พบแคมเปญฟิชชิ่งที่มีความซับซ้อน ซึ่งใช้ประโยชน์จาก Universal Unique Identifiers (UUIDs) ที่สร้างขึ้นแบบสุ่ม โดยสามารถ Bypass Secure Email Gateways (SEGs) และหลบเลี่ยงการป้องกันในระดับ perimeter ได้สำเร็จ (more…)

ตรวจพบ Ransomware สายพันธุ์ใหม่ชื่อ HybridPetya ซึ่งสามารถ Bypass การทำงานของ UEFI Secure Boot เพื่อทำการติดตั้งแอปพลิเคชันอันตรายลงใน EFI System Partition ได้

HybridPetya ดูเหมือนจะได้รับแรงบันดาลใจจากมัลแวร์ Petya/NotPetya ซึ่งเคยเข้ารหัสคอมพิวเตอร์ และทำให้ Boot Windows ไม่ได้ในการโจมตีเมื่อปี 2016 และ 2017 โดยไม่มีวิธีกู้คืนข้อมูล

นักวิจัยจากบริษัท ESET พบตัวอย่างของ HybridPetya บน VirusTotal โดยระบุว่า มัลแวร์นี้อาจเป็นโครงการวิจัย, Proof-of-Concept (PoC) หรือเป็นเวอร์ชันเริ่มต้นของเครื่องมือของกลุ่มอาชญากรรมไซเบอร์ ที่ยังอยู่ในระยะทดลอง

อย่างไรก็ตาม ESET ระบุว่า การพบ HybridPetya ครั้งนี้ เป็นอีกหนึ่งตัวอย่าง (เช่นเดียวกับ BlackLotus, BootKitty และ Hyper-V Backdoor) ที่แสดงให้เห็นว่า UEFI bootkit ซึ่งมีความสามารถ Bypass การป้องกัน Secure Boot นั้นเป็นภัยคุกคามที่เกิดขึ้นจริง

HybridPetya ผสานลักษณะเด่นของ Petya และ NotPetya เข้าด้วยกัน ทั้งในด้านลักษณะการแสดงผล และขั้นตอนการโจมตีของมัลแวร์รุ่นเก่าเหล่านั้น

อย่างไรก็ตาม ผู้พัฒนา Ransomware HybridPetya ได้เพิ่มความสามารถใหม่ เช่น การติดตั้งลงใน EFI System Partition และความสามารถในการ Bypass การป้องกัน Secure Boot โดยอาศัยช่องโหว่ CVE-2024-7344

ESET ค้นพบช่องโหว่นี้เมื่อเดือนมกราคมปีนี้ โดยปัญหานี้เกิดจาก แอปพลิเคชันที่มีการ signed โดย Microsoft ซึ่งอาจถูกผู้โจมตีใช้เพื่อติดตั้ง Bootkit ได้ แม้ว่า Secure Boot ของเครื่องเป้าหมายจะยังทำงานอยู่

เมื่อเริ่มทำงาน HybridPetya จะตรวจสอบว่าคอมพิวเตอร์เป้าหมายใช้ UEFI แบบ GPT partitioning หรือไม่ จากนั้นจะปล่อย Bootkit อันตรายลงใน EFI System Partition ซึ่งประกอบด้วยไฟล์หลายไฟล์

ซึ่งไฟล์เหล่านี้ประกอบด้วย ไฟล์ configuration และ validation, modified bootloader, fallback UEFI Bootloader, exploit payload container และ status file สำหรับติดตามความคืบหน้าของการ encryption

ESET ระบุไฟล์ที่พบในหลายเวอร์ชันของ HybridPetya ดังนี้

\EFI\Microsoft\Boot\config – เก็บข้อมูล encryption flag, key, nonce และ victim ID
\EFI\Microsoft\Boot\verify – ใช้สำหรับตรวจสอบ decryption key ว่าถูกต้องหรือไม่
\EFI\Microsoft\Boot\counter – ใช้ติดตามความคืบหน้าของการ encrypted clusters
\EFI\Microsoft\Boot\bootmgfw.

นักวิจัยด้านความปลอดภัยทางไซเบอร์พบแคมเปญ spear phishing ที่มีความซับซ้อน ซึ่งใช้ฟีเจอร์ Direct Send ของ Microsoft 365 เป็นเครื่องมือในการโจมตีเพื่อ bypass ระบบป้องกันอีเมลแบบดั้งเดิม และดำเนินการขโมยข้อมูล credential ของผู้ใช้ด้วยวิธีการที่ออกแบบมาสำหรับเป้าหมายแต่ละรายโดยเฉพาะ

(more…)

ChatGPT Agents ถูกพบว่าสามารถ bypass ระบบ CAPTCHA ของ Cloudflare ได้ โดยเฉพาะช่องทำเครื่องหมาย “I am not a robot” ซึ่งเป็นระบบตรวจสอบที่ใช้กันอย่างแพร่หลาย (more…)

Mainboard ของ Gigabyte มากกว่าร้อยรุ่นที่ใช้ UEFI firmware มีช่องโหว่ด้านความปลอดภัย ที่อาจทำให้ผู้โจมตีสามารถฝังมัลแวร์ประเภท bootkit ซึ่งเป็นมัลแวร์ที่ระบบปฏิบัติการไม่สามารถตรวจจับได้ และยังคงแฝงตัวอยู่ได้แม้ผู้ใช้จะทำการติดตั้งระบบปฏิบัติการใหม่แล้วก็ตาม

ช่องโหว่เหล่านี้อาจทำให้ผู้โจมตีที่มีสิทธิ์ในระดับผู้ดูแลระบบ (ทั้งแบบเข้าถึงจากเครื่องโดยตรง หรือจากระยะไกล) สามารถเรียกใช้โค้ดใด ๆ ก็ได้ตามต้องการใน System Management Mode (SMM) ซึ่งเป็นสภาพแวดล้อมที่แยกออกจากระบบปฏิบัติการ (OS) และมีสิทธิ์ในการเข้าถึงเครื่องที่มากกว่า

กลไกที่ทำงานในระดับที่ต่ำกว่าระบบปฏิบัติการ (OS) จะสามารถเข้าถึงฮาร์ดแวร์ได้โดยตรง และเริ่มทำงานตั้งแต่ตอนบูตเครื่อง ด้วยเหตุนี้ มัลแวร์ที่แฝงตัวอยู่ในสภาพแวดล้อมดังกล่าวจึงสามารถ bypass การป้องกันความปลอดภัยแบบมาตรฐานที่มีอยู่ในระบบได้

UEFI หรือ Unified Extensible Firmware Interface เป็น firmware ที่มีความปลอดภัยมาก เนื่องจากมีฟีเจอร์ Secure Boot ที่ใช้ในการตรวจสอบด้วยวิธีการเข้ารหัส เพื่อให้แน่ใจว่าโค้ดที่อุปกรณ์ใช้ในการบูตเครื่องนั้นปลอดภัย และเชื่อถือได้

ด้วยเหตุนี้ มัลแวร์ระดับ UEFI อย่าง bootkit ที่มีชื่อเสียง เช่น เช่น BlackLotus, CosmicStrand, MosaicAggressor, MoonBounce และ LoJax จึงสามารถฝังโค้ดที่เป็นอันตรายให้ทำงานได้ทุกครั้งที่มีการเปิดเครื่อง

Mainboards จำนวนมากที่ได้รับผลกระทบ

ช่องโหว่ทั้ง 4 รายการนี้ ถูกพบใน firmware ที่ Gigabyte นำมาใช้งาน โดยถูกค้นพบโดยนักวิจัยจากบริษัทด้านความปลอดภัย firmware ที่ชื่อ Binarly ซึ่งได้แบ่งปันข้อมูลการค้นพบนี้กับศูนย์ประสานงาน CERT (CERT/CC) ของมหาวิทยาลัย Carnegie Mellon

Supplier ของ firmware รายหลักคือบริษัท American Megatrends Inc.

 

พบช่องโหว่ด้านความปลอดภัยระดับ Critical ในระบบเครื่องปรับอากาศหลายรุ่นของ Mitsubishi Electric ซึ่งทำให้ผู้ไม่หวังดีสามารถ Bypass การยืนยันตัวตน และควบคุมอุปกรณ์ที่ได้รับผลกระทบจากระยะไกลได้ (more…)

แฮ็กเกอร์รัสเซียใช้วิธีการ Social engineering แอบอ้างเป็นเจ้าหน้าที่กระทรวงการต่างประเทศสหรัฐฯ เพื่อ Bypass MFA และเข้าถึงบัญชี Gmail โดยอาศัย app-specific passwords โดยแฮ็กเกอร์กลุ่มนี้มีเป้าหมายเป็นนักวิชาการ และนักวิจารณ์รัฐบาลรัสเซีย โดยใช้เทคนิคที่มีความซับซ้อน ปรับแต่งเฉพาะบุคคล และไม่ใช้วิธีการกดดันให้เหยื่อรีบดำเนินการอย่างใดอย่างหนึ่ง (more…)

บริษัทด้านการรักษาความปลอดภัยทางไซเบอร์ Cloudflare ออกคำเตือนอย่างชัดเจนเกี่ยวกับภัยคุกคามที่ทวีความรุนแรงขึ้นที่องค์กรสื่ออิสระทั่วโลกต้องเผชิญ โดยเปิดเผยว่านักข่าว และสำนักข่าวต่าง ๆ ได้กลายเป็นเป้าหมายหลักของการโจมตีแบบ Distributed Denial-of-Service (DDoS) ที่มีความซับซ้อน (more…)

บริษัท Hewlett Packard Enterprise (HPE) ได้ออกอัปเดตด้านความปลอดภัยเพื่อแก้ไขช่องโหว่จำนวน 8 รายการ ในโซลูชันการสำรองข้อมูล และการลดความซ้ำซ้อนของข้อมูลที่ชื่อว่า StoreOnce ที่อาจทำให้ผู้ไม่หวังดีสามารถ bypass การยืนยันตัวตน และการเรียกใช้โค้ดที่เป็นอันตรายจากระยะไกลได้

HPE ได้ระบุว่า "ช่องโหว่เหล่านี้สามารถถูกโจมตีจากระยะไกล เพื่อทำให้ผู้ไม่หวังดีสามารถเรียกใช้โค้ดที่เป็นอันตรายจากระยะไกล, เปิดเผยข้อมูล, ปลอมแปลงคำขอฝั่งเซิร์ฟเวอร์ (SSRF), bypass ขั้นตอนการยืนยันตัวตน, ลบไฟล์โดยพลการ และเปิดเผยข้อมูลผ่านการเข้าถึงไดเรกทอรีโดยไม่ได้รับอนุญาต"

(more…)

พบเทคนิค EDR bypass "Bring Your Own Installer" รูปแบบใหม่ ที่ถูกใช้ประโยชน์ในการโจมตีเพื่อ bypass คุณสมบัติการป้องกันการปลอมแปลง (tamper protection feature) ของ SentinelOne ทำให้ Hacker สามารถปิดใช้งาน endpoint detection and response (EDR) (more…)