การโจมตีแบบ Cross-cache รูปแบบใหม่ใน Linux Kernel ที่ชื่อว่า SLUBStick ประสบความสำเร็จถึง 99% ในการแปลงช่องโหว่ของ heap memory ให้เป็นความสามารถในการอ่าน และเขียน memory ได้ตามที่ต้องการ ซึ่งทำให้นักวิจัยสามารถเพิ่มสิทธิ์ หรือ escape containers ได้

การค้นพบนี้มาจากทีมวิจัยจากมหาวิทยาลัยเทคโนโลยีเกรซ (Graz University of Technology) ที่แสดงให้เห็นการโจมตีบนเวอร์ชันของ Linux Kernel 5.9 และ 6.2 (ล่าสุด) โดยใช้ CVE ที่มีอยู่ 9 ตัวในทั้งระบบ 32-bit และ 64-bit

นอกจากนี้ การโจมตีนี้ยังส่งผลกระทบกับการป้องกันของ Kernel แบบใหม่ทั้งหมด เช่น Supervisor Mode Execution Prevention (SMEP), Supervisor Mode Access Prevention (SMAP) และ Kernel Address Space Layout Randomization (KASLR) ที่เปิดใช้งานอยู่

SLUBStick จะถูกนำเสนอโดยละเอียดในการประชุม Usenix Security Symposium ที่จะจัดขึ้นในเดือนนี้ โดยนักวิจัยจะสาธิตการเพิ่มสิทธิ์ และการ escape containers ใน Linux รุ่นล่าสุด และมีการเปิดใช้งานการป้องกันล่าสุดเช่นกัน

ในระหว่างนี้ เอกสารทางเทคนิคที่เผยแพร่จะมีรายละเอียดทั้งหมดเกี่ยวกับการโจมตี และสถานการณ์การใช้ประโยชน์จากช่องโหว่ที่เป็นไปได้

รายละเอียดของ SLUBStick

วิธีหนึ่งที่ Linux Kernel จัดการกับหน่วยความจำอย่างมีประสิทธิภาพ และปลอดภัย คือการจัดสรร และยกเลิกการจัดสรรหน่วยความจำที่เรียกว่า "slabs" สำหรับโครงสร้างข้อมูลที่แตกต่างกัน

ช่องโหว่ในกระบวนการจัดการหน่วยความจำนี้ อาจทำให้ผู้โจมตีสามารถสร้างความเสียหาย หรือจัดการโครงสร้างข้อมูลได้ ซึ่งเรียกว่า "cross-cache attacks" อย่างไรก็ตามการโจมตีเหล่านี้มีประสิทธิภาพประมาณ 40% และมักจะทำให้ระบบล่มในที่สุด

SLUBStick ใช้ประโยชน์จากช่องโหว่ของ heap memory เช่น การจัดสรรหน่วยความจำแบบ Double-free, user-after-free หรือ out-of-bounds write เพื่อควบคุมกระบวนการจัดสรรหน่วยความจำ

CVEs ที่ถูกนำมาใช้ในการทดลองของนักวิจัย

จากนั้นจะมีการใช้ timing side channel เพื่อกำหนดช่วงเวลาที่แน่นอนของการจัดสรร/ยกเลิกการจัดสรรหน่วยความจำ ซึ่งช่วยให้ผู้โจมตีสามารถคาดการณ์ และควบคุมการใช้หน่วยความจำใหม่ได้

การใช้ข้อมูลด้านเวลาเหล่านี้ เพิ่มความสำเร็จในการใช้ประโยชน์จากช่องโหว่สูงถึง 99% ทำให้ SLUBStick เป็นเครื่องมือที่ใช้ในการโจมตีได้จริง

อัตราความสำเร็จที่วัดได้

การแปลงช่องโหว่ของ heap เป็นพฤติกรรมการอ่าน และเขียนหน่วยความจำ ทำได้ในสามขั้นตอน:

ยกเลิกการจัดสรรหน่วยความจำเฉพาะ และรอให้ Kernel นำกลับมาใช้ใหม่
จัดสรรหน่วยความจำเหล่านี้ใหม่ในลักษณะที่ควบคุมได้ เพื่อให้แน่ใจว่ามันถูกนำไปใช้ใหม่สำหรับโครงสร้างข้อมูลที่สำคัญ เช่น page table
เมื่อเรียกคืนได้แล้ว ผู้โจมตีจะเขียนทับรายการ page table ทำให้สามารถอ่าน และเขียนตำแหน่งหน่วยความจำใด ๆ ได้

ภาพรวมของ SLUBStick

ผลกระทบที่เกิดขึ้น

เช่นเดียวกับการโจมตีที่เกี่ยวข้องกับ Side Channel ส่วนใหญ่ SLUBStick ต้องการการเข้าถึงภายในเครื่องเป้าหมายที่มีความสามารถในการ Run Code นอกจากนี้การโจมตียังต้องการช่องโหว่ของ Heap ใน Linux Kernel ซึ่งจะถูกใช้เพื่อให้สามารถเข้าถึงการอ่าน และเขียนหน่วยความจำได้

แม้ว่าอาจทำให้การโจมตีดูทำได้ค่อนข้างยาก แต่ก็มีประโยชน์บางอย่างสำหรับผู้โจมตี

สำหรับผู้โจมตีที่มีความสามารถในการ Run Code ได้ SLUBStick ยังให้ความสามารถในการเพิ่มสิทธิ์, การข้ามการป้องกันของ Kernel, container escape หรือใช้มันเป็นส่วนหนึ่งของการโจมตีที่ซับซ้อนอื่น ๆ ได้

การเพิ่มสิทธิ์สามารถใช้เพื่อเพิ่มสิทธิ์เป็น root อนุญาตให้ดำเนินการได้อย่างไม่จำกัด ในขณะที่การ escape container สามารถใช้เพื่อ break ระบบในลักษณะ sandboxed และเข้าถึงโฮสต์ได้

นอกจากนี้ ในระยะหลังการใช้ประโยชน์ในลักษณะ SLUBStick อาจเปลี่ยนแปลงโครงสร้างของ Kernel เพื่อแฝงตัวอยู่บนระบบ ทำให้การตรวจจับมัลแวร์ทำได้ยากขึ้น

การดัดแปลงข้อมูล '/etc/passwd'

ผู้ที่ต้องการศึกษาเพิ่มเติมเกี่ยวกับ SLUBStick และทดลองใช้การโจมตีที่ใช้โดยนักวิจัยจากมหาวิทยาลัยเกรซสามารถค้นหาได้ในที่ GitHub ของนักวิจัย

ที่มา : bleepingcomputer

SolarWinds แก้ไขช่องโหว่ระดับ Critical 8 รายการในซอฟต์แวร์ Access Rights Manager (ARM)

SolarWinds ได้ทำการแก้ไขช่องโหว่ระดับ Critical 8 รายการในซอฟต์แวร์ Access Rights Manager (ARM) โดยที่ 6 จาก 8 ช่องโหว่ทำให้ผู้โจมตีสามารถเรียกใช้โค้ดที่เป็นอันตรายจากระยะไกล (RCE) บนอุปกรณ์ของเป้าหมายได้

(more…)

ความเชี่ยวชาญด้าน Cloud Security, PowerShell กำลังจะกลายเป็นทักษะสำคัญของนักวิเคราะห์ความปลอดภัยทางไซเบอร์

นักวิเคราะห์ความปลอดภัยทางไซเบอร์ควรจะมีทักษะในหลาย ๆ ด้าน เช่น ทักษะการรับมือ และตอบสนองต่อภัยคุกคามทางไซเบอร์ (Incident handling and response), ทักษะการตรวจจับภัยคุกคามเชิงรุก (Threat hunting), ทักษะการจัดเก็บรวบรวม และวิเคราะห์หลักฐานทางดิจิตอล (Digital forensics), ทักษะการใช้งานภาษาคอมพิวเตอร์ทั้ง Python และ Bash scripting

(more…)

ช่องโหว่ใน Cisco SSM On-Prem ทำให้ Hacker สามารถเปลี่ยนรหัสผ่านของผู้ใช้ได้

Cisco ออกแพตซ์แก้ไขช่องโหว่ระดับ Critical ซึ่งทำให้ Hacker สามารถเปลี่ยนรหัสผ่านของผู้ใช้บน Cisco Smart Software Manager On-Prem (Cisco SSM On-Prem) license servers ที่มีช่องโหว่ รวมถึงรหัสผ่านของผู้ดูแลระบบ

(more…)

กลุ่มแฮ็กเกอร์ CRYSTALRAY โจมตีเหยื่อกว่า 1,500 รายโดยใช้ Network Mapping Tool

กลุ่มแฮ็กเกอร์ที่เคยถูกพบว่าใช้ network mapping tool แบบ open-source ได้ขยายการโจมตีจนมีผู้ตกเป็นเหยื่อมากกว่า 1,500 ราย

(more…)

AT&T ยืนยันเหตุการณ์ข้อมูลรั่วไหลที่ส่งผลกระทบต่อลูกค้าบริการไร้สายเกือบทั้งหมด

ผู้ให้บริการโทรคมนาคมของอเมริกา AT&T ยืนยันว่ากลุ่มแฮ็กเกอร์สามารถเข้าถึงข้อมูลของลูกค้าที่ใช้เครือข่ายแบบไร้สายได้เกือบทั้งหมดของบริษัท รวมถึงลูกค้าของผู้ให้บริการ mobile virtual network operators (MVNO) ที่ใช้เครือข่ายไร้สายของ AT&T

(more…)

รายงานการวิเคราะห์ Jellyfish Loader ตัวใหม่

นักวิจัยจาก CRIL พบไฟล์ ZIP ที่ถูกอัปโหลดมาจากประเทศโปแลนด์ โดยภายในไฟล์นี้มีไฟล์ Windows shortcut (.lnk) ซึ่งเมื่อเรียกใช้งานไฟล์ .lnk จะเปิดไฟล์ PDF ที่ไม่มีอะไรผิดปกติ จากนั้นจะดาวน์โหลด และเรียกใช้งาน shellcode loader ตัวใหม่ที่สร้างด้วย .NET ชื่อว่า JellyfishLoader

(more…)

ในโพสต์บน Telegram เมื่อวันที่ 23 มิถุนายน 2024 กลุ่ม Hacktivist "People’s Cyber Army" และ "HackNeT" ได้แชร์ภาพหน้าจอที่อ้างว่ามีการโจมตี DDoS บนเว็บไซต์หลายแห่งในประเทศฝรั่งเศส และภาพหน้าจอของเว็บไซต์ตรวจสอบการหยุดทำงานของโดเมน 'check-host.

กลุ่มแฮ็กเกอร์ MuddyWatter ที่ได้รับการสนับสนุนโดยประเทศอิหร่าน ได้ปรับเปลี่ยนบางส่วนของการโจมตีมาใช้มัลแวร์ตัวใหม่ที่สร้างขึ้นเองโดยเฉพาะ เพื่อโจรกรรมข้อมูล และรันคำสั่งบนระบบของเครื่องที่ถูกโจมตี

Backdoor ตัวใหม่ที่ชื่อว่า BugSleep กำลังถูกพัฒนาอย่างต่อเนื่อง และถูกค้นพบโดยนักวิเคราะห์ของ CheckPoint ขณะที่มัลแวร์กำลังแพร่กระจายผ่านทางฟิชชิ่งที่ถูกออกแบบมาเป็นอย่างดี

แคมเปญนี้ดำเนินการโดยแพร่กระจายมัลแวร์ผ่านทางอีเมล โดยการแอบอ้างว่าเป็นอีเมลเชิญชวนเข้าสัมนา หรือคอร์สออนไลน์ โดยอีเมลเหล่านี้จะหลอกเหยื่อให้คลิกลิ้งที่นำไปสู่การดาวน์โหลด malicious payloads ที่เตรียมไว้บนแพลตฟอร์มไฟล์แชร์ Egnyte secure

ซึ่งในบางเวอร์ชันที่พบทั่วไปยังมาพร้อมกับ malware loader ที่ถูกออกแบบมาโดยเฉพาะสำหรับการ inject เข้าไปใน process ที่กำลังถูกใช้งานอยู่ในหลาย ๆ แอปฯ ซึ่งรวมไปถึง Microsoft Edge, Google Chrome, AnyDesk, Microsoft OneDrive, PowerShell และ Opera

CheckPoint ระบุว่า ได้ค้นพบมัลแวร์หลากหลายเวอร์ชันกำลังแพร่กระจายอย่างรวดเร็ว ซึ่งความแตกต่างของแต่ละเวอร์ชันคือการที่ได้รับการปรับปรุง และพัฒนา (ในบางครั้งก็กลายเป็นมัลแวร์ตัวใหม่เลย) โดยการอัปเดตหลายครั้งที่เกิดขึ้นภายในช่วงระยะเวลาสั้น ๆ ระหว่างตัวอย่างที่ทดสอบเหล่านี้ เรียกได้ว่าเป็นการทดลองแบบ Trial-and-error

ซึ่งในการปรับมาใช้ BugSleep กลุ่ม MuddyWater ได้ปรับปรุงตัวอย่างมาจาก Remote Management Tools (RMM) เช่น Atera agent และ Screen Connect เพื่อให้สามารถเข้าถึงระบบเครือข่ายของเหยื่อได้

การโจมตีโดยใช้งานมัลแวร์ตัวใหม่นี้มีกลุ่มเป้าหมายทั่วโลกซึ่งถือว่าค่อนข้างกว้าง ตั้งแต่องค์กรรัฐบาลต่าง ๆ ไปจนถึงสายการบิน และ สื่อต่าง ๆ โดยปัจจุบันมีการกำหนดเป้าหมายไปที่อิสราเอล และบางส่วนในทูร์เคีย ซาอุดิอารเบีย อินเดีย และ โปรตุเกส

หน่วยข่าวกรองอิหร่านถูกเปิดเผยว่าเป็นผู้อยู่เบื้องหลังของเหตุการณ์นี้

MuddyWater (หรืออีกชื่อคือ Earth Vetala, MERCURY, Static Kitten, และ Seedworm) ถูกพบมาตั้งแต่ปี 2017 ซึ่งเป็นที่รู้กันว่าเป้าหมายหลักของกลุ่มคือ องค์กรในตะวันออกกลาง (เน้นไปที่อิสราเอล) และได้มีการพัฒนาการโจมตีอยู่ตลอดมา

ถึงแม้ว่ากลุ่มแฮ็กเกอร์นี้ค่อนข้างใหม่หากเปรียบเทียบกับกลุ่มแฮ็กเกอร์ที่ได้รับการสนับสนุนโดยรัฐบาล แต่กลุ่มนี้ก็มีข่าวเรื่องของปฏิบัติการอยู่ตลอดเวลา โดยโจมตีกลุ่มเป้าหมายในหลายอุตสาหกรรม ทั้งองค์กรโทรคมนาคม, องค์กรรัฐบาล (ที่ให้บริการด้าน IT) และองค์กรอุตสาหกรรมปิโตรเลียม

นับตั้งแต่เปิดตัว ทางกลุ่มได้มีการขยายปฏิบัติการโจมตีอย่างช้า ๆ ด้วยแคมเปญการจารกรรมทางไซเบอร์ต่อรัฐบาล และหน่วยงานที่เกี่ยวข้องกับการป้องกัน และความมั่นคงของประเทศในแถบเอเชียกลาง และเอเชียตะวันตกเฉียงใต้ ซึ่งรวมไปถึงองค์กรจากอเมริกาเหนือ ยุโรป และเอเชีย [1|https://www.

สถาบันทางการเงินรายย่อยในสิงคโปร์มีเวลา 3 เดือนในการยกเลิกการใช้รหัสผ่านแบบใช้ครั้งเดียว (OTP) สำหรับการยืนยันตัวตนเมื่อเข้าสู่ระบบออนไลน์ เพื่อลดความเสี่ยงจากการโจมตีแบบฟิชชิ่ง

การตัดสินใจในครั้งนี้ถูกประกาศโดยธนาคารกลางสิงคโปร์ (MAS) และสมาคมธนาคารในสิงคโปร์ (ABS) เมื่อวันที่ 9 กรกฎาคม 2024

โดย MAS ระบุว่า ลูกค้าที่เปิดใช้งาน digital token บนอุปกรณ์เคลื่อนที่ของตน จะต้องใช้ digital token สำหรับการเข้าสู่ระบบบัญชีธนาคารผ่านเบราว์เซอร์ หรือแอปธนาคารบนมือถือ

Digital token จะยืนยันตัวตนของลูกค้าในการเข้าสู่ระบบโดยไม่ต้องใช้ OTP ที่ผู้โจมตีสามารถขโมย หรือหลอกลวงให้ลูกค้าเปิดเผยได้

ธนาคารกลางสิงคโปร์ยังแนะนำให้ลูกค้าเปิดใช้งาน digital token ของตนเพื่อป้องกันการโจมตีที่ออกแบบมาเพื่อขโมยข้อมูล credential และยึดบัญชีเพื่อดำเนินการทุจริตทางการเงิน

Ong-Ang Ai Boon, ผู้อำนวยการของ ABS ระบุว่า มาตรการนี้ออกมาเพื่อให้การป้องกันเพิ่มเติมแก่ลูกค้าจากการเข้าถึงบัญชีธนาคารโดยไม่ได้รับอนุญาต แม้ว่ามาตรการเหล่านี้อาจทำให้เกิดความไม่สะดวกบ้าง แต่ก็จำเป็นเพื่อช่วยป้องกันการฉ้อโกง และปกป้องลูกค้า

แม้ว่า OTP จะถูกนำมาใช้เป็นรูปแบบของ second-factor authentication (2FA) เพื่อเสริมความปลอดภัยของบัญชี แต่ผู้โจมตีทางไซเบอร์ได้คิดค้น trojan สำหรับขโมยข้อมูลธนาคาร, OTP bots และ phishing kits ที่สามารถเก็บรวบรวมรหัสเหล่านี้ได้โดยใช้เว็บไซต์ที่ดูคล้ายกัน

OTP bots สามารถเข้าถึงได้โดยผ่านทาง Telegram และถูกโฆษณาขายด้วยราคาที่อยู่ระหว่าง $100 ถึง $420 โดยยกระดับวิธีการ social engineering ไปอีกขั้น ด้วยการโทรหาผู้ใช้ และโน้มน้าวให้พวกเขาใส่รหัส 2FA บนโทรศัพท์เพื่อช่วยข้าม หรือหลีกเลี่ยงการป้องกันบัญชี

สิ่งสำคัญคือ bots เหล่านี้ได้รับการออกแบบมาเพื่อขโมยรหัส OTP ของเหยื่อ ซึ่งจำเป็นที่ผู้โจมตีจะต้องได้รับข้อมูล credential ที่ถูกต้องผ่านวิธีการอื่นก่อน เช่น การละเมิดข้อมูล, ข้อมูลที่มีขายใน Dark web และหน้าเว็บสำหรับหลอกเอาข้อมูล credential

Olga Svistunova นักวิจัยด้านภัยคุกคามของ Kaspersky ระบุในรายงานล่าสุดว่า หน้าที่หลักของ OTP bots คือการโทรหาเหยื่อ การโทรเป็นสิ่งที่ผู้โจมตีต้องการเป็นอย่างมาก เนื่องจากรหัสการยืนยันมีอายุการใช้งานเพียงช่วงเวลาจำกัด

ในขณะที่การใช้ข้อความอาจจะไม่มีการตอบกลับเป็นเวลานาน แต่การโทรหาผู้ใช้จะเพิ่มโอกาสในการได้รับรหัส การสื่อสารผ่านทางโทรศัพท์ยังเป็นโอกาสที่ผู้โจมตีจะพยายามสร้างผลกระทบที่ต้องการกับเหยื่อผ่านทางเสียง

เมื่อสัปดาห์ที่แล้ว SlashNext เปิดเผยรายละเอียดของ "end-to-end" phishing toolkit ที่ชื่อว่า FishXProxy ซึ่งแม้จะถูกระบุว่านำไปใช้เพื่อวัตถุประสงค์ทางการศึกษาเท่านั้น แต่กลับลดระดับความยากทางเทคนิคลงสำหรับกลุ่มผู้โจมตีที่ต้องการทำแคมเปญฟิชชิ่งขนาดใหญ่ ซึ่งต้องหาวิธีหลีกเลี่ยงการป้องกันด้วย

FishXProxy จัดเตรียมเครื่องมือให้แก่ผู้โจมตีสำหรับการโจมตีด้วยอีเมลฟิชชิ่ง โดยเริ่มต้นด้วยลิงก์ที่สร้างขึ้นโดยเฉพาะ หรือไฟล์แนบที่เป็นแบบไดนามิก ซึ่งสามารถ Bypass การตรวจสอบในเบื้องต้นได้

ผู้ที่ตกเป็นเหยื่อจะต้องเจอกับระบบ antibot ที่ใช้ CAPTCHA ของ Cloudflare ซึ่งมีสามารถในการตรวจสอบเครื่องมือด้านความปลอดภัย และมีระบบการเปลี่ยนเส้นทางที่สามารถซ่อนปลายทางที่แท้จริงได้ ในขณะที่การตั้งค่าการหมดอายุของหน้าเว็บไซต์จะเป็นอุปสรรคต่อการวิเคราะห์ และช่วยในการจัดการแคมเปญนี้ได้

สิ่งที่น่าสนใจเพิ่มเติมอีกอย่างของ FishXProxy คือการใช้ระบบติดตามด้วยคุกกี้ที่ช่วยให้ผู้โจมตีสามารถระบุ และติดตามผู้ใช้ในแคมเปญฟิชชิ่งต่าง ๆ ได้ นอกจากนี้ยังสามารถสร้างไฟล์แนบที่เป็นอันตรายโดยใช้เทคนิคการ HTML smuggling ที่ทำให้สามารถหลีกเลี่ยงการตรวจจับได้

Cisco Talos ระบุว่า การใช้ HTML smuggling ค่อนข้างมีประสิทธิภาพในการหลีกเลี่ยงการตรวจจับจากอุปกรณ์ด้านความปลอดภัย เช่น email gateway และ web proxy

เมื่อเดือนที่ผ่านมา บริษัทรักษาความปลอดภัยทางไซเบอร์ Resecurity รายงานว่า อาชญากรไซเบอร์กำลังมีการโปรโมต phishing kit ใหม่ชื่อ V3B บน Telegram และ dark web ที่สามารถโจมตีลูกค้าของธนาคารรายใหญ่ในไอร์แลนด์, เนเธอร์แลนด์, ฟินแลนด์, ออสเตรีย, เยอรมนี, ฝรั่งเศส, เบลเยียม, กรีซ, ลักเซมเบิร์ก และอิตาลี

ในรายงานยังระบุอีกว่า phishing kit (V3B) ได้รับการสนับสนุนจากสถาบันทางการเงินมากกว่า 54 แห่ง โดยใช้ template ที่สามารถกำหนดเองเพื่อเลียนแบบกระบวนการยืนยันตัวตน และการตรวจสอบของระบบธนาคารออนไลน์ และอีคอมเมิร์ซในสหภาพยุโรป โดยราคาของ phishing kit นี้แตกต่างกันระหว่าง $130-$450 ต่อเดือน

การเพิ่มขึ้นของมัลแวร์บนมือถือในช่วงหลายปีที่ผ่านมาได้กระตุ้นให้ทาง Google เปิดตัวแอปใหม่ในสิงคโปร์ที่มีเป้าหมายเพื่อป้องกันไม่ให้ผู้ใช้ติดตั้งแอปบางตัวที่สามารถละเมิดสิทธิ์การใช้งานแอป Android เพื่ออ่าน OTP และรวบรวมข้อมูลที่มีความสำคัญได้

ที่มา : THEHACKERNEWS