News

Cloudflare ประกาศเปิดตัวผลิตภัณฑ์ใหม่ภายใต้ชื่อ API Shield โดยเป็นเซอร์วิสสำหรับช่วยตรวจสอบและควบคุมพฤติกรรมการเรียกใช้ API แบบ policy-based โดยรองรับ API ซึ่งใช้ JSON และมีแพลนที่จะขยายการซัพพอร์ตไปรองรับกลุ่ม API ที่รับส่งข้อมูลแบบไบนารี เช่น gRPC

เบื้องหลังการทำงานของ API Shield อยู่ที่การสร้าง policy หรือ rule ผู้ใช้งานสามารถสร้าง API Shield rule ตาม OpenAPI scheme ตามคอนเซ็ปต์แบบ whitelist ระบบของ API Shield แน่นอนว่าผู้พัฒนาแอปจะต้องมีการตั้งค่าการเชื่อมต่อ TLS ให้ Cloudflare "เห็น" การรับ-ส่งข้อมูลเพื่อทำการตรวจสอบด้วย การรับ-ส่งข้อมูลซึ่งไม่ได้สอดคล้องตาม rule ใดๆ จะตกไปอยู่ใน deny-all policy ในทันที

ในภาพรวม API Shield ไม่ได้เป็นระบบพร้อมใช้ที่จะช่วยเพิ่มความปลอดภัยของการใช้ API ได้แบบ plug-n-play แต่มันเป็นระบบที่นักพัฒนาจะต้องมาตั้งค่าให้เหมาะสมเช่นเดียวกัน ดังนั้นหากนักพัฒนามีการตั้งค่าได้ไม่ดีพอ การมี API Shield มาช่วยตรวจสอบก็ไม่อาจมีประสิทธิภาพได้มากเท่าที่ควร

ผู้ที่มีบัญชีกับ Cloudflare แล้วจะสามารถเปิดใช้งาน API Shield ได้ทันทีโดยไม่เสียค่าใช้จ่าย

ที่มา : cloudflare

กลุ่มแฮกเกอร์ซึ่งอยู่เบื้องหลังการแพร่กระจายของมัลแวร์เรียกค่าไถ่ SunCrypt ซึ่งมีเอกลักษณ์ของการเป็นมัลแวร์เรียกค่าที่ไฟล์มัลแวร์เป็นโค้ด PowerShell นั้นมีการปรับเปลี่ยนกลยุทธิ์ในการกระตุ้นให้เหยื่อจ่ายค่าไถ่โดยการโจมตีแบบ DDoS ใส่ระบบ

DDoS extortion เป็นหนึ่งในวิธีการโจมตีซึ่งมีมานานแล้วและเคยได้รับความนิยมอยู่ช่วงหนึ่ง อ้างอิงจากการรายงานของ Bleeping Computer พฤติกรรมของ SunCrypt แตกต่างจากการทำ DDoS extortion โดยตรงเนื่องจากการโจมตีแบบ DDoS ในรูปแบบนี้เป็นเพียง "พระรอง" ในการกระตุ้นให้เหยื่อรีบจ่ายค่าไถ่หลังจากที่ "พระเอก" คือมัลแวร์เรียกค่าไถ่ทำการเข้ารหัสข้อมูลเสร็จเรียบร้อยแล้ว

จากประสบการณ์ของทางไอ-ซีเคียว วิธีการในลักษณะนี้ถือเป็นลักษณะหนึ่งของการโจมตีแบบ social engineering เช่นเดียวกับการสร้างเงื่อนไขการเพิ่มขึ้นของค่าไถ่หากไม่จ่ายในเวลาที่กำหนด อย่างไรก็ตามวิธีการนี้อาจส่งผลด้านลบต่อธุรกิจของ ransomware มากกว่าเมื่อเทียบกับการเรียกค่าไถ่ให้สูง แล้วรอให้เหยื่อมาต่อราคาลงถึงจุดที่รับได้ เนื่องจากเหยื่ออาจมีความยินดีที่จะจ่ายมากกว่า

ที่มา : bleepingcomputer

ผู้ผลิต QNAP ออกเเจ้งเตือนให้ลูกค้าทำการอัปเดตเฟิร์มแวร์และแอปพลิเคชันที่ติดตั้งในอุปกรณ์ Network-Attached Storage (NAS) เพื่อป้องกันแรนซัมแวร์สายพันธุ์ที่ชื่อ AgeLocker ransomware

AgeLocker ransomware ถูกพบการใช้งานครั้งเเรกตั้งแต่เดือนมิถุนายนที่ผ่านมา โดย AgeLocker จะใช้อัลกอริธึม Actually Good Encryption (AGE) ในการเข้ารหัสเครื่องผู้ใช้ ซึ่งอัลกอริทึมการเข้ารหัส AGE ถือว่ามีความปลอดภัยในการเข้ารหัสและเมื่อผู้ใช้ถูกเข้ารหัสผู้ใช้จะไม่สามารถกู้คืนข้อมูลได้นอกจากจ่ายค่าไถ่สำหรับข้อมูลที่ถูกเข้ารหัส

ทีม QNAP Product Security Incident Response Team (PSIRT) ได้ทำการตรวจพบหลักฐานว่าอาจมีการโจมตีด้วย AgeLocker ransomware ซึ่งทีม PSIRT พบว่า AgeLocker ได้ทำการเข้าถึงอุปกรณ์ QNAP จากเฟิร์มแวร์อุปกรณ์ หรือที่เรียกว่า QTS และแอปพลิเคชัน PhotoStation ที่ติดตั้งมาพร้อบกับระบบ QNAP

ทั้งนี้ผู้ใช้งานอุปกรณ์ QNAP NAS ควรทำการอัปเดตเฟิร์มแวร์และแอปพลิเคชัน PhotoStation เพื่อเป็นการป้องกันการตกเป็นเหยือของ AgeLocker ransomware และเพื่อป้องกันการสูญเสียของข้อมูลเนื่องจากการโจมตี

ที่มา : zdnet

ภาพจาก : bleepingcomputer

Cisco ออกเเพตซ์เเก้ไขช่องโหว่ระดับ ‘High severity’ สองช่องโหว่ที่เป็นช่องโหว่การโจมตีประเภท DoS ในหน่วยความจำของซอฟต์แวร์ Cisco IOS XR ที่ทำงานบนเราเตอร์ NCS 540 และ 560, NCS 5500, 8000 และ ASR 9000

เมื่อวันที่ 28 สิงหาคม 2020 ที่ผ่านมาทีมตอบสนองต่อเหตุการณ์ความปลอดภัยของผลิตภัณฑ์ Cisco (Cisco Product Security Incident Response Team - PSIRT) ได้พบถึงการพยายามใช้ประโยชน์จากช่องโหว่ CVE-2020-3566 (CVSS: 8.6/10) และ CVE-2020-3569 (CVSS: 8.6/10) ที่เป็นช่องโหว่ประเภท DoS ซึ่งอยู่ในฟีเจอร์ Distance Vector Multicast Routing Protocol (DVMRP) ของซอฟต์แวร์ IOS XR โดยช่องโหว่จะทำกระบวนการทำงานของ Internet Group Management Protocol (IGMP) ขัดข้องจนทำให้หน่วยความจำที่ใช้ประมวลผลหมดและเกิดการ Crash

ปัจจุบัน Cisco ได้เปิดตัว Software Maintenance Upgrades (SMU) เพื่อแก้ไขช่องโหว่ ทั้งนี้ผู้ดูแลระบบควรทำการอัปเดตเเพตซ์ของซอฟต์เเวร์ให้เป็นเวอร์ชันล่าสุด เพื่อเป็นการป้องกันผู้ประสงค์ร้ายใช้ประโยชน์จากช่องโหว่ทำการโจมตีระบบ

ที่มา : bleepingcomputer

GitHub ได้เปิดตัวฟีเจอร์ด้านความปลอดภัยใหม่ที่ชื่อว่า Code Scanning สำหรับผู้ใช้ทุกคนทั้งในบัญชีแบบชำระเงินและบัญชีฟรี

ฟีเจอร์ด้านความปลอดภัยใหม่นี้จะช่วยสแกนหาโค้ดที่ช่องโหว่ให้ผู้ใช้งานเพื่อช่วยทำการวิเคราะห์เมื่อเกิดการส่งคำขอ Pull Requests, Commit และ Merge ซึ่งเมื่อตรวจพบช่องโหว่ Code Scanning จะทำงานโดยแจ้งเตือนให้นักพัฒนาแก้ไขโค้ดของตน

ฟีเจอร์ Code Scanning จะทำงานความสามารถของ CodeQL (Code query language) ซึ่งเป็นเทคโนโลยีของ GitHub ที่ได้นำมาใช้ในแพลตฟอร์มหลังจากทำการซื้อกิจการมาจาก Semmle ซึ่งด้วยความสามารถของ CodeQL นี้จะช่วยให้นักพัฒนาสามารถเขียน Rule เพื่อตรวจหาช่องโหว่ในโค้ดได้ในปริมาณมากๆ

หลังจากทีมงาน GitHub เปิดให้ผู้ทดสอบเบต้าทดสอบมาตั้งเเต่เดือนพฤษภาคมที่ผ่านมา โดยฟีเจอร์นี้ได้ทำการทดสอบการสแกนหาช่องโหว่ไปแล้วกว่า 1,400,000 ครั้งกับ repository จำนวน 12,000 แห่ง ซึ่งช่องโหว่ที่ถูกพบและสามารถระบุได้หลักๆ จำนวนกว่า 20,000 รายการคือ ช่องโหว่การเรียกใช้โค้ดจากระยะไกล (Remote Code Execution - RCE), SQL Injection และ Cross-Site Scripting (XSS)

ทั้งนี้ผู้ใช้งานจะถูกแจ้งเตือนให้เปิดใช้งานฟีเจอร์ดังกล่าวหรือผู้ใช้งานสามารถเปิดการใช้งานฟีเจอร์ได้ด้วยตนเอง โดยการเข้าไปที่แท็บ ‘Security’ และในช่อง Code Scanning ให้เลือก Set up code scanning เพื่อเปิดใช้งาน

ที่มา : zdnet

หนึ่งในปัญหาสุดคลาสสิคของอุปกรณ์หรือโซลูชันด้านความปลอดภัยซึ่งนำมาสู่การ bypass การตรวจจับนั้นส่วนใหญ่มาจากการที่อุปกรณ์หรือโซลูชันไม่ยอมทำตาม RFC อย่างเหมาะสมจนส่งผลให้แฮกเกอร์สามารถข้ามผ่านการตรวจจับได้โดยอ้างรูปแบบตาม RFC

Bleeping Computer รายงานการค้นพบอีเมลฟิชชิงแนบไฟล์ Powerpoint อันตรายสำหรับแพร่กระจายมัลแวร์ Lokibot ซึ่งมีการใช้วิธีการสอดแทรกข้อมูลลงไปใน URL ซึ่งส่งผลให้อุปกรณ์ตรวจจับอีเมลอันตรายนั้นไม่สามารถตรวจจับได้ ทั้งนี้การสอดแทรกข้อมูลลงไปใน URL นั้นแท้จริงยังเป็นไปตาม RFC ซึ่งกำหนดรูปแบบของ URL เอาไว้ ทำให้เหยื่อยังสามารถคลิกลิงค์อันตรายได้ตามปกติ

หนึ่งในเทคนิคซึ่งแฮกเกอร์มักใช้งานนั้นคือการแทรกส่วนของ "userinfo" เข้าไปใน URL เช่น "https://malicious.

กระทรวงการคลังสหรัฐฯ กล่าวเมื่อวานนี้ว่าการจ่ายค่าไถ่ให้กับ Ransomware โดยเหยื่อ ผู้ที่ได้รับผลกระทบหรือแม้แต่ตัวกลางของบริษัทต่าง ๆ อาจถือเป็นการละเมิดมาตรการคว่ำบาตรซึ่งรัฐบาลกำหนดไว้

Office of Foreigh Assetrs Control (OFAC) ซึ่งเป็นหน่วยงานภายใต้กระทรวงการคลังสหรัฐฯ และเป็นผู้ควบคุมการคว่ำบาตรออกมาอธิบายถึงการจ่ายค่าไถ่เพิ่มเติมว่า บริษัทหรือองค์กรใดๆ ซึ่งดำเนินการจ่ายค่าไถ่ให้กับมัลแวร์เรียกค่าไถ่ไม่ว่าองค์กรเหล่านั้นจะเป็นผู้ที่ได้รับผลกระทบเองหรือไม่นอกจากจะเป็นการสนับสนุนให้เกิดการโจมตีต่อไปแล้ว การจ่ายค่าไถ่อาจเป็นการละเมิดข้อห้ามหรือมาตรการคว่ำบาตรทางเศรษฐกิจซึ่งรัฐบาลกำหนดเอาไว้ ซึ่งอาจทำให้เกิดผลกระทบและกลายเป็นประเด็นความมั่นคงของชาติ

ทั้งนี้ OFAC ออกมาให้คำแนะนำเพิ่มเติมว่า ผู้ที่ได้รับผลกระทบจากมัลแวร์เรียกค่าไถ่ควรมีการรวบรวมหลักฐานและมีการประสานงานกับหน่วยงานด้านกฎหมายเพื่อหาแนวทางในการดำเนินการกับสถานการณ์โดยทันที โดยกระบวนการจ่ายค่าไถ่นั้นอาจจำเป็นที่จะต้องถูกตรวจสอบโดย OFAC ก่อนดำเนินการเป็นรายกรณีไปภายใต้ดุลยพินิจของ OFAC เอง

ที่มา : bleepingcomputer

Cybersecurity and Infrastructure Security Agency (CISA) ออก Telework Essential Toolkit ซึ่งรายการของ best practice สำหรับช่วยในการตรวจสอบและควบคุมการทำงานจากระยะไกลให้ปลอดภัย

Telework Essential Toolkit เป็นคู่มือที่มีการแบ่งข้อควรปฏิบัติตามหน้าที่ภายในองค์กร โดยมีการออกเป็นข้อแนะนำสำหรับผู้บริหาร, ข้อแนะนำสำหรับกลุ่มบุคลากรทางไอที, และกลุ่มพนักงานทั่วไป โดยครอบคลุมเนื้อหาทั้งทางด้าน Process คือการพัฒนากลยุทธ์ทางด้านความปลอดภัย, ทาง People คือการให้ความตระหนักรู้และความระมัดระวังและทาง Technology คือคำแนะนำในการรักษาความปลอดภัยระบบและเครือข่าย

ผู้ที่สนใจสามารถดาวโหลด Telework Essential Toolkit ได้ที่ CISA

ที่มา : CISA

Mandiant Threat Intelligence เปิดเผยในบล็อกของบริษัทเมื่อวานนี้ว่าทางบริษัทได้ร่วม MITRE เพื่อพัฒนา ATT&CK for ICS ขึ้นมาจากเดิมที่มี Enterprise ATT&CK Matrix ซึ่งพึ่งรวมกลุ่ม Cloud เข้าไปและแบบ Mobile โดยผลลัพธ์ของการดำเนินการร่วมกันอยู่ในรูปแบบของการรวม ATT&CK for ICS ไปไว้เป็นส่วนหนึ่งของ Enterprise ATT&CK Matrix อย่างที่ได้มีการทำมาก่อนกลับ Cloud รวมถึงไปอยู่ในเครื่องมืออย่าง ATT&CK Navigator tool ด้วย

ICS ATT&CK นั้นมีการรวม TTP ที่เกี่ยวข้องกับภัยคุกคามซึ่งพุ่งเป้าโจมตีระบบ Industry control system (ICS) รวมไปถึง Operation technology (OT) ซึ่งมีแนวโน้มจะเพิ่มสูงขึ้นเป็นอย่างมาก ในขณะเดียวกันระบบในส่วนนี้มักเป็นส่วนที่ขาดการดูแลและรักษาความปลอดภัย ส่งผลให้การโจมตีหากเกิดขึ้นกับระบบในส่วนนี้ก็จะสร้างความเสียหายได้มาก ด้วยความยากระดับต่ำที่จะทำให้การโจมตีเกิดขึ้นได้

ผู้ที่สนใจสามารถเข้าชม MITRE ATT&CK for ICS Matrix ได้ที่ https://collaborate.

Symantec Threat Hunter Team ออกรายงานความเคลื่อนไหวของกลุ่มแฮกเกอร์จีนภายใต้ชื่อ Palmerworm หรือ BlackTech หลังจากมีการตรวจพบความเคลื่อนไหวล่าสุดในช่วงที่ผ่านมา โดยกลุ่ม Palmerworm พุ่งเป้าโจมตีหลายส่วนธุรกิจโดยมีเป้าหมายเพื่อขโมยข้อมูลความลับทางการค้า เหยื่อส่วนใหญ่นั้นกระจายอยู่ในสหรัฐฯ, ไต้หวัน, จีนและญี่ปุ่น

เอกลักษณ์ของกลุ่ม Palmerworm มีไม่แตกต่างจากกลุ่มอื่น กลุ่มแฮกเกอร์มีการใช้ทั้งมัลแวร์ซึ่งพัฒนาขึ้นเองจำนวน 4-6 รายการ ในการเป็นช่องทางลับสำหรับเข้าถึงระบบที่ยึดครองได้แล้ว โดยกลุ่มแฮกเกอร์ยังคงมีการใช้เทคนิค Living Off The Land Binaries and Scripts หรือใช้โปรแกรมในกลุ่ม Dual use ในการช่วยในการโจมตี เช่น ใช้ Putty ในการลักลอบส่งข้อมูลออก, ใช้ PsExec ในการทำ Lateral movement, ใช้โปรแกรม SNScan ในการเก็บข้อมูลเครือข่ายภายในและใช้ WinRAR ในการจัดการไฟล์ก่อนถ่ายโอนออก

Symantec Threat Hunter Team ได้เผยแพร่ IOC ที่พบจากการโจมตีแล้ว ผู้ที่สนใจสามารถนำ IOC มาเสริมความปลอดภัยได้ทันที รวมไปถึงเพิ่มรูปแบบการเฝ้าระวังการใช้โปรแกรมในกลุ่ม Dual use เพื่อตรวจสอบหากมีการนำไปใช้ในลักษณะที่ไม่พึงประสงค์

ที่มา: symantec-enterprise-blogs.