พบ Backdoor ใน Webmin ซึ่งเป็นแอปพลิเคชันสำหรับ system administrator ในการจัดการควบคุมระบบจากระยะไกลสำหรับเครื่องที่ใช้ระบบปฏิบัติการ Unix (Linux, FreeBSD หรือ OpenBSD servers) ที่ได้รับความนิยม

Backdoor ดังกล่าวอนุญาตให้ผู้โจมตีทำการรันคำสั่งที่เป็นอันตรายได้ด้วยสิทธิ์ Root บนเครื่องที่ลง Webmin ซึ่งเมื่อยึดเครื่องที่ลง Webmin สำเร็จ ผู้โจมตีก็จะสามารถสั่งการไปยังเครื่องอื่นๆ ที่ใช้ Webmin จัดการได้อีกด้วย

แม้ว่า Webmin จะได้รับความนิยมก็ตาม แต่ backdoor ในโค้ดของ Webmin แฝงตัวอยู่ในซอร์สโค้ดของโปรเจคมานานกว่าหนึ่งปีก่อนที่นักวิจัยความปลอดภัยชาวตุรกี Özkan Mustafa Akkuş จะพบสิ่งที่เขาคิดว่าเป็นช่องโหว่บนซอร์สโค้ด Webmin ช่องโหว่นี้ยอมให้ Attackers ที่ไม่ได้ตรวจสอบสิทธิ์สามารถเรียกใช้โค้ดบนเซิฟเวอร์ที่รันแอป Webmin ได้ และนำเสนอในงาน DEF CON 27 ที่ผ่านมา

แต่จากการตรวจสอบเพิ่มเติม หนึ่งในนักพัฒนาระบบ Webmin บอกว่าช่องโหว่ไม่ได้เกิดจากการเขียนโค้ดที่ผิดพลาด แต่โค้ดอันตรายนี้ถูกแทรกมาระหว่างการ build โค้ดเป็น package

ซึ่ง Backdoor นี้พบเฉพาะใน Webmin ที่เผยแพร่บน SourceForge ไม่พบใน GitHub ซึ่งทีมงาน Webmin ไม่ได้ระบุว่าการแทรกโค้ดอันตรายเกิดจากการที่เครื่องของนักพัฒนาถูกแฮก หรือบัญชี SourceForge ถูกแฮกแล้วแฮกเกอร์อัปโหลด Webmin ที่เป็นอันตรายเข้าไปแทน

ตามการวิเคราะห์ทางเทคนิคเบื้องต้นของ Akkuş ช่องโหว่นี้อยู่บนฟีเจอร์ Password expiration สำหรับบัญชีบนเว็บที่ใช้ Webmin ซึ่งถ้าเปิดใช้ฟีเจอร์ Password expiration ผู้โจมตีสามารถส่ง HTTP request ที่มี "|" ตามด้วย shell command และรันคำสั่งที่เป็นอันตรายได้ด้วยสิทธิ Root

Webmin รุ่นที่ได้รับผลกระทบคือรุ่น 1.882 ถึง 1.921 ที่ถูกดาวน์โหลดจาก SourceForge

ข่าวดีคือใน Webmin ก่อนรุ่น 1.890 ไม่ได้เปิดฟีเจอร์ Password expiration เป็นค่าตั้งต้น แต่เพื่อความปลอดภัย ทีมงาน Webmin มีข้อแนะนำว่า

วิธีแรกเป็นแนะนำอย่างยิ่งว่าควรอัปเกรดเป็นเวอร์ชัน 1.930 ที่ลบโค้ดอันตรายออกไปแล้ว

อีกวิธีหนึ่งคือ ถ้ามีการทำงานบนเวอร์ชั่น 1.900 ถึง 1.920 ควรแก้ไข /etc/webmin/miniserv.

Microsoft ได้ออกคำเตือนเกี่ยวกับแคมเปญสแปมอีเมลที่กำลังดำเนินอยู่กำลังแพร่กระจายอีเมลที่มีไฟล์ประเภท RTF(Rich Text Format) ที่มีช่องโหว่ CVE-2017-11882 ซึ่งช่วยให้ผู้โจมตีสามารถเรียกใช้โค้ดที่เป็นอันตรายโดยอัตโนมัติเมื่อผู้ได้รับอีเมลเปิดเอกสารแนบ และดูเหมือนจะกำหนดเป้าหมายไปยังผู้ใช้ชาวยุโรปเนื่องจากอีเมลเหล่านี้ถูกส่งเป็นภาษาต่างๆ ในยุโรป

Microsoft ได้ออกคำเตือนเกี่ยวกับแคมเปญสแปมอีเมลที่กำลังดำเนินอยู่กำลังแพร่กระจายอีเมลที่มีไฟล์ประเภท RTF(Rich Text Format) ที่มีช่องโหว่ CVE-2017-11882 ซึ่งช่วยให้ผู้โจมตีสามารถเรียกใช้โค้ดที่เป็นอันตรายโดยอัตโนมัติเมื่อผู้ได้รับอีเมลเปิดเอกสารแนบ และดูเหมือนจะกำหนดเป้าหมายไปยังผู้ใช้ชาวยุโรปเนื่องจากอีเมลเหล่านี้ถูกส่งเป็นภาษาต่างๆ ในยุโรป

โดยเมื่อไฟล์ RTF ถูกเปิดมันจะรันสคริปต์หลายประเภทที่แตกต่างกัน (VBScript, PowerShell, PHP, อื่น ๆ ) เพื่อดาวน์โหลด Payload โดย Payload สุดท้ายคือ Backdoor trojan ซึ่งผู้โจมตีไม่สามารถสั่งคำสั่งไปยัง Backdoor trojan ดังกล่าวได้แล้วเนื่องจากเซิร์ฟเวอร์ที่ถูกควบคุมถูกปิดไปแล้ว แต่ Microsoft ยังคงเตือนภัยว่าอาจมีการโจมตีในลักษณะเดียวกันโดยใช้ Backdoor trojan ตัวใหม่ได้

อย่างไรก็ตามช่องโหว่ CVE-2017-11882 ได้รับการแพตช์แล้วตั้งแต่เดือนพฤศจิกายน 2017 แนะนำให้ผู้ใช้ Windows ทุกคนติดตั้งแพตช์การรักษาความปลอดภัยสำหรับช่องโหว่นี้ เนื่องจากช่องโหว่นี้กำลังถูกใช้โจมตีอยู่บ่อยครั้ง โดยบริษัท Recorded Future ออกรายงานว่าเป็นช่องโหว่ที่ถูกใช้โจมตีมากที่สุดเป็นอันดับสามในปี 2018 และ Kaspersky ออกรายงานว่าเป็นช่องโหว่ที่ถูกใช้โจมตีมากที่สุดอันดับหนึ่งในปี 2018 รวมถึงมีการเตือนจาก FireEye ในวันที่ 5 มิถุนายน 2019 ถึงการโจมตีด้วยช่องโหว่นี้ไปยังเอเชียกลางด้วย Backdoor ตัวใหม่ที่ชื่อว่า HawkBall

ที่มา : zdnet

ช่องโหว่หมายเลข CVE-2019-0859 ที่ส่งผลให้มีการเพิ่มระดับสิทธิ์ และมีการแอบฝัง PowerShell backdoor ไปยังระบบปฎิบัติการ Windows ได้ ปัจจุบันได้ถูกแก้ไขแพทช์ล่าสุดของ Microsoft และมีการอัพเดทแพทช์ ประจำเดือนเมษายน 2019 แล้ว

ทาง Kaspersky กล่าวว่าช่องโหว่นี้เกิดจากข้อผิดพลาดในการใช้งานฟรี จะถูกใช้โดยนักแสดงการคุกคามที่ไม่มีชื่อในการดำเนินการ PowerShell ซึ่งเป็นงานอัตโนมัติของ Microsoft และการจัดการการกำหนดค่าเพื่อพยายามดาวน์โหลดสคริปต์ขั้นที่สองจาก Pastebin สคริปต์ระยะที่สองนี้เรียกใช้สคริปต์อื่นที่คลายการใช้ shellcode และ shellcode สร้าง HTTP reverse shell ที่ทำให้ผู้โจมตีสามารถควบคุมอุปกรณ์เป้าหมายได้อย่างสมบูรณ์ ส่วนใหญ่จะถูกโจมตีสำหรับ Windows รุ่น 64 บิต (ตั้งแต่ Windows 7 ไปจนถึงรุ่นเก่ากว่าของ Windows 10) และใช้ประโยชน์จากช่องโหว่โดยใช้เทคนิค HMValidateHandle ที่รู้จักกันดีในการเลี่ยง ASLR

ส่วนช่องโหว่อื่นๆของ Windows เช่น (CVE-2019-0803) ที่คล้ายกับช่องโหว่ที่ระบุโดย Kaspersky นั้นได้รับการแก้ไขในเดือนนี้โดย Microsoft ข้อบกพร่องดังกล่าวซึ่งรายงานโดย บริษัท Donghai Zhu ของทีมรักษาความปลอดภัยข่าวกรอง Cloud ของ Alibaba ก็ถูกนำไปใช้เช่นกัน แต่ก็ไม่มีรายละเอียดใด ๆ เกี่ยวกับการโจมตี

ที่มา: www.

แฮกเกอร์ได้สิทธิ์ในการเข้าถึง JavaScript library ที่เป็นที่นิยมและทำการส่งโค้ดอันตรายเพื่อขโมยเงิน Bitcoin

Event-Stream 3.3.6 เป็นแพคเกจใน npm ของ JavaScript ทำงานกับข้อมูลสตรีม Node.

สวัสดีครับหลังจากห่างหายกันไปนานวันนี้เราจะมาพูดถึงเทคนิคใหม่ในการฝังแบ็คดอร์ไว้ในไฟล์ตั้งค่าของโปรแกรม OpenVPN ซึ่งถูกค้นพบโดย Jacob Baines จาก Tenable Security กันครับ
อะไรคือแบ็คดอร์ประเภท Reverse Shell?
แบ็คดอร์ประเภท Reverse Shell เป็นแบ็คดอร์ที่เมื่อมีการติดตั้งลงบนเครื่องเป้าหมายแล้ว โปรแกรมของแบ็คดอร์จะมีการติดต่อกลับมายังเซิร์ฟเวอร์ตามหมายเลขไอพีแอดเดรสและพอร์ตที่เรากำหนดไว้กับโปรแกรมของแบ็คดอร์ ซึ่งจะแตกต่างกับแบ็คดอร์อีกประเภทหนึ่งคือ Bind Shell ที่จะฝังตัวและรอรับการเชื่อมต่อเข้ามาที่โปรแกรมของแบ็คดอร์อย่างเดียว

แบ็คดอร์ประเภท Reverse Shell ได้รับความนิยมสูงเนื่องจากโดยทั่วไปการตั้งค่าด้านความปลอดภัยนั้นมักจะไม่อนุญาตให้มีการเชื่อมต่อที่ไม่ได้รับอนุญาตเข้ามาในเครือข่ายแต่มักจะหละหลวมในการตั้งค่าการเชื่อมต่อในขาออกจากเครือข่าย ทำให้แบ็คดอร์ประเภท Reverse Shell นั้นถูกเลือกใช้บ่อยครั้งกว่าแบ็คดอร์แบบ Bind Shell
แก้ไขไฟล์ OVPN เพื่อฝังแบ็คดอร์
โปรแกรม OpenVPN นั้นจะถูกกำหนดการใช้งานในแต่ละครั้งด้วยไฟล์ตั้งค่าซึ่งใช้นามสกุลของไฟล์คือ OVPN โดยภายในไฟล์ OVPN นั้นจะมีการเก็บการตั้งค่าของการเชื่อมต่อเพื่อสร้างการเชื่อมต่อไปยังเซิร์ฟเวอร์ VPN เอาไว้

นักวิจัยด้านความปลอดภัยจาก Tenable Security “Jacob Baines” ค้นพบว่าโปรแกรม OpenVPN จะทำการรันหรือเอ็กซีคิวต์คำสั่งใดๆ ที่ต่อท้ายฟิลด์ “up” ซึ่งเป็นฟิลด์การตั้งค่าหนึ่งตามรูปแบบของ OVPN ดังนั้นหากมีการแก้ไขไฟล์ OVPN โดยการเพิ่มคำสั่งอันตรายต่อท้ายฟิลด์ “up” ผู้ใช้งานก็จะมีการรันคำสั่งที่เป็นอันตรายดังกล่าวทันทีเมื่อพยายามเชื่อมต่อ VPN

โดยทั่วไปไฟล์ตั้งค่า OVPN นั้นจะประกอบด้วยข้อมูลภายในดังต่อไปนี้ (ข้อมูลในไฟล์ OVPN อาจแตกต่างกันตามลักษณะการเชื่อมต่อ)

การตั้งค่าในแต่ละบรรทัดมีความหมายดังต่อไปนี้

remote test.

US-CERT ประกาศแจ้งเตือนล่าสุดเกี่ยวกับมัลแวร์ "Typeframe" ซึ่งเชื่อกันว่ามีส่วนเกี่ยวข้องกับกลุ่มแฮกเกอร์สัญชาติเกาหลีเหนือ HIDDEN COBRA หรือ Lazarus Group
ในประกาศของ US-CERT เกี่ยวกับมัลแวร์ Typeframe มีการเผยแพร่ตัวอย่างของมัลแวร์มาทั้งหมด 11 รายการ ซึ่งประกอบมัลแวร์ทั้งในรูปแบบ 32 บิตและ 64 บิต จากลักษณะเบื้องต้นของมัลแวร์นั้นทำให้สามารถสันนิษฐานว่าเป็นมัลแวร์ที่ช่วยให้ผู้โจมตีสามารถควบคุมเป้าหมายได้จากระยะไกลได้ พร้อมฟังก์ชัน backdoor

Recommendation
ผู้ดูแลระบบควรดำเนินการตรวจสอบทราฟิกรวมไปถึงบล็อคทราฟิกที่มีปลายทางไปยังหมายเลขไอพีแอดเดรสซึ่งเป็นเซิร์ฟเวอร์สำหรับออกคำสั่งและควบคุม ทั้งนี้แนะนำให้ผู้ดูแลระบบตรวจสอบประกาศของ US-CERT และดำเนินการเพิ่มเติมตามขั้นตอนที่มีระบุไว้ในประกาศด้วย
รายการเซิร์ฟเวอร์ที่ใช้ออกคำสั่งและควบคุม:
- 111.207.78[.]204
- 181.119.19[.]56
- 184.107.209[.]2
- 59.90.93[.]97
- 80.91.118[.]45
- 81.0.213[.]173
- 98.101.211[.]162
ที่มา: theregister

ผู้เชี่ยวชาญด้านความปลอดภัยจาก Trend Micro ได้พบมัลแวร์ Android รุ่นใหม่ชื่อว่า ZNIU ที่ใช้ประโยชน์จากช่องโหว่ Dirty COW ซึ่งเป็นช่องโหว่บน Linux kernel โดยช่องโหว่นี้จะทำให้ผู้ใช้ที่มีสิทธิ์อ่านไฟล์ สามารถมีสิทธิ์เขียนไฟล์ด้วย ถึงแม้ว่าไฟล์นั้นต้องการสิทธิ์ของ root ในการเขียนก็ตาม รวมถึงสามารถสั่ง setuid ไฟล์นั้นเพื่อให้ถูกรันด้วยสิทธิ์ของ root ได้ด้วย

มัลแวร์ ZNIU ถูกตรวจพบแล้วในกว่า 40 ประเทศทั่วโลกเมื่อเดือนที่แล้ว และพบว่ามี Application มากกว่า 1200 รายการ ที่มีการติดต่อไปยังเวปไซต์ที่คาดว่าเกี่ยวข้องกับมัลแวร์ตัวนี้ โดยจะพบใน Application สำหรับผู้ใหญ่(Porn Application) มากที่สุด Application เหล่านี้จะมีการใช้งาน rootkit เพื่อใช้ในการโจมตีผ่านช่องโหว่ Dirty COW ผู้เชี่ยวชาญกล่าวว่า Code ที่ใช้ในการโจมตีจะทำงานได้เฉพาะกับอุปกรณ์แอนดรอยด์ที่ใช้สถาปัตยกรรม ARM/X86 64 บิตเท่านั้น และสามารถเจาะเข้าไปเพื่อทำการสร้าง backdoor บน SELinux ได้ เมื่อมีการติดตั้ง Application เรียบร้อยแล้ว จะมีการเรียกไปยังเวปไซต์ที่เป็นอันตราย เพื่อทำการดาวน์โหลด rootkit มาลงบนเครื่อง จากนั้นจึงทำการเพิ่มสิทธิ์ตัวเองให้เป็น root และจะมีการสร้าง backdoor ขึ้นมา ทั้งนี้พบว่า Domain และ Server ในการส่งคำสั่งและการควบคุมมัลแวร์อยู่ในประเทศจีน นอกเหนือจากนี้ยังพบว่ามัลแวร์มีพฤติกรรมหลอกลวงเพื่อหาเงินผ่านการใช้ SMS-enabled payment service ซึ่งเป็นบริการที่สามารถใช้ได้ในประเทศจีนเท่านั้น

ทั้งนี้ผู้ใช้งานควรเลือกติดตั้ง Application ที่มาจาก Google Play หรือ third-party ที่น่าเชื่อถือเท่านั้น หรือลง Application ที่ช่วยเรื่องความปลอดภัยบนมือถือที่ใช้งาน

ที่มา:securityaffairs

KHRAT เป็น Backdoor ที่ถูกใช้ในการจารกรรมข้อมูลความลับของกลุ่มแฮกเกอร์จากจีน ที่รู้จักกันในนาม 'DragonOK' ซึ่งก่อนหน้านี้เคยมีการใช้มัลแวร์ เช่น NetTraveler (TravNet), PlugX, Saker, Netbot, DarkStRat และ ZeroT โจมตีองค์กรในรัสเซียและประเทศอื่น ๆ โดยล่าสุดมุ่งเป้าหมายไปที่เหยื่อในกัมพูชา

มัลแวร์ถูกออกแบบมาให้ทำการเข้าถึงข้อมูลในเครื่องของเหยื่อ เช่น Username, ภาษาของระบบและ IP โดยใช้เทคนิค RAT เพื่อส่งข้อมูลกลับไปให้ C&C server เสมือนกับการลงทะเบียนเครื่องที่มีการแพร่กระจายแล้ว
นักวิจัยจาก Palo Alto ได้สรุปว่าแฮกเกอร์ได้มีการพัฒนาความสามารถของ spear phishing, ปรับหน้าตา และใช้วิธีหลากหลายในการดาวน์โหลดและเรียกใช้ payload เพิ่มเติม โดยใช้แอพพลิเคชัน built-in ของ Windows

นอกจากนี้แฮกเกอร์ยังขยายขนาดของไฟล์โฮสติ้ง โดยเลียนแบบ Dropbox ซึ่งเป็นไฟล์โฮสติ้งที่รู้จักกันดีในระบบคลาวด์เพื่อหลอกลวงเหยื่อ
แม้ว่าจะยังไม่มีการแพร่ระบาดมากนัก แต่ในช่วงสองเดือนที่ผ่านมาพบว่ามีการโจมตีเป้าหมายในกัมพูชา จากการพบเอกสาร Word ที่มีพฤติกรรมการติดต่อออกไปยังไฟล์โฮสติ้ง เมื่อช่วงเดือนมิถุนายนที่ผ่านโดยนีกวิจัยจาก Palo Alto

ที่มา: securityweek

พบการโจมตีที่ชื่อว่า IDN homograph โดยมีการใช้งานเว็บไซต์ปลอมเป็นตัวแพร่กระจายมัลแวร์ Beta Bot backdoor ซึ่งจะเป็นมัลแวร์ที่ใช้ในการแพร่กระจายมัลแวร์ขโมยข้อมูลและขุดบิทคอยน์ต่อ การโจมตี IDN homograph นี้จะเป็นการโจมตีที่อาศัยการจดชื่อโดเมนเนม (ชื่อเว็บไซต์) โดยใช้อักขระที่มีความคล้ายกับชื่อโดเมนเนมจริงหรืออักขระที่เมื่อเปิดผ่านโปรแกรมเว็บเบราว์เซอร์แล้วจะเห็นเป็นโดเมนเนมของจริง เช่น “apple.

พบ Backdoor ตัวใหม่ “Stantinko” ถูกติดตั้งอยู่ในเครื่องทั่วโลกเป็นจำนวนกว่าครึ่งล้านเครื่อง ซึ่งตัวมันจะทำการ Inject Malware ที่ไม่พึงประสงค์ผ่านส่วนเสริมของ Browser ในระหว่างที่กำลังใช้งานอินเตอร์เน็ตอยู่ และทำการสร้าง backdoor ไว้ในเครื่องของเหยื่อ หน้าตาของ Stantinko ที่เห็นภายนอกจะดูเป็นมิตรจึงทำให้ดูไม่น่าสงสัย วิธีการหลบหลีกไม่ให้ถูกตรวจเจอของ Stantinko คือจะซ่อน malicious code ไว้ใน Windows Registry.