Check Point แก้ไขช่องโหว่ Zero-Day ของ VPN ที่กำลังถูกใช้ในการโจมตี

Check Point ออกแพตซ์อัปเดตเพื่อแก้ไขช่องโหว่ Zero-Day ของ VPN ที่กำลังถูกใช้ในการโจมตีเพื่อเข้าถึงไฟร์วอลล์จากระยะไกล และพยายามเข้าถึงเครือข่ายของเป้าหมาย

โดยก่อนหน้านี้ทาง Check Point ได้แจ้งเตือนการพบการโจมตีซึ่งมุ่งเป้าหมายไปยังอุปกรณ์ VPN ที่สูงขึ้นอย่างมีนัยสำคัญ และได้เผยแพร่คำแนะนำในการป้องกัน ต่อมาทาง Check Point ได้ค้นพบสาเหตุของปัญหาดังกล่าว ซึ่งเป็นช่องโหว่ Zero-Day ที่กำลังถูกใช้โดย Hacker เพื่อโจมตีเป้าหมาย

CVE-2024-24919 (คะแนน CVSS 8.6/10 ความรุนแรงระดับ High) ช่องโหว่ information disclosure ที่ทำให้ Hacker สามารถอ่านข้อมูลบน Check Point Security Gateways ที่เข้าถึงได้จากอินเทอร์เน็ต ที่มีการเปิดใช้งาน VPN หรือ Mobile Access Software Blades ซึ่งส่งผลกระทบต่ออุปกรณ์ CloudGuard Network, Quantum Maestro, Quantum Scalable Chassis, Quantum Security Gateways, และ Quantum Spark Appliancesในเวอร์ชัน R80.20.x, R80.20SP (EOL), R80.40 (EOL), R81, R81.10, R81.10.x และ R81.20

ทั้งนี้ทาง Check Point ได้ออกอัปเดตแพตซ์เพื่อแก้ไขช่องโหว่ดังกล่าวแล้ว ในเวอร์ชันดังต่อไปนี้ :
**

Quantum Security Gateway and CloudGuard Network Security: R81.20, R81.10, R81, R80.40

Quantum Maestro and Quantum Scalable Chassis: R81.20, R81.10, R80.40, R80.30SP, R80.20SP

Quantum Spark Gateways: R81.10.x, R80.20.x, R77.20.x

หากผู้ดูแลระบบต้องการอัปเดตด้วยตนเอง สามารถเข้าไปที่ Security Gateway > Software Updates > Available Updates > Hotfix Updates และคลิก 'Install' โดยจะใช้เวลาในการดำเนินงานประมาณ 10 นาที และจำเป็นต้องทำการ reboot อุปกรณ์

หลังจากที่ทำการอัปเดตแล้ว การพยายามโจมตีเพื่อเข้าสู่ระบบโดยใช้ข้อมูล weak credentials จะถูกบล็อคโดยอัตโนมัติ และถูก logging ในระบบ ซึ่งการอัปเดตดังกล่าวครอบคลุมถึงเวอร์ชันที่ end-of-life (EOL) ไปแล้ว

ทั้งนี้ผู้ดูแลระบบที่ยังไม่สามารถทำการอัปเดตได้ ควรปรับปรุงด้านความปลอดภัยโดยการอัปเดตรหัสผ่าน Active Directory (AD) ที่ Security Gateway ใช้สำหรับการตรวจสอบสิทธิ์

รวมถึง Check Point ได้สร้างสคริปต์ สำหรับตรวจสอบการเข้าถึงระยะไกลที่สามารถอัปโหลดไปยัง 'SmartConsole' และดำเนินการเพื่อตรวจสอบผลลัพธ์ และวิธีการดำเนินการที่เหมาะสม

ที่มา : bleepingcomputer

Hacker มุ่งเป้าการโจมตีไปยัง Check Point VPN เพื่อเข้าถึงเครือข่าย

Check Point เปิดเผยการค้นพบกลุ่ม Hacker กำลังกำหนดเป้าหมายไปยังอุปกรณ์ VPN ของ Check Point เพื่อพยายามเข้าถึงเครือข่ายจากระยะไกล

ทั้งนี้การเข้าถึงจากระยะไกลผ่าน VPN ของ Check Point สามารถทำได้ 2 วิธีคือ client-to-site VPN สำหรับการเข้าถึงเครือข่ายองค์กรผ่าน VPN client หรือการเข้าถึงเครือข่ายองค์กรผ่าน SSL VPN Portal จาก web-based

โดย Check Point พบว่ากลุ่ม Hacker ได้มุ่งเป้าโจมตีไปยัง local account ที่มีการตั้งค่าการยืนยันตัวตนที่ไม่ปลอดภัย (password-only) เพื่อป้องกันการโจมตีดังกล่าว Check Point ได้แนะนำให้ผู้ดูแลระบบตรวจสอบ local account ที่มีความเสี่ยงในลักษณะดังกล่าวใน Quantum Security Gateway และ CloudGuard Network Security product และบน Mobile Access และ Remote Access VPN software blade แล้วทำการเปลี่ยนวิธีการยืนยันตัวตนให้ปลอดภัยยิ่งขึ้น รวมถึงลบ local account ที่มีความเสี่ยงออกจาก Security Management Server database

นอกจากนี้ Check Point ยังได้ออก Security Gateway hotfix ที่จะบล็อก local account ทั้งหมดที่มีการยืนยันตัวตนแบบ password-only และจะไม่สามารถทำการ VPN เพื่อเข้าถึงเครือข่ายจากระยะไกลได้

Cisco VPN ก็ตกเป็นเป้าหมายการโจมตีด้วยเช่นกัน

ทั้งนี้ Check Point เป็นบริษัทที่สองต่อจาก Cisco ที่ได้ทำการแก้ไขช่องโหว่บน VPN หลังจากที่พบกลุ่ม Hacker มุ่งเป้าหมายในการโจมตีช่องโหว่ดังกล่าว

ในเดือนเมษายน 2024 Cisco ได้แจ้งเตือนพบการโจมตีแบบ brute-force โดยกำหนดเป้าหมายไปยัง VPN และ SSH service บนอุปกรณ์ Cisco, Check Point, SonicWall, Fortinet และ Ubiquiti ซึ่งแคมเปญการโจมตีดังกล่าว ได้เริ่มต้นตั้งแต่วันที่ 18 มีนาคม 2024 โดยมีการโจมตีที่มาจาก TOR exit node และใช้เครื่องมือต่าง ๆ รวมถึง proxy เพื่อหลีกเลี่ยงการตรวจจับ

Aaron Martin นักวิจัยด้านความปลอดภัย ได้เชื่อมโยงแคมเปญการโจมตีกับ botnet ที่พึงถูกค้นพบชื่อว่า "Brutus" ซึ่งควบคุม IP addresses กว่า 20,000 รายการใน cloud service และ residential network

นอกจากนี้ Cisco ยังได้เปิดเผยข้อมูลว่ากลุ่ม Hacker ที่ได้รับการสนันสนุนจากรัฐบาลในชื่อ UAT4356 (หรือที่เรียกว่า STORM-1849) ได้ใช้ช่องโหว่ Zero-day ในไฟร์วอลล์ Cisco Adaptive Security Appliance (ASA) และ Firepower Threat Defense (FTD) เพื่อโจมตีเครือข่ายของรัฐบาลทั่วโลกมาตั้งแต่เดือนพฤศจิกายน 2023 ในแคมเปญการโจมตีที่ถูกติดตามในชื่อ ArcaneDoor

ที่มา : bleepingcomputer

DotRunpeX” Malware ตัวใหม่ ถูกใช้เพื่อแพร่กระจายมัลแวร์ตัวอื่นผ่านทาง Google Ad [EndUser]

นักวิจัยของ Check Point บริษัทด้านความปลอดภัยทางไซเบอร์ เปิดเผยการค้นพบ loader malware ที่มีความสามารถในการแพร่กระจายมัลแวร์ผ่านทาง Google Ad ที่มีชื่อว่า DotRunpeX

การโจมตีของ DotRunpeX Malware

นักวิจัยระบุว่า Hacker จะเริ่มต้นจากการนำเว็บไซต์อันตรายที่มีการติดตั้งโทรจันซึ่งปลอมแปลงเป็นซอฟต์แวร์ยอดนิยมต่างๆ เช่น AnyDesk และ LastPass ไปแสดงในหน้าค้นหาบน Google Ad เพื่อให้เหยื่อทำการกดลิงค์เข้าถึงเว็บดังกล่าว และดาวน์โหลด DotRunpeX ไปยังเครื่องเป้าหมาย

DotRunpeX ถูกพบครั้งแรกในเดือนตุลาคม 2022 เป็นมัลแวร์ที่สามารถแทรกคำสั่งอันตรายที่เขียนด้วย .NET โดยใช้เทคนิค Process Hollowing เพื่อแพร่กระจายมัลแวร์ประเภทต่าง ๆ เช่น Agent Tesla , Ave Maria , BitRAT , FormBook , LokiBot , NetWire , Raccoon Stealer , RedLine Stealer , Remcos , Rhadamanthys และ Vidar โดยมัลแวร์ที่อยู่ในรายการเหล่านี้ ยังมีความสามารถในการป้องกัน หรือปิดระบบป้องกันด้านความปลอดภัยอีกด้วย รวมถึง DotRunpeX ยังมีการใช้ procexp.

Check Point เผยรายงานแฮกเกอร์จีนใช้ Exploit ที่หลุดมาจากทีมของ NSA ก่อนจะมีการรั่วไหลจริง

 

Eyal Itkin และ Itay Cohen สองนักวิจัยจาก Check Point เผยแพร่งานวิจัยที่เกี่ยวข้องกับการติดตามการใช้ช่องโหว่ในการโจมตีโดยกลุ่ม APT ซึ่งนำเสนอหลักฐานใหม่ที่พิสูจน์ให้เห็นว่ากลุ่ม APT สัญชาติจีน APT31 มีการใช้โค้ดสำหรับโจมตีช่องโหว่ชุดเดียวกับที่รั่วไหลมาจากกลุ่ม Tailored Access Operation (TAO) ซึ่งเป็นแผนกหนึ่งของสำนักงานมั่นคงแห่งชาติ (National Security Agency - NSA) หรือที่รู้จักกันในอีกโฉมหน้าหนึ่งคือกลุ่ม APT "Equation Group"

 

หากย้อนกลับไปในปี 2016-2017 กลุ่มแฮกเกอร์ Shadow Brokers ซึ่งทุกวันนี้ยังไม่สามารถระบุตัวตนได้ได้มีการเปิดประมูลเครื่องมือและโค้ดสำหรับโจมตีช่องโหว่ของ Equation Group และต่อมามีการปล่อยให้ดาวน์โหลดภายใต้ชื่อแคมเปญ Lost in Translation จนเป็นที่มาของมัลแวร์ WannaCry ที่มีการใช้หนึ่งในช่องโหว่ที่รั่วไหลออกมาอย่าง EternalBlue ในการโจมตี

 

สองนักวิจัยจาก Check Point ได้ทำการวิเคราะห์ช่องโหว่ CVE-2019-0803 ซึ่งถูกระบุโดย NSA ว่าเป็นหนึ่งในช่องโหว่ที่มักถูกใช้มากที่สุดโดยกลุ่มแฮกเกอร์ หลังการวิเคราะห์ช่องโหว่ CVE-2019-0803 ทีม Check Point ได้ทำการวิเคราะห์ช่องโหว่ตัวถัดไปที่น่าสนใจคือ CVE-2017-0005

 

ช่องโหว่ CVE-2017-005 เป็นช่องโหว่ยกระดับสิทธิ์ (Privilege escalation) ใน Windows ช่องโหว่นี้ถูกใช้โดยกลุ่มแฮกเกอร์ APT31 หรือที่รู้จักกันในชื่อ Zirconium ประวัติของช่องโหว่นี้มีมาอย่างยาวนาน มันถูกแจ้งไปยังไมโครซอฟต์ครั้งแรกโดยทีม IR ของ Lockheed Martin ในปี 2017 หลังจากถูกใช้มาแล้วตั้งแต่ปี 2013 การวิเคราะห์ช่องโหว่ของทีม Check Point บ่งบอกถึงความเหมือนกันของโค้ดที่แฮกเกอร์จีนใช้ และโค้ดที่หลุดออกมาจากฝั่ง NSA จากสหรัฐฯ อย่างชัดเจน

 

เมื่อช่องโหว่ในระดับเดียวกัน Cyberweapon มีการถูกใช้งานก่อนจะมีการรั่วไหลออกมา แน่นอนว่าสมมติฐานหลายอย่างก็เกิดขึ้นต่อความเป็นไปได้ในเหตุการณ์นี้ ทีม Check Point ได้สรุปสมมติฐานและความเป็นไปได้ของเหตุการณ์ที่เกิดขึ้นออกมาได้ 3 ลักษณะ คือ

 

1. ฝั่งอเมริกาอาจทำการโจมตีต่อเป้าหมายในจีน และทำโค้ดสำหรับโจมตีช่องโหว่หลุด

2. ฝั่งอเมริกาอาจทำการโจมตีเป้าหมายในประเทศหรือองค์กรอื่นซึ่งถูกเฝ้าระวังหรือมอนิเตอร์โดยกลุ่มจากฝั่งจีน ทำให้จีนสามารถเก็บโค้ดการโจมตีไปได้

3. โค้ดสำหรับโจมตีหลุดมาจาก Infrastructure ของฝั่งอเมริกาเอง ซึ่งอาจเกิดขึ้นจากฝ่ายจีนโจมตีเข้าไป หรือฝั่งอเมริกาดูแลโค้ดไม่ดี

 

เหตุการณ์ในลักษณะนี้ไม่ใช่เหตุการณ์แรกที่เคยเกิดขึ้น ในอดีต Symantec เคยตรวจพบการใช้ช่องโหว่ Zero day เดียวกับ Equation Group มาแล้วโดยกลุ่ม APT3 โดยข้อสรุปสำหรับเหตุการณ์ในขณะนั้นซึ่งมีโอกาสเป็นไปได้มากที่สุดคือการที่กลุ่ม APT3 ทำการศึกษา Network traffic ที่เกิดจากการโจมตี ก่อนจะประกอบร่างกลับมาเป็นโค้ดสำหรับโจมตี

 

งานวิจัยหลัก: checkpoint

 

ที่มา: theregister, threatpost, zdnet

Ryuk ransomware is the top threat for the healthcare sector

Ryuk ransomware เป็นภัยคุกคามอันดับต้นๆ สำหรับโรงพยาบาลและผู้ให้บริการด้านการดูแลสุขภาพ

สำนักงานความปลอดภัยทางไซเบอร์และโครงสร้างพื้นฐานของสหรัฐฯ (Cybersecurity and Infrastructure Security Agency - CISA), สำนักงานสอบสวนกลาง (Federal Bureau of Investigation - FBI) และกระทรวงสาธารณสุข (Department of Health and Human Services - HHS) ได้ออกเตือนถึงภัยคุกคามทางไซเบอร์ที่ใช้ประโยชน์จากการระบาดจากโรค COVID-19 พุ่งเป้าหมายโจมตีไปยังโรงพยาบาลและผู้ให้บริการด้านการดูแลสุขภาพ โดยคำแนะนำดังกล่าวมีวัตถุประสงค์เพื่อเตรียมองค์กรสำหรับการโจมตีด้วย Ryuk และ Conti แรนซัมแวร์ ซึ่งมีกลยุทธ์เทคนิคและขั้นตอน (Tactics, techniques, and procedures - TTP) เฉพาะสำหรับเหตุการณ์ที่เกิดขึ้นกับมัลแวร์สายพันธุ์เหล่านี้

สอดคล้องกับรายงานจาก Check Point บริษัทด้านความปลอดภัยทางไซเบอร์ที่พบว่ามีการโจมตีเพิ่มขึ้น 45% ในองค์กรด้านการดูแลสุขภาพทั่วโลกและมีการพุ่งสูงขึ้นมากกว่าสองเท่าของเหตุการณ์ที่เกิดขึ้นในภาคอุตสาหกรรมอื่นๆ ทั้งหมดในช่วงเวลาเดียวกัน โดยภัยคุกคามหลักการโจมตีหน่วยงานด้านการดูแลสุขภาพคือ Ryuk ตามด้วย REvil (Sodinokibi) แรนซัมแวร์

ตามข้อมูลที่ Check Point รวบรวมไว้พบว่าการโจมตีทางอินเทอร์เน็ตส่วนใหญ่ในช่วงสองเดือนที่ผ่านมาได้โจมตีองค์กรด้านการดูแลสุขภาพในยุโรปกลางโดยอัตราการการโจมตีพุ่งขึ้นถึงเกือบ 150% ในเดือนพฤศจิกายน สำหรับในเอเชียและตะวันออกพบการโจมตีเพิ่มขึ้น 137% ในโซนละตินอเมริกามีการเติบโต 112% สำหรับยุโรปและอเมริกาเหนือมีตัวเลขเพิ่มขึ้นน้อยที่สุดคือ 67% และ 37% ตามลำดับ

ด้วยจำนวนผู้ติดเชื้อ COVID-19 ที่เพิ่มสูงขึ้นทำให้ภัยคุกคามทางอินเทอร์เน็ตจึงมีแนวโน้มที่จะโจมตีองค์กรด้านการแพทย์ การอัปเดตระบบความปลอดภัยด้วยการแพตช์ซอฟต์แวร์ให้เป็นเวอร์ล่าสุด การตรวจสอบเครือข่ายสำหรับการเข้าถึงโดยไม่ได้รับอนุญาตและการให้ความรู้แก่พนักงานในองค์กร การระบุความพยายามของฟิชชิงเป็นวิธีที่ดีในการป้องกันการโจมตีจากผู้คุกคาม

ที่มา: bleepingcomputer

ช่องโหว่ในไลบรารียอดนิยม Play Core ทำให้ผู้ใช้ Android มีความเสี่ยงจากการถูกขโมยข้อมูลที่มีความสำคัญ

นักวิจัยด้านความปลอดภัยจาก Check Point ได้เปิดเผยถึงช่องโหว่ในไลบรารี Play Core ซึ่งเป็นไลบรารีของ Android ยอดนิยมที่ช่วยให้นักพัฒนาสามารถจัดการโมดูลและฟีเจอร์ใหม่ได้อย่างมีประสิทธิภาพ โมดูลนี้ถูกใช้ในแอปพลิเคชันยอดนิยมมากมายรวมถึง Grindr, Bumble, OkCupid, Cisco Teams, Moovit, Yango Pro, Microsoft Edge, Xrecorder และ PowerDirector ด้วยช่องโหว่จากไลบรารีนี้จะทำให้ผู้ใช้ Android ตกอยู่ในความเสี่ยงต่อการถูกขโมยข้อมูลที่ละเอียดอ่อน เช่น อีเมล และรหัสผ่านที่ใช้ทางการเงิน เป็นต้น

ช่องโหว่ถูกติดตามด้วยรหัส CVE-2020-8913 (CVSSv3: 8.8/10) จะส่งผลกระทบกับ Android ไลบรารี Play Core เวอร์ชันก่อน 1.7.2. โดยผู้ประสงค์ร้ายสามารถใช้ประโยชน์จากช่องโหว่เพื่อโหลดและรันโค้ดที่เป็นอันตราย (เช่นไฟล์ APK) ไปยังแอปที่เป็นเป้าหมาย และส่งผลให้ผู้โจมตีสามารถขโมยรายละเอียดการเข้าสู่ระบบ, รหัสผ่าน, SMS ยืนยันที่มีโค้ด 2FA, รายละเอียดทางการเงินและข้อมูลที่ละเอียดอ่อนอื่น ๆ ของผู้ใช้

นักวิจัยยังกล่าวอีกว่าในปัจจุบันพบว่าแอปพลิเคชันบน Google Play จำนวน 13% ที่มีความเสี่ยงและจากข้อมูลการวิเคราะห์ในเดือนกันยายน 2020 ที่ผ่านมาพบว่า 8% ของแอปเหล่านั้นมีเวอร์ชันของไลบรารีที่มีช่องโหว่

หลังจากเปิดเผยรายงานผู้พัฒนาแอปพลิเคชันบางรายได้เริ่มทยอยการอัปเดตแอปพลิเคชันแล้ว ทั้งนี้ผู้ใช้ Android ควรทำการอัปเดตแอปพลิเคชันที่ใช้งานให้เป็นเวอร์ชันล่าสุดอยู่เสมอเพื่อป้องกันการตกเป็นเหยื่อจากผู้ประสงค์ร้ายใช้ประโยชน์จากช่องโหว่ทำการโจมตี

ที่มา: thehackernews | bankinfosecurity

This Asia-Pacific Cyber Espionage Campaign Went Undetected for 5 Years

แคมเปญจารกรรม “Aria-body” ทำการจารกรรมลับ ๆ ในประเทศเอเชียแปซิฟิกเป็นเวลา 5 ปีโดยไม่ถูกตรวจพบ

จากรายงานการสอบสวนของนักวิจัยจาก Check Point ได้ได้รายงานว่ากลุ่ม Naikon APT ซึ่งเป็นกลุ่มแฮกเกอร์จีนนั้นอยู่เบื้องหลังแคมเปญจารกรรมไซเบอร์โดยมีเป้าหมายทำการจารกรรมข้อมูลหน่วยงานของรัฐบาลในประเทศออสเตรเลีย, อินโดนีเซีย, ฟิลิปปินส์, เวียดนาม, ไทย, พม่าและบรูไน จากการยืนยัน Check Point พบว่าการทำการจารกรรมนี้ได้ทำการอย่างลับ ๆ และไม่ถูกตรวจพบเป็นเวลาอย่างน้อย 5 ปี

Check Point ได้กล่าวอีกว่าช่วง 5 ปีที่ผ่านมานั้นกลุ่ม Naikon APT ได้ใช้แบ็คดอร์ที่ชื่อว่า "Aria-body" ทำการจารกรรมข้อมูลและใช้ควบคุมเครือข่ายภายในขององค์กรที่ตกเป็นเป้าหมาย

Check Point ระบุว่า “Aria-body” เป็นแบ็คดอร์ที่มีความซับซ้อนซึ่งตัวมันมีสามารถค้นหาและรวบรวมเอกสารเฉพาะจากระบบของเครือข่ายที่ถูกบุกรุก ในระยะแรกมัลแวร์จะแสกนไฟล์บนเครื่องเพื่อรวบรวมข้อมูลของคอมพิวเตอร์ที่ติดไวรัสเครือข่าย จากนั้นมัลแวร์จะทำการขโมยข้อมูลเช่นถ่ายรูป, screenshots, ข้อมูลต่าง และทำการ keylogger เป้าหมายจากนั้นทำการส่งกลับไปหาเซิพเวอร์ C2 ของกลุ่ม Naikon APT

ทั้งนี้ผู้ใช้งานทั่วไปหรือผู้ดูแลระบบควรทำการระมัดระวังในการใช้งานอินเตอร์เน็ต ไม่โหลดไฟล์หรือเข้าเว็บไซต์ที่ไม่รู้จักเพื่อลดความเสี่ยงจากการติดมัลแวร์ ในส่วนของข้อมูล IOC ที่เกี่ยวข้องกับปฏิบัติการสามารถดูเพิ่มเติมได้จากแหล่งที่มาข่าว

ที่มา: thehackernews

Ryuk Ransomware Crew Makes $640,000 in Recent Activity Surge

นักวิจัยด้านความปลอดภัยจาก Malware Hunter ค้นพบ Ransomware ตัวใหม่ชื่อ Ryuk โดยสามารถทำรายได้ถึง 640,000 เหรียญ

จากการตรวจสอบนักวิจัยยังไม่สามารถยืนยันได้ว่า Ransomware ดังกล่าวแพร่กระจายหรือติดอย่างไร แต่คาดการณ์ว่า Ryuk Ransomware จะทำการโจมตีแบบมีการกำหนดเป้าหมาย(targeted attack) อาจจะผ่านทาง Spear-phishing email หรือ Internet-exposed และการเชื่อมต่อผ่าน Remote Desktop Protocol (RDP) ที่ไม่ปลอดภัย และทำการเข้ารหัสไฟล์พร้อมเรียกค่าไถ่เป็นสกุลเงิน Bitcoin

ทางด้านนักวิจัยของ Check Point คาดว่าผู้พัฒนา Ryuk Ransomware อาจเป็นผู้พัฒนาคนเดียวกันกับที่พัฒนา Hermes ransomware หรืออาจมีคนที่สามารถเข้าถึงซอร์สโค้ดของ Hermes ransomware ได้ เนื่องจากการตรวจสอบซอร์สโค้ดส่วนใหญ่ที่ Ransomware ทั้งสองตัวใช้มีความเหมือนกันอยู่ เช่น

- ฟังก์ชันที่เข้ารหัสไฟล์มีความคล้ายคลึงกัน
- Ryuk และ Hermes มีการใช้ตัวแปร file marker ในการเข้ารหัสไฟล์
- มีการตรวจสอบตัวแปร marker เหมือนกัน
- มีโฟลเดอร์ Whitelist ที่เหมือนกัน (เช่น "Ahnlab", "Microsoft", "$ Recycle.

New adware attack bombard phones & prevent users from disabling ads

นักวิจัยจาก Check Point พบ Adware ตัวใหม่ที่เรียกว่า LightsOut ในแอพพลิเคชั่นอย่างน้อย 22 รายการ บน Google Play Store ขณะนี้แอพพลิเคชั่นเหล่านี้ถูกนำออกไปเรียบร้อยแล้ว แต่พบว่ามีการดาวน์โหลดไปแล้วอย่างน้อย 1.5 ล้านครั้ง

แอพพลิเคชั่นเหล่านี้จะมีการฝังสคริปท์ที่เป็นอันตราย เมื่อมีความพยายามที่จะกำหนดค่าเพื่อให้หยุดการแสดงโฆษณาดังกล่าว จะทำให้สคริปท์ที่ฝังไว้ทำงาน และไอคอนของแอพพลิเคชั่นจะถูกซ่อนไว้เพื่อป้องกันการถูกลบจากอุปกรณ์ นักวิจัยของ Check Point ได้มีวิดีโอเพื่อแสดงให้เห็นถึงวิธีการต่างๆที่ทำให้มัลแวร์ตัวนี้เปิดโฆษณาขึ้นมาบนมือถือ เช่น หลังจากวางสาย, การปลดล็อกหน้าจอ, การชาร์จ หรือการเปิดใช้งาน Wi-Fi

Check Point ได้มีการเปิดเผยมัลแวร์ตัวนี้ผ่านบล็อกของตัวเองเมื่อวันที่ 5 มกราคม และแนะนำให้เลือกดาวน์โหลดแอพพลิเคชันที่น่าเชื่อถือเท่านั้น รวมถึงแนะนำให้ติดตั้งซอฟต์แวร์ป้องกันไวรัสบนมือถือ

ที่มา : hackread

พบช่องโหว่ Quadrooter ในชิป Qualcomm Snapdragon มือถือ Android

นักวิจัยด้านความมั่นคงปลอดภัยจากบริษัท Check Point ได้รายงานช่องโหว่ในชิปของ Qualcomm ซึ่งเป็นผู้ผลิตชิปสำหรับโทรศัพท์มือถือ/แท็บเล็ตที่ได้รับความนิยม โดยช่องโหว่ที่พบนี้ ส่งผลให้อุปกรณ์ Android ที่ใช้งานชิปของ Qualcomm (ซีพียู Snapdragon) สามารถถูก root เครื่องได้หากติดตั้งแอปพลิเคชันอันตราย

ปัญหาของช่องโหว่ที่พบนี้คือแอปพลิเคชันใน Android สามารถเจาะผ่านช่องโหว่ของชิปได้โดยไม่จำเป็นต้องขอสิทธิ์ (Permission) จากระบบปฏิบัติการ นั่นทำให้การตรวจสอบสิทธิ์ก่อนติดตั้งแอปพลิเคชันนั้นไม่สามารถช่วยแยกแยะได้ว่าเป็นแอปพลิเคชันอันตรายหรือไม่

ช่องโหว่ที่นักวิจัยค้นพบมีทั้งหมด 4 จุด ทาง Qualcomm แจ้งว่าได้ประสานงานกับทาง Google เพื่อออกแพตช์แก้ไขช่องโหว่ไปกับแพตช์ของระบบปฏิบัติการ Android แล้ว โดยใน Android ที่อัปเดตแพตช์ความมั่นคงปลอดภัยประจำเดือนสิงหาคม 2559 จะได้รับการแก้ไขช่องโหว่ไปแล้ว 3 จุด ส่วนช่องโหว่อีก 1 จุดที่เหลือจะถูกแก้ไขในอัปเดตประจำเดือนกันยายน 2559 รายการของบางส่วนของอุปกรณ์ได้รับผลกระทบ Samsung Galaxy S7 and Samsung S7 Edge, Sony Xperia Z Ultra, OnePlus One, OnePlus 2 and OnePlus 3, Google Nexus 5X, Nexus 6 and Nexus 6P, Blackphone 1 and Blackphone 2, HTC One, HTC M9 and HTC 10, LG G4, LG G5, and LG V10, New Moto X by Motorola, BlackBerry Priv

ที่มา: thehackernews