Vietnam targeted in complex supply chain attack

นักวิจัยพบการโจมตี Supply Chain Attack ใน Vietnam Government Certification Authority (VGCA) ซึ่งมีผลต่อบริษัทเอกชนและหน่วยงานของรัฐเวียดนาม

ตามรายงานที่มีชื่อว่า "Operation SignSight" จากบริษัทรักษาความปลอดภัย ESET ซึ่งได้เปิดเผยรายละเอียดเกี่ยวกับกลุ่มแฮกเกอร์ลึกลับที่ได้ทำการโจมตี ในลักษณะ Supply-chain Attack ต่อบริษัทเอกชนเวียดนามและหน่วยงานของรัฐโดยการแทรกมัลแวร์เข้าไปในชุดเครื่องมือซอฟต์แวร์ของรัฐบาล

กลุ่มแฮกเกอร์ได้กำหนดเป้าหมายการโจมตีไปยัง Vietnam Government Certification Authority (VGCA) ซึ่งเป็นองค์กรของรัฐบาลที่ออกใบรับรองดิจิทัลที่สามารถใช้ในการลงนามในเอกสารทางอิเล็กทรอนิกส์ได้ ซึ่งจะทำให้พลเมืองเวียดนาม, บริษัทเอกชนและแม้แต่หน่วยงานของรัฐอื่นๆ ที่ต้องการส่งไฟล์ไปยังรัฐบาลเวียดนามและจะต้องลงนามในเอกสารของตนด้วยใบรับรองดิจิทัลที่รองรับ VGCA มีความเสี่ยงจากการดาวน์โหลดและติดตั้งแอปพลิเคชันไคลเอ็นต์ที่ถูกใช้ในกระบวนการลงนามเแบบอัตโนมัติ

ESET กล่าวว่าแฮกเกอร์ได้ทำการบุกรุกเข้าไปในเว็บไซต์ของหน่วยงานคือ ca.

Multi-platform card skimmer found on Shopify, BigCommerce stores

นักวิจัยพบสคริปต์ Skimmer ชนิดใหม่ที่สามารถรวบรวมข้อมูลการชำระเงินของร้านค้าที่ถูกบุกรุกอย่างเช่น Shopify และ BigCommerce

นักวิจัยจากบริษัทรักษาความปลอดภัยทางไซเบอร์ Sansec ได้เปิดเผยถึงสคริปต์ Skimmer (Magecart) ชนิดใหม่ที่มีความสามารถในการรวบรวมข้อมูลการชำระเงินของร้านค้าที่ถูกบุกรุกอย่างเช่น Shopify, BigCommerce, Zencart และ Woocommerce

นักวิจัยจาก Sansec กล่าวว่า Skimmer ชนิดใหม่นี้จะใช้ระบบโฮสต์อีคอมเมิร์ซ เช่น Shopify และ BigCommerce ในทางที่ผิด โดยจะทำการแสดงหน้าการชำระเงินปลอมก่อนที่ลูกค้าจะเข้าสู่แบบฟอร์มการชำระเงินจริงและใช้ keylogger เพื่อบัญทึกข้อมูลการชำระเงินและข้อมูลส่วนบุคคล จากนั้นจะแสดงข้อผิดพลาดในการชำระเงินและเมื่อผู้ใช้ทำการกดปุ่ม "ดำเนินการต่อ" ข้อมูลที่ถูกบันทึกจะถูกส่งกลับไปยังผู้ประสงค์ร้ายและจะทำการรีไดเร็คกลับไปยังขั้นตอนการชำระเงินและแบบฟอร์มการชำระเงินที่ถูกต้องตามกฎหมายใหม่อีกครั้งเพื่อเป็นการเพื่อหลบเลี่ยงการตรวจจับ

นักวิจัยยังกล่าวอีกว่าจากการวิเคราะห์การ exfiltrate ของ Skimmer ชนิดใหม่นี้ โดยข้อมูลจะถูกส่งไปยังโดเมนที่สร้างขึ้นโดยอัตโนมัติและเข้ารหัสโดยใช้การเข้ารหัสแบบ base64 ซึ่งตัวอย่างของโดเมนดังกล่าว ได้แก่ zg9tywlubmftzw5ldza[.]com, zg9tywlubmftzw5ldze[.]com และอื่นๆ

ทั้งนี้ผู้ใช้งานต้องมีความระมัดระวังในการใช้งานเว็บไซต์ Online Store และควรทำการตรวจยอดเงินการใช้จ่ายบัตรเคดิตอยู่เสมอ หากพบยอดชำระผิดปกติให้ทำการติดต่อธนาคารเพื่อเเจ้งยกเลิกบัตร

ที่มา: bleepingcomputer

DHS warns against using Chinese hardware and digital services

DHS ออกเตือนถึงการใช้อุปกรณ์ฮาร์ดแวร์และบริการทางดิจิทัลที่มีการเชื่อมโยงกับบริษัทจากจีน

กระทรวงความมั่นคงแห่งมาตุภูมิของสหรัฐฯ หรือ The US Department of Homeland Security (DHS) ได้ออกแจ้งเตือนถึงบริษัทและองค์กรในสหรัฐฯ ไม่ให้ใช้อุปกรณ์ฮาร์ดแวร์และบริการทางดิจิทัลที่สร้างขึ้นหรือเชื่อมโยงกับบริษัทจากจีน

DHS กล่าวว่าผลิตภัณฑ์จากจีนอาจมีแบ็คดอร์ จุดบกพร่องหรือกลไกในการรวบรวมข้อมูลที่ซ่อนอยู่ซึ่งทางการจีนสามารถใช้เพื่อรวบรวมข้อมูลจากบริษัทและส่งต่อข้อมูลไปยังคู่แข่งทางการค้าที่อยู่ภายในประเทศจีนเพื่อขยายเป้าหมายทางเศรษฐกิจของจีน โดยหน่วยงาน DHS กล่าวต่อว่าอุปกรณ์และบริการทั้งหมดที่เชื่อมโยงกับบริษัทจากจีนควรได้รับการพิจารณาว่าเป็นความปลอดภัยทางไซเบอร์และความเสี่ยงทางธุรกิจ

ทั้งนี้ DHS ได้ระบุถึงกฎหมายความมั่นคงแห่งชาติของจีนจะอนุญาตให้รัฐบาลสามารถบีบบังคับบริษัทเอกชนท้องถิ่นและพลเมืองใดๆ ให้ปรับเปลี่ยนผลิตภัณฑ์และมีส่วนร่วมในการจารกรรมหรือขโมยทรัพย์สินทางปัญญา โดยแนวทางปฏิบัติที่ให้รัฐบาลจีนสามารถเข้าถึงข้อมูลที่ละเอียดอ่อนโดยไม่ได้รับอนุญาตทั้งส่วนบุคคลและที่เป็นกรรมสิทธิ์ทำให้เศรษฐกิจและธุรกิจของสหรัฐฯตกอยู่ในความเสี่ยงโดยตรงจากการแสวงหาผลประโยชน์ ซึ่ง DHS ขอให้ธุรกิจต่างๆ ใช้ความระมัดระวังก่อนที่จะทำข้อตกลงใด ๆ กับบริษัทที่เชื่อมโยงกับรัฐบาลจีน

ที่มา: zdnet

CrowdStrike releases free Azure security tool after failed hack

CrowdStrike ออกเครื่องมือช่วยตรวจสอบ Microsoft Azure ฟรีหลังจากที่ถูกพยายามทำการบุกรุกระบบอีเมล

วันที่ 15 ธันวาคมที่ผ่านมา CrowdStrike ได้รับแจ้งจาก Microsoft ถึงการพยายามอ่านอีเมลของบริษัทผ่าน Credential ของ Microsoft Azure ที่ถูกบุกรุก

สืบเนื่องมาจากเมื่อต้นเดือนที่ผ่านมามีการค้นพบว่าซอฟต์แวร์ SolarWinds Orion ประสบปัญหาการถูกโจมตีทางอินเทอร์เน็ต ซึ่งผู้ประสงค์ร้ายได้ปรับเปลี่ยนซอฟต์แวร์เพื่อติดตั้งแบ็คดอร์บนเครือข่ายของลูกค้าจึงเป็นผลทำให้บริษัทและองค์กรต่างๆ ได้รับผลกระทบจากการโจมตี Supply-chain attack ผ่านซอฟต์แวร์ SolarWinds Orion

ตามรายงานการแจ้งเตือนระบุว่า Microsoft ได้สังเกตเห็นว่ามีการเรียกใช้ Microsoft cloud APIs ผิดปกติในช่วงเวลา 17 ชั่วโมงเมื่อหลายเดือนก่อนและมีความพยายามในการอ่านอีเมล Office 365 เพื่อเข้าถึงอีเมลของ CrowdStrike เนื่องจาก CrowdStrike ไม่ใช้ Office 365 การโจมตีดังกล่าวจึงล้มเหลว โดย Microsoft ได้เปิดเผยว่าข้อมูล Credential และโทเค็นการเข้าถึง Microsoft Azure สำหรับบัญชีผู้ค้าถูกขโมยไป Microsoft จึงได้ตั้งข้อสันนิษฐานผู้ประสงค์ร้ายได้ใช้ข้อมูลดังกล่าวเพื่อใช้ในการกำหนดเป้าหมายลูกค้า Microsoft Azure ของ Microsoft

หลังจากได้รับการแจ้งเตือน CrowdStrike ได้ทำการวิเคราะห์ Environment ต่างๆ ของ Microsoft Azure และพบว่าไม่มีการบุกรุก อย่างไรก็ตามในระหว่างการวิเคราะห์นี้ CrowdStrike จัดทำเครื่องมือที่ชื่อว่า CrowdStrike Reporting Tool สำหรับ Azure (CRT) เพื่อที่จะช่วยให้ผู้ดูแลระบบ Microsoft Azure สามารถทำการตรวจสอบและทำการวิเคราะห์ Environment ต่างๆ ของ Microsoft Azure ของท่านได้ โดยผู้ดูแลระบบที่สนใจเครื่องมือดังกล่าวสามารถเข้าไปอ่านรายละเอียดได้ที่: https://github.

Windows zero-day with bad patch gets new public exploit code

 

นักวิจัยค้นพบช่องโหว่ในแพตช์ความปลอดภัยของ Microsoft ที่ออกแก้ไขช่องโหว่ CVE-2020-0986

Maddie Stone นักวิจัยด้านความปลอดภัยจาก Google Project Zero ได้ออกมาเปิดเผยถึงการค้นพบว่าแพตช์ความปลอดภัยของ Microsoft ที่ออกแก้ไขช่องโหว่ CVE-2020-0986 ในเดือนมิถุนายนที่ผ่านมายังไม่ได้แก้ไขช่องโหว่อย่างสมบูรณ์และยังสามารถใช้ประโยชน์จากช่องโหว่ผ่านการโจมตีได้ โดยการปรับเปลี่ยนออฟเซ็ตของ pointer บางอย่างที่จะทำให้ผู้โจมตีสามารถเพิ่มสิทธิ์ในระดับเคอร์เนลบนเครื่องที่ถูกบุกรุกได้

ช่องโหว่ได้ถูกระบุรหัสใหม่คือ CVE-2020-17008 โดยช่องโหว่เกิดจากข้อผิดพลาดใน arbitrary pointer dereference ซึ่งจะช่วยให้ผู้โจมตีสามารถเข้าควบคุม “src” และ “dest” pointer ที่ถูกส่งไปยังฟังก์ชั่น memcpy และส่งผลให้เกิดเงื่อนไขที่ผู้โจมตีสามารถยกระดับสิทธิ์ในระบบได้

ทั้งนี้ Microsoft ได้รับรายงานเกี่ยวกับช่องโหว่แล้วเมื่อวันที่ 24 กันยายนที่ผ่านมา โดย Microsoft มีเวลา 90 วันในการแก้ไขช่องโหว่ก่อนที่ทาง Google Project Zero จะเปิดเผยช่องโหว่สู่สาธารณะ

ที่มา: bleepingcomputer

New PIN Verification Bypass Flaw Affects Visa Contactless Payments

นักวิจัยค้นพบช่องโหว่ใหม่ที่สามารถ Bypass การตรวจสอบ PIN บนบัตรเครดิตแบบ Contactless ของ Visa

นักวิจัย ETH จากซูริคได้เปิดเผยถึงช่องโหว่การ Bypass การตรวจสอบ PIN ของบัตรเครดิตแบบระบบ Contactless ของ Visa ที่ช่วยให้ผู้ประสงค์ร้ายสามารถใช้บัตรเครดิตของเหยื่อที่ถูกขโมยหรือหายทำการซื้อสินค้าโดยปราศจากรหัส PIN ของบัตรบัตรเครดิต ณ จุด Point of sale (PoS)

จากการเปิดเผยของนักวิจัย ETH ช่องโหว่ที่พบนั้นอยู่ในโปรโตคอล EMV (ย่อมาจาก Europay, Mastercard, และ Visa) ซึ่งเป็นมาตรฐานโปรโตคอลสากลที่ใช้กันอย่างแพร่หลายสำหรับการชำระเงินด้วยสมาร์ทการ์ด โดยผู้ประสงค์ร้ายสามารถทำการโจมตีแบบ man-in-the-middle (MitM) ผ่านแอป Android ด้วยการสั่งให้เทอร์มินัลไม่ต้องทำการตรวจสอบ PIN เนื่องจากมีการตรวจสอบผู้ถือบัตรด้วยการดำเนินการบนอุปกรณ์ของผู้ถือบัตร เนื่องจากได้รับการยืนยันแล้วจากอุปกรณ์ของผู้ใช้และจะดำเนินการหักเงินในบัตรของผู้ใช้ในขึ้นต่อไป

นอกจากช่องโหว่ที่ถูกเปิดเผยนี้นักวิจัย ETH ยังพบช่องโหว่ที่เกี่ยวข้องกับระบบ Contactless ของ Visa และบัตร Mastercard อีกช่องโหว่หนึ่งคือผู้ประสงค์ร้ายสามารถแก้ไขข้อมูลเฉพาะที่เรียกว่า "Application Cryptogram" (AC) ก่อนที่จะส่งไปยังเทอร์มินัล PoS โดยทั่วไปบัตรที่ทำธุรกรรมแบบออฟไลน์จะใช้เพื่อชำระค่าสินค้าและบริการโดยตรงจากบัญชีธนาคารของผู้ถือบัตรโดยไม่ต้องใช้หมายเลข PIN แต่เนื่องจากธุรกรรมเหล่านี้ไม่ได้เชื่อมต่อกับระบบออนไลน์จึงมีความล่าช้า 24 ถึง 72 ชั่วโมงก่อนที่ธนาคารจะยืนยันความถูกต้องของธุรกรรมโดยใช้การใช้ Cryptogram และจำนวนเงินที่ซื้อจะถูกหักออกจากบัญชี ผู้ประสงค์ร้ายสามารถใช้กลไกการประมวลผลที่ล่าช้านี้เพื่อใช้บัตรที่ทำการปลอมเเปลงทำธุรกรรมที่มีมูลค่าต่ำ ซึ่งกว่าธนาคารผู้ออกบัตรจะปฏิเสธธุรกรรมที่ใช้ Cryptogram ผิดพลาดผู้ประสงค์ร้ายก็ออกจากจุดที่ทำธุรกรรมแล้ว

นักวิจัย ETH กล่าวว่าช่องโหว่ที่ถุกค้นพบนั้นมีผลกระทบกับบัตรเครดิตแบบระบบ Contactless ของ Visa เช่น Visa Credit, Visa Debit, Visa Electron และ V Pay card ทั้งนี้ช่องโหว่ยังสามารถใช้กับบัตรที่ใช้โปรโตคอล EMV อย่าง Discover และ UnionPay ได้ด้วยอย่างไรก็ตามช่องโหว่ดังกล่าวจะไม่ส่งผลกระทบต่อ Mastercard, American Express และ JCB ปัจจุบันนักวิจัยได้ทำการเเจ้ง Visa ให้ได้รับทราบถึงปัญหาแล้ว ส่วนรายละเอียดของช่องโหว่นั้นจะถูกนำเสนอในงาน IEEE Symposium on Security and Privacy ครั้งที่ 42 ที่จะจัดขึ้นในซานฟรานซิสโกในเดือนพฤษภาคมปีหน้า

ที่มา: thehackernews.

Honda investigates possible ransomware attack, networks impacted

ฮอนด้าทำการตรวจสอบผลกระทบจากการโจมตีเครือข่ายโดย SNAKE Ransomware

บริษัทผู้ผลิตรถยนต์ยักษ์ใหญ่ของโลกฮอนด้าได้เผยถึงการโจมตีเครือข่ายคอมพิวเตอร์ในยุโรปและญี่ปุ่น ทำให้บริษัทต้องหยุดการผลิตบางส่วน จากการตรวจสอบสาเหตุเบื้องต้นพบเครือข่ายถูกโจมตีจาก SNAKE Ransomware ในวันอาทิตย์ที่ 7 มิถุนายน ที่ผ่านมา

ฮอนด้ากล่าวว่าในขณะนี้ยังไม่มีความชัดเจนถึงผลกระทบจากการโจมตี ในขณะนี้ฮอนด้ากำลังตรวจสอบอยู่

นักวิจัยด้านความปลอดภัย Milkream ได้พบตัวอย่างของ SNAKE (EKANS) ransomware ในช่วงเวลาใกล้เคียงกับที่ฮอนด้าถูกโจมตี เมื่อตรวจสอบมัลแวร์ที่ VirusTotal พบว่ามัลแวร์พยายามจะเรียกหาโดเมน "mds.

NSA warns of new Sandworm attacks on email servers

NSA: เเจ้งเตือนภัยจากกลุ่ม APT "Sandworm" ที่ใช้ประโยชน์จากช่องโหว่ Exim ทำการโจมตี Email Server

สำนักงานความมั่นคงแห่งชาติสหรัฐ (NSA) ได้เปิดเผยถึงความเคลื่อนไหวของเเฮกเกอร์ที่ได้รับการสนับสนุนจากรัฐบาลรัสเซียหรือที่รู้จักกันในชื่อ Sandworm Team ซึ่งได้ใช้ประโยชน์จากช่องโหว่ใน Mail Transfer Agent (MTA) ตั้งแต่สิงหาคม 2019

NSA กล่าวว่า แฮกเกอร์จากหน่วย 74455 ของ GRU Main Center for Special Technologies (GTsST) ได้ใช้ประโยชน์จากช่องโหว่ Exim ตั้งเเต่เดือนสิงหาคม 2019 ซึ่งปัจจุบันพบว่าเซิร์ฟเวอร์ที่ยังสามารถใช้ประโยชน์จากช่องโหว่ Exim นั้นมีมาถึง 2,481,000 เซิร์ฟเวอร์ที่สามารถเข้าผ่านอินเตอร์เน็ตได้

Sandworm Team ใช้ประโยชน์ช่องโหว่ที่ติดตามเป็นรหัส CVE-2019-10149 ซึ่งทำให้ผู้โจมตีจากระยะไกลที่ไม่ผ่านการตรวจสอบสิทธิ์สามารถรันโค้ดคำสั่งได้โดยใช้สิทธิ์ Root บนเซิร์ฟเวอร์อีเมลที่มีช่องโหว่ เมื่อทำการรันสคริปต์ Shell สคริปต์จะทำการเพิ่มสิทธิ์ผู้ใช้งาน, ปิดการตั้งค่าความปลอดภัยเครื่องข่าย, อัพเดตค่าคอนฟิก SSH เพื่อให้สามารถเข้าถึงจากระยะไกลและเรียกใช้งานสคริปต์อื่นๆที่จะสามารถใช้ประโยน์ภายในเครื่องที่บุกรุกได้

ข้อเเนะนำ
NSA ได้ออกคำเเนะนำให้ผู้ใช้งานและผู้ดูเลระบบที่จะทำการติดตั้งเซิร์ฟเวอร์ Exim ให้ทำการติดตั้งเวอร์ชัน 4.93 หรือใหม่กว่า สำหรับผู้ที่ใช้งานเซิร์ฟเวอร์ Exim Mail Transfer Agent อยู่แล้วให้ทำการอัปเดตซอฟต์แวร์ผ่าน Linux distribution package manager หรือดาวน์โหลดได้ที่
https://exim.

Cisco hacked by exploiting vulnerable SaltStack servers

ระบบของ Cisco ถูกโจมตีผ่านช่องโหว่ SaltStack

Cisco ได้เปิดเผยว่าเซิร์ฟเวอร์แบ็กเอนด์ของ Cisco Virtual Internet Routing Lab Personal Edition (VIRL-PE) บางส่วนถูกโจมตี โดยการโจมตีนั้นใช้ประโยน์จากช่องโหว่ SaltStack

Cisco ระบุว่าเซิร์ฟเวอร์ Cisco maintained salt-master ที่เป็นเซอร์วิสของ Cisco VIRL-PE เวอร์ชั่น 1.2 และ 1.3 นั้นถูกโจมตี โดยแฮกเกอร์ได้ทำการโจมตีเซิร์ฟเวอร์แบ็กเอนด์ของ Cisco จำนวน 6 เเห่งคือ us-1.virl.

Google highlights Indian ‘hack-for-hire’ companies in new TAG report

Google TAG เผยอินเดียกำลังเป็นแหล่งยอดฮิตของธุรกิจ Hack for Hire

Google Threat Analysis Group (TAG) หรือ Google TAG ซึ่งเป็นทีมที่ติดตามกลุ่มอาชญากรรมระดับสูงและอาชญากรรมทางไซเบอร์ของ Google ได้เผยแพร่รายงานประจำไตรมาสที่ 1 ปี 2020 ซึ่งเป็นรายงานจากการติดตามกลุ่มอาชญากรรมไซเบอร์ที่เป็นผู้โจมตีหรือได้รับการสนับสนุนจากรัฐบาลมากกว่า 270 กลุ่มจากกว่า 50 ประเทศ โดยประเด็นที่น่าสนใจมีดังนี้

ความพยายามในการแฮ็กและฟิชชิงของกลุ่มต่างๆ
ปัจจุบันจากการเเพร่ของโรค Coronavirus หรือ COVID-19 ที่เกิดการเเพร่กระจายเป็นจำนวนมากทำให้กลุ่มอาชญากรรมไซเบอร์ใช้ประโยชน์จากเหตุการณ์นี้เพื่อทำการแฮ็กและฟิชชิงข้อมูลโดยพุ่งเป้าหมายไปที่ ผู้นำธุรกิจ, บริษัทที่ให้บริการด้านการเงินและการให้คำปรึกษา, บริษัทด้านการดูแลสุขภาพในหลายประเทศ เช่น สหรัฐอเมริกา, สโลวีเนีย, แคนาดา, อินเดีย, บาห์เรน, ไซปรัสและสหราชอาณาจักร ตัวอย่างกิจกรรมทางไซเบอร์ที่เห็นได้ชัดคือ บริษัท “hack-for-hire” หรือบริษัทรับจ้างแฮกข้อมูลทางอินเตอร์เน็ตในประเทศอินเดียได้ทำการสร้างแอคเคาท์ Gmail ที่ทำการปลอมเเปลงเป็น WHO เพื่อใช้ในการฟิชชิงกลุ่มเป้าหมาย โดยทั้งนี้ Google TAG มองว่าบริษัท “hack-for-hire” ในอินเดียมีการเติบโตและมีจำนวนมากขึ้นจากไตรมาสก่อน

การดำเนินการเคลื่อนไหวทางการเมือง
ปัจจุบันกลุ่มที่ได้รับการสนับสนุนจากรัฐบาลหรือรัฐสนับสนุนมีเป้าหมายเพื่อการดำเนินการเคลื่อนไหวทางการเมืองโดยใช้การดำเนินการในเครือข่ายเว็บไซต์ของ Google เช่น YouTube, Play Store, AdSense นั้นมีมากขึ้นและทาง Google รับเเจ้งให้ได้ทำการตรวจเป็นจำนวนมากหลังจากการตรวจสอบ Google ได้ทำการยกเลิกบัญชีช่อง YouTube และบัญชีการโฆษณาเป็นจำนวนมากในช่วงที่ผ่านมา

ทั้งนี้ผู้ที่สนใจรายละเอียดเพิ่มเติมสามารถเข้าไปอ่านต่อได้ที่: https://blog.