ไมโครซอฟต์ปล่อยแพตช์ด้านความปลอดภัยประจำเดือนเกือบ 70 รายการ
ไมโครซอฟต์ประกาศแพตช์ด้านความปลอดภัยประจำเดือนเมษายนแล้วเมื่ออาทิตย์ที่ผ่านมาโดยในรอบนี้ในครอบคลุมช่องโหว่ทั้งหมด 66 รายการ โดยมีช่องโหว่ระดับความร้ายแรงสูงกว่า 22 รายการ
แนะนำให้อัปเดตแพตช์ผ่านทาง Windows Update หรือในช่องทางอื่นๆ โดยด่วนเพื่อลดความเสี่ยงที่จะถูกโจมตีโดยช่องโหว่ดังกล่าว
ที่มา : Microsoft
กระทรวงความมั่นคงแห่งมาตุภูมิสหรัฐฯ ร่วมกับ FBI และหน่วยงานความมั่นคงทางไซเบอร์ของอังกฤษได้ร่วมกันออกประกาศแจ้งเตือนแคมเปญซึ่งเชื่อกันว่าผู้โจมตีได้รับการสนับสนุนจากรัสเซีย โดยแคมเปญการโจมตีดังกล่าวนั้นพุ่งเป้าไปที่อุปกรณ์เครือข่ายประเทศต่างๆ ซึ่งมีเป้าหมายทั้งในกลุ่มผู้ให้บริการสาธารณูปโภค ผู้ให้บริการเครือข่ายและในภาคส่วนอื่นๆ เพื่อทำการตั้งค่าอุปกรณ์ใหม่ให้มีการส่งข้อมูลกลับมายังรัสเซีย
สำหรับรายละเอียดในการโจมตีนั้น แฮกเกอร์จะพุ่งเป้าไปที่อุปกรณ์ที่มีการตั้งค่าที่ไม่ปลอดภัยอยู่ก่อนแล้ว หรือหมดอายุการซัพพอร์ตทางด้านความปลอดภัยโดยเป็นการโจมตีที่ไม่ต้องอาศัยช่องโหว่ 0day หรือช่องโหว่ในรูปแบบพิเศษใดๆ โดยแฮกเกอร์จะทำการสแกนพอร์ตมาที่พอร์ต 3, 80, 8080, 161, 162 และ 4768 เพื่อทำการเก็บข้อมูลก่อนที่จะพยายามเข้าถึงระบบตามลักษณะของโปรโตคอลที่ไม่ปลอดภัยต่างๆ หลังจากการโจมตีเสร็จเรียบร้อยแล้วแฮกเกอร์มักจะสร้างแอคเคาท์ลับ (backdoor) เอาไว้รวมไปถึงตั้งค่าการเชื่อมต่อใหม่เพื่อให้อุปกรณ์แอบส่งข้อมูลกลับไปยังเซิร์ฟเวอร์ของแฮกเกอร์ได้
ทาง US-CERT ได้ประกาศขั้นตอนในการตรวจสอบว่าถูกโจมตีหรือไม่และการตั้งค่าด้านความปลอดภัยที่ควรปฏิบัติเอาไว้แล้ว แนะนำให้ตรวจสอบวิธีการรับมือพร้อมทั้ง IOC เพิ่มเติมได้จากแหล่งที่มา
ที่มา : us-cert
Oracle ประกาศแพตช์ด้านความปลอดภัยประจำเดือนเมษายน 2018 โดยแพตช์ด้านความปลอดภัยนี้นั้นมีจำนวนช่องโหว่ที่ถูกแพตช์ไปแล้วรวมทั้งหมด 251 รายการ ซึ่งมีช่องโหว่ที่มีความร้ายแรงในระดับวิกฤติ (คะแนน 9.8 เต็ม 10) อยู่ในหลายผลิตภัณฑ์ อาทิ Oracle Enterprise Manager Products Suite และ Oracle Financial Services Applications
แนะนำให้ผู้ดูแลระบบเข้าไปตรวจสอบรายละเอียดเพิ่มเติมจากแหล่งที่มา และดำเนินการแพตช์เพื่อลดความเสี่ยงที่จะถูกโจมตีโดยช่องโหว่ดังกล่าวโดยด่วน
ที่มา : http://www.
Zimperium แจ้งเตือนมัลแวร์บนแอนดรอยด์ FalseGuard คาดว่าติดแล้วกว่า 600,000 ตัว
มัลแวร์ FalseGuard ถูกตรวจพบ(อีกครั้ง) หลังจากที่มันซ่อนตัวอยู่ในแอพกว่า 40 แอพบน Google Play ตั้งแต่เดือนกุมภาพันธ์ทีผ่านมา Zimperium ประเมินว่ามีอุปกรณ์ที่ติดเชื้อแล้วจาก FalseGaurd "เฉพาะรุ่นที่ถูกตรวจพบ" ประมาณ 600,000 รายการ
FalseGuard มีลักษณะคล้ายมัลแวร์บนแอนดรอยด์ทั่วไป โดยมีลักษณะการขอ permission ของเครื่องเป็นจำนวนมาก เมื่อมีการติดตั้งแล้วมันสามารถดาวโหลดโมดูลอื่นๆ เพื่อมาติดตั้งต่อได้
ที่มา : zimperium
พบช่องโหว่ 0day ใน Microsoft Office ทำให้เมื่อผู้ใช้ที่เปิดไฟล์ document ที่ฝังโค้ดอันตรายไว้อาจถูกยึดเครื่องได้ แม้เครื่องผู้ใช้จะเป็น Windows 10 ที่ patch ล่าสุดและไม่ได้ enable macro ใน Microsoft Office แล้วก็ตามที
ช่องโหว่ดังกล่าวถูกพบและเปิดเผยโดย McAfee เมื่อวันศุกร์(07/04/2017) ที่ผ่านมา และมีการ confirm ว่าใช้งานได้จริงโดยทางทีม Research ของ FireEye โดยช่องโหว่ดังกล่าวจะเป็นการโจมตีที่ไม่จำเป็นต้องหลอกให้ user เปิดไฟล์พร้อมกับใช้งาน Macro แต่อย่างใด เพียงแค่เปิดไฟล์ใน Microsoft Office ที่มีช่องโหว่ก็สามารถยึดเครื่องได้ทันที โดยช่องโหว่นี้เกี่ยวกับ Windows Object Linking and Embedding (OLE) ซึ่งเป็น feature สำคัญของ Microsoft Office อีกด้วย
สิ่งที่ Hacker ทำคือ Hacker สร้างไฟล์ RTF (Rich Text Format) ขึ้นมา โดยภายในไฟล์นั้นจะฝัง OLE2Link ไว้ เมื่อเปิดไฟล์ด้วยเวิร์ด ส่วนของ OLE จะทำงานทำให้เอกสารมีการติดต่อไปยัง C&C (Command & Control Server) เพื่อ download .hta ไฟล์ลงมา จากนั้นจึงรันไฟล์ .hta นั้นๆ อีกที
ซึ่งทาง McAfee ได้มีการนำเรื่องนี้ให้ Microsoft จัดการปิดช่องโหว่ดังกล่าว ซึ่งก็คงต้องรอต่อไปว่า Microsoft จะออก patch เมื่อไหร่ครับ ตอนนี้สิ่งที่ทำได้คือการป้องกันโดยการเปิดไฟล์ในลักษณะ Protected View ไปก่อน
ที่มา : HELPNETSECURITY
Palo Alto แจ้งเตือนมัลแวร์ Trochilus และ MoonWind ที่โจมตีหลายหน่วยงานในไทย
Palo Alto ได้มีการประกาศแจ้งเตือนการแพร่กระจายของมัลแวร์ Trochilus และ MoonWind ที่มุ่งโจมตีหน่วยงานหลายแห่งในไทยเมื่อสุดสัปดาห์ทีผ่านมาโดยมีการตรวจพบการโจมตีของมัลแวร์ในช่วงเดือนกันยายนถึงเดือนพฤศจิกายของปีที่ผ่านมา
สำหรับมัลแวร์ MoonWind ที่พึ่งมีการตรวจสอบพบล่าสุดนั้น เมื่อมีการแพร่กระจายไปยังระบบแล้ว มัลแวร์จะมีการสร้างโปรเซสชื่อ svcohos.
JPCERT/CC ได้มีการประกาศแจ้งเตือนพฤติกรรมของมัลแวร์ที่มีการขโมยข้อมูลจากอุปกรณ์เก็บข้อมูลแบบ USB วันนี้
พฤติกรรมของมัลแวร์ดังกล่าวจะเริ่มต้นที่การแพร่กระจายไปยังเครื่องเป้าหมายที่สามารถเข้าถึงอินเตอร์เน็ต หลังจากนั้นมัลแวร์จะมีการติดตั้งตัวเองไปที่ C:\intel\logs, C:\Windows\System32 หรือพาธอื่นๆ ที่มัลแวร์มีการแก้ไขด้วยชื่อไฟล์ อาทิ intelUPD.exe, intelu.
ไม่มีที่ไหนที่ปลอดภัย ทุกๆที่สามารถตกเป็นเป้าหมายการโจมตีได้หมด ล่าสุดเว็บไซด์สมัครงานของ McDonald Canada ถูกแฮ็ค ทำให้ข้อมูลผู้ที่สมัครงาน McDonald Canada หลุดออกมาถึง 95,000 คน
McDonald Canada ประกาศออกมาเองว่าเว็บไซด์สมัครงานของตนถูกแฮ็ค มีข้อมูลหลุดออกมาประมาณ 95,000 คน โดยเป็นผู้สมัครงานผ่านช่องทางเว็บไซด์ตั้งแต่ มีนาคม 2014 - มีนาคม 2017 ซึ่งข้อมูลมีทั้ง ชื่อ, ที่อยู่, หมายเลขโทรศัพท์, email address, ประวัติการทำงานย้อนหลัง และข้อมูลส่วนตัวอื่นๆ แต่ไม่มีข้อมูล หมายเลขประกันสังคม, ข้อมูลธนาคารและข้อมูลสุขภาพ หลุดออกมาด้วย เมื่อทีมงานทราบได้ทำการปิดเว็บไซด์รับสมัครงานนั้นทันที พร้อมทั้งเริ่มทำการสืบสวนแล้ว อีกทั้ง McDonald จะแจ้งผู้สมัครทุกคนที่ได้รับผลกระทบทั้งทางจดหมาย , อีเมล์, เบอร์โทรศัพท์ อีกทั้ง McDonald ยังมีการแยกเบอร์สำหรับรับเรื่องการได้รับผลกระทบจากการนำข้อมูลที่หลุดออกไปใช้อีกด้วย
ที่มา : Globalnews
นักวิจัยด้านความปลอดภัยค้นพบ Ransomware ตัวใหม่ที่มีชื่อว่า “7ev3n-HONE$T” ซึ่งจะทำการเข้ารหัสไฟล์ในเครื่องและเปลี่ยนนามสกุลไฟล์เป็น .R5A เพื่อเรียกค่าไถ่เป็นเงิน 1 Bitcoin หรือประมาณ 400 ดอลล่าร์ โดยยังไม่มีข้อมูลแน่นอนว่า Ransomware ดังกล่าวถูกเผยแพร่ทางไหน และยังไม่พบวิธีในการถอดรหัสเพื่อกู้คืนข้อมูล
แนะนำผู้ใช้ไม่ควรเข้าเว็บไซต์หรือเปิดไฟล์แนบที่น่าสงสัย และควรทำการอัปเดทซอฟแวร์อย่างสม่ำเสมอ
ที่มา : bleepingcomputer
สัปดาห์ที่ผ่านมา นักวิจัยด้านความมั่นคงปลอดภัยจาก Proofpoint ได้ออกมาเปิดเผยถึง Ransomware หรือมัลแวร์เรียกค่าไถ่ตัวใหม่ ชื่อว่า “CyrptXXX” ที่นอกจากจะเข้ารหัสไฟล์ข้อมูลเรียกค่าไถ่แล้ว ยังพยายามขโมยเงิน Bitcoin และ Username/Password ที่ใช้ล็อกอินของเหยื่ออีกด้วย แต่ข่าวดีคือ Kaspersky Lab ได้ออก Decrypter สำหรับปลดล็อก CryptXXX ได้สำเร็จ โดยไม่ต้องเสียค่าไถ่อีกต่อไป
หลังจาก CryptXXX ถูกติดตั้งสู่เครื่องคอมพิวเตอร์แล้ว มันจะทำการเข้ารหัสไฟล์ข้อมูลแล้วต่อท้ายนามสกุลไฟล์เป็น .crypt จากนั้นจะแสดงข้อความเรียกค่าไถ่เป็นจำนวนเงิน $500 หรือประมาณ 18,000 บาทเพื่อแลกกับกุญแจปลดรหัส แต่ที่ร้ายกาจคือ CryptXXX จะแอบขโมย Bitcoin wallet และข้อมูล Credential ต่างๆ เช่น FTP Client, Instant Messaging Client, Email และ Browser อีกด้วย
อย่างไรก็ตาม Kaspersky Lab ค้นพบจุดอ่อนของ Ransomware ดังกล่าว และได้ทำการออก Decrypter สำหรับปลดรหัสไฟล์โดยไม่ต้องจ่ายค่าไถ่เป็นที่เรียบร้อย เรียกว่า “RannohDecryptor” หลังจากที่ปลดรหัสไฟล์เรียบร้อยแล้ว สามารถถอนการติดตั้งโปรแกรม Decrypter ออกได้ทันที นอกจากนี้ แนะนำว่าให้ใช้โปรแกรม Anti-malware สแกนเครื่องคอมพิวเตอร์ทั้งหมดอีกครั้ง เพื่อให้มั่นใจว่ามัลแวร์ถูกกำจัดออกไปจากเครื่องจนหมดจริง
ที่มา : bleepingcomputer