การโจมตีเริ่มต้นด้วยการกำหนดเป้าหมายก่อนจะส่งข้อความไปเสนองาน (spear-phishing) โดยจะส่งไฟล์ zip ที่ถูกตั้งชื่อให้ตรงกับตำแหน่งงานของเป้าหมายที่แสดงใน LinkedIn เมื่อเปิดไฟล์จะถูกติดตั้ง backdoor ที่มีชื่อว่า "more_egg" ซึ่งเป็น fileless ลงบนเครื่องโดยไม่รู้ตัว จากนั้นจะทำการยึดโปรเซสที่ถูกต้องของ Windows เพื่อหลบหลีกการตรวจจับ แต่ในระหว่างนั้นจะมีการเบี่ยงเบียนความสนใจด้วยการวางเหยื่อล่อ ด้วยการให้เหยื่อสนใจใบสมัครปลอมที่สร้างขึ้นมา มัลแวร์ตัวนี้สามารถถูกใช้เป็นช่องทางในการส่งมัลแวร์อื่น ๆ เข้ามาที่เครื่องเหยื่อก็ได้ ยกตัวอย่างเช่น banking trojan, ransomware, มัลแวร์ขโมยข้อมูล หรือถูกใช้เพื่อวาง backdoor ตัวอื่น ๆ เพื่อขโมยข้อมูลออกไปก็ได้

รายงานระบุว่า more_egg เป็นมัลแวร์ที่เคยถูกพบมาตั้งแต่ปี 2018 ผู้ไม่หวังดีที่ต้องการใช้งานจะสามารถหาซื้อได้จากบริการ malware-as-a-service (MaaS) ที่มีชื่อว่า "Golden Chicken" ได้ เคยถูกใช้โดย Threat Actor หลายกลุ่ม เช่น Cobalt, Fin6 และ EvilNum แต่สำหรับเหตุการณ์นี้ยังไม่สามารถระบุชัดเจนได้ว่า Threat Actor กลุ่มไหนเป็นผู้อยู่เบื้องหลัง

ที่มา: thehackernews

ข้อมูลดังกล่าวประกอบด้วยชื่อ- นามสกุล, Facebook ID, เบอร์โทรศัพท์, อีเมล, เพศ, อาชีพ และประเทศ เป็นต้น และเป็นข้อมูลของผู้ใช้งาน Facebook มากกว่า 533 ล้านราย จาก 106 ประเทศ แต่ไม่พบว่ามีข้อมูลของผู้ใช้งานในประเทศไทย เชื่อว่าข้อมูลดังกล่าวรั่วไหลมาตั้งแต่ปี 2019 ผ่านทางช่องโหว่เก่าของ Facebook ที่ได้รับการแก้ไขไปแล้ว ข้อมูลดังกล่าวจึงเป็นข้อมูลตั้งแต่เมื่อปี 2019 ทั้งนี้จากข้อมูลล่าสุดมีการระบุว่า Mark Zuckerberg ผู้ก่อตั้ง Facebook เองก็เป็นหนึ่งในผู้เสียหายที่มีข้อมูลหลุดออกมาเช่นเดียวกัน

ที่มา: thehackernews

ช่องโหว่ดังกล่าว (CVE-2021-21982) มีความรุนแรงระดับ critical ได้รับคะแนน CVSS 9.1 จาก 10 ส่งผลให้ผู้โจมตีสามารถเข้าถึงระบบได้โดยไม่ต้องพิสูจน์ตัวตน (authentication bypass) Carbon Black Cloud Workload เป็นผลิตภัณฑ์ Data Center ที่มีความสามารถด้าน security มาด้วย หากผู้โจมตีสามารถเข้าถึงหน้า URL สำหรับเข้าสู่ระบบของผู้ดูแลได้ ก็จะสามารถโจมตีเพื่อรับ authentication token และสามารถใช้งาน API ของผลิตภัณฑ์ได้

VMware Carbon Black Cloud Workload appliance เวอร์ชั่น 1.0.1 และก่อนหน้านั้น คือเวอร์ชั่นที่ได้รับผลกระทบ ควรอัพเดตเป็นเวอร์ชั่น 1.0.2

ที่มา: securityaffairs, vmware

ทีมนักวิจัยจาก WordFence พบช่องโหว่ของ plugin ที่รู้จักกันในชื่อว่า "Official Facebook Pixel" ส่งผลให้ผู้ไม่หวังดีสามารถเข้าถึงค่า salts และ keys โดยไม่ต้องพิสูจน์ตัวตน (unauthenticate) เพื่อนำไปใช้รันคำสั่งอันตราย (RCE) ร่วมกับเทคนิค deserialization ช่องโหว่ยังสามารถถูกใช้เพื่อ inject JavaScript เข้าไปใน setting ของ plugin หากสามารถหลอกให้เหยื่อคลิกลิงก์ได้ และได้มีการแจ้งให้ Facebook ทราบตั้งแต่ธันวาคมปีที่แล้ว และได้มีการปล่อยแพทช์แก้ไขเมื่อเดือนมกราคมที่ผ่านมา ช่องโหว่ได้รับความรุนแรงในระดับ critical และมีคะแนน 9 จาก 10 (CVE-2021-24217)

หลังจากนั้นได้มีการค้นพบช่องโหว่ที่ 2 และแจ้งไปยัง Facebook ตั้งแต่ปลายเดือนมกราคมที่ผ่านมา และได้มีการออกแพทช์เพื่อแก้ไขปัญหาไปในช่วงกลางเดือนกุมภาพันธ์ที่ผ่านมา เป็นช่องโหว่ Cross-Site Request Forgery มีความรุนแรงในระดับ high มีคะแนน 8.8 จาก 10 (CVE-2021-24218) หากโจมตีสำเร็จจะทำให้ผู้ไม่หวังดีสามารถเข้าถึงข้อมูลสำคัญบนเว็บไซต์ จากการ inject JavaScript เข้าไปในส่วน setting ของ plugin ได้

ผู้ที่มีการใช้งาน plugin ดังกล่าวควรทำการอัพเดตเป็นเวอร์ชั่น 3.0.5 เพื่อแพตช์ช่องโหว่ดังกล่าว

ที่มา: securityaffairs, wordfence

Adobe แก้ไขช่องโหว่จำนวน 87 ช่องโหว่ในแพตช์ประจำเดือน (Patch Tuesday) ส่วนใหญ่อยู่ในผลิตภัณฑ์ Adobe Acrobat และ Adobe Reader

จากช่วงโหว่จำนวน 87 ช่องโหว่ที่อยู่ภายในผลิตภัณฑ์ Adobe Acrobat, Adobe Reader,Adobe Flash Player และ Adobe Media Encoder มีช่องโหว่ในระดับควรอัปเดต (important) 36 ช่องโหว่ และช่องโหว่ในระดับความรุนแรงสูงสุด 48 ช่องโหว่ ซึ่งผู้โจมตีสามารถใช้ประโยชน์จากช่องโหว่ในระดับความรุนแรงสูงสุดเพื่อรันคำสั่งอันตรายที่ใช้ควบคุมระบบได้ เช่น ฝังคำสั่งอันตรายไว้ในไฟล์ PDF ที่จะทำงานเมื่อผู้ใช้งานเปิดไฟล์ PDF ด้วย Adobe Reader ที่มีช่องโหว่ดังกล่าว แนะนำให้ผู้ใช้งานทำการอัปเดตแพตช์ให้เป็นเวอร์ชั่นล่าสุดเพื่อลดความเสี่ยง

ที่มา : threatpost

Apple ได้ทำการปล่อยอัพเดตแพตช์ด้านความปลอดภัยเพื่อแก้ไขช่องโหว่ในหลายผลิตภัณฑ์ ได้แก่
• watchOS 5.2.1
• Safari 12.1.1
• Apple TV Software 7.3
• tvOS 12.3
• iOS 12.3 และ
• macOS Mojave 10.14.5, Security Update 2019-003 High Sierra, Security Update 2019-003 Sierra
ช่องโหว่ที่มีความรุนแรงสูงสุดที่ถูกแก้ไขในแพตช์นี้สามารถถูกผู้โจมตีใช้ควบคุมเครื่องได้จากระยะไกล ผู้โจมตีสามารถติดตั้งโปรแกรมอยู่กับสิทธิที่เกี่ยวข้องกับผู้ใช้ ดูการเปลี่ยนแปลงหรือลบข้อมูล หรือสร้างบัญชีใหม่ที่มีสิทธิผู้ใช้เต็มรูปแบบ แนะนำให้ผู้ใช้งานทำการอัปเดตแพตช์

ที่มา : us-cert

Oracle ออกแพตช์อัปเดตสำคัญเพื่อแก้ไขช่องโหว่ 297 ช่องโหว่ในหลายผลิตภัณฑ์

Oracle ออกแพตช์อัปเดตสำคัญประจำเดือนเมษายน 2019 เพื่อแก้ไขช่องโหว่กว่า 297 ช่องโหว่ในหลายผลิตภัณฑ์ เป็นช่องโหว่ที่ร้ายแรงมาก (critical) กว่า 53 ช่องโหว่ โดย Oracle Fusion Middleware เป็นผลิตภัณฑ์ที่ถูกแก้ไขมากที่สุดในแพตช์ครั้งนี้ด้วยช่องโหว่กว่า 53 ช่องโหว่ ผลิตภัณฑ์ที่ได้รับการแก้ไขมากรองลงมาเป็น Oracle MySQL ได้รับการแก้ไข 45 ช่องโหว่

รายชื่อผลิตภัณฑ์ทั้งหมดที่ถูกแก้ไขในแพตช์อัปเดตนี้ได้แก่
Oracle Database Server
Oracle Berkeley DB
Oracle Commerce
Oracle Communications Applications
Oracle Construction and Engineering Suite
Oracle E-Business Suite
Oracle Enterprise Manager Products Suite
Oracle Financial Services Applications
Oracle Food and Beverage Applications
Oracle Fusion Middleware
Oracle Health Sciences Applications
Oracle Hospitality Applications
Oracle Java SE
Oracle JD Edwards Products
Oracle MySQL
Oracle PeopleSoft Products
Oracle Retail Applications
Oracle Siebel CRM
Oracle Sun Systems Products
Oracle Supply Chain Products
Oracle Support Tools
Oracle Utilities Applications
Oracle Virtualization

ผู้ดูแลระบบควรตรวจสอบรายการแพตช์ดังกล่าวบน oracle และทำการอัปเดตเพื่อลดความเสี่ยงจากการถูกโจมตีโดยช่องโหว่ต่างๆ

ที่มา: us-cert , securityweek

Apache Tomcat ออกอัปเดตเพื่อแก้ไขช่องโหว่ที่ทำให้สามารถถูกรันคำสั่งอันตรายจากระยะไกลได้

Apache Software Foundation ออกอัปเดตเพื่อแก้ไขช่องโหว่สำคัญบน Apache Tomcat เป็นการแก้ไขช่องโหว่ CVE-2019-0232 ซึ่งเป็นช่องโหว่ใน CGI Servlet ของ Tomcat ในกรณีที่ Tomcat ทำงานบนระบบปฏิบัติการณ์ Windows ที่มีการตั้งค่า enableCmdLineArguments ผู้โจมตีจะสามารถส่งคำสั่งไปยัง Servlet ซึ่งจะส่งคำสังดังกล่าวต่อไปยังระบบปฏิบัติการณ์ Windows ได้ (OS command injection)

โดย Apache Tomcat ในบางรุ่นจะมีการปิดการตั้งค่า enableCmdLineArguments ไว้เป็นค่าเริ่มต้น ทำให้มีเพียง Apache Tomcat บางรุ่นเท่านั้นที่ได้รับผลกระทบดังกล่าว โดยรุ่นที่ได้รับผลกระทบได้แก่
Apache Tomcat รุ่น 9.0.0.M1 ถึง 9.0.17
Apache Tomcat รุ่น 8.5.0 ถึง 8.5.39
Apache Tomcat รุ่น 7.0.0 ถึง 7.0.93

Apache Software Foundation ได้ออกคำแนะนำสำหรับลดความเสี่ยงจากช่องโหว่ดังกล่าวว่า ใช้อัปเดต Apache Tomcat เป็นรุ่นที่ไม่ได้รับผลกระทบ คือ
อัปเดตเป็น Apache Tomcat รุ่น 9.0.18 เป็นต้นไป
อัปเดตเป็น Apache Tomcat 8.5.40 เป็นต้นไป
อัปเดตเป็น Apache Tomcat 7.0.93 เป็นต้นไป
หรือในกรณีที่ไม่สามารถอัปเดตได้ ให้ตั้งค่า enableCmdLineArguments เป็น false

ที่มา thehackernews , bleepingcomputer

แฮกเกอร์สามารถเข้าถึงบัญชีพนักงานของ Microsoft Support ส่งผลให้เข้าถึงบัญชีอีเมล Outlook ของผู้ใช้งานได้

หากมีการใช้บริการอีเมล Microsoft Outlook เป็นไปได้ว่าข้อมูลในบัญชีอาจจะถูกเข้าถึงโดยแฮกเกอร์ที่ยังไม่ทราบกลุ่ม เมื่อต้นปีที่ผ่านมาแฮกเกอร์ได้มีพยายามเปิดเผยข้อมูลที่อยู่ในส่วนของ Microsoft's customer support และข้อมูลบัญชีอีเมลบางรายที่มีการลงทะเบียนกับ Outlook เอาไว้

เมื่อวันที่ 12 เมษายนที่ผ่านมามีผู้ใช้งานได้ทำการเปิดเผยข้อมูลบน Reddit ว่าตนเองได้รับอีเมลแจ้งเตือนจาก Outlook ว่าบัญชีอีเมลที่ใช้งานอยู่ถูกเข้าถึงโดยกลุ่มผู้ไม่หวังดีที่ยังระบุตัวตนไม่ได้ หลังจากนั้นก็มีผู้ใช้งานอื่นๆ มาแสดงความเห็นว่าตนเองก็ได้รับอีเมลแจ้งเตือนในลักษณะเดียวกัน โดยเนื้อหามีการระบุว่า บริษัทตรวจพบว่ามีกลุ่มผู้ไม่หวังดีสามารถเข้าถึงบัญชีผู้ใช้งานของพนักงานผู้ให้บริการ ส่งผลให้ผู้ไม่หวังดีสามารถเข้าถึงข้อมูลเกี่ยวกับบัญชีผู้ใช้งานอีเมลบางราย เช่น อีเมลแอดเดรส, ชื่อโฟลเดอร์, หัวข้ออีเมล และอีเมลแอดเดรสของผู้รับที่เคยมีการติดต่อด้วย แต่ไม่สามารถเข้าถึงเนื้อหาของอีเมล และไฟล์แนบได้

ในขณะนี้ยังไม่แน่ชัดว่าผู้โจมตีสามารถเข้าถึงบัญชีพนักงานของ Microsoft ได้อย่างไร แต่บริษัทยืนยันว่าได้นำข้อมูล credential ที่ถูกขโมยออก และเริ่มแจ้งลูกค้าที่ได้รับผลกระทบทั้งหมด แต่ยังไม่มีการเปิดเผยจำนวนบัญชีผู้ใช้งานทั้งหมดที่ได้รับผลกระทบ

ที่มา: thehackernews

ผู้เชี่ยวชาญพบแคมเปญมัลแวร์ใช้ประโยชน์จากช่องโหว่บน Chrome ในมือถือสำหรับ iOS เพื่อเปลี่ยนเส้นทางผู้ใช้ iPhone และ iPad ไปยังเว็บไซต์ที่เป็นอันตราย

ข้อผิดพลาดนี้ช่วยให้โค้ดที่เป็นอันตรายซึ่งถูกซ่อนไว้ในเว็บไซต์โฆษณาสามารถหลบหลีกจากการถูกตรวจจับจาก Sandbox iframe ได้ และเปลี่ยนเส้นทางผู้ใช้ไปยังเว็บไซต์อื่นหรือแสดงป๊อปอัปที่น่ารำคาญบนเว็บไซต์ที่ถูกกฎหมาย ส่งผลกระทบกับ Chrome สำหรับ iOS เท่านั้น

Sandbox attribute บน iframe tag เป็นความสามารถที่ช่วยเพิ่มเติมด้านความปลอดภัยให้กับผู้ใช้งานเว็บไซต์ โดยเอกสารหรือหน้าเว็บไซต์โฆษณาที่ถูกดึงมาและอยู่ใน iframe จะถูกจำกัดความสามารถบางอย่าง เช่น ไม่สามารถถูกใช้ submit ข้อมูลได้, ไม่สามารถรัน script ได้, ไม่สามารถถูกใช้ในการเรียก API ได้ และความสามารถที่จะทำงานเองอัตโนมัติ จะไม่สามารถทำงานได้ เป็นต้น

ทั้งนี้สาเหตุที่กระทบกับ Chrome สำหรับ iOS เพียงอย่างเดียวนั้น เป็นเพราะว่า Chrome บน iOS ไม่ใช่ Chromium-based browser แต่ทำงานบน WebKit ซึ่งเป็นเครื่องมือแสดงผลเบราว์เซอร์ภายในของ Safari อย่างไรก็ตาม Safari ไม่ได้รับผลกระทบจากข้อผิดพลาดนี้ ซึ่งหมายความว่านี่เป็นปัญหาที่เกิดจากการพัฒนาของ Google เพื่อให้ Chrome บน iOS สามารถทำงานร่วมกับ WebKit ได้เท่านั้น

ที่มา : zdnet