Apex One เป็นซอฟต์แวร์ด้านความปลอดภัย ที่ใช้สำหรับตรวจจับภัยคุกคาม และตอบสนองต่อเครื่องมือ มัลแวร์ และช่องโหว่ที่เป็นอันตรายต่อระบบของผู้ใช้งาน

ช่องโหว่นี้มีหมายเลข CVE-2022-40139 ที่จะทำให้ผู้โจมตีสามารถสั่งรันโค้ดที่เป็นอันตรายบนเครื่องที่มีการใช้งานซอฟต์แวร์ที่มีช่องโหว่ได้จากระยะไกล

กลไกการ Rollback ใน Trend Micro Apex One และ Trend Micro Apex One as a Service บนเครื่อง Client นั้นสามารถทำให้ผู้ดูแลระบบ Server ของ Apex One สามารถสั่งการให้เครื่อง Client ทำการดาวน์โหลด Rollback package ที่ไม่ได้รับการยืนยัน ซึ่งอาจนำไปสู่การถูกสั่งรันโค้ดที่เป็นอันตรายจากระยะไกลได้

แต่ยังโชคดีที่ผู้โจมตีนั้นจะต้องสามารถเข้าถึงหน้า console ของผู้ดูแลระบบของ Apex One ได้ก่อนจึงจะสามารถโจมตีช่องโหว่นี้ได้

ถึงแม้ว่านี่จะเป็นการเพิ่มเงื่อนไขในการที่จะโจมตีช่องโหว่นี้ได้สำเร็จ แต่ Trend Micro ก็ได้ส่งคำเตือนไปยังผู้ใช้งานว่าได้ตรวจพบการพยายามโจมตีช่องโหว่นี้อย่างน้อยหนึ่งครั้ง

Trend Micro ระบุว่า “Trend Micro ได้ตรวจพบการพยายามโจมตีช่องโหว่นี้อย่างน้อยหนึ่งครั้ง ดังนั้นผู้ใช้งานควรทำการอัปเดตให้เป็นเวอร์ชันล่าสุดโดยเร็วที่สุด”

ผู้ใช้งานควรทำการอัปเดตเวอร์ชันของ Apex One ให้เป็นเวอร์ชันล่าสุด โดยเป็นเวอร์ชัน Apex One Service Pack 1 (Server Build 11092 and Agent Build 11088)

ช่องโหว่ Authentication bypass ถูกแก้ไขด้วยในแพตช์นี้

Trend Micro ได้แก้ไขช่องโหว่ระดับความรุนแรงสูง CVE-2022-40144 อีกช่องโหว่บนผลิตภัณฑ์ Apex One ซึ่งเป็นช่องโหว่ที่ทำให้ผู้โจมตีสามารถ bypass การยืนยันตัวตนได้ โดยการปลอมแปลง request parameters บนเครื่องที่ได้รับผลกระทบ

การใช้ประโยชน์จากช่องโหว่นี้ผู้โจมตีจำเป็นต้องเข้าถึงเครื่องที่มีช่องโหว่ได้ก่อน ไม่ว่าจะทางหน้าเครื่อง หรือจากภายนอก อย่างไรก็ตามถึงแม้ช่องโหว่จะจำเป็นต้องใช้เงื่อนไขที่เฉพาะเจาะจง แต่ทาง Trend Micro ก็แนะนำให้ผู้ใช้งานทำการอัปเดตให้เป็นเวอร์ชันล่าสุดโดยเร็วที่สุด

เพิ่มเติมจากการอัปเดตแพตช์เป็นประจำ ผู้ใช้งานควรตรวจสอบพฤติกรรมการเข้าถึงระบบที่สำคัญจากภายนอกอยู่อย่างสม่ำเสมอ

ที่มา: bleepingcomputer

กลุ่ม Lorenz ransomware ใช้ช่องโหว่ระดับ Critical ในอุปกรณ์ Mitel MiVoice VOIP เพื่อเข้าถึงเครือข่ายขององค์กร โดยเป็นการใช้ระบบโทรศัพท์เพื่อเจาะเข้าถึงระบบเครือข่ายขององค์กร

นักวิจัยด้านความปลอดภัยจาก Arctic Wolf Labs พบวิธีการนี้หลังจากการวิเคราะห์ Tactics, Techniques, and Procedures (TTPs) ที่เชื่อมโยงกับการโจมตีจาก ransomware ด้วยช่องโหว่ CVE-2022-29499 เพื่อใช้ในการเข้าถึงเครือข่ายขององค์กร จากรายงานของ Crowdstrike เมื่อเดือนมิถุนายน

แม้ว่าเหตุการณ์นี้จะไม่ตรงกับรูปแบบการโจมตีจาก ransomware กลุ่มใดกลุ่มหนึ่ง แต่ Arctic Wolf Labs มั่นใจว่าพฤติกรรมดังกล่าวเชื่อมโยงได้กับกลุ่ม Lorenz ransomware

นักวิจัยด้านความปลอดภัยระบุในรายงานว่า “พฤติกรรมการโจมตีเริ่มต้นจากอุปกรณ์ Mitel ที่อยู่บนระบบเครือข่าย” โดยกลุ่ม Lorenz ใช้ประโยชน์จากช่องโหว่ CVE-2022-29499 ซึ่งเป็นช่องโหว่ในการเรียกใช้โค้ดที่เป็นอันตรายจากระยะไกลที่ส่งผลกระทบกับอุปกรณ์ Mitel Service Appliance ในส่วนของ MiVoice Connect ซึ่งจะทำให้ผู้โจมตีสามารถ reverse Shell และใช้ Chisel เป็น tunneling tool เพื่อเข้าสู่เครือข่าย

Kevin Beaumont ผู้เชี่ยวชาญด้านความปลอดภัยระบุว่า เนื่องจาก Mitel Voice-over-IP (VoIP) ถูกใช้โดยองค์กรต่าง ๆ ทั่วโลก รวมไปถึงหน่วยงานของรัฐ จึงทำให้ปัจจุบันมีอุปกรณ์กว่า 19,000 เครื่องที่มีความเสี่ยงต่อการถูกโจมตี

Mitel ได้ออกแพตซ์แก้ไขช่องโหว่นี้แล้วในช่วงต้นเดือนมิถุนายน 2565 หลังจากปล่อยสคริปต์การแก้ไขปัญหาเบื้องต้นสำหรับ MiVoice Connect เวอร์ชันที่ได้รับผลกระทบในเดือนเมษายน

โดยก่อนหน้านี้มีกลุ่มผู้โจมตีที่ใช้ประโยชน์จากช่องโหว่ในด้านความปลอดภัยอื่น ๆ ที่ส่งผลกระทบต่ออุปกรณ์ Mitel ในการโจมตีด้วย DDoS ที่ทำลายสถิติการโจมตีด้วย DDoS amplification ที่เคยเกิดขึ้นในอดีต

กลุ่ม Lorenz คือใคร?

Lorenz ransomware ตั้งเป้าหมายไปที่องค์กรต่าง ๆ ทั่วโลก โดยล่าสุดเมื่อเดือนธันวาคม 2563 ที่ผ่านมา มีการเรียกร้องค่าไถ่จากเหยื่อแต่ละรายหลายแสนดอลลาร์

Michael Gillespie ระบุว่าลักษณะของ Lorenz นั้นเหมือนกับการเรียกค่าไถ่ที่เกิดขึ้นก่อนหน้านี้ที่รู้จักกันในชื่อ ThunderCrypt

กลุ่มนี้ยังเป็นที่รู้จักในการขายข้อมูลที่ถูกขโมยออกมาไปให้ผู้โจมตีรายอื่น เพื่อกดดันให้เหยื่อของพวกเขาจ่ายค่าไถ่ รวมถึงมีการขายข้อมูลที่ใช้สำหรับการเข้าถึงเครือข่ายภายในของเหยื่อให้กับผู้โจมตีรายอื่นอีกด้วย

ที่มา : bleepingcomputer

พบการโจมตีในรูปแบบ Browser-in-the-Browser เพื่อใช้ในการขโมยข้อมูลบัญชีของผู้ใช้งาน Steam ผ่านทางแคมเปญฟิชชิ่ง

เทคนิค Browser-in-the-Browser กำลังเป็นที่นิยมของกลุ่มผู้โจมตี ด้วยการสร้างหน้าเว็ป browser ปลอมทับหน้าเว็ป browser ที่กำลังใช้งานอยู่ และแสดงหน้า pop-up ที่ดูเหมือนหน้าสำหรับเข้าสู่ระบบทั่วไป

ช่วงเดือนมีนาคม 2565 BleepingComputer รายงานเป็นครั้งแรกว่าพบเครื่องมือสำหรับสร้างหน้าเพจฟิชชิ่ง ที่ถูกสร้างขึ้นจากนักวิจัยที่ชื่อว่า mr.