นักวิจัยด้านความปลอดภัยทางไซเบอร์ได้ค้นพบแพ็กเกจอันตรายซึ่งถูกอัปโหลดขึ้นไปยัง Python Package Index (PyPI) repository ซึ่งทำหน้าที่เป็นเครื่องมือตรวจสอบ เพื่อยืนยันความถูกต้องของ email addresses ที่ถูกขโมยมาว่าสามารถใช้งานกับ API ของ TikTok และ Instagram ได้หรือไม่

ปัจจุบันแพ็กเกจทั้งสามรายการนี้ ไม่สามารถดาวน์โหลดได้บน PyPI แล้ว โดยชื่อของแพ็กเกจ Python มีดังต่อไปนี้ :

checker-SaGaF (ดาวน์โหลด 2,605 ครั้ง)
steinlurks (ดาวน์โหลด 1,049 ครั้ง)
sinnercore (ดาวน์โหลด 3,300 ครั้ง)

Olivia Brown นักวิจัยของ Socket ระบุว่า "แพ็กเกจ 'checker-SaGaF' จะทำหน้าที่ในการตรวจสอบว่าอีเมลนั้นมีการเชื่อมโยงกับบัญชีของ TikTok และ Instagram หรือไม่"

โดยเฉพาะ แพ็กเกจนี้ถูกออกแบบมาเพื่อส่ง HTTP POST request ไปยัง API การกู้คืนรหัสผ่านของ TikTok และการเข้าสู่ระบบของ Instagram เพื่อตรวจสอบว่าอีเมลที่กรอกเข้าไปนั้นถูกต้องหรือไม่ ซึ่งหมายความว่ามีบัญชีที่ผูกกับอีเมลดังกล่าวนั้นอยู่จริง

Brown ระบุว่า "เมื่อแฮ็กเกอร์ได้ข้อมูลอีเมลมาแล้ว พวกเขาสามารถข่มขู่เหยื่อด้วยการเปิดเผยข้อมูลส่วนตัว หรือส่งสแปมโจมตีด้วย fake report เพื่อทำให้บัญชีถูกระงับ หรือแค่ยืนยันเป้าหมายก่อนที่จะเริ่มดำเนินการโจมตีด้วยเทคนิค credential stuffing หรือ password spraying"

"รายชื่อผู้ใช้งานที่ผ่านการตรวจสอบแล้วก็มักถูกนำไปขายต่อบน dark web เพื่อทำกำไรอีกด้วย แม้การรวบรวมรายชื่ออีเมลที่ยังใช้งานอยู่จะดูเหมือนไม่เป็นอันตราย แต่ข้อมูลเหล่านี้สามารถนำไปใช้ และเร่งกระบวนการโจมตีทั้งหมด อีกทั้งยังช่วยหลีกเลี่ยงการตรวจจับได้ ด้วยการมุ่งเป้าไปที่บัญชีที่ยืนยันแล้วว่ามีการใช้งานจริงเท่านั้น"

สำหรับแพ็กเกจที่สองชื่อว่า "steinlurks" ก็ใช้วิธีคล้ายกัน โดยมุ่งเป้าไปที่บัญชี Instagram ผ่านการส่ง HTTP POST request ปลอม โดยเลียนแบบแอป Instagram บน Android เพื่อหลบเลี่ยงการตรวจจับ ซึ่งแพ็กเกจนี้ใช้วิธีการเข้าถึง API ที่แตกต่างออกไป

i.instagram[.]com/api/v1/users/lookup/
i.instagram[.]com/api/v1/bloks/apps/com.

กลุ่มผู้ไม่หวังดีทางไซเบอร์ที่ได้รับการสนับสนุนจากรัฐบาลตุรกี ได้ใช้ช่องโหว่ Zero-Day เพื่อโจมตีผู้ใช้งาน Output Messenger ที่เชื่อมโยงกับกองทัพเคิร์ดในอิรัก (more…)

ผู้โจมตีเริ่มมุ่งเป้าไปที่การใช้งาน Cisco Smart Licensing Utility (CSLU) ที่ไม่ได้รับการอัปเดตแพตช์จากช่องโหว่ที่ส่งผลให้มีการเปิดเผยบัญชีผู้ดูแลระบบที่เป็นลักษณะ backdoor

แอปพลิเคชัน CSLU สำหรับ Windows ช่วยให้ผู้ดูแลระบบสามารถจัดการ licenses และผลิตภัณฑ์ที่เชื่อมโยงภายในองค์กรโดยไม่ต้องเชื่อมต่อกับโซลูชัน Smart Software Manager บน Cloud ของ Cisco

Cisco ได้แก้ไขช่องโหว่ด้านความปลอดภัยนี้ (CVE-2024-20439) ในเดือนกันยายน โดยอธิบายว่าเป็นช่องโหว่ที่เกิดจาก "ข้อมูล credential ของบัญชีผู้ใช้ระดับผู้ดูแลระบบแบบ static ที่ไม่ได้ถูกบันทึกไว้" ซึ่งอาจทำให้ผู้โจมตีที่ไม่ได้ผ่านการยืนยัน สามารถเข้าสู่ระบบที่ยังไม่ได้รับการอัปเดตแพตช์จากระยะไกลด้วยสิทธิ์ผู้ดูแลระบบผ่าน API ของแอปพลิเคชัน CSLU

บริษัทยังได้แก้ไขช่องโหว่การเปิดเผยข้อมูล CSLU ระดับ Critical อีกหนึ่งรายการ (CVE-2024-20440) ซึ่งผู้โจมตีที่ไม่ได้ผ่านการยืนยันสามารถใช้เพื่อเข้าถึง log files ที่มีข้อมูลที่มีความสำคัญ (รวมถึงข้อมูล API credentials) โดยการส่ง HTTP request ที่ถูกสร้างขึ้นมาเป็นพิเศษไปยังอุปกรณ์ที่มีช่องโหว่

ช่องโหว่ทั้งสองรายการนี้ส่งผลกระทบกับระบบที่ใช้งานเวอร์ชัน Cisco Smart Licensing Utility ที่มีช่องโหว่เท่านั้น และสามารถถูกโจมตีได้เฉพาะเมื่อผู้ใช้งานเปิดใช้งานแอปพลิเคชัน CSLU ซึ่งไม่ได้ออกแบบให้ทำงานใน background โดยค่าเริ่มต้น

Nicholas Starke นักวิจัยด้านภัยคุกคามจาก Aruba ได้ทำ reverse-engineered กับช่องโหว่นี้ และเผยแพร่บทความที่มีรายละเอียดทางเทคนิค (รวมถึงรหัสผ่าน static ที่ถูกเข้ารหัส) ประมาณสองสัปดาห์หลังจากที่ Cisco ปล่อยแพตช์ความปลอดภัย

เป้าหมายในการโจมตี

Johannes Ullrich คณบดีฝ่ายวิจัยของสถาบันเทคโนโลยี SANS รายงานว่า กลุ่มผู้โจมตีกำลังเชื่อมโยงช่องโหว่ทั้งสองรายการในความพยายามโจมตีที่มุ่งเป้าไปที่การใช้งาน CSLU ที่เปิดเผยอยู่บนอินเทอร์เน็ต

Ullrich ระบุว่า "การค้นหาคร่าว ๆ ไม่พบการใช้ช่องโหว่ในการโจมตี (ในขณะนั้น) แต่รายละเอียดต่าง ๆ รวมถึงข้อมูล backdoor credentials ถูกเผยแพร่ในบล็อกของ Nicholas Starke หลังจาก Cisco ออกคำแนะนำด้านความปลอดภัย ดังนั้นจึงไม่น่าแปลกใจที่อาจจะเห็นพฤติกรรมการโจมตีหลังจากนี้"

แม้ว่าจะยังไม่ทราบเป้าหมายของการโจมตีด้วยช่องโหว่เหล่านี้ แต่กลุ่มผู้โจมตียังพยายามใช้ประโยชน์จากช่องโหว่ความปลอดภัยอื่น ๆ รวมถึงช่องโหว่การเปิดเผยข้อมูลที่ดูเหมือนจะเป็นช่องโหว่ที่มีการโจมตีโดยใช้ proof-of-concept (POC) ที่ถูกเผยแพร่ออกสู่สาธารณะ (CVE-2024-0305) ซึ่งส่งผลกระทบต่อเครื่องบันทึกวิดีโอดิจิตอล (DVR) ของ Guangzhou Yingke Electronic

คำแนะนำความปลอดภัยของ Cisco สำหรับ CVE-2024-20439 และ CVE-2024-20440 ยังคงระบุว่า ทีมตอบสนองเหตุการณ์ความปลอดภัยของผลิตภัณฑ์ (PSIRT) ยังไม่พบหลักฐานว่าผู้โจมตีกำลังใช้ประโยชน์จากช่องโหว่ทั้งสองรายการ

CVE-2024-20439 ไม่ใช่บัญชี backdoor ตัวแรกที่ Cisco ลบออกจากผลิตภัณฑ์ในช่วงไม่กี่ปีที่ผ่านมา โดยพบข้อมูล credentials ที่ฝังอยู่ในซอฟต์แวร์ต่าง ๆ ของบริษัท เช่น Digital Network Architecture (DNA) Center, IOS XE, Wide Area Application Services (WAAS) และ Emergency Responder

ที่มา : bleepingcomputer

กลุ่มแฮ็กเกอร์จากจีนกำลังใช้วิธีการ hijacking SSH daemon บนอุปกรณ์เครือข่าย โดยส่งมัลแวร์เข้าสู่ process เพื่อให้สามารถแฝงตัวอยู่ในระบบได้อย่างถาวร และดำเนินการอย่างลับ ๆ (more…)

CISA (Cybersecurity and Infrastructure Security Agency) ยืนยันว่าเครื่องมอนิเตอร์ผู้ป่วย Contec CMS8000 ซึ่งผลิตโดยบริษัทจากประเทศจีน และ Epsimed MN-120 ซึ่งเป็นเครื่องมอนิเตอร์ลักษณะเดียวกัน แต่มีการเปลี่ยนชื่อ มีการส่งข้อมูลของผู้ป่วยไปยังที่อยู่ IP ที่ถูกกำหนดล่วงหน้า และมี backdoor ที่สามารถใช้ในการดาวน์โหลด และดำเนินการไฟล์ที่ไม่ได้รับการตรวจสอบ
(more…)

ผู้โจมตีกำลังใช้ช่องโหว่ระดับ Critical ใน ProjectSend ที่ได้รับการเปิดเผยออกสู่สาธารณะ เพื่อ bypass การยืนยันตัวตน เพื่อทำการอัปโหลด webshells และเข้าถึงเซิร์ฟเวอร์จากภายนอก

ช่องโหว่นี้หมายเลข CVE-2024-11680 เป็นช่องโหว่การยืนยันตัวตนในระดับ Critical ที่ส่งผลกระทบต่อ ProjectSend เวอร์ชันก่อน r1720 โดยทำให้ผู้โจมตีสามารถส่ง HTTP request ที่ออกแบบมาเป็นพิเศษไปยัง 'options.

เมื่อวันจันทร์ที่ผ่านมา CISA ได้เพิ่มช่องโหว่ด้านความปลอดภัยระดับ Critical ที่ได้รับการแก้ไขไปแล้ว ซึ่งส่งผลกระทบต่อ Array Networks AG และ vxAG secure access gateways เข้าไปในรายการ Known Exploited Vulnerabilities (KEV) หลังมีรายงานการโจมตีที่กำลังเกิดขึ้นอยู่ในปัจจุบัน

ช่องโหว่นี้มีหมายเลข CVE-2023-28461 (คะแนน CVSS: 9.8) โดยเป็นช่องโหว่การขาดการตรวจสอบการยืนยันตัวตน ซึ่งอาจถูกโจมตีโดยการเรียกใช้โค้ดจากระยะไกลได้ โดย Array Networks ได้ออกแพตซ์อัปเดตเพื่อแก้ไขช่องโหว่เรียบร้อยแล้วในเวอร์ชัน 9.4.0.484 ตั้งแต่เดือนมีนาคม 2023

Array Networks ระบุว่า "ช่องโหว่การเรียกใช้โค้ดที่เป็นอันตรายจากระยะไกลใน Array AG/vxAG เป็นช่องโหว่ด้านความปลอดภัยบนเว็บที่ทำให้ผู้โจมตีสามารถเข้าถึง filesystem หรือเรียกใช้โค้ดจากระยะไกลบน SSL VPN gateway ได้ โดยใช้ flags attribute ใน HTTP header โดยไม่จำเป็นต้องผ่านการยืนยันตัวตน"

การเพิ่มช่องโหว่นี้ในรายการ KEV catalog เกิดขึ้นไม่นานหลังจากบริษัทด้านความปลอดภัยไซเบอร์ Trend Micro เปิดเผยว่ากลุ่มแฮ็กเกอร์จากจีนที่ชื่อว่า Earth Kasha (หรือที่รู้จักกันในชื่อ MirrorFace) ได้ใช้ประโยชน์จากช่องโหว่ในผลิตภัณฑ์ต่าง ๆ เช่น Array AG (CVE-2023-28461), Proself (CVE-2023-45727) และ Fortinet FortiOS/FortiProxy (CVE-2023-27997) เพื่อเข้าถึงระบบในเบื้องต้น

Earth Kasha มีชื่อเสียงจากการโจมตีองค์กรในญี่ปุ่นอย่างกว้างขวาง อย่างไรก็ตามในช่วงไม่กี่ปีที่ผ่านมาพบว่ากลุ่มนี้ยังได้โจมตีไต้หวัน, อินเดีย และยุโรปอีกด้วย

เมื่อต้นเดือนนี้ ESET ยังได้เปิดเผยแคมเปญของ Earth Kasha ที่มุ่งเป้าหมายไปยังหน่วยงานทางการทูตที่ไม่เปิดเผยชื่อในสหภาพยุโรป เพื่อส่ง backdoor ที่ชื่อว่า ANEL โดยใช้ประโยชน์จากงาน World Expo 2025 ที่มีกำหนดจัดขึ้นในโอซาก้า ประเทศญี่ปุ่น ในเดือนเมษายน 2025

จากการโจมตีที่ยังคงดำเนินอยู่ หน่วยงานของรัฐบาลกลาง (FCEB) ได้รับคำแนะนำให้ดำเนินการอัปเดตแพตช์อุปกรณ์ภายในวันที่ 16 ธันวาคม 2024 เพื่อป้องกันเครือข่ายของตน

VulnCheck ได้ให้ข้อมูลโดยระบุว่า การเปิดเผยข้อมูลนี้เกิดขึ้นในขณะที่กลุ่มแฮ็กเกอร์จีน 15 กลุ่ม จากทั้งหมด 60 กลุ่ม มีความเชื่อมโยงกับการใช้ช่องโหว่ที่ถูกโจมตีบ่อยที่สุด 15 รายการในปี 2023

โดย VulnCheck ระบุว่า พบ hosts ที่เชื่อมต่ออินเทอร์เน็ตมากกว่า 440,000 รายการ ที่มีแนวโน้มอาจตกเป็นเป้าหมายของการโจมตีได้

Patrick Garrity จาก VulnCheck ระบุว่า "องค์กรควรประเมินความเสี่ยงที่เกิดจากช่องโหว่เหล่านี้, เพิ่มความสามารถในการตรวจสอบความเสี่ยงที่อาจเกิดขึ้นกับระบบ, ใช้ประโยชน์จากข้อมูลข่าวสารด้านภัยคุกคาม, รักษามาตรฐานการจัดการแพตช์ที่มีประสิทธิภาพ และดำเนินการควบคุมเพื่อลดความเสี่ยง เช่น ลดการเปิดเผยอุปกรณ์ที่สามารถเข้าถึงได้จากอินเทอร์เน็ตให้น้อยที่สุด"

ที่มา : thehackernews

นักวิจัยจาก Securonix พบผู้ไม่หวังดีที่ยังไม่ทราบตัวตนที่แน่ชัด พยายามหลอกให้ผู้ใช้งาน Windows เรียกใช้งาน Linux virtual machine (VM) เวอร์ชันที่ถูกปรับแต่งขึ้นมาเป็นพิเศษ และมีการตั้งค่า backdoor ไว้ (more…)

VMware ออกอัปเดตด้านความปลอดภัยเพื่อแก้ไขช่องโหว่การเรียกใช้โค้ดที่เป็นอันตรายจากระยะไกลของ VMware vCenter Server ระดับ Critical ซึ่งยังไม่ได้รับการแก้ไขอย่างถูกต้องในแพตช์แรกเมื่อเดือนกันยายน 2024 (more…)

กลุ่มผู้โจมตีที่ได้รับการสนับสนุนจากรัฐบาลเกาหลีเหนือซึ่งเป็นที่รู้จักในชื่อ APT37 ได้แพร่กระจาย backdoor ตัวใหม่ชื่อ "VeilShell" สิ่งที่น่าสนใจคือเป้าหมายของการโจมตีนี้ เนื่องจากโดยปกติแล้ว APT กลุ่มต่าง ๆ จากเกาหลีเหนือส่วนใหญ่จะโจมตีองค์กรในเกาหลีใต้ หรือญี่ปุ่น แต่ในแคมเปญล่าสุดของ APT37 ได้พุ่งเป้าไปที่ประเทศกัมพูชา ซึ่งเป็นประเทศที่ Kim Jong-Un มีความสัมพันธ์ที่มากกว่าปกติ (more…)