Microsoft เปิดเผยรายงานการพบการโจมตีเพื่อขโมยข้อมูล credential ที่ดําเนินการโดยกลุ่มแฮ็กเกอร์รัสเซียที่รู้จักกันในชื่อ Midnight Blizzard

ทีมข่าวกรองภัยคุกคามของ Microsoft ระบุว่า การโจมตีนี้ใช้ residential proxy services เพื่อซ่อนที่อยู่ไอพีต้นทางของการโจมตี โดยการโจมตีมุ่งเป้าไปที่รัฐบาล, ผู้ให้บริการด้านไอที, องค์กรพัฒนาการป้องกันของเอกชน และอุตสาหกรรมการผลิตที่สําคัญ

กลุ่ม Midnight Blizzard หรือเดิมชื่อ Nobelium รวมถึงยังเป็นที่รู้จักในชื่อ APT29, Cozy Bear, Iron Hemlock และ The Dukes (more…)

พบมัลแวร์ตัวใหม่ที่ใช้ภาษา Golang ชื่อว่า 'GoBruteforcer' มุ่งเป้าหมายไปที่เซิร์ฟเวอร์ phpMyAdmin, MySQL, FTP, และ Postgres เพื่อเชื่อมโยงอุปกรณ์เข้า botnet

นักวิจัยของ Palo Alto Networks Unit 42 กล่าวว่า "GoBruterforcer ใช้ Classless Inter-Domain Routing (CIDR) block เพื่อสแกนเครือข่ายในระหว่างการโจมตี และมีเป้าหมายเป็นที่อยู่ IP ทั้งหมดของ CIDR range"

ผู้ไม่หวังดีใช้การสแกน CIDR block เพื่อเข้าถึงเครือข่ายเป้าหมายบน IP ที่แตกต่างกันภายในเครือข่าย แทนที่จะใช้ IP แบบเดียวเป็นเป้าหมาย (more…)

Samuel Groß นักวิจัยด้านความปลอดภัยจาก Google Project Zero ได้มีการเผยแพร่งานวิจัยใหม่เกี่ยวกับฟีเจอร์ด้านความปลอดภัยใน iOS 14 ในส่วนของ iMessage ซึ่งตกเป็นเป้าหมายในการถูกโจมตีแบบ Zero-click อยู่บ่อยครั้ง โดยงานวิจัยนี้เกิดจากการทำ Reverse engineering กับกระบวนการทำงานของ iMessage ในเวลาเพียงแค่ 1 สัปดาห์

สำหรับฟีเจอร์แรกนั้นถูกเรียกว่าเซอร์วิส BlastDoor ซึ่งเป็นส่วนโมดูลใหม่สำหรับประมวลผลข้อมูลไบนารี อาทิ ไฟล์แนบ, ลิงค์และไฟล์รูปข้างใน Sandbox ซึ่งไม่สามารถเชื่อมต่อออกสู่เครือข่ายได้ ผลลัพธ์ของการแยกประมวลผลนี้ทำให้การจัดเรียงกันของหน่วยความจำนั้นแตกต่างออกไปและเพิ่มความเป็นไปได้ยากในการที่จะทำการโจมตีในลักษณะของ Memory corruption

ฟีเจอร์ส่วนที่สองนั้นถูกเรียกว่า Shared cache resliding โดยเป็นการปรับปรุงส่วนของ Shared cache ในหน่วยความจำ ส่วนของ Shared cache เป็นส่วนหนึ่งของหน่วยความจำที่มีการเก็บตำแหน่งของฟังก์ชันของระบบเอาไว้และจะถูกสุ่มภายใต้ฟีเจอร์ ASLR เฉพาะเมื่อมีการบูต เนื่องจากการสุ่มตำแหน่งโดย ASLR ไม่ได้เกิดขึ้นบ่อยนัก การโจมตีในบางเทคนิคสามารถนำไปสู่การระบุหาแอดเดรสใน Shared cache ซึ่งนำไปสู่การข้ามผ่านฟีเจอร์ ASLR ได้ ใน iOS 14 ปัญหาในส่วนนี้ถูกแก้โดยการเพิ่มเงื่อนไขในการสุ่มตำแหน่งของข้อมูลใน Shared cache สำหรับเซอร์วิสใดๆ เมื่อเซอร์วิสเริ่มทำงานแทน ซึ่งทำให้การข้ามผ่านฟีเจอร์ ASLR เป็นไปได้ยากขึ้นหรือแทบเป็นไปไม่ได้เลย

ฟีเจอร์ส่วนสุดท้ายยังคงอยู่ในแนวทางของการป้องกันการข้ามผ่านฟีเจอร์ ASLR ซึ่งมาในลักษณะของการ Brute force โดยใน iOS 14 นั้นเซอร์วิสอย่าง BlastDoor จะถูกตั้งค่าและควบคุมให้อยู่ในกลไกที่ชื่อ ExponentialThrottling ซึ่งจะทำการหน่วงเวลาของการรีสตาร์ทหากโปรเซสหรือเซอร์วิสมีการแครช ฟีเจอร์ ExponentialThrottling ถูกบังคับใช้เฉพาะกับกลไกที่สำคัญ ดังนั้นผลกระทบของเวลาที่ถูกหน่วงในแต่ละครั้งจะไม่กระทบต่อการใช้งานทั่วไป จากการตรวจสอบโดย Samuel เวลาหน่วงที่มากที่สุดหลังจากมีการแครชและจำนวนเวลาถูกเพิ่มไปเรื่อยๆ นั้นคือ 20 นาที

สำหรับใครที่สนใจทางด้าน Exploitation โดยเฉพาะอย่างยิ่งในสภาพแวดล้อมของ macOS และ iOS สามารถอ่านรายละเอียดจากการ Reverse engineer ได้ที่ : googleprojectzero

ที่มา: zdnet

Michael Clark และ Wes Wright นักวิจัยด้านความปลอดภัยจาก Digital Defense ได้เปิดเผยถึงช่องโหว่การ Bypass การตรวจสอบบัญชีด้วย Two-Factor Authentication (2FA) ผ่านการโจมตีแบบ Brute-force บนซอฟต์แวร์ cPanel และ WebHost Manager (WHM) ซึ่งเป็นซอฟต์แวร์การดูแลระบบที่จะช่วยให้ผู้ดูแลระบบและเจ้าของเว็บไซต์สามารถจัดการเซิร์ฟเวอร์และเว็บไซต์ได้โดยอัตโนมัติ โดยใช้กราฟิกยูสเซอร์อินเทอร์เฟซ

ช่องโหว่ถูกติดตามด้วยรหัส CVE-2020-27641 โดยช่องโหว่จะเปิดโอกาศให้ผู้ประสงค์ร้ายสามารถทำการโจมตีแบบ Brute-force เพื่อทำการ Bypass การตรวจสอบการเข้าสู่บัญชีด้วย 2FA เนื่องจาก cPanel ไม่ได้บล็อกผู้ใช้หากผู้ใช้ทำการใส่รหัส 2FA ซ้ำๆ กันบ่อยๆ ซึ่งนักวิจัยได้กล่าวว่าการโจมตีลักษณะนี้สามารถทำให้ผู้ประสงค์ร้ายเข้าสู่ระบบได้ภายในเวลาไม่กี่ชั่วโมงหรือในบางกรณีอาจใช้เวลาไม่กี่นาทีก็สามารถเข้าสู่ระบบได้ อย่างไรก็ดีผู้ประสงค์ร้ายต้องมี Credential ของผู้ใช้ก่อนจึงจะสามารถทำการโจมตีได้

ทั้งนี้นักวิจัยได้ทำการแจ้งปัญหาเกี่ยวกับช่องโหว่ให้ทาง cPanel รับทราบแล้วและทางทีมงาน cPanel ได้ออกแพตซ์เพื่อแก้ไขช่องโหว่แล้วใน cPanel และ WHM เวอร์ชัน 11.92.0.2, 11.90.0.17 และ 11.86.0.32 ผู้ใช้และผู้ดูแลระบบควรทำการอัปเดตซ์แพตซ์ cPanel และ WHM ให้เป็นเวอร์ชันล่าสุดเพื่อเป็นการป้องกันผู้ประสงค์ร้ายใช้ประโยชน์จากช่องโหว่ทำการโจมตีระบบ

ที่มา:

bleepingcomputer.

IBM เผย Mozi Botnet เเพร่กระจายในเครือข่ายอุปกรณ์ IoT ถึง 90 % ในช่องครึ่งปีที่ผ่านมา

IBM ได้ออกรายงานถึงการเเพร่กระจายของ botnet ในระหว่างเดือนตุลาคม 2019 ถึงเดือนมิถุนายน 2020 โดยรายงานพบว่าการเเพร่กระจายกว่า 90 เปอร์เซ็นต์นั้นมากจาก Mozi botnet ซึ่งใช้เครือข่าย loT เป็นฐานในการเเพร่กระจาย

Mozi botnet ถูกตรวจพบโดยผู้เชี่ยวชาญด้านความปลอดภัยจาก 360 Netlab ซึ่งในช่วงเวลาที่ค้นพบนั้น botnet มีการกำหนดเป้าหมายไปที่เราเตอร์ Netgear, D-Link และ Huawei โดยการโจมตีผ่านการ brute force รหัสผ่าน Telnet ที่อ่อนแอ เมื่อเข้าถึงอุปกรณ์ได้แล้ว botnet จะพยายามเรียกใช้เพย์โหลดที่เป็นอันตรายและ botnet จะใช้เครือข่าย Mozi P2P ที่ถูกสร้างโดยใช้โปรโตคอล Distributed Hash Table (DHT) เพื่อสร้างเครือข่าย P2P ในการเเพร่กระจาย

นอกจากการเเพร่กระจายแล้ว Mozi botnet ยังมีความสามารถในการการโจมตี DDoS, การรวบรวมข้อมูล, ดำเนินการเพย์โหลดของ URL ที่ระบุและเรียกใช้ระบบหรือคำสั่งที่กำหนดเอง ทั้งนี้นักวิจัยของ IBM ได้ค้นพบว่าโครงสร้างพื้นฐานที่ Mozi botnet ใช้นั้นตั้งอยู่ในประเทศจีนเป็นหลัก (84%)

นักวิจัยคาดว่าอุปกรณ์ที่จะได้รับผลกระทบจาก Mozi botnet คือ เราเตอร์ Eir D1000, อุปกรณ์ Vacron NVR , อุปกรณ์ที่ใช้ Realtek SDK, Netgear R7000 และ R6400, เราเตอร์ DGN1000 Netgear, MVPower DVR, เราเตอร์ Huawei HG532, อุปกรณ์ D-Link, GPON เราเตอร์, อุปกรณ์ D-Link, กล้องวงจรปิด DVR

เพื่อปกป้องอุปกรณ์ IoT และเราเตอร์จากการโจมตี ผู้ใช้ควรทำการอัปเดตเฟิร์มแวร์เป็นเวอร์ชันล่าสุดและควรทำการเปลื่ยนรหัสผ่านตั้งต้นเป็นรหัสผ่านที่ปลอดภัย ทั้งนี้ควรปิดการใช้งานเข้าถึงจากระยะไกลผ่านอินเทอร์เน็ตหากไม่จำเป็น

โดยสามารถดู IOC ได้จาก : Securityintelligence

ที่มา : Securityaffairs | blog.

Tom Anthony ผู้บริหารด้านผลิตภัณฑ์ของ SearchPilot ได้เปิดเผยถึงการค้นพบช่องโหว่ในแอปพลิเคชัน Zoom ที่อาจจะทำให้ผู้โจมตีสามารถทำการถอดรหัสผ่านห้องประชุมส่วนตัวได้ ซึ่งการเผยแพร่นี้เกิดหลังจากได้รายงานไปยัง Zoom จนทำการแก้ไขเรียบร้อยแล้ว

Anthony เปิดเผยว่าช่องโหว่ถูกพบในเว็บไคลเอ็นต์ของ Zoom โดยช่องโหว่ที่ค้นพบนั้นเกี่ยวข้องกับการตั้งค่าการป้องกันของห้องประชุมส่วนตัวด้วยรหัสผ่านเริ่มต้น ช่องโหว่จะอนุญาตให้ผู้โจมตีทำการ Brute-force รหัสผ่านของการประชุม ซึ่งถูกกำหนดค่าเริ่มต้นด้วยตัวเลขจำนวน 6 หลัก จึงทำให้ผู้โจมตีสามารถทำการสุ่มจำนวนตัวเลข 1 ล้านครั้งก็จะถอดรหัสและเข้าสู่การประชุมได้ ซึ่ง Anthony ระบุว่าเขาเช่าเซิร์ฟเวอร์ใน AWS หนึ่งเครื่องแล้วสามารถถอดรหัสผ่านการประชุมหนึ่งได้ใน 25 นาที ซึ่งในกรณีที่กระจายการถอดรหัสไปหลายๆ เครื่อง จะใช้เวลาน้อยกว่านั้น

Anthony ได้ทำการรายงานปัญหาและช่องโหว่ให้กับ Zoom เมื่อวันที่ 1 เมษายน 2020 ที่ผ่านมา หลังจากได้รับรายงานทาง Zoom ได้ทำการปิดเว็บไคลเอ็นต์เพื่อทำการเเก้ไขปัญหา

หลังจากรับทราบและทำการเเก้ไขปัญหา Zoom เปิดให้บริการเว็บไคลเอ็นต์อีกครั้งในวันที่ 9 เมษายน 2020 ที่ผ่านมาโดยการเเก้ปัญหานั้น Zoom ได้ทำการปรับปรุงและเเก้ไข CSRF โทเค็นและจะกำหนดให้ผู้ใช้งานทุกคนต้องทำการลงชื่อเข้าใช้ก่อนเข้าร่วมการประชุมผ่านเว็บไคลเอ็นต์และทำการอัปเดตการตั้งรหัสผ่านเริ่มต้นการประชุมยาวกว่า 6 ตัวอักษรและไม่ใช่ตัวเลขเพียงอย่างเดียวอีกต่อไป

ที่มา:

bleepingcomputer.

GuardiCore ออกประกาศแจ้งเตือนหลังจากค้นพบพฤติกรรมของมัลแวร์ชนิดใหม่ Prowli ซึ่งมุ่งโจมตีระบบด้วยวิธีการ brute force แล้วไปถึงใช้ช่องโหว่ที่เป็นที่รู้จักกันอยู่แล้วเพื่อเข้าควบคุมระบบ โดยมีจุดประสงค์ในการใช้ระบบเพื่อขุดบิทคอยน์และใช้เพื่อเป็นฐานการโจมตีในลักษณะอื่นๆ

มัลแวร์ Prowli มีการใช้ช่องโหว่ดังต่อไปนี้
- ในกรณีที่เป้าหมายเป็นเว็บไซต์ WordPress มัลแวร์จะใช้ช่องโหว่ที่มีอยู่แล้วรวมไปถึงการเดารหัสผ่านเพื่อเข้าถึงหน้าการตั้งค่า
- ในกรณีที่เป้าหมายเป็น Joomla! ที่มีการรันส่วนเสริม K2 มัลแวร์จะใช้ช่องโหว่รหัส CVE-2018-7482
- ในกรณีที่เป้าหมายเป็นอุปกรณ์โมเด็ม มัลแวร์จะพุ่งเป้าโจมตีเซอร์วิส TR-064 และ TR-069 ที่มีช่องโหว่อยู่แล้ว
- ในกรณีที่เป้าหมายเป็นอุปกรณ์ HP Data Protector มัลแวร์จะใช้ช่องโหว่รหัส (CVE-2014-2623)
- ใช้การคาดเดารหัสผ่านสำหรับ Drupal, phpMyadmin, NFS และ SMB

เมื่อเข้าควบคุมระบบเป้าหมายได้สำเร็จมัลแวร์จะมีการใช้แบ็คดอร์อย่าง WSO Web Shell รวมไปถึงติดตั้งโปรแกรมขุดบิทคอยน์และใช้ระบบดังกล่าวในเป็นช่องทางในการแพร่กระจายมัลแวร์อื่นๆ ด้วย

ที่มา: bleepingcomputer

MySQL และ MariaDB มีช่องโหว่ security-bypass
โดยผู้โจมตีสามารถใช้เทคนิคที่เรียกว่า brute force ในการโจมตีและอาจส่งผลให้เกิดการโจมตีอื่นๆตามมา

ที่มา: securityfocus