ช่องโหว่ในฟีเจอร์ Call Filter ของ Verizon ทำให้ลูกค้าสามารถเข้าถึงบันทึกการโทรเข้าของหมายเลข Verizon Wireless อื่น ๆ ได้ ผ่าน API request ที่ไม่ปลอดภัย

ช่องโหว่นี้ถูกพบโดยนักวิจัยด้านความปลอดภัย Evan Connelly เมื่อวันที่ 22 กุมภาพันธ์ 2025 และ Verizon ได้แก้ไขช่องโหว่นี้ในเดือนถัดมา อย่างไรก็ตาม ระยะเวลาที่ช่องโหว่นี้เปิดเผยต่อสาธารณะยังไม่เป็นที่ทราบแน่ชัด

แอปพลิเคชัน Call Filter ของ Verizon เป็นเครื่องมือฟรีที่ช่วยให้ผู้ใช้งานสามารถตรวจจับสแปม และบล็อกสายเรียกเข้าโดยอัตโนมัติ ส่วนเวอร์ชันแบบเสียเงินจะเพิ่มความสามารถในการค้นหาหมายเลขที่เป็นสแปม, มีตัววัดความเสี่ยง, บล็อกสายโทรเข้าตามประเภทของผู้โทร และแสดงหมายเลขโทรเข้าแม้ไม่อยู่ในรายชื่อผู้ติดต่อ

อุปกรณ์ Android และ iOS ที่มีคุณสมบัติตรงตามเงื่อนไขซึ่งซื้อโดยตรงจาก Verizon จะมีแอปพลิเคชันเวอร์ชันฟรีถูกติดตั้งไว้ และเปิดใช้งานเป็นค่าเริ่มต้น และคาดว่ามีการใช้งานบนอุปกรณ์หลายล้านเครื่อง

Connelly เปิดเผยกับ BleepingComputer ว่า เขาทดสอบเฉพาะแอปพลิเคชันบน iOS เท่านั้น อย่างไรก็ตามแอปพลิเคชันบน Android อาจได้รับผลกระทบเช่นกัน เนื่องจากปัญหาอยู่ที่ API ของฟีเจอร์ ไม่ใช่ตัวแอปพลิเคชันโดยตรง

การเปิดเผยประวัติการโทร

ขณะใช้งานแอป Call Filter Connelly พบว่าแอปพลิเคชันเชื่อมต่อกับ API ที่ https://clr-aqx.

แพลตฟอร์มให้บริการฟิชชิ่ง (PhaaS) ที่ชื่อว่า ‘Lucid’ ได้กำหนดเป้าหมายการโจมตีไปที่หน่วยงาน 169 แห่งใน 88 ประเทศ โดยใช้ข้อความที่ออกแบบมาอย่างแนบเนียนผ่าน iMessage (iOS) และ RCS (Android)

Lucid ซึ่งดำเนินการโดยกลุ่มอาชญากรไซเบอร์ชาวจีนที่รู้จักกันในชื่อ ‘XinXin’ มาตั้งแต่กลางปี 2023 ถูกขายให้กับแฮ็กเกอร์รายอื่นในรูปแบบการสมัครสมาชิก ซึ่งจะได้รับสิทธิ์เข้าถึงโดเมนฟิชชิ่งมากกว่า 1,000 รายการ เว็บไซต์ฟิชชิ่งที่สร้างขึ้นแบบ auto-generated และเครื่องมือส่งสแปมระดับมืออาชีพ

นักวิจัยจาก Prodaft ระบุว่า กลุ่ม XinXin ยังใช้แพลตฟอร์ม Darcula v3 สำหรับการดำเนินงาน ซึ่งอาจแสดงให้เห็นถึงความเชื่อมโยงระหว่างแพลตฟอร์ม PhaaS ทั้งสอง

การสมัครสมาชิก Lucid ดำเนินการผ่านช่องทาง Telegram เฉพาะ (มีสมาชิกประมาณ 2,000 คน) โดยลูกค้าจะได้รับสิทธิ์การใช้งานแบบรายสัปดาห์ผ่าน licenses การอนุญาต

ปฏิบัติการฟิชชิ่งครั้งใหญ่

กลุ่มผู้โจมตีอ้างว่าสามารถส่งข้อความหลอกลวงได้มากถึง 100,000 ข้อความต่อวัน ผ่านบริการ Rich Communication Services (RCS) หรือ Apple iMessage ซึ่งมีการเข้ารหัสแบบ end-to-end ทำให้สามารถหลบเลี่ยงการตรวจจับของระบบกรองสแปมได้

Prodaft อธิบายว่า “แพลตฟอร์มนี้ใช้กลไกการส่งข้อความแบบอัตโนมัติ โดยนำเว็บไซต์ฟิชชิ่งที่ปรับแต่งได้มาเผยแพร่ผ่านข้อความ SMS เป็นหลัก”

“เพื่อเพิ่มประสิทธิภาพในการโจมตี Lucid ใช้เทคโนโลยีของ Apple iMessage และ RCS บน Android ในการเลี่ยงระบบกรองสแปมของ SMS แบบดั้งเดิม ส่งผลให้อัตราการส่งถึงเป้าหมาย และความสำเร็จของการโจมตีเพิ่มขึ้นอย่างมาก”

นอกจากการหลบเลี่ยงระบบรักษาความปลอดภัยแล้ว การใช้ข้อความเหล่านี้ยังช่วยให้การดำเนินการมีต้นทุนต่ำ เนื่องจากการส่ง SMS ในปริมาณที่เทียบเท่ากันนั้นมีค่าใช้จ่ายสูง

ผู้ดำเนินการของ Lucid ใช้ฟาร์มอุปกรณ์ iOS และ Android ขนาดใหญ่ในการส่งข้อความ โดยสำหรับ iMessage แพลตฟอร์มนี้ใช้ Apple ID แบบชั่วคราว และในกรณีของ RCS กลุ่มผู้โจมตีอาศัยช่องโหว่ในการใช้งานของผู้ให้บริการในการตรวจสอบผู้ส่ง

ในวิดีโอที่ Prodaft เผยแพร่ แสดงให้เห็นกลุ่มผู้โจมตีกำลังทำแคมเปญฟิชชิ่งจากรถที่กำลังเคลื่อนที่ ซึ่งอาจเป็นวิธีเพิ่มความปลอดภัยในการปฏิบัติการ และยังแสดงให้เห็นว่าแพลตฟอร์มนี้ใช้งานได้ง่ายเพียงใด

Prodaft ให้ข้อมูลกับ BleepingComputer เพิ่มเติมว่า “วัตถุประสงค์หลักของการแสดงข้อความฟิชชิ่งจากอุปกรณ์ของเหยื่อระหว่างที่ขับรถ ก็เพื่อแสดงให้เห็นว่าบุคคลทั่วไปสามารถมีส่วนร่วมในปฏิบัติการแบบนี้ได้ง่ายเพียงใด”

“แฮ็กเกอร์บางรายอาจสนใจแคมเปญสแปมที่มีความเสี่ยงต่ำ และผลตอบแทนต่ำ ซึ่งไม่ต้องใช้ทักษะด้านเทคนิค หรือโครงสร้างพื้นฐานมากนัก โดยมักจะพึ่งพาเครื่องมือ virtualization หรืออุปกรณ์จริงที่ดัดแปลงมาใช้เพื่อส่งข้อความในปริมาณมากโดยอัตโนมัติ”

ข้อความฟิชชิ่งบนมือถือมักปลอมตัวเป็นการแจ้งเตือนเกี่ยวกับการจัดส่งพัสดุ, การเสียภาษี, ค่าผ่านทางที่ค้างชำระ โดยจะมีการใส่โลโก้ หรือแบรนด์ที่ออกแบบเฉพาะ ใช้ภาษาที่เหมาะสมกับกลุ่มเป้าหมาย และมีการคัดกรองเหยื่อโดยอิงตามตำแหน่งทางภูมิศาสตร์

เมื่อเหยื่อคลิกลิงก์ฟิชชิ่ง พวกเขาจะถูกเปลี่ยนเส้นทางไปยังหน้าเว็บไซต์ปลอมที่แอบอ้างเป็นหน่วยงานเก็บค่าผ่านทาง และที่จอดรถของรัฐบาล หรือองค์กรเอกชน เช่น USPS, DHL, Royal Mail, FedEx, Revolut, Amazon, American Express, HSBC, E-ZPass, SunPass, Transport for London และอื่น ๆ

หน้าเว็บไซต์ฟิชชิ่งถูกออกแบบมาเพื่อขโมยข้อมูลส่วนตัว และข้อมูลทางการเงิน รวมถึง ชื่อนามสกุล, อีเมล, ที่อยู่ และรายละเอียดบัตรเครดิต

แพลตฟอร์ม Lucid มีฟีเจอร์ตรวจสอบบัตรเครดิตในตัว ซึ่งช่วยให้ผู้โจมตีสามารถทดสอบความถูกต้องของบัตรที่ขโมยมาได้ หากบัตรยังใช้งานได้ จะถูกนำไปขายต่อให้กับอาชญากรไซเบอร์รายอื่น หรือใช้ในการฉ้อโกงโดยตรง

แพลตฟอร์มอย่าง Lucid ทำให้การเข้าร่วมในการดำเนินการทางอาชญากรรมไซเบอร์เป็นเรื่องง่ายขึ้น และยังมอบคุณภาพในระดับหนึ่งให้กับการโจมตีแบบฟิชชิ่ง ซึ่งเพิ่มโอกาสความสำเร็จของผู้โจมตีอย่างมาก

เมื่อรวมกับโครงสร้างพื้นฐานที่มีความแข็งแกร่ง และยืดหยุ่นสูง กลุ่มผู้โจมตีสามารถใช้ประโยชน์เพื่อดำเนินการแคมเปญฟิชชิ่งในระดับใหญ่ และเป็นระบบได้อย่างมีประสิทธิภาพ

หากได้รับข้อความบนอุปกรณ์ที่เร่งให้คลิกลิงก์ หรือให้ตอบกลับ อย่าโต้ตอบหรือคลิกใด ๆ ควรเข้าสู่ระบบของบริการนั้นโดยตรงผ่านช่องทางอย่างเป็นทางการ และตรวจสอบการแจ้งเตือน หรือใบเรียกเก็บเงินด้วยตนเองแทน

ที่มา : bleepingcomputer

จากรายงานล่าสุดพบว่าอุปกรณ์ Clevo หลายรุ่น มีช่องโหว่ที่อาจทำให้เกิดการรั่วไหลของ Private Key ของ Boot Guard ซึ่งเป็นเทคโนโลยีความปลอดภัยของ Intel ที่ใช้ตรวจสอบในระหว่างการบูตระบบ ที่จะมีเพียงเฟิร์มแวร์ที่ได้รับอนุญาตเท่านั้นที่สามารถทำงานได้ เพื่อป้องกันโค้ดที่ไม่ได้รับอนุญาต

ช่องโหว่นี้ถูกเปิดเผยครั้งแรกบนฟอรัม Win-Raid โดยพบว่ามี Private Key ของ Boot Guard Key Manifest (KM) และ Boot Policy Manifest (BPM) ฝังอยู่ในไฟล์ Firmware Update

ซึ่งหาก Private Key นี้รั่วไหล ผู้โจมตีสามารถใช้ Key เหล่านั้นในการ sign เฟิร์มแวร์ที่เป็นอันตราย ซึ่งสามารถผ่านการตรวจสอบความปลอดภัยของ Boot Guard ได้

รายละเอียดการตรวจสอบ

ทีมวิจัยจาก Binarly ซึ่งมีชื่อเสียงในการค้นหาช่องโหว่ในระบบ UEFI ได้รับการแจ้งเตือนเกี่ยวกับช่องโหว่นี้จากโพสต์ในฟอรัม Win-Raid ซึ่งเปิดเผยการพบ Boot Guard key ในการอัปเดตเฟิร์มแวร์ของอุปกรณ์ Clevo ที่มีการฝัง Private Key ไว้

หลังจากการตรวจสอบ ทีมวิจัยยืนยันว่ามี Private Key สองชุดที่ถูกฝังอยู่ในไฟล์ BootGuardKey.

แคมเปญมัลแวร์ที่ชื่อว่า 'DollyWay' ซึ่งได้ดำเนินการมาตั้งแต่ปี 2016 โดยได้โจมตีเว็บไซต์ที่ใช้ WordPress กว่า 20,000 แห่งทั่วโลก เพื่อนำผู้ใช้ไปยังเว็บไซต์ที่เป็นอันตราย (more…)

Oracle ออกมาปฏิเสธว่าไม่ได้ถูกโจมตีระบบ หลังจากที่ Hacker อ้างว่าสามารถขโมยข้อมูลจาก SSO login servers ของ Oracle Cloud กว่า 6 ล้านรายการ

Oracle ให้ข้อมูลกับ BleepingComputer ว่า ไม่มีการโจมตีเกิดขึ้นกับ Oracle Cloud ข้อมูลที่ถูกเผยแพร่นั้นไม่ใช่ข้อมูลของ Oracle Cloud รวมถึงลูกค้าของ Oracle Cloud ไม่มีรายใดที่พบการโจมตี หรือสูญเสียข้อมูลใด ๆ

การปฏิเสธนี้ออกมาหลังจากที่ Hacker ในชื่อ rose87168 เปิดเผยข้อมูล text file จำนวนมากในวันที่ 20 มีนาคม 2025 โดยประกอบไปด้วยตัวอย่างข้อมูลในฐานข้อมูล, ข้อมูล LDAP และรายชื่อบริษัทที่ขโมยไปจาก SSO platform ของ Oracle Clouds

รวมถึง Hacker ได้แสดงหลักฐานว่าสามารถเข้าถึง Oracle Cloud servers ได้ โดยแสดง URL ของ Internet Archive ซึ่งระบุว่าได้อัปโหลดไฟล์ .txt ที่มีที่อยู่อีเมล ProtonMail ไปยัง login.

มีการเปิดเผยช่องโหว่ด้านความปลอดภัยระดับ Critical ในซอฟต์แวร์ MegaRAC Baseboard Management Controller (BMC) ของ AMI ที่อาจทำให้ผู้โจมตีสามารถ bypass การยืนยันตัวตน และดำเนินการโจมตีหลังจากเจาะระบบได้

ช่องโหว่นี้มีหมายเลข CVE-2024-54085 และมีคะแนน CVSS v4 ที่ระดับ 10.0 แสดงให้เห็นถึงระดับความรุนแรงขั้นสูงสุด

บริษัทด้านความปลอดภัยเฟิร์มแวร์ Eclypsium ให้ข้อมูลกับ The Hacker News โดยระบุว่า "ผู้โจมตีทั้งจากภายใน และภายนอกเครือข่ายสามารถใช้ช่องโหว่นี้ได้ผ่าน remote management interfaces (Redfish) หรือโฮสต์ภายในที่เชื่อมต่อกับอินเตอร์เฟซของ BMC (Redfish)"

"การใช้ช่องโหว่นี้ทำให้ผู้โจมตีสามารถควบคุมเซิร์ฟเวอร์ที่ถูกโจมตีจากระยะไกลได้ โดยติดตั้งมัลแวร์ หรือแรนซัมแวร์จากระยะไกล, แก้ไขเฟิร์มแวร์ ทำให้ชิ้นส่วนของเมนบอร์ด (BMC หรืออาจรวมถึง BIOS/UEFI) ไม่สามารถใช้งานได้ รวมถึงอาจก่อให้เกิดความเสียหายทาง physical กับเซิร์ฟเวอร์ (เช่น แรงดันไฟฟ้าเกิน หรือทำให้ใช้งานไม่ได้โดยสิ้นเชิง) และสร้าง reboot loops ที่เหยื่อไม่สามารถหยุดได้"

ช่องโหว่นี้ยังสามารถถูกนำไปใช้เพื่อก่อกวนระบบ โดยทำให้อุปกรณ์ที่ได้รับผลกระทบ reboot อย่างต่อเนื่องผ่านคำสั่งที่เป็นอันตราย ซึ่งอาจนำไปสู่การหยุดทำงานของระบบแบบไม่มีกำหนด จนกว่าอุปกรณ์ หรือฮาร์ดแวร์นั้นจะถูกตั้งค่าใหม่ทั้งหมด

CVE-2024-54085 เป็นช่องโหว่ในรายการล่าสุดของจำนวนช่องโหว่ที่ถูกพบใน AMI MegaRAC BMCs ตั้งแต่เดือนธันวาคม 2022 โดยทั้งหมดถูกระบุภายใต้ชื่อ BMC&C :

CVE-2022-40259 - ช่องโหว่ Arbitrary Code Execution ผ่าน Redfish API
CVE-2022-40242 - ช่องโหว่ Default credentials เพื่อเข้าถึง UID = 0 shell ผ่าน SSH
CVE-2022-2827 - ช่องโหว่ User enumeration ผ่าน API
CVE-2022-26872 - ช่องโหว่ Password reset interception ผ่าน API
CVE-2022-40258 - ช่องโหว่ Weak password hashes สำหรับ Redfish & API
CVE-2023-34329 - ช่องโหว่ Authentication Bypass ผ่าน HTTP Header Spoofing
CVE-2023-34330 - ช่องโหว่ Code injection ผ่าน Dynamic Redfish Extension interface

Eclypsium ระบุว่า CVE-2024-54085 มีความคล้ายคลึงกับ CVE-2023-34329 เนื่องจากช่องโหว่ทั้งสองรายการสามารถใช้เพื่อ bypass การยืนยันตัวตนได้ และก่อให้เกิดผลกระทบในลักษณะเดียวกัน โดยช่องโหว่นี้ได้รับการยืนยันว่าส่งผลกระทบต่ออุปกรณ์ดังต่อไปนี้ :

HPE Cray XD670
Asus RS720A-E11-RS24U
ASRockRack

AMI ได้ออกแพตช์แก้ไขช่องโหว่นี้แล้วเมื่อวันที่ 11 มีนาคม 2025 ที่ผ่านมา แม้ว่าจะยังไม่มีหลักฐานว่าช่องโหว่ดังกล่าวกำลังถูกนำไปใช้ในการโจมตีจริง แต่ผู้ใช้งานควรอัปเดตระบบของตนทันทีที่ผู้ผลิต หรือผู้จำหน่าย OEM ได้ออกแพตช์แก้ไขช่องโหว่เหล่านี้ และปล่อยอัปเดตให้กับลูกค้า

ตอนนี้ทั้ง HPE และ Lenovo ได้ปล่อยแพตช์อัปเดตด้านความปลอดภัยสำหรับผลิตภัณฑ์ของพวกเขาแล้ว และรวมถึงการแก้ไขช่องโหว่ CVE-2024-54085 จาก AMI อีกด้วย

Eclypsium ระบุเพิ่มเติมว่า "การติดตั้งแพตช์สำหรับช่องโหว่เหล่านี้ไม่ใช่เรื่องง่าย เนื่องจากจะต้องมีการหยุดการทำงานของอุปกรณ์ โดยช่องโหว่นี้ส่งผลกระทบเฉพาะกับซอฟต์แวร์ BMC ของ AMI อย่างไรก็ตาม เนื่องจาก AMI เป็นหัวใจสำคัญของ BIOS supply chain ผลกระทบจึงตกไปที่ผู้ผลิต หรือผู้จำหน่ายฮาร์ดแวร์มากกว่า"

ที่มา : thehackernews

แฮ็กเกอร์กำลังใช้ประโยชน์จากช่องโหว่ความปลอดภัยระดับ Critical ใน PHP เพื่อติดตั้งโปรแกรมขุดสกุลเงินดิจิทัล และโทรจันการเข้าถึงระยะไกล (RATs) เช่น Quasar RAT

ช่องโหว่นี้มีหมายเลข CVE-2024-4577 ซึ่งเป็นช่องโหว่ Argument Injection ใน PHP บนระบบ Windows ที่รันในโหมด CGI โดยทำให้ผู้โจมตีสามารถรันโค้ดที่เป็นอันตรายจากระยะไกลได้

บริษัทด้านความปลอดภัยทางไซเบอร์ Bitdefender ระบุว่า มีความพยายามโจมตีโดยใช้ช่องโหว่ CVE-2024-4577 เพิ่มขึ้นอย่างมากตั้งแต่ปลายปีที่แล้ว โดยมีการโจมตีมากที่สุดในไต้หวัน (54.65%), ฮ่องกง (27.06%), บราซิล (16.39%), ญี่ปุ่น (1.57%) และอินเดีย (0.33%)

ประมาณ 15% ของความพยายามโจมตีโดยใช้ช่องโหว่ที่ตรวจพบ เกี่ยวข้องกับการตรวจสอบช่องโหว่พื้นฐาน โดยใช้คำสั่งเช่น "whoami" และ "echo <test_string>" อีก 15% เกี่ยวข้องกับการตรวจสอบระบบ ซึ่งรวมถึงการตรวจสอบ Process Enumeration, การค้นหาเครือข่าย, ข้อมูลผู้ใช้ และโดเมน และการเก็บข้อมูลของระบบ

Martin Zugec ผู้อำนวยการฝ่ายโซลูชันทางเทคนิคของ Bitdefender เปิดเผยว่า อย่างน้อย 5% ของการโจมตีที่ตรวจพบ นำไปสู่การติดตั้ง XMRig เครื่องขุดสกุลเงินดิจิทัล

Zugec เสริมว่า "อีกหนึ่งแคมเปญเล็ก ๆ ที่เกี่ยวข้องกับการติดตั้ง Nicehash Miners ซึ่งเป็นแพลตฟอร์มที่ช่วยให้ผู้ใช้งานสามารถขาย computing power เพื่อแลกกับคริปโตฯ"

"กระบวนการขุดถูกปลอมแปลงเป็นแอปพลิเคชันที่ดูเหมือนถูกต้องตามปกติ เช่น javawindows.

กลุ่มแฮ็กเกอร์ที่ได้รับการสนับสนุนจากรัฐบาลอย่างน้อย 11 กลุ่มจาก เกาหลีเหนือ, อิหร่าน, รัสเซีย และจีน ได้ใช้ช่องโหว่ zero-day ใหม่ของ Windows ในการขโมยข้อมูลมาตั้งแต่ปี 2017

อย่างไรก็ตาม นักวิจัยด้านความปลอดภัย Peter Girnus และ Aliakbar Zahravi จาก Zero Day Initiative (ZDI) ของบริษัท Trend Micro รายงานเมื่อวันที่ 18 มีนาคม 2025 ว่า ทาง Microsoft ได้พิจารณาแล้วว่าช่องโหว่นี้ "ไม่เข้าข่ายที่ต้องได้รับการแก้ไข" ในช่วงปลายเดือนกันยายน และตัดสินใจไม่ออกอัปเดตความปลอดภัยเพื่อแก้ไขปัญหานี้

นักวิจัยระบุว่า "ได้พบตัวอย่างไฟล์ Shell Link (.lnk) กว่า 1,000 ไฟล์ ที่ใช้ช่องโหว่ ZDI-CAN-25373 แต่มีความเป็นไปได้สูงว่าจำนวนการโจมตีที่เกิดขึ้นจริงอาจมากกว่านี้" หลังจากนั้นนักวิจัยได้ส่ง Proof-of-Concept exploit ผ่านโปรแกรม Bug Bounty ของ Trend ZDI ไปยัง Microsoft แต่ทาง Microsoft ปฏิเสธที่จะออกแพตช์ความปลอดภัยเพื่อแก้ไขช่องโหว่นี้

แม้ว่า Microsoft จะยังไม่ได้กำหนด CVE-ID ให้กับช่องโหว่นี้ แต่ Trend Micro กำลังติดตามช่องโหว่นี้ภายในองค์กรภายใต้หมายเลข ZDI-CAN-25373 โดยระบุว่า ช่องโหว่นี้ทำให้ผู้โจมตีสามารถรันโค้ดที่เป็นอันตรายบนระบบ Windows ที่ได้รับผลกระทบได้

จากการตรวจสอบของนักวิจัย พบว่าช่องโหว่ ZDI-CAN-25373 ถูกใช้ในการโจมตีอย่างแพร่หลายโดยกลุ่มผู้โจมตีที่ได้รับการสนับสนุนจากรัฐบาล และกลุ่มอาชญากรรมไซเบอร์ เช่น Evil Corp, APT43 (Kimsuky), Bitter, APT37, Mustang Panda, SideWinder, RedHotel, Konni และกลุ่มอื่น ๆ

แม้ว่าแคมเปญดังกล่าวจะมีเป้าหมายไปทั่วโลก แต่ส่วนใหญ่เน้นไปที่ อเมริกาเหนือ, อเมริกาใต้, ยุโรป, เอเชียตะวันออก และออสเตรเลีย และจากการวิเคราะห์การโจมตีทั้งหมดพบว่าเกือบ 70% เชื่อมโยงกับการจารกรรม และขโมยข้อมูล ขณะที่เพียง 20% มีเป้าหมายเพื่อผลประโยชน์ทางการเงิน

Trend Micro ระบุเพิ่มเติมว่า แคมเปญโจมตีเหล่านี้มีการใช้มัลแวร์ และเป็นมัลแวร์ในรูปแบบ loaders หลากหลายประเภท เช่น Ursnif, Gh0st RAT และ Trickbot

ช่องโหว่ Zero-day ของ Windows (ZDI-CAN-25373)

ช่องโหว่ใหม่ที่ถูกพบใน Windows (ภายใต้หมายเลข ZDI-CAN-25373) เกิดจากช่องโหว่ User Interface (UI) Misrepresentation of Critical Information (CWE-451) ซึ่งทำให้แฮ็กเกอร์สามารถใช้ช่องโหว่นี้ของ Windows ในการแสดงผลไฟล์ shortcut (.lnk) เพื่อหลบเลี่ยงการตรวจจับ และรันโค้ดบนอุปกรณ์ที่มีช่องโหว่โดยที่ผู้ใช้ไม่รู้ตัว

กลุ่มผู้โจมตีใช้ช่องโหว่ ZDI-CAN-25373 โดยซ่อน arguments คำสั่งที่เป็นอันตรายไว้ในไฟล์ shortcut (.LNK) ซึ่งใช้ช่องว่างพิเศษเพื่อซ่อนคำสั่งในโครงสร้าง COMMAND_LINE_ARGUMENTS

นักวิจัยระบุว่าช่องว่างพิเศษที่ใช้ในไฟล์ .lnk สามารถอยู่ในรูปแบบของ hex codes สำหรับ Space (\x20), Horizontal Tab (\x09), Linefeed (\x0A), Vertical Tab (\x0B), Form Feed (\x0C), และ Carriage Return (\x0D) ซึ่งสามารถใช้เป็นการเติมช่องว่างได้

หากผู้ใช้ Windows ตรวจสอบไฟล์ .lnk ดังกล่าว arguments คำสั่งที่เป็นอันตรายจะไม่แสดงในอินเทอร์เฟซของ Windows เนื่องจากช่องว่างที่เพิ่มเข้าไป ดังนั้น arguments คำสั่งที่เพิ่มโดยผู้โจมตีจะยังคงซ่อนอยู่จากการมองเห็นของผู้ใช้

Trend Micro ได้ออกคำเตือนในวันที่ 18 มีนาคม 2025 โดยระบุว่า จำเป็นต้องมีการโต้ตอบของผู้ใช้ในการโจมตีโดยใช้ช่องโหว่นี้ โดยเป้าหมายจะต้องเข้าไปเยี่ยมชมหน้าเว็บที่เป็นอันตราย หรือเปิดไฟล์ที่เป็นอันตราย

ข้อมูลที่สร้างขึ้นในไฟล์ .LNK อาจทำให้เนื้อหาอันตรายในไฟล์ไม่สามารถมองเห็นได้จากผู้ใช้ที่ตรวจสอบไฟล์ผ่านอินเทอร์เฟซของ Windows และผู้โจมตีสามารถใช้ช่องโหว่นี้เพื่อรันโค้ดด้วยสิทธิ์ของของผู้ใช้งานปัจจุบันได้

ช่องโหว่นี้มีความคล้ายกับอีกช่องโหว่ที่มีหมายเลข CVE-2024-43461 ซึ่งทำให้ผู้โจมตีสามารถใช้ 26 encoded braille whitespace characters (%E2%A0%80) เพื่อซ่อนไฟล์ HTA ที่สามารถดาวน์โหลดมัลแวร์ที่เป็นอันตรายในรูปแบบ PDF ได้ โดยช่องโหว่ CVE-2024-43461 ถูกพบโดย Peter Girnus นักวิจัยด้านภัยคุกคามอาวุโสจาก Trend Micro's Zero Day และได้รับการแก้ไขโดย Microsoft ในการอัปเดต Patch Tuesday ประจำเดือนกันยายน 2024

กลุ่มผู้โจมตี Void Banshee APT ได้ใช้ประโยชน์จาก CVE-2024-43461 ในการโจมตีแบบ Zero-day เพื่อติดตั้งมัลแวร์ขโมยข้อมูล ในแคมเปญโจมตีองค์กรต่าง ๆ ในอเมริกาเหนือ, ยุโรป และเอเชียตะวันออกเฉียงใต้

เมื่อวันที่ 18 มีนาคม 2025 ที่ผ่านมา โฆษกของ Microsoft ระบุว่า บริษัทกำลังพิจารณาที่จะแก้ไขช่องโหว่นี้ในอนาคต

Microsoft ระบุว่า ขอขอบคุณ ZDI ที่ได้ส่งรายงานนี้ภายใต้ coordinated vulnerability disclosure และ Microsoft Defender มีการตรวจจับเพื่อค้นหา และบล็อกพฤติกรรมภัยคุกคามนี้อยู่แล้ว และ Smart App Control จะช่วยเพิ่มการป้องกันโดยการบล็อกไฟล์อันตรายจากอินเทอร์เน็ต ในฐานะที่เป็นแนวทางปฏิบัติที่ดีที่สุดด้านความปลอดภัย ขอแนะนำให้ลูกค้าใช้ความระมัดระวังเมื่อดาวน์โหลดไฟล์จากแหล่งที่ไม่รู้จักตามคำเตือนด้านความปลอดภัย ซึ่งได้รับการออกแบบมาเพื่อระบุ และเตือนผู้ใช้เกี่ยวกับไฟล์ที่อาจเป็นอันตราย แม้ว่าประสบการณ์ของ UI ที่อธิบายไว้ในรายงานนี้ จะไม่เข้าข่ายที่ต้องได้รับการแก้ไขในทันทีตามแนวทางการจัดประเภทความรุนแรงของบริษัท แต่ Microsoft จะพิจารณาในการแก้ไขช่องโหว่นี้ในการอัปเดตฟีเจอร์ในอนาคต

ที่มา : bleepingcomputer

 

Google กำลังทำการเข้าซื้อกิจการครั้งใหญ่ที่สุดในประวัติศาสตร์ของบริษัท โดยเข้าซื้อบริษัทด้านความปลอดภัยบนระบบคลาวด์ Wiz ด้วยจำนวนเงินมูลค่า 32 พันล้านดอลลาร์

Google ระบุในวันนี้ว่า "การเข้าซื้อกิจการครั้งนี้เป็นการลงทุนของ Google Cloud เพื่อเร่งตอบสนองต่อสองแนวโน้มในยุค AI คือ 1. การเพิ่มความปลอดภัยในระบบคลาวด์ และ 2. ความสามารถในการใช้คลาวด์หลากหลายรูปแบบ (multicloud)"

Google ยังเสริมอีกว่าการเข้าซื้อกิจการครั้งนี้ ยังต้องรอการอนุมัติจากหน่วยงานกำกับดูแล โดยมีวัตถุประสงค์เพื่อมอบ "แพลตฟอร์มความปลอดภัยที่ครอบคลุม" (comprehensive security platform) ที่จะช่วยรักษาความปลอดภัยให้กับ modern IT environments แก่ลูกค้า

Thomas Kurian CEO ของ Google Cloud ระบุว่า การนำบริการคลาวด์ของพวกเขามารวมเข้ากับ Wiz จะช่วย "กระตุ้นการใช้งานความปลอดภัยทางไซเบอร์บนระบบ multicloud, การนำระบบ multicloud มาใช้ รวมถึงการแข่งขัน และการเติบโตในอุตสาหกรรม cloud computing"

Assaf Rappaport CEO ของ Wiz ระบุว่า บริษัทจะยังคงเป็นแพลตฟอร์ม multicloud ที่เป็นอิสระแม้หลังจากการเข้าซื้อกิจการเสร็จสิ้น และจะยังคงทำงานร่วมกับบริษัทคลาวด์อื่น ๆ เช่น Amazon Web Services (AWS), Microsoft Azure และ Oracle Cloud

ความเคลื่อนไหวในครั้งนี้เกิดขึ้นเพียงสามปีหลังจากที่ Google เข้าซื้อกิจการ Mandiant ด้วยมูลค่า 5.4 พันล้านดอลลาร์ และเกิดขึ้นเพียงเจ็ดเดือนหลังจากบริษัทพยายามเข้าซื้อกิจการ Wiz ด้วยข้อเสนอมูลค่า 23 พันล้านดอลลาร์ แต่ไม่สำเร็จ

นอกจากนี้ ที่ผ่านมา Google ยังได้เข้าซื้อกิจการที่เกี่ยวข้องกับความปลอดภัยอื่น ๆ ได้แก่ VirusTotal (ในเดือนกันยายน 2012) และ Siemplify (ในเดือนมกราคม 2022)

ที่มา : thehackernews

Ransomware Black Basta ได้สร้าง Automated Brute-forcing Framework เรียกว่า "BRUTED" เพื่อเจาะอุปกรณ์เครือข่ายไฟร์วอลล์ และ VPN โดย Büyükkaya นักวิจัยที่ค้นพบระบุว่า Black Basta ได้ใช้ BRUTED มาตั้งแต่ปี 2023 เพื่อโจมตีแบบ Credential-stuffing

จากการวิเคราะห์ Code แสดงให้เห็นว่า Framework นี้ได้รับการออกแบบมาเพื่อ Brute-force Credentials บนระบบ VPN และการเข้าถึงจากระยะไกลบนบนผลิตภัณฑ์ SonicWall NetExtender, Palo Alto GlobalProtect, Cisco AnyConnect, Fortinet SSL VPN, Citrix NetScaler (Citrix Gateway), Microsoft RDWeb (Remote Desktop Web Access) และ WatchGuard SSL VPN

Framework จะค้นหาอุปกรณ์ที่เข้าถึงได้จาก Public ที่ตรงกับรายการเป้าหมาย โดยการใช้ Subdomain Enumeration หรือการระบุที่อยู่ IP และการเพิ่มคำนำหน้าเช่น ".vpn" หรือ "remote" และข้อมูลจะถูกส่งกลับไปยังเซิร์ฟเวอร์ C2 ของผู้โจมตี

เมื่อระบุเป้าหมายได้ BRUTED จะดึงข้อมูลรหัสผ่านที่น่าจะเป็นไปได้จาก remote server และร่วมกับการคาดเดารหัส โดย Framework สามารถดึงชื่อ Common Name (CN) และ Subject Alternative Names (SAN) ออกจาก SSL certificates ของอุปกรณ์เป้าหมายได้ ซึ่งจะช่วยสร้างการคาดเดารหัสผ่านที่น่าจะเป็นไปได้เพิ่มเติมตามโดเมน และการตั้งชื่อของเป้าหมาย

ต่อมาคือการทำ Authentication ทดลอง Login หลายครั้ง ผ่าน CPU หลายตัว ซึ่งมี Code ตัวอย่างจากนักวิจัย แสดงให้เห็นว่ามี Code เฉพาะของแต่ละอุปกรณ์ที่เป็นเป้าหมาย โดยที่มีการใช้ Proxy SOCKS5 เพื่อหลีกเลี่ยงการตรวจจับเพิ่มเติม

BRUTED ยังช่วยเพิ่มประสิทธิภาพการทำงานของกลุ่ม Ransomware เนื่องจากความสามารถในการพยายามเจาะเครือข่ายจำนวนมากพร้อมกัน ส่งผลให้มีโอกาสโจมตีสำเร็จมากขึ้น

แนวทางการป้องกันที่สำคัญคือ การบังคับใช้รหัสผ่านที่คาดเดาได้ยาก และไม่ซ้ำกันของแต่ละอุปกรณ์ รวมถึงบัญชี VPN ทั้งหมด และใช้การยืนยันตัวตนแบบหลายปัจจัย (MFA) เพื่อบล็อกการเข้าถึง แม้ว่า Credential จะถูก Compromise ไปแล้วก็ตาม นอกจากนี้ควร Monitor การ Authentication จากตำแหน่งที่ผิดปกติ และการพยายามเข้าสู่ระบบไม่สำเร็จปริมาณมาก รวมถึงกำหนด Policy สำหรับจำกัดการ Login

ที่มา : bleepingcomputer