นักวิจัยด้านความปลอดภัยจาก CheckPoint ได้ค้นพบมัลแวร์ตัวใหม่ชื่อ IoTroop เมื่อเดือนกันยายน และพบว่า 60% อุปกรณ์ Network มีช่องโหว่

IoTroop มีเป้าหมายเชื่อมต่อกับอุปกรณ์ที่ไม่ได้รับการป้องกัน เช่น Routers และ Wireless IP Cameras ที่ผลิตโดย D-Link, TP-Link, Avtech, Netgear, MikroTik, Linksys, Synology และ GoAhead มัลแวร์จะแพร่กระจายไปยังอุปกรณ์ IoT ที่เข้าถึงได้จาก Default Password และ Usernames จากนั้นทำการเปลี่ยนให้อุปกรณ์ IoT กลายเป็น Botnet และโจมตี Distributed Denial of Service (DDoS) มีองค์กรต่างๆ ทั่วโลกกว่าล้านแห่งที่ได้รับผลกระทบและยังคงเพิ่มสูงขึ้น

มัลแวร์ IoTroop มีความคล้ายคลึงกับ Mirai แต่มีความแตกต่างระหว่างมัลแวร์ตัวนี้กับ Mirai คือมีความซับซ้อนมากขึ้นและใช้ช่องโหว่มากกว่าสิบรายการเข้าควบคุมอุปกรณ์ ในกรณี Wireless IP Camera ของ GoAhead ผู้บุกรุกใช้ช่องโหว่การ Bypass Authentication (CVE-2017-8225) ซึ่งมีผลกระทบมากกว่า 1,250 รุ่น สำหรับอุปกรณ์อื่นๆ เช่น Linksys RangePlus WRT110 Wireless Router ถูกโจมตีผ่านช่องโหว่ Remote command execution ช่องโหว่นี้มีอยู่เพราะ router’s web interface ไม่สามารถ sanitize ping เป้าหมายและขาดการป้องกันการปลอมแปลง Tokens ผู้ที่อยู่เบื้องหลังมีการระบุเซิร์ฟเวอร์คำสั่ง ควบคุมและมีการอัพเดตกลุ่มที่อยู่ไอพีสำหรับเข้าโจมตี

ยังไม่ทราบแน่ชัดว่าใครเป็นผู้อยู่เบื้องหลัง malware/botnet แฮกเกอร์มีเป้าหมายที่ใด และมีระยะเวลาในการโจมตีนานเท่าใด

ที่มา : threatpost

แจ้งเตือนมัลแวร์เรียกค่าไถ่ชนิดใหม่ "Magniber"

นักวิจัยด้านความปลอดภัย Michael Gillespie ได้ประกาศการค้นพบมัลแวร์เรียกค่าไถ่ชนิดใหม่ภายใต้ชื่อ Magniber ซึ่งใช้ช่องทางการแพร่กระจายผ่านทางการโจมตีแบบ drive-by download หรือทาง exploit kit โดยลักษณะของ Magniber นั้นมีความคล้ายคลึงกับมัลแวร์เรียกค่าไถ่ Cerber ซึ่งแพร่กระจายมานานแล้วเป็นอย่างมาก โดยเฉพาะอย่างยิ่งลักษณะไฟล์ที่เข้ารหัสและระบบการจ่ายเงินค่าไถ่

นักวิจัยด้านปลอดภัยคนอื่นๆ ได้มีการตรวจพบ Magniber ในเวลาไร่เรี่ยกัน โดย Magniber เมื่อเริ่มต้นทำงานบนระบบแล้วจะมีการตรวจสอบว่าภาษาของระบบนั้นถูกตั้งค่าให้เป็นภาษาเกาหลีหรือไม่ หากว่าระบบมีการใช้งานภาษาเกาหลีเป็นภาษาหลักก็จะเริ่มทำการเข้ารหัสทันที แต่หากระบบมีการใช้งานเป็นภาษาอื่นก็จะไม่ได้ดำเนินการเข้ารหัส ดังนั้นการแพร่กระจายของ Magniber จึงตรวจพบในเกาหลีใต้เป็นจำนวนมาก

ผู้ใช้งานทั่วไปสามารถป้องกันผลกระทบจาก Magniber ได้โดยการอัพเดป OS และซอฟต์แวร์ที่ใช้งานให้เป็นเวอร์ชันใหม่อยู่เสมอ โดยเฉพาะอย่างยิ่งปลั๊กอินของเบราว์เซอร์อย่าง Java runtime และ Adobe Flash Player

ที่มา : BLEEPINGCOMPUTER

นักวิจัยด้านความปลอดภัยพบเว็บไซต์ของ Equifax และ TransUnion มีการ redirect ไปยังเว็บไซต์เพื่อดาวน์โหลด adware และ malware มาติดตั้งบนเครื่อง โดยผู้ที่พบได้ทำการอัพโหลดไฟล์วิดีโอ แสดงตัวอย่างการเข้าถึงเว็บไซต์ Equifax.

KeePass ได้แนะนำให้ผู้ใช้งาน Update โปรแกรมให้เป็น KeePass 2.37 ที่มีความเสถียร และเพิ่มเติมคุณลักษณะใหม่ ๆ โดยมีสิ่งที่เพิ่มเติม และปรับปรุงให้ดีขึ้น เช่น

- เมื่อสร้าง Database ใหม่แล้ว KeePass จะทำการสร้าง Emergency Sheet ขึ้นมาให้ และทำการเก็บไว้ในตำแหน่งที่ปลอดภัย และจำกัดให้บาง User สามารถเข้าถึงได้เท่านั้น รวมทั้งจะมี Dialog สำหรับแจ้งข้อมูลของ Database เพิ่มเติมขึ้นมาให้
- เพิ่มฟังก์ชันเพื่อค้นหากลุ่มของรหัสผ่านที่คล้ายกัน
- ปรับปรุงสคริปต์ PrepMonoDev.

พบ Ransomware สายพันธุ์ใหม่ที่ชื่อว่า “Bad Rabbit” ระบาดในประเทศรัสเซีย และยูเครน โดยมีพฤติกรรมการเข้ารหัสคล้ายคลึงกับ Not-Petya คือทาการเข้ารหัส Harddisk ทาให้ไม่สามารถเปิดเครื่องได้ และเชื่อว่ามีพฤติกรรมการแพร่กระจายผ่านการใช้งาน SMB
วิธีการติดพบว่ามาจากการเข้าไปยังเว็ปไซต์ที่มีการวาง javascript เอาไว้ ซึ่งขณะนี้พบเพียงว่าเว็ปไซต์ดังกล่าวอยู่ในประเทศรัสเซีย, บัลแกเรีย และตุรกี จากนั้นจะมี Pop-up แจ้งเตือนเพื่อหลอกให้ทาการอัพเดท Flash Player

เมื่อกดปุ่ม Install ระบบจะทาการดาวน์โหลด Ransomware ที่มีชื่อไฟล์ว่า “install_flash_player.

แฮกเกอร์มักจะทำการโจมตีช่องโหว่ของฮาร์ดแวร์และซอฟต์แวร์เพื่อเข้าเครื่อง ATM และทำให้เครื่องจ่ายเงินสดออกมา แต่ตอนนี้ใครๆ ก็สามารถทำได้ง่ายขึ้น เพียงแค่หาซื้อมัลแวร์จากตลาดใต้ดินก็สามารถขโมยเงินสดนับล้านจากตู้ ATM ได้

นักวิจัยจาก Kaspersky Lab เปิดเผยหลังจากพบโพสต์ฟอรัมในการโฆษณาขายมัลแวร์ชื่อว่า Cutlet Maker จากเว็บไซต์ใต้ดินในราคาประมาณ 5,000 ดอลลาร์ โพสต์ฟอรัมได้ให้คำอธิบายสั้น ๆ พร้อมรายละเอียดของชุดเครื่องมือของมัลแวร์ตัวนี้ ที่ออกแบบมาเพื่อโจมตีเป้าหมายซึ่งเป็นเครื่อง ATM รุ่นต่างๆ โดยการใช้ประโยชน์จาก API เฉพาะของ vendor จึงไม่จำเป็นต้องอาศัยผู้ใช้งาน และข้อมูลของผู้ใช้งาน ATM แต่อย่างไร จึงไม่ส่งผลกระทบต่อลูกค้าของธนาคารโดยตรง

ชุดเครื่องมือนี้ประกอบด้วย
- Cutlet Maker มัลแวร์ ATM เป็นองค์ประกอบหลักของชุดเครื่องมือ
- Stimulator แอพพลิเคชันที่รวบรวมสถานะเงินสดของตู้ ATM เป้าหมาย
- c0decalc แอพพลิเคชั่นในรูปแบบ terminal สำหรับสร้างรหัสผ่านให้มัลแวร์

นักวิจัยกล่าวว่าจำเป็นจะต้องนำชุดเครื่องมือดังกล่าวใส่ไว้ใน Flash Drive จากนั้นนำไปเสียบยังเครื่อง ATM ที่ต้องการ และสั่งรันมัลแวร์ดังกล่าว การทำงานของมัลแวร์จำเป็นจะต้องใช้อาศัยคนสองคนในการขโมยเงินจากระบบ ATM โดยบุคคลแรกจะถูกเรียกว่า "drop" และบุคคลที่สองจะถูกเรียกว่า "drop master" โดยคนแรกจะนำมัลแวร์ไปรันบนเครื่อง ATM ที่ต้องการ และจำเป็นจะต้องส่งข้อมูลไปให้แก่บุคคลที่สอง ซึ่งจำเป็นต้องนำข้อมูลดังกล่าวซึ่งเป็นตัวเลขไปใส่ใน c0decalc ซึ่งจะทำการสร้างรหัสเพื่อนำไปใช้ในขั้นตอนการรันมัลแวร์ เพื่อให้ ATM ทำการจ่ายเงินออกมา

ทั้งนี้พบว่ามัลแวร์ "Cutlet Maker" นี้ถูกเผยแพร่ครั้งแรกในเว็ปไซต์ AlphaBay ซึ่งได้ถูกปิดโดยเอฟบีไอไปก่อนหน้านี้ โดยตัวมัลแวร์ และส่วนของ Stimulator ถูกเขียนขึ้นมาด้วย Delphi และพบว่าถูกคอมไพล์เมื่อวันที่ 30 กรกฎาคม และวันที่ 16 กรกฎาคมปีที่แล้ว ตามลำดับ ส่วนตัว c0decalc ถูกเขียนขึ้นมาด้วย Visual C และพบว่าถูกคอมไพล์ตั้งแต่วันที่ 13 พฤศจิกายนปีที่แล้ว

ที่มา : The Hacker News

Oracle ออก Patch แก้ไขช่องโหว่ 250 รายการ โดย Product ที่มีการแพทซ์มากที่สุด คือ Oracle Fusion Middleware 38 รายการ, Oracle Hospitality Applications 37 รายการ และ Oracle MySQL 25 รายการ

นักวิจัยด้านความปลอดภัยจาก Onapsis เปิดเผยช่องโหว่ที่มีความเสี่ยงสูงที่พบใน Oracle คือ ช่องโหว่ SQL injections ใน E-Business Suite (EBS) เวอร์ชัน 12.1 และ 12.2 ซึ่งอาจทำให้ผู้บุกรุกสามารถเข้าถึงข้อมูลและแก้ไขเอกสารที่สำคัญได้ เช่น ข้อมูลบัตรเครดิต, ข้อมูลลูกค้า, เอกสารด้านทรัพยากรบุคคลหรือบันทึกทางการเงิน โดยไม่ต้องใช้ Username และ Password

สำหรับไตรมาสนี้ Java Platform, Standard Edition ได้รับการแก้ไขปัญหาด้านความปลอดภัยใหม่ 22 รายการ ที่กระทบต่อ Java Advanced Management Console, Java SE, Java SE Embedded และ JRockit

ผู้ใช้ Oracle สามารถตรวจสอบช่องโหว่ของผลิตภัณฑ์ และ Patch ได้ที่ http://www.

Cisco ได้รายงานถึงข้อผิดพลาดเกี่ยวกับ Advanced Linux Sound Architecture (ALSA) เมื่อวันศุกร์ที่ 13 ตุลาคมที่ผ่านมา ก่อนที่จะมีการเปิดเผย CVE ออกมาอย่างเป็นทางการ

ช่องโหว่นี้ได้รับการระบุเป็น CVE-2017-15265 แต่ให้คงสถานะเป็น reserved เอาไว้ก่อนในวันที่ประกาศ โดยเป็นช่องโหว่ที่เกิดจากความผิดพลาดของ Use-After-Free หรือความพยายามในการเข้าถึง memory ที่ถูกปล่อย(Free) หลังจากถูกใช้งานเรียบร้อยแล้วใน ALSA ของแอพพลิเคชัน ผู้โจมตีสามารถทำการโจมตีผ่านช่องโหว่นี้จากการเรียกใช้แอพพลิเคชั่นที่สร้างขึ้นมาในระบบของเป้าหมาย หากการโจมตีสำเร็จสามารถทำให้ผู้โจมตีได้รับสิทธิ์ที่สูงขึ้นในระบบของเป้าหมายได้

แม้ว่าช่องโหว่นี้อาจจะส่งผลเฉพาะกับเครื่องที่โดนโจมตีเท่านั้น แต่การที่ผู้โจมตีสามารถทำการเพิ่มสิทธิ์ตนเองให้สูงขึ้นได้นั้น ก็ส่งผลให้ช่องโหว่นี้ถูกจัดอยู่ในระดับ High ทั้งนี้จากรายงานได้ระบุว่าได้มีการแก้ไขช่องโหว่นี้โดยการปรับฟังก์ชั่นการทำงานให้รัดกุมขึ้น และได้อัพโหลดขึ้นไปบน ALSA git tree เรียบร้อยแล้ว

ที่มา : TheRegister

ตรวจพบ extension ชื่อว่า Adblock Plus ปลอม ถูกเผยแพร่อยู่บน Chrome Web Store ที่มียอดดาวน์โหลดจากผู้ใช้งานไปแล้วกว่า 37,000 ครั้ง โดยส่วนเสริมตัวนี้มีหน้าที่เอาไว้บล็อคพวกโฆษณา เพื่อไม่ให้แสดง

ทาง SwiftOnSecurity รายงานว่า Adblock Plus ปลอมนั้น ได้ปลอมแม้กระทั่งชื่อผู้พัฒนาเพื่อหลอกให้เหยื่อหลงเชื่อ โดยใช้ชื่อว่า Adblock Plus แต่ของจริงนั้นจะถูกพัฒนาโดยชื่อ adblockplus.

นักวิจัยด้านความปลอดภัยกำลังศึกษาเพิ่มเติมเกี่ยวกับกลุ่ม Bronze Butler โดยส่วนใหญ่จะกำหนดเป้าหมายในการโจมตีเป็นโรงงานอุตสาหกรรมของญี่ปุ่น ซึ่งเริ่มพบตั้งแต่ปี พ.ศ. 2012 แต่ในปัจจุบันก็ยังไม่ค่อยมีใครรู้วิธีการทำงานของกลุ่มนี้มากนัก

ตามรายงานที่จัดทำโดยหน่วยงาน Counter Threat Unit ที่ SecureWorks ซึ่งเป็น บริษัทย่อยของ Dell Technologies นักวิจัยได้อธิบายการทำงานของกลุ่มนี้ว่าจะมุ่งเน้นในการขโมยข้อมูลที่เกี่ยวข้องกับทรัพย์สินทางปัญญาและข้อมูลลับอื่น ๆ จากบริษัทญี่ปุ่นที่มีความเกี่ยวข้องกับโครงสร้างพื้นฐานที่สำคัญของอุตสาหกรรมการผลิตและความสัมพันธ์ระหว่างประเทศ นักวิจัยพบว่า Bronze Butler ได้ใช้ประโยชน์จาก zero-days ในการพัฒนาเครื่องมือสำหรับใช้โจมตีโปรแกรมสำหรับอำนวยความสะดวกในการบริหารจัดการเครื่อง(desktop management tool) ที่ใช้โดยผู้ดูแลระบบในญี่ปุ่น จากการตรวจสอบการโจมตีในองค์กรหลายแห่งของญี่ปุ่นพบว่ามีการใช้ช่องโหว่ของ Adobe Flash zero-day ในการโจมตีโปรแกรมยอดนิยมของญี่ปุ่นที่ชื่อว่า "SKYSEA Client View"

กลุ่มนี้ยังมีการพัฒนาและการปรับใช้เครื่องมือมัลแวร์ที่เป็นกรรมสิทธิ์เฉพาะกลุ่ม หนึ่งในเครื่องมือเหล่านี้เป็นมัลแวร์ที่เรียกว่า Daserf ซึ่งจะทำหน้าที่เป็น backdoor ให้ผู้โจมตีสามารถโจมตีจากระยะไกลเพื่ออัพโหลดและดาวน์โหลดข้อมูล, Capture screenshots และบันทึกข้อมูลการกด keyboard (Keystroke) ได้ ทั้งนี้ในปี 2016 ได้มีการพัฒนาจากการใช้ Daserf เป็น remote access trojans (RATS) 2 ตัว โดยเรียกว่า xxmm และ Datper

ที่มา : Threatpost