FBI แชร์ข้อมูลอีเมลที่ถูกใช้เพื่อแพร่กระจายมัลแวร์ Emotet มากกว่า 4 ล้านรายการให้กับ Have I Been Pwned

สืบเนื่องจากเมื่อต้นปีที่ผ่านมา ได้มีการบังคับใช้กฎหมายเพื่อทลายเครือข่ายของมัลแวร์ Emotet ส่งผลให้มีการยึดเครื่องเซิร์ฟเวอร์ที่ถูกใช้ในการกระทำความผิดหลายร้อยเครื่องทั่วโลก ตามมาด้วยการถอนการติดตั้งมัลแวร์บนเครื่องที่ตกเป็นเหยื่อเมื่อวันที่ 25 เมษายนที่ผ่านมา นอกจากจะติดตั้งไฟล์มัลแวร์บนเครื่องเหยื่อแล้ว Emotet ยังมีการขโมยข้อมูลอีเมลที่มีการใช้งานบนเครื่องของเหยื่อด้วย เพื่อนำไปใช้แพร่กระจายมัลแวร์ต่อไป โดยข้อมูลอีเมลส่วนนี้ที่ถูกขโมยมา FBI ได้ทำการแชร์ให้กับ Have I Been Pwned เพื่อให้ผู้ที่สงสัยว่าตนเองตกเป็นเหยื่อหรือไม่ สามารถร้องขอเพื่อทำการตรวจสอบได้

Troy Hunt ซึ่งเป็นผู้สร้างเว็บไซต์ Have I Been Pwned ขึ้นมาระบุว่า 39% ของอีเมลที่ตกเป็นเหยื่อของ Emotet นี้ ถูกพบว่าเคยรั่วไหลมาก่อนหน้านี้แล้ว จากบริการอื่น ๆ ที่ Have I Been Pwned มีข้อมูลอยู่ก่อนแล้ว อย่างไรก็ตามข้อมูลส่วนนี้ถูกจัดอยู่ในกลุ่มของ "Sensitive Breach" ตามรายงานของ Troy Hunt นั่นแสดงว่าข้อมูลดังกล่าวไม่สามารถถูกค้นหาบนหน้าเว็บไซต์ได้อย่างสาธารณะ (Public) ผู้ที่เป็นเจ้าของอีเมล หรือโดเมนขององค์กรเท่านั้นที่จะสามารถร้องขอให้ค้นหาได้ โดยต้องทำการพิสูจน์ตัวตนตามกระบวนการของ Have I Been Pwned ก่อน

อย่างไรก็ตามนอกเหนือจาก Have I Been Pwned แล้ว ยังมีเว็บไซต์ที่ชื่อว่า "Have I Been Emotet" ด้วยที่สามารถถูกใช้เพื่อตรวจสอบว่าอีเมลที่สงสัย เคยถูกใช้โดยมัลแวร์ Emotet หรือไม่ โดยพบว่ามีข้อมูลล่าสุดถึงวันที่ 25 มกราคม 2วันก่อนที่มัลแวร์ Emotet จะถูกปิดตัวลง

ที่มา: bleepingcomputer

ค้นพบช่องโหว่ใหม่บน F5 Big-IP ส่งผลให้สามารถข้ามผ่านกระบวนการความปลอดภัยของ Key Distribution Center (KDC) บน Kerberos Protocol ได้

ช่องโหว่ CVE-2021-23008 (คะแนน 8.1/10) ส่งผลให้ผู้ไม่หวังดีสามารถข้ามผ่าน (Bypass) กระบวนการพิสูจน์ตัวตน (Authentication) บน Kerberos ไปยัง Big-IP Access Policy Manager (APM) และข้ามผ่านข้อกำหนดความปลอดภัย (Security Policies) ได้

ทั้งนี้ Key Distribution Center (KDC) ทำงานอยู่บนโปรโตคอล Kerberos ซึ่งเป็นโปรโตคอลที่ใช้สำหรับทำหน้าที่พิสูจน์ตัวตน (Authentication) โดยมี KDC ที่ทำงานเปรียบเสมือนเซิร์ฟเวอร์ตัวกลางที่ใช้ในการเก็บ Shared Secret Key และสิทธิ์ของผู้ใช้งานทุกคน จากนั้นจะทำหน้าที่แจกจ่าย Ticket ให้กับผู้ใช้งานที่ถูกต้องไปใช้เข้าถึง service ที่ต้องการ การโจมตีนี้เกิดขึ้นได้จากการที่ผู้ไม่หวังดีส่ง Response (AS-REP: Kerberos Authentication Service Response) ที่ถูกปลอม (Spoofed) ในกระบวนการเชื่อมต่อของ Kerberos Key Distribution Center (KDC) ที่ถูกยึดครองแล้ว หรือจาก AD Server ที่ถูกยึดครองโดยผู้ไม่หวังดีแล้ว หากมีการใช้งานร่วมกับ AD ด้วย

Big-IP APM เวอร์ชันที่ได้รับผลกระทบจะประกอบไปด้วย 11.5.2 - 11.6.5 (ยังไม่มีแพทช์), 12.1.0 - 12.1.5 (อัพเดตเป็น 12.1.6), 13.1.0 - 13.1.3 (อัพเดตเป็น 13.1.4), 14.1.0 - 14.1.3 (อัพเดตเป็น 14.1.4), 15.0.0 - 15.1.2 (อัพเดตเป็น 15.1.3) และ 16.0.0 - 16.0.1 (ยังไม่มีแพทช์) ควรทำการอัพเดตตามเวอร์ชัน หากมีแพทช์แล้ว

ที่มา: thehackernews, support.

Microsoft ประกาศปลดระวาง .NET Framework เก่าหลายเวอร์ชัน

สืบเนื่องจาก SHA-1 ไม่มีความปลอดภัยอีกต่อไป และมี .NET หลายเวอร์ชันที่ใช้ Hash Algorithm นี้ในการ Signed จึงถึงเวลาที่จะต้องหยุดใช้งานเวอร์ชันดังกล่าวเนื่องจากคำนึงถึงความปลอดภัย ซึ่งประกอบด้วยเวอร์ชัน 4.5.2, 4.6 และ 4.6.1 และเปลี่ยนไปใช้เป็น SHA-2 แทน โดยเวอร์ชันทั้งหมดนี้จะยังได้รับการอัพเดตจาก Microsoft ต่อไปจนถึงวันที่ 26 เมษายน 2022 หลังจากนั้นจะไม่มีการปล่อยอัพเดตใด ๆ จาก Microsoft ต่อไป ยกเว้นเวอร์ชัน 4.6 ที่มากับ Windows 10 Enterprise LTSC 2015 ที่จะยังได้รับการอัพเดตจนถึงเดือนตุลาคม 2025 ซึ่งเป็นเวลาเดียวกับที่ระบบปฏิบัติการดังกล่าวจะไม่ได้รับการอัพเดตจาก Microsoft อีกต่อไปเช่นเดียวกัน

นักพัฒนาที่มีการใช้งานเวอร์ชันที่ได้รับผลกระทบดังกล่าวควรเปลี่ยนไปใช้เวอร์ชัน 4.6.2 เป็นอย่างน้อย เพื่อจะได้รับการอัพเดตต่อไปหากมีปัญหาในอนาคต ทั้งนี้มีการระบุว่าเวอร์ชัน 4.6.2 (ถูกปล่อยออกมาเมื่อ 5 ปีที่แล้ว) และ 4.8 (ถูกปล่อยออกมาเมื่อ 2 ปีที่แล้ว) ถือว่าเป็นเวอร์ชันที่มีความเสถียรสูง จากข้อมูลที่อ้างอิงว่ามีมากกว่า 100 ล้านเครื่องที่ใช้งานอยู่ โดยระบุว่าการอัพเดตครั้งนี้ นักพัฒนาไม่จำเป็นต้อง recompile หรือ retarget แอพพลิเคชั่นที่พัฒนาใหม่ เพียงแต่แนะนำให้ลองทำการทดสอบบน runtime เวอร์ชันใหม่นี้ก่อน หากแอพพลิเคชั่นดังกล่าวได้รับการ deploy ไปแล้ว

ที่มา: bleepingcomputer

กลุ่มที่อยู่เบื้องหลังมัลแวร์เรียกค่าไถ่ REvil ลบข้อมูลรั่วไหลของ Apple จากเว็บไซต์ใต้ดินของตนเอง เพื่อเตรียมปล่อยข้อมูลชุดใหม่

กลุ่ม REvil ได้ทำการลบข้อมูลแผนผังส่วนประกอบ (Schematic) ของอุปกรณ์ Apple ที่ถูกเปิดเผยเพื่อเรียกค่าไถ่บนเว็บไซต์ใต้ดินของตนเอง หลังจากที่มีรายงานว่าได้ทำการคุยตกลงส่วนตัวกับบริษัท "Quanta" ซึ่งเป็นบริษัทสัญชาติไต้หวันที่ช่วยผลิต Apple Watch, Macbook Air และ Macbook Pro เหยื่อของการรั่วไหลข้อมูลในครั้งนี้ ก่อนหน้านี้กลุ่มนี้ได้มีการเรียกค่าไถ่เป็นจำนวน 50 ล้านเหรียญเพื่อแลกกับการปกปิดข้อมูล แต่เมื่อไม่มีการตอบรับจากเหยื่อจึงได้ทำการเผยแพร่ข้อมูลดังกล่าวบนเว็บไซต์ใต้ดินของตนเอง นอกจากนี้ยังได้มีการแจ้งเตือนไปยัง Apple ให้ทำการซื้อข้อมูลดังกล่าวกลับไปก่อนวันที่ 1 พฤษภาคมที่จะถึง หากไม่จะทำการเปิดเผยข้อมูลเพิ่มเติม

การลบข้อมูลในหน้าเว็บไซต์ครั้งนี้ ประกอบด้วยข้อมูลแผนผังส่วนประกอบ (Schematic) และแบบร่าง (Drawing) ของอุปกรณ์ Apple จากรายงานระบุว่ากลุ่มเรียกค่าไถ่ และบริษัท Quanta ที่เป็นเหยื่อได้มีการคุยแชทส่วนตัวกัน โดยกลุ่มเรียกค่าไถ่ได้มีการแจ้งว่าจะทำการซ่อนข้อมูลดังกล่าวบนเว็บไซต์ และหยุดให้ข้อมูลกับสื่อ (reporters) ไปก่อน เพื่อให้การเจรจาสามารถดำเนินการต่อไปได้ และหากยอมเจรจาด้วยก่อนวันที่ 7 พฤษภาคม จะทำการลดค่าไถ่ให้เหลือเพียง 20 ล้านเหรียญ แต่ถ้าหากไม่มีการตอบสนองกลับมา จะทำการเปิดเผยข้อมูลใหม่ ที่ถูกระบุว่าจะเป็นแบบร่าง (Drawing) ของ iPad ตัวใหม่ และ Logo ใหม่ของ Apple

ที่มา: bleepingcomputer

SAP ออกเเจ้งเตือนให้ผู้ใช้รีบทำการอัปเดตแพตช์เป็นการเร่งด่วนหลังพบผู้ประสงค์ร้ายพยายามใช้ประโยชน์จากช่องโหว่ทำการโจมตีระบบอย่างต่อเนื่อง

SAP และ Onapsis บริษัทรักษาความปลอดภัยทางด้านคลาวด์ได้ออกเเจ้งเตือนลูกค้า SAP ให้รีบทำการอัปเดตแพตช์ความปลอดภัยให้เป็นเวอร์ชันล่าสุดหลังพบกลุ่มผู้ประสงค์ร้ายพยายามใช้ประโยชน์จากช่องโหว่ทำการโจมตีระบบอย่างต่อเนื่อง

ข้อมูลภัยคุกคามที่รวบรวมและเผยแพร่โดย Onapsis ร่วมกับ SAP ได้ระบุว่าตั้งแต่กลางปี ​​2020 ผู้เชี่ยวชาญด้านความปลอดภัยจาก Onapsis ได้พบเห็นกลุ่มผู้ประสงค์ร้ายพยายามโจมตีช่องโหว่ในแอปพลิเคชัน SAP ที่ไม่ได้รับการแพตช์ความปลอดภัยกว่า 1,500 ครั้ง จาก 20 ประเทศทั่วโลก โดยมีจำนวนที่ทำการโจมตีประสบความสำเร็จอยู่ที่ 300 ครั้ง

ตามรายงานระบุอีกว่าการโจมตีเหล่านี้ได้ใช้ประโยชน์จากช่องโหว่ด้านความปลอดภัยหลายรายการในแอปพลิเคชัน SAP ประกอบด้วยช่องโหว่ดังนี้

ช่องโหว่ CVE-2020-6284 เป็นช่องโหว่การตรวจสอบสิทธิ์ โดยผู้โจมตีที่ไม่ได้รับการตรวจสอบสิทธิ์สามารถเข้ายึดระบบ SAP ที่มีช่องโหว่ได้จากระยะไกล
ช่องโหว่ CVE-2020-6207 เป็นช่องโหว่การตรวจสอบสิทธิ์ โดยผู้โจมตีที่ไม่ได้รับการตรวจสอบสิทธิ์สามารถเข้ายึดระบบ SAP ที่มีช่องโหว่ได้จากระยะไกล
ช่องโหว่ CVE-2018-2380 เป็นช่องโหว่การยกระดับสิทธิ์และ Execute คำสั่งบนระบบปฏิบัติการเพื่อเข้าถึงฐานข้อมูลและระบบเครือข่ายภายใน (Lateral movement)
ช่องโหว่ CVE-2016-95 เป็นช่องโหว่ Denial-of-Service (DoS) และเข้าถึงข้อมูลที่สำคัญโดยไม่ได้รับอนุญาต
ช่องโหว่ CVE-2016-3976 เป็นช่องโหว่ที่ทำให้ผู้โจมตีจากระยะไกลสามารถยกระดับสิทธิ์และเข้าอ่านไฟล์ผ่านทาง Directory Traversal ซึ่งนำไปสู่การเข้าถึงข้อมูลโดยไม่ได้รับอนุญาต
ช่องโหว่ CVE-2010-5326 เป็นช่องโหว่การตรวจสอบสิทธิ์ โดยผู้โจมตีที่ไม่ผ่านการพิสูจน์ตัวตนสามารถ Execute คำสั่งบนระบบปฏิบัติและเข้าถึงแอปพลิเคชันที่เชื่อมต่อกับฐานข้อมูล ซึ่งทำให้ผู้โจมตีสามารถเข้าควบคุม SAP Business Information และโปรเซสได้อย่างสมบูรณ์

ทั้งนี้ลูกค้าและผู้ดูแลระบบ SAP ควรทำการอัปเดตเเพตช์ให้เป็นเวอร์ชันล่าสุดเพื่อป้องกันการตกเป็นเป้าหมายของผู้ประสงค์ร้าย

ที่มา: bleepingcomputer

VMware ออกแพตช์แก้ไขช่องโหว่ที่ถูกพบใน vRealize Operations

VMware ออกแพตช์แก้ไขช่องโหว่ที่สำคัญ 2 รายการในแพลตฟอร์ม IT operations management อย่าง vRealize Operations ซึ่งช่องโหว่อาจทำให้ผู้โจมตีสามารถขโมยข้อมูล Administrative credentials ได้ โดยทั้ง 2 ช่องโหว่ถูกค้นพบโดย Egor Dimitrenko จาก Positive Technologies

ช่องโหว่เเรกเป็น CVE-2021-21975 มีคะแนนความรุนเเรงอยู่ที่ CVSS 8.6/10 โดยช่องโหว่ถูกพบใน vRealize Operations Manager API ซึ่งช่องโหว่จะทำให้ผู้โจมตีสามารถใช้เทคนิค Server-side request forgery (SSRF) เพื่อเข้าถึงการทำงานของเซิร์ฟเวอร์หรือเข้าถึงการจัดการข้อมูลที่ผู้โจมตีจะไม่สามารถเข้าถึงได้โดยตรงจากระยะไกล

ช่องโหว่ที่สองเป็น CVE-2021-21983 มีคะแนนความรุนเเรงอยู่ที่ CVSSv3 7.2/10 เป็นช่องโหว่ Arbitrary file write หรือช่องโหว่การเขียนไฟล์โดยไม่ได้รับอนุญาตใน VROps Manager API ที่สามารถใช้เพื่อเขียนไฟล์ไปยังระบบปฏิบัติการได้

ทั้งนี้ช่องโหว่ทั้ง 2 รายการ ผู้โจมตีจะต้องมี administrative credentials ก่อนจึงจะสามารถใช้ประโยชน์จากช่องโหว่ได้ อย่างไรก็ตาม VMware ได้ออกเเพตช์สำหรับแก้ไขช่องโหว่ทั้ง 2 แล้วใน vROps Manager เวอร์ชัน 7.5.0 ถึง 8.3.0 ผู้ดูแลระบบควรทำการอัปเดตแพตช์ให้เป็นเวอร์ชันดังกล่าวเพื่อป้องกันการตกเป็นเป้าหมายของผู้ประสงค์ร้าย

ที่มา: databreachtoday

พบผู้ไม่หวังดีพุ่งเป้าโจมตีผู้ใช้งาน LinkedIn ด้วยการหลอกเสนองาน

การโจมตีเริ่มต้นด้วยการกำหนดเป้าหมายก่อนจะส่งข้อความไปเสนองาน (spear-phishing) โดยจะส่งไฟล์ zip ที่ถูกตั้งชื่อให้ตรงกับตำแหน่งงานของเป้าหมายที่แสดงใน LinkedIn เมื่อเปิดไฟล์จะถูกติดตั้ง backdoor ที่มีชื่อว่า "more_egg" ซึ่งเป็น fileless ลงบนเครื่องโดยไม่รู้ตัว จากนั้นจะทำการยึดโปรเซสที่ถูกต้องของ Windows เพื่อหลบหลีกการตรวจจับ แต่ในระหว่างนั้นจะมีการเบี่ยงเบียนความสนใจด้วยการวางเหยื่อล่อ ด้วยการให้เหยื่อสนใจใบสมัครปลอมที่สร้างขึ้นมา มัลแวร์ตัวนี้สามารถถูกใช้เป็นช่องทางในการส่งมัลแวร์อื่น ๆ เข้ามาที่เครื่องเหยื่อก็ได้ ยกตัวอย่างเช่น banking trojan, ransomware, มัลแวร์ขโมยข้อมูล หรือถูกใช้เพื่อวาง backdoor ตัวอื่น ๆ เพื่อขโมยข้อมูลออกไปก็ได้

รายงานระบุว่า more_egg เป็นมัลแวร์ที่เคยถูกพบมาตั้งแต่ปี 2018 ผู้ไม่หวังดีที่ต้องการใช้งานจะสามารถหาซื้อได้จากบริการ malware-as-a-service (MaaS) ที่มีชื่อว่า "Golden Chicken" ได้ เคยถูกใช้โดย Threat Actor หลายกลุ่ม เช่น Cobalt, Fin6 และ EvilNum แต่สำหรับเหตุการณ์นี้ยังไม่สามารถระบุชัดเจนได้ว่า Threat Actor กลุ่มไหนเป็นผู้อยู่เบื้องหลัง

ที่มา: thehackernews

เบอร์โทรศัพท์ และข้อมูลส่วนบุคคลของผู้ใช้งาน Facebook ถูกนำมาปล่อยบนเว็บไซต์ใต้ดิน

ข้อมูลดังกล่าวประกอบด้วยชื่อ- นามสกุล, Facebook ID, เบอร์โทรศัพท์, อีเมล, เพศ, อาชีพ และประเทศ เป็นต้น และเป็นข้อมูลของผู้ใช้งาน Facebook มากกว่า 533 ล้านราย จาก 106 ประเทศ แต่ไม่พบว่ามีข้อมูลของผู้ใช้งานในประเทศไทย เชื่อว่าข้อมูลดังกล่าวรั่วไหลมาตั้งแต่ปี 2019 ผ่านทางช่องโหว่เก่าของ Facebook ที่ได้รับการแก้ไขไปแล้ว ข้อมูลดังกล่าวจึงเป็นข้อมูลตั้งแต่เมื่อปี 2019 ทั้งนี้จากข้อมูลล่าสุดมีการระบุว่า Mark Zuckerberg ผู้ก่อตั้ง Facebook เองก็เป็นหนึ่งในผู้เสียหายที่มีข้อมูลหลุดออกมาเช่นเดียวกัน

ที่มา: thehackernews

VMware แก้ไขปัญหาช่องโหว่สำคัญใน VMware Carbon Black Cloud Workload

ช่องโหว่ดังกล่าว (CVE-2021-21982) มีความรุนแรงระดับ critical ได้รับคะแนน CVSS 9.1 จาก 10 ส่งผลให้ผู้โจมตีสามารถเข้าถึงระบบได้โดยไม่ต้องพิสูจน์ตัวตน (authentication bypass) Carbon Black Cloud Workload เป็นผลิตภัณฑ์ Data Center ที่มีความสามารถด้าน security มาด้วย หากผู้โจมตีสามารถเข้าถึงหน้า URL สำหรับเข้าสู่ระบบของผู้ดูแลได้ ก็จะสามารถโจมตีเพื่อรับ authentication token และสามารถใช้งาน API ของผลิตภัณฑ์ได้

VMware Carbon Black Cloud Workload appliance เวอร์ชั่น 1.0.1 และก่อนหน้านั้น คือเวอร์ชั่นที่ได้รับผลกระทบ ควรอัพเดตเป็นเวอร์ชั่น 1.0.2

ที่มา: securityaffairs, vmware

พบช่องโหว่ใน Facebook for WordPress Plugin มีการติดตั้งใช้งานไปแล้วมากกว่า 500,000 ครั้ง

ทีมนักวิจัยจาก WordFence พบช่องโหว่ของ plugin ที่รู้จักกันในชื่อว่า "Official Facebook Pixel" ส่งผลให้ผู้ไม่หวังดีสามารถเข้าถึงค่า salts และ keys โดยไม่ต้องพิสูจน์ตัวตน (unauthenticate) เพื่อนำไปใช้รันคำสั่งอันตราย (RCE) ร่วมกับเทคนิค deserialization ช่องโหว่ยังสามารถถูกใช้เพื่อ inject JavaScript เข้าไปใน setting ของ plugin หากสามารถหลอกให้เหยื่อคลิกลิงก์ได้ และได้มีการแจ้งให้ Facebook ทราบตั้งแต่ธันวาคมปีที่แล้ว และได้มีการปล่อยแพทช์แก้ไขเมื่อเดือนมกราคมที่ผ่านมา ช่องโหว่ได้รับความรุนแรงในระดับ critical และมีคะแนน 9 จาก 10 (CVE-2021-24217)

หลังจากนั้นได้มีการค้นพบช่องโหว่ที่ 2 และแจ้งไปยัง Facebook ตั้งแต่ปลายเดือนมกราคมที่ผ่านมา และได้มีการออกแพทช์เพื่อแก้ไขปัญหาไปในช่วงกลางเดือนกุมภาพันธ์ที่ผ่านมา เป็นช่องโหว่ Cross-Site Request Forgery มีความรุนแรงในระดับ high มีคะแนน 8.8 จาก 10 (CVE-2021-24218) หากโจมตีสำเร็จจะทำให้ผู้ไม่หวังดีสามารถเข้าถึงข้อมูลสำคัญบนเว็บไซต์ จากการ inject JavaScript เข้าไปในส่วน setting ของ plugin ได้

ผู้ที่มีการใช้งาน plugin ดังกล่าวควรทำการอัพเดตเป็นเวอร์ชั่น 3.0.5 เพื่อแพตช์ช่องโหว่ดังกล่าว

ที่มา: securityaffairs, wordfence