กลุ่มแฮกเกอร์ไม่ทราบชื่อกำลังใช้ประโยชน์จากช่องโหว่ร้ายแรงในการข้ามขั้นตอนการพิสูจน์ตัวตน ทำให้สามารถเข้าควบคุม Router และแพร่มัลแวร์ Mirai botnet เพื่อใช้ในการโจมตี DDoS

CVE-2021-20090 (CVSS score: 9.9) เป็นช่องโหว่ Path Traversal บนเว็บอินเตอร์เฟสของ Router ซึ่งทำให้แฮกเกอร์สามารถข้ามขั้นตอนการพิสูจน์ตัวตนเพื่อเข้าควบคุม Router ได้ ซึ่งช่องโหว่นี้เกิดขึ้นกับเฟิร์มแวร์ของ Arcadyan โดยผู้เชี่ยวชาญจาก Tenable ได้เปิดเผยเมื่อวันที่ 3 สิงหาคม ว่าช่องโหว่นี้น่าจะมีมานานกว่า 10 ปีแล้ว  ซึ่งส่งผลกระทบกับ Router อย่างน้อย 20 รุ่นจากผู้ผลิต 17 ราย

 

การใช้ประโยชน์จากช่องโหว่นี้จะทำให้แฮกเกอร์สามารถข้ามขั้นตอนการพิสูจน์ตัวตน และเข้าถึงข้อมูลสำคัญต่างๆ ได้ เช่น Request tokens ซึ่งสามารถใช้เพื่อส่ง Request ไปแก้ไขการตั้งค่าของ Router ได้

ต่อมาไม่นาน Juniper Threat Labs ก็ค้นพบการโจมตีซึ่งพยายามจะใช้ประโยชน์จากช่องโหว่นี้มาจาก IP address ซึ่งระบุว่าอยู่ในประเทศจีน โดยเริ่มตั้งแต่วันที่ 5 สิงหาคม ที่แฮกเกอร์พยายามจะปล่อย Mirai botnet ไปยัง Router ต่างๆ ซึ่งผู้เชี่ยวชาญให้ความเห็นว่าพฤติกรรมการโจมตีที่พบนี้แสดงให้เห็นว่าเป็นการโจมตีจากแฮกเกอร์กลุ่มเดียวกันกับรายงานเหตุการณ์การโจมตีของผู้เชี่ยวชาญจาก Palo Alto Network ซึ่งได้พบเห็นการโจมตีในรูปแบบเดียวกันนี้ตั้งแต่ในช่วงเดือนมีนาคม

นอกจากช่องโหว่ CVE-2021-20090 แล้ว แฮกเกอร์ยังพยายามใช้ช่องโหว่อื่นๆ ในการโจมตี Router อีก เช่น

CVE-2020-29557 (Pre-authentication remote code execution in D-Link DIR-825 R1 devices)
CVE-2021-1497 และ CVE-2021-1498 (Command injection vulnerabilities in Cisco HyperFlex HX)
CVE-2021-31755 (Stack buffer overflow vulnerability in Tenda AC11 leading to arbitrary code execution)
CVE-2021-22502 (Remote code execution flaw in Micro Focus Operation Bridge Reporter)
CVE-2021-22506 (Information Leakage vulnerability in Micro Focus Access Manager)

เพื่อหลีกเลี่ยงการถูกโจมตี ผู้เชี่ยวชาญได้แนะนำให้ผู้ใช้งานพยายามอัพเดตเฟิร์มแวร์ของ Router ให้เป็นเวอร์ชันปัจจุบันอยู่เสมอ

ที่มา: thehackernews

นักวิจัยของ Bitdefender ให้ข้อมูลว่า กลุ่ม Crytojacking โจมตีด้วยวิธีการ SSH brute-forcer ที่เรียกว่า Diicot brute เพื่อเข้าถึงเครื่อง Linux และติดตั้ง miner XMRig ซึ่งเป็น open-source ที่ถูกดัดแปลงเพื่อใช้ในการทำ Crytojacking โดยกลุ่มแฮกเกอร์จำนวนมาก

นักวิจัยกล่าวว่า กลุ่ม Crytojacking นี้มีความเกี่ยวข้องกับ botnet ที่พัฒนาบน Linux-based ซึ่งมักใช้ในการทำ DDoS อย่างน้อย 2 ตัวด้วยกันคือ “Chernobyl” และ Perl IRC bot โดยแรงจูงใจหลักของ campaign นี้คือการติดตั้งมัลแวร์สำหรับขุด Monero Coin (XMR) และยังมีเครื่องมือที่สามารถขโมยข้อมูลจากผู้ใข้งานได้

Cryptojacking ได้รายได้จากการขุดไม่มากนัก เลยเป็นเหตุผลให้ผู้โจมตีนิยมใช้ botnet เพื่อพยายามแพร่กระจายไปยังอุปกรณ์ต่างๆให้มากที่สุด เพราะการต้องติดตั้งระบบเพื่อใช้ในการขุด Cryptocurrency ไม่คุ้มค่ามากพอในปัจจุบัน ดังนั้นผู้โจมตีจึงต้องใช้วิธีเข้าควบคุมเครื่องต่างๆที่พวกเค้าควบคุมไว้จากระยะไกลแทน

ผู้โจมตีกำหนดเป้าหมายไปที่เครื่องที่มีการตั้งค่าเริ่มต้น หรือรหัสผ่านที่ไม่ปลอดภัย เป็นเหตุผลว่าทำไมผู้ใช้งานถึงโดน SSH Brute-forcing ได้อย่างง่ายดาย

ผู้เชี่ยวชาญจาก Bitdefender กล่าวเพิ่มเติมว่า การที่แฮกเกอร์ Brute force SSH ที่มีรหัสผ่านที่สามารถคาดเดาได้ง่ายไม่ใช่เรื่องแปลก แต่ที่วิธีการที่ทำให้ไม่สามารถตรวจจับการโจมตีได้เป็นเรื่องที่ยากกว่า ซึ่ง Diicot Brute force มีความสามารถในการหลบเลี่ยงระบบที่คาดว่าถูกทำไว้เป็น Honeypots ได้อีกด้วย

นักวิจัยจาก Bitdefenderได้ติดตามกลุ่ม Cryptojacking ซึ่งพบการดาวน์โหลดมัลแวร์จาก “.93joshua” แต่น่าแปลกที่สามารถตรวจพบ “[http://45[.]32[.]112[.]68/.sherifu/.93joshua]” ในไดเร็กทอรีที่สามารถเปิดได้อย่างง่ายผิดปกติ แม้ว่าจะมีการซ่อนไฟล์จำนวนมากรวมไว้ในสคริปต์อื่นๆ และนักวิจัยยังพบว่ามีโดเมนที่เกี่ยวข้องอื่นๆเช่น mexalz.

Daniel Bunce นักวิจัยด้านความปลอดภัยจาก SecurityJoes ได้เปิดเผยถึงกลุ่มผู้ประสงค์ร้ายทำการใช้ Botnet เพื่อสแกนหาไฟล์ ENV หรือ Environment file ที่ถูกเก็บโดยไม่ปลอดภัย โดยไฟล์ ENV เป็นไฟล์คอนฟิกูเรชันประเภทหนึ่งที่มักถูกใช้ใน development tool เฟรมเวิร์กเช่น Docker, Node.

 

 

 

 

 

 

Microsoft Defender team และกลุ่มพันธมิตรอันประกอบไปด้วย FS-ISAC, ESET, Lumen Black Lotus Labs, NTT และ Symantec ได้ประกาศถึงความพยายามในการประสานงานเพื่อทำการปิดโครงสร้างพื้นฐานที่เป็นแบ็กเอนด์ของบ็อตเน็ต TrickBot

การประสานความร่วมมือระหว่า Microsoft, ESET, Symantec และกลุ่มพันธมิตรอื่นๆ ที่ใช้เวลาหลายเดือนในการรวบรวมตัวอย่างมัลแวร์ TrickBot ที่มีจำนวนมากกว่า 125,000 ตัวอย่าง ซึ่งจากการวิเคราะห์เนื้อหา, การแยกข้อมูลและการจัดกลุ่มข้อมูลที่เกี่ยวกับการทำงานภายในของมัลแวร์รวมถึงเซิร์ฟเวอร์ทั้งหมดที่บ็อตเน็ตใช้ควบคุมคอมพิวเตอร์ที่ติดไวรัสและให้บริการโมดูลเพิ่มเติม เพื่อขออำนาจจากศาลในการเข้าควบคุมเซิร์ฟเวอร์บ็อตเน็ต TrickBot

ซึ่งด้วยหลักฐานทีทำการรวมรวมมานี้ศาลได้อนุมัติให้ Microsoft และกลุ่มพันธมิตรสามารถทำการปิดการใช้งาน IP addresses, ข้อมูลและเนื้อหาที่ถูกจัดเก็บไว้ใน C&C เซิร์ฟเวอร์และยังสามารถระงับการให้บริการเซิร์ฟเวอร์ทั้งหมดที่ทำการเชื่อมต่อไปยังบ็อตเน็ตจากผู้เช่าบริการเซิร์ฟเวอร์

บ็อตเน็ต TrickBot ถูกพบครั้งแรกในปี 2016 ในรูปแบบของ banking trojan ก่อนที่จะถูกพัฒนาไปเป็นมัลแวร์อเนกประสงค์ที่กลุ่มอาชญากรใช้ในการเเพร่กระจายและให้บริการในรูปที่เรียกว่า MaaS (Malware-as-a-Service) ซึ่งเป็นรูปแบบการให้บริการเช่ามัลแวร์เพื่อใช้ในการโจมตี นอกจากนี้บ็อตเน็ต TrickBot ยังมีความเชื่อมโยงกับกลุ่ม ransomware เช่น Ryuk และ Conti อีกด้วย

ที่มา: zdnet.

IBM เผย Mozi Botnet เเพร่กระจายในเครือข่ายอุปกรณ์ IoT ถึง 90 % ในช่องครึ่งปีที่ผ่านมา

IBM ได้ออกรายงานถึงการเเพร่กระจายของ botnet ในระหว่างเดือนตุลาคม 2019 ถึงเดือนมิถุนายน 2020 โดยรายงานพบว่าการเเพร่กระจายกว่า 90 เปอร์เซ็นต์นั้นมากจาก Mozi botnet ซึ่งใช้เครือข่าย loT เป็นฐานในการเเพร่กระจาย

Mozi botnet ถูกตรวจพบโดยผู้เชี่ยวชาญด้านความปลอดภัยจาก 360 Netlab ซึ่งในช่วงเวลาที่ค้นพบนั้น botnet มีการกำหนดเป้าหมายไปที่เราเตอร์ Netgear, D-Link และ Huawei โดยการโจมตีผ่านการ brute force รหัสผ่าน Telnet ที่อ่อนแอ เมื่อเข้าถึงอุปกรณ์ได้แล้ว botnet จะพยายามเรียกใช้เพย์โหลดที่เป็นอันตรายและ botnet จะใช้เครือข่าย Mozi P2P ที่ถูกสร้างโดยใช้โปรโตคอล Distributed Hash Table (DHT) เพื่อสร้างเครือข่าย P2P ในการเเพร่กระจาย

นอกจากการเเพร่กระจายแล้ว Mozi botnet ยังมีความสามารถในการการโจมตี DDoS, การรวบรวมข้อมูล, ดำเนินการเพย์โหลดของ URL ที่ระบุและเรียกใช้ระบบหรือคำสั่งที่กำหนดเอง ทั้งนี้นักวิจัยของ IBM ได้ค้นพบว่าโครงสร้างพื้นฐานที่ Mozi botnet ใช้นั้นตั้งอยู่ในประเทศจีนเป็นหลัก (84%)

นักวิจัยคาดว่าอุปกรณ์ที่จะได้รับผลกระทบจาก Mozi botnet คือ เราเตอร์ Eir D1000, อุปกรณ์ Vacron NVR , อุปกรณ์ที่ใช้ Realtek SDK, Netgear R7000 และ R6400, เราเตอร์ DGN1000 Netgear, MVPower DVR, เราเตอร์ Huawei HG532, อุปกรณ์ D-Link, GPON เราเตอร์, อุปกรณ์ D-Link, กล้องวงจรปิด DVR

เพื่อปกป้องอุปกรณ์ IoT และเราเตอร์จากการโจมตี ผู้ใช้ควรทำการอัปเดตเฟิร์มแวร์เป็นเวอร์ชันล่าสุดและควรทำการเปลื่ยนรหัสผ่านตั้งต้นเป็นรหัสผ่านที่ปลอดภัย ทั้งนี้ควรปิดการใช้งานเข้าถึงจากระยะไกลผ่านอินเทอร์เน็ตหากไม่จำเป็น

โดยสามารถดู IOC ได้จาก : Securityintelligence

ที่มา : Securityaffairs | blog.

Emotet หนึ่งในบอทเน็ตมัลแวร์ที่อันตรายและใหญ่ที่สุดในวันนี้กลับมามีชีวิตอีกครั้งหลังจากที่ไม่พบการใช้งานนานเกือบสี่เดือนนับตั้งแต่สิ้นเดือนพฤษภาคมปีนี้

ณ ช่วงเวลานั้นเซิร์ฟเวอร์ควบคุมของมัน (C&C) ถูกปิดตัวลง ทำให้ Emotet หยุดทำงานและหยุดแพร่เชื้อ โดยนักวิจัยบางคนเชื่อว่าเซิร์ฟเวอร์ควบคุมถูกปิดด้วยฝีมือเจ้าหน้าที่รัฐ แต่กลับไม่เป็นเช่นนั้น

ในวันที่ 16 กันยายน 2019 พบการส่งอีเมลแพร่เชื่อจาก Emotet โดย Raashid Bhat นักวิจัยด้านความปลอดภัยที่ SpamHaus บอกกับ ZDNet ว่า อีเมลดังกล่าวจะมีไฟล์แนบที่เป็นอันตรายหรือลิงก์ไปยังมัลแวร์ ปล่อยออกจากเซิร์ฟเวอร์ Emotet และมุ่งเป้าไปที่ผู้ใช้ภาษาโปแลนด์และเยอรมันเป็นหลัก

เมื่อผู้ใช้หลงเชื่อเปิดไฟล์แนบอันตรายหรือดาวน์โหลดมัลแวร์ ผู้ใช้จะติดเชื้อ Emotet จากนั้น Emotet จะดาวน์โหลดมัลแวร์ตัวอื่นๆ มาต่อไป ทั้งนี้ Emotet เป็นที่รู้จักกันดีในเรื่องการขโมยรหัสผ่าน แพร่ไปยังเครื่องอื่นๆ ในวงเน็ตเวิร์คเดียวกัน และขโมยอีเมลเพื่อแพร่เชื้อต่อ

นอกจากนี้ผู้อยู่เบื้องหลัง Emotet ว่าทำกิจการ Malware-as-a-Service (MaaS) คือให้ผู้โจมตีรายอื่นๆ สามารถเช่า Emotet เพื่อแพร่เชื้อมัลแวร์ของตัวเอง ตัวอย่างลูกค้าที่ว่าคือกลุ่มเบื้องหลัง Bitpaymer และ Ryuk ransomware นั่นเอง

ลูกค้าที่เป็นที่รู้จักมากที่สุดของ Emotet คือผู้ให้บริการของ Bitpaymer และ Ryuk ransomware ซึ่งมักจะเช่าการเข้าถึงโฮสต์ที่ติดเชื้อของ Emotet เพื่อเข้าถึงเครือข่ายองค์กรหรือรัฐบาลท้องถิ่นด้วยสายพันธุ์ ransomware

ทั้งนี้สามารถติดตาม IOCs ล่าสุดของ Emotet ได้จาก https://twitter.

ในเดือนเมษายน Akamai รายงานว่า มีการโจมตีอุปกรณ์เราเตอร์ที่ใช้ภายในบ้านกว่า 65,000 ตัว โดยใช้ประโยชน์จากช่องโหว่ใน Universal Plug'N'Play (UPnP) ล่าสุดบริษัทได้ทำการปรับปรุงและอัพเดทเพื่อแก้ไขปัญหาดังกล่าว

จากรายงานระบุว่าผู้โจมตีสามารถใช้การส่ง UDP เพียงแค่แพ็กเกจเดียวก็สามารถทำการโจมตีด้วย remote code execution ได้สำเร็จ การโจมตีผ่านโปรโตคอล UPnP นี้ยังส่งผลให้ผู้โจมตีสามารถควบคุมการรับส่งข้อมูลทั้งในและนอกเครือข่ายได้โดยอาศัยการทำ NAT ทำให้เราเตอร์ที่ถูกโจมตีสำเร็จนั้นกลายเป็น Proxy ผู้เชี่ยวชาญจึงได้ตั้งชื่อการโจมตีนี้้ว่า "UPnProxy"

ผู้เชี่ยวชาญแนะนำให้ผู้ใช้ทำการอัพเดทหรือทำการแพทช์เฟิร์มแวร์ของเราเตอร์เพื่อลดความเสี่ยง เนื่องจากมีช่องโหว่ของ UPnP อีกจำนวนมากที่ยังไม่ได้รับการแก้ไข ผู้เชี่ยวชาญยังพบว่ามีเราเตอร์ที่มีความเสี่ยงมากกว่า 3.5 ล้านตัว โดย 277,000 สามารถถูกโจมตีด้วย UPnProxy และอีก 45,000 ตัวถูกโจมตีสำเร็จเรียบร้อยแล้ว

ล่าสุด Akamai ได้มีรายงานที่น่าสนใจออกมา โดยได้ระบุว่าผู้ที่อยู่เบื้องหลังการโจมตี UPnProxy ได้อาศัยช่องโหว่ของ EternalBlue (CVE-2017-0144) และ EternalRed (CVE-2017-7494) เพื่อทำการโจมตีเครื่องที่มีการใช้งาน Windows SMB และ Linux Samba ซึ่งอยู่ด้านหลังเราเตอร์ที่มีช่องโหว่ของ UPnProxy โดยได้ตั้งชื่อการโจมตีนี้ว่า "EternalSilence" และคาดว่าอาจจะมีการอาศัยเครื่องมืออื่นๆ ของ NSA เพิ่มเติมอีก จากรายงานยังระบุอีกว่า ผู้โจมตีจะทำการสแกนหาการใช้งาน SSDP โปรโตคอล และใช้ช่องทางดังกล่าวในการโจมตีผ่าน UPnProxy ต่อไป หรือทำการสแกนหาอุปกรณ์ที่มีการตั้งค่าให้เปิดใช้งานพอร์ต TCP/2048 ไว้ เมื่อพบจะพยายามเข้าไปยังพาธ /etc/linuxigd/gatedesc.

นักวิจัยด้านความปลอดภัยจาก NewSky Security ได้ค้นพบบอทเน็ตตัวใหม่ที่ถูกเรียกว่า "DemonBot" บน Apache Hadoop เซิร์ฟเวอร์ที่มีช่องโหว่ เพื่อเตรียมไว้ใช้โจมตีด้วย DDoS ในอนาคต บอทเน็ตดังกล่าวมีความสามารถของ C&C ด้วย ซึ่งขณะนี้พบว่ามีการติดตั้งบนเซิร์ฟเวอร์มากกว่า 70 ตัว

ผู้โจมตีจะทำการสแกนเพื่อค้นหาเซิร์ฟเวอร์ที่มีการติดตั้ง Hadoop ที่มีการใช้งานโมดูลที่ชื่อว่า "YARN" ที่มีการตั้งค่าที่ไม่ถูกต้อง (misconfiguration) YARN ซึ่งย่อมาจาก Yet Another Resource Negotiator เป็นองค์ประกอบหลักของ Apache Hadoop ซึ่งมักถูกใช้ในเครือข่ายองค์กรขนาดใหญ่หรือระบบคลาวด์ เมื่อพบเครื่องเป้าหมายบอตเน็ทจะพยายามใช้ประโยชน์ของ YARN ในการติดตั้ง "บอทเน็ต" ลงในระบบ Hadoop ที่มีช่องโหว่

ทั้งนี้จากรายงานของ Radware ที่เป็นบริษัทด้านความปลอดภัยพบว่า DemonBot กำลังเติบโตขึ้นอย่างรวดเร็วในช่วงเดือนที่ผ่านมา และพบความพยายามเพื่อค้นหา Apache Hadoop ที่มาช่องโหว่ของ YARN มากกว่า 1 ล้านครั้งต่อวัน

ที่มา : zdnet

พบกล้องวงจรปิดหลายๆแห่งในประเทศญี่ปุ่นถูกเจาะระบบ และทำการเปลี่ยนหน้าจอแสดงผล !!!

เมื่อวันที่ 6 พฤษภาคมที่ผ่านมา สื่อท้องถิ่นในประเทศญี่ปุ่นได้รายงานว่ากล้องวงจรปิดในหลายๆแห่งของประเทศญี่ปุ่น ซึ่งรวมถึงหน่วยงานราชการหลายๆแห่งถูกเจาะระบบ และเพิ่มข้อความว่า "I'm Hacked.

เมื่อช่วงต้นสัปดาห์ที่แล้ว นักวิจัยด้านความปลอดภัยได้เผยแพร่รายละเอียดของช่องโหว่บนเราเตอร์จำนวนสองช่องโหว่ผ่านบล็อกของ VPNMentor ช่องโหว่ดังกล่าวมีผลกระทบต่อเราเตอร์ GPON-capable มากกว่า 1 ล้านเครื่องที่ผลิตโดยบริษัทสัญชาติเกาหลีใต้ชื่อว่า Dasan และพบว่ากำลังถูกโจมตีผ่าน botnet

ช่องโหว่แรกทำให้ผู้โจมตีสามารถหลีกเลี่ยงกลไกการพิสูจน์ตัวตนเพียงแค่ใส่สตริง "?images" ต่อท้าย URL บนหน้าเว็บของอุปกรณ์ (CVE-2018-10561) เพื่อเข้าถึงการตั้งค่าของอุปกรณ์เราเตอร์ได้ และอีกหนึ่งช่องโหว่ทำให้ผู้โจมตีสามารถฝังโค้ดที่เป็นอันตรายจากระยะไกลลงบนอุปกรณ์ (CVE-2018-10562)

นักวิจัยกล่าวว่าช่องโหว่ดังกล่าวส่งผลกระทบกับเราเตอร์ที่ใช้งานออนไลน์กว่าหนึ่งล้านเครื่อง ส่วนใหญ่ตั้งอยู่ในเขตขนาดใหญ่ในเม็กซิโก, คาซัคสถาน และเวียดนาม

ที่มา : Bleepingcomputer