Emotet หนึ่งในบอทเน็ตมัลแวร์ที่อันตรายและใหญ่ที่สุดในวันนี้กลับมามีชีวิตอีกครั้งหลังจากที่ไม่พบการใช้งานนานเกือบสี่เดือนนับตั้งแต่สิ้นเดือนพฤษภาคมปีนี้

ณ ช่วงเวลานั้นเซิร์ฟเวอร์ควบคุมของมัน (C&C) ถูกปิดตัวลง ทำให้ Emotet หยุดทำงานและหยุดแพร่เชื้อ โดยนักวิจัยบางคนเชื่อว่าเซิร์ฟเวอร์ควบคุมถูกปิดด้วยฝีมือเจ้าหน้าที่รัฐ แต่กลับไม่เป็นเช่นนั้น

ในวันที่ 16 กันยายน 2019 พบการส่งอีเมลแพร่เชื่อจาก Emotet โดย Raashid Bhat นักวิจัยด้านความปลอดภัยที่ SpamHaus บอกกับ ZDNet ว่า อีเมลดังกล่าวจะมีไฟล์แนบที่เป็นอันตรายหรือลิงก์ไปยังมัลแวร์ ปล่อยออกจากเซิร์ฟเวอร์ Emotet และมุ่งเป้าไปที่ผู้ใช้ภาษาโปแลนด์และเยอรมันเป็นหลัก

เมื่อผู้ใช้หลงเชื่อเปิดไฟล์แนบอันตรายหรือดาวน์โหลดมัลแวร์ ผู้ใช้จะติดเชื้อ Emotet จากนั้น Emotet จะดาวน์โหลดมัลแวร์ตัวอื่นๆ มาต่อไป ทั้งนี้ Emotet เป็นที่รู้จักกันดีในเรื่องการขโมยรหัสผ่าน แพร่ไปยังเครื่องอื่นๆ ในวงเน็ตเวิร์คเดียวกัน และขโมยอีเมลเพื่อแพร่เชื้อต่อ

นอกจากนี้ผู้อยู่เบื้องหลัง Emotet ว่าทำกิจการ Malware-as-a-Service (MaaS) คือให้ผู้โจมตีรายอื่นๆ สามารถเช่า Emotet เพื่อแพร่เชื้อมัลแวร์ของตัวเอง ตัวอย่างลูกค้าที่ว่าคือกลุ่มเบื้องหลัง Bitpaymer และ Ryuk ransomware นั่นเอง

ลูกค้าที่เป็นที่รู้จักมากที่สุดของ Emotet คือผู้ให้บริการของ Bitpaymer และ Ryuk ransomware ซึ่งมักจะเช่าการเข้าถึงโฮสต์ที่ติดเชื้อของ Emotet เพื่อเข้าถึงเครือข่ายองค์กรหรือรัฐบาลท้องถิ่นด้วยสายพันธุ์ ransomware

ทั้งนี้สามารถติดตาม IOCs ล่าสุดของ Emotet ได้จาก https://twitter.

ในเดือนเมษายน Akamai รายงานว่า มีการโจมตีอุปกรณ์เราเตอร์ที่ใช้ภายในบ้านกว่า 65,000 ตัว โดยใช้ประโยชน์จากช่องโหว่ใน Universal Plug'N'Play (UPnP) ล่าสุดบริษัทได้ทำการปรับปรุงและอัพเดทเพื่อแก้ไขปัญหาดังกล่าว

จากรายงานระบุว่าผู้โจมตีสามารถใช้การส่ง UDP เพียงแค่แพ็กเกจเดียวก็สามารถทำการโจมตีด้วย remote code execution ได้สำเร็จ การโจมตีผ่านโปรโตคอล UPnP นี้ยังส่งผลให้ผู้โจมตีสามารถควบคุมการรับส่งข้อมูลทั้งในและนอกเครือข่ายได้โดยอาศัยการทำ NAT ทำให้เราเตอร์ที่ถูกโจมตีสำเร็จนั้นกลายเป็น Proxy ผู้เชี่ยวชาญจึงได้ตั้งชื่อการโจมตีนี้้ว่า "UPnProxy"

ผู้เชี่ยวชาญแนะนำให้ผู้ใช้ทำการอัพเดทหรือทำการแพทช์เฟิร์มแวร์ของเราเตอร์เพื่อลดความเสี่ยง เนื่องจากมีช่องโหว่ของ UPnP อีกจำนวนมากที่ยังไม่ได้รับการแก้ไข ผู้เชี่ยวชาญยังพบว่ามีเราเตอร์ที่มีความเสี่ยงมากกว่า 3.5 ล้านตัว โดย 277,000 สามารถถูกโจมตีด้วย UPnProxy และอีก 45,000 ตัวถูกโจมตีสำเร็จเรียบร้อยแล้ว

ล่าสุด Akamai ได้มีรายงานที่น่าสนใจออกมา โดยได้ระบุว่าผู้ที่อยู่เบื้องหลังการโจมตี UPnProxy ได้อาศัยช่องโหว่ของ EternalBlue (CVE-2017-0144) และ EternalRed (CVE-2017-7494) เพื่อทำการโจมตีเครื่องที่มีการใช้งาน Windows SMB และ Linux Samba ซึ่งอยู่ด้านหลังเราเตอร์ที่มีช่องโหว่ของ UPnProxy โดยได้ตั้งชื่อการโจมตีนี้ว่า "EternalSilence" และคาดว่าอาจจะมีการอาศัยเครื่องมืออื่นๆ ของ NSA เพิ่มเติมอีก จากรายงานยังระบุอีกว่า ผู้โจมตีจะทำการสแกนหาการใช้งาน SSDP โปรโตคอล และใช้ช่องทางดังกล่าวในการโจมตีผ่าน UPnProxy ต่อไป หรือทำการสแกนหาอุปกรณ์ที่มีการตั้งค่าให้เปิดใช้งานพอร์ต TCP/2048 ไว้ เมื่อพบจะพยายามเข้าไปยังพาธ /etc/linuxigd/gatedesc.

นักวิจัยด้านความปลอดภัยจาก NewSky Security ได้ค้นพบบอทเน็ตตัวใหม่ที่ถูกเรียกว่า "DemonBot" บน Apache Hadoop เซิร์ฟเวอร์ที่มีช่องโหว่ เพื่อเตรียมไว้ใช้โจมตีด้วย DDoS ในอนาคต บอทเน็ตดังกล่าวมีความสามารถของ C&C ด้วย ซึ่งขณะนี้พบว่ามีการติดตั้งบนเซิร์ฟเวอร์มากกว่า 70 ตัว

ผู้โจมตีจะทำการสแกนเพื่อค้นหาเซิร์ฟเวอร์ที่มีการติดตั้ง Hadoop ที่มีการใช้งานโมดูลที่ชื่อว่า "YARN" ที่มีการตั้งค่าที่ไม่ถูกต้อง (misconfiguration) YARN ซึ่งย่อมาจาก Yet Another Resource Negotiator เป็นองค์ประกอบหลักของ Apache Hadoop ซึ่งมักถูกใช้ในเครือข่ายองค์กรขนาดใหญ่หรือระบบคลาวด์ เมื่อพบเครื่องเป้าหมายบอตเน็ทจะพยายามใช้ประโยชน์ของ YARN ในการติดตั้ง "บอทเน็ต" ลงในระบบ Hadoop ที่มีช่องโหว่

ทั้งนี้จากรายงานของ Radware ที่เป็นบริษัทด้านความปลอดภัยพบว่า DemonBot กำลังเติบโตขึ้นอย่างรวดเร็วในช่วงเดือนที่ผ่านมา และพบความพยายามเพื่อค้นหา Apache Hadoop ที่มาช่องโหว่ของ YARN มากกว่า 1 ล้านครั้งต่อวัน

ที่มา : zdnet

พบกล้องวงจรปิดหลายๆแห่งในประเทศญี่ปุ่นถูกเจาะระบบ และทำการเปลี่ยนหน้าจอแสดงผล !!!

เมื่อวันที่ 6 พฤษภาคมที่ผ่านมา สื่อท้องถิ่นในประเทศญี่ปุ่นได้รายงานว่ากล้องวงจรปิดในหลายๆแห่งของประเทศญี่ปุ่น ซึ่งรวมถึงหน่วยงานราชการหลายๆแห่งถูกเจาะระบบ และเพิ่มข้อความว่า "I'm Hacked.

เมื่อช่วงต้นสัปดาห์ที่แล้ว นักวิจัยด้านความปลอดภัยได้เผยแพร่รายละเอียดของช่องโหว่บนเราเตอร์จำนวนสองช่องโหว่ผ่านบล็อกของ VPNMentor ช่องโหว่ดังกล่าวมีผลกระทบต่อเราเตอร์ GPON-capable มากกว่า 1 ล้านเครื่องที่ผลิตโดยบริษัทสัญชาติเกาหลีใต้ชื่อว่า Dasan และพบว่ากำลังถูกโจมตีผ่าน botnet

ช่องโหว่แรกทำให้ผู้โจมตีสามารถหลีกเลี่ยงกลไกการพิสูจน์ตัวตนเพียงแค่ใส่สตริง "?images" ต่อท้าย URL บนหน้าเว็บของอุปกรณ์ (CVE-2018-10561) เพื่อเข้าถึงการตั้งค่าของอุปกรณ์เราเตอร์ได้ และอีกหนึ่งช่องโหว่ทำให้ผู้โจมตีสามารถฝังโค้ดที่เป็นอันตรายจากระยะไกลลงบนอุปกรณ์ (CVE-2018-10562)

นักวิจัยกล่าวว่าช่องโหว่ดังกล่าวส่งผลกระทบกับเราเตอร์ที่ใช้งานออนไลน์กว่าหนึ่งล้านเครื่อง ส่วนใหญ่ตั้งอยู่ในเขตขนาดใหญ่ในเม็กซิโก, คาซัคสถาน และเวียดนาม

ที่มา : Bleepingcomputer

นักวิจัยด้านความปลอดภัยออกมาเตือนเกี่ยวกับ Botnet ตัวใหม่ที่ชื่อว่า Satori โดยพบพฤติกรรมที่เชื่อว่าเป็นของ Botnet ตัวนี้บน IP Address มากกว่า 280,000 IPs ในช่วงเวลาเพียง 12 ชั่วโมง และเชื่อว่าน่าจะเป็น Botnet ชนิดใหม่ของ Mirai

Li Fengpei นักวิจัยด้านความปลอดภัย จาก Qihoo 360 Netlab ให้ข้อมูลว่า Satori เริ่มจากการสแกนพอร์ต 37215 และ 52869 ความแตกต่างที่สำคัญระหว่าง Satori และ Mirai คือ Mirai จะอาศัย Telnet scanner เพื่อหาเครื่องที่จะกระจายตัวต่อไป แต่ Satori จะใช้วิธีการเจาะผ่าน zero-day บน Pot 37215 และ 52869 ทำให้มันสามารถแพร่กระจายได้ด้วยตัวมันเองโดยไม่ต้องอาศัยส่วนประกอบอื่นเพิ่มเติม ทั้งนี้ Dale Drew หัวหน้าทีมนโยบายความปลอดภัยจาก CenturyLink บริษัทผู้ให้บริการ Internet รายใหญ่ของโลก ได้ให้สัมภาษณ์ว่าเค้าเชื่อว่าช่องโหว่บน Port 37215 นั้น น่าจะเป็นช่องโหว่ใน router ของ Huawei Home Gateway ซึ่งเป็นช่องโหว่ RCE(CPAI-2017-1016) ที่ถูกพบโดย Check Point เมื่อประมาณปลายเดือนพฤศจิกายนที่ผ่านมา และช่องโหว่บน Port 52869 นั้น น่าจะเป็นช่องโหว่เก่าในอุปกรณ์ของ Realtek(CVE-2014-8361) ซึ่งถูก Patch ไปก่อนหน้านี้แล้วในอุปกรณ์บางตัว ทำให้เมื่อดูจากปริมาณการโจมตีที่สำเร็จบน Port 52869(19,403 IPs) น้อยกว่ามาก เมื่อเทียบกับ Port 37215(263,250 IPs) เมื่อทำการตรวจสอบกับ Shodan พบว่ามีอุปกรณ์มากกว่า 225,000 ตัวที่ยังคงออนไลน์อยู่

Li Fengpei ยังได้ชี้แจงถึงเรื่องความเชื่อมโยงของ Satori ตัวนี้กับ Mirai ที่พบเมื่อช่วงเดือนก่อน โดยยังไม่เป็นที่แน่ชัดว่าผู้ที่อยู่เบื้องหลัง Botnet สองตัวนี้คือคนๆเดียวกันหรือไม่ แต่ Botnet สองตัวนี้มีการใช้ชื่อไฟล์ และฟังก์ชันเฉพาะตัวบางอย่างเหมือนกันอยู่ รวมทั้งมีการใช้ C&C protocols บางตัวร่วมกันอยู่ ทำให้เชื่อว่า Botnet สองตัวนี้น่าจะมีความเกี่ยวข้องกันอยู่

ที่มา : bleepingcomputer

ต่อเนื่องจากข่าวมัลแวร์ที่รันสคริปต์ขุดเหมืองบนบราวเซอร์ ในช่วงสัปดาห์ที่ผ่านมา และล่าสุดที่พบแอพพลิเคชัน
บน Google Play Store ของแอนดรอยด์("Recitiamo Santo Rosario Free" และ "SafetyNet Wireless App") โดยพบครั้งแรกเป็นการติดตั้งบนส่วนหนึ่งของ botnet บนเว็บไซต์ WordPress ที่ถูกแฮ็ก
เนื่องจากปัจจุบันมีผู้คนจำนวนมากบนตลาดการขุดเหมือง Coinhive จึงเป็นตัวเลือกที่ถูกใช้อันดับต้นๆ ของผู้ไม่หวังดี ดังที่เราได้เห็นว่ามีการเปิดตัวบริการที่ชื่อว่า "WhoRunsCoinhive" ออกมา ผู้ใช้งานคอมพิวเตอร์ส่วนใหญ่สามารถติดตั้งและใช้โปรแกรมป้องกันโฆษณาหรือโปรแกรมป้องกันไวรัสที่สามารถบล็อกสคริปส์เหล่านี้ได้ แต่ผู้ใช้งานมือถือส่วนใหญ่ไม่มีการติดตั้งโปรแกรมดังกล่าว Trend Micro ซึ่งได้ค้นพบแอพพลิเคชันสองตัวที่มีสคริปส์การขุดเหมือง Coinhive โดยทั้งสองแอพพลิเคชันจะซ่อนสคริปส์ของ Coinhive อยู่ใน WebView ของเบราว์เซอร์ และจะทำงานเมื่อมีการเปิดใช้งานแอพ โดยปัญหาคือแอพจะไม่มีการร้องขอสิทธิ์ในการทำงาน และการขุดเหมืองที่เกิดขึ้นส่งผลให้อุปกรณ์มือถือร้อนขึ้น, ทำให้อายุการใช้งานแบตเตอรี่ลดลง, ประสิทธิภาพการทำงานของเครื่องลดลง, รวมถึงการสึกหรอโดยทั่วไปของอุปกรณ์มือถือ
นอกเหนือจากแอพพลิเคชันที่เป็นอันตรายแล้ว สัปดาห์ที่ผ่านมาผู้ให้บริการ WordPress WAF เช่น Sucuri และ Wordfence เตือนว่าได้พบการเพิ่มจำนวนของเว็บไซต์ที่ถูกแฮ็กเพื่อใช้ในการขุดเหมืองโดยเฉพาะการใช้สคริปส์จาก Coinhive นอกจากนี้ยังได้ตรวจพบแอพพลิเคชันใน Play Store ที่ชื่อว่า "Car Wallpaper HD: mercedes, ferrari, bmw and audi" อีกตัว โดยจะใช้ cryptocurrency miner ที่ซ่อนอยู่ในไลบารี ซึ่งแตกต่างกับแอพพลิเคชันสองตัวแรกที่กล่าวถึง แอพนี้ไม่ได้ทำงานในเบราว์เซอร์ แต่จะใช้งานไลบรารี CpuMiner ที่สามารถทำงานได้โดยไม่จำเป็นต้องเปิดเบราว์เซอร์ ทาง Microsoft เองก็ได้ออกมาเตือนเกี่ยวกับโดเมน cryptocurrency mining 185 [.] 14 [.] 28 [.] 10 เช่นเดียวกัน
ทั้งนี้แนะนำผู้ใช้งานควรหลีกเลี่ยงแอพพลิเคชั่นที่ไม่น่าเชื่อถือ และหมั่นสังเกตสัญญาณการใช้งานที่ดูผิดปกติ เช่น เครื่องร้อนกว่าปกติหลังการลงแอพพลิเคชั่นใหม่บนเครื่อง หรือแบตเตอรี่ลดลงเร็วกว่าปกติ เป็นต้น

ที่มา : Bleepingcomputer

ในงานประชุม RSA Conference 2014 บริษัท Huawei ได้ประกาศอุปกรณ์ป้องกันการโจมตี DDoS โดยมีชื่อซี่รี่ย์ว่า Huawei's AntiDDoS8000 Series โดยอุปกรณ์ตัวนี้จะมีความสามารถในการป้องกันการโจมตีแบบ DDoS ในระดับ Application layer, สามารถรองรับการเชื่อมต่อได้สูงสุด 1 Tbps, มี false positive = 0 สำหรับ mobile traffic เมื่อใช้ป้องกันบริการ mobile Internet , อัพเดทข้อมูล IP ของบอทเน็ตจากฐานข้อมูลกลางที่มีข้อมูล IP ของบอทเน็ตที่ยังมีการใช้งานอยู่มากกว่า 5 ล้าน IP และมีความสามารถอื่นๆ อย่างเช่น signature learning (การเรียนรู้จาก Signature), behavior analysis (การวิเคราะห์พฤติกรรม), reputation mechanism and Big Data analytics (การวิเคราะห์ข้อมูลขนาดใหญ่)

ที่มา : net-security

นักวิจัยด้านความปลอดภัย BSI รายงานว่า ข้อมูลผู้ใช้ออนไลน์ชาวเยอรมันถูกขโมยข้อมูลส่วนตัวไปประมาณ 16 ล้านคน อาจจะส่งผลกระทบไปยัง social networking sites เช่นกัน

นักวิจัยนั้นได้วิเคราะห์ข้อมูลจาก botnet network ของเครื่องคอมพิวเตอร์ที่ติดมัลแวร์ พบว่าแฮกเกอร์สามารถโจมตีขโมยเอาข้อมูลชื่อผู้ใช้ และรหัสผ่าน อีเมล์ของเหยื่อได้

ทางเจ้าหน้าที่ก็ได้จัดเตรียมเว็บไซต์ที่เป็นภาษาเยอรมัน เพื่อให้ผู้ใช้สามารถตรวจสอบ ว่าอีเมล์ปลอดภัยหรือไม่ อีกทั้งเจ้าหน้าที่แนะนำว่าให้ผู้ใช้เปลี่ยนรหัสผ่านทั้งหมดที่เกี่ยวข้องกับอีเมล์ เพื่อป้องกันการโจมตีจากแฮกเกอร์

ที่มา : thehackernews