งหมดเพื่อหยุดยั้งการโจมตีที่เกิดขึ้น และกลับมาใช้ระบบ Manual แทนในสาขาต่างๆทั่วประเทศ

Kevin Beaumont ได้ยอมรับว่าช่องโหว่ CVE-2019-1150 มีความรุนแรงมาก โดยช่องโหว่ที่เกิดขึ้นนี้อยู่ในซอฟต์แวร์ Pulse Secure VPN หลายประเภท เช่น Pulse Connect Secure และ Pulse Policy Secure ซึ่งการช่องโหว่นี้ จะทำให้ Hacker เจาะผ่านเข้ามาทาง HTTPS Protocal และต่อเข้า Network ของบริษัทหรือองค์กรได้โดยไม่ต้องใช้ User Password ในการยืนยันตัวตน ซึ่ง Hacker สามารถมองเห็น File ที่เป็นความลับ (Confidential Files) หรือสามารถ Download Files ต่างๆ ออกมาได้ หรือแม้กระทั่งทำให้ Network ขององค์กรไม่สามารถใช้งานได้ ช่องโหว่ได้ถูก Patch แล้วในเดือนเมษายน 2019 ที่ผ่านมา ทาง Pulse Secure VPN ได้ออก Patch ให้บริษัทหรือองค์กรต่างๆ ได้เข้ามา Update เพื่อปิดช่องโหว่ดังกล่าวเรียบร้อยแล้ว

ช่องโหว่บน Android Devices (CVE-2019-2215)

ผู้เชี่ยวชาญทางด้าน Cyber Security ของ Tend Micro กล่าวว่า กลุ่ม Hacker ที่ใช้ชื่อว่า “SideWinder APT” ได้ใช้ช่องโหว่บนอุปกรณ์ที่รันบน Android และยังไม่ได้ update patch ผ่านทาง Application 3 ตัวที่อยู่บน Google Play Store คือ แอปพลิเคชัน ที่ชื่อว่า Camera, FileCrypt, และ CallCam ซึ่งทั้ง 3 แอปพลิเคชันนี้ถูกยืนยันว่าอาจจะเป็น แอปพลิเคชันที่ไว้สำหรับเจาะอุปกรณ์ Smartphone Android เนื่องจาก แอปพลิเคชันเหล่านี้ยกระดับสิทธิ root แล้วและส่งข้อมู Location, Battery, ไฟล์บนเครื่อง, แอปพลิเคชันที่ใช้, ข้อมูลเครี่อง, กล้อง, Screenshot, Account, WeChat, Outlook, Twitter, Yahoo Mail, Facebook, Gmail และ Chrome กลับไปหา Server ของกลุ่ม Hacker “SideWinder APT” ต่อไป

ที่มา  ehackingnews.

Australian banks targeted by DDoS extortionists

แฮกเกอร์ข่มขู่จะโจมตีธนาคารในออสเตรเลียด้วย DDOS หากไม่จ่ายค่าไถ่
แฮกเกอร์ได้ทำการส่งอีเมลไปยังธนาคารในออสเตรเลียเพื่อเรียกค่าไถ่จำนวนมากใน Monero เเละจะทำการโจมตีด้วย DDoS หากไม่ได้ในสิ่งที่พวกเขาต้องการ ธนาคารและองค์กรอื่นๆ จากภาคการเงินของออสเตรเลียตกเป็นเป้าหมายของการขู่กรรโชกมากมายในช่วงสัปดาห์ที่ผ่านมา กลุ่มผู้คุกคามได้ส่งอีเมลถึงผู้ที่ตกเป็นเหยื่อของภัยคุกคามว่าจะโจมตีแบบ distributed denial of service (DDoS) จนกว่าองค์กรจะจ่ายค่าไถ่จำนวนมากใน cryptocurrency สกุล Monero (XMR)
ภัยคุกคามที่องค์กรออสเตรเลียได้รับในช่วงสัปดาห์ที่ผ่านมา เป็นส่วนหนึ่งของแคมเปญเรียกค่าไถ่ransom denial of service (RDoS) ซึ่งเริ่มขึ้นในเดือนตุลาคม 2562 ณ เวลานั้นความพยายามกรรโชกในครั้งแรกๆ มีธนาคารเป็นเป้าหมาย และบริษัทอื่นๆในภาคการเงิน ภัยคุกคามเหล่านี้มีความหลากหลาย และแฮกเกอร์ก็ตั้งเป้าไปที่กลุ่มอุตสาหกรรมอื่นๆด้วย
จากความต้องการเรียกค่าไถ่กับธนาคารในสิงคโปร์และแอฟริกาใต้, ภายหลังภัยคุกคามนี้ก็ได้ทำเเบบเดียวกัน กับบริษัทโทรคมนาคมในตุรกี,ผู้ให้บริการอินเทอร์เน็ตในแอฟริกาใต้ และการพนันออนไลน์ และพอร์ทัลการพนันออนไลน์ทั่วเอเชียตะวันออกเฉียงใต้ ,นี่เป็นเพียงรายชื่อเป้าหมายที่ถูกโจมตีไม่กี่ชื่อ การขู่กรรโชกยังคงดำเนินต่อไปในเดือนต่อๆ มา และแฮ็กเกอร์ขยายการดำเนินงานอย่างเป็นระบบ เพื่อกำหนดเป้าหมายหลายสิบประเทศจากทุกทวีปทั่วโลก
กลุ่มผู้อยู่เบื้องหลังการโจมตีนี้ มีการเปลี่ยนชื่อตามที่พวกเขาได้ลงนามไว้ ในอีเมลการขู่กรรโชกอย่างสม่ำเสมอ ตอนแรกพวกเขาใช้ชื่อ Fancy Bear หลังจากนั้นพวกเขาก็เปลี่ยนไปใช้ Cozy Bear, ชื่ออื่นที่ใช้ ได้แก่ Anonymous, Carbanak และ Emotet ทั้งหมดนี้เป็นชื่อของการแฮ็คและการปฏิบัติการอาชญากรรมไซเบอร์ที่เป็นที่รู้จัก ผู้คุกคามที่อยู่เบื้องหลังการโจมตีนี้ หวังว่าผู้ที่ตกเป็นเหยื่อจะค้นหาชื่อเหล่านี้ทางออนไลน์ หลังจากที่ได้รับภัยคุกคามทางอีเมลจากพวกเขา Google เเสดงผลลัพธ์การค้นหาหลายพันรายการสำหรับคำเหล่านี้ และแฮกเกอร์ก็หวังว่าสิ่งนี้จะช่วยสร้างความน่าเชื่อถือให้กับการคุกคามของพวกเขา และโน้มน้าวให้ผู้ที่ตกเป็นเหยื่อจ่ายค่าไถ่
ในการเเจ้งเตือนภัยคุกคามเมื่อปีที่แล้ว Radware ผู้ให้บริการบรรเทาสาธารณภัย DDoS แนะนำผู้ที่ตกเป็นเหยื่อที่ได้รับอีเมลการขู่กรรโชก DDoS ประเภทนี้ว่าไม่ต้องจ่าย แต่ให้ติดต่อบริษัทรักษาความปลอดภัยไซเบอร์แทน
Australian Signals Directorate's Australian Cyber Security Centre (ASCS) แนะนำให้องค์กรเตรียมพร้อมสำหรับการโจมตีล่วงหน้าก่อนที่จะเกิดขึ้น เพราะเหตุการณ์เช่นนี้อาจตอบสนองได้ยากเมื่อการโจมตีเริ่มต้นขึ้น องค์กรที่เตรียมตัวดีควรจะสามารถทำงานได้อย่างมีประสิทธิภาพแม้จะมีภัยคุกคามเหล่านี้ และ DoS ใดๆก็ตาม ที่อาจเกิดขึ้น ASCS กล่าว

ที่มา : zdnet

Hackers are using Word documents to drop NetSupport Manager RAT

แฮกเกอร์กำลังใช้เอกสาร Word เพื่อปล่อย NetSupport Manager RAT

นักวิจัยจาก Cortex XDR ของ Palo Alto Networks เปิดเผยว่าได้พบกับแคมเปญฟิชชิ่งแบบใหม่ซึ่งมีเป้าหมายที่จะทำให้ผู้ใช้ติดไวรัสด้วย NetSupport Manager RAT (Remote Administration Tool)
แม้ว่า NetSupport ไม่เป็นอันตรายและมีการใช้เพื่อวัตถุประสงค์ในการบริหารเครือข่าย และเชื่อว่าแคมเปญนี้จะเริ่มขึ้นตั้งแต่เดือนพฤศจิกายน 2562 ถึงมกราคม 2563 โดยมีเป้าหมายเฉพาะที่อุตสาหกรรมการพิมพ์และภาพยนตร์

กระบวนการโจมตี
ทำการโจมตีโดยส่งอีเมลที่เกี่ยวข้องกับสถานะการคืนเงินหรือการทำธุรกรรมบัตรเครดิตด้วยเอกสาร Word ที่แฝงไวรัสไว้แล้วอ้างว่ามีข้อมูลที่สำคัญและรหัสผ่านสำหรับเปิดเอกสาร นอกจากนี้ผู้ใช้ยังได้รับแจ้งว่าต้องเปิดใช้งานแมโครภายใน Microsoft Word เพื่อป้อนรหัสผ่าน
เมื่อผู้ใช้เปิดเอกสารโค้ดที่ถูกแฝงมาจะถูกรันคำสั่งสร้างสตริง สตริงที่ถูกสร้างจะเรียกใช้งานบน VBA ซึ่งจะใช้เพื่อเรียก cmd.

Hackers Scanning for Vulnerable Microsoft Exchange Servers, Patch Now!

แฮกเกอร์สแกนหาเซิร์ฟเวอร์ของ Microsoft Exchange ที่มีช่องโหว่,แก้ไขเดี๋ยวนี้เลย !
ผู้โจมตีกำลังสแกนอินเทอร์เน็ตเพื่อหา Microsoft Exchange เซิร์ฟเวอร์ที่เสี่ยงต่อช่องโหว่รันคำสั่งอันตรายจากระยะไกล CVE-2020-0688 ซึ่งได้รับการแก้ไขโดย Microsoft เมื่อ 2 สัปดาห์ก่อน
Exchange Server ทุกเวอร์ชันจนถึงแพทช์ล่าสุดที่ออกมานั้นมีความเสี่ยงที่จะโดนโจมตีจากการสแกนที่ดำเนินการอยู่ ซึ่งจะรวมไปถึงรุ่นที่หมดระยะการสนับสนุนแล้ว ซึ่งในคำแนะนำด้านความปลอดภัยของ Microsoft จะไม่แสดงรุ่นที่หมดระยะแล้ว
ข้อบกพร่องมีอยู่ในส่วนประกอบ Exchange Control Panel (ECP) และเกิดจากการที่ Exchange ไม่สามารถสร้างคีย์การเข้ารหัสลับเฉพาะเมื่อติดตั้ง
เมื่อโจมตีสำเร็จ ผู้โจมตีที่สามารถเข้าสู่ระบบได้จะสามารถรันคำสั่งอันตรายจากระยะไกลด้วยสิทธิ์ System ได้และสามารถยึดเครื่องได้
Simon Zuckerbraun นักวิจัยด้านความปลอดภัยจาก Zero Zero Initiative เผยแพร่การสาธิตเกี่ยวกับวิธีการใช้ประโยชน์จากข้อบกพร่องของ Microsoft Exchange CVE-2020-0688 และวิธีการใช้คีย์การเข้ารหัสลับแบบคงที่ซึ่งเป็นส่วนหนึ่งของการโจมตีเซิร์ฟเวอร์ที่ไม่ตรงกัน
Zuckerbraun อธิบายว่าผู้โจมตีจะต้องยึดเครื่องหรือบัญชีผู้ใช้ของคนในองค์กรก่อน แล้วจากนั้นเมื่อใช้ช่องโหว่ก็จะสามารถยึดเซิร์ฟเวอร์ได้ เนื่องจาก Microsoft Exchange ใช้สำหรับส่งอีเมล ผู้โจมตีก็จะสามารถเปิดเผยหรือปลอมแปลงการสื่อสารทางอีเมลขององค์กรได้
ดังนั้นหากคุณเป็นผู้ดูแลระบบ Exchange Server คุณควรถือว่านี่เป็นแพตช์ที่มีความสำคัญมากและควรอัปเดตทันทีหลังจากทดสอบแพตช์แล้ว

ที่มา :bleepingcomputer.

ObliqueRAT linked to threat group launching attacks against government targets

ObliqueRAT เชื่อมโยงกับกลุ่มภัยคุกคามที่เริ่มโจมตีโดยมีรัฐบาลเป็นเป้าหมาย เน้นภูมิภาคเอเชียตะวันออกเฉียงใต้
นักวิจัยเปิดเผย Remote Access Trojan (RAT) ตัวใหม่ที่ดูเหมือนจะเป็นงานฝีมือของกลุ่มภัยคุกคามที่เชี่ยวชาญในการโจมตีรัฐบาล นักวิจัยของ Cisco Talos กล่าวว่ามัลแวร์ที่ถูกเรียกว่า ObliqueRAT กำลังถูกปล่อยในแคมเปญใหม่ที่มุ่งเน้นไปที่เป้าหมายในเอเชียตะวันออกเฉียงใต้ แคมเปญล่าสุดเริ่มขึ้นในเดือนมกราคม 2563 และกำลังดำเนินการอยู่อย่างต่อเนื่อง
อาชญากรไซเบอร์ที่อยู่เบื้องหลังโครงการนี้ใช้ฟิชชิ่งอีเมลเป็นจุดเริ่มต้นในการโจมตี อีเมลดังกล่าวแนบเอกสาร Microsoft Office ที่เป็นอันตราย ซึ่งจะทำการแพร่ RAT ตามมา
เอกสารแนบจะมีชื่อที่ไม่น่าสงสัย เช่น Company-Terms.