อัปเดตสถานการณ์ SolarWinds: การแถลงการณ์กับวุฒิสภาและคณะกรรมการข่าวกรอง

ในช่วงระหว่างปลายเดือนกุมพาพันธ์ที่ผ่านมา กรณีการโจมตี SolarWinds มีความเคลื่อนไหวหลายประกาศ ซึ่งทีม Intelligent Response ขอสรุปสถานการณ์ และความเคลื่อนไหวดังกล่าวให้รับทราบดังนี้

1.NASA และ FAA ร่วมวงผู้ได้รับผลกระทบ

องค์การบริการการบินและอวกาศแห่งชาติหรือ NASA และองค์การบริหารการบินแห่งสหรัฐอเมริกา (FAA) ออกมายืนยันว่าทางองค์กรได้รับผลกระทบจากการโจมตีซึ่งเกี่ยวข้องกับกรณีการโจมตี SolarWinds ในลักษณะ Supply-chain attack ไม่มีการเปิดเผยผลกระทบและความรุนแรง อย่างไรก็ตามทั้งสององค์กรได้ออกมายืนยันว่าได้มีการดำเนินการตามความเหมาะสมเพื่อจัดการกับสถานการณ์แล้ว

ที่มา: bleepingcomputer

 

2.ไมโครซอฟต์ปล่อยชุดคิวรี่ CodeQL ในการใช้ค้นหา IOC ในระดับโค้ด

ไมโครซอฟต์มีการเผยแพร่คิวรี่สำหรับเฟรมเวิร์ค CodeQL เพื่อใช้ในการหา IOC ที่เกี่ยวข้องกับมัลแวร์ SUNBURST ในระดับโค้ด ตัวอย่างเช่น โค้ดส่วนที่ใช้ในการฝังตัว (implant), โค้ดฟังก์ชันแฮชที่ใช้ในการเก็บข้อมูลโปรเซส รวมไปถึงส่วนโค้ดที่ใช้ในการติดต่อการ C&C โดยปัจจุบันโค้ดได้ถูก Merge เข้าไปในการ Repository กลางของ CodeQL แล้ว และสามารถเข้าดูได้ที่ github

ที่มา: microsoft

 

3.1อัปเดตข้อมูลจากการให้ข้อมูลกับคณะกรรมการข่าวกรอง โดย Microsoft, FireEye, CrowdStrike และ SolarWinds

ฝั่งไมโครซอฟต์มีการร้องขอให้ทางภาครัฐฯ สนับสนุนหรือบังคับให้ภาคเอกชนจำเป็นต้องมีการแบ่งปันข้อมูลที่ดีกว่านี้เมื่อมีการโจมตีเกิดขึ้น
FireEye ระบุความเกี่ยวข้องกับการโจมตีว่า วิธีการโจมตีที่ตรวจพบนั้นมีความสอดคล้องกับพฤติกรรมในปฏิบัติการทางไซเบอร์รัสเซียมากที่สุด ทางทำเนียบขาวตอบรับในข้อเท็จจริงและกำลังหาวิธีการที่เหมาะสมในการเรียกร้องความรับผิดชอบจากรัสเซีย
CrowdStrike เน้นไปที่ปัญหาในระบบของ Windows และวิธีการที่ล้าหลังในการพิสูจน์ตัวตนรวมไปถึงโซลูชันด้านความปลอดภัยที่ไม่มีประสิทธิภาพให้เป็นส่วนหนึ่งของปัญหาเช่นเดียวกัน
ที่มา: theregister

 

3.2อัปเดตข้อมูลจากการให้ข้อมูลกับวุฒิสภา โดย Microsoft, FireEye, CrowdStrike และ SolarWinds

SolarWinds ให้ข้อมูลรหัสผ่าน solarwinds123 ที่เกี่ยวข้องกับระบบ File server ของ SolarWinds นั้นเกิดจากเด็กฝึกงานเป็นผู้กำหนดขึ้นมา ทั้งนี้ปัญหาก็ได้รับการจัดการทันทีที่รับทราบ
ไมโครซอฟต์ระบุว่าไม่พบหลักฐานว่ากระทรวงกลาโหมถูกโจมตี
FireEye ระบุว่าผลกระทบที่แท้จริงจากการโจมตีนั้นยังคงถูกประเมินได้ยาก และในขณะเดียวกันการระบุข้อมูลใดที่ถูกขโมยออกไปบ้างก็เป็นไปได้ยากที่จะระบุได้เช่นเดียวกัน
ที่มา: cnn

แจ้งเตือนช่องโหว่ Code injection ในไลบรารี Node.js “systeminformation”

นักพัฒนาของไลบรารี Node.js "systeminformation" ได้มีการเผยแพร่เวอร์ชันของไลบรารีดังกล่าวหลังจากมีการตรวจพบช่องโหว่ Command injection ในตัวไลบรารีซึ่งปัจจุบันถูกติดตามด้วยรหัส CVE-2021-21315 ความน่ากังวลของสถานการณ์ดังกล่าวนั้นอยู่ที่ความนิยมของไลบรารีนี้ที่มียอดดาวน์โหลดรายสัปดาห์สูงถึง 800,000 ครั้ง ซึ่งหลังจากมีการเปิดเผยการแพตช์ไป อาจทำให้เกิดการโจมตีที่สร้างผลกระทบเป็นวงกว้างได้

ไลบรารี systeminformation เป็นไลบรารีใน Node.

แจ้งเตือนกลุ่มแฮกเกอร์ LazyScripter พุ่งเป้าโจมตีสายการบินด้วย Remote Access Trojan

กลุ่มนักวิจัยจาก Malwarebytes ออกรายงานแจ้งเตือนกลุ่ม APT ใหม่ภายใต้ชื่อ LazyScripter ซึ่งมีความเคลื่อนไหวมาตั้งแต่ปี 2018 โดยมีจุดน่าสนใจสำคัญคือการมีเป้าหมายการโจมตีอยู่ในอุตสาหกรรมและสายการบิน

สำหรับเทคนิคการโจมตีของ LazyScripter นั้น กลุ่มผู้โจมตีจะมีการใช้อีเมลฟิชชิ่งในการหลอกลวงเหยื่อ เนื้อหาของอีเมลจะเน้นไปที่โครงการ Immigration ที่รัฐบาลแคนาดาสนับสนุนและอีเมลเกี่ยวกับปฏิบัติการของสายการบินเพื่อหลอกให้มีการดาวน์โหลดไฟล์เอกสารอันตราย LazyScripter มีการใช้มัลแวร์ในลักษณะของโทรจันซึ่งเป็นมัลแวร์แบบโอเพนซอร์ส อาทิ Octopus และ Koadic ในปฏิบัติการเป็นส่วนใหญ่ ผู้โจมตียังมีการใช้ GitHub ในการจัดเก็บไฟล์มัลแวร์สำหรับดาวน์โหลดมาใช้อีกด้วย

เนื่องลักษณะของการใช้มัลแวร์แบบโอเพนซอร์ส รวมไปถึงใช้เครื่องมือในการทดสอบเจาะระบบอย่าง Empire framework ในปฏิบัติการ การเชื่อมโยงกลุ่มผู้โจมตีกลุ่มใหม่นี้ให้เข้ากับฐานข้อมูลภัยคุกคามที่เป็นที่รู้จักนั้นย่อมทำได้ยาก ทั้งนี้ Malwarebytes มีการตั้งสมมติฐานเกี่ยวกับความเกี่ยวข้องของ LazyScripter ออกเป็น 2 แนวทาง โดยแนวทางแรกนั้นเกี่ยวข้องกับกลุ่ม MuddyWater ของประเทศอิหร่าน และอีกแนวทางหนึ่งนั้นเกี่ยวข้องกับกลุ่ม APT28 จากรัสเซีย ซึ่งในขณะนี้น้ำหนักค่อนข้างเทไปที่ฝั่งของ MuddyWater มากกว่าทั้งในเรื่องเครื่องมือที่ใช้ พฤติกรรมและเป้าหมาย

ผู้ที่สนใจสามารถอ่านรายงานต้นฉบับของ MalwareBytes ได้ที่ malwarebytes

ที่มา: bleepingcomputer

แฮกเกอร์รัสเซียถูกระบุว่าเกี่ยวข้องกับการโจมตีระบบจัดเก็บเอกสารของรัฐบาลยูเครน

หน่วยงานความมั่นคงของยูเครน National Security and Defense Council of Ukraine (NSDC) เปิดเผยความเชื่อมโยงของแฮกเกอร์รัสเซียเข้ากับความพยายามในการโจมตีระบบจัดการเอกสารของรัฐบาลยูเครนพร้อมเผยแพร่ Indicator of compromise ที่ได้จากการโจมตี ทั้งนี้ NSDC ยังไม่มีการระบุอย่างแน่ชัดว่าเป็นกลุ่มแฮกเกอร์ใด

ระบบที่ถูกแฮกนั้นเป็นระบบที่มีชื่อว่า System of Electronic Interaction of Executive Bodies (SEI EB) ซึ่งเป็นระบบที่รัฐบาลยูเครนจะใช้ในการแบ่งปันและเผยแพร่เอกสารในหน่วยงานรัฐของยูเครน โดยจากการตรวจสอบนั้น NSDC ตรวจพบการพยายามอัปโหลดไฟล์เอกสารที่มีโค้ดที่เป็นอันตรายไปยังระบบ SEI EB ซึ่งคาดว่ามีเป้าหมายในการหลอกให้มีการดาวน์โหลดและติดตั้งมัลแวร์

ยูเครนตกเป็นเป้าการโจมตีจากรัสเซียอยู่บ่อยครั้ง โดยเมื่อช่วงสัปดาห์ที่ผ่านมา ทาง NSDC ก็มีการเปิดเผยว่ารัสเซียเป็นผู้อยู่เบื้องหลังการโจมตีในลักษณะ DDoS ต่อระบบและเว็บไซต์ของรัฐบาล อีกทั้งยังมีกรณีที่ของมัลแวร์เรียกค่าไถ่ Egregor ที่คาดว่ามีการแพร่กระจายอย่างเฉพาะเจาะจงและมีรัฐบาลรัสเซียอยู่เบื้องหลังอีกด้วย

ที่มา: bleepingcomputer

กลุ่มแฮกเกอร์เกาหลีเหนือ Lazarus Group พุ่งเป้าโจมตีกลุ่มธุรกิจป้องกันประเทศด้วยมัลแวร์พิเศษ

Kaspersky ออกรายงานเกี่ยวกับความเคลื่อนไหวล่าสุดของกลุ่มแฮกเกอร์สัญชาติเกาหลีเหนือ Lazarus Group ซึ่งพุ่งเป้าโจมตีธุรกิจในกลุ่มผู้ผลิตอาวุธและเทคโนโลยีป้องกันประเทศในช่วงปี 2020 โดยมีเป้าหมายในการขโมยข้อมูลลับ ด้วยมัลแวร์ตัวใหม่ที่ถูกเรียกว่า ThreatNeedle

ในการโจมตีนั้น ผู้โจมตีจะทำการเข้าถึงระบบของเป้าหมายโดยอีเมลฟิชชิ่งที่มีลักษณะของเนื้อหาแอบอ้างสถานการณ์ COVID-19 จากนั้นจะมีการติดตั้งมัลแวร์ ThreatNeedle ซึ่งเคยมีประวัติในการถูกใช้เพื่อโจมตีธุรกิจในกลุ่ม Cryptocurrency ในปี 2018

มัลแแวร์ ThreatNeedle มีฟังก์ชันที่ครบเครื่อง ตัวมัลแวร์สามารถทำการยกระดับสิทธิ์ในระบบได้ด้วยตัวเอง มีการแยกส่วนของตัว Launcher และโค้ดของมัลแวร์ออกจากกันโดยส่วน Launcher จะเป็นตัวถอดรหัสและโหลดโค้ดของมัลแวร์จริง ๆ ไปทำงานในหน่วยความจำ

Kaspersky ยังค้นพบด้วยว่าผู้โจมตีมีการเข้าถึงระบบภายในผ่าน ThreatNeedle เพื่อเข้ามาแก้ไขการตั้งค่าของ Router ภายใน ในกรณีที่มีการทำ Network segmentation โดยแฮกเกอร์จะสร้าง Tunnel ด้วยโปรโตคอล SSH เพื่อส่งข้อมูลที่ขโมยมา กลับไปยังเซิร์ฟเวอร์ที่ถูกแฮกในเกาหลีใต้

ผู้ที่สนใจข้อมูลเพิ่มเติมสามารถดู Security advisory ได้จากรายงานของ Kaspersky ที่ ics-cert

ที่มา: .bleepingcomputer

Cisco ออกเเพตช์เพื่อแก้ไขช่องโหว่ที่มีความรุนแรงใน Cisco ACI Multi-Site Orchestrator

Cisco ได้ออกเเพตช์เพื่อแก้ไขช่องโหว่ที่มีความรุนแรงสูงสุด ถูกพบใน API Endpoint ของ Cisco ACI Multi-Site Orchestrator (MSO) ที่ติดตั้งบน Application Services Engine โดยรายละเอียดของช่องโหว่ที่น่าสนใจมีดังนี้

 

ช่องโหว่แรกถูกติดตามด้วยรหัส CVE-2021-1388 มีคะแนน CVSS อยู่ที่ 10/10 เป็นช่องโหว่ถูกพบใน API Endpoint ของ Cisco ACI MSO เวอร์ชัน 3.0 ที่ติดตั้งบน Application Services Engine โดยช่องโหว่อาจทำให้ผู้โจมตีจากระยะไกลที่ไม่ได้รับการรับรองความถูกต้องอาจข้ามการพิสูจน์ตัวตน (Authentication Bypass) บนอุปกรณ์ที่ได้รับผลกระทบ โดยการส่ง Request ที่สร้างขึ้นมาเป็นพิเศษเข้ามายังอุปกรณ์ที่เป็นเป้าหมาย เพื่อทำให้ได้รับ Token การตรวจสอบสิทธิ์พร้อมสิทธิ์ระดับผู้ดูแลระบบ ซึ่งช่องโหว่นี้จะส่งผลกระทบต่อเวอร์ชัน Cisco ACI MSO เวอร์ชัน 3.0 ที่ติดตั้งบน Application Services Engine เท่านั้น

 

ช่องโหว่ที่สองถูกติดตามด้วยรหัส CVE-2021-1393 เป็นช่องโหว่ถูกพบใน Cisco Application Services Engine โดยช่องโหว่สามารถอนุญาตให้ผู้โจมตีระยะไกลที่ไม่ผ่านการตรวจสอบสิทธิ์เข้าถึงบริการพิเศษบนอุปกรณ์ที่ได้รับผลกระทบ เพื่อเรียกใช้คอนเทนเนอร์หรือเรียกใช้คำสั่งระดับโฮสต์ได้

 

ทั้งนี้ Cisco ยังได้เเก้ไขช่องโหว่เพิ่มเติมอีกห้ารายการที่ส่งผลกระทบต่อซอฟต์แวร์ Cisco FXOS, ซอฟต์แวร์ Cisco NX-OS และซอฟต์แวร์ Cisco UCS โดยช่องโหว่มีการจัดอันดับความรุนแรง CVSS อยู่ที่ 8.1 - 9.8/10 ผู้ใช้และผู้ดูแลระบบควรทำการอัปเดตแพตช์ให้เป็นเวอร์ชันล่าสุดโดยเร็วเพื่อป้องกันการตกเป็นเป้าหมายของผู้ประสงค์ร้าย

 

ที่มา: bleepingcomputer

ผลิตภัณฑ์กล้องสำหรับเฝ้าเด็ก NurseryCam ถูกแฮกเกอร์บุกรุกเมื่อวันศุกร์ที่ 19 กุมภาพันธ์ที่ผ่านมา

ตามรายงานจาก BBC ได้ระบุว่าผลิตภัณฑ์กล้องสำหรับเฝ้าเด็ก NurseryCam ซึ่งถูกใช้ในระบบของสถานรับเลี้ยงเด็กประมาณ 40 แห่งทั่วสหราชอาณาจักรได้ถูกระงับการบริการในวันเสาร์ที่ผ่านมาเพื่อปิดปรับปรุงระบบการให้บริการ

การบุกรุกระบบ NurseryCam ทำให้แฮกเกอร์ซึ่งอ้างว่าได้เข้าถึงฐานข้อมูลนั้นสามารถเข้าถึงข้อมูลต่าง ๆ อาทิ ชื่อจริง, Username, Password ที่ผ่านฟังก์ชันแฮช SHA-1 และ Email addresses กว่า 12,000 บัญชี โดยแฮกเกอร์ได้ทำการเผยเเพร่ฐานข้อมูลสู่สาธารณะแล้ว

Andrew Tierney ผู้เชี่ยวชาญด้านความปลอดภัย IoT ได้เริ่มทำการตรวจสอบเหตุการณ์การบุกรุกและทำการตรวจสอบข้อมูลที่ถูกเผยเเพร่ว่าเป็นข้อมูลจริงหรือไม่

ทั้งนี้ NurseryCam ได้ทราบถึงการละเมิดระบบของบริษัทแล้วและได้เริ่มส่งอีเมลถึงผู้ปกครองเพื่อเตือนถึงการบุกรุกครั้งนี้ NurseryCam แล้ว

ที่มา: theregister

เตือนภัยช่องโหว่ร้ายแรงใน VMware vCenter Server มี POC และการสแกนหาเครื่องที่มีช่องโหว่แล้ว

เมื่อวันที่ 23 กุมภาพันธ์ 2021 ที่ผ่านมา VMware ออกแพตช์ให้กับ VMware vCenter Server (vCenter Server) เพื่อแก้ไขช่องโหว่ร้ายแรง CVE-2021-21972 ซึ่งทำให้ผู้โจมตีสามารถส่งคำสั่งอันตรายมาจากระยะไกลผ่านพอร์ต Hโดยที่ไม่ต้องยืนยันตัวตนเพื่อทำการรันบนระบบปฏิบัติการณ์ของเครื่องที่มี vCenter Server ได้

โดยหลังจากการประกาศแพตช์ช่องโหว่ดังกล่าวเพียงวันเดียวก็มีการเผยแพร่ POC ของช่องโหว่ดังกล่าวทันที ทำให้เกิดการสแกนหาเครื่องที่มีช่องโหว่ตามมา ซึ่งจากการค้นหาผ่าน shodan.

แจ้งเตือน! แคมเปญใหม่ของผู้ประสงค์ร้ายกำลังใช้ Google Alerts เพื่อหลอกผู้ใช้ให้อัปเดต Adobe Flash Player เวอร์ชันใหม่

BleepingComputer แจ้งเตือนถึงการค้นพบแคมเปญใหม่ของผู้ประสงค์ร้ายกำลังใช้ Google Alerts เพื่อทำการโปรโมตการอัปเดต Adobe Flash Player ปลอมที่ถูกใช้ในการดาวน์โหลดและติดตั้งโปรแกรมอื่น ๆ บนคอมพิวเตอร์ของผู้ใช้

ผู้ประสงค์ร้ายกำลังเริ่มแคมเปญใหม่โดยการสร้างเนื้อหาการอัปเดต Adobe Flash Player เวอร์ชันใหม่ปลอมเพื่อให้ Google Search จัดทำ Index และถึงแม้ว่า Adobe Flash Player จะ End of life Support และจะไม่ได้รับการสนับสนุนจากเบราว์เซอร์ทุกตัวอีกต่อไป แต่ผู้ใช้หลายคนอาจจะยังไม่ทราบและเมื่อคลิกที่ลิงก์ ผู้ใช้จะถูกรีไดเร็คไปยังเว็บไซต์ที่เป็นอันตรายของผู้ประสงค์ร้าย ซึ่งหากผู้ใช้เข้าไปที่ URL โดยตรงเว็บไซต์จะระบุว่าไม่มีเว็บไซต์ดังกล่าว

หากผู้ใช้คลิกที่ปุ่มอัปเดตโดยผู้ใช้คิดว่ากำลังดาวน์โหลดไฟล์และติดตั้งการอัปเดตล่าสุด Adobe Flash Player ผู้ใช้จะได้รับไฟล์ setup.

นักวิจัยพบข้อบกพร่องใน Brave Browser ที่จะส่งข้อมูล Tor Onion URL ที่เยื่ยมชมไปยังเซิร์ฟเวอร์ DNS Provider ที่ผู้ใช้กำหนดไว้

Brave Browser กำลังแก้ไขปัญหาด้าน Privacy ที่เกิดจากข้อบกพร่องในโหมด Private Window with Tor ที่ทำให้ข้อมูลการเยื่ยมชม Tor Onion URL บนโดเมน .onion และบน Dark Web ถูกส่งไปยังเซิร์ฟเวอร์ DNS ที่ผู้ใช้กำหนดไว้

Brave เป็น Chromium-based เบราว์เซอร์ที่มีฟีเจอร์เด่นในเรื่องของ Privacy รวมถึงการบล็อกโฆษณาและควบคุมข้อมูลที่มีความเป็นส่วนตัวและมีโหมดการใช้งานบนเครือข่าย Tor ซึ่งเป็นฟีเจอร์ที่เพิ่มความเป็น Anonymity ในการเข้าถึงเว็บไซต์โดยไม่ระบุตัวตนที่จะช่วยให้ผู้ใช้สามารถเข้าถึงโดเมน .onion บน Dark Web ได้โดยไม่ต้องติดตั้ง Tor

ข้อผิดพลาดเกิดขึ้นจากการเข้าถึง URL ของ Brave Browser ที่ได้เพิ่มโหมด Private Window with Tor ซึ่งทำหน้าที่เป็นพร็อกซีให้กับเครือข่าย Tor เมื่อผู้ใช้ทำการเชื่อมต่อ URL กับโดเมน .onion ซึ่งปกติจะไม่เปิดเผยข้อมูล IP address ให้กับผู้ให้บริการอินเทอร์เน็ต (ISP), ผู้ให้บริการเครือข่าย Wi-Fi และเว็บไซต์เอง อย่างไรก็ดีได้มีนักวิจัยด้านความปลอดภัยพบว่า Brave ได้เปิดเผยข้อมูล onion URL ไปยังเซิร์ฟเวอร์ DNS Provider ที่ผู้ใช้กำหนดไว้เช่นเซิร์ฟเวอร์ของ Google ที่มี IP address คือ 8.8.8.8

หลังจากที่ทีมงานของ Brave Software ได้รับรายงานปัญหาจึงได้ทำการตรวจสอบ พบว่ามีข้อบกพร่องในฟีเจอร์ CNAME decloaking ad-blocking ที่เป็นฟีเจอร์ที่ถูกเปิดใช้เพื่อบล็อก Tracking Script จาก Third-party ด้วยเหตุนี้ทางทีมงานจึงได้ปิด CNAME Adblocking เมื่อผู้ใช้เปิดโหมด Tor Browsing โดยข้อบกพร่องดังกล่าวจะถูกแก้ไขในเวอร์ชัน V1.20.108 ทั้งนี้ผู้ใช้ Brave Browser สามารถทำการอัปเดตเป็นเวอร์ชันล่าสุดได้แล้ว

ที่มา: bleepingcomputer, thehackernews, zdnet