Ukraine CERT-UA warns of new attacks launched by Russia-linked Armageddon APT

CERT-UA ของยูเครน เตือนถึงการโจมตีครั้งใหม่โดย Armageddon APT. ที่เชื่อมโยงกับรัสเซีย

Ukraine Computer Emergency Response Team (CERT-UA) ได้รายงาน phishing campaign ที่ใช้ข้อความโดยมี subject ชื่อ “On revenge in Kherson!” และมีไฟล์แนบ "Plan Kherson.

Hackers are now hiding malware in Windows Event Logs

แฮ็กเกอร์ใช้วิธีการซ่อนมัลแวร์ใน Windows Event Logs

นักวิจัยด้านความปลอดภัยได้ตรวจพบแคมเปญการโจมตีซึ่งใช้ Windows event logs เพื่อจัดเก็บมัลแวร์ ซึ่งเป็นเทคนิคที่ไม่เคยถูกใช้ในการโจมตีมาก่อน โดยวิธีการนี้ทำให้ผู้โจมตีสามารถวาง fileless มัลแวร์ บน file system ได้ ซึ่งวิธีการนี้จะประกอบไปด้วยเทคนิค และโมดูลที่ออกแบบมาเพื่อหลบเลี่ยงการตรวจจับเป็นจำนวนมาก

การเพิ่ม Payload ไปยัง Windows event logs

นักวิจัยจาก Kaspersky ได้รวบรวมตัวอย่างมัลแวร์ที่สามารถตรวจจับได้ และถูกระบุว่าเป็นภัยคุกคามบนคอมพิวเตอร์ของผู้ใช้งาน จากการตรวจสอบพบว่ามัลแวร์เป็นส่วนหนึ่งของแคมเปญ “very targeted” และมีการใช้ชุดเครื่องมือจำนวนมากที่เป็นทั้งแบบ Custom และที่มีจำหน่ายในเชิงพาณิชย์

โดยส่วนที่น่าสนใจของการโจมตีคือการ injecting shellcode payloads เข้าไปใน Windows event logs สำหรับ Key Management Services (KMS) ซึ่งเป็นการดำเนินการโดย custom malware dropper

Denis Legezo หัวหน้านักวิจัยด้านความปลอดภัยของ Kaspersky กล่าวว่าวิธีนี้ถูกใช้เป็นครั้งแรกในแคมเปญการโจมตีจากมัลแวร์

โดยตัว Dropper จะคัดลอกไฟล์จัดการ OS error ที่ชื่อไฟล์ว่า WerFault.

แบบฟอร์มติดต่อบนเว็บไซต์ขององค์กร ถูกใช้ในการแพร่กระจายมัลแวร์ BazarBackdoor

มัลแวร์ BazarBackdoor กำลังแพร่กระจายผ่านแบบฟอร์มการติดต่อของเว็บไซต์ขององค์กร แทนที่จะเป็นการใช้อีเมลฟิชชิ่งทั่วไป เพื่อหลบเลี่ยงการตรวจจับโดยซอฟต์แวร์ และอุปกรณ์ security

BazarBackdoor เป็นมัลแวร์ที่สร้างขึ้นโดยกลุ่ม TrickBot และอยู่ระหว่างการพัฒนาโดยกลุ่ม Conti ransomware มัลแวร์นี้ช่วยให้ผู้โจมตีสามารถเข้าถึงอุปกรณ์ที่ยึดครองได้จากระยะไกล โดยมัลแวร์ BazarBackdoor มักจะแพร่กระจายผ่านอีเมลฟิชชิ่งที่มีไฟล์แนบที่เป็นอันตราย เพื่อหลอกให้ดาวน์โหลด และติดตั้งมัลแวร์

แบบฟอร์มการติดต่อถูกใช้แทนอีเมล

ในรายงานฉบับใหม่จาก Abnormal Security นักวิเคราะห์อธิบายว่าแคมเปญใหม่เริ่มต้นในเดือนธันวาคม 2564 โดยกำหนดเป้าหมายไปยังเหยื่อที่เป็นองค์กรด้วย BazarBackdoor โดยใช้ Cobalt Strike หรือ ransomware payloads

แทนที่จะส่งอีเมลฟิชชิ่งไปยังเป้าหมาย ผู้โจมตีจะใช้แบบฟอร์มการติดต่อขององค์กรก่อนเพื่อเริ่มการติดต่อ ตัวอย่างเช่น ในกรณีหนึ่ง นักวิเคราะห์ของ Abnormal พบผู้โจมตีปลอมตัวเป็นพนักงานในบริษัทก่อสร้างของแคนาดาเพื่อขอใบเสนอราคาจัดหาผลิตภัณฑ์ หลังจากที่พนักงานตอบกลับอีเมลข้างต้นแล้ว ผู้โจมตีจะทำการส่งไฟล์ ISO ที่เป็นอันตรายกลับไป

เนื่องจากการส่งไฟล์เหล่านี้โดยตรงจะถูกตรวจจับได้จากอุปกรณ์ security ซึ่งจะทําให้เกิดการแจ้งเตือนด้านความปลอดภัย ผู้โจมตีจึงใช้บริการแชร์ไฟล์เช่น TransferNow และ WeTransfer แทน ตามข้อมูลที่แสดงด้านล่าง

Hiding BazarLoader

ใน ISO ไฟล์ ประกอบไปด้วย .lnk file และ .log file ซึ่งเป็นความพยายามในการหลบเลี่ยงการตรวจจับของ Antivirus โดยการ packing ที่ payloads ไว้ในไฟล์ ISO และให้ผู้ใช้ดึงข้อมูลออกมาด้วยตนเอง

โดย .lnk file มีคำสั่งที่ใช้สำหรับการเปิด terminal window โดยใช้ Windows binaries บนเครื่อง และโหลด .log file ซึ่งที่จริงแล้วเป็น BazarBackdoor DLL

เมื่อ backdoor ถูกโหลดแล้วจะถูกซ่อนตัวอยู่ใน process svchost.

SolarWinds ออกคำเตือนการโจมตี ซึ่งมีเป้าหมายไปที่ Web Help Desk instances (WHD)

SolarWinds ออกคำเตือนเกี่ยวกับการโจมตีไปที่ instances ของ Web Help Desk (WHD) ที่เปิดให้เข้าถึงได้จากอินเทอร์เน็ต และแนะนำให้ปิดการเข้าถึงจากอินเทอร์เน็ตเพื่อเป็นการแก้ปัญหาเบื้องต้น

WHD เป็นระบบ helpdesk ticketing และ IT inventory สำหรับองค์กร ที่ออกแบบมาเพื่อช่วยให้ผู้ใช้งานบริหารจัดการงานในด้านต่างๆได้อย่างสะดวก

“ผู้ใช้งาน SolarWinds หลายราย รายงานการพยายามโจมตีจากภายนอกมาที่ instances ของ Web Help Desk 12.7.5 โดย Endpoint detection and response (EDR) ของผู้ใช้งานสามารถแจ้งเตือน และบล็อกการโจมตีได้” SolarWinds กล่าว

“เพื่อความปลอดภัย SolarWinds ขอแนะนำให้ผู้ใช้งานทั้งหมดที่มีการเปิดให้เข้าถึง Web Help Desk ได้จากอินเทอร์เน็ต ให้ปิดการเข้าถึงได้โดยตรงจากอินเทอร์เน็ตไปก่อน จนกว่าจะมีข้อมูลของการโจมตีเพิ่มเติม”

"ส่วนลูกค้าที่ไม่สามารถปิดการเชื่อมต่อของ Web Help Desk จากอินเทอร์เน็ต ขอแนะนำให้ใช้ซอฟต์แวร์ EDR และคอยเฝ้าระวังการพยายามโจมตีอย่างสม่ำเสมอ"

ช่องโหว่ของ Web Help Desk

SolarWinds ไม่ได้ให้รายละเอียดใด ๆ เกี่ยวกับเครื่องมือ หรือเทคนิคที่ใช้ในการโจมตี แต่ก็เคยมีช่องโหว่ด้านความปลอดภัยอย่างน้อยสี่ช่องโหว่ ที่พบว่าผู้โจมตีใช้โจมตีไปที่ instances WHD ได้ หากผู้ใช้งานยังไม่ได้อัพเดทแพตช์ :

Access Restriction Bypass Via Referrer Spoof - Business Logic Bypass Vulnerability (CVE-2021-32076) - Fixed in WHD 12.7.6
Enabled HTTP PUT & DELETE Methods (CVE-2021-35243) - Fixed in WHD 12.7.7 Hotfix 1
Hard-coded credentials allowing arbitrary HSQL queries execution (CVE-2021-35232) - Fixed in WHD 12.7.7 Hotfix 1
Sensitive Data Disclosure Vulnerability (CVE-2021-35251) - Fixed in WHD 12.7.8

จากรายละเอียดใน CVE-2921-35251 ผู้โจมตีสามารถใช้ประโยชน์จาก instances WHD ที่ยังไม่ได้แพตช์ เพื่อเข้าถึงข้อมูลรายละเอียดของระบบที่ติดตั้ง Web Help Desk ไว้ ซึ่งอาจจะทำให้สามารถโจมตีด้วยอีก 3 ช่องโหว่ที่เหลือได้ง่ายขึ้นอีกด้วย

ที่มา : bleepingcomputer

พบ Botnet ใหม่ บนระบบปฏิบัติการ Linux ใช้ประโยชน์จากช่องโหว่ Log4J โดยใช้ DNS Tunneling ในการติดต่อกลับไปยัง C&C Server

Botnet ที่ถูกพบเมื่อไม่นานมานี้ กำลังมุ่งเป้าไปที่ระบบปฏิบัติการ Linux โดยพยายามยึดครองเครื่องเหยื่อเพื่อสร้างเป็น Army of Bots ที่พร้อมจะขโมย sensitive info, ติดตั้ง Rootkits, สร้าง Reverse Shells, และทำหน้าที่เป็น Web Traffic Proxies

มัลแวร์ที่เพิ่งค้นพบใหม่นี้มีชื่อเรียกว่า B1txor20 โดยนักวิจัยที่ Network Security Research Lab ของ Qihoo 360(360 Netlab) ซึ่งพบว่าตัวมันมุ่งเป้าการโจมตีไปยังระบบปฏิบัติการ Linux ARM, X64 CPU

Botnet ใช้ช่องโหว่ Log4J เพื่อแพร่กระจายมัลแวร์ ซึ่งเป็น Attack Vector ที่น่าสนใจเนื่องจากมี Vendors หลายสิบรายใช้ไลบรารี Apache Log4j Logging ที่มีช่องโหว่

นักวิจัยพบ Botnet B1txor20 เป็นครั้งแรกเมื่อวันที่ 9 กุมภาพันธ์ บนระบบ Honeypot ของพวกเขา

มัลแวร์ B1txor20 เป็น Backdoor บน Linux Platform ซึ่งใช้เทคโนโลยี DNS Tunneling เพื่อสร้างช่องทางการสื่อสารกับ C2 นอกเหนือจากฟังก์ชัน Backdoor แล้ว B1txor20 ยังมีฟังก์ชันต่าง ๆ เช่น การเปิด Socket5 Proxy, การดาวน์โหลดและติดตั้ง Rootkit จากระยะไกล

DNS Tunneling ใช้เพื่อปกปิดการรับส่งข้อมูลกับ C2

สิ่งที่ทำให้มัลแวร์ B1txor20 โดดเด่นคือ การใช้ DNS tunneling สำหรับช่องทางการสื่อสารกับเซิร์ฟเวอร์ Command and Control(C2) ซึ่งเป็นเทคนิคที่เก่าแต่ยังคงเชื่อถือได้ โดยผู้ไม่หวังดีใช้ประโยชน์จากโปรโตคอล DNS เพื่อสร้าง tunnel malware และ data via DNS queries

นักวิจัยอธิบายเกี่ยวกับมัลแวร์ไว้ว่า "Bot จะส่งข้อมูลสำคัญที่ถูกขโมย เช่น ผลการดำเนินการตามคำสั่ง และข้อมูลอื่น ๆ ไปยัง C2 ในลักษณะ DNS request" หลังจากได้รับ Request แล้ว C2 จะส่ง Payload กลับไปยัง Bot เพื่อตอบกลับ DNS request ด้วยวิธีนี้ Bot และ C2 จึงสามารถสื่อสารได้โดยใช้โปรโตคอล DNS ได้

นักวิจัย 360 Netlab ยังพบ Features ที่พัฒนาแล้วจำนวนมากที่ยังไม่ได้ถูกนำไปใช้ เนื่องจาก Features บางอย่างยังไม่สมบูรณ์ เราคิดว่าผู้พัฒนามัลแวร์ B1txor20 จะยังคงปรับปรุง และเปิดใช้งาน Features ต่าง ๆ ในอนาคต

ข้อมูลเพิ่มเติม รวมถึง indicators of compromise (IOCs) และรายการคำสั่ง C2 ทั้งหมด ดูได้ที่ 360 Netlab report

การใช้ประโยชน์จากช่องโหว่ Log4J อย่างต่อเนื่องโดย Botnets

ตั้งแต่มีการเปิดเผยช่องโหว่ของ Log4J ผู้ไม่หวังดีจำนวนมากเริ่มใช้ช่องโหว่ดังกล่าวในการโจมตี รวมถึงกลุ่มที่ได้รับการสนับสนุนซึ่งมีข้อมูลเชื่อมโยงกับรัฐบาลในจีน, อิหร่าน, เกาหลีเหนือ, และตุรกี รวมถึงโดย Ransomware gangs

นักวิจัย 360 Netlab กล่าวเสริมว่า "เนื่องจากช่องโหว่ของ Log4J ถูกเปิดเผยออกมา เราจึงเห็นมัลแวร์จำนวนมากขึ้นเช่น wagon, Elknot, Gafgyt, Mirai" ตัวอย่างเช่น ในเดือนธันวาคม พบผู้ไม่หวังดีใช้ประโยชน์จากช่องโหว่ด้านความปลอดภัยของ Log4J เพื่อทำให้อุปกรณ์ Linux ที่มีช่องโหว่ ติดมัลแวร์ Mirai และมัลแวร์ Muhstik

Barracuda ยืนยันรายงานของ 360 Netlab เมื่อต้นเดือนที่ผ่านมา โดยกล่าวว่าพวกเขาพบ Payloads ต่าง ๆ ที่กำหนดเป้าหมายการโจมตีไปยัง Server ที่มีช่องโหว่ Log4j เช่นเดียวกัน

ที่มา : bleepingcomputer

Bridgestone Americas ยอมรับถึงเหตุการณ์ข้อมูลรั่วไหลจากการโจมตีโดยกลุ่ม LockBit Ransomware

Bridgestone Americas หนึ่งในผู้ผลิตล้อยางรายใหญ่ที่สุดในโลกถูกโจมตีทางไซเบอร์ ซึ่งทางกลุ่ม LockBit Ransomware ออกมาอ้างความรับผิดชอบว่าเป็นผู้โจมตี พวกเขาประกาศว่าจะเผยแพร่ข้อมูลที่ได้ขโมยมาจากบริษัทโดยตั้งเวลานับถอยหลัง ซึ่งขณะนี้เหลือเวลาอีกไม่ถึง 3 ชั่วโมง

Bridgestone มีโรงงานผลิตหลายแห่งทั่วโลก และพนักงานกว่า 130,000 คน (พนักงานประจำ และตามสัญญา) จากข้อมูลของบริษัทในปี 2020

เมื่อวันที่ 27 กุมภาพันธ์ Bridgestone เริ่มตรวจสอบ “เหตุการณ์ด้านความปลอดภัยของข้อมูล” ซึ่งตรวจพบในช่วงเช้าของวันเดียวกัน

Bridgestone กล่าวในแถลงการณ์ว่า "จากเหตุการณ์ที่เกิดขึ้น เราได้ทำการตัดการเชื่อมต่อของโรงงานผลิต และการหล่อยางหลายแห่งในละตินอเมริกา อเมริกาเหนือ ออกจากเครือข่ายของเรา เพื่อควบคุม และป้องกันผลกระทบที่อาจเกิดขึ้น"

ยังไม่มีรายละเอียดเกี่ยวกับเหตุการณ์ที่เกิดขึ้นจนกระทั่งวันนี้ กลุ่ม LockBit Ransomware ออกมาอ้างความรับผิดชอบว่าเป็นผู้โจมตี โดยมีการเพิ่ม Bridgestone Americas ลงในรายชื่อเหยื่อของพวกเขา ซึ่ง LockBit เป็นหนึ่งในกลุ่มแรนซัมแวร์ที่มีการเคลื่อนไหวมากที่สุดในปัจจุบัน โดยมุ่งเป้าไปที่องค์กรขนาดใหญ่ บางครั้งก็มีการเรียกค่าไถ่เป็นเงินหลายสิบล้านเหรียญสหรัฐ เช่นเดียวกับ Accenture

ยังไม่สามาถระบุได้ว่ามีข้อมูลใดบ้างที่ LockBit ขโมยมาจาก Bridgestone Americas หรือข้อมูลดังกล่าวจะส่งผลเสียต่อบริษัทอย่างไรบ้าง ในขณะที่การนับเวลาถอยหลังสำหรับการปล่อยข้อมูลออกสู่สาธารณะ ที่กำลังจะถึงกำหนดภายในเวลาประมาณ 3 ชั่วโมงครึ่ง

 

ในรายงานเมื่อเดือนที่แล้ว บริษัท อุตสาหกรรม Cybersecurity Dragos กล่าวว่า LockBit เป็นกลุ่ม Ransomware ที่มีการกำหนดเป้าหมายเป็นภาคอุตสาหกรรมด้วยการโจมตีมากถึง 103 ครั้ง ตามมาด้วยกลุ่ม Conti 63 ครั้งในรอบปีที่ผ่านมา

ในต้นเดือนกุมภาพันธ์ ทาง FBI ได้ให้รายละเอียดทางเทคนิคในการแสดงหน้าต่าง debug ที่ซ่อนอยู่ของกลุ่ม LockBit เพื่อให้เห็นสถานะการ encrypt ข้อมูลแบบเรียลไทม์

ในช่วงแรก BleepingComputer ได้ติดต่อไปยังบริษัท Bridgestone Americas เพื่อขอคำชี้แจงเกี่ยวกับเหตุการณ์ที่เกิดขึ้น แต่ในเวลานั้นก็ยังไม่ได้รับการตอบกลับ

ต่อมาเมื่อวันที่ 11 มีนาคม, 16:36 น. Bridgestone Americas ตอบกลับคำขอความคิดเห็นจาก BleepingComputer โดยระบุว่ากำลังทำงานร่วมกับ Accenture Security "เพื่อตรวจสอบการโจมตีที่เกิดขึ้น และรายละเอียดของเหตุการณ์ทั้งหมด ซึ่งกำลังวิเคราะห์เพื่อระบุข้อมูลที่ถูกขโมยไป"

ข้อความเต็มด้านล่าง :
เมื่อวันที่ 27 กุมภาพันธ์ พ.ศ. 2565 บริษัท Bridgestone Americas ตรวจพบเหตุการณ์การโจมตี จากนั้นเราได้แจ้งหน่วยงานบังคับใช้กฎหมายของรัฐบาลกลาง และเรายังทำงานกับที่ปรึกษาด้านความปลอดภัยภายนอกองค์กร Accenture Security เพื่อตรวจสอบการโจมตีที่เกิดขึ้น และรายละเอียดของเหตุการณ์ทั้งหมด เบื้องต้นเหตุการณ์นี้เป็นผลมาจากการโจมตีของแรนซัมแวร์ ซึ่งการโจมตีของแรนซัมแวร์นี้ ส่งผลกระทบต่อองค์กรหลายพันแห่งในลักษณะเดียวกัน

ในการสืบสวน ได้พบว่าผู้โจมตีได้มีการนำข้อมูลออกจากระบบของ Bridgestone จำนวนหนึ่ง และข่มขู่ที่จะเปิดเผยข้อมูลต่อสาธารณะ เรามีความมุ่งมั่นที่จะดำเนินการตรวจสอบให้เร็วที่สุดเท่าที่เป็นไปได้จากข้อมูลแวดล้อมที่มี Bridgestone ดำเนินการด้านความปลอดภัยของข้อมูลให้กับลูกค้า และพันธมิตรด้วยความสำคัญสูงสุด จะทำการติดต่อ และแจ้งให้ทราบ เพื่อลดอันตรายที่อาจเกิดขึ้นจากเหตุการณ์นี้ และเพื่อปรับปรุงมาตรการรักษาความปลอดภัยทางไซเบอร์ตามคำแนะนำของที่ปรึกษาด้านความปลอดภัยทั้งภายใน และภายนอก

ที่มา : bleepingcomputer

Microsoft วางแผนที่จะกำจัดมัลแวร์ที่ส่งผ่าน Macros ของ Office

Microsoft ประกาศว่า จะทำให้การเปิดใช้งาน VBA Macros ใน Microsoft Office ได้ยากขึ้น VBA Macros เป็นฟีเจอร์ที่มีประโยชน์สำหรับผู้ใช้งาน แต่ก็เป็นจุดอ่อนที่แฮกเกอร์ใช้เป็นช่องทางในการแพร่กระจาย Malware จึงจำเป็นที่ต้องกำจัดจุดอ่อนนี้เพื่อความปลอดภัยของผู้ใช้งานโดยจะเริ่มต้นในช่วงเดือนเมษายนนี้

การใช้ VBA Macros ที่มีอยู่ในเอกสาร Office เป็นวิธีที่นิยมอย่างมากในการแพร่กระจาย malware ที่เป็นอันตราย และการโจมตีแบบฟิชชิ่งจากมัลแวร์ต่างๆเช่น Emotet , TrickBot , Qbot และ Dridex อีกด้วย

“โดยการจัดการในครั้งนี้มีผลเฉพาะกับ Office บนอุปกรณ์ที่ใช้ Windows และแอปพลิเคชันต่อไปนี้เท่านั้น: Access, Excel, PowerPoint, Visio และ Word" Microsoft Office Product Group ได้กล่าวไว้

Microsoft จะเริ่มจัดการฟีเจอร์ Macros ในเวอร์ชัน 2023 ของ Microsoft 365 ซึ่งคาดว่าจะมีผลในต้นเดือนเมษายน 2022

หลังจากตัดสินใจบล็อคฟีเจอร์ Macros แล้ว ผู้ใช้ Office จะไม่สามารถเปิดใช้งาน Macors ได้อีก เพื่อเป็นการหยุดการแพร่กระจายของ Malware บนเครือข่ายโดยอัตโนมัติเมื่อเปิด Office docs ที่อันตราย รวมถึงโทรจันที่พยายามขโมยข้อมูลต่างๆ และเครื่องมือที่เป็นอันตรายที่ใช้โดยแก๊งแรนซัมแวร์

ณ ปัจจุบัน จนกว่าการบล็อกจะมีผลบังคับใช้ ถ้ามีการเปิดเอกสาร จะมีการตรวจสอบว่ามันถูกแท็กด้วย " Mark of the Web " (MoTW) หรือไม่ ซึ่งจะหมายความว่าไฟล์นั้นได้ถูกดาวน์โหลดมาจากอินเทอร์เน็ต

หากพบแท็ก " Mark of the Web " Microsoft จะเปิดเอกสารในโหมดอ่านอย่างเดียว บล็อกการใช้งานเว้นแต่ผู้ใช้จะคลิกที่ปุ่ม ' Enable Editing ' หรือ ' Enable Content ' ที่แสดงที่ด้านบนของเอกสาร

ดังนั้นการลบปุ่มเหล่านี้ออก บล็อกมาโครจากแหล่งที่ไม่น่าเชื่อถือโดยค่าเริ่มต้น เอกสารที่เป็นอันตรายส่วนใหญ่จะไม่สามารถทำงานได้ ซึ่งเป็นการหยุดการแพร่กระจายของมัลแวร์โดยแฮกเกอร์ที่ใช้ช่องโหว่นี้

จากข้อมูลของ Microsoft การปรับปรุงความปลอดภัยที่สำคัญนี้จะเผยแพร่ไปยังช่องทางการอัปเดต Office อื่นๆ เช่น Current Channel, Monthly Enterprise Channel, and Semi-Annual ในภายหลัง

และจะมีการอัปเดตการเปลี่ยนแปลงนี้ให้กับผู้ใช้ Office LTSC, Office 2021, Office 2019, Office 2016 และ Office 2013 ในอนาคต

“เราจะยังคงปรับปรุงการใช้งาน macro สำหรับผู้ใช้งานของเราอย่างต่อเนื่อง ทั้งนี้เพื่อทำให้ยากขึ้นที่จะหลอกให้ผู้ใช้เรียกใช้โค้ดที่เป็นอันตรายผ่าน social engineering ในขณะที่การใช้มาโครที่ถูกต้อง ยังสามารถเปิดใช้งานได้ตามความเหมาะสมผ่าน Publisher ที่เชื่อถือได้ และ/หรือ Location ที่เชื่อถือได้” Tristan Davis จาก Microsoft กล่าว

ถึงกระนั้นหลังจากที่ Office อัปเดตเปิดตัว และบล็อกฟีเจอร์ Macros ในเอกสารที่ดาวน์โหลดจากอินเทอร์เน็ต แต่เราจะยังคงสามารถเปิดใช้งานได้โดยไปที่ properties ของเอกสารและเลือกปุ่ม " Unlock " ที่ด้านล่างขวา

เมื่อเดือนที่แล้ว Microsoft ยังกล่าวด้วยว่า มาโคร Excel 4.0 (XLM) จะถูกปิดใช้งาน เพื่อป้องกันลูกค้าจากเอกสารอันตรายที่ออกแบบมาเพื่อติดตั้งมัลแวร์

การเปลี่ยนแปลงดังกล่าวได้รับการประกาศครั้งแรกในเดือนตุลาคมเมื่อ Microsoft เปิดเผยครั้งแรกว่า จะปิดการใช้งานมาโคร XLM ทั้งหมด หากผู้ใช้หรือผู้ดูแลระบบไม่ได้เปิดหรือปิดฟีเจอร์ด้วยตนเอง

ที่มา : bleepingcomputer

พบช่องโหว่ร้ายแรงบนปลั๊กอิน Elementor ใน WordPress ซึ่งมีผู้ติดตั้งแล้วกว่าหนึ่งล้านครั้ง

พบปลั้กอิน WordPress ที่มีการติดตั้งมากกว่าหนึ่งล้านครั้งมีช่องโหว่ที่ร้ายแรง อาจส่งให้ผลให้ผู้โจมตีสามารถสั่งรันโค้ดที่เป็นอันตรายบนเว็ปไซต์ได้

ปลั๊กอินที่เป็นปัญหาคือ Essential Addons เป็นปลั๊กอินส่วนเสริมของ Elementor ที่มีไลบรารี่ และ extension มากกว่า 80 รายการที่ช่วยในการออกแบบปรับแต่ง pages และ posts

Patchstack กล่าวในรายงานว่า "ช่องโหว่นี้สามารถเข้าถึงไฟล์ เช่น /etc/password โดยไม่สนการตรวจสอบสิทธิ์ หรือการอนุญาตการใช้งาน และวางไฟล์ที่อันตรายอย่าง PHP บนเว็บไซต์ จากนั้นจะทำการสั่งรันโค้ดที่เป็นอันตรายจากระยะไกลได้ (RCE)"

ช่องโหว่นี้จะเกิดขึ้นได้ก็ต่อเมื่อมีการใช้งาน widgets อย่าง dynamic gallery และ product gallery

ช่องโหว่นี้ส่งผลกระทบตั้งแต่เวอร์ชัน 5.0.4 รวมถึงเวอร์ชันก่อนหน้านี้ โดยช่องโหว่นี้ถูกค้นพบโดยนักวิจัย Wai Yan Myo Thet และช่องโหว่นี้ได้ถูกแก้ไขแล้วในเวอร์ชัน 5.0.5 ที่ปล่อยมาในวันที่ 28 มกราคม หลังจากไม่สามารถแก้ไขได้ในเวอร์ชันก่อนหน้านี้

การออกอัพเดทนี้เกิดขึ้นหลายสัปดาห์หลังจากที่มีผู้ใช้งานไม่ทราบชื่อทำการดัดแปลงธีม และปลั๊กอินของ WordPress หลายรายการที่โฮสต์บนเว็บไซต์ของนักพัฒนาเพื่อแทรกโค้ดที่อันตรายเข้าสู่ระบบหลังบ้าน (inject a backdoor) โดยมีเป้าหมายที่จะโจมตีต่อไปยังเว็บไซต์อื่นๆ

ที่มา : thehackernews

พบช่องโหว่ด้านความปลอดภัยจำนวนมากบน UEFI Firmware ที่ใช้ในอุปกรณ์จาก Vendor ต่างๆหลายราย

มีรายงานการค้นพบช่องโหว่ด้านความปลอดภัยที่มีระดับความรุนแรงสูงใหม่มากถึง 23 รายการ ในการใช้งานที่แตกต่างกันของ UEFI firmware ซึ่งถูกใช้งานจาก Vendor จำนวนมาก รวมไปถึง Bull atos, Fujitsu, HP, Juniper Networks, Lenovo, และ Vendor อื่น ๆ อีกมากมาย

ช่องโหว่ดังกล่าวเกิดขึ้นภายใน InsydeH2O UEFI ของ Insyde Software ตามข้อมูลของบริษัทรักษาความปลอดภัย Binarly โดยความผิดปกติส่วนใหญ่ที่พบอยู่ในโหมดของการจัดการระบบ System Management Mode (SMM)

UEFI เป็นซอฟต์แวร์ Specification ที่ช่วยให้อินเทอร์เฟซของโปรแกรมสามารถเชื่อมต่อระหว่างเฟิร์มแวร์ของคอมพิวเตอร์กับระบบปฏิบัติการในระหว่างกระบวนการบูต โดยในระบบ x86 firmware UEFI มักจะถูกเก็บไว้ในชิปหน่วยความจำแฟลชของเมนบอร์ด

"โดยการใช้ช่องโหว่เหล่านี้ ผู้โจมตีสามารถติดตั้งมัลแวร์ที่แม้จะมีการติดตั้งระบบปฏิบัติการใหม่ก็สามารถยังทำงานอยู่ได้ และทำให้สามารถ Bypass โซลูชั่นความปลอดภัยจำพวก Endpoint(EDR/AV), Secure Boot, และ Virtualization-Based Security isolation ได้อีกด้วย" นักวิจัยกล่าว

การใช้ประโยชน์จากช่องโหว่ (CVSS scores: 7.5 - 8.2) อาจทำให้ผู้ไม่หวังดีเรียกใช้โค้ดด้วยสิทธิ์ SMM ซึ่งเป็นโหมดการดำเนินการพิเศษใน x86-based processors ที่จัดการด้าน power management, hardware configuration, thermal monitoring, และฟังก์ชั่นอื่น ๆ

"SMM ทำงานในระดับสิทธิ์สูงสุด และไม่ปรากฏบน OS ซึ่งทำให้เป็นเป้าหมายที่น่าสนใจสำหรับใช้ในการโจมตี" Microsoft ระบุในเอกสารประกอบว่า การเพิ่มช่องทางการโจมตีด้วยช่องโหว่ SMM อาจถูกนำไปใช้ร่วมกันในการโจมตีลักษณะอื่นๆได้

ที่แย่ไปกว่านั้น ผู้โจมตียังสามารถใช้ช่องโหว่ต่างๆร่วมกันเพื่อ bypass security features และติดตั้งมัลแวร์ ในลักษณะที่สามารถคงอยู่ได้หลังจากการติดตั้งระบบปฏิบัติการใหม่ และคงอยู่ในระยะยาวบนระบบที่ถูกบุกรุกได้สำเร็จ จากข้อสังเกตในกรณีของ MoonBounce มีการแอบสร้างช่องทางการเชื่อมต่อออกไปภายนอกเพื่อขโมยข้อมูลที่มีความสำคัญออกไปด้วย

Insyde ได้เปิดตัวแพตช์ firmware ที่แก้ไขช่องโหว่เหล่านี้ แต่ความจริงที่ว่าซอฟต์แวร์นี้ถูกใช้ในการใช้งาน OEM หลายตัว หมายความว่าอาจต้องใช้เวลาพอสมควรก่อนที่การแก้ไขจะทะยอยลงไปยังอุปกรณ์ที่ได้รับผลกระทบ

ที่มา : thehackernews

NFT มูลค่ากว่า 1.7 ล้านดอลลาร์ ถูกขโมยจากผู้ใช้งาน OpenSea ผ่านการโจมตีแบบ Phishing

ในวันเสาร์ที่ผ่านมา พบผู้โจมตีได้ทำการขโมย NFT หลายร้อยชิ้น จากผู้ใช้งาน OpenSea จนก่อให้เกิดความแตกตื่นกับผู้ใช้งานเว็บไซต์

Spreadsheet ที่รวบรวมโดย PeckShield บริษัทให้บริการรักษาความปลอดภัยบน Blockchain แสดงจำนวน NFT ที่ถูกขโมยจากการโจมตีนี้ว่ามีทั้งหมด 254 ชิ้น ซึ่งรวมถึง NFT จาก Decentraland และ Bored Ape Yacht Club ด้วย

การโจมตีจำนวนมากเกิดขึ้นเมื่อวันเสาร์ เวลา 5PM ถึง 8PM Eastern Time (วันอาทิตย์ 5 นาฬิกา ถึง 8 นาฬิกา เวลาไทย) โดยมีเป้าหมายเป็นผู้ใช้งานทั้งหมด 32 บัญชี

Molly White เจ้าของบล็อก web3isgoinggreat.