Cisco Talos พบการกลับมาใช้งาน China Chopper อีกครั้ง ในเลบานอนและประเทศอื่นๆ ในเอเชีย

เครื่องมือการแฮกอย่าง web shell ที่รู้กันในนาม China Chopper พบครั้งแรกเมื่อเก้าปีที่แล้วและถูกใช้โดยกลุ่มที่เกี่ยวข้องกับการแฮกที่ได้รับการสนับสนุนจากรัฐบาลจีน ถูกพบการกลับมาใช้งานอีกครั้ง web shell คือสคริปต์ที่ยอมให้ผู้โจมตีควบคุมการเข้าถึงเซิฟเวอร์ที่ทำงานบนเว็บแอปพลิเคชัน การใช้ช่องโหว่นี้มักไม่สามารถตรวจพบได้

“China Chopper คือ web shell ที่แนบเนียนโดยไม่ได้รับความสนใจมากนัก” นักวิจัย FireEye กล่าวในปี 2013 โดยจาก China Chopper เวอร์ชั่นที่ Cisco Talos พบในปัจจุบันใช้โค้ดเพียง 1 บรรทัด

แม้จะซ่อนตัวอย่างแนบเนียน แต่ก็พบการใช้งานหลายครั้งในช่วงหลายปีที่ผ่านมา China Chopper ถูกใช้ไปในวงกว้างและจำนวนผู้ไม่หวังดีที่ใช้มันก็มีโอกาสจะเพิ่มขึ้นเรื่อยๆ ในระยะสองปีให้หลัง

Cisco Talos ยกตัวอย่างการใช้ China Chopper สามเคส ซึ่งน่าจะเกิดจากกลุ่มคนละกลุ่ม
* แคมเปญแรกที่มีเป้าหมายเป็นองค์กรของรัฐบาลเอเชียเพื่อขโมยเอกสารและสำเนาดาต้าเบสโดยการติดตั้ง China Chopper บนเว็บเซิฟเวอร์ไม่กี่ตัว
* ในแคมเปญที่สองที่เผยให้ทราบว่ามีผู้โจมหลายคน ransomware หลายตัว รวมถึง Sodinokibi และ GandCrab ที่ถูกใช้โดยมีเป้าหมายเป็นองค์กรในเลบานอน การโจมตีในกรณีนี้จะขโมยรหัสผ่านบางตัวใน local memory และใช้ remote access tool อย่าง Gh0stRAT และ Venom
* แคมเปญที่สามในสองปีที่ผ่านมา ได้ระบุเป้าหมายเป็นผู้ให้บริการเว็บโฮสต์ในเอเชีย และทำการบุกรุกวินโดว์เซิฟเวอร์นานกว่าสิบเดือน

นักวิจัยหลายคนได้เชื่อมโยงการโจมตีของ China Chopper ก่อนหน้านี้กับแฮกเกอร์ชาวจีน แต่ Talos คิดว่ามันไม่สอดคล้องกับแคมเปญล่าสุด

นักวิจัย Cybereason ได้ระบุว่า China Chopper ในปีที่ผ่านมา ได้ถูกใช้ในเชิง “การโจมตีถาวรแบบขั้นสูง” ในการต่อต้านผู้ให้บริการโทรคมนาคมที่ใช้เครื่องมือและเทคนิคโดยเกี่ยวข้องกับผู้ไม่หวังดีชาวจีน เช่น APT10

ผู้ที่มีรัฐหนุนหลังมีความเชื่อมโยงกับชาวจีน เช่น กลุ่ม cyber-espionage Leviathan หรือ Threat Group-3390 มักจะใช้ China Chopper ตามที่ MITRE กล่าว Leviathan กลุ่มที่นักวิจัย FireEye ใน APT40 โดย FireEye คาดการณ์ว่าเหล่าสมาชิกผู้ก่อการร้ายนี้เป็นผู้ขับเคลื่อนความสามารถของกองทัพเรือจีนให้ทันสมัย

web shell นี้แพร่หลาย จึงทำให้ผู้ไม่หวังดีกลุ่มไหนก็ใช้มันได้ นี่หมายความว่าแทบเป็นไปไม่ได้เลยที่จะระบุว่ากลุ่มไหนโจมตีโดยอ้างจากการใช้ China Chopper เท่านั้น ซึ่งจากการ forensic ระบุว่ามีการใช้คำสั่ง RAR ที่เจาะจงในการโจมตี ทำให้ Talos เชื่อว่าการพบการใช้งาน China Chopper ในครั้งนี้แตกต่างจากกลุ่มที่เคยพบมาก่อนอย่างแฮกเกอร์ชาวจีน

ที่มา:cyberscoop

พบแฮกเกอร์โจมตีช่องโหว่ใน Webmin, Pulse Secure VPN และ Fortinet VPN
บริษัททั่วโลกมีความเสี่ยงหลังจากแฮกเกอร์เริ่มโจมตีจากสามผลิตภัณฑ์ที่เป็นที่นิยมมาก ซึ่งทั้งสามผลิตภัณฑ์ถูกเปิดเผยรายละเอียดช่องโหว่รวมถึงโค้ดตัวอย่างสำหรับโจมตีในเดือนนี้
การโจมตีเริ่มขึ้นเมื่อช่วงต้นสัปดาห์ (24 สิงหาคม 2019) โดยผู้โจมตีมุ่งเป้าไปที่ Webmin เครื่องมือบริหารจัดการระบบ UNIX และยังรวมถึงผู้ให้บริการ VPN เช่น Pulse Secure และ FortiGate ของ Fortinet คงไม่ผิดนักถ้าจะกล่าวว่าการโจมตี Webmin, Pulse Secure และ Fortinet FortiGate นี้เป็นเรื่องที่เลวร้ายที่สุดในรอบปี
การโจมตี Webmin เกิดเมื่อมีข่าวใหญ่พบ backdoor ใน Webmin ซอร์สโค้ด หลังจากที่ผู้หวังไม่ดีทำการบุกรุกเซิฟเวอร์ของผู้พัฒนา Webmin และ backdoor อยู่มานานมากกว่าหนึ่งปีก่อนจะถูกพบ
การแสกนหาช่องโหว่นี้เริ่มหลังจากนักวิจัยความปลอดภัยได้นำเสนอที่ DEF CON งานประชุมด้านความปลอดภัย ซึ่งกล่าวถึงรายละเอียดของช่องโหว่ (ภายหลังพิสูจน์ว่าเป็น backdoor) ในเชิงลึก
ซึ่งมีผู้ไม่หวังดีกำลังใช้ประโยชน์จากช่องโหว่ของ Webmin หนึ่งในนั้นคือเจ้าของ IoT botnet ชื่อ Cloudbot
แนะนำให้ผู้ดูแล Webmin ทำการอัปเดทสู่ v1.930 ที่ปล่อยออกมาเมื่อวันอาทิตย์เพื่อป้องกันระบบต่อ CVE-2019-15107 (ช่องโหว่ RCE/backdoor) เพราะจากโค้ดตัวอย่างสำหรับโจมตีที่นักวิจัยปล่อยออกมานี้ ทำให้การโจมตีง่ายและนำไปใช้โจมตีแบบอัตโนมัติได้แม้ผู้โจมตีไม่เก่ง
การโจมตี Pulse Secure และ Fortinet FortiGate VPN เริ่มจากการเปิดเผยช่องโหว่ในงานสัมมนา Black Hat ในหัวข้อที่มีชื่อว่า “Infiltrating Corporate Intranet Like NSA: Pre-auth RCE on Leading SSL VPNs," ที่มีรายละเอียดเกี่ยวกับช่องโหว่ความปลอดภัยในผู้ให้บริการ VPN หลายตัว
อย่างไรก็ตาม เป้าหมายการโจมตีไม่ใช่โปรดักส์ VPN ทุกตัวที่พูดคุยในงานนี้ แต่โจมตีเฉพาะ Pulse Secure VPN และ FortiGate VPN ของ Fortinet
มีความเป็นได้ไปสูงที่ผู้โจมตีจะใช้รายละเอียดเทคนิคและแนวคิดพื้นฐานจากเนื้อหาภายในบล็อกของ Devcore บริษัทที่ผู้พูดหัวข้อดังกล่าวทำงานอยู่
โดยในบล็อกมีรายละเอียดและตัวอย่างโค้ดสำหรับช่องโหว่หลายๆ ช่องโหว่ในสอง VPN ดังกล่าว อย่างไรก็ตาม ผู้โจมตีเลือกเพียงสองจากช่องโหว่เหล่านั้นที่ชื่อ CVE-2019-11510 (ส่งผลต่อ Pulse Secure) และ CVE-2018-13379 (ส่งผลต่อ FortiGate)
ทั้งสองตัวคือ "pre-authentication file reads" หมายถึงประเภทของช่องโหว่ที่อนุญาตให้แฮกเกอร์ดึงไฟล์จากระบบเป้าหมายโดยไม่ต้องพิสูจน์ตัวตน
จาก Bad Packets และนักวิจัยคนอื่นๆ บน Twitter แฮกเกอร์ได้แสกนบนอินเตอร์เน็ตเพื่อหาอุปกรณ์ที่มีช่องโหว่ และจากนั้นพวกเขาจะทำการดึงไฟล์รหัสผ่านของระบบจาก Pulse Secure VPNs และไฟล์ VPN session จาก FortiGate VPN ทำให้ผู้โจมตีล็อกอินเข้าสู่อุปกรณ์หรือทำการใช้ VPN session ปลอมได้
Bad Packets กล่าวว่า มีเกือบ 42,000 Pulse Secure VPN ที่ออนไลน์อยู่ และกว่า 14,500 ที่ยังไม่ได้อัปเดทแพตช์ ถึงแม้ว่าแพตช์จะถูกปล่อยออกมาเป็นเดือนแล้ว
จำนวน FortiGate VPNs นั้นเชื่อกันว่ามีอยู่หลายแสนผู้ใช้ แม้ว่าจะไม่มีสถิติที่แน่นอนเกี่ยวกับระบบที่ยังไม่รับการป้องกันซึ่งมีความเสี่ยงที่จะถูกโจมตี ซึ่งเจ้าของอุปกรณ์ได้ถูกแนะนำให้อัปเดทให้เร็วสุด
ผู้วิจัยความปลอดภัยจาก Bad Packets ได้ยกตัวอย่างการใช้ Pulse Secure VPNs บนเครือข่ายของ :
กองทัพสหรัฐอเมริกา, รัฐบาลกลาง, รัฐ และหน่วยงานรัฐบาลท้องถิ่น
มหาวิทยาลัยและโรงเรียนสาธารณะ
โรงพยาบาลและศูนย์บริการสุขภาพ
สถาบันการเงินหลัก
บริษัทในการจัดอันดับ Fortune 500

ที่มา: Zdnet

Kubernetes ออกแพตช์แก้ช่องโหว่ DoS

Kubernetes ออกแพตช์แก้สองช่องโหว่ร้ายแรงที่มีผลกระทบต่อทุกเวอร์ชัน ช่องโหว่ดังกล่าวยอมให้ผู้โจมตีทำให้ระบบหยุดทำงาน (DoS)

Kubernetes เป็น open-source สำหรับการจัดการ Container ที่เริ่มต้นพัฒนามาจาก Google ด้วยภาษา Go มันถูกออกแบบมาเพื่อให้การ deploy การปรับขนาด และการจัดการ Container เป็นไปอย่างอัตโนมัติ

ปัญหาด้านความปลอดภัยได้ถูกพบในไลบรารี่ net/http ของภาษา Go ที่กระทบต่อทุกเวอร์ชันและทุก component ของ Kubernetes ช่องโหว่นี้สามารถทำให้เกิด DoS ในกระบวนที่เกี่ยวของกับ HTTP หรือ HTTPS listener ซึ่งช่องโหว่นี้เกี่ยวข้องกับช่องโหว่ที่ Netflix พบช่องโหว่ที่เกี่ยวข้องกับ HTTP/2 เมื่อวันที่ 13 สิงหาคมที่ผ่านมา

จากทั้งหมด 8 ช่องโหว่ที่ Netflix พบ มีเพียงสองช่องโหว่ที่กระทบ Kubernetes คือ CVE-2019-9512 และ CVE-2019-9514

CVE-2019-9512 หรือที่เรียกว่า Ping Flood
แฮกเกอร์สามารถทำการ Ping อย่างต่อเนื่องจนระบบล่ม

CVE-2019-9514 หรือที่เรียกว่า Reset Flood
แฮกเกอร์ขอ streams จำนวนมากและส่งคำขอไม่ถูกต้องทำให้เกิด RST_STREAM จำนวนมาก ส่งผลทำให้ CPU ถูกใช้งานมากเกินไปทำให้ระบบล่มได้

Kubernetes ได้ปล่อยแพตช์ใหม่ที่แก้ไขช่องโหว่นี้และแนะนำให้อัพเดทให้เร็วที่สุดเท่าที่จะทำได้

ด้านล่างนี้เป็น Kubernetes รุ่นใหม่ที่สร้างมาจากภาษา Go รุ่นที่แก้ปัญหาแล้ว

* Kubernetes รุ่น1.15.3 สร้างมาจากภาษา Go 1.12.9
* Kubernetes v1.14.6 สร้างมาจากภาษา go1.12.9
* Kubernetes v1.13.10 สร้างมาจากภาษา go1.11.13

ผู้ดูแลระบบ Kubernetes สามารถอัปเกรดได้ทุกแพลตฟอร์มบนเพจ Kubernetes Cluster Management

ที่มา: bleepingcomputer

Apple ได้ทำการออกแพทต์อัพเดตเวอร์ชั่นล่าสุด iOS 12.4.1 เพื่อแก้ไขด้านความปลอดภัย ที่ถูกนักวิจัย Pwn20wnd ใช้ในการ Jailbreak

ช่องโหว่ CVE-2019-8605 ทำให้ผู้ไม่หวังดีรันคำสั่งที่เป็นอันตรายบนอุปกรณ์ได้ด้วยสิทธิ์ของระบบ ช่องโหวดังกล่าวถูกพบโดย Ned Williamson จาก Google Project Zero ช่องโหว่ดังกล่าวถูกใช้ใน Sock Puppet exploit สำหรับ Jailbreak อุปกรณ์ iOS

Apple แนะนำให้ผู้ใช้งานทำการอัพเดตแพตช์

ที่มา: bleepingcomputer

นักวิจัยพบองค์กรทำข้อมูลหลุดผ่าน Sandbox ที่ใช้สำหรับการวิเคราะห์มัลแวร์
ผู้เชี่ยวชาญที่บริษัทข่าวกรองภัยคุกคาม Cyjax ได้วิเคราะห์ไฟล์ที่อัปโหลดโดยองค์กรขึ้นไปบน Sandbox ที่ใช้สำหรับการวิเคราะห์มัลแวร์แล้วพบว่าองค์กรได้อัปโหลดเอกสารที่มีข้อมูลสำคัญขึ้นไป นักวิจัยวิเคราะห์เฉพาะเอกสาร PDF และไฟล์อีเมล (.msg และ. eml) ที่อัปโหลดไปยัง Sandbox ที่ใช้สำหรับการวิเคราะห์มัลแวร์ที่ไม่เปิดเผยชื่อสามเจ้าเป็นเวลาสามวัน โดย Sandbox ที่ใช้สำหรับการวิเคราะห์มัลแวร์ทั้งสามเจ้าที่นำมาวิเคราะห์นี้เปิด public feed ให้ผู้ใช้งานสามารถดูและดาวน์โหลดตัวอย่างไฟล์ที่ผู้ใช้งานคนอื่นอัปโหลดขึ้นไปได้
จากการคัดแยกเอกสาร PDF และไฟล์อีเมล (.msg และ. eml) ที่ถูกอัปโหลดขึ้นไป พบไฟล์ที่ไม่มีอันตราย 200 ไฟล์ซึ่งเป็นใบแจ้งหนี้และคำสั่งซื้อ ในกรณีนี้ผู้เชี่ยวชาญพบว่าบริษัทที่ให้บริการเครื่องมือในการใช้งานที่ได้รับความนิยมสำหรับผู้ดูแลระบบวินโดว์เคยส่งใบคำสั่งซื้อลงใน Sandbox ซึ่งบริษัทไม่สนใจว่าไฟล์เหล่านี้ถูกเผยแพร่สู่สาธารณะผ่าน feed ของ Sandbox
จากการตรวจสอบใบแจ้งหนี้ทำให้เราสามารถระบุได้ว่าใครกำลังใช้ซอฟต์แวร์รวมถึงรายละเอียดการติดต่อของผู้รับผิดชอบในการจัดซื้อในแต่ละองค์กร : นี่เป็นข้อมูลที่มีประโยชน์อย่างยิ่งสำหรับผู้ไม่หวังดีที่ต้องการทำ spear phishing หรือทำการโจมตีด้วย Business Email Compromise (BEC)
นักวิจัยสรุปว่าปริมาณของเอกสารสำคัญที่รวบรวมได้ในเวลาเพียงสามวันก็เพียงพอที่จะทำให้หลายๆ องค์กรขาดความมั่นคง ในหนึ่งเดือนผู้ไม่หวังดีจะมีข้อมูลเพียงพอที่จะกำหนดเป้าหมายหลายอุตสาหกรรมและขโมยข้อมูลประจำตัวของผู้ที่ตกเป็นเหยื่อหลายราย
โดยนักวิจัยแนะนำว่าองค์กรควรทำความเข้าใจการทำงานของ Sandbox ที่ใช้สำหรับการวิเคราะห์มัลแวร์ว่าจะมีการแชร์ไฟล์ที่ถูกอัปโหลดให้ผู้ใช้งานคนอื่นสามารถดูและดาวน์โหลดตัวอย่างไฟล์ได้ จึงไม่ควรอัปโหลดไฟล์ที่มีข้อมูลสำคัญ

ที่มา:securityaffairs

พบ backdoor ใน Ruby library
ทีมงาน RubyGems ทำการลบโค้ดอันตราย 18 เวอร์ชันบน Ruby library 11 ตัวซึ่งถูกดาวน์โหลดไปแล้วกว่า 3,584 ครั้งตั้งแต่วันที่ 8 กรกฎาคมที่ผ่านมา โดยพบว่ามีการแทรก backdoor mechanism และมีความพยายามจะแทรกโค้ด cryptocurrency mining ลงไปในโปรเจกต์ของคนอื่น
โค้ดอันตรายเหล่านี้ถูกพบครั้งแรกใน Ruby library ชื่อ rest-client จากการวิเคราะห์โดย Jan Dintel นักพัฒนา Ruby ชาวดัตช์ พบโค้ดอันตรายใน rest-client ซึ่งจะเก็บ URL, Cookie file รวมถึงตัวแปรอื่นๆ ของระบบ แล้วส่งไปยัง Remote server ในยูเครน ภายหลังการสืบสวนโดยทีมงาน RubyGems พบว่าโค้ดนี้ถูกใช้เพื่อแทรก Cryptocurrency mining code ลงไป โดยพวกเขาพบโค้ดที่ลักษณะคล้ายกันเพิ่มอีก 10 โปรเจกต์
โดย library ทั้ง 11 ตัวที่มีการแทรกโค้ดได้แก่
rest-client: 1.6.10 (ดาวน์โหลด 176 ครั้ง ตั้งแต่ สิงหาคม 13, 2019), 1.6.11 (ดาวน์โหลด 2 ครั้ง ตั้งแต่ สิงหาคม 14, 2019), 1.6.12 (ดาวน์โหลด 3 ครั้ง ตั้งแต่ สิงหาคม 14, 2019), และ 1.6.13 (ดาวน์โหลด 1,061 ครั้ง ตั้งแต่ สิงหาคม 14, 2019)
bitcoin_vanity: 4.3.3 (ดาวน์โหลด 8 ครั้ง ตั้งแต่ พฤษภาคม 12, 2019 )
lita_coin: 0.0.3 (ดาวน์โหลด 210 ครั้ง ตั้งแต่ กรกฎาคม 17, 2019)
coming-soon: 0.2.8 (ดาวน์โหลด 211 ครั้ง ตั้งแต่ กรกฎาคม 17, 2019)
omniauth_amazon: 1.0.1 (ดาวน์โหลด 193 ครั้ง ตั้งแต่ กรกฎาคม 26, 2019)
cron_parser: 0.1.4 (ดาวน์โหลด 2 ครั้ง ตั้งแต่ กรกฎาคม 8, 2019), 1.0.12 (ดาวน์โหลด 3 ครั้ง ตั้งแต่ กรกฎาคม 8, 2019), และ 1.0.13 (ดาวน์โหลด 248 ครั้ง ตั้งแต่ กรกฎาคม 8, 2019)
coin_base: 4.2.1 (ดาวน์โหลด 206 ครั้ง ตั้งแต่ กรกฎาคม 9, 2019) และ 4.2.2 (ดาวน์โหลด 218 ครั้ง ตั้งแต่ กรกฎาคม 16, 2019)
blockchain_wallet: 0.0.6 (ดาวน์โหลด 201 ครั้ง ตั้งแต่ กรกฎาคม 10, 2019) และ 0.0.7 (ดาวน์โหลด 222 ครั้ง ตั้งแต่ กรกฎาคม 16, 2019)
awesome-bot: 1.18.0 (ดาวน์โหลด 232 ครั้ง ตั้งแต่ กรกฎาคม 15, 2019)
doge-coin: 1.0.2 (ดาวน์โหลด 213 ครั้ง ตั้งแต่ กรกฎาคม 17, 2019)
capistrano-colors: 0.5.5 (ดาวน์โหลด 175 ครั้ง ตั้งแต่ สิงหาคม 1, 2019)
library ทั้งหมด ยกเว้น rest-client ถูกสร้างโดยการโคลน library แล้วไปเพิ่มโค้ดอันตรายและอัปโหลดขึ้นไปใหม่ด้วยชื่อใหม่โดยไม่มีใครจับได้เป็นเวลามากกว่าหนึ่งเดือน แต่เมื่อผู้โจมตีหันไปโจมตี rest-client ที่มีผู้ใช้งานจำนวนมากจึงทำให้ถูกจับได้
สำหรับข้อแนะนำโปรเจกต์ที่พึ่งพา library เหล่านี้ คือให้ลบออกไปหรืออัปเกรด/ดาวน์เกรดสู่ version ที่ปลอดภัยกว่า

ที่มา: zdnet