CISA แจ้งเตือนช่องโหว่ระดับ Critical ของ Palo Alto Networks ที่กำลังถูกนำไปใช้ในการโจมตี

CISA แจ้งเตือนการพบ Hacker กำลังใช้ช่องโหว่การตรวจสอบสิทธิ์ใน Palo Alto Networks Expedition ซึ่งเป็น migration tool ที่สามารถช่วยแปลง configuration ไฟร์วอลล์จาก Checkpoint, Cisco และผู้ให้บริการรายอื่นให้สามารถใช้ได้กับ PAN-OS (more…)

พบกลุ่มแฮกเกอร์จากประเทศจีนมุ่งเป้าโจมตีกลุ่มแฮกเกอร์มือใหม่ ด้วย info-stealer trojan

ผู้เชี่ยวชาญจาก CheckPoint ได้ค้นพบแคมเปญใหม่ที่เกิดจากกลุ่มแฮ็คเกอร์ที่ชื่อ Tropic Trooper จากประเทศจีน โดยใช้มัลแวร์ Nimbda และ Yahoyah Trojan ในการโจมตี

Trojan นี้อยู่ใน Tool ที่ชื่อ 'SMS Bomber' ซึ่งใช้สำหรับการโจมตีแบบปฏิเสธการให้บริการ (DoS) บนโทรศัพท์ โดยทำการส่ง SMS ไปจำนวนมาก ซึ่งส่วนใหญ่เครื่องมือนี้จะถูกใช้งานโดยแฮกเกอร์มือใหม่
ลักษณะการโจมตี
เมื่อเป้าหมายทำการดาวน์โหลด SMS Bomber ซึ่งปกติไฟล์ Install จะมีฟังก์ชันตามมาตรฐานทั่วไป แต่ในครั้งนี้ผู้โจมตีได้เพิ่มโค้ดที่จะถูก inject เข้าไปยัง process notepad.

อัปเดตสถานการณ์ SolarWinds ส่งท้ายเดือนมกราคม 2021

Symantec ประกาศการค้นพบมัลแวร์ตัวที่ 4 ซึ่งเกี่ยวข้องกับ TEARDROP โดยมัลแวร์ตัวที่ 4 นั้นถูกเรียกว่า RAINDROP โดยมีจุดประสงค์ในการโหลดโค้ดมัลแวร์อื่น ๆ มาใช้งานในระบบที่ถูกโจมตีและยึดครองแล้ว
FireEye ออกรายงาน Remediation and Hardening Strategies for Microsoft 365 to Defend Against UNC2452 ซึ่งอธิบายสรุปพฤติกรรมของผู้โจมตีและแนวทางในการเพิ่มความปลอดภัยให้กับ Microsoft 365 อ้างอิงจากพฤติกรรมของผู้โจมตีเพิ่มเติม รวมไปถึงชุดสคริปต์ Mandiant Azure AD Investigator สำหรับการตรวจสอบตามรายงานด้วย
Microsoft 365 Defender Research Team ออกรายงานการวิเคราะห์ส่วนการโจมตีที่สองซึ่งเป็นพฤติกรรมในช่วงที่ผู้โจมตีเข้าถึงระบบเป้าหมายผ่านมัลแวร์ SUNBURST และส่วนที่มีการติดตั้งมัลแวร์ TEARDROP, RAINDROP และมัลแวร์อื่น ๆ เพื่อใช้ทำ Lateral movement อ่านข้อมูลเพิ่มเติมในส่วนนี้ได้ที่ส่วน Attack Techniques
US-CERT ออกรายงาน Malware Analysis Report รหัส AR21-027A ซึ่งเป็นรายละเอียดเกี่ยวกับมัลแวร์ SUPERNOVA
CheckPoint ออกรายงานการจำลองพฤติกรรมของผู้โจมตีในส่วนของการ Lateral movement จากระบบแบบ On-premise ไปยังระบบคลาวด์ Microsoft 365
ตกเป็นเป้าหมาย+เหยื่อใหม่: MalwareBytes, Qualys, Mimecast, Fidelis, Texas IT และอีกกว่า 32% จาก 2,000 โดเมน C&C ในกลุ่มอุตสาหกรรม

อ่านเพิ่มเติม: i-secure

แจ้งเตือนช่องโหว่แบบ Logical ในผลิตภัณฑ์ Antivirus หลายรายการ นำไปใช้ยกระดับสิทธิ์และข้ามผ่านกระบวนการจัดการสิทธิ์ได้

Eran Shimony จาก CyberArk อออกมาเปิดเผยถึงการค้นพบช่องโหว่ในผลิตภัณฑ์ Antivirus กว่า 15 ช่องโหว่ กระทบผลิตภัณฑ์ของ Kaspersky, McAfee, Symantec, Fortinet, CheckPoint, Trend Micro, Avira และ Microsoft Defender ช่องโหว่ทั้งหมดเป็นลักษณะของช่องโหว่แบบ logical หรือหมายถึงช่องโหว่ในเรื่องของการจัดการที่ไม่เหมาะสม ทำให้ผู้โจมตีสามารถใช้ประโยชน์จากปัญหาดังกล่าวในการโจมตีได้

Eran อธิบายถึงที่มาของช่องโหว่เอาไว้ในบล็อกของ CyberArk ช่องโหว่บางส่วนเกิดจากการจัดการสิทธิ์ที่ไม่เหมาะสมเมื่อมีการเขียนข้อมูลลงในพาธ C:\ProgramData รวมไปถึงการไม่ตรวจสอบและแก้ไขสิทธิ์ของไดเรกทอรีหรือไฟล์ที่โปรแกรม Antivirus ที่มีสิทธิ์สูงจะเข้าไปยุ่งเกี่ยวด้วยอย่างเหมาะสม แฮกเกอร์ซึ่งทราบเงื่อนไขของการโจมตีสามารถสร้างเงื่อนไขเพื่อให้โปรแกรม Antivirus ซึ่งมีสิทธิ์สูงอยู่แล้วเข้าไปแก้ไขไฟล์อื่น ๆ ในระบบ หรือลบไฟล์อื่น ๆ ในระบบได้

นอกเหนือจากเรื่องสิทธิ์ที่เกี่ยวกับพาธ C:\ProgramData แล้ว Eran ยังมีการระบุถึงช่องโหว่ DLL injection ในซอฟต์แวร์ Installer ยอดนิยมที่มักถูกใช้โดยผู้พัฒนาโปรแกรมป้องกันมัลแวร์ อาทิ InstallShield, InnoSetup, NsisInstaller และ Wix installer ด้วย

ช่องโหว่ดังกล่าวได้รับการแจ้งและแพตช์โดยผู้พัฒนาโปรแกรมป้องกันมัลแวร์แล้ว ขอให้ผู้ใช้งานทำการติดตามแพตช์และทำการอัปเดตเพื่อลดความเสี่ยงที่จะถูกโจมตีโดยใช้ช่องโหว่นี้โดยทันที

ที่มา : thehackernews

Huawei Routers Exploited to Create New Botnet

พบช่องโหว่ Zero-Day ใน Home router ของ Huawei HG532 โดย Payload ที่ถูกส่งไปนั้นถูกระบุว่าเป็นของ Botnet ตัวใหม่ที่ถูกเรียกว่า OKIRU หรือ SATORI นั่นเอง ซึ่งตรงกับข้อสันนิษฐานจาก Check Point ที่ได้ออกมาให้รายละเอียดไปก่อนหน้านี้เมื่อช่วงต้นเดือนที่ผ่านมา และเชื่อว่าผู้ที่อยู่เบื้องหลังการโจมตีนี้คือผู้ที่ใช้นามแฝงว่า 'Nexus Zeta'

เมื่อวันที่ 23 พฤศจิกายน Check Point ได้รับการแจ้งเตือนจาก Honey-pots ว่ามีการพบพฤติกรรมที่ผิดปกติ
จึงได้ทำการตรวจสอบเพิ่มเติม และได้พบว่ามีการโจมตีโดยใช้ช่องโหว่ที่ไม่รู้จัก(zero-day) ในอุปกรณ์ Huawei HG532 จุดมุ่งหมายคือการปล่อย Botnet รูปแบบใหม่ ซึ่งเชื่อว่าน่าจะเป็น Mirai botnet ชนิดใหม่ เนื่องจาก Huawei เลือกที่จะใช้งานบน Universal Plug and Play (UPnP) โปรโตคอล ที่อ้างอิงจากรายงานมาตรฐาน TR-064 โดยจุดประสงค์เพื่อต้องการให้อุปกรณ์ของตนเองสามารถใช้งานได้ง่ายขึ้น แต่นักวิจัยจาก Check Point พบว่าการใช้งานบนมาตรฐาน TR-064 ในอุปกรณ์ Huawei นั้น ส่งผลทำให้ผู้บุกรุกสามารถส่งคำสั่งใด ๆ มารันบนอุปกรณ์ได้ ซึ่งในกรณีนี้คือมัลแวร์ OKIRU หรือ SATORI นั่นเอง

หลังจากการโจมตีนี้ได้รับการยืนยันไม่นาน ก็ได้มีการแจ้งไปยัง Huawei เพื่อจัดการกับการแพร่กระจายที่เกิดขึ้นนี้ และทีมด้านความปลอดภัยของ Huawei ซึ่งทำงานได้อย่างรวดเร็วมาก ก็ได้ออก Patch สำหรับอุดช่องโหว่ดังกล่าวออกมาไม่นานนักหลังจากนั้น ในเวลาเดียวกันทีมพัฒนาผลิตภัณฑ์ของ Check Point เองก็ได้พัฒนาและออกการป้องกันบน IPS ให้กับลูกค้าของตนเองโดยทันที

ที่มา : checkpoint

Apple Revokes Certificate Used By OSX/Dok Malware

หลังจากอาทิตย์ที่ผ่านมา ทาง Checkpoint ได้มีการออกเอกสารการค้นพบ malware ที่ชื่อว่า OSX/Dok ซึ่งมีการใช้งาน certificate developer ของทาง Apple อย่างถูกต้อง เป็นปัจจัยหนึ่งที่ทำให้ Antivirus ตรวจจับ malware ตัวนี้ไม่พบ ล่าสุดทาง Apple ได้ยกเลิก (Revoke) certificate นั้นๆแล้ว
Apple ได้ยกเลิก certificate ที่ถูกนำไปใช้ signed ให้กับ malware ดังกล่าวแล้ว โดยกระทำผ่านการ update XProtect ซึ่งเป็น antimalware software เพื่อหยุดการแพร่กระจายของ malware Dok ทั้งในเครื่องที่พบอยู่แล้วและเครื่องที่กำลังจะเจอ

Malware ดังกล่าวเมื่อติดตั้งได้สำเร็จแล้ว จะหลอกล่อ user ให้ทำการกรอกรหัสผ่านผ่าน popup แจ้งเตือนปลอม จากนั้นจะใช้สิทธิ์ administrator ในการติดตั้ง brew เพื่อติดตั้ง package อื่นๆเพิ่มเติม ทั้ง TOR และ SOCAT จากนั้นจะกำหนดให้ traffic ของ User ผ่าน Proxy ของ Hacker อีกทั้งยังมีการติดตั้ง root certificate เพื่อให้สามารถกระทำการ man-in-the-middle บนเครื่องเหยื่อได้ ทำให้สามารถ Hacker สามารถดู traffic ได้ทั้งหมด ไม่ว่าจะเข้ารหัสหรือไม่เข้ารหัสก็ตาม

ที่มา: threatpost

200 Million WhatsApp Users Vulnerable to vCard Vulnerability

พบช่องโหว่ที่อันตรายใน WhatsApp เวอร์ชั่น Web มีผู้ใช้งานมากกว่า 200 ล้านคนที่ตกอยู่ในความเสี่ยง
Kasif Dekel นักวิจัยด้านความปลอดภัยจาก Check Point พบช่องโหว่ของ WhatsApp vCard ที่ทำให้ผู้ไม่ประสงค์ดีสามารถโจมตี สามารถทำให้ผู้ใช้งานดาวน์โหลดมัลแวร์หรือ ransomware เข้าไปในคอมพิวเตอร์ได้ทันที

นอกจากนี้ ช่องโหว่สามารถทำได้ง่ายเพียงแค่สร้าง .Bat ไฟล์และส่งข้อความไปให้เพื่อนหรือผู้ใช้คนอื่นๆ เมื่อผู้ใช้คลิ๊กเปิดไฟล์ ก็จะรันมัลแวร์หรือโค้ดอันตรายซึ่งอาจส่งผลกระทบโดยตรง เช่น เครื่องถูกยึดอย่างสมบูรณ์, ถูก Monitor การใช้งานต่างๆ, ใช้เครื่องเหยื่อเพื่อแพร่กระจายไวรัส เป็นต้น

ทีมด้านความปลอดภัยของ WhatsApp ได้อัพเดทเพื่อแก้ไขช่องโหว่นี้ใน Web Client แล้ว ซึ่งช่องโหว่นี้จะกระทบกับผู้ใช้ WhatsApp เวอร์ชั่นก่อน V0.1.4481

ที่มา : thehackernews