ในปี 2018 นักวิจัยด้านความปลอดภัยได้ค้นพบช่องโหว่ที่สำคัญใน Bitcoin Core ซึ่งเป็นซอฟต์แวร์หลักของ Bitcoin blockchain แต่หลังจากรายงานปัญหาและทำการแก้ไขช่องโหว่แล้วนักวิจัยได้เลือกที่จะเก็บรายละเอียดไว้เป็นส่วนตัวเพื่อหลีกเลี่ยงไม่ให้แฮกเกอร์ใช้ประโยชน์จากช่องโหว่นี้

ช่องโหว่ที่ถูกค้นพบนั้นถูกเรียกว่า INVDoS ถูกติดตามด้วยรหัส CVE-2018-17145 ช่องโหว่ดังกล่าวเป็นการโจมตี denial-of-service (DoS) ช่องโหว่ถูกค้นพบโดย Braydon Fuller วิศวกรโปรโตคอล Bitcoin ซึ่งช่องโหว่จะทำให้ผู้โจมตีวามารถสร้างทรานแซคชั่นที่ผิดรูปแบบและเมื่อทรานแซคชั่นถูกนำไปประมวลผลโดย blockchain node ช่องโหว่จะนำไปสู่การใช้ Memory ที่ผิดปกติบนเซิร์ฟเวอร์ ซึ่งจะทำให้ระบบเกิด crash และเกิดความเสียหายในที่สุด

นอกจากนี้ INVDoS ยังส่งผลกระทบกับ Bitcoin node (เซิร์ฟเวอร์) ที่รันซอฟต์แวร์ Bitcoin Core ซึ่ง Bitcoin node ที่ใช้ Bcoin และ Btcd ก็จะได้รับผลกระทบจากช่องโหว่เช่นเดียวกันส่วน Cryptocurrencies อื่นๆ ที่ถูกสร้างขึ้นบนโปรโตคอล Bitcoin เช่น Litecoin และ Namecoin ก็จะได้รับผลกระทบจากช่องโหว่เช่นกัน

ทั้งนี้ผู้สนใจรายละเอียดเพิ่มเติมสามารถอ่านได้ที่: https://invdos.

เด็กหนุ่มวัย 17 ปีตกเป็นผู้ต้องสงสัยในคดีแฮก Twitter และทำการหลอกลวงให้โอนเงิน Bitcoin

ในการเเถลงการของกระทรวงยุติธรรมและอัยการรัฐซึ่งเเถลงโดย Andrew H. Warren อัยการสูงสุดของฮิลส์โบโร่ ได้ประกาศการจับกุมผู้ต้องสงสัย 3 คนในการเเฮกบัญชี Twitter และทำการหลอกลวงให้โอนเงิน Bitcoin ไปยังบัญชีที่เกี่ยงข้องกับกลุ่มเเฮกเกอร์ ตามรายงานข่าว WFLA-TV ของฟลอริด้าซึ่งรายงานเกี่ยวกับการจับกุมผู้ต้องสงสัยที่ถูกจับกุมเป็นรายเเรกคือ Graham Ivan Clark เด็กหนุ่มวัย 17 ปีจาก Tampa เขต Hillsborough, Florida รายที่ 2 คือ Mason Sheppard หรือที่รู้จักกันในชื่อ "Chaewon” อายุ 19 ปีอาศัยอยู่ที่ Bognor Regis ในสหราชอาณาจักร และคนสุดท้าย Nima Fazeli หรือที่รู้จักกันในชื่อ “Rolex” อายุ 22 ปี จาก Orlando, Florida การจับกุมครั้งนี้เป็นการร่วมมือกันของหน่วยงาน FBI, IRS, DOJ และหน่วยสืบราชการลับ

ตามรายงานการจับกุมเปิดเผยว่าเมื่อ 15 กรกฎาคมที่ผ่านมา Clark สามารถเข้าถึงแบ็กเอนด์ของ Twitter โดยการใช้โทรศัพท์เพื่อทำการ Social-engineering พนักงานของ Twitter ด้วยการใช้ Credential ของพนักงาน Twitter ทำให้พวกเขาเข้าถึงเครื่องมือจากในแบ็กเอนด์ของ Twitter ได้จากนั้นพวกเขาทำการกำหมดเป้าหมายโดยเป็นบัญชี Twitter จำนวน 130 บัญชีเพื่อใช้ในการทวีตข้อความเพื่อหลอกลวงให้โอนเงิน Bitcoin ไปยังบัญชีที่เกี่ยงของกับพวกเขา จากนั้นทำการเซ็ตรหัสผ่าน 45 บัญชีเพื่อครอบครองบัญชีและส่งทวีตใหม่เพื่อโปรโมตการหลอกลวง จากนั้นทำการดาวน์โหลดข้อมูลส่วนตัว 8 บัญชี และกลุ่มเเฮกเกอร์ยังสามารถเข้าถึง Direct messages (DMs) จำนวน 36 บัญชี ซึ่ง 1 ในนั้นเป็นบัญชีการโหวตเสียงลงคะแนนเสียงอย่างเป็นทางการของประเทศเนเธอร์แลนด์

จากการเเฮกครั้งนี้พบว่ามีผู้โอนเงินมากกว่า $100,000 ไปยังบัญชีที่เกี่ยงข้องกับกลุ่มเเฮกเกอร์ จากการจับกุมในครั้งนี้กลุ่มเเฮกเกอร์ถูกตั้งข้อหาความผิดทางอาญาเป็นจำนวน 30 ข้อหา หลังจากเหตุการณ์นี้ Twitter กล่าวว่าจะมีการจำกัดจำนวนพนักงานที่สามารถเข้าถึงเครื่องมือภายในของ Twitter เพื่อป้องกันและลดความเสี่ยงจากการโจมตีในลักษณะนี้

ที่มา: zdnet

นักวิจัยค้นพบโทรจันที่สามารถตัดสินใจได้ว่าจะโจมตีคอมพิวเตอร์ด้วยใช้ขุด Cryptocurrency หรือ Ransomware

นักวิจัยค้นพบโทรจันที่สามารถสามารถตัดสินใจได้ว่าจะโจมตีคอมพิวเตอร์ด้วยใช้ขุด Cryptocurrency หรือ Ransomware โดยมีการพัฒนามาจาก Trojan-Ransom.

นักวิจัยด้านความปลอดภัยพบ Malware ตัวใหม่ชื่อว่า ComboJack ซึ่งมีความสามารถในการตรวจจับหากว่าผู้ใช้งานมีการก็อป cryptocurrency address เอาไว้ใน clipboard โดยจะนำ Address ที่ตัวเองสร้างขึ้นมาไปแทนที่

Malware ตัวนี้มีความคล้ายคลึงกับ Evrial และ CryptoShuffler แต่แตกต่างตรงที่สามารถรองรับ Cryptocurrencies ได้หลายตัวไม่ใช่แค่เพียง Bitcoin สืบเนื่องจากข้อมูลของ Palo Alto Network ตัว ComboJack สามารถตรวจจับได้ว่าเมื่อใดก็ตามที่มีการก็อป Address ของ Bitcoin, Litecoin, Ethereum, และ Monero รวมไปถึงระบบจ่ายเงินดิจิตอลตัวอื่นๆ ด้วย เช่น Qiwi, Yandex

ขั้นตอนการแพร่กระจายตัวของ ComboJack มีความซับซ้อน เริ่มจากการที่ Hacker ส่งอีเมลซึ่งอ้างว่ามีการสแกนข้อมูลพาสพอร์ทที่หายไปเอาไว้ ไฟล์แนบมาจะอยู่ในรูปแบบของไฟล์ PDF เมื่อผู้ใช้ทำการโหลดและเปิดไฟล์ PDF ตัวไฟล์จะทำการเปิด RTF file ซึ่งภายในมี Embedded HTA Object ที่จะพยายามเจาะช่องโหว่ของ DirectX (CVE-2017-8579) เมื่อทำการเจาะสำเร็จ HTA File ซึ่งอยู่ภายใน RTF File ซึ่งอยู่ภายในไฟล์ PDF อีกชั้นหนึ่ง จะสั่งรันคำสั่ง PowerShell Commands ที่จะโหลดไฟล์มาและสั่งรันตัวเอง เป็นไฟล์ประเภท Self-Extracting Executable (SFX) หลังจากนั้นตัว SFX จะโหลดและสั่งรัน "password-protected SFX" ที่จะทำการติดตั้งตัว ComboJack
ComboJack จะได้สิทธิ์ในการบูทเครื่อง และจะเริ่มทำการวสแกนข้อมูลที่มีการก็อปไว้ใน Windows Clipboard ทุกๆ ครึ่งวินาทีเผื่อว่ามีการก็อปข้อมูลใหม่ เมื่อไรก็ตามที่ผูใช้งานมีการก็อปข้อมูล(ในที่นี้หมายถึง Address ของ Cryptocurrency) ซึ่งตรงกับฐานข้อมูลของ ComboJack ตัว ComboJack จะแทนที่ Address เก่าที่ผู้ใช้ก็อปไว้ด้วย Address ใหม่ที่สร้างขึ้นเองจากฐานข้อมูล

ที่มา : bleepingcomputer

นักวิจัยจาก McAfee Advanced Threat Research (ATR) ได้มีการเปิดเผยแคมเปญการโจมตีล่าสุดภายใต้ชื่อ HaoBao ซึ่งพุ่งเป้าโจมตีผู้ครอบครองบิทคอยน์และสถาบันการเงินผ่านช่องทางอีเมลพร้อมไฟล์แนบอันตรายที่ดาวโหลดและติดตั้งมัลแวร์

McAfee ATR เชื่อว่าผู้ที่อยู่เบื้องหลังการโจมตีครั้งนี้นั้นเกี่ยวข้องกับกลุ่มแฮกเกอร์ Lazarus ซึ่งเคยฝากผลงานในการแฮก Sony อ้างอิงจากการใช้งานลักษณะอีเมลฟิชชื่งที่คล้ายกับที่ Lazarus เคยใช้

อีเมลที่ใช้แพร่กระจายมัลแวร์นั้นถูกปลอมแปลงเป็นอีเมลเกี่ยวกับการสมัครงานโดยมีลิงค์สำหรับดาวโหลดเอกสารเชื่อมไปยัง Dropbox โดยเอกสารดังกล่าวจะมีการฝังมาโครสคริปต์เพื่อดาวโหลดและติดตั้งมัลแวร์ ตัวมัลแวร์เองมีความสามารถในการขโมยข้อมูลออกจากเครื่องที่มีการแพร่กระจายรวมไปถึงสแกนหาการใช้งานที่เกี่ยวข้องกับบิทคอยน์ด้วย
Recommendation แนะนำให้ตรวจสอบพฤติกรรมการทำงานของระบบเทียบเคียงกับ IOC ที่ปรากฎตามแหล่งที่มา และดำเนินการตามความเหมาะสมหากพบเจอการแพร่กระจายของมัลแวร์อย่างเร็วที่สุด

ที่มา : securingtomorrow.

สรุปย่อ

ทีมนักวิจัยด้านความปลอดภัย Unit 42 จาก Palo Alto Networks ได้ประกาศสถิติการแพร่กระจายของมัลแวร์ประเภท miner ซึ่งพุ่งเป้าไปที่การสร้างผลกำไรในสกุลเงินออนไลน์แบบเสมือนย้อนหลัง 4 เดือน โดยพบว่ายอดดาวโหลดไฟล์โปรแกรมของมัลแวร์ประเภทดังกล่าวในอันดับที่ 1 นั้นมีที่มาจากประเทศไทยกว่า 3,500,000 ครั้ง และมากกว่าอันดับ 2 เกือบเท่าตัว

ทีมตอบสนองการโจมตีและภัยคุกคามจากบริษัทขอแนะนำให้ทำการตรวจสอบการแพร่กระจายของมัลแวร์ตามคำแนะนำในหัวข้อ "ขั้นตอนแนะนำในการจัดการกับภัยคุกคาม" ด้านล่างโดยด่วนที่สุด

ทำความรู้จักกับภัยคุกคามประเภทมัลแวร์ขุดบิทคอยน์
กระบวนการหนึ่งที่สำคัญของระบบเงินแบบไม่มีศูนย์กลาง (decentralized system) คือการที่ผู้ใช้งานในระบบนั้นมีหน้าที่ในการช่วยกันตรวจสอบธุรกรรมที่เกิดขึ้นว่าถูกต้องหรือไม่ และเพื่อจูงใจให้เกิดการตรวจสอบต่อไปเรื่อยๆ ผู้ที่ช่วยในการตรวจสอบธุรกรรมก็จะได้รับ "ผลตอบแทน" นั้นเป็นรางวัล กระบวนการที่ผู้ใช้งานช่วยกันพิสูจน์ความถูกต้องของธุรกรรมนั้นถูกเรียกชื่อตามวิธีการว่า mining

อย่างไรก็ตามการ mining เพื่อให้ได้ผลตอบแทนนั้นแท้จริงเปรียบเสมือนกับการแก้ปัญหาโจทย์ทางคณิตศาสตร์รูปแบบหนึ่งที่เป็นงานที่คอมพิวเตอร์ถนัด การแย่งชิงเพื่อให้สามารถแก้โจทย์ปัญหาได้ก่อนจึงเกิดขึ้นในรูปแบบของการทุ่มพลังในการประมวลผลของคอมพิวเตอร์หลายสิบหรือหลายร้อยเครื่องเพื่อแข่งขันกันว่าผู้ใดจะได้ "คำตอบที่ถูกต้อง" หรือ "ผลตอบแทน" ก่อนกัน

แน่นอนว่าทุกๆ คนนั้นอยากเป็นผู้ชนะ และชัยชนะที่มาพร้อมกับผลตอบแทนมูลค่าสูงย่อมทำให้เกิดการแข่งขันที่สกปรก ผู้ประสงค์ร้ายหรือแฮกเกอร์จึงอาศัยการโจมตีช่องโหว่ของระบบคอมพิวเตอร์ต่างๆ เพื่อแพร่กระจายโปรแกรมสำหรับ mining ซึ่งเมื่อเริ่มทำงานแล้ว โปรแกรม mining จะดึงทรัพยากรของระบบคอมพิวเตอร์ทั้งหมดเพื่อใช้ในการกระบวนการ mining โดยมีปลายทางเพื่อสร้างผลตอบแทนให้กับเจ้าของกระเป๋าหรือเจ้าของบัญชีที่ควบคุมมัลแวร์ให้มากที่สุด
การแพร่กระจายของมัลแวร์ขุดบิทคอยน์
สำหรับมัลแวร์ miner ซึ่งพุ่งเป้าไปที่สกุลเงิน Monero นั้น ทีม Unit 42 ได้ทำการสรุปวิธีการที่ผู้ประสงค์ร้ายใช้ในการแพร่กระจายมัลแวร์ซึ่งมีความแตกต่างกันตามช่วงเวลาตามรายละเอียดดังนี้

ในส่วนของการดาวโหลดและติดตั้งตัวเองนั้น ผู้ประสงค์ร้ายได้มีการใช้งานบริการ Adf.

Gilbert Sison และ Janus Agcaoili นักวิจัยด้านความปลอดภัยจาก Trend Micro พบ Cerber ransomware Version ใหม่ ขโมย Bitcoin Wallet และ Password ใน Browser
ransomware ตัวนี้จะค้นหาไฟล์ข้อมูลที่เกี่ยวข้องกับ Bitcoin Wallet ไม่ว่าจะเป็น wallet.

ถือว่าเริ่มมีให้เห็นกันมากขึ้นเรื่อยๆ เกี่ยวกับเว็บไซด์ที่ให้บริการของ Bitcoin ถูกแฮ็ค ล่าสุดเป็นแหล่งแลกเงิน bitcoin ในประเทศเกาหลีใต้ถูกแฮ็คสูญเงินไปถึง $5.5 ล้าน
Yapizon, เป็นแหล่งแลกเงิน bitcoin ในประเทศเกาหลีใต้ประกาศเมื่อสัปดาห์ก่อนว่าในช่วงวันที่ 22 เมษายนเวลาประมาณ 02:00 - 03:00 ที่ผ่านมา พบเหตุการณ์ถูกบุกรุกและทำการโอนเงินจาก wallet 4 wallet ออกไป ซึ่งทั้ง 4 wallet เป็น wallet ที่เป็น high-priority ซึ่งรวมกันถือว่าเป็นจำนวน bitcoin ทั้งหมด 36.594% ของทั้งบริษัท ทำให้สูญเงินไปประมาณ 3816.2028 Bitcoin (ประมาณ $5.5 ล้าน)

เหตุการณ์ในเกิดคล้ายๆกับของ Bitfinex ซึ่งเป็นแหล่งแลกเงิน Bitcoin ระดับโลก ซึ่งถูกแฮ็คและสูญเงินไปในเดือนสิงหาคม 2016 ที่ผ่านมาประมาณ 119,756 bitcoin ซึ่งขณะนั้นถือว่ามีมูลค่าประมาณ $67.47 ล้าน
โดยวิธีการแก้ไขปัญหาที่เกิดขึ้นคือในตอนนั้นทาง Bitfinex ได้กระจายความสูญเสียไปให้กับ user ทั้งหมด แล้วให้ token ที่ทาง Bitfinex สร้างขึ้นมาแทนเพื่อชดเชยความเสียหายที่เกิดขึ้น หลังจากที่ Bitfinex ได้กำไรกลับมา ก็ได้ทำการซื้อ token เหล่านั้นกลับเพื่อให้ client ได้เงินคืนกลับไป โดยทาง Bitfinex เพิ่งจะซื้อ token ทั้งหมดกลับมาได้ในวันที่ 3 เมษายนที่ผ่านมานี่เอง

ทาง Yapizon ก็กำลังทำแบบเดียวกัน โดยการกระจายความเสียหายไปยัง user แล้วก็สร้าง token แจกจ่ายออกไปอีกที โดยใช้ชื่อ Token ว่า Fei
ทาง Yapizon ตรวจสอบแล้วว่าไม่น่าจะเกิดจากคนภายใน พร้อมทั้งส่งเรื่องต่อไปยัง Cyber Investigation Division ของตำรวจเกาหลีเรียบร้อย

ที่มา: bleepingcomputer

สัปดาห์ที่ผ่านมา นักวิจัยด้านความมั่นคงปลอดภัยจาก Proofpoint ได้ออกมาเปิดเผยถึง Ransomware หรือมัลแวร์เรียกค่าไถ่ตัวใหม่ ชื่อว่า “CyrptXXX” ที่นอกจากจะเข้ารหัสไฟล์ข้อมูลเรียกค่าไถ่แล้ว ยังพยายามขโมยเงิน Bitcoin และ Username/Password ที่ใช้ล็อกอินของเหยื่ออีกด้วย แต่ข่าวดีคือ Kaspersky Lab ได้ออก Decrypter สำหรับปลดล็อก CryptXXX ได้สำเร็จ โดยไม่ต้องเสียค่าไถ่อีกต่อไป
หลังจาก CryptXXX ถูกติดตั้งสู่เครื่องคอมพิวเตอร์แล้ว มันจะทำการเข้ารหัสไฟล์ข้อมูลแล้วต่อท้ายนามสกุลไฟล์เป็น .crypt จากนั้นจะแสดงข้อความเรียกค่าไถ่เป็นจำนวนเงิน $500 หรือประมาณ 18,000 บาทเพื่อแลกกับกุญแจปลดรหัส แต่ที่ร้ายกาจคือ CryptXXX จะแอบขโมย Bitcoin wallet และข้อมูล Credential ต่างๆ เช่น FTP Client, Instant Messaging Client, Email และ Browser อีกด้วย
อย่างไรก็ตาม Kaspersky Lab ค้นพบจุดอ่อนของ Ransomware ดังกล่าว และได้ทำการออก Decrypter สำหรับปลดรหัสไฟล์โดยไม่ต้องจ่ายค่าไถ่เป็นที่เรียบร้อย เรียกว่า “RannohDecryptor” หลังจากที่ปลดรหัสไฟล์เรียบร้อยแล้ว สามารถถอนการติดตั้งโปรแกรม Decrypter ออกได้ทันที นอกจากนี้ แนะนำว่าให้ใช้โปรแกรม Anti-malware สแกนเครื่องคอมพิวเตอร์ทั้งหมดอีกครั้ง เพื่อให้มั่นใจว่ามัลแวร์ถูกกำจัดออกไปจากเครื่องจนหมดจริง

ที่มา : bleepingcomputer

มัลแวร์เรียกค่าไถ่ชนิดใหม่ชื่อ “Jigsaw” เมื่อเข้ารหัสไฟล์ข้อมูลในเครื่องเรียบร้อยแล้วจะแสดงรูปภาพของตัวละคร Jigsaw จากภาพยนตร์เรื่อง Saw บนหน้าจอเครื่องคอมพิวเตอร์ของเหยื่อพร้อมข้อความเรียกค่าไถ่ โดยข่มขู่ว่าหากไม่จ่ายเงินจะลบไฟล์ในเครื่องทิ้งไปเรื่อยๆ โดยจะค่อยๆ ลบไฟล์ที่ถูกเข้ารหัสทุกๆ ชั่วโมง และลบทิ้งครั้งละ 1,000 ไฟล์
มัลแวร์ดังกล่าวจะถูกเปลี่ยนนามสกุลเป็น .fun และเรียกร้องให้เหยื่อจ่ายเงิน 0.4 bitcoin หรือประมาณ 160 ดอลลาร์สหรัฐ

อย่างไรก็ตาม นักวิจัยค้นพบวิธีกู้คืนไฟล์ที่ถูกเข้ารหัสลับโดยมัลแวร์นี้ได้แล้ว โดยสามารถดาวน์โหลดโปรแกรม JigSawDecrypter เพื่อใช้กู้คืนไฟล์ได้ฟรี (https://download.