เมื่อช่วงต้นสัปดาห์ที่แล้ว นักวิจัยด้านความปลอดภัยได้เผยแพร่รายละเอียดของช่องโหว่บนเราเตอร์จำนวนสองช่องโหว่ผ่านบล็อกของ VPNMentor ช่องโหว่ดังกล่าวมีผลกระทบต่อเราเตอร์ GPON-capable มากกว่า 1 ล้านเครื่องที่ผลิตโดยบริษัทสัญชาติเกาหลีใต้ชื่อว่า Dasan และพบว่ากำลังถูกโจมตีผ่าน botnet

ช่องโหว่แรกทำให้ผู้โจมตีสามารถหลีกเลี่ยงกลไกการพิสูจน์ตัวตนเพียงแค่ใส่สตริง "?images" ต่อท้าย URL บนหน้าเว็บของอุปกรณ์ (CVE-2018-10561) เพื่อเข้าถึงการตั้งค่าของอุปกรณ์เราเตอร์ได้ และอีกหนึ่งช่องโหว่ทำให้ผู้โจมตีสามารถฝังโค้ดที่เป็นอันตรายจากระยะไกลลงบนอุปกรณ์ (CVE-2018-10562)

นักวิจัยกล่าวว่าช่องโหว่ดังกล่าวส่งผลกระทบกับเราเตอร์ที่ใช้งานออนไลน์กว่าหนึ่งล้านเครื่อง ส่วนใหญ่ตั้งอยู่ในเขตขนาดใหญ่ในเม็กซิโก, คาซัคสถาน และเวียดนาม

ที่มา : Bleepingcomputer

นักวิจัยด้านความปลอดภัยออกมาเตือนเกี่ยวกับ Botnet ตัวใหม่ที่ชื่อว่า Satori โดยพบพฤติกรรมที่เชื่อว่าเป็นของ Botnet ตัวนี้บน IP Address มากกว่า 280,000 IPs ในช่วงเวลาเพียง 12 ชั่วโมง และเชื่อว่าน่าจะเป็น Botnet ชนิดใหม่ของ Mirai

Li Fengpei นักวิจัยด้านความปลอดภัย จาก Qihoo 360 Netlab ให้ข้อมูลว่า Satori เริ่มจากการสแกนพอร์ต 37215 และ 52869 ความแตกต่างที่สำคัญระหว่าง Satori และ Mirai คือ Mirai จะอาศัย Telnet scanner เพื่อหาเครื่องที่จะกระจายตัวต่อไป แต่ Satori จะใช้วิธีการเจาะผ่าน zero-day บน Pot 37215 และ 52869 ทำให้มันสามารถแพร่กระจายได้ด้วยตัวมันเองโดยไม่ต้องอาศัยส่วนประกอบอื่นเพิ่มเติม ทั้งนี้ Dale Drew หัวหน้าทีมนโยบายความปลอดภัยจาก CenturyLink บริษัทผู้ให้บริการ Internet รายใหญ่ของโลก ได้ให้สัมภาษณ์ว่าเค้าเชื่อว่าช่องโหว่บน Port 37215 นั้น น่าจะเป็นช่องโหว่ใน router ของ Huawei Home Gateway ซึ่งเป็นช่องโหว่ RCE(CPAI-2017-1016) ที่ถูกพบโดย Check Point เมื่อประมาณปลายเดือนพฤศจิกายนที่ผ่านมา และช่องโหว่บน Port 52869 นั้น น่าจะเป็นช่องโหว่เก่าในอุปกรณ์ของ Realtek(CVE-2014-8361) ซึ่งถูก Patch ไปก่อนหน้านี้แล้วในอุปกรณ์บางตัว ทำให้เมื่อดูจากปริมาณการโจมตีที่สำเร็จบน Port 52869(19,403 IPs) น้อยกว่ามาก เมื่อเทียบกับ Port 37215(263,250 IPs) เมื่อทำการตรวจสอบกับ Shodan พบว่ามีอุปกรณ์มากกว่า 225,000 ตัวที่ยังคงออนไลน์อยู่

Li Fengpei ยังได้ชี้แจงถึงเรื่องความเชื่อมโยงของ Satori ตัวนี้กับ Mirai ที่พบเมื่อช่วงเดือนก่อน โดยยังไม่เป็นที่แน่ชัดว่าผู้ที่อยู่เบื้องหลัง Botnet สองตัวนี้คือคนๆเดียวกันหรือไม่ แต่ Botnet สองตัวนี้มีการใช้ชื่อไฟล์ และฟังก์ชันเฉพาะตัวบางอย่างเหมือนกันอยู่ รวมทั้งมีการใช้ C&C protocols บางตัวร่วมกันอยู่ ทำให้เชื่อว่า Botnet สองตัวนี้น่าจะมีความเกี่ยวข้องกันอยู่

ที่มา : bleepingcomputer

ต่อเนื่องจากข่าวมัลแวร์ที่รันสคริปต์ขุดเหมืองบนบราวเซอร์ ในช่วงสัปดาห์ที่ผ่านมา และล่าสุดที่พบแอพพลิเคชัน
บน Google Play Store ของแอนดรอยด์("Recitiamo Santo Rosario Free" และ "SafetyNet Wireless App") โดยพบครั้งแรกเป็นการติดตั้งบนส่วนหนึ่งของ botnet บนเว็บไซต์ WordPress ที่ถูกแฮ็ก
เนื่องจากปัจจุบันมีผู้คนจำนวนมากบนตลาดการขุดเหมือง Coinhive จึงเป็นตัวเลือกที่ถูกใช้อันดับต้นๆ ของผู้ไม่หวังดี ดังที่เราได้เห็นว่ามีการเปิดตัวบริการที่ชื่อว่า "WhoRunsCoinhive" ออกมา ผู้ใช้งานคอมพิวเตอร์ส่วนใหญ่สามารถติดตั้งและใช้โปรแกรมป้องกันโฆษณาหรือโปรแกรมป้องกันไวรัสที่สามารถบล็อกสคริปส์เหล่านี้ได้ แต่ผู้ใช้งานมือถือส่วนใหญ่ไม่มีการติดตั้งโปรแกรมดังกล่าว Trend Micro ซึ่งได้ค้นพบแอพพลิเคชันสองตัวที่มีสคริปส์การขุดเหมือง Coinhive โดยทั้งสองแอพพลิเคชันจะซ่อนสคริปส์ของ Coinhive อยู่ใน WebView ของเบราว์เซอร์ และจะทำงานเมื่อมีการเปิดใช้งานแอพ โดยปัญหาคือแอพจะไม่มีการร้องขอสิทธิ์ในการทำงาน และการขุดเหมืองที่เกิดขึ้นส่งผลให้อุปกรณ์มือถือร้อนขึ้น, ทำให้อายุการใช้งานแบตเตอรี่ลดลง, ประสิทธิภาพการทำงานของเครื่องลดลง, รวมถึงการสึกหรอโดยทั่วไปของอุปกรณ์มือถือ
นอกเหนือจากแอพพลิเคชันที่เป็นอันตรายแล้ว สัปดาห์ที่ผ่านมาผู้ให้บริการ WordPress WAF เช่น Sucuri และ Wordfence เตือนว่าได้พบการเพิ่มจำนวนของเว็บไซต์ที่ถูกแฮ็กเพื่อใช้ในการขุดเหมืองโดยเฉพาะการใช้สคริปส์จาก Coinhive นอกจากนี้ยังได้ตรวจพบแอพพลิเคชันใน Play Store ที่ชื่อว่า "Car Wallpaper HD: mercedes, ferrari, bmw and audi" อีกตัว โดยจะใช้ cryptocurrency miner ที่ซ่อนอยู่ในไลบารี ซึ่งแตกต่างกับแอพพลิเคชันสองตัวแรกที่กล่าวถึง แอพนี้ไม่ได้ทำงานในเบราว์เซอร์ แต่จะใช้งานไลบรารี CpuMiner ที่สามารถทำงานได้โดยไม่จำเป็นต้องเปิดเบราว์เซอร์ ทาง Microsoft เองก็ได้ออกมาเตือนเกี่ยวกับโดเมน cryptocurrency mining 185 [.] 14 [.] 28 [.] 10 เช่นเดียวกัน
ทั้งนี้แนะนำผู้ใช้งานควรหลีกเลี่ยงแอพพลิเคชั่นที่ไม่น่าเชื่อถือ และหมั่นสังเกตสัญญาณการใช้งานที่ดูผิดปกติ เช่น เครื่องร้อนกว่าปกติหลังการลงแอพพลิเคชั่นใหม่บนเครื่อง หรือแบตเตอรี่ลดลงเร็วกว่าปกติ เป็นต้น

ที่มา : Bleepingcomputer

ในงานประชุม RSA Conference 2014 บริษัท Huawei ได้ประกาศอุปกรณ์ป้องกันการโจมตี DDoS โดยมีชื่อซี่รี่ย์ว่า Huawei's AntiDDoS8000 Series โดยอุปกรณ์ตัวนี้จะมีความสามารถในการป้องกันการโจมตีแบบ DDoS ในระดับ Application layer, สามารถรองรับการเชื่อมต่อได้สูงสุด 1 Tbps, มี false positive = 0 สำหรับ mobile traffic เมื่อใช้ป้องกันบริการ mobile Internet , อัพเดทข้อมูล IP ของบอทเน็ตจากฐานข้อมูลกลางที่มีข้อมูล IP ของบอทเน็ตที่ยังมีการใช้งานอยู่มากกว่า 5 ล้าน IP และมีความสามารถอื่นๆ อย่างเช่น signature learning (การเรียนรู้จาก Signature), behavior analysis (การวิเคราะห์พฤติกรรม), reputation mechanism and Big Data analytics (การวิเคราะห์ข้อมูลขนาดใหญ่)

ที่มา : net-security

นักวิจัยด้านความปลอดภัย BSI รายงานว่า ข้อมูลผู้ใช้ออนไลน์ชาวเยอรมันถูกขโมยข้อมูลส่วนตัวไปประมาณ 16 ล้านคน อาจจะส่งผลกระทบไปยัง social networking sites เช่นกัน

นักวิจัยนั้นได้วิเคราะห์ข้อมูลจาก botnet network ของเครื่องคอมพิวเตอร์ที่ติดมัลแวร์ พบว่าแฮกเกอร์สามารถโจมตีขโมยเอาข้อมูลชื่อผู้ใช้ และรหัสผ่าน อีเมล์ของเหยื่อได้

ทางเจ้าหน้าที่ก็ได้จัดเตรียมเว็บไซต์ที่เป็นภาษาเยอรมัน เพื่อให้ผู้ใช้สามารถตรวจสอบ ว่าอีเมล์ปลอดภัยหรือไม่ อีกทั้งเจ้าหน้าที่แนะนำว่าให้ผู้ใช้เปลี่ยนรหัสผ่านทั้งหมดที่เกี่ยวข้องกับอีเมล์ เพื่อป้องกันการโจมตีจากแฮกเกอร์

ที่มา : thehackernews

นักวิจัยด้านความปลอดภัยชื่อ Brian Krebs ได้ค้นพบบอทเนทชนิดใหม่ที่ชื่อว่า “Advanced Power” โดยบอทเนทตัวนี้จะใช้เครื่องคอมพิวเตอร์ของเราเป็นเครื่องมือในการแพร่กระจายไวรัส หากผู้ใช้มีการใช้งานบราเซอร์ Firefox ในการเข้าถึงเว็บไซต์ต่างๆ มัลแวร์จะอาศัย Add on บน Firefox ที่ชื่อว่า "Microsoft .NET Framework Assistant" เป็นเครื่องมือในการโจมตีเว็บไซต์อื่นๆ ที่ผู้ใช้เข้าถึงด้วยช่องโหว่ SQL injection และยังสามารถขโมยข้อมูลที่สำคัญได้อีกด้วย นักวิจัยกล่าวว่ามีระบบมากกว่า 12,500 ระบบที่ติดไวรัสจากมัลแวร์ดังกล่าวและค้นพบเว็บไซต์อย่างน้อย 1,800 เว็บไซต์ที่เสี่ยงต่อช่องโหว่ SQL Injection

ที่มา : ehackingnews

นักวิจัยด้านความปลอดภัยชื่อ Brian Krebs ได้ค้นพบบอทเนทชนิดใหม่ที่ชื่อว่า “Advanced Power” โดยบอทเนทตัวนี้จะใช้เครื่องคอมพิวเตอร์ของเราเป็นเครื่องมือในการแพร่กระจายไวรัส หากผู้ใช้มีการใช้งานบราเซอร์ Firefox ในการเข้าถึงเว็บไซต์ต่างๆ มัลแวร์จะอาศัย Add on บน Firefox ที่ชื่อว่า "Microsoft .NET Framework Assistant" เป็นเครื่องมือในการโจมตีเว็บไซต์อื่นๆ ที่ผู้ใช้เข้าถึงด้วยช่องโหว่ SQL injection และยังสามารถขโมยข้อมูลที่สำคัญได้อีกด้วย นักวิจัยกล่าวว่ามีระบบมากกว่า 12,500 ระบบที่ติดไวรัสจากมัลแวร์ดังกล่าวและค้นพบเว็บไซต์อย่างน้อย 1,800 เว็บไซต์ที่เสี่ยงต่อช่องโหว่ SQL Injection

ที่มา : ehackingnews

กระทรวงยุติธรรมของสหรัฐประกาศเมื่อวันศุกร์ที่ผ่านมา (3 พ.ค 2013) ถึงคดีที่จับผู้ต้องหาชาวแอลจีเรีย Bendelladj หรือ “Bx1” วัย 24 ปีที่ถูกตั้งข้อกล่าวหาว่าเป็นผู้สร้าง botnet ที่ชื่อว่า Spyeye โดยถูกจับได้ที่เมืองไทยแล้วถูกส่งตัวมาที่เแอตลานต้า สหรัฐอเมริกา โดยนาย Bendelladj ถูกตั้งข้อหา 23 กระทงจากการใช้ Spyeye ฉ้อโกงทางธนาคารออนไลน์
โดยหลักฐานหนึ่งพบไฟล์ข้อมูล C & C server ที่มีข้อมูลเกี่ยวกับสถาบันการเงินกว่า 253 แห่ง ซึ่งถ้านาย Bendelladj มีความผิดจริงต้องถูกโทษจำคุกถึง 60 ปี จ่ายค่าปรับ 14 ล้านเหรียญสหรัฐ

ที่มา: nakedsecurity.