เมื่อวันที่ 6 กรกฎาคมที่ผ่านมา โฆษกของโรงแรม Marriott ได้รายงานว่าถูกแฮ็กเกอร์ขโมยข้อมูลออกไปเป็นจำนวนกว่า 20GB โดยอ้างว่าเป็นข้อมูลของโรงแรม BWI Airport Marriott เพียงแห่งเดียว ไม่รวมข้อมูลของสาขาหลัก และสาขาอื่น นอกจากนี้ยังยืนยันว่าแฮ็กเกอร์สามารถเข้าถึงเครือข่ายได้เพียงระยะเวลาสั้นๆเท่านั้น

สาเหตุทั้งหมดเกิดจากแฮ็กเกอร์ใช้วิธีการ Social Engineering เพื่อหลอกพนักงานคนหนึ่งเพื่อเข้าถึงคอมพิวเตอร์ของพนักงานได้เป็นเวลา 6 ชั่วโมง ทำให้ได้ข้อมูลประจำตัวของบุคคลออกไปประมาณ 300-400 ราย ซึ่งรายละเอียดของข้อมูลทางโรงแรมยังไม่ได้ประกาศว่าเป็นข้อมูลของพนักงาน หรือของลูกค้า แต่ระบุว่ามีข้อมูลของธุรกิจภายใน รวมไปถึงข้อมูลบัตรเครดิตบางส่วน

โดยแฮ็กเกอร์พยายามเรียกค่าไถ่เพื่อแลกกับไฟล์ที่ถูกขโมยออกมา แต่ทาง Marriott ยังไม่มีการจ่ายเงิน หรือตอบรับการสื่อสารใดๆกับแฮ็กเกอร์ แต่ได้แจ้ง FBI เพื่อทำการตรวจสอบเหตุการณ์ดังกล่าวแล้ว

BleepingComputer พบว่าเป็นครั้งที่สามแล้วที่โรงแรม Marriott ถูกโจมตีทางไซเบอร์

ครั้งแรกเกิดขึ้นในปี 2557 ตรวจพบการเข้าถึงข้อมูลโดยไม่ได้รับอนุญาต ทำให้ข้อมูลรั่วไหลกว่า 339 ล้านรายการ
ครั้งที่สอง เกิดขึ้นในปี 2561 ซึ่งพบว่าข้อมูลผู้ใช้บริการกว่า 5.3 ล้านคน ถูกขโมยออกไป มีทั้งข้อมูลชื่อ, ข้อมูลส่วนตัว, ที่อยู่, หมายเลขหนังสือเดินทาง, และข้อมูลการชำระเงินได้ถูกขโมยในเหตุการณ์ครั้งนั้น โดยไฟล์ที่โดนขโมยทั้งหมดถูกเข้ารหัสแบบ AES-128
จากเหตุการณ์ทั้งหมด ทำให้ The UK Information Commissioner's Office (ICO) ปรับเงินกับ Marriott เป็นจำนวนเงินถึง 14.4 ล้านปอนด์ (ประมาณ 24 ล้านดอลลาร์) ข้อหาละเมิดกฎระเบียบให้ความคุ้มครองข้อมูลส่วนบุคคลของผู้บริโภค (GDPR)

แนวทางการป้องกัน

Update Endpoint รวมถึงอุปกรณ์ Security ให้เป็นเวอร์ชันล่าสุดอยู่เสมอ
จำกัดสิทธิ์ในการเข้าถึงระบบต่างๆ ให้ตรงกับลักษณะงาน และการใช้งานเท่านั้น ไม่ควรให้สิทธิ์มากเกินความจำเป็น
ติดตามข่าวสารอย่างสม่ำเสมอ

ที่มา: www.

มัลแวร์ตัวใหม่ที่พึ่งถูกบนระบบปฏิบัติการ Linux กำลังถูกใช้เพื่อขโมยข้อมูลจากระบบ และแพร่กระจายไปยัง process ต่างๆที่ทำงานอยู่บนเครื่อง

นักวิจัยด้านความปลอดภัยของ Intezer Labs ซึ่งเป็นผู้ค้นพบ ตั้งชื่อมัลแวร์ว่า OrBit โดยมัลแวร์จะทำการ hijack shared libraries เพื่อดักจับการเรียกใช้ฟังก์ชัน โดยการแก้ไขตัวแปร LD_PRELOAD บนอุปกรณ์ที่ถูกโจมตี

นอกจากนี้มันยังสามารถเชื่อมโยงฟังก์ชันต่างๆ เพื่อหลบเลี่ยงการตรวจจับ, ควบคุมพฤติกรรมของ process, แอบแฝงตัวอยู่บนระบบโดยการแพร่กระจายไปยัง process ใหม่ และซ่อนพฤติกรรมการเชื่อมต่อบนเครือข่าย ตัวอย่างเช่น เมื่อมัลแวร์แฝงตัวเข้าไปใน process ที่ทำงานอยู่ มัลแวร์ OrBit สามารถเลือกที่จะแสดงผลลัพธ์ของการทำงาน เพื่อซ่อนร่องรอยของการมีอยู่ของมันไม่ให้ถูกพบบน Log

Nicole Fishbein นักวิจัยด้านความปลอดภัยของ Intezer Labs อธิบายว่า "มัลแวร์ใช้เทคนิคการหลีกเลี่ยงการตรวจจับขั้นสูง ทำให้มันสามารถแอบแฝงตัวอยู่บนระบบได้ และทำให้ผู้โจมตีสามารถเข้าถึงเครื่องเหยื่อด้วยการ Remote ผ่าน SSH เพื่อค้นหาข้อมูล credentials บนระบบ"

"เมื่อมัลแวร์ถูกติดตั้งแล้ว มันจะแพร่กระจายไปยัง process ต่างๆที่กำลังทำงานอยู่บนเครื่องทั้งหมด รวมถึง process ใหม่ๆที่จะถูกใช้งานในภายหลังด้วย"

แม้ว่าในช่วงแรกส่วนประกอบของ dropper และ payload ของ OrBit จะยังไม่ถูกตรวจจับได้โดย Antivirus engine แต่ในปัจจุบันผู้ให้บริการ Antivirus หลายรายก็เริ่มอัปเดต และแจ้งเตือนผู้ใช้งานเมื่อมีการตรวจพบ OrBit ได้แล้ว

OrBit ไม่ใช่มัลแวร์บน Linux ที่มีความสามารถในการหลีกเลี่ยงการตรวจจับตัวแรกที่ถูกตรวจพบ โดยก่อนหน้านี้มัลแวร์ Symbiote ที่ใช้คำสั่ง LD_PRELOAD เพื่อโหลดตัวเองเข้าสู่ process ต่างๆที่กำลังทำงานอยู่บนเครื่อง และไม่ทิ้งร่องรอยของการทำงานของมันไว้ และ BPFDoor มัลแวร์อีกตัวหนึ่งที่ตรวจพบเมื่อเร็ว ๆ นี้ที่ปลอมตัวโดยใช้ชื่อของ Linux daemons ทั่วๆไป ซึ่งก็ช่วยทำให้มันไม่เคยถูกตรวจจับได้มานานกว่าห้าปี

มัลแวร์ทั้งสองตัวนี้ใช้ฟังก์ชัน BPF (Berkeley Packet Filter) เพื่อตรวจสอบ และจัดการการรับส่งข้อมูลบนเครือข่าย ซึ่งช่วยซ่อนช่องทางการสื่อสารจากการตรวจจับโดยอุปกรณ์ด้านความปลอดภัย

มัลแวร์ Linux อีกตัวซึ่งเป็น rootkit ภายใต้การพัฒนาในชื่อ Syslogk และถูกเปิดเผยโดยนักวิจัยของ Avast เมื่อเดือนที่แล้ว ก็สามารถบังคับโหลดโมดูลของตัวเองลงใน Linux kernel, เปิด backdoor บนเครื่องเหยื่อ และซ่อน directory และการเชื่อมต่อบนเครือข่ายเพื่อหลบเลี่ยงการตรวจจับได้

แม้ว่าจะไม่ใช่มัลแวร์ตัวแรกๆที่มุ่งเป้าไปที่ Linux แต่ OrBit ก็ถือว่ามาพร้อมกับความสามารถที่แตกต่างจากมัลแวร์ตัวอื่น ๆ เนื่องจากมันสามารถขโมยข้อมูลจากขโมยข้อมูลจากคำสั่ง และยูทิลิตี้ต่างๆ และจัดเก็บไว้ในไฟล์เฉพาะที่ถูกสร้างขึ้นบนเครื่อง นอกจากนี้ยังมีการใช้ไฟล์จำนวนมากเพื่อจัดเก็บข้อมูล ซึ่งเป็นสิ่งที่ไม่เคยเห็นมาก่อนในมัลแวร์ตัวอื่นๆ" Fishbein กล่าวเสริม

อีกสิ่งที่ทำให้มัลแวร์ตัวนี้มีความน่าสนใจเป็นพิเศษก็คือการเชื่อมต่อกับไลบรารี่บนเครื่องของเหยื่อจำนวนมาก ซึ่งทำให้มันสามารถแอบแฝงตัว และหลบเลี่ยงการตรวจจับในขณะที่กำลังขโมยข้อมูล และตั้งค่า SSH backdoor

ที่มา: www.

ทีมวิจัยจาก Orca Security พบช่องโหว่ร้ายแรงใน AWS Glue service ทำให้ผู้โจมตีสามารถสร้าง resource และเข้าถึง AWS Glue ของผู้ใช้รายอื่นได้ โดยขั้นตอนการโจมตีค่อนข้างชับซ้อน แต่ว่ามีความเป็นไปได้ เนื่องจาก internal misconfiguration บางอย่างในตัว AWS Glue
AWS Glue คือ serverless data integration service (Extract, transform, load) ซึ่งช่วยทำให้การ discover, prepare, และ combine ข้อมูลสำหรับการทำ analytics หรือ machine learning

โดยนักวิจัยพบว่า feature หนึ่งตัวใน AWS Glue มีช่องโหว่ที่สามารถดึง role credentials ภายในของ AWS Glue service account ชึ่งมีสิทธ์ full access ไปที่ internal service API ได้ และ misconfiguration บางอย่างใน Glue internal service API ก็ทำให้นักวิจัยสามารถยกระดับสิทธิ์เป็น full administrative ได้
นักวิจัยสามารถเข้าถึง AWS Glue ของผู้ใช้งานรายอื่นโดยการ Assume Role ไปที่ AWSGlueServiceRoleDefault ที่จะมีอยู่ในทุก account ที่มีการใช้งาน AWS Glue service และยังสามารถ Query และแก้ไข AWS Glue resources ได้อีกด้วย

Account ที่ใช้ทดสอบช่องโหว่ทั้งหมดเป็นของ Orca security เองโดย Orca security ยื่นยันว่าไม่ได้มีการเข้าถึงข้อมูลของลูกค้าที่ใช้งาน AWS Glue
AWS team response

ทาง AWS ได้ทำการรีวิวช่องโหว่ และทำการแก้ไขเรียบร้อยแล้วโดยที่ผู้ใช้งานไม่ต้องดำเนินการใดๆด้วยตนเอง และ AWS ยังทำการวิเคราะห์ log ของ AWS Glue service เพือยืนยันว่าไม่มีผู้ใช้งานรายใดได้รับผลกระทบจากช่องโหว่นี้

ที่มา:
orca.