Kinsta ผู้ให้บริการ WordPress hosting แจ้งเตือนลูกค้าว่ามีผู้พบเห็นโฆษณาบน Google ในการโปรโมตเว็บไซต์ฟิชชิ่ง เพื่อขโมย hosting credentials
Kinsta ระบุว่า การโจมตีแบบฟิชชิ่งมีจุดมุ่งหมายเพื่อขโมยข้อมูล credentials การเข้าสู่ระบบของ MyKinsta ซึ่งเป็นบริการที่สำคัญของบริษัทในการจัดการ WordPress และแอปพลิเคชันบนคลาวด์อื่น ๆ (more…)
อาชญากรทางไซเบอร์ที่มีแรงจูงใจด้านการเงินจากอินโดนีเซียใช้บริการ Elastic Compute Cloud (EC2) บน Amazon Web Services (AWS) เพื่อดำเนินการขุดเหรียญ Cryptocurrency
บริษัทด้านความปลอดภัยในระบบคลาวด์ "Permiso P0 Labs" ตรวจพบกลุ่มดังกล่าวเป็นครั้งแรกในช่วงเดือนพฤศจิกายน 2021 ที่ผ่านมา และได้ตั้งชื่อกลุ่มดังกล่าวว่า 'GUI-vil'
บริษัทระบุในรายงานว่า ในเบื้องต้นกลุ่มดังกล่าวจะใช้เครื่องมือ Graphical User Interface (GUI) โดยเฉพาะ S3 Browser (เวอร์ชัน 9.5.5) ในการปฏิบัติการโดยตรงผ่านทางเบราว์เซอร์
การโจมตีของ GUI-vil เริ่มต้นโดยการนำ AWS keys ที่รั่วไหลจาก GitHub Repository หรือจากการสแกนหา GitLab instances ที่มีช่องโหว่ remote code execution เช่น ช่องโหว่ CVE-2021-22205 มาใช้เพื่อเข้าถึงระบบของเหยื่อ หลังจากที่เข้าถึงได้สำเร็จ ผู้โจมตีจะทำการเพิ่มสิทธิ์ และตรวจสอบข้อมูลของ S3 buckets ทั้งหมดที่มีอยู่ และใช้บริการที่สามารถเข้าถึงได้ผ่าน AWS web console
วิธีการที่น่าสนใจในการดำเนินการของกลุ่มดังกล่าว คือการพยายามที่จะแฝงตัวอยู่บนระบบโดยการแอบสร้างบัญชีผู้ใช้ใหม่ ที่ดูสอดคล้องกับชื่อของระบบ
โดยนักวิจัยจาก P0 Labs ระบุว่า "GUI-vil จะสร้าง access keys สำหรับบัญชีใหม่ที่ถูกสร้างขึ้น เพื่อให้สามารถใช้งาน S3 Browser กับบัญชีที่สร้างขึ้นต่อไปได้"
อีกหนึ่งวิธีที่กลุ่มนี้ใช้ คือ การสร้างโปรไฟล์เข้าสู่ระบบสำหรับชื่อผู้ใช้ที่มีอยู่ แต่ยังไม่มีโปรไฟล์ เพื่อเปิดใช้งาน AWS console โดยไม่ทำให้เกิดการแจ้งเตือนในระบบ
การเชื่อมโยงระหว่าง GUI-vil และประเทศอินโดนีเซียมาจากที่อยู่ IP ต้นทาง ที่เกี่ยวข้องกับ Autonomous System Numbers (ASNs) สองหมายเลขที่ตั้งอยู่ในเอเชียตะวันออกเฉียงใต้
เป้าหมายหลักของกลุ่มดังกล่าว คือการสร้าง EC2 instances เพื่อขุดเหรียญ Cryptocurrency โดยผลกำไรที่กลุ่มนี้ได้จากการขุดเหรียญ Cryptocurrency เป็นเพียงจำนวนเงินที่น้อยมาก เมื่อเทียบกับค่าใช้จ่ายที่องค์กรของเหยื่อต้องจ่ายสำหรับการเรียกใช้ EC2 instances ดังกล่าว
ที่มา : thehackernews
แคมเปญ phishing รูปแบบใหม่ที่มุ่งเป้าหมายไปหน้า login ของ Amazon Web Services (AWS) โดยการใช้ Google ads เพื่อดันหน้าเว็บไซต์ phishing ขึ้นมาติดอันดับใน Google Search เพื่อขโมยข้อมูลการ login ของเหยื่อที่ไม่ระมัดระวัง
ในช่วงแรกผู้โจมตีจะใช้วิธี link โฆษณาไปยังหน้าเพจ phishing โดยตรง แต่ในภายหลังได้ใช้วิธีการเปลี่ยนเส้นทางไปยังหน้าเพจ phishing แทน เพื่อหลีกเลี่ยงการตรวจจับโดยระบบตรวจจับ fraud ของ Google ads (more…)
"Hotpatch" ที่เผยแพร่โดย Amazon Web Services (AWS) เพื่อแก้ไขปัญหาช่องโหว่ของ Log4Shell กลับทำให้ผู้โจมตีสามารถใช้ในการเพิ่มระดับสิทธิ์ และ container escape ซึ่งช่วยให้ผู้โจมตีสามารถเข้าควบคุมเครื่องได้
นอกเหนือจาก Container แล้ว กระบวนการที่ไม่ได้รับสิทธินี้ยังสามารถใช้ประโยชน์จากแพตช์เพื่อยกระดับสิทธิ์ และใช้ root code execution ได้” Yuval Avrahami นักวิจัยจาก Palo Alto Networks Unit 42 กล่าวในรายงานที่เผยแพร่ในสัปดาห์นี้
ปัญหาของช่องโหว่ CVE-2021-3100, CVE-2021-3101, CVE-2022-0070 และ CVE-2022-0071 (คะแนน CVSS: 8.8) ซึ่งเป็นผลกระทบมาจากแพตช์แก้ไขเร่งด่วนจาก AWS โดยเกิดมาจากการที่แพตซ์ถูกออกแบบมาเพื่อค้นหา process ของ Java และแก้ไขช่องโหว่ของ Log4j แต่ไม่ได้มีการตรวจสอบ process ของ Java ใหม่ ที่จะทำงานภายในข้อจำกัดที่กำหนดไว้ใน Container
process ใดๆที่มีการรันในไบนารีชื่อว่า 'java' ไม่ว่าภายใน หรือภายนอก Container จะถูกแก้ไขจากแพตช์เร่งด่วนที่ออกมานี้" Avrahami อธิบายอย่างละเอียดว่า "ซึ่งทำให้ Malicious container อาจใช้ Malicious binary ที่มีชื่อว่า 'java' เพื่อหลอกให้แพตช์แก้ไขเร่งด่วนที่ติดตั้งไว้ เรียกใช้ด้วยสิทธิ์ระดับสูง"
ในขั้นตอนต่อมา สิทธิ์ที่ยกระดับขึ้นอาจถูกนำไปใช้ประโยชน์โดย malicious 'java' process เพื่อหลีกเลี่ยงการตรวจจับของ Container และเข้าควบคุมเซิร์ฟเวอร์ที่ถูกบุกรุกได้อย่างสมบูรณ์
"Container มักถูกใช้เป็นขอบเขตความปลอดภัยระหว่างแอปพลิเคชันที่ทำงานบนเครื่องเดียวกัน" Avrahami กล่าว "การหลีกเลี่ยงการตรวจจับของ Container ทำให้ผู้โจมตีสามารถขยายแคมเปญได้มากกว่าแอปพลิเคชันเดียว"
ขอแนะนำให้ผู้ใช้อัปเดตแพตช์เป็นเวอร์ชันล่าสุดโดยเร็วที่สุดเพื่อป้องกันการโจมตีที่อาจจะเกิดขึ้น
ที่มา : thehackernews.