แฮกเกอร์พบช่องโหว่ใหม่สำหรับข้ามขั้นตอนการพิสูจน์ตัวตนบน Router ที่ใช้เฟิร์มแวร์ Arcadyan กระทบผู้ใช้งานจำนวนมาก

 

กลุ่มแฮกเกอร์ไม่ทราบชื่อกำลังใช้ประโยชน์จากช่องโหว่ร้ายแรงในการข้ามขั้นตอนการพิสูจน์ตัวตน ทำให้สามารถเข้าควบคุม Router และแพร่มัลแวร์ Mirai botnet เพื่อใช้ในการโจมตี DDoS

CVE-2021-20090 (CVSS score: 9.9) เป็นช่องโหว่ Path Traversal บนเว็บอินเตอร์เฟสของ Router ซึ่งทำให้แฮกเกอร์สามารถข้ามขั้นตอนการพิสูจน์ตัวตนเพื่อเข้าควบคุม Router ได้ ซึ่งช่องโหว่นี้เกิดขึ้นกับเฟิร์มแวร์ของ Arcadyan โดยผู้เชี่ยวชาญจาก Tenable ได้เปิดเผยเมื่อวันที่ 3 สิงหาคม ว่าช่องโหว่นี้น่าจะมีมานานกว่า 10 ปีแล้ว  ซึ่งส่งผลกระทบกับ Router อย่างน้อย 20 รุ่นจากผู้ผลิต 17 ราย

 

การใช้ประโยชน์จากช่องโหว่นี้จะทำให้แฮกเกอร์สามารถข้ามขั้นตอนการพิสูจน์ตัวตน และเข้าถึงข้อมูลสำคัญต่างๆ ได้ เช่น Request tokens ซึ่งสามารถใช้เพื่อส่ง Request ไปแก้ไขการตั้งค่าของ Router ได้

ต่อมาไม่นาน Juniper Threat Labs ก็ค้นพบการโจมตีซึ่งพยายามจะใช้ประโยชน์จากช่องโหว่นี้มาจาก IP address ซึ่งระบุว่าอยู่ในประเทศจีน โดยเริ่มตั้งแต่วันที่ 5 สิงหาคม ที่แฮกเกอร์พยายามจะปล่อย Mirai botnet ไปยัง Router ต่างๆ ซึ่งผู้เชี่ยวชาญให้ความเห็นว่าพฤติกรรมการโจมตีที่พบนี้แสดงให้เห็นว่าเป็นการโจมตีจากแฮกเกอร์กลุ่มเดียวกันกับรายงานเหตุการณ์การโจมตีของผู้เชี่ยวชาญจาก Palo Alto Network ซึ่งได้พบเห็นการโจมตีในรูปแบบเดียวกันนี้ตั้งแต่ในช่วงเดือนมีนาคม

นอกจากช่องโหว่ CVE-2021-20090 แล้ว แฮกเกอร์ยังพยายามใช้ช่องโหว่อื่นๆ ในการโจมตี Router อีก เช่น

CVE-2020-29557 (Pre-authentication remote code execution in D-Link DIR-825 R1 devices)
CVE-2021-1497 และ CVE-2021-1498 (Command injection vulnerabilities in Cisco HyperFlex HX)
CVE-2021-31755 (Stack buffer overflow vulnerability in Tenda AC11 leading to arbitrary code execution)
CVE-2021-22502 (Remote code execution flaw in Micro Focus Operation Bridge Reporter)
CVE-2021-22506 (Information Leakage vulnerability in Micro Focus Access Manager)

เพื่อหลีกเลี่ยงการถูกโจมตี ผู้เชี่ยวชาญได้แนะนำให้ผู้ใช้งานพยายามอัพเดตเฟิร์มแวร์ของ Router ให้เป็นเวอร์ชันปัจจุบันอยู่เสมอ

ที่มา: thehackernews

ผู้ใช้งาน 1.2 ล้านคนได้รับผลกระทบจากข้อมูลรั่วไหลของบริษัท Practicefirst จากการโจมตีด้วย Supply Chain Ransomware

ผู้ใช้งาน 1.2 ล้านคนได้รับผลกระทบจากข้อมูลรั่วไหลของบริษัท Practicefirst จากการโจมตีด้วย Supply Chain Ransomware

Practicefirst บริษัทให้บริการด้านการจัดการทางการแพทย์ ในรัฐนิวยอร์ก ได้ออกมาเปิดเผยถึงข้อมูลรั่วไหลต่อเจ้าหน้าที่ของรัฐบาลกลาง เมื่อวันที่ 1 กรกฎาคม จากคำชี้แจงของบริษัท บริษัทได้จ่ายเงินค่าไถ่เพื่อแลกกับการให้ผู้โจมตีสัญญาว่าจะทำลาย และไม่เปิดเผยไฟล์ข้อมูลอออกสู่สาธารณะ

HIPAA Breach Reporting Tool ซึ่งเป็นเว็บไซต์ดูแลโดย Department of Health and Human Services ได้แสดงรายการข้อมูลด้านสุขภาพที่ถูกขโมยไป ซึ่งส่งผลกระทบต่อประชาชนอย่างน้อย 500 ราย หรือมากกว่านั้น
ส่วน Practicefirst รายงานว่าเหตุการณ์ดังกล่าวส่งผลกระทบต่อผู้ใช้งานมากกว่า 1.2 ล้านราย ซึ่งเป็นการละเมิดข้อมูลสุขภาพที่ใหญ่เป็นอันดับหกที่รายงานบนเว็บไซต์ HHS ในปี 2564

เมื่อวันที่ 30 ธันวาคม 2020 บริษัท Practicefirst ออกมาชี้แจงว่าพบแฮ็กเกอร์พยายามใช้แรนซัมแวร์เพื่อเข้ารหัสข้อมูลบนระบบ และได้คัดลอกไฟล์หลายไฟล์จากระบบ รวมถึงไฟล์ที่มีข้อมูลส่วนตัวของผู้ป่วย และพนักงาน เมื่อบริษัททราบถึงสถานการณ์ดังกล่าว บริษัทแจ้งว่าได้ปิดระบบ เปลี่ยนรหัสผ่าน แจ้งหน่วยงานบังคับใช้กฎหมาย และจ้างผู้เชี่ยวชาญด้านความความปลอดภัยเข้ามาช่วยเหลือแล้ว

ข้อมูลที่ถูกขโมยออกไปประกอบไปด้วย ชื่อ ที่อยู่ อีเมล วันเดือนปีเกิด หมายเลขใบขับขี่ หมายเลขประกันสังคม การวินิจฉัย ข้อมูลห้องปฏิบัติการและการรักษา หมายเลขประจำตัวผู้ป่วย ข้อมูลยา ข้อมูลระบุ และเคลมประกันสุขภาพ หมายเลขประจำตัวผู้เสียภาษี ชื่อผู้ใช้พร้อมรหัสผ่าน ชื่อผู้ใช้ของพนักงานที่มีคำถาม และคำตอบเพื่อความปลอดภัย บัญชีธนาคาร ข้อมูลบัตรเครดิต/บัตรเดบิต เป็นต้น

ที่มา : ehackingnews.

Microsoft ได้อัปเดต Patch Tuesday ในเดือนกรกฎาคม โดยมีการแก้ไขช่องโหว่ด้านความปลอดภัยทั้งหมด 117 รายการ รวมถึง Zero-Days 9 รายการ

Microsoft ได้อัปเดต Patch Tuesday ในเดือนกรกฎาคม โดยมีการแก้ไขช่องโหว่ด้านความปลอดภัยทั้งหมด 117 รายการ รวมถึง Zero-Days 9 รายการ ซึ่งผู้ไม่หวังดีสามารถใช้โจมตี และควบคุมเครื่องเหยื่อได้

ช่องโหว่ทั้งหมด 117 รายการมี 13 รายการที่มีระดับความรุนแรงเป็น Critical อีก 103 รายการมีระดับความรุนแรงเป็น Important และ 1 รายการที่มีระดับความรุนแรงเป็น Moderate

การอัปเดตครั้งครอบคลุมผลิตภัณฑ์ต่างๆ ของ Microsoft รวมถึง Windows, Bing, Dynamics, Exchange Server, Office, Scripting Engine, Windows DNS และ Visual Studio Code
ในเดือนกรกฎาคมนี้มีการค้นพบช่องโหว่จำนวนมาก ซึ่งมากกว่าเดือนก่อนหน้านี้คือเดือนพฤษภาคม 55 รายการ และมิถุนายน 50 รายการ

ช่องโหว่ด้านความปลอดภัยที่ถูกนำไปใช้มีดังนี้

CVE-2021-34527 (CVSS score: 8.8) - ช่องโหว่การเรียกใช้โค้ดจากระยะไกลของ Windows Print Spooler (หรืออีกชื่อที่รู้จักกัน "PrintNightmare")
CVE-2021-31979 (CVSS score: 7.8) - ช่องโหว่ที่เกี่ยวกับการยกระดับสิทธิ์บน Windows Kernel
CVE-2021-33771 (CVSS score: 7.8) - ช่องโหว่ที่เกี่ยวกับการยกระดับสิทธิ์บน Windows Kernel
CVE-2021-34448 (CVSS score: 6.8) - Scripting Engine Memory Corruption Vulnerability

ซึ่งทาง Microsoft ยังเน้นย้ำถึงการโจมตีของ CVE-2021-34448 ว่าผู้ไม่หวังดีอาจจะหลอกให้เหยื่อนั้น คลิกลิงก์ที่นำไปสู่เว็บไซต์ที่เป็นอันตรายที่ผู้ไม่หวังดีเตรียมไว้ และเว็บไซต์นั้นจะมีไฟล์ที่สร้างขึ้นเป็นพิเศษซึ่งออกแบบมาเพื่อใช้โจมตีช่องโหว่

มีช่องโหว่ Zero-Days ที่เปิดเผยต่อสาธารณะ 5 รายการ แต่ยังไม่ได้ถูกนำไปใช้ในการโจมตีจริง มีดังนี้

CVE-2021-34473 (CVSS score: 9.1) - ช่องโหว่การเรียกใช้โค้ดจากระยะไกลของ Microsoft Exchange Server
CVE-2021-34523 (CVSS score: 9.0) - ช่องโหว่ที่เกี่ยวกับการยกระดับสิทธิ์บน Microsoft Exchange Server
CVE-2021-33781 (CVSS score: 8.1) - ช่องโหว่การ Bypass ฟีเจอร์รักษาความปลอดภัย Active Directory
CVE-2021-33779 (CVSS score: 8.1) - ช่องโหว่การ Bypass ฟีเจอร์รักษาความปลอดภัย Windows ADFS
CVE-2021-34492 (CVSS score: 8.1) - ช่องโหว่การปลอมแปลงของ Certificate Windows

ช่องโหว่ที่สำคัญอื่นๆ ที่ Microsoft ได้แก้ไขไปนั้น ได้แก่ ช่องโหว่การเรียกใช้โค้ดจากระยะไกลที่ส่งผลต่อ Windows DNS Server (CVE-2021-34494, CVSS score 8.8) และ Windows Kernel (CVE-2021-34458) ที่ได้การจัดระดับความรุนแรง CVSS score 9.9

"ปัญหานี้ทำให้อุปกรณ์ single root input/output virtualization (SR-IOV) ที่ถูกกำหนดให้เป็น Guest อาจรบกวนการทำงานของ Peripheral Component Interface Express (PCIe) ที่ต่ออยู่กับ Guest หรือ Root อื่นๆ ได้" Microsoft ระบุไว้ในคำแนะนำสำหรับ CVE-2021-34458 เมื่อเพิ่ม Windows instances ที่ Host ของ Virtual Machines ก็มีความเสี่ยงที่จะพบกับช่องโหว่นี้

Bharat Jogi ผู้เชี่ยวชาญจาก Qualys บอกกับ The Hacker News ว่า "Patch Tuesday นี้ออกมาเพียงไม่กี่วันหลังจากที่มีการเผยแพร่การอัปเดต out-of-band Patch เพื่อแก้ไข PrintNightmare ซึ่งเป็นช่องโหว่ที่สำคัญใน Windows Print Spooler service ที่พบใน Windows ทุกรุ่น"

"แม้ว่า MSFT ได้ออก Patch เพื่อแก้ไขช่องโหว่แล้ว แต่ผู้ใช้ยังคงต้องแน่ใจว่าการกำหนดค่าที่จำเป็นได้รับการตั้งค่าอย่างถูกต้อง ระบบที่มีการกำหนดค่าผิดพลาดจะยังคงเสี่ยงต่อการถูกโจมตี แม้ว่าจะอัปเดต Patch ล่าสุดแล้วก็ตาม PrintNightmare นั้นเป็นปัญหาร้ายแรงอย่างยิ่ง ที่เน้นย้ำถึงความสำคัญของการตรวจจับ และการแก้ไข" Jogi กล่าวเสริม

ช่องโหว่ PrintNightmare ยังกระตุ้นให้หน่วยงานความปลอดภัยทางไซเบอร์และโครงสร้างพื้นฐานของสหรัฐอเมริกา (CISA) ออกคำสั่งฉุกเฉิน ให้หน่วยงานของรัฐบาลกลางทำการอัปเดตความปลอดภัยล่าสุดทันที และปิด Windows Print Spooler service บนเซิร์ฟเวอร์ และบน Microsoft Active Directory Domain Controllers.

Cryptominer ELFs ใช้ MSR เพื่อเพิ่มกระบวนการขุด

Cryptominer ELFs ใช้ MSR เพื่อเพิ่มกระบวนการขุด
ทีมวิจัยภัยคุกคามของ Uptycs สังเกตเห็น Golang-based worm ปล่อยไบนารี cryptominer ซึ่งใช้ไดรเวอร์ MSR (Model Specific Register) เพื่อปิดใช้งานการดึงข้อมูลล่วงหน้าของฮาร์ดแวร์ (Hardware Prefetcher) และเพิ่มความเร็วของกระบวนการขุดขึ้น 15%
The Golang-based worm ซึ่งมุ่งเป้าการโจมตีไปยังเป้าหมายเซิร์ฟเวอร์ *nix ที่มีช่องโหว่ โดยใช้ประโยชน์จากช่องโหว่ของเว็บเซิร์ฟเวอร์ที่เป็นที่นิยม เพื่อแพร่กระจายตัวเอง และตัวขุดที่ฝังตัว worm สายพันธุ์ใหม่ซึ่งถูกตรวจจับได้ในเดือนมิถุนายน พ.ศ. 2564 โดยระบบ Threat Intelligence แม้ว่าฟังก์ชันการทำงานบางอย่างจะคล้ายกับมัลแวร์ที่บริษัทรักษาความปลอดภัย Intezer กล่าวถึงเมื่อปีที่แล้ว แต่มัลแวร์รุ่นใหม่นี้ก็มีฟังก์ชันที่มากกว่าเดิม
ข้อมูลต่อไปนี้จะให้รายละเอียดเกี่ยวกับการใช้ MSR เพื่อปิดใช้งานการดึงข้อมูลฮาร์ดแวร์ล่วงหน้าในมัลแวร์ cryptomining นอกจากนี้ยังกล่าวถึงเทคนิคใหม่บางอย่างที่ใช้โดยผู้โจมตีใน kill chain เพื่อฝังตัว และติดตั้ง Worm ลงในไดเร็กทอรีที่สำคัญบนเซิร์ฟเวอร์ที่มีช่องโหว่

ตัวดึงข้อมูลฮาร์ดแวร์ (Hardware Prefetcher) และ MSR
ตัวดึงข้อมูลฮาร์ดแวร์ล่วงหน้าเป็นเทคนิคที่โปรเซสเซอร์ใช้ดึงข้อมูลล่วงหน้าโดยพิจารณาจากพฤติกรรมการเข้าถึงที่ผ่านมาโดย Core โปรเซสเซอร์ (หรือ CPU) โดยตัวดึงข้อมูลฮาร์ดแวร์ล่วงหน้า จะเก็บข้อมูลจากหน่วยความจำหลักลงในแคช L2 อย่างไรก็ตาม สำหรับโปรเซสเซอร์แบบมัลติคอร์ การดึงข้อมูลฮาร์ดแวร์ล่วงหน้าอาจส่งผลให้ประสิทธิภาพของระบบโดยรวมลดลง
MSR ในสถาปัตยกรรมโปรเซสเซอร์ใช้เพื่อสลับคุณลักษณะบางอย่างของ CPU และการตรวจสอบประสิทธิภาพของคอมพิวเตอร์ การจัดการกับการ MSR ทำให้สามารถปิดใช้งานการดึงข้อมูลฮาร์ดแวร์ล่วงหน้าได้

ซอฟต์แวร์ขุดเหรียญคริปโตใช้ MSR เพื่อปิดใช้งานการดึงข้อมูลฮาร์ดแวร์ล่วงหน้า
ซอฟต์แวร์ขุดเหรียญคริปโตที่ทำงานด้วยสิทธิ์ของ Root สามารถปิดใช้งานตัวดึงข้อมูลล่วงหน้าได้ สิ่งนี้ทำเพื่อเพิ่มประสิทธิภาพการดำเนินการขุดเหรียญ ซึ่งจะเป็นการเพิ่มความเร็วของกระบวนการขุด โดยมีการตรวจพบจากการขุดเหรียญ Xmrig โดยระบบ Threat Intelligence ซึ่งใช้ MSR เพื่อปิดการใช้งานตัวดึงข้อมูลฮาร์ดแวร์ล่วงหน้า
นักขุด Xmrig ใช้อัลกอริทึม RandomX สร้างโปรแกรมที่ไม่ซ้ำกันหลายโปรแกรม ซึ่งสร้างขึ้นโดยข้อมูลที่เลือกจากชุดข้อมูลที่สร้างจากแฮชของบล็อกคีย์ รหัสที่จะเรียกใช้ภายใน VM ถูกสร้างขึ้นแบบสุ่มและแฮชผลลัพธ์จะถูกใช้ในการทำงาน
เนื่องจากโปรแกรม RandomX ทำงานใน VM การดำเนินการนี้จึงมักใช้หน่วยความจำมาก ดังนั้น ตัวขุดจะปิดใช้งานตัวดึงข้อมูลฮาร์ดแวร์ล่วงหน้าโดยใช้ MSR ตามเอกสารของ Xmrig การปิดใช้งานตัวดึงข้อมูลฮาร์ดแวร์ล่วงหน้าจะเพิ่มความเร็วได้มากถึง 15%
นักขุดเหมืองใช้คำสั่ง modprobe msr เพื่อโหลดไดรเวอร์ msr (ดังรูปที่ 1)
รูปที่ 1: คำสั่งที่ใช้โหลดไดรเวอร์ msr

(more…)

พบข้อมูลที่ถูกขโมยโดยมัลแวร์ที่ไม่เคยพบมาก่อนบนคลาวด์กว่า 1.2 TB

เมื่อวันพุธที่ผ่านมา ( 9 มิถุนายน 2564 ) พบฐานข้อมูลบนคลาวด์เป็นข้อมูลที่ถูกขโมยมากว่า 1.2 TB ประกอบไปด้วยข้อมูล cookie และ credentials ที่มาจากคอมพิวเตอร์ที่ใช้ระบบปฏิบัติการ Windows จำนวน 3.2 ล้านเครื่อง จากมัลแวร์ที่ไม่เคยพบมาก่อน ที่เรียกว่า “nameless”

ในบล็อกของ NordLocker บริษัทซอฟต์แวร์เข้ารหัสไฟล์ที่รวมกับที่เก็บข้อมูลบนคลาวด์ที่เข้ารหัสแบบ end-to-end ได้กล่าวไว้ว่า ไวรัสสามารถหลบซ่อนการตรวจจับพร้อมกับข้อมูลที่ขโมยกว่า 6 ล้านไฟล์ ที่ขโมยมาจากเครื่องเดสก์ท็อป และยังสามารถถ่ายภาพผู้ใช้งานได้หากอุปกรณ์นั้นมีเว็บแคม โดยมัลแวร์จะแพร่กระจายผ่านซอฟต์แวร์ Adobe PhotoShop ที่ละเมิดลิขสิทธิ์ เครื่องมือ Crack Windows และเกมส์ละเมิดลิขสิทธิ์ต่าง ๆ ซึ่งกลุ่มแฮ็กเกอร์ได้ทำการเปิดเผยข้อมูลดังกล่าวโดยไม่ได้ตั้งใจและผู้ให้บริการคลาวด์ได้รับแจ้งว่าให้ทำการ take down โฮสต์ดังกล่าวไป ซึ่งข้อมูลที่ถูกขโมยนั้นอยู่ระหว่าง ปี 2018 ถึง 2020 โดยมี cookie กว่า 2 พันล้านรายการ

Sean Nikkel นักวิเคราะห์ภัยคุกคามทางไซเบอร์อาวุโสของ Digital Shadows ได้กล่าวว่า เรายังคงต้องประสบกับปัญหาทางข้อมูลถูกโจมตีหรือรั่วไหล ตราบใดที่ผู้คนไม่ได้ใช้แนวทางปฏิบัติด้านความปลอดภัยที่ดีทั้งหมด ซึ่งหากบริษัทจัดเก็บข้อมูลไว้บนระบบคลาวด์ จะมีตัวเลือกมากมายสำหรับการรักษาความปลอดภัยบนคลาวด์ และควรจัดหมวดหมู่ของข้อมูลว่าข้อมูลนั้นจำเป็นหรือเป็นข้อมูลที่ไม่ควรเปิดเผย และควรจัดเก็บข้อมูลให้เป็นไปตามการปฏิบัติตามข้อกำหนดด้านความปลอดภัย และตรวจสอบอย่างสม่ำเสมอเพื่อไม่ให้เกิดช่องโหว่ต่าง ๆ และอย่างน้อยที่สุด ให้ทำการเข้ารหัสที่ปลอดภัยให้กับข้อมูล และตรวจสอบ หรือทดสอบระบบเป็นระยะ ๆ

Law Floyd ผู้อำนวยการฝ่ายบริการคลาวด์ของ Telos กล่าวเสริมว่า ผู้เชี่ยวชาญด้านความปลอดภัยควรใช้การควบคุมการเข้าถึงที่เข้มงวดกับฐานข้อมูล และตรวจสอบให้แน่ใจว่า port ที่เปิดให้เข้าถึงฐานข้อมูลนั้นเป็น port ที่จำเป็นเท่านั้น และควรสร้าง policy ที่เหมาะสม รวมทั้งตรวจสอบให้แน่ใจว่าบุคลากรได้รับการศึกษาเกี่ยวกับ policy เหล่านี้อย่างเหมาะสม

ที่มา : scmagazine

ข้อมูลของบริษัท Audi และ Volkswagen รั่วไหลทำให้ส่งผลกระทบต่อลูกค้า 3.3 ล้านคน

เมื่อวันที่ 20 มีนาคมที่ผ่านมา VMGoA (Volkswagen Group of America, Inc.) ได้รับแจ้งจาก Vendor ว่ามีการเข้าถึงข้อมูลจากบุคคลที่ไม่ได้รับอนุญาต และได้ข้อมูลของลูกค้าของ Audi, Volkswagen และตัวแทนจำหน่ายบางราย โดยทาง VWGoA ได้ระบุว่าข้อมูลที่รัวไหลออกไปนั้น มีข้อมูลที่เกี่ยวข้องกับลูกค้า 3.3 ล้านคน โดย 97% เป็นของ Audi ซึ่งข้อมูลที่รั่วไหลนั้นประกอบไปด้วย ข้อมูลการติดต่อไปจนถึงข้อมูลหมายเลขประกันสังคมและหมายเลขเงินกู้

โดยทาง TechCrunch ได้รายงานเกี่ยวกับข้อมูลที่รั่วไหลออกไปนั้นจะประกอบไปด้วย ชื่อและนามสกุล ที่อยู่ส่วนบุคคลหรือทางธุรกิจ อีเมล หมายเลขโทรศัพท์ ข้อมูลเกี่ยวกับรถที่ซื้อหรือเช่า หมายเลขรถ (VIN) ยี่ห้อ รุ่น ปี สี และชุดแต่ง โดยข้อมูลดังกล่าว ยังมีข้อมูลที่มีความละเอียดอ่อนมากยิ่งขึ้นที่เกี่ยวข้องกับสิทธิ์ในการซื้อ เงินกู้ หรือสัญญาเช่า โดยมากกว่า 95% เป็นหมายเลขใบขับขี่ นอกจากนี้ยังมีข้อมูลของ วันเกิด ประกันสังคม เลขที่ประกัน เลขที่บัญชีหรือเงินกู้ และเลขประจำตัวผู้เสียภาษี อีกด้วย และสำหรับลูกค้า 90,000 ราย ที่มีการรั่วไหลของข้อมูลที่ละเอียดอ่อน ทาง Volkswagen จะให้การคุ้มครองเครดิต และบริการตรวจสอบฟรี ซึ่งรวมถึงประกันการโจรกรรมอีก 1 ล้านเหรียญสหรัฐ

แต่เป็นที่น่าสนใจ ข้อมูลที่รั่วไหลนั้นไม่ได้มาจาก Server ของทาง Volkswagen หรือ Audi แต่เป็นข้อมูลที่ทาง Vendor ของพวกเขาเก็บรวบรวมไว้ในช่วง 5 ปีระหว่าง 2014 ถึง 2019 โดยพวกเขากล่าวว่าข้อมูลดังกล่าวได้เก็บรวบรวมไว้เพื่อวัตถุประสงค์ทางการตลาดทั่วไป แต่ที่น่าเศร้าคือข้อมูลเหล่านั้นไม่ได้ถูกป้องกันและมีช่องโหว่

เนื่องจากข้อมูลของ Audi และ Volkswagen ไม่มีความปลอดภัยมาเป็นระยะเวลาหนึ่งแล้ว จึงไม่สามารถบอกได้ว่ามีข้อมูลใดบ้างที่ถูกเข้าถึงโดยไม่ได้รับอนุญาต ดังนั้นหากมีข้อความ อีเมล หรือการติดต่อใด ๆ ที่อ้างว่ามาจากทาง Audi หรือ Volkswagen ให้ถือว่าเป็นพฤติกรรมที่น่าสงสัยไว้เป็นอันดับแรก โดยเฉพาะอีเมลหรือข้อความ sms

ที่มา : bleepingcomputer

นักวิจัยเชื่อมโยงการโจมตี CryptoCore ในการแลกเปลี่ยน Cryptocurrency กับ เกาหลีเหนือ

มีการเปิดเผยหลักฐานใหม่ ที่เกี่ยวข้องกับการโจมตีการแลกเปลี่ยนสกุลเงินดิจิทัลในช่วง 3 ปีที่ผ่านมา โดยคาดกันว่าแฮกเกอร์ได้รับการสนับสนุนจากประเทศเกาหลีเหนือ ซึ่งการโจมตีดังกล่าวมีความเป็นไปได้ที่จะเกี่ยวข้องกับกลุ่ม Lazarus (aka APT38 or Hidden Cobra)

นักวิจัยด้านความปลอดภัยทางไซเบอร์ของอิสราเอล ClearSky กล่าวว่าแคมเปญนี้มีชื่อว่า "CryptoCore" ซึ่งกำหนดเป้าหมายการโจมตีเป็นการแลกเปลี่ยนคริปโตในอิสราเอล, ญี่ปุ่น, ยุโรปและสหรัฐอเมริกา ส่งผลให้มีการขโมยสกุลเงิน มูลค่าหลายล้านดอลลาร์ การค้นพบนี้เป็นผลมาจากการปะติดปะต่อจากรายงานที่คล้ายคลึงกันซึ่งมีรายละเอียดจากทาง F-Secure, CERT JPCERT / CC และ NTT Security ในช่วงไม่กี่เดือนที่ผ่านมา

นับตั้งแต่ปี 2552 กลุ่ม Hidden Cobra ได้ดำเนินการจารกรรมสกุลเงินดิจิทัล โดยมีการกำหนดเป้าหมายให้สอดคล้องกับผลประโยชน์ทางเศรษฐกิจและภูมิรัฐศาสตร์ของเกาหลีเหนือ ซึ่งส่วนใหญ่เน้นไปทางการเงินเพื่อหลีกเลี่ยงการคว่ำบาตรระหว่างประเทศ ซึ่งไม่กี่ปีที่ผ่านมาได้ขยายการโจมตีเพิ่มเติมไปที่อุตสาหกรรมการป้องกันและการบินและอวกาศ

CyptoCore หรือ CryptoMimic, Dangerous Password, CageyChameleon, และ Leery Turtle, ไม่ได้มีความแตกต่างกันมาก โดยกลุ่ม Lazarus ซึ่งมุ่งเน้นไปที่การขโมยสกุลเงินดิจิทัลเป็นหลักเช่นกัน ในปี 2018 มีการใช้ประโยชน์จาก spear-phishing เพื่อเป็นการขโมยรหัสผ่านและบัญชีของเหยื่อเพื่อทำการโอนเงินไปยังบัญชีของผู้โจมตี

ปัจจุบันกลุ่ม Lazarus มีการขโมยเงินไปแล้วประมาณ 200 ล้านดอลลาร์ตามรายงานของ ClearSky ที่เผยแพร่ในเดือนมิถุนายน 2020 ซึ่งเชื่อมโยง CryptoCore กับเหยื่อ 5 รายที่อยู่ในสหรัฐอเมริกา ญี่ปุ่น เมื่อรวมกับงานวิจัยล่าสุดแสดงให้เห็นว่าการดำเนินการดังกล่าวส่งผลกระทบเป็นวงกว้างมากกว่าที่บันทึกไว้ก่อนหน้านี้ รวมถึงมีการพัฒนาการโจมตีหลายส่วนไปพร้อม ๆ กันอีกด้วยในปัจจุบัน

ที่มา : thehackernews

Microsoft แจ้งเตือน มัลแวร์ขโมยข้อมูลปลอมตัวเป็น Ransomware

เมื่อวันพฤหัสบดีที่ผ่านมา ทาง Microsoft ออกมาแจ้งเตือนถึง campaign "massive email" โดยมัลแวร์ชื่อ STRRAT ซึ่งใช้ Java-based เพื่อขโมยข้อมูลที่เป็นความลับจากระบบ ในขณะที่ปลอมตัวเป็นมัลแวร์เรียกค่าไถ่

RAT(Remote Access Trojan) ตัวนี้ จะมีพฤติกรรมคล้าย ransomware โดยจะเปลี่ยนชื่อไฟล์ ต่อท้ายด้วยนามสกุล .crimson โดยที่ไม่ได้ทำการเข้ารหัสจริง ๆ ซึ่งถ้าส่วนที่ต่อท้ายนามสกุลของไฟล์นี้ถูกลบออกไป ก็จะสามารถเปิดไฟล์ได้ตามปกติ

ทาง Microsoft พบเห็นการโจมตีเมื่อสัปดาห์ที่แล้ว จาก spam emails ซึ่งถูกส่งจาก email account ที่ถูกยึด มี subject ชื่อ "Outgoing Payments" เพื่อล่อให้ผู้รับเปิดเอกสาร PDF ที่เป็นอันตรายซึ่งอ้างว่าเป็นการโอนเงิน แต่ในความเป็นจริงแล้วเป็นการ เชื่อมต่อกับโดเมนหลอกลวงเพื่อดาวน์โหลดมัลแวร์ STRRAT และยังมีการเชื่อมต่อไปยัง command-and-control server อีกด้วย มัลแวร์ตัวนี้ยังมีคุณสมบัติที่สามารถรวบรวมรหัสผ่านของเบราว์เซอร์, บันทึกการกดแป้นพิมพ์, การเรียกใช้คำสั่งควบคุมจากระยะไกล และสคริปต์ PowerShell

STRRAT ถูกพบครั้งแรกในเดือนมิถุนายนปี 2020 โดย G Data บริษัทรักษาความปลอดภัยทางไซเบอร์ของเยอรมันที่สังเกตเห็น Windows malware (เวอร์ชัน 1.2) ในอีเมลฟิชชิ่งที่มีไฟล์แนบ Jar (หรือ Java Archive) ที่เป็นอันตราย

มัลแวร์มีเป้าหมายในการขโมยข้อมูล credentials ของเบราว์เซอร์, email clients และ passwords ผ่าน keylogging" ส่งผลกระทบกับเบราว์เซอร์และ email clients ดังต่อไปนี้ : Firefox, Internet Explorer, Chrome, Foxmail, Outlook, Thunderbird

Microsoft ตั้งข้อสังเกตว่าเวอร์ชัน 1.5 มีความซับซ้อนมากกว่าเวอร์ชันก่อนหน้า ซึ่งบ่งบอกว่าผู้ที่อยู่เบื้องหลังการโจมตี กำลังพัฒนาเครื่องมืออย่างเต็มที่ และพฤติกรรมการเข้ารหัสแบบหลอก ๆ ยังคงเป็นสัญญาณว่ากลุ่มนี้อาจมีเป้าหมายที่จะสร้างรายได้อย่างรวดเร็ว จากผู้ใช้ที่ไม่สงสัยในการข่มขู่ด้วย Ransomware

Indicators of compromise (IoCs) ที่เกี่ยวข้องกับแคมเปญสามารถเข้าถึงได้ผ่าน GitHub

ที่มา : thehackernews

สายการบินในอินเดียถูกโจมตีทางไซเบอร์ทำให้ข้อมูลลูกค้าถูกบุกรุกนับล้าน

เซิร์ฟเวอร์ที่เก็บข้อมูลของสายการบินแห่งชาติของอินเดีย (Air India) ถูกโจมตีทางไซเบอร์ ส่งผลกระทบต่อข้อมูลของลูกค้าประมาณ 4.5 ล้านรายทั่วโลกถูกบุกรุก
จากรายงานพบว่ามีการโจมตีครั้งแรกในเดือน กุมภาพันธ์ รายละเอียดข้อมูลที่ถูกบุกรุกนั้นประกอบไปด้วย หนังสือเดินทาง, ข้อมูลตั๋ว รวมไปถึงข้อมูลบัตรเครดิต "แต่ในส่วนของ ข้อมูลด้านความปลอดภัยของบัตรเครดิต หมายเลข CVV หรือ CVC นั้นไม่ได้ถูกเก็บอยู่บนเซิร์ฟเวอร์ข้อมูลที่ถูกโจมตี" และ "หลังจากการโจมตีที่เกิดขึ้นยังไม่พบสัญญาณหรือพฤติกรรมที่ผิดปกติเพิ่มเติม" ตามที่สายการบินแห่งชาติของอินเดีย กล่าว
ปัจจุบันนั้นยังไม่มีการออกมายอมรับ หรือรู้ตัวของผู้อยู่เบื้องหลังการโจมตีครั้งนี้
ทาง Air India เองก็ได้ออกมาประกาศให้ลูกค้าของตนนั้นดำเนินการเปลี่ยนรหัสผ่านการเข้าถึงบัญชีผู้ใช้ของพวกเขาบนเว็บไซต์
เมื่อปีที่แล้ว British Airways เองก็ถูกปรับ 20 ล้านปอนด์ (ประมาณ 800 ล้านบาท) เนื่องจากการละเมิดข้อมูลซึ่งส่งผลกระทบต่อข้อมูลส่วนบุคคลและข้อมูลบัตรเครดิตของลูกค้ามากกว่า 400,000 ราย เมื่อปี 2018
นอกจากนี้ในปีเดียวกัน EasyJet ยังออกมายอมรับว่าข้อมูล อีเมล และรายละเอียดการเดินทางของลูกค้าประมาณ 9 ล้านราย ถูกขโมยในการโจมตีทางไซเบอร์เช่นเดียวกัน

ที่มา : bbc

Nvidia แจ้งเตือนการพบปัญหาใน GPU driver และซอฟต์แวร์ vGPU ส่งผลให้สามารถถูกใช้ในการยกระดับสิทธิ์, รันคำสั่งอันตราย หรือทำ DoS

ช่องโหว่ทั้งหมดในส่วนของ GPU Display Driver ผู้ไม่หวังดีจำเป็นจะต้องเข้ามาถึงเครื่องได้ก่อน (local) จึงจะสามารถทำการโจมตีได้ ซึ่งประกอบด้วย

CVE-2021-1074 (คะแนน 7.5/10): ปัญหาอยู่ในตัว Installer ของ driver รุ่น R390 สำหรับ Windows ผู้ไม่หวังดีที่สามารถเข้ามาถึงเครื่องได้ (local) สามารถแทรกไฟล์อันตรายลงไปแทนที่ไฟล์ปกติ เพื่อใช้รันคำสั่งอันตราย, ยกระดับสิทธิ์, DoS หรือเปิดเผยข้อมูลสำคัญได้
CVE-2021-1075 (คะแนน 7.3/10): ปัญหาอยู่ในส่วน kernel (nvlddmkm.