US shares info on Russian malware used to target parliaments, embassies

หน่วย US Cyber Command เผยแพร่ข้อมูลแบ็คดอร์ซึ่งถูกใช้โดยรัสเซีย พุ่งเป้าหน่วยงานราชการในหลายประเทศ

หน่วย US Cyber Command เผยแพร่ข้อมูลแบ็คดอร์ที่ถูกใช้โดยกลุ่มแฮกเกอร์ Turla และ APT28 ซึ่งเชื่อว่ามีรัฐบาลรัสเซียหนุนหลังปฏิบัติการ กลุ่ม Turla พุ่งเป้าหน่วยงานราชการในหลายประเทศ โดยมีประวัติการโจมตีกองบัญชาการกลางของกองทัพสหรัฐฯ, กระทรวงกลาโหมและองค์การนาซ่าด้วย

ข้อมูลของมัลแวร์ที่เผยแพร่ออกมานั้นมีสองส่วน ส่วนแรกเป็นสคริปต์ซึ่งเกี่ยวข้องกับมัลแวร์ ComRAT ในลักษณะของสคริปต์ PowerShell (https://us-cert.

CISA ออกประกาศแจ้งเตือนกลุ่มแฮกเกอร์เกาหลีเหนือ Kimsuky พร้อมรายละเอียดพฤติกรรมและมัลแวร์

CISA ออกประกาศรหัส AA20-301A เมื่อวันที่ 27 ที่ผ่านมาโดยมีเนื้อหาสำคัญถึงการพูดถึงพฤติกรรมและความเคลื่อนไหวของกลุ่มแฮกเกอร์สัญชาติเกาหลีเหนือ Kimsuky ซึ่งมีเป้าหมายการโจมตีอยู่ทั่วโลก

จากรายงานที่เผยแพร่ออกมา กลุ่ม Kimsuky เริ่มการเคลื่อนไหวตั้งแต่ปี 2012 โดยถูกควบคุมและสั่งการจากรัฐบาลเกาหลีเพื่อการสืบหาข่าวกรอง เป้าหมายของการโจมตีโดยส่วนใหญ่เป็นบุคคลและองค์กรในเกาหลีใต้ ญี่ปุ่นและสหรัฐอเมริกา พฤติกรรมของกลุ่มไม่มีความแตกต่างเท่าใดนักหากเทียบกับแฮกเกอร์กลุ่มอื่น โดย Kimsuky จะโจมตีเป้าหมายโดยวิธีการแบบ Social engineering และ Watering hole ก่อนจะเข้าถึงและเคลื่อนย้ายตัวเองในเครือข่ายของเป้าหมาย เมื่อถึงจุดหนึ่ง กลุ่ม Kimsuky จะรวบรวมข้อมูลและลักลอบส่งออกมาทั้งทางอีเมลหรือติดต่อไปยัง C&C

CISA มีการระบุถึงพฤติกรรมเชิงลึกของกลุ่มพร้อมกับ TTP และ IOC ข้อมูลเพื่อช่วยในลดความเสี่ยงที่จะถูกโจมตีเหล่านี้สามารถดูเพิ่มเติมได้จากแหล่งที่มา

ที่มา: us-cert.

CISA เเจ้งเตือนถึงมัลแวร์ LokiBot ที่ถูกพบว่ามีการเเพร่กระจายเพิ่มขึ้นอย่างมากในช่อง 3 เดือนที่ผ่านมา

หน่วยงานรักษาความปลอดภัยทางไซเบอร์และโครงสร้างพื้นฐานของสหรัฐอเมริกา (Cybersecurity and Infrastructure Security Agency - CISA) ได้ออกเเจ้งเตือนถึงการตรวจพบกิจกรรมที่เพิ่มขึ้นของมัลแวร์ LokiBot ตั้งแต่เดือนกรกฎาคม 2020 จากระบบตรวจจับการบุกรุก EINSTEIN ของ CISA

LokiBot หรือที่เรียกว่า Lokibot, Loki PWS และ Loki-bot เป็นมัลแวร์โทรจันที่ถูกใช้เพื่อขโมยข้อมูลที่ละเอียดอ่อนเช่น ชื่อผู้ใช้, รหัสผ่าน, Cryptocurrency wallet และ Credential อื่นๆ โดยเมื่อเหยื่อติดมัลแวร์แล้วมัลแวร์จะทำการค้นหาแอปที่ติดตั้งในเครื่องและแยกข้อมูล Credential จากฐานข้อมูลภายในและทำการส่งข้อมูลที่ค้บพบกลับมาที่เซิฟเวอร์ C&C ของเเฮกเกอร์ นอกจากนี้ LokiBot ได้ทำการพัฒนาขึ้นเพื่อทำให้สามารถ keylogger แบบเรียลไทม์เพื่อจับการกดแป้นพิมพ์และขโมยรหัสผ่านสำหรับบัญชีที่ไม่ได้เก็บไว้ในฐานข้อมูลภายในของเบราว์เซอร์และยังมีความสามารถ Desktop screenshot เพื่อทำการบันทึกเอกสารที่ถูกเปิดบนคอมพิวเตอร์ของเหยื่อ

LokiBot นอกจากจะถูกใช้เพื่อในการขโมยข้อมูลแล้วตัวบอทยังทำหน้าที่เป็นแบ็คดอร์ทำให้แฮกเกอร์สามารถเรียกใช้มัลแวร์อื่นๆ บนโฮสต์ที่ติดไวรัสและอาจทำให้การโจมตีเพิ่มขึ้น

ผู้ใช้งานอินเตอร์เน็ตควรทำการระมัดระวังในการใช้งานไม่ควรทำการดาวน์โหลดไฟล์จากเเหล่งที่มาที่ไม่เเน่ชัดหรือเข้าคลิกเข้าเว็บไซต์ที่ไม่รู้จัก นอกจากนี้ผู้ใช้ควรทำการใช้ซอฟเเวร์ป้องกันไวรัสและทำการอัปเดต Signature อยู่เสมอเพื่อเป็นการป้องกันไม่ให้ตกเป็นเหยื่อของมัลแวร์ ทั้งนี้ผู้ที่สนใจรายละเอียด IOC สามารถดูได้ที่ : CISA

ที่มา : ZDnet

Alert (AA20-259A) Iran-Based Threat Actor Exploits VPN Vulnerabilities

CISA ออกแจ้งเตือนการโจมตีจากกลุ่มแฮกเกอร์อิหร่านที่ใช้ประโยชน์จากช่องโหว่ของ VPN ทำการโจมตีเครือข่าย

หน่วยงาน Cybersecurity and Infrastructure Security Agency (CISA) ได้ออกประกาศเเจ้งเตือนภัยรหัส AA20-259A ถึงกลุ่มแฮกเกอร์อิหร่านหรือที่รู้จักกันในชื่อ Pioneer Kitten และ UNC757 กำลังใช้ประโยชน์จากช่องโหว่ของ VPN ทำการโจมตีเครือข่าย โดยเเฮกเกอร์กลุ่มนี้ได้กำหนดเป้าหมายการโจมตีไปยังกลุ่มอุตสาหกรรมต่างๆ ที่เกี่ยวข้องกับเทคโนโลยีสารสนเทศ, หน่วยงานของรัฐบาล, หน่วยงานการดูแลสุขภาพ, การเงิน, การประกันภัยและภาคสื่อทั่วสหรัฐอเมริกา

สำหรับการบุกรุกเครือข่ายนั้นกลุ่มเเฮกเกอร์จะทำการสแกนจำนวนมากและใช้เครื่องมือเช่น Nmap เพื่อทำการสำรวจและระบุพอร์ตที่เปิดอยู่จากนั้นจะใช้ช่องโหว่ที่เกี่ยงข้องกับ VPN ที่ถูกเปิดเผยแล้วเช่น CVE-2019-11510 (Pulse Secure VPN), CVE-2019-11539 (Pulse Secure VPN), CVE-2019-19781 (Citrix VPN Appliance) และ CVE-2020-5902 (F5 Big-IP) ทำการโจมตี ซึ่งหลังจากทำการบุกรุกได้แล้วกลุ่มเเฮกเกอร์จะทำการยกระดับสิทธิเป็นผู้ดูแลระบบและจะทำการติดตั้ง web shell ในเครื่องเป้าหมายเพื่อหาประโยชน์ต่างๆ จากเซิฟเวอร์ที่ทำการบุกรุก

นอกจากนี้ CISA และ FBI ได้สังเกตเห็นว่ากลุ่มเเฮกเกอร์ใช้ประโยชน์จากเครื่องมือโอเพ่นซอร์สเช่น ngrok, Fast Reverse Proxy (FRP), Lightweight Directory Access Protocol (LDAP) directory browser และ web shells เช่น ChunkyTuna, Tiny และ China Chopper ในการโจมตี

ผู้ดูแลระบบควรทำการตรวจสอบระบบ VPN ว่าได้ทำการอัปเดตเเพตซ์ในอุปกรณ์แล้วหรือไม่ ซึ่งหากยังไม่ได้ทำการอัปเดตเเพตซ์ควรทำการอัพเดตอย่างเร่งด่วนเพื่อป้องกันผู้ประสงค์ร้ายทำการโจมตีระบบ ทั้งนี้ผู้ดูแลระบบและผู้ที่สนใจสามารถดูรายละเอียดการของเครื่องมือการโจมตีและ IOC การโจมตีได้ที่เเหล่งที่มา

ที่มา: us-cert.

CISA ออกแจ้งเตือนการโจมตีจากกลุ่มแฮกเกอร์จีน พุ่งเป้าช่องโหว่ F5 Big-IP, Citrix, Pulse Secure VPN และช่องโหว่ใน Microsoft Exchange

หน่วยงาน Cybersecurity and Infrastructure Security Agency (CISA) ออกประกาศรหัส AA20-258A ล่าสุดภายใต้หัวข้อซึ่งมีการพูดถึงแคมเปญการโจมตีทางไซเบอร์ซึ่งมีกระทรวงความมั่นคงของจีน (Ministry of State Security - MSS) หนุนหลัง โดยได้มีการเผยแพร่ช่องโหว่ซึ่งแฮกเกอร์จีนมักจะใช้ในการโจมตีและพฤติกรรมของแฮกเกอร์จีนด้วย

รายการช่องโหว่ทั้งหมดที่ถูกใช้เพื่อโจมตีล้วนแล้วอยู่ในช่วง "สัปดาห์นรก" ของวงการ Security ที่มีการประกาศการค้นพบช่องโหว่ในอุปกรณ์เครือข่ายและระบบสำคัญหลายช่องโหว่ โดยมีรายการดังนี้

ช่องโหว่ใน F5 Big-IP รหัส CVE-2020-5902 รันคำสั่งอันตรายในอุปกรณ์ได้จากระยะไกล
ช่องโหว่ใน Citrix VPN Appliance รหัส CVE-2019-19781 รันคำสั่งอันตรายในอุปกรณ์ได้จากระยะไกล
ช่องโหว่ใน Pulse Secure VPN รหัส CVE-2019-11510 รันคำสั่งอันตรายเพื่ออ่านข้อมูลในระบบได้จากระยะไกล
ช่องโหว่ใน Microsoft Exchange รหัส CVE-2020-0688 ใช้รันคำสั่งอันตรายเพื่อขโมยอีเมลได้

ช่องโหว่ทั้งหมดมีโค้ดสำหรับโจมตีเผยแพร่ในอินเตอร์เน็ตแล้ว และมักถูกใช้โดยกลุ่ม Ransomware เพื่อโจมตีและเรียกค่าไถ่ด้วย ขอให้องค์กรทำการตรวจสอบและลดความเสี่ยงที่จะถูกโจมตีด้วยช่องโหว่เหล่านี้โดยด่วน

ที่มา: zdnet.

CISA ออกแจ้งเตือนโทรจันใหม่จากกลุ่มแฮกเกอร์เกาหลีเหนือ “BLINDINGCAN” พุ่งเป้าหน่วยงานทางการทหาร US

หน่วยงาน Cybersecurity and Infrastructure Security Agency (CISA) ออกมาแจ้งเตือนเกี่ยวกับโทรจันใหม่ซึ่งเชื่อมโยงกับการโจมตีโดยกลุ่มแฮกเกอร์สัญชาติเกาหลีเหนือภายใต้ชื่อ BLINDINGCAN โดยมัลแวร์ดังกล่าวพุ่งเป้าโจมตีหน่วยงานทางการทหาร การบินและอวกาศของสหรัฐฯ

มัลแวร์ BLINDINGCAN เชื่อมโยงกับปฏิบัติการการโจมตีชื่อ North Star ซึ่งถูกตรวจพบโดย McAfee และปฏิบัติการ DreamJob ซึ่งถูกตรวจพบโดย ClearSky โดยแฮกเกอร์สัญชาติเกาหลีเหนือจะมีการแอบอ้างและปลอมตัวเพื่อให้เป้าหมายหลงเชื่อและมีการส่งมัลแวร์ผ่านทางอีเมลไปยังเป้าหมาย (ดูรายละเอียดของทั้งสองปฏิบัติการได้จากลิงค์ท้ายข่าว)

มัลแวร์ BLIDINGCAN จะถูกติดตั้งเพื่อฝังตัวอยู่ในระบบเป้าหมายเพื่อให้ผู้โจมตีใช้มัลแวร์เป็นช่องทางในการเข้าถึงระบบเป้าหมาย โดยตัวมัลแวร์ยังมีคุณสมบัติของโทรจันที่ทำให้มันสามารถดำเนินการเกี่ยวกับไฟล์ รวมไปถึงเก็บข้อมูลต่างๆ ในระบบได้

ประกาศจาก CISA ได้มีการแนบข้อมูลตัวบ่งชี้ภัยคุกคามมาแล้วในลักษณะของ Malware Analysis Report รหัส AR20-232A ผู้ดูแลระบบสามารถนำข้อมูลดังกล่าวไปใช้เพื่อระบุหาการมีอยู่หรือป้องกันภัยคุกคามได้ทันที

ดูรายละเอียดตัวบ่งชี้ภัยคุกคามได้ที่ https://us-cert.

CISA เตือนภัยผู้ใช้ Apache Struts 2 ให้รีบทำการอัพเดตเเพตซ์หลังมีผู้ปล่อย PoC ของช่องโหว่ลง GitHub

หน่วยงาน Cybersecurity and Infrastructure Security Agency (CISA) ได้ออกคำเเนะนำและเเจ้งเตือนให้ผู้ดูเเลระบบและผู้ใช้ Apache Struts 2 ให้ทำการอัปเดตเเพตซ์เพื่อเเก้ไขช่องโหว่หลังพบว่ามีผู้ปล่อย PoC ของช่องโหว่ลง GitHub

ช่องโหว่ที่สำคัญและได้คำเเนะนำให้รีบอัปเดตเเพตซ์คือ CVE-2019-0230 และ CVE-2019-0233 มีผลกระทบกับ Apache Struts เวอร์ชัน 2.0.0 ถึง 2.5.20

ช่องโหว่ CVE-2019-0230 เป็นช่องโหว่ที่เกิดจากการการประมวลผลแท็กภายในแอตทริบิวต์ของ Object-Graph Navigation Language (OGNL) เมื่อ Struts พยายามทำการประมวลผลแท็กอินพุตภายในแอตทริบิวต์ ช่องโหว่จะทำส่งผลให้ผู้โจมตีที่ส่ง OGNL ที่เป็นอันตรายสามารถเรียกใช้โค้ดจากระยะไกล ช่องโหว่นี้ถูกค้นพบโดย Matthias Kaiser จาก Apple Information Security

ช่องโหว่ CVE-2019-0233 เป็นช่องโหว่ในการเเก้ไขสิทธิ์ในการเข้าถึงไฟล์ในระหว่างการอัปโหลดไฟล์ ซึ่งอาจส่งผลให้ผู้โจมตีสามารถแก้ไขคำขอระหว่างการดำเนินการอัปโหลดไฟล์ การดำเนินการในลักษณะนี้จะส่งผลให้ไฟล์ที่ทำการอัปโหลดล้มเหลว เมื่อเกิดความพยายามทำหลายๆ ครั้งอาจส่งผลให้เกิดการปฏิเสธเงื่อนไขการให้บริการหรือ Denial of service (DoS) ช่องโหว่นี้ถูกค้นพบโดย Takeshi Terada จาก Mitsui Bussan Secure Directions, Inc

CISA ได้ออกคำเเนะนำให้ผู้ดูเเลระบบและผู้ใช้ Apache Struts 2 ให้รีบทำการอัปเดตเเพตซ์ให้เป็น Apache Struts เวอร์ชั่น 2.5.22 เพื่อเเก้ไขช่องโหว่ดังกล่าวและป้องกันผู้ประสงค์ร้ายใช้ประโยชน์จาก PoC ของช่องโหว่ที่ถูกเปิดภายใน GitHub ทำการโจมตีระบบ

ที่มา:

us-cert.

CISA ออกเเจ้งเตือนให้ระวังมัลเเวร์ QSnatch หลังพบอุปกรณ์ QNAP NAS จำนวน 62,000 ได้ติดมัลเเวร์แล้ว

หน่วยงานความมั่นคงปลอดภัยไซเบอร์ของสหรัฐอเมริกาและโครงสร้างพื้นฐาน (CISA) และศูนย์รักษาความปลอดภัยไซเบอร์แห่งชาติของสหราชอาณาจักร (NCSC) ได้ออกแจ้งเตือนเกี่ยวกับการโจมตีด้วยมัลเเวร์ QSnatch ไปยังอุปกรณ์ QNAP NAS หลังพบทวีความรุนเเรงมากขึ้นจากการพบผู้ติดเชื้อจำนวน 7,000 เครื่องในเดือนตุลาคม 2562 ซึ่งปัจุบันนั้นพบว่าได้เพิ่มจำนวนมากขึ้นเป็น 62,000 เครื่องในปัจจุบัน

ในรายงานของ CISA และ NCSC ได้ระบุว่า QSnatch ถูกพบครั้งเเรกในปี 2014 โดยมัลเเวร์ QSnatch พุ่งเป้าไปที่ QNAP NAS โดยปัจจุบัน มิถุนายน 2563 มีอุปกรณ์ติดเชื้อประมาณ 62,000 เครื่องทั่วโลกซึ่งประมาณ 7,600 เครื่องอยู่ในสหรัฐอเมริกาและ 3,900 เครื่องอยู่ในสหราชอาณาจักรและจากการค้นพบล่าสุดพบว่ามัลเเวร์ QSnatch นั้นได้เพิ่มความสามารถดังนี้

สร้างการเข้าสู่ระบบของผู้ดูแลระบบอุปกรณ์ปลอมและทำการบันทึกข้อมูลหลังจากนั้นจะส่งต่อไปยังหน้าเข้าสู่ระบบที่ถูกต้อง
การสแกน Credential
SSH backdoor
Exfiltration
Webshell สำหรับการเข้าถึงระยะไกล

ทั้งนี้ CISA และ NCSC ยังไม่พบสาเหตุหรือช่องโหว่ที่มัลเเวร์ QSnatch ใช้ในการระบาด แต่ CISA และ NCSC ได้ระบุว่าเมื่อมัลแวร์ QSnatch เข้ามาสู่ระบบ มัลแวร์จะทำการ Inject เข้าสู่ Firmware เพื่อที่จะสามารถควบคุมอุปกรณ์ได้อย่างสมบูรณ์และจะทำการบล็อกฟีเจอร์การอัปเดต Firmware เพื่อทำการฝังตัวและเปิดช่องทางให้สามาถกลับเข้ามาใช้ช่องโหว่อีกครั้ง

ทั้งนี้ผู้ที่สนใจสามารถอ่านข้อมูลเพิ่มเติมได้ที่: https://us-cert.

กลุ่มแฮกเกอร์รัสเซียกำหนดเป้าหมายมุ่งโจมตีสถาบันพัฒนาวัคซีนต้านไวรัส COVID-19 ด้วยมัลแวร์

กลุ่มแฮกเกอร์รัสเซียกำหนดเป้าหมายมุ่งโจมตีสถาบันพัฒนาวัคซีนต้านไวรัส COVID-19 ด้วยมัลแวร์

ศูนย์รักษาความปลอดภัยไซเบอร์แห่งชาติของสหราชอาณาจักร หรือ National Cyber Security Centre (NCSC) ได้เปิดเผยถึงรายละเอียดของกลุ่มเเฮกเกอร์รัสเซียซึ่งได้ทำการโจมตีองค์กรที่เกี่ยวข้องในการวิจัยและพัฒนาวัคซีนต่อต้าน Coronavirus หรือ COVID-19 ซึ่งกิจกรรมการโจมตีดังกล่าวกำลังถูกดำเนินการด้วยกลุ่มภัยคุกคาม APT29

รายงานดังกล่าวประกอบด้วยข้อมูลจากหลายแหล่งซึ่งเป็นความพยายามร่วมมือกันของศูนย์รักษาความปลอดภัยไซเบอร์แห่งชาติของสหราชอาณาจักร (NCSC), สำนักงานความมั่นคงด้านการสื่อสารของแคนาดา (CSE), สำนักงานความมั่นคงแห่งชาติสหรัฐอเมริกา (NSA) และ หน่วยงานด้านความมั่นคงปลอดภัยและโครงสร้างพื้นฐานทางไซเบอร์ (CISA ) โดยรายละเอียดของรายงานพบว่ากลุ่ม Cozy Bear นั้นพยายามทำการ Spear Phishing รวมไปถึงการใช้ประโยชน์จากช่องโหว่ Citrix (CVE-2019-19781), Pulse Secure (CVE-2019-11510), Fortigate (CVE-2019-13379) และ Zimbra Collaboration Suite (CVE-2019-9670)

รายงานยังกล่าวอีกว่าหลังจากกลุ่มเเฮกเกอร์สามารถเข้าถึงเครือข่ายภายในองค์กรที่ตกเป็นเหยื่อแล้วพวกเขาจะทำการดาวน์โหลดและติดตั้งมัลแวร์ SoreFang, WellMess และ WellMail

ผู้ดูแลระบบควรทำการรีบอัพเดตเเพตซ์การเเก้ไขช่องโหว่ที่กล่าวมาข้างต้นเพื่อป้องกันการโจมตีและการหาประโยชน์จากช่องโหว่ โดยกลุ่มผู้ประสงค์ร้ายต่างๆ ทั้งนี้ผู้ที่สนใจ IOCs ของมัลแวร์ข้างต้นสามารถเข้าไปดูรายละเอียดได้ที่: ncsc.

CISA เตือนภัยผู้ใช้งาน SAP ทำการอัปเดตเเพตซ์โดยด่วน หลัง SAP ประกาศการแพตช์ช่องโหว่หลายรายการ

หน่วยงานด้านความมั่นคงปลอดภัยและโครงสร้างพื้นฐานทางไซเบอร์ หรือ Cybersecurity and Infrastructure Security Agency (CISA) ได้ออกเตือนภัยผู้ใช้งานผลิตภัณฑ์ SAP หลังจากมีการปล่อยแพตช์ด้านความปลอดภัยออกมาจำนวนมาก โดยมีการพยายามกวดขันให้ผู้ใช้งานทำการแพตช์เพื่อจัดการความเสี่ยงอย่างจริงจัง

นอกเหนือจากช่องโหว่ใน SAP NetWeaver ซึ่งทางไอ-ซีเคียวได้รายงานไปก่อนหน้านี้แล้ว ทาง SAP ยังได้มีการออกเเพตซ์เเก้ไขช่องโหว่ประจำเดือนกรกฎาคม 2020 โดยมีการออกเเพต์เเก้ไขอีกกว่าเกือบ 10 รายการ ซึ่งช่องโหว่ที่สำคัญดังนี้

ช่องโหว่นี้เป็นช่องโหว่การใช้งาน SAP Business ด้วย Google Chromium ช่องโหว่นี้ยังไม่มี CVE เเต่ช่องโหว่ มีคะเเนน CVSSv3 อยู่ที่ 9.8/10 ช่องโหว่มีผลกระทบกับ SAP Business Client เวอร์ชั่น 6.5
ช่องโหว่ CVE-2020-6281 (CVSSv3 6.1/10) เป็นช่องโหว่ Cross-Site Scripting (XSS) บน SAP Business Objects Business Intelligence Platform (BI Launch pad) เวอร์ชั่น 4.2
ช่องโหว่ CVE-2020-6276 (CVSSv3 6.1/10) เป็นช่องโหว่ Cross-Site Scripting (XSS) บน SAP Business Objects Business Intelligence Platform (Bipodata) เวอร์ชั่น 4.2
ผู้ใช้งานผลิตภัณฑ์ SAP ควรทำการอัพเดตเเพตซ์ความปลอดภัยให้เป็นเวอร์ชั่นล่าสุดเพื่อป้องกันผู้ประสงค์ร้ายใช้ประโยชน์จากช่องโหว่

ที่มา:

us-cert.