TeamViewer บริษัทซอฟต์แวร์สำหรับ Remote Access ออกมายืนยันว่าระบบของบริษัทได้ถูกโจมตีทางไซเบอร์เมื่อวันที่ 26 มิถุนายน ที่ผ่านมา โดยบริษัทคาดว่าผู้โจมตีเป็นกลุ่ม APT
TeamViewer ระบุในโพสต์บน Trust Center ว่า "เมื่อวันพุธที่ 26 มิถุนายน 2024 ทีมรักษาความปลอดภัยของบริษัท ได้ตรวจพบความผิดปกติในระบบไอทีภายในของ TeamViewer"
"บริษัทได้ใช้มาตรการ และขั้นตอนด้านความปลอดภัยทันที เริ่มจากการสอบสวนร่วมกับทีมผู้เชี่ยวชาญด้านความปลอดภัยทางไซเบอร์ที่มีชื่อเสียงระดับโลก และดำเนินการแก้ไขที่จำเป็น" (more…)
CRIL พบการโจมตีโดยใช้ไฟล์ .LNK ที่เป็นอันตราย ซึ่งแฝงตัวเป็นไฟล์เอกสาร PDF ที่เมื่อผู้ใช้งานเปิดไฟล์ .LNK มันจะแสดงคำเชิญเข้าร่วมสัมมนาเกี่ยวกับสิทธิมนุษยชน ซึ่งแสดงให้เห็นว่าผู้โจมตีมุ่งเป้าหมายไปที่บุคคลที่มีความสนใจในประเด็นสิทธิมนุษยชน (more…)
กลุ่ม Hacker ชาวเกาหลีเหนือที่เป็นที่รู้จักในชื่อ Kimsuki กำลังใช้ Linux backdoor ตัวใหม่ ในชื่อ Gomir ซึ่งเป็นหนึ่งในเวอร์ชัน ของ GoBear backdoor ที่ถูกติดตั้งผ่านโปรแกรมที่ฝัง trojan ไว้
Kimsuky เป็นกลุ่ม Hacker ที่ได้รับการสนับสนุนจากรัฐบาลเกาหลีเหนือ ซึ่งมีความเกี่ยวข้องกับหน่วยข่าวกรองทางทหารของเกาหลีเหนือ หรือ Reconnaissance General Bureau (RGB)
ในช่วงต้นเดือนกุมภาพันธ์ 2024 นักวิจัยจากบริษัทข่าวกรองภัยคุกคาม SW2 ได้รายงานเกี่ยวกับแคมเปญการโจมตี ที่ Kimsuky ใช้ซอฟต์แวร์ต่าง ๆ ที่ฝัง trojan ไว้ เช่น TrustPKI และ NX_PRNMAN จาก SGA Solutions, Wizvera VeraPort เพื่อโจมตีไปยังเป้าหมายชาวเกาหลีใต้ด้วย Troll Stealer และ GoBear ซึ่งเป็นมัลแวร์บน Windows ที่ใช้ภาษา GO
ต่อมานักวิจัยจาก Symantec ได้พบแคมเปญการโจมตีที่มุ่งเป้าหมายไปที่องค์กรรัฐบาลเกาหลีใต้ โดยได้ค้นพบ GoBear backdoor ในรูปแบบ Linux
Gomir backdoor
Gomir backdoor มีความคล้ายคลึงกับ GoBear backdoor หลายอย่าง เช่น feature การเชื่อมต่อผ่าน command and control (C2), การแฝงตัวบนระบบ และการรองรับการดำเนินการคำสั่งที่หลากหลาย
ซึ่งเมื่อ backdoor ทำการโจมตี และเข้าสู่เครื่องได้แล้ว ก็จะทำการตรวจสอบว่ากำลังทำงานด้วยสิทธิ์ root บนเครื่อง Linux หรือไม่ จากนั้นจะทำการคัดลอกตัวเองไปที่ /var/log/syslogd จากนั้นก็จะสร้าง System service ในชื่อ 'syslogd' และเรียกใช้คำสั่ง ก่อนที่จะลบไฟล์ปฏิบัติการดั้งเดิม และยุติขั้นตอนการทำงาน
รวมถึง backdoor ยังพยายามกำหนดค่าคำสั่ง crontab ให้ทำงานเมื่อรีบูตระบบด้วยการสร้าง helper file (‘cron.
นักวิจัยความปลอดภัยทางไซเบอร์จาก Mandiant ได้รายงานในวันอังคารที่ผ่านมาว่า Ars Technica ได้ถูกนำมาใช้ในการโจมตีด้วยมัลแวร์ใน Stage ที่สอง ในแคมเปญการโจมตีที่ยังไม่เคยถูกพบมาก่อน เพื่อหลีกเลี่ยงการตรวจจับได้อย่างชาญฉลาด (more…)
พบกลุ่ม Hacker Blackwood ควบคุม WPS Office ที่ทำการอัปเดตเพื่อติดตั้งมัลแวร์
พบกลุ่ม Hacker ในชื่อ Blackwood กำลังใช้มัลแวร์ที่มีความสามารถสูงในชื่อ “NSPX30” เพื่อทำการโจมตีทางไซเบอร์ต่อบริษัท และบุคคล
(more…)
มัลแวร์ภาษา Go-based multi-platform ตัวใหม่ "NKAbuse" ซึ่งเป็นมัลแวร์ตัวแรกที่ใช้เทคโนโลยี NKN (New Kind of Network) ในการรับส่งข้อมูล ทำให้เป็นภัยคุกคามที่ยากต่อการตรวจจับ
NKN เป็นโปรโตคอลเครือข่ายแบบ peer-to-peer แบบ decentralized ที่ค่อนข้างใหม่ ซึ่งมีการใช้เทคโนโลยี blockchain เพื่อจัดการทรัพยากร และรักษาความปลอดภัยของการทำงานบนเครือข่าย
(more…)
Emby รายงานว่าเพื่อความปลอดภัย Emby ได้ปิดการใช้งานการเข้าถึงเซิร์ฟเวอร์ โดยไม่เปิดเผยจำนวนเซิร์ฟเวอร์ที่ได้รับผลกระทบจากการโจมตี ซึ่งส่วนใหญ่ถูกโจมตีโดยใช้ช่องโหว่ที่เป็นที่รู้จักก่อนหน้านี้ และการตั้งค่าบัญชีผู้ดูแลระบบที่ไม่ปลอดภัย
โดยบริษัทตรวจพบการทำงานของ plugin ที่เป็นอันตรายบนระบบ ดังนั้นเพื่อความปลอดภัยบริษัทจึงทำการปิดเซิร์ฟเวอร์เป็นมาตราการป้องกันไว้ก่อน ในขณะเดียวกันบริษัทได้แจ้งให้ผู้ใช้งานทราบเกี่ยวกับเซิร์ฟเวอร์ที่ได้รับผลกระทบ
การโจมตีเกิดขึ้นในช่วงกลางเดือนพฤษภาคม 2023 โดยผู้โจมตีกำหนดเป้าหมายไปยังเซิร์ฟเวอร์ Emby ที่เข้าถึงได้จากอินเตอร์เน็ต และเข้าสู่ระบบได้ด้วยสิทธิ์ของผู้ดูแลระบบโดยไม่ต้องใส่รหัสผ่าน
Emby อธิบายในการโจมตีนี้ว่า ผู้โจมตีได้พยายามเข้าสู่ระบบจากภายนอกโดยใช้ช่องโหว่ที่เรียกว่า Proxy Header เพื่อทำให้เซิร์ฟเวอร์ให้สิทธิ์การเข้าถึง และได้รับสิทธิ์เป็นผู้ดูแลระบบ ซึ่งช่องโหว่นี้เป็นที่รู้จักตั้งแต่เดือนกุมภาพันธ์ 2020 และพึ่งได้รับการแก้ไขในเวอร์ชันเบต้า
โดยผู้โจมตีได้ทำการติดตั้ง backdoor เพื่อเข้าควบคุม Emby เซิร์ฟเวอร์ ผ่านการติดตั้ง plugin ที่เป็นอันตราย และเก็บรวบรวม credential ทั้งหมดที่ถูกใช้ในการลงชื่อเข้าใช้บนเซิร์ฟเวอร์
หลังจากการวิเคราะห์ และประเมินความเป็นไปได้ในการแก้ไขปัญหาที่เกิดขึ้น ทีม Emby ได้เผยแพร่การอัปเดตเซิร์ฟเวอร์ ซึ่งสามารถตรวจจับการทำงานของ plugin ที่น่าสงสัย และป้องกันไม่ให้สามารถติดตั้งได้อีก
เพื่อเพิ่มความระมัดระวังเนื่องจากความรุนแรงของสถานการณ์ ทาง Emby ได้ป้องกันการทำงานของเซิร์ฟเวอร์ที่ถูกโจมตีโดยการปิดการใช้งานชั่วคราว เพื่อป้องกันการทำงานของ plugin ที่เป็นอันตราย เพื่อให้ผู้ดูแลระบบสามารถแก้ไขปัญหาได้โดยตรง
เพื่อเพิ่มระดับความปลอดภัย Emby แนะนำให้ตรวจสอบพฤติกรรมที่น่าสงสัยเพิ่มเติมดังนี้
แนะนำให้ผู้ดูแลระบบ Emby ลบไฟล์ helper.
Kaspersky เปิดเผยรายงานการพบ Gopuram Malware ซึ่งเป็นมัลแวร์ที่ถูกใช้ในการโจมตี 3CX supply chain attack โดยพบว่า Hacker ได้มุ่งเป้าหมายการโจมตีไปที่บริษัททางด้าน cryptocurrency
การโจมตี 3CX supply chain attack เกิดขึ้นจากการที่ Hacker ได้โจมตีระบบของ 3CX และทำการฝัง DLL สองตัวที่เป็นอันตราย คือ ffmpeg.
SentinelOne และ QGroup บริษัทด้านความปลาดภัยทางไซเบอร์เปิดเผยรายงานการพบกลุ่ม Hacker ชาวจีน ได้โจมตีไปยังผู้ให้บริการโทรคมนาคมในตะวันออกกลางในช่วงต้นปี 2023 ในชื่อแคมเปญ Operation Soft Cell โดยกลุ่มดังกล่าวถูกพบว่ามีเป้าหมายการโจมตีไปยังผู้ให้บริการโทรคมนาคมมาตั้งแต่ปี 2012
กลุ่ม Gallium
โดยหนึ่งในแคมเปญ Soft Cell ที่ Microsoft กำลังติดตามในชื่อ Gallium ซึ่ง Gallium ได้มุ่งเป้าการโจมตีไปยังอุปกรณ์ที่เข้าถึงได้โดยตรงจากอินเตอร์เน็ตที่ยังไม่ได้อัปเดตแพตซ์ด้านความปลอดภัย โดยจะใช้เครื่องมืออย่าง Mimikatz เวอร์ชันที่มีการปรับปรุงชื่อว่า mim221 ซึ่งสร้างขึ้น (more…)
พบ Hackers เริ่มใช้ช่องโหว่ใหม่ใน FortiNAC เพื่อสร้าง backdoor บน servers ของเป้าหมาย
นักวิจัยจาก GreyNoise และ CronUp ซึ่งเป็นบริษัทรักษาความปลอดภัยทางไซเบอร์ได้เผยแพร่รายงานพบการ พบ Hackers เริ่มใช้ช่องโหว่ใหม่ใน FortiNAC (CVE-2022-39952) ในการโจมตีเพื่อสร้าง backdoor บน servers ของเป้าหมาย ภายหลังจากที่ทาง Horizon3 ได้ปล่อย proof-of-concept exploit code (PoC) ที่ใช้ในการโจมตีช่องโหว่ดังกล่าวออกมา โดยเป็นการเพิ่ม cron job ใน reverse shell บนระบบของเหยื่อเพื่อให้ได้สิทธิสูงสุด (Root)
CVE-2022-39952 มีคะแนน CVSS v3 อยู่ที่ 9.8/10 ระดับความรุนแรงสูงมาก เป็นช่องโหว่ใน FortiNAC ที่สามารถหลบเลี่ยงการตรวจสอบสิทธิ และสามารถสั่งรันโค้ดที่เป็นอันตรายจากระยะไกลได้
FortiNAC เป็นโซลูชันในการควบคุมการเข้าถึงเครือข่ายที่ช่วยให้องค์กรมองเห็นภาพรวมของเครือข่ายแบบเรียลไทม์ รวมถึงการบังคับใช้นโยบายด้านความปลอดภัย และตรวจจับ และป้องกันภัยคุกคาม
รวมไปถึง GreyNoise และ CronUp ยังพบว่าการโจมตีอุปกรณ์ FortiNAC จำนวนมากผ่านช่องโหว่ CVE-2022-39952 มาจาก IP หลากหลายแห่ง โดยใช้กระบวนการโจมตีเดียวกับ PoC exploit ที่ Horizon3 ปล่อยออกมา คือการเพิ่ม cron job ใน reverse shell บนระบบของเหยื่อเพื่อให้ได้สิทธิ root และเรียกกลับไปยัง IP ของ Hacker
Fortinet กล่าวว่าปัจจุบัน ยังไม่มีวิธีการอื่นในการป้องกัน หรือหลีกเลี่ยงช่องโหว่ดังกล่าว จึงแนะนำให้ผู้ดูแลระบบทำการอัปเดตแพตซ์เพื่อป้องกันการถูกโจมตีจากช่องโหว่โดยเร็วที่สุด
ที่มา : bleepingcomputer