Twitch ได้มีการแจ้งเตือนเกี่ยวกับข้อบกพร่องของ Software ที่ทำให้ผู้อื่นสามารถดาวน์โหลดและอ่านข้อความเก่าๆได้

หลังจากที่ผู้ใช้งานเริ่มพูดถึงความผิดพลาดนี้ ทาง Twitch ก็ได้ออกมากล่าวว่าข้อผิดพลาดนี้ได้รับการแก้ไขเรียบร้อยแล้ว ซึ่งเป็นปัญหาของ code ในส่วนของการทำ archive เพื่อให้ผู้ใช้งานสามารถดาวน์โหลดออกไปเก็บไว้ได้ หลังจากที่ได้มีการนำ feature ที่ชื่อว่า "Messages" ออกไป แต่การทำ archive ดังกล่าวกลับผิดพลาด ส่งผลให้ข้อความส่วนตัวถูก archive ไปให้ผู้ใช้งานคนอื่น โดยรายงานกล่าวว่าข้อความหลักๆที่ได้รับผลกระทบจะเป็นพวกโฆษณาของ streamers ที่ผู้ใช้ subscribe เอาไว้ ทาาง Twitch ได้แจ้งผู้ใช้ผ่านทางอีเมลและส่งข้อความที่ได้รับผลกระทบเพื่อให้ตรวจสอบ

ผู้ใช้ Twitch สามารถค้นหาว่าข้อความของตนได้รับผลกระทบหรือไม่จากลิงก์ต่อไปนี้ twitch.

นักวิจัยด้านความปลอดภัยจาก Malware Hunter ค้นพบ Ransomware ตัวใหม่ชื่อ Ryuk โดยสามารถทำรายได้ถึง 640,000 เหรียญ

จากการตรวจสอบนักวิจัยยังไม่สามารถยืนยันได้ว่า Ransomware ดังกล่าวแพร่กระจายหรือติดอย่างไร แต่คาดการณ์ว่า Ryuk Ransomware จะทำการโจมตีแบบมีการกำหนดเป้าหมาย(targeted attack) อาจจะผ่านทาง Spear-phishing email หรือ Internet-exposed และการเชื่อมต่อผ่าน Remote Desktop Protocol (RDP) ที่ไม่ปลอดภัย และทำการเข้ารหัสไฟล์พร้อมเรียกค่าไถ่เป็นสกุลเงิน Bitcoin

ทางด้านนักวิจัยของ Check Point คาดว่าผู้พัฒนา Ryuk Ransomware อาจเป็นผู้พัฒนาคนเดียวกันกับที่พัฒนา Hermes ransomware หรืออาจมีคนที่สามารถเข้าถึงซอร์สโค้ดของ Hermes ransomware ได้ เนื่องจากการตรวจสอบซอร์สโค้ดส่วนใหญ่ที่ Ransomware ทั้งสองตัวใช้มีความเหมือนกันอยู่ เช่น

- ฟังก์ชันที่เข้ารหัสไฟล์มีความคล้ายคลึงกัน
- Ryuk และ Hermes มีการใช้ตัวแปร file marker ในการเข้ารหัสไฟล์
- มีการตรวจสอบตัวแปร marker เหมือนกัน
- มีโฟลเดอร์ Whitelist ที่เหมือนกัน (เช่น "Ahnlab", "Microsoft", "$ Recycle.

DarkHydrus ใช้ Open-Source เป็นเครื่องมือสำหรับช่วยการโจมตี spear-phishing ซึ่งออกแบบมาเพื่อขโมยข้อมูล Credential จากรัฐบาลและสถาบันการศึกษาในตะวันออกกลาง

นักวิจัยของ Palo Alto Networks Unit 42 พบว่ากลุ่มที่มีชื่อว่า "DarkHydrus" ได้ใช้เครื่องมือ Open-Source จาก GitHub ที่ชื่อว่า "Phishery" ช่วยในการโจมตีเพื่อขโมยมูล Credential โดยก่อนหน้านี้เคยใช้เป็น Meterpreter, Cobalt Strike, Invoke-Obfuscation, Mimikatz, PowerShellEmpire และ Veil ร่วมกับเอกสารที่เป็น Microsoft Office เพื่อรับคำสั่งจากระยะไกล

ย้อนกลับไปเมื่อเดือนมิถุนายนพบว่ากลุ่มดังกล่าวได้ทำการโจมตีสถาบันการศึกษา โดยการส่งอีเมลล์ที่ใช้ Subject ว่า "Project Offer" และแนบเอกสารไฟล์ Word เพื่อหลอกให้ผู้ใช้กรอกชื่อผู้ใช้และรหัสผ่าน จากนั้นจึงส่งกลับไปยังเซิร์ฟเวอร์ที่เตรียมไว้

การโจมตีในลักษณะนี้ไม่ใช่วิธีการใหม่ ตัวอย่างเช่น WannaCry และ NotPetya เมื่อปีที่แล้ว ก็ได้มีการใช้ Mimikatz ช่วยในการขโมยข้อมูล Credential และใช้ PsExec เพื่อรับคำสั่งจากระยะไกล

ที่มา: bleepingcomputer

เมื่อวันศุกร์ที่ผ่านมา ระบบในหลายโรงงานผลิตของ Taiwan Semiconductor Manufacturing Co. (TSMC) ซึ่งเป็นโรงงานผลิตอุปกรณ์ Apple ติดไวรัส

เมื่อวันศุกร์ที่ผ่านมา ระบบในหลายโรงงานผลิตของ Taiwan Semiconductor Manufacturing Co. (TSMC) ซึ่งเป็นโรงงานผลิตอุปกรณ์ Apple ติดไวรัส TSMC เป็นผู้ผลิตชิปรายใหญ่ที่สุดในโลกสำหรับ บริษัทยักษ์ใหญ่ด้านเทคโนโลยี ได้แก่ Apple และ Qualcomm Inc.

Drupal ระบบการจัดการเนื้อหาของเว็บไซต์ open-source content management system ที่ถูกนิยมใช้งานอย่างแพร่หลาย ได้ประกาศเปิดตัวเวอร์ชั่นใหม่เพื่อแก้ไขช่องโหว่ด้านความปลอดภัยที่ทำให้แฮกเกอร์สามารถโจมตีระยะไกลและเข้าควบคุมเว็บไซต์ที่ได้รับผลกระทบได้ คือช่องโหว่ CVE-2018-14773 ใน third-party library ของบริษัท Symfony HttpFoundation ซึ่งถูกใช้งานใน Drupal Core เวอร์ชัน 8 ขึ้นไป

เนื่องจากคอมโพเนนต์ของ Symfony เป็นการทำงาน web application ที่เป็นส่วนประกอบของชุดคำสั่ง PHP ที่ถูกใช้งานอย่างแพร่หลายมีช่องโหว่เสี่ยงต่อการถูกแฮกได้ แฮกเกอร์สามารถใช้ประโยชน์จากค่า header HTTP 'X-Original-URL' หรือ 'X-Rewrite-URL ที่สร้างขึ้นมาเป็นพิเศษเพื่อหลีกเลี่ยงข้อจำกัด ในการเข้าถึงและทำให้ระบบเป้าหมายแสดงผล URL อื่นแทน URL ที่ถูกเรียกจริง

นอกจากนี้ ทีมงาน Drupal Core ยังพบช่องโหว่ทีคล้ายกัน ที่อยู่ในไลบรารี Zend Feed และ Diactoros ที่รวมอยู่ใน Drupal Core ซึ่งมีชื่อว่า 'URL Rewrite vulnerability' หากผู้ใช้งาน Drupal Core ไม่ได้ใช้ฟังก์ชันที่มีช่องโหว่ดังกล่าว แต่แนะนำให้ผู้ใช้งานแก้ไขเว็บไซต์ที่มีการใช้ Zend Feed หรือ Diactoros โดยการอัปเดตแพทช์ให้เป็นเวอร์ชั่นล่าสุด

ผลกระทบ
ส่งผลกระทบกับผู้ใช้ Drupal 8 ที่ใช้เวอร์ชันต่ำกว่า 8.5.6

คำแนะนำ
อัปเดต Symfony เป็นเวอร์ชัน 2.7.49, 2.8.44, 3.3.18, 3.4.14, 4.0.14 และ 4.1.3 และอัปเดต Drupal 8 ที่ใช้เวอร์ชันต่ำกว่า 8.5.6 เป็น 8.5.6

ที่มา: thehackernews

FBI ออกคำแนะนำเพื่อความปลอดภัยในการใช้งาน IOT

สำนักงานสอบสวนกลางแห่งสหรัฐอเมริกา หรือ FBI ออกบทความแนะนำเกี่ยวกับความปลอดภัยในการใช้อุปกรณ์ที่สามารถต่ออินเตอร์เน็ตได้ที่เรียกรวมๆกันว่า Internet of Thing หรือ IoT หลังจากพบแนวโน้มการถูกนำไปใช้ในการก่ออาชญากรรมไซเบอร์ต่างๆ

ปัจจุบัน IoT ได้รับความนิยมมากขึ้นจากแนวโน้มในการทำบ้านให้เป็น Smart home โดยการเพิ่มระบบอัตโนมัติต่างๆที่เชื่อมต่อกับอินเตอร์เน็ต ทำให้ผู้ใช้งานสามารถสั่งงานอุปกรณ์ต่างๆในบ้านได้ผ่านโทรศัพท์มือถือ และเนื่องจากความนิยมดังกล่าวอาชญากรไซเบอร์จึงหันมาใช้ IoT เป็นตัวกลาง (proxy) เพื่อบังหน้าในการก่ออาชญากรรมไซเบอร์ต่างๆ เพราะเมื่ออาชญากรทำการโจมตีผ่านตัวกลาง IP ของการโจมตีที่ตรวจสอบได้จะกลายเป็น IP ของ IoT ของเหยื่อแทน ทำให้ยากต่อการตรวจจับ และป้องกัน ตัวอย่างอุปกรณ์ที่ตกเป็นเป้าหมาย ได้แก่ router, อุปกรณ์รับสัญญาณดาวเทียม, นาฬิกาอัจฉริยะ, อุปกรณ์สตรีมมิ่งภาพยนตร์, Raspberry Pi, ลูกบิดประตูอัจฉริยะ เป็นต้น

อาชญากรมักจะใช้ IoT เป็นตัวกลางเพื่อส่ง spam email, ซ่อนตัวเพื่อให้ตรวจจับยาก, ซื้อขายของผิดกฏหมาย, หลบหลีกการตรวจจับ และขโมยบัญชีผู้ใช้และรหัสผ่าน เป็นต้น
โดยจะพุ่งเป้าไปยังอุปกรณ์ IoT ที่มีการยืนยันตัวตนที่ไม่เข้มงวด, ไม่มีการอัปเดตแพตช์, มีช่องโหว่ที่เป็นที่รู้จัก หรือใช้บัญชีผู้ใช้และรหัสผ่านที่เป็นค่าตั้งต้นจากผู้ผลิต

โดยผู้ใช้สามารถสังเกตความผิดปกติของอุปกรณ์ IoT ได้จากการใช้งานอินเตอร์เน็ตที่สูงมากกว่าปกติ, อุปกรณ์มีอาการช้าหรือค้าง, มีการเรียก DNS แปลกๆ เป็นต้น

วิธีการป้องกัน

(1) ทำการ Reboot อุปกรณ์เป็นระยะ เนื่องจากมัลแวร์ส่วนมากอยู่ในหน่วยความจำที่จะถูกล้างเมื่อเครื่อง reboot
(2) ไม่ใช้บัญชีผู้ใช้และรหัสผ่านที่เป็นค่าตั้งต้นจากผู้ผลิต
(3) ตรวจสอบและอัปเดตให้อุปกรณ์ IoT เป็นเวอร์ชั่นล่าสุด
(4) ตั้งค่า network firewalls เพื่อบล็อก IP แปลกๆ และปิด port forwarding
(5) แยกวงเน็ตเวิร์คของอุปกรณ์ IoT ออกจากการใช้งานหลัก

ที่มา : ic3

Google เพิ่มฟังก์ชันใหม่ในการเตือนองค์กรที่มีการใช้งาน G Suite หากเชื่อว่าบัญชีผู้ใช้งานในองค์กรตกเป็นเป้าหมายโดยแฮกเกอร์ที่ได้รับการสนับสนุนจากรัฐบาล

หากผู้ดูแลระบบ G Suite ขององค์กรเปิดฟังก์ชันนี้ไว้ (ค่าเริ่มต้นจะปิดอยู่) จะทำให้ได้รับการแจ้งเตือน E-mail เมื่อ Google เชื่อว่าผู้โจมตีที่ได้รับการสนับสนุนจากรัฐบาล มีความพยายามเข้าถึงบัญชีผู้ใช้หรือคอมพิวเตอร์โดยการใช้ฟิชชิ่ง, มัลแวร์ หรือวิธีอื่นๆ เมื่อได้รับคำเตือนแล้วผู้ดูแลระบบสามารถเลือกที่จะแชร์ข้อมูลการแจ้งเตือนไปยังผู้ใช้งาน และเพิ่มความปลอดภัยให้กับบัญชีผู้ใช้อื่นได้

โดยการแจ้งเตือนเหล่านี้สามารถเกิดขึ้นได้ หากผู้ใช้ได้รับ E-mail ที่มีไฟล์แนบหรือ Link ของซอฟต์แวร์ที่เป็นอันตรายรวมถึงเว็บไซต์ปลอมที่ออกแบบมาเพื่อหลอกขโมยรหัสผ่านหรือข้อมูลส่วนบุคคลอื่นๆ ซึ่งลักษณะการโจมตีด้วยฟิชชิ่งที่เชื่อว่ามีรัฐบาลอยู่เบื้องหลังนั้นเคยมีตัวอย่างให้เห็นแล้ว อย่างเช่นในกรณีที่กระทรวงยุติธรรมของสหรัฐอเมริกาได้กล่าวหารัสเซียว่าเป็นผู้อยู่เบื้องหลังในการสนับสนุนกลุ่มแฮกเกอร์ให้ทำการโจรกรรมข้อมูลของพรรค Democratic ซึ่งเริ่มต้นจากการใช้ฟิชชิ่งเพื่อหลอกเหยื่อ

ที่มา: zdnet

นักวิจัยค้นพบ Calisto มัลแวร์ใน macOS ซึ่งเป็นมัลแวร์ตั้งต้นของมัลแวร์ชื่อดัง Proton

นักวิจัยด้านมัลแวร์จาก Kaspersky Labเปิดเผยมัลแวร์ Calisto ซึ่งเน้นโจมตี macOS โดยเชื่อว่าน่าจะเป็นมัลแวร์ตั้งต้นของมัลแวร์ Proton ที่แพร่ระบาดในปี 2017
Proton เป็นมัลแวร์ที่โจมตีเครื่องคอมพิวเตอร์ที่ใช้ macOS เป็น remote access trojan (RAT) เมื่อคอมพิวเตอร์ดังกล่าวติดเชื้อแล้วจะทำให้ผู้โจมตีสามารถควบคุมคอมพิวเตอร์ที่ติดเชื้อได้เต็มรูปแบบ ชื่อของ Proton เริ่มเป็นที่รู้จักครั้งแรกในเดือนมีนาคม ปี 2017 เมื่อนักวิจัยจาก Sixgill เจอการซื้อขาย Proton ในเว็บบอร์ดแฮกเกอร์ใต้ดินด้วยราคาตั้งแต่ 1200 ดอลลาร์สหรัฐ (ประมาณ 40,000 บาท) ไปจนถึง 820,000 ดอลลาร์สหรัฐ (ประมาณ27ล้านบาท) หลังจากนั้นไม่นานในเดือนพฤษภาคม ปี 2017 มีการแฮกเว็บไซต์ HandBrake (โปรแกรมแปลงไฟล์แบบโอเพ่นซอร์ส) และเปลี่ยนโปรแกรม HandBrake สำหรับ macOS เป็นไฟล์ที่ฝัง Proton ไว้ด้านในโปรแกรมตัวจริง และในเดือนตุลาคม ปี 2017 Proton แพร่ระบาดอีกครั้งด้วยการแฮกเว็บไซต์ Eltima Player แล้วฝังProton ไว้ด้านในโปรแกรมเช่นกัน

ในวันที่ 20 กรกฏาคม 2018 นักวิจัยด้านมัลแวร์จาก Kaspersky Lab ได้เปิดเผยการค้นพบมัลแวร์ชื่อ Calisto ซึ่งน่าจะเป้นมัลแวร์ตั้งต้นในการพัฒนามัลแวร์ Proton มัลแวร์ Calisto ถูกพัฒนาตั้งแต่ปี 2016 และถูกอัพโหลดขึ้นเว็บไซต์ VirusTotal (เว็บไซต์ให้บริการตรวจสอบไฟล์และ URL ที่อาจเป็นอันตราย) ตั้งแต่ปี 2016 ทั้งนี้ไฟล์ที่มี Calisto ไม่ถูกแจ้งว่าเป็นไฟล์อันตรายมาตลอดจนกระทั้งเมื่อนักวิจัยไปเจอในเดือนพฤษภาคม ปี 2018
ในผลวิเคราะห์ Calisto จากนักวิจัยด้านมัลแวร์จาก Kaspersky Lab กล่าวว่า Calisto เป็น remote access trojan (RAT) เช่นกัน โดยมีความสามารถหลายอย่าง เช่น ทำให้ผู้โจมตีล็อกอินเข้าเครื่อง macOS ที่ติดเชื้อได้จากระยะไกล เปิดระบบ screen sharing สร้าง root account ลับให้มัลแวร์ใช้ ขโมยไฟล์แล้วส่งไปยังเซิร์ฟเวอร์ที่ควบคุม

ทั้งนี้ Calisto ยังอยู่ระหว่างการพัฒนาและไม่มีอันตรายเท่ากับ Proton นอกจากนี้ Calisto และถูกพัฒนาออกมาก่อนที่ Apple ออก SIP (System Integrity Protection) ซึ่ง SIP ออกแบบมาให้มัลแวร์ไม่สามารถเปลี่ยนแปลงไฟล์และการตั้งค่าของระบบที่สำคัญได้ ถึงแม้ว่าจะเข้าถึงระบบในระดับ root ก็ตาม ผู้ใช้ macOS ที่เปิดการใช้จึง SIP จะปลอดภัยจาก Calisto
ทั้งนี้เพื่อความปลอดภัยจาก Calisto Proton และมัลแวร์ในกลุ่มเดียวกัน

ผู้ใช้ macOS ควรจะ อัปเดต OS ให้เป็นปัจจุบันอยู่เสมอ ไม่ปิดการใช้งาน SIP ใช้ software จากแหล่งน่าเชื่อถือเท่านั้น เช่น จาก App Store ติดตั้ง antivirus software ที่มีการอัปเดตเป็นปัจจุบัน

ที่มา securityaffairs