แจ้งเตือนการโจมตีพุ่งเป้ากลุ่มประเทศใน ASEAN ขโมยข้อมูล, ดักฟังและแพร่กระจายมัลแวร์

บริษัทด้านความปลอดภัย Volexity ได้มีการเปิดเผยแคมเปญการโจมตีล่าสุดซึ่งเชื่อกันว่ามีผู้อยู่เบื้องหลังคือกลุ่มแฮกเกอร์เวียดนามภายใต้ชื่อรหัส APT32 หรือ OceanLotus โดยในแคมเปญนี้นั้นมีเป้าหมายโจมตีหลายประเทศในกลุ่มอาเซียน และเน้นไปที่การขโมยและเก็บข้อมูลที่มีความอ่อนไหวสูง

สำหรับประเทศที่มีการตรวจพบการโจมตีแล้วนั้นได้แก่ เวียดนาม, กัมพูชา, ลาว, ฟิลิปปินส์รวมไปถึงประเทศจีน โดยผู้โจมตีมีการเจาะระบบเว็บไซต์ราชการหลายแห่งและใช้เว็บไซต์เหล่านั้นในการแพร่กระจายมัลแวร์ไปยังระบบอื่นๆ ต่อ การโจมตีของแคมเปญการโจมตีนี้เน้นหนักไปที่การเก็บข้อมูลของผู้ใช้งาน เก็บหมายเลขไอพีของผู้เยี่ยมชมเว็บไซต์และฝังแบ็คดอร์ไว้ในระบบต่างๆ เพื่อให้เข้าถึงได้ภายหลัง

แนะนำให้ผู้ดูแลระบบตรวจสอบความผิดปกติในระบบอย่างสม่ำเสมอ รวมไปถึงการเข้าถึงที่ไม่ได้รับอนุญาต การส่งข้อมูลออกไปยังระบบภายนอกที่ต้องสงสัย ผู้อ่านสามารถดูพฤติกรรมการโจมตีของแฮกเกอร์กลุ่มนี้เพิ่มเติมได้จากลิงค์แหล่งที่มา

ที่มา : volexity

ข้อมูลส่วนตัวของชาวมาเลเซียนับล้านรั่วไหลจากการโจมตีเซิร์ฟเวอร์ของรัฐบาล และฐานข้อมูลของบริษัทเทเลคอมหลายแห่ง

ข้อมูลบัญชีโทรศัพท์มือถือ 46.2 ล้านรายการถูกแฮ็กออกมาจากผู้ให้บริการด้านโทรคมนาคมในมาเลเซีย ในขณะที่ประชากรของประเทศมาเลเซียมีจำนวน 31.2 ล้านคน จะเห็นได้ว่าประชากรบางคนมีมากกว่าหนึ่งหมายเลข นอกจากข้อมูลหมายเลขโทรศัพท์ที่ถูกแฮ็กออกมายังมีข้อมูลรายละเอียด SIM Card, ข้อมูล Serial Number และที่อยู่ ซึ่งข้อมูลเหล่าสามารถถูกนำไปใช้ประโยชน์ได้ รวมถึงยังมีการเข้าถึงข้อมูลทางการแพทย์ 80,000 รายการ นอกจากจะมีการแฮ็กเว็บไซต์ของรัฐบาล Jobstreet.

สิ่งที่เห็นไม่ใช่สิ่งที่เป็น ลิงค์บน Facebook ที่ถูกแชร์อาจถูกแปลงให้เผยแพร่มัลแวร์ได้

นักวิจัยด้านความปลอดภัย Barak Tawily ได้เปิดเผยวิธีการง่ายๆ ที่ทำให้ใครก็ตามสามารปลอมแปลง URL ที่ถูกแชร์บน Facebook ผ่านทางช่องโหว่ในวิธีการที่ Facebook ทำการพรีวิวลิงค์นั้นๆ ได้

โดยปกตินั้น Facebook จะทำการสแกนลิงค์เพื่อหา URL, รูปภาพและหัวข้อของเว็บนั้นๆ เพื่อนำมาพรีวิวซึ่งโดยปกตินั้นจะอยู่ในแท็ก meta ของเว็บไซต์นั้นๆ อย่างไรก็ตาม Tawily ค้นพบว่าแท้จริงแล้ว Facebook ไม่ได้ทำการตรวจสอบว่าข้อมูลที่อยู่ในแท็ก meta ตรงกับ URL จริงๆ ของเว็บไซต์นั้นๆ หรือเปล่า ทำให้ผู้ประสงค์สามารถทำการสร้างหน้าเพจปลอมหรือหน้าฟิชชิ่ง ทำการแก้ไขข้อมูลในแท็ก meta ของเว็บเพจเพื่อ "หลอก" ว่าเป็นเว็บไซต์อื่นได้

ในขณะนี้ช่องโหว่ดังกล่าวได้ถูกแจ้งไปยัง Facebook แล้ว แต่กลับถูกมองว่าไม่ใช่ช่องโหว่ด้านความปลอดภัยซึ่งทำให้ช่องโหว่ไม่ถูกแก้ Facebook กล่าวเพิ่มเติมว่า โดยปกตินั้นลิงค์ทุกลิงค์ถูกตรวจสอบโดยระบบที่เรียกว่า Linkshim ซึ่งคอยเปรียบเทียบ URL กับฐานข้อมูล URL ที่เป็นอันตรายอยู่แล้ว (ซึ่งแน่นอนว่าถ้าผู้โจมตีสร้างโดเมนใหม่เพื่อโจมตีก็อาจเป็นไปได้ที่ Linkshim จะตรวจไม่เจอ)

ตอนนี้ยังไม่มีวิธีการใดที่จะใช้เพื่อตรวจสอบลิงค์ที่ถูกแชร์มาใน Facebook ได้ ทำให้ยังไม่มีวิธีการป้องกันการโจมตีช่องโหว่นี้ในตอนนี้ได้

ที่มา : thehackernews

Apple ออก iOS 11.1 และ macOS High Sierra 10.13.1 แก้ไขปัญหาต่างๆ รวมทั้งช่องโหว่ WPA2 KRACK ซึ่งเป็นการโจมตีผ่านช่องโหว่ WPA2 ของ ​Wi-Fi และเพิ่ม Emojis ใหม่กว่า 70 รายการ นอกจากนี้ยังมีการปรับปรุงสำหรับ tvOS, watchOS, Safari, iTunes และ iCloud
การเปลี่ยนแปลงบน iOS 11.1 ประกอบด้วย

Emoji
- เพิ่มอิโมจิแบบใหม่กว่า 70 ตัว ซึ่งมีทั้งอาหารประเภทใหม่ๆ, สัตว์ในตำนาน, การแต่งกาย, หน้ายิ้ม, ตัวละครที่มีเพศเป็นกลาง และอื่น ๆ

รูปภาพ (Photos)
- แก้ไขปัญหาที่อาจทำให้รูปภาพบางรูปมัว
- แก้ไขปัญหาที่ทำให้เอฟเฟคของ Live Photo ทำงานช้า
- แก้ไขปัญหาที่ทำให้รูปภาพบางรูปไม่แสดงในอัลบั้ม People เมื่อกู้คืนจาก iCloud Backup
- แก้ไขปัญหาที่ส่งผลต่อประสิทธิภาพการทำงานเมื่อปัดไปมาระหว่างภาพหน้าจอต่างๆ

การเข้าถึง (Accessibility)
- ปรับปรุงการรองรับอักษรเบรลล์สำหรับชนิด Grade 2
- ปรับปรุงการเข้าถึง PDF แบบหลายหน้าผ่านการใช้ VoiceOver
- ปรับปรุงการทำงานของ VoiceOver rotor สำหรับการแจ้งเตือนที่ส่งเข้ามา
- ปรับปรุงเมนูการทำงานของ VoiceOver rotor เมื่อนำแอพพลิเคชั่นออกผ่านการใช้ App Switcher
- แก้ปัญหาของผู้ใช้บางรายที่พบปุ่มอักขระไม่แสดงในระหว่างที่ใช้ VoiceOver ด้วยการป้อนแบบสัมผัส(Touch Typing)
- แก้ไขปัญหา VoiceOver rotor กลับสู่ค่าเริ่มต้นตลอดเวลาใน Mail
- แก้ไขปัญหา VoiceOver rotor ไม่ลบข้อความ

การปรับปรุงและการแก้ไขอื่น ๆ
- กลับไปรองรับฟีเจอร์สลับแอพพลิเคชั่นด้วย 3D Touch
- แก้ไขปัญหาที่ทำให้การแจ้งเตือนของแอพพลิเคชั่นเมล์ที่ลบแล้วปรากฏขึ้นอีกครั้งบน Lock screen
- แก้ไขปัญหาที่มีการป้องกันการย้ายข้อมูลระหว่างแอพพลิเคชั่นภายในองค์กร
- แก้ไขปัญหาเกี่ยวกับอุปกรณ์เสริม GPS บางรุ่นของบริษัทอื่นที่ทำให้ระบุข้อมูลตำแหน่งที่ตั้งได้ไม่ถูกต้อง
- แก้ไขปัญหาที่ทำให้การตั้งค่าการแจ้งเตือนอัตราการเต้นของหัวใจปรากฎขึ้นในแอพพลิเคชั่น Apple Watch (รุ่นที่ 1)
- แก้ไขปัญหาที่ทำให้ไอคอนของแอพพลิเคชั่นไม่ปรากฎในการแจ้งเตือนบน Apple Watch

ที่มา : bleepingcomputer

WordPress ปล่อยเวอร์ชัน 4.8.3 แพตช์ช่องโหว่ SQL injection ร้ายแรง

ทาง WordPress ได้มีการปล่อย WordPress 4.8.3 ซึ่งเป็นเวอร์ชั่นใหม่ โดยในเวอร์ชั่นนี้จะแก้ไขช่องโหว่ SQL injection ที่เกิดขึ้นในเวอร์ชั่นก่อนหน้านี้คือ เวอร์ชั่น 4.8.2 โดยมีรายละเอียดข่าวดังนี้

WordPress เวอร์ชั่น 4.8.2 และเวอร์ชั่นก่อนหน้านี้มีปัญหาที่เกิดจากฟังก์ชัน $wpdb->prepare() ที่ทำให้แฮกเกอร์สามารถสร้างข้อความสำหรับไว้ค้นหาที่ไม่ปลอดภัย นำไปสู่การโจมตีด้วยวิธี SQL injection (SQLi) ได้สำเร็จ ในส่วนของตัวโปรแกรมหลัก WordPress จะไม่ได้รับผลกระทบโดยตรง แต่อาจเกิดจากปลั๊กอินและธีมที่ไม่ปลอดภัยก็สามารถมีความเสี่ยงในการถูกโจมตีได้

สำหรับ WordPress เวอร์ชั่น 4.8.3 นี้ทางทีมก็ได้พัฒนาเพิ่ม hardening เพื่อป้องกันปลั๊กอินและธีม อีกทั้งยังมีการเปลี่ยนเแปลงฟังก์ชั่น สำหรับฟังก์ชัน esc_sql() เพื่อให้มีความปลอดภัยมากขึ้น หากใครที่ใช้งานอยู่ควรรีบทำการอัพเดทแพทช์ทันที

ที่มา : wordpress

Oracle ออกแพตช์แก้ไขช่องโหว่ของ Oracle Identity Manager เป็นช่องโหว่ที่ช่วยให้ผู้โจมตีสามารถเข้าควบคุมระบบจากระยะไกลได้โดยไม่ต้องพิสูจน์ตัวตน

ช่องโหว่นี้มีระดับความรุนแรงตาม CVSS v3 อยู่ที่ระดับ 10 ได้รับรหัส CVE-2017-10151
เวอร์ชันที่ได้รับผลกระทบ คือ 11.1.1.7, 11.1.2.3, 12.2.1.3
แนะนำให้ผู้ใช้รีบทำการอัปเดตแพตช์โดยด่วน

ที่มา : oracle

Node.js ประกาศอัพเดทแพทซ์ ช่องโหว่ CVE‌-2017-14919 มีความเสี่ยงที่จะถูก Remote DoS Attack ได้
Node.js ประกาศแพตช์สำหรับช่องโหว่ล่าสุดที่รหัส CVE‌-2017-14919 โดยผลลัพธ์ของช่องโหว่นี้นั้นอาจทำให้ผู้โจมตีสามารถโจมตีแบบ DoS attack ส่งผลให้ระบบไม่สามารถให้บริการได้ได้
ช่องโหว่นี้อยู่ไลบรารีบีบอัดข้อมูล zlib ซึ่งมีการอัพเดตเป็นเวอร์ชันล่าสุด โดยเป็นผลมาจากการตั้งค่าปริมาณของข้อมูลที่อยู่ในหน่วยความจำเมื่อไลบรารีพยายามบีบอัดข้อมูลที่ไม่ถูกต้อง ซึ่งส่งผลให้เกิดการใช้งานหน่วยความจำที่สูงขึ้นเรื่อยๆ ได้จนระบบไม่มีหน่วยความจำที่เพียงพอสำหรับให้บริการในที่สุด
ผู้ใช้งานสามารถทำการเปลี่ยนการตั้งค่าดังกล่าวได้เองโดยตรวจสอบเพิ่มเติมจากแหล่งที่มา หรือจะทำการดาวโหลดเวอร์ชันที่มีการแก้ไขช่องโหว่แล้วก็ได้ โดยสำหรับเวอร์ชั่นที่ทำการแก้ไขช่องโหว่แล้วมีดังนี้
Node.

พบ Malware ที่ใช้ขุดหาเงินดิจิตอลสกุล Monero ใน Application บน Play Store

ปัจจุบันอาชญากรไซเบอร์กำลังหาวิธีใหม่ในการทำเหมืองเงินดิจิตอล cryptocurrency เพื่อสร้างรายได้ให้ตัวเองโดยใช้ CPU ของเหยื่อในการขุดเหรียญ และตอนนี้นักวิจัยก็พบเช่นเดียวกันใน Application บน Google Play Store ถึง 3 รายการ ได้แก่ Recitiamo Santo Rosario Free, SafetyNet Wireless App และ Car Wallpaper HD โดยพบว่า javascript ที่ใช้นั้นมาจาก CoinHive ซึ่งเป็นผู้ให้บริการสคริปต์สำหรับการขุดเหรียญส่งกลับไปให้เจ้าของเว็ปไซต์

นักวิจัยด้านความปลอดภัยด้านไอทีของ TrendMicro ผู้ค้นพบ Application เหล่านี้กล่าวว่าโปรแกรมมีการใช้ Dynamic JavaScript และ Native Code Injection เพื่อหลีกเลี่ยงการตรวจจับ ภัยคุกคามเหล่านี้ชี้ให้เห็นว่าอุปกรณ์เคลื่อนที่สามารถใช้ขุดเหรียญ cryptocurrency ได้ แม้ว่าจะให้ผลลัพธ์ได้ไม่มากนักก็ตาม นักวิจัยยังได้แนะนำว่าผู้ใช้ควรสังเกตอาการของเครื่องที่แสดงถึงประสิทธิภาพ(Performance) ในการทำงานที่ลดลง ซึ่งอาจเกิดขึ้นหลังจากติดตั้ง Application อย่างไรก็ตามตอนนี้ทาง Google ได้ปิดตัว Application เหล่านั้นแล้ว พร้อมแนะนำว่าควรหลีกเลี่ยงการดาวน์โหลด Application ที่ไม่จำเป็น และไม่น่าเชื่อถือจาก Third Party หรือ Google Play และควรใช้ผลิตภัณฑ์รักษาความปลอดภัยบนมือถือที่เชื่อถือได้

ที่มา: HackRead

แม้ว่าช่วงครึ่งปีแรกของ 2560 ไม่พบการโจมตีใดๆ จาก Necurs botnet เลย แต่เมื่อเร็ว ๆ นี้ได้มีการพบว่าถูกใช้ในการแพร่กระจาย Locky ransomware ผ่านอีเมลล์นับล้านฉบับ

นักวิจัยด้านความปลอดภัยจาก Symantec พบว่ากลุ่มแฮกเกอร์ผู้อยู่เบื้องหลัง Necurs botnet ได้มีการเพิ่มฟังค์ชันบางอย่างในชุดเครื่องมือหลัก เพื่อให้ได้ข้อมูลเชิงลึกเพิ่มเติมของเหยื่อผ่านการใช้ Screenshots และส่งกลับไป นอกจากนี้ผู้โจมตีได้ทำการอัพเกรดมัลแวร์ ให้มีฟีเจอร์สำหรับรายงานข้อผิดพลาด (error-reporting) ในกรณีที่เกิดปัญหาในการดาวน์โหลด เพื่อส่งข้อมูลกลับไปยังเซิร์ฟเวอร์ของแฮกเกอร์ คล้ายกับฟีเจอร์สำหรับรายงานข้อผิดพลาด (error-reporting ) ของซอฟต์แวร์ที่ถูกต้อง

Necurs botnet มีการแพร่กระจายอยู่เพียง 5 ปีเท่านั้น แต่มันสามารถทำให้เครื่องของเหยื่อเป็นฐานในการแพร่กระจายมัลแวร์ (Zombie) ได้ถึง 6 ล้านเครื่อง ส่งผลทำให้เครื่องเหยื่อมีการดาวน์โหลด banking Trojans และ Ransomware ผ่านอีเมลล์ไปแล้วนับล้านฉบับ โดยส่วนใหญ่ผู้โจมตีจะปลอมแปลงอีเมลล์เป็นใบแจ้งหนี้ (INVOICE) โดยมีรายละเอียดดังนี้

Subject: Status of invoice [หมายเลขใบ INVOICE ปลอม]
Attachment: [หมายเลขใบ INVOICE ปลอม].html
เนื้อหาของอีเมลล์ประกอบด้วยข้อความที่จูงใจให้ผู้อ่านอยากเปิดเอกสารแนบเพื่อตรวจสอบใบแจ้งหนี้ หากผู้ใช้เปิดไฟล์ .html ที่แนบมา ระบบจะทำการดาวน์โหลด JavaScript ผ่านทาง iframe ที่ฝังมาเพื่อดาวน์โหลด Payload ที่อาจเป็น Locky หรือ Trickybot มาด้วย

วิธีป้องกันอันตรายจากอีเมลล์
1. ไม่ทำการเปิด หรือทำการลบอีเมลล์ที่ไม่มีแหล่งที่มาน่าเชื่อถือ โดยเฉพาะอย่างยิ่งหากเป็นอีเมลล์ที่มีลิงก์หรือไฟล์เอกสารแนบ
2. อัพเกรดโปรแกรมรักษาความปลอดภัยและซอฟต์แวร์อย่างสม่ำเสมอ
3. ทำการสำรองข้อมูลของเครื่องอย่างสม่ำเสมอ

ที่มา : digitaljournal

Canonical เปิดตัว Ubuntu 17.10 พร้อมด้วยเดสก์ท็อป GNOME ใหม่บน Wayland และ KDE, MATE, Budgie รุ่นใหม่ รวมถึงการนำ Kubernetes 1.8 มาช่วยจัดการ Container ซึ่งตอนนี้ Support ทั้ง Docker และ Google Container Engine นอกจากนี้ยังมีการปรับปรุง และเพิ่มเติมบางอย่าง ยกตัวอย่างเช่น
- เล็งเห็นถึงความนิยมในหมู่ Developer ที่ใช้ Atom editor ร่วมกับการใช้ Microsoft Visual Studio Code ในการพัฒนาโปรแกรม
- รองรับ Firefox 56 และ Thunderbird 52 และโปรแกรม LibreOffice 5.4.1
- รองรับ Driverless printing อาทิ IPP Everywhere, Apple AirPrint, Mopria และ WiFi Direct
- รองรับ Snaps สำหรับ Install และอัพเดตแอพพลิเคชั่น ที่ทำงานได้รวดเร็วและมีขนาดที่เล็กกว่า deb
- รองรับ catkin Snapcraft plugin สำหรับ Robot Operating System (ROS) ซึ่งเป็น framework สำหรับการอัพเดท software บน robots และ drones ที่มีความปลอดภัย และง่ายในการใช้งาน
- ใช้ Linux kernel 4.13 รองรับ Hardware จาก ARM, IBM, Dell, Intel รวมทั้ง OPAL HDD ซึ่งมี SED(self-encrypting-drives) เพิ่มความปลอดภัยของ HDD มากขึ้น
- มีการใช้ Netplan ที่อยู่ในรูปแบบ YAML เป็นค่าเริ่มต้น สำหรับเข้ามาใช้เป็นตัวจัดการ Network

ที่มา : helpnetsecurity