เครื่องคอมพิวเตอร์ของผู้ใช้งานที่เป็น Windows ในประเทศจีน ติด ransomware สายพันธุ์ใหม่กว่า 100,000 เครื่อง

ผู้ใช้ชาวจีนกว่า 100,000 คนที่ใช้เครื่องคอมพิวเตอร์ Windows ติด ransomware ซึ่งเข้ารหัสไฟล์ของพวกเขาและเรียกค่าไถ่เป็นเงิน 110 หยวน (ประมาณ 16 $) โดยผู้ไม่หวังดีพุ่งเป้าโจมตีเฉพาะชาวจีนเท่านั้น เนื่องจากกลุ่มที่อยู่เบื้องหลังภัยคุกคามนี้ใช้เฉพาะภาษาจีนเพื่อเรียกค่าไถ่ และแพร่กระจายผ่านทางเว็ปไซต์ท้องถิ่นและ forum ในประเทศจีนเท่านั้น นอกจากนี้ยังให้ชำระเงินค่าไถ่ผ่านทางบริการการชำระเงินของ WeChat ซึ่งถูกใช้เฉพาะในประเทศจีนและภูมิภาคที่อยู่ติดกันเท่านั้น

ตามรายงานข่าวท้องถิ่นหลายฉบับรายงานว่ามีการติด ransomware นี้หลังจากติดตั้งแอพโซเชียลมีเดียที่ชื่อ "Account Operation V3.1" ซึ่งเป็นแอพสำหรับช่วยให้ผู้ใช้สามารถจัดการบัญชี QQ หลายบัญชีได้ในเวลาเดียวกัน รายงานต่อมาอ้างว่าผู้สร้าง ransomware อาจอาศัย SDK ที่ชื่อว่า "EasyLanguage" เพื่อช่วยในการแพร่กระจายด้วยการ inject โค้ดที่อันตรายลงในแอพพลิเคชั่นของนักพัฒนาซอฟต์แวร์รายอื่น ๆ

ผู้เชี่ยวชาญด้านความปลอดภัยได้ทำการวิเคราะห์ และกล่าวว่านอกเหนือจากการเข้ารหัสไฟล์ ransomware ยังขโมยข้อมูลการเข้าสู่ระบบสำหรับบริการออนไลน์ของจีนเช่น Alipay, Baidu Cloud, NetEase 163, Tencent QQ, Taobao, Tmall และ Jingdong อย่างไรก็ตามล่าสุดบริษัทความปลอดภัยในจีนได้ออกมาบอกว่า สามารถถอดรหัสได้แล้ว เนื่องจาก ransomware ใช้บริษัทการเข้ารหัสและถอดรหัสแบบ hardcode ทำให้สามารถหาคีย์สำหรับถอดรหัสได้จากซอร์สโค้ด และมีแผนที่จะเผยแพร่ในอีกไม่กี่วันข้างหน้า

ที่มา: zdnet

Apple ได้แก้ไขปัญหาช่องโหว่การบายพาส Passcode, ข่องโหว่ RCE และอื่นๆ ในการอัปเดตล่าสุด

Apple เปิดตัวการปรับปรุงผลิตภัณฑ์หลักของตนซึ่งประกอบด้วย iCloud, Safari, iTunes, macOS Mojave, Sierra Sierra สำหรับ iOS 2.1.2, tvOS 12.1.1 และ iOS 12.1.1

ใน iOS 12.1.1 แก้ไขปัญหาข้อผิดพลาดในส่วนของการใช้งาน FaceTime ที่สามารถทำให้ผู้ใช้สามารถเข้าถึงรายชื่อผู้ติดต่อของโทรศัพท์ได้แม้ล็อกสกรีนอยู่ และช่องโหว่อื่น ๆ ที่ได้รับการแก้ไข ได้แก่ การเรียกใช้โค้ดจากระยะไกล (remote code execution), การเปิดเผยข้อมูลอย่างไม่ตั้งใจ (information disclosure), การเพิ่มสิทธิ์พิเศษ (privilege escalation) และ denial of service (dos)

การปรับปรุงความปลอดภัยครั้งนี้เป็นการแก้ไขข้อบกพร่องด้านความปลอดภัยหลายรายการ ด้วยเหตุนี้หากเป็นผู้ใช้ผลิตภัณฑ์ใด ๆ ข้างต้นควรทำการอัปเดตให้เป็นเวอร์ชั่นล่าสุด

ที่มา: bleepingcomputer

กลุ่มอาชญากรไซเบอร์มีการขโมยเงินหลายสิบล้านดอลลาร์จากธนาคารอย่างน้อย 8 แห่งในยุโรปตะวันออก โดยใช้กลยุทธ์ที่มักเห็นในภาพยนตร์ฮอลลีวู้ดเท่านั้น ด้วยการบุกเข้ามาในธนาคารเพื่อนำอุปกรณ์ที่เป็นอันตรายเชื่อมต่อเข้ากับเครือข่ายของธนาคาร

Kaspersky Lab ของรัสเซียกำลังค้นคว้าข้อมูลเกี่ยวกับภารกิจการปล้นทางไซเบอร์ (cyber-heists) เหล่านี้ จากการตรวจสอบพบอุปกรณ์ 3 ประเภทที่สำนักงานกลางหรือสำนักงานระดับภูมิภาคของธนาคาร 8 แห่ง ซึ่งได้แก่ แล็ปท็อปราคาถูก, Raspberry Pi boards หรือ Bash Bunnies USB thumb drives ที่เป็นอันตราย โดย แฮ็กเกอร์นำอุปกรณ์เหล่านี้เชื่อมต่อกับเครือข่ายธนาคารหรือคอมพิวเตอร์ แล้วเชื่อมต่อกับอุปกรณ์จากระยะไกลโดยใช้โมเด็ม GPRS, 3G หรือ LTE

จากนั้นแฮ็กเกอร์จะเข้าถึงระบบเครือข่าย และทำการแสกนระบบเพื่อหาโฟลเดอร์ที่แชร์แบบสาธารณะ รวมถึงเว็บเซิร์ฟเวอร์หรือคอมพิวเตอร์เครื่องอื่นที่เปิดการเข้าถึง และท้ายที่สุดแฮ็กเกอร์ได้ทิ้งมัลแวร์ไว้ในเครือข่ายของธนาคารเพื่อใช้ควบคุมในระหว่างที่พวกเขาขโมยเงินจากบัญชีของธนาคาร

Kaspersky กล่าวถึงแฮ็กเกอร์เหล่านี้ภายใต้ชื่อว่า "DarkVishnya" และระบุว่าเหตุการณ์เกิดขึ้นตั้งแต่ 2017 จนถึง 2018 แต่ปฏิเสธที่จะบอกชื่อธนาคารที่ได้รับความเสียหายโดยมีสาเหตุมาจากเรื่องความเป็นส่วนตัวที่ระบุในสัญญา

ที่มา: zdnet

ข้อบกพร่องของ VMware Workstation ที่ได้รับการเปิดเผยในการแข่งขัน WCF Cup PWN

VMware ได้เปิดตัวการปรับปรุงด้านความปลอดภัยเพื่อแก้ไขช่องโหว่ (CVE-2018-6983) ที่เพิ่งค้นพบโดย Tianwen Tang ของทีม Vulcan ของ Qihoo 360 ในการแข่งขัน WCF Cup PWN
แฮ็กเกอร์ได้รับรายได้มากกว่า 1 ล้านเหรียญสำหรับการโจมตีที่ไม่มีวันถูกเปิดเผยในงานประกวดการแฮ็กที่เกิดขึ้นระหว่างวันที่ 16-17 พฤศจิกายนที่เมืองเฉิงตู
Tianwen Tang ได้รับ 100,000 เหรียญเพื่อใช้ประโยชน์จากข้อบกพร่องนี้ได้อย่างสมบูรณ์ได้แก้ไขช่องโหว่ของ Workstation และ Fusion อย่างรวดเร็ว
VMware ขอขอบคุณ Tianwen Tang จากทีม Qihoo 360Vulcan Team ที่เข้าร่วมการแข่งขัน Tianfu Cup 2018 International Pwn Contest เพื่อรายงานปัญหานี้แก่เรา
ช่องโหว่นี้เป็นข้อผิดพลาดจำนวนมากซึ่งส่งผลกระทบต่ออุปกรณ์เครือข่ายเสมือนจริง อาจใช้ประโยชน์จากการรันโค้ดบนโฮสต์เวิร์คสเตชันจากผู้เยี่ยมชม
ข้อบกพร่องมีผลต่อ Workstation 14.x และ 15.x บนแพลตฟอร์มใดก็ได้และ Fusion 10.x และ 11.x บน macOS

ที่มา : securityaffairs

แฮกเกอร์ได้สิทธิ์ในการเข้าถึง JavaScript library ที่เป็นที่นิยมและทำการส่งโค้ดอันตรายเพื่อขโมยเงิน Bitcoin

Event-Stream 3.3.6 เป็นแพคเกจใน npm ของ JavaScript ทำงานกับข้อมูลสตรีม Node.

Adobe ได้เปิดตัวการปรับปรุง Flash Player ช่องโหว่ที่มีระความความรุนแรงสูง CVE-2018-15981 ส่งผลให้มีการเรียกใช้โค้ดจากระยะไกลได้

ช่องโหว่ CVE-2018-15981 ถูกค้นพบและเปิดเผยต่อสาธารณโดยนักวิจัย Gil Dabah เมื่อสัปดาห์ที่ผ่านมา ทาง Adobe ได้แนะนำผู้ใช้งานให้ทำการอัพเดทแพทช์เร่งด่วน พรอมทั้งทำการอัพเดทเว็บเบราว์เซอร์ Google Chrome และ Microsoft Edge ด้วย เพราะทั้งสองมี Flash เป็นค่าเริ่มต้นและมีช่องโหว่อยู่ด้วย

จากข่าวรายงานว่า ทาง Adobe กำลังวางแผนหยุดสนับสนุน Flash Player ออกไปโดยสิ้นเชิงในปี 2020

Flash Player ที่ได้รับผลกระทบดังนี้ : Flash Player 31.0.0.148 และเวอร์ชันก่อนหน้านี้สำหรับ Windows, MacOS, Linux และ Chrome OS

ที่มา : helpnetsecurity

Amazon ได้ส่งอีเมลไปยังลูกค้าบางส่วนเพื่อแจ้งให้ทราบเกี่ยวกับ "ข้อผิดพลาดทางเทคนิค" ที่เปิดเผยอีเมล ID และชื่อผู้ใช้บนเว็บไซต์สาธารณะของ Amazon

Amazon ปฏิเสธที่จะให้รายละเอียดของข้อผิดพลาดที่เกิดขึ้น และจำนวนผู้ได้รับผลกระทบ เพียงแค่กล่าวในแถลงการณ์ว่า "เราได้แก้ไขปัญหาและแจ้งลูกค้าที่อาจได้รับผลกระทบแล้ว" และได้ทำการแจ้งไปยังลูกค้าที่ได้รับผลกระทบว่าไม่ต้องตกใจ และไม่จำเป็นต้องเปลี่ยนรหัสผ่าน แม้ว่าผู้โจมตีอาจชื่อ และอีเมลของผู้ใช้งานเพื่อทำการรีเซ็ตบัญชีหรือใช้เพื่อทำการฟิชชิ่งต่อไปก็ตาม

Amazon ได้ไล่ออกพนักงานที่อยู่เบื้องหลังข้อผิดพลาดนี้ พร้อมทั้งแจ้งไปยังผู้ได้รับผลกระทบด้วยเนื้อหาว่า "เรากำลังแจ้งให้คุณทราบว่าที่อีเมลของคุณได้รับการเปิดเผยโดยพนักงานของ Amazon ให้กับ third-party seller อื่นๆ ในเว็บไซต์ของเราซึ่งเป็นการละเมิดนโยบายของเราดังนั้นพนักงานได้รับการฟ้องร้องทางกฎหมาย และคุณไม่จำเป็นต้องดำเนินการใด ๆ "

ที่มา : ehackingnews

US Postal Service ไปรษณีย์ของสหรัฐอเมริกา (The United States Postal Service : USPS) ได้แก้ไขช่องโหว่ของเว็บไซต์ ที่ส่งผลให้ข้อมูลส่วนตัวของผู้ใช้งานถูกเปิดเผย และแก้ไขได้ มีผู้ได้รับผลกระทบเป็นจำนวนกว่า 60 ล้านคน

จากรายงานระบุว่า ผู้ค้นพบช่องโหว่ได้ทำการติดต่อมายัง Brian Krebs ซึ่งเป็นนักวิเคราะห์ด้านความปลอดภัยที่มีชื่อเสียง นักวิจัยคนดังกล่าวได้ทำการแจ้งปัญหาไปยัง USPS ตั้งแต่ปีที่แล้ว แต่บริษัทก็ไม่มีความพยายามที่จะแก้ไขปัญหาดังกล่าว จนกระทั่งช่องโหว่ดังกล่าวถูกเปิดเผยออกไป ปัญหาดังกล่าวจึงได้ถูกแก้ไขในทันที

ปัญหานี้เกิดจากการออกแบบให้สามารถใช้งาน API เพื่อนำข้อมูล tracking data ของบริษัทไปใช้ในเชิงธุรกิจ, โฆษณา และการส่ง campaign ผ่านเมลล์ต่างๆ ปัญหานี้ส่งผลทำให้ ผู้ใช้งานที่เข้าสู่ระบบสามารถทำการค้นหาข้อมูลที่เป็นของผู้ใช้รายอื่น ๆ ได้ เช่น ที่อยู่, อีเมล, รหัสผู้ใช้งาน, หมายเลขโทรศัพท์ และข้อมูลอื่น ๆ

ทาง USPS ได้แก้ไขปัญหาแล้ว โดยได้เพิ่มขั้นตอนในการตรวจสอบเพิ่มเติม เพื่อป้องกันการเปลี่ยนแปลงข้อมูลที่ไม่ได้รับอนุญาต เช่น เมื่อผู้ใช้พยายามแก้ไขที่อยู่อีเมลในบัญชี USPS ผ่านทาง API ระบบจะแจ้งให้ทราบผ่านทางอีเมลที่ผูกไว้กับบัญชีเพื่อให้ทำการยืนยันการเปลี่ยนแปลง

ที่มา : securityaffairs

ทีมนักวิจัยด้านความปลอดภัยของธนาคารจาก Positive Technologies เปิดเผยข้อมูลการโจมตีเครื่องเอทีเอ็มโดยระบุว่าส่วนใหญ่สามารถถูกแฮ็กได้ภายในเวลาไม่ถึง 20 นาทีหรือน้อยกว่าสำหรับวิธีการโจมตีบางประเภท

ทีมนักวิจัยได้ทำการทดสอบตู้เอทีเอ็มจาก NCR, Diebold Nixdorf และ GRGBanking โดยทดลองใช้วิธีการโจมตีแบบปกติและเทคนิคการที่กลุ่มแฮกเกอร์นิยมใช้อย่าง skimming จากการทดสอบพบว่ามีตู้เอทีเอ็มประมาณ 85 เปอร์เซ็นต์ที่ผู้โจมตีสามารถเข้าถึงระบบเครือข่ายได้ ด้วยวิธีการ Unplugging หรือ tapping ผ่านสาย Ethernet หรือด้วยการ spoofing การเชื่อมต่อ wireless หรืออุปกรณ์ที่เครื่องเอทีเอ็มเชื่อมต่ออยู่ และ 23 เปอร์เซ็นต์ของเครื่องเอทีเอ็มอาจถูกโจมตีและใช้ประโยชน์จากอุปกรณ์เครือข่ายอื่น ๆ ที่เชื่อมต่อกับเครื่องเอทีเอ็มเช่น GSM โมเด็มหรือเราท์เตอร์

นักวิจัยกล่าวว่า "การโจมตีทางเครือข่าย" โดยทั่วไปใช้เวลาไม่ถึง 15 นาทีในการโจมตี แต่นักวิจัยสามารถทำการโจมตีแบบ "Black Box" ซึ่่งใช้เวลาประมาณ 10 นาที ซึ่งใช้เวลาเร็วกว่าเดิมในการโจมตีได้ การโจมตีด้วย Black Box คือการที่แฮกเกอร์เปิดตู้เอทีเอ็มหรือทำการเจาะรูไปเพื่อเข้าถึงสายเคเบิลที่เชื่อมต่อกับคอมพิวเตอร์ของเครื่องเอทีเอ็มเพื่อให้สามารถเข้าถึงเอทีเอ็ม cash box (หรือ safe) จากนั้นผู้โจมตีจะทำการเชื่อมต่อด้วยเครื่องมือที่สร้างขึ้นเอง (custom-made tool) ที่เรียกว่า Black Box ซึ่งจะทำให้เครื่องเอทีเอ็มสามารถสั่งจ่ายเงินสดได้ตามความต้องการ โดย 69 เปอร์เซ็นต์ของเครื่องเอทีเอ็มที่ทำการทดสอบมีความเสี่ยงที่จะถูกโจมตีด้วยวิธีการดังกล่าวและ 16 เปอร์เซ็นต์ของเครื่องเอทีเอ็มไม่มีการป้องกันการโจมตีในลักษณะนี้

อีกหนึ่งวิธีที่นักวิจัยค้นพบคือการโจมตีโดยการลองออกจากโหมด kiosk ซึ่งเป็นโหมดของระบบปฏิบัติการที่อินเทอร์เฟซของเครื่องเอทีเอ็มทำงานอยู่ โดยการ plugging อุปกรณ์เข้ากับช่องใดช่องหนึ่งของเอทีเอ็ม อย่างเช่น USB หรือ PS/2 ทำให้เครื่องเอทีเอ็มออกจากโหมด kiosk และสามารถเรียกใช้คำสั่งบนระบบปฏิบัติการหลักเพื่อจ่ายเงินสดออกจากเครื่องเอทีเอ็มได้ โดยใช้เวลาไม่ถึง 15 นาทีและ 76 เปอร์เซ็นต์ของเครื่องเอทีเอ็มที่ทำการทดสอบมีความเสี่ยง

อีกหนึ่งวิธีโจมตีที่ใช้เวลานานที่สุดแต่ได้ผลลัพท์ที่ดีที่สุดคือการ bypassed ฮาร์ดไดรฟ์ภายในตู้เอทีเอ็ม และเปลี่ยนให้ทำการบูตเข้าระบบจากภายนอก ซึ่งปกติจะใช้เวลาไม่เกิน 20 นาทีในการเปลี่ยนคำสั่งการบูตใน BIOS ใหม่โดยบูตจากฮาร์ดไดร์ของผู้โจมตีและทำการเปลี่ยนแปลงระบบปฏิบัติของเครื่องเอที่เอ็มใหม่ โดยพบว่าเครื่องเอทีเอ็มที่ทำการทดสอบ 92 เปอร์เซ็นต์สามารถถูกโจมตีด้วยวิธีดังกล่าว

นอกจากนี้นักวิจัยยังพบว่าผู้โจมตีสามารถเข้าถึงเครื่องเอทีเอ็มได้โดยทางกายภาพเพื่อทำการรีสตาร์ทและบูตเพื่อเข้าสู่ safe/debug โหมด การโจมตีใช้เวลาไม่ถึง 15 นาทีในการดำเนินการและนักวิจัยพบว่าร้อยละ 42 ของตู้เอทีเอ็มที่ทดสอบมีความเสี่ยง

และท้ายที่สุดคือนักวิจัยสามารถดักข้อมูลบัตรที่ส่งระหว่างเครื่องเอทีเอ็มและศูนย์ประมวลผลของธนาคาร ซึ่งคิดเป็น 58 เปอร์เซ็นต์ของเครื่องเอทีเอ็มที่ทำการทดสอบ แต่สามารถดักจับข้อมูลบัตรขณะทำการประมวลผลภายในเครื่อง ATM ได้ 100 เปอร์เว็นต์ เช่นระหว่างการส่งข้อมูลจากเครื่องอ่านบัตรไปยังระบบปฏิบัติการของ ATM การโจมตีครั้งนี้ใช้เวลาไม่ถึง 15 นาที

ที่มา : SECURITYWEEK

สำนักงานสืบสวนกลาง (FIA) เปิดเผยว่าธนาคารเกือบทุกแห่งของปากีสถานได้รับผลกระทบจากการละเมิดความปลอดภัย

ผู้เชี่ยวชาญจาก Group-IB ได้พบการขายข้อมูลของบัตรที่ออกโดยธนาคารในปากีสถานและธนาคารอื่นๆ จำนวนมากใน Joker's Stash ซึ่งเป็นหนึ่งในเครือข่ายใต้ดินที่ใช้สำหรับขายข้อมูลบัตรที่ได้มาอย่างผิดกฎหมาย ซึ่งได้รับความนิยมมากที่สุดแห่งหนึ่ง โดยข้อมูลบัตรที่ถูกโจรกรรมเมื่อวันที่ 13 พฤศจิกายนที่ผ่านมา เป็นชุดสำเนาข้อมูลดิจิทัลที่มีอยู่ในแถบแม่เหล็กของบัตรเครดิต มีรายละเอียดการทำธุรกรรมการเงินของบัตรจำนวน 177,878 ใบ ทั้งจากปากีสถานและธนาคารระหว่างประเทศอื่น ๆ

จากรายงานของ Group-IB ระบุว่าตั้งแต่มิถุนายน 2017 จนถึงสิงหาคม 2018 มีข้อมูลมากกว่า 1.8 ล้านรายการได้ถูกอัพโหลดขึ้นไปยังเครือข่ายใต้ดินในแต่ละเดือน คาดว่าการใช้วิธีการวาง Trojan บน POS น่าจะเป็นเป็นวิธีหลักที่ถูกใช้ในการโจรกรรมข้อมูลบัตรเครดิต รวมถึงเหตุการณ์ในครั้งนี้ด้วย

ที่มา : securityaffairs