Honda investigates possible ransomware attack, networks impacted

ฮอนด้าทำการตรวจสอบผลกระทบจากการโจมตีเครือข่ายโดย SNAKE Ransomware

บริษัทผู้ผลิตรถยนต์ยักษ์ใหญ่ของโลกฮอนด้าได้เผยถึงการโจมตีเครือข่ายคอมพิวเตอร์ในยุโรปและญี่ปุ่น ทำให้บริษัทต้องหยุดการผลิตบางส่วน จากการตรวจสอบสาเหตุเบื้องต้นพบเครือข่ายถูกโจมตีจาก SNAKE Ransomware ในวันอาทิตย์ที่ 7 มิถุนายน ที่ผ่านมา

ฮอนด้ากล่าวว่าในขณะนี้ยังไม่มีความชัดเจนถึงผลกระทบจากการโจมตี ในขณะนี้ฮอนด้ากำลังตรวจสอบอยู่

นักวิจัยด้านความปลอดภัย Milkream ได้พบตัวอย่างของ SNAKE (EKANS) ransomware ในช่วงเวลาใกล้เคียงกับที่ฮอนด้าถูกโจมตี เมื่อตรวจสอบมัลแวร์ที่ VirusTotal พบว่ามัลแวร์พยายามจะเรียกหาโดเมน "mds.

NSA warns of new Sandworm attacks on email servers

NSA: เเจ้งเตือนภัยจากกลุ่ม APT "Sandworm" ที่ใช้ประโยชน์จากช่องโหว่ Exim ทำการโจมตี Email Server

สำนักงานความมั่นคงแห่งชาติสหรัฐ (NSA) ได้เปิดเผยถึงความเคลื่อนไหวของเเฮกเกอร์ที่ได้รับการสนับสนุนจากรัฐบาลรัสเซียหรือที่รู้จักกันในชื่อ Sandworm Team ซึ่งได้ใช้ประโยชน์จากช่องโหว่ใน Mail Transfer Agent (MTA) ตั้งแต่สิงหาคม 2019

NSA กล่าวว่า แฮกเกอร์จากหน่วย 74455 ของ GRU Main Center for Special Technologies (GTsST) ได้ใช้ประโยชน์จากช่องโหว่ Exim ตั้งเเต่เดือนสิงหาคม 2019 ซึ่งปัจจุบันพบว่าเซิร์ฟเวอร์ที่ยังสามารถใช้ประโยชน์จากช่องโหว่ Exim นั้นมีมาถึง 2,481,000 เซิร์ฟเวอร์ที่สามารถเข้าผ่านอินเตอร์เน็ตได้

Sandworm Team ใช้ประโยชน์ช่องโหว่ที่ติดตามเป็นรหัส CVE-2019-10149 ซึ่งทำให้ผู้โจมตีจากระยะไกลที่ไม่ผ่านการตรวจสอบสิทธิ์สามารถรันโค้ดคำสั่งได้โดยใช้สิทธิ์ Root บนเซิร์ฟเวอร์อีเมลที่มีช่องโหว่ เมื่อทำการรันสคริปต์ Shell สคริปต์จะทำการเพิ่มสิทธิ์ผู้ใช้งาน, ปิดการตั้งค่าความปลอดภัยเครื่องข่าย, อัพเดตค่าคอนฟิก SSH เพื่อให้สามารถเข้าถึงจากระยะไกลและเรียกใช้งานสคริปต์อื่นๆที่จะสามารถใช้ประโยน์ภายในเครื่องที่บุกรุกได้

ข้อเเนะนำ
NSA ได้ออกคำเเนะนำให้ผู้ใช้งานและผู้ดูเลระบบที่จะทำการติดตั้งเซิร์ฟเวอร์ Exim ให้ทำการติดตั้งเวอร์ชัน 4.93 หรือใหม่กว่า สำหรับผู้ที่ใช้งานเซิร์ฟเวอร์ Exim Mail Transfer Agent อยู่แล้วให้ทำการอัปเดตซอฟต์แวร์ผ่าน Linux distribution package manager หรือดาวน์โหลดได้ที่
https://exim.

Cisco hacked by exploiting vulnerable SaltStack servers

ระบบของ Cisco ถูกโจมตีผ่านช่องโหว่ SaltStack

Cisco ได้เปิดเผยว่าเซิร์ฟเวอร์แบ็กเอนด์ของ Cisco Virtual Internet Routing Lab Personal Edition (VIRL-PE) บางส่วนถูกโจมตี โดยการโจมตีนั้นใช้ประโยน์จากช่องโหว่ SaltStack

Cisco ระบุว่าเซิร์ฟเวอร์ Cisco maintained salt-master ที่เป็นเซอร์วิสของ Cisco VIRL-PE เวอร์ชั่น 1.2 และ 1.3 นั้นถูกโจมตี โดยแฮกเกอร์ได้ทำการโจมตีเซิร์ฟเวอร์แบ็กเอนด์ของ Cisco จำนวน 6 เเห่งคือ us-1.virl.

Google highlights Indian ‘hack-for-hire’ companies in new TAG report

Google TAG เผยอินเดียกำลังเป็นแหล่งยอดฮิตของธุรกิจ Hack for Hire

Google Threat Analysis Group (TAG) หรือ Google TAG ซึ่งเป็นทีมที่ติดตามกลุ่มอาชญากรรมระดับสูงและอาชญากรรมทางไซเบอร์ของ Google ได้เผยแพร่รายงานประจำไตรมาสที่ 1 ปี 2020 ซึ่งเป็นรายงานจากการติดตามกลุ่มอาชญากรรมไซเบอร์ที่เป็นผู้โจมตีหรือได้รับการสนับสนุนจากรัฐบาลมากกว่า 270 กลุ่มจากกว่า 50 ประเทศ โดยประเด็นที่น่าสนใจมีดังนี้

ความพยายามในการแฮ็กและฟิชชิงของกลุ่มต่างๆ
ปัจจุบันจากการเเพร่ของโรค Coronavirus หรือ COVID-19 ที่เกิดการเเพร่กระจายเป็นจำนวนมากทำให้กลุ่มอาชญากรรมไซเบอร์ใช้ประโยชน์จากเหตุการณ์นี้เพื่อทำการแฮ็กและฟิชชิงข้อมูลโดยพุ่งเป้าหมายไปที่ ผู้นำธุรกิจ, บริษัทที่ให้บริการด้านการเงินและการให้คำปรึกษา, บริษัทด้านการดูแลสุขภาพในหลายประเทศ เช่น สหรัฐอเมริกา, สโลวีเนีย, แคนาดา, อินเดีย, บาห์เรน, ไซปรัสและสหราชอาณาจักร ตัวอย่างกิจกรรมทางไซเบอร์ที่เห็นได้ชัดคือ บริษัท “hack-for-hire” หรือบริษัทรับจ้างแฮกข้อมูลทางอินเตอร์เน็ตในประเทศอินเดียได้ทำการสร้างแอคเคาท์ Gmail ที่ทำการปลอมเเปลงเป็น WHO เพื่อใช้ในการฟิชชิงกลุ่มเป้าหมาย โดยทั้งนี้ Google TAG มองว่าบริษัท “hack-for-hire” ในอินเดียมีการเติบโตและมีจำนวนมากขึ้นจากไตรมาสก่อน

การดำเนินการเคลื่อนไหวทางการเมือง
ปัจจุบันกลุ่มที่ได้รับการสนับสนุนจากรัฐบาลหรือรัฐสนับสนุนมีเป้าหมายเพื่อการดำเนินการเคลื่อนไหวทางการเมืองโดยใช้การดำเนินการในเครือข่ายเว็บไซต์ของ Google เช่น YouTube, Play Store, AdSense นั้นมีมากขึ้นและทาง Google รับเเจ้งให้ได้ทำการตรวจเป็นจำนวนมากหลังจากการตรวจสอบ Google ได้ทำการยกเลิกบัญชีช่อง YouTube และบัญชีการโฆษณาเป็นจำนวนมากในช่วงที่ผ่านมา

ทั้งนี้ผู้ที่สนใจรายละเอียดเพิ่มเติมสามารถเข้าไปอ่านต่อได้ที่: https://blog.

Emsisoft, Coveware เสนอความช่วยเหลือถอดรหัส Ransomware ฟรีในระหว่างการระบาดของโรค Coronavirus

บริษัท Emsisoft และ Coveware ได้ประกาศว่าจะทำการช่วยถอดรหัส Ransomware และเจรจาต่อรองการชำระเงินค่าไถ่ Ransomware ให้กับผู้บริการด้านการดูแลสุขภาพและโรงพยาบาลฟรี ระหว่างการระบาดของไวรัส Coronavirus เพื่ออำนวยความสะดวกทางการแพทย์ให้กับโรงพยาบาลและห้องปฏิบัติการที่ต้องการความช่วยเหลือ

บริษัท Emsisoft ได้เสนอการช่วยเหลือถอดรหัสและเเก้ไขจุดบกพร่องบนระบบที่จะสามารถนำสู่การติดไวรัส Ransomware ฟรี ทั้งนี้ทางบริษัท Emsisoft ยังได้เสนอการช่วยเหลือกู้คืนระบบและถอดรหัสสำหรับผู้ให้บริการด้านการดูแลสุขภาพและโรงพยาบาล ที่ต้องชำระเงินค่าไถ่เพื่อกู้คืนระบบ แต่พบว่าตัวถอดรหัสที่ได้รับไม่สามารถใช้งานได้

ทางด้านบริษัท Coveware ได้เสนอช่วยเหลือในการเจรจาต่อรองที่ส่วนลดค่าไถ่จากไวรัส Ransomware ให้แก่ผู้ให้บริการด้านการดูแลสุขภาพ, โรงพยาบาลและห้องปฏิบัติการที่ต้องการความช่วยเหลือ เพื่ออำนวยความสะดวกในช่วงระหว่างการระบาดของไวรัส Coronavirus หรือ (Covid-19)

ที่มา: bleepingcomputer

Firefox เตรียมยกเลิกการรองรับ FTP

บริษัท Mozilla Corporation ผู้ให้บริการเว็บเบราว์เซอร์ Firefox ได้ประกาศแผนการเพื่อยกเลิกการรองรับโปรโตคอล FTP จากเว็บเบราว์เซอร์ Firefox ผู้ใช้จะไม่สามารถดาวน์โหลดไฟล์ผ่านโปรโตคอล FTP และดูเนื้อหาและโฟลเดอร์ภายในเว็บเบราว์เซอร์ Firefox

Michal Novotny วิศวกรซอฟต์แวร์ของบริษัท Mozilla Corporation กล่าวว่า Mozilla วางแผนที่จะปิดการใช้งานและการสนับสนุนโปรโตคอล FTP ด้วยการเปิดตัว Firefox เวอร์ชั่น 77 ซึ่งมีกำหนดการอัพเดตในเดือนมิถุนายนปีนี้ ผู้ใช้จะยังสามารถดูเนื้อหาและดาวน์โหลดไฟล์ผ่าน FTP ได้แต่จะต้องทำการเปิดใช้งานการสนับสนุน FTP ผ่านการตั้งค่าในหน้า about:config ในปี 2021 เว็บเบราว์เซอร์จะหยุดการให้บริการจัดการเนื้อหาบนโปรโตคอล FTP ทั้งหมด

การตัดสินใจยกเลิกการรองรับโปรโตคอล FTP ของ Mozilla มาจากที่การที่บริษัท Google ได้ทำการตัดสินใจที่คล้ายกันเกี่ยวกับโปรโตคอล FTP ใน Google Chrome เมื่อปีที่แล้วในเดือนสิงหาคม 2019 Google ประกาศแผนการที่จะลบความสามารถในการเข้าถึงและดูลิงก์ FTP จาก Google Chrome การสนับสนุน FTP จะถูกปิดใช้งานตามค่าเริ่มต้นใน Google Chrome เวอร์ชั่น 81

ที่มา: zdnet

Work from Home จากระยะไกล อย่าลืมระวังภัย BEC

Work from Home จากระยะไกล อย่าลืมระวังภัย BEC

ในช่วง COVID-19 กำลังระบาดแบบนี้ หลายๆ บริษัทอาจมีการปรับการทำงานเพื่อลดความเสี่ยงในการติดเชื้อ ไม่ว่าจะเป็นการให้พนักงานสามารถ Work from Home หรือเปลี่ยนรูปแบบการจ่ายเงินจากการรับเช็คไปเป็นการโอนผ่านบัญชีธนาคาร ซึ่งพฤติกรรมที่ปรับเปลี่ยนไปนี้อาจเป็นช่องทางให้ผู้ไม่หวังดีสามารถทำการโจมตีได้

เมื่อวันศุกร์ 13 มีนาคม 2020 ที่ผ่านมา นักวิจัยจาก Agari Cyber Intelligence Division (ACID) พบการโจมตีแบบ Business Email Compromise (BEC) ในธีม COVID-19 ขึ้นแล้วเป็นครั้งแรก โดยมีวิธีการโจมตีคือจดโดเมนชื่อคล้ายๆ จากนั้นส่งอีเมลปลอมไปหาบริษัทคู่ค้าระบุว่ามีความจำเป็นต้องเปลี่ยนบัญชีสำหรับโอนเงินเนื่องจากการแพร่ระบาดของ COVID-19 ซึ่งหากคู่ค้าหลงเชื่อก็จะโอนเงินเข้าไปยังเลขบัญชีของผู้โจมตีแทน

นอกจากการใช้อีเมลปลอมเป็นคู่ค้าแล้ว ยังมีเทคนิคการโจมตีแบบอื่นๆ เพื่อหลอกให้หลงโอนเงินไปยังบัญชีของผู้โจมตีอีกหลายรูปแบบ ไม่ว่าจะเป็นการปลอมเป็นผู้บริหารสั่งให้โอนเงินด่วน ไม่สร้างโดเมนปลอมแต่ใช้วิธีฟิชชิงหลอกเอารหัสผ่านอีเมลจริงๆ ไปใช้ส่งอีเมลเปลี่ยนเลขบัญชี เป็นต้น โดยสามารถอ่านรายละเอียดเกี่ยวกับ Business Email Compromise (BEC) เพิ่มเติมได้จาก https://www.

Malware campaign employs fake security certificate updates

แคมเปญมัลแวร์ปลอมใบรับรองความปลอดภัยให้ผู้ใช้ปรับปรุง

ผู้เชี่ยวชาญด้านความปลอดภัยจาก Kaspersky Lab ได้ค้นพบเทคนิคการโจมตีแบบใหม่ที่แฮกเกอร์ใช้ เพื่อโจมตีโดยการแจกจ่ายมัลแวร์หลอกล่อให้ผู้ใช้ติดตั้ง “การปรับปรุงใบรับรองความปลอดภัย” ที่เป็นอันตรายเมื่อเยี่ยมชมเว็บไซต์ที่ถูกบุกรุก โดยแคมเปญนี้พบผู้ใช้งานเริ่มติดมัลแวร์ตั้งแต่ 16 มกราคม 2563 ที่ผ่านมา

เว็บไซต์ที่ถูกโจมตีจะแสดงข้อความที่อ้างว่า ใบรับรองความปลอดภัยของเว็บไซต์นั้นหมดอายุ และจะให้ผู้เยี่ยมชมติดตั้ง “การปรับปรุงใบรับรองความปลอดภัย” เพื่อดูเนื้อหาของเว็บไซต์ โดยใบรับรองความปลอดภัยที่ไม่ถูกต้อง จะฝังข้อความลงใน iframe และดาวโหลดโค้ดอันตรายผ่าน ldfidfa[.]PW/jQuery.

Browsers to block access to HTTPS sites using TLS 1.0 and 1.1 starting this month

เบราว์เซอร์จะเริ่มต้นบล็อกการเข้าถึงเว็บไซต์ HTTPS ที่ใช้ TLS 1.0 และ 1.1 ในเดือนนี้

เว็บเบราว์เซอร์ อาทิ Firefox และ Google Chrome จะเริ่มแสดงข้อความแจ้งเตือนหากผู้ใช้งานมีการพยายามเข้าถึงเว็บไซต์ผ่านโปรโตคอล HTTPS เวอร์ชั่นเก่าในเดือนนี้ สืบเนื่องมาจากความพยายามในการผลักดันให้เว็บไซต์พยายามใช้โปรโตคอลใหม่ ที่มีความปลอดภัยสูงกว่า

บริษัท Netcraft เปิดเผยว่าเว็บไซต์กว่า 850,000 แห่งยังคงใช้โปรโตคอล TLS 1.0 และ 1.1 ซึ่งมีกำหนดการลบออกจากเบราว์เซอร์หลักส่วนใหญ่ในปลายเดือนนี้ TLS 1.0 และ 1.1 ต่างเป็นที่รู้จักกันในเรื่องของช่องโหว่และปํญหาในการโจมตี ซึ่งอาจนำไปสู่การดักอ่านข้อมูลเข้ารหัสได้

ด้วยเหตุนี้เองเจ้าตลาดยักษ์ใหญ่อย่าง Microsoft, Google, Apple และ Firefox จึงเป็นแกนนำผลักดันการยกเลิกใช้โปรโตคอลดังกล่าวมาระยะหนึ่งแล้ว โดยเริ่มต้นจากการแสดง Not Secure มาตั้งแต่ปีที่แล้วหลัง TLS 1.3 ออกมาในปี 2018 และในปลายเดือนนี้เบราว์เซอร์ส่วนใหญ่จะแสดงคำเตือนที่ซ่อนอยู่ เพื่อแสดงข้อผิดพลาดเมื่อผู้ใช้เข้าถึงเว็บไซต์ที่ใช้ TLS 1.0 หรือ TLS 1.1 ทันที

ที่มา : zdnet

Intel CSME bug is worse than previously thought

ข้อบกพร่อง Intel CSME ทำให้การ Patch ถึงขั้นต้องเปลื่ยน Hardware

นักวิจัยด้านความปลอดภัย Mark Ermolov จาก Positive Technologies ได้ออกมาให้ข้อมูลเกี่ยวกับช่องโหว่ ซึ่งทางบริษัทได้ค้นพบและเปิดเผยล่าสุดคือ CVE-2019-0090 ซึ่งจะทำให้ผู้โจมตีที่มีสิทธิ์เข้าถึง CPU ถึงขั้น Physical Access สามารถใช้ช่องโหว่เพื่อเพิ่มสิทธิ์ และเรียกใช้งานโค้ดจากภายใน CSME และเทคโนโลยีอื่นๆที่เกี่ยวข้องของ Intel เช่น Intel TXE (Trusted Execution Engine) และ SPS (Server Platform Services)

นอกจากนี้ยังมีช่องโหว่ที่ทำให้มัลแวร์สามารถใช้ประโยชน์จาก Local Access โดยไม่จำเป็นต้องมีการเข้าถึง Physical Access ของระบบ และมัลแวร์จะสามารถยกระดับสิทธิ์ OS (Root Privileges) เพื่อการเข้าถึงและเรียกใช้โค้ดระดับ BIOS ได้

Mark ยังกล่าวว่าจุดบกพร่องใน CPU ของ Intel ที่ได้รับการ Patch เมื่อปีที่แล้วนั้นแย่กว่าที่คิดไว้มาก การตรวจจับการถูกโจมตีจะยากมากและการ Patch Firmware เพื่อแก้ไขปัญหาจะทำได้เพียงบางส่วนเท่านั้น ความเป็นไปได้ในการช่วยลดผลกระทบเพียงกรณีเดียวในตอนนี้คือ เปลี่ยนฮาร์ดแวร์ไปใช้ CPU Intel Gen 10th ขึ้นไป ที่ไม่ได้รับผลกระทบจากช่องโหว่

ที่มา : zdnet