Trend Micro บริษัท Cybersecurity สัญชาติญี่ปุ่น ออกแพตช์แก้ไขช่องโหว่ด้านความปลอดภัยที่มีระดับความรุนแรงสูงใน Apex Central management console ซึ่งทำให้ผู้โจมตีสามารถสั่งรันโค้ดที่เป็นอันตรายได้จากระยะไกล

Apex Central มีหน้า web-based management console ที่ช่วยให้ผู้ดูแลระบบสามารถจัดการผลิตภัณฑ์ และบริการของ Trend Micro ต่างๆ (รวมถึงผลิตภัณฑ์ และบริการด้านการป้องกันไวรัส) และยังสามารถใช้เพื่อติดตั้ง ไฟล์ Antivirus pattern, Scan engines และ antispam rules ด้วยวิธีการ Manual หรือตั้ง scheduled โดยอัตโนมัติไว้ล่วงหน้า

ช่องโหว่ CVE-2022-26871 เป็นช่องโหว่ที่มีระดับความรุนแรงสูง เรื่องการอัปโหลดไฟล์ในโมดูลการจัดการไฟล์ ซึ่งทำให้ผู้โจมตีสามารถโจมตีได้โดยไม่ต้องมีการตรวจสอบสิทธิ์ ซึ่งหากโจมตีได้สำเร็จผู้โจมตีสามารถเรียกใช้โค้ดที่เป็นอันตรายจากระยะไกลได้

"ซึ่งปัจจุบันทาง Trend Micro ได้พบการพยายามโจมตีอย่างต่อเนื่องด้วยช่องโหว่ดังกล่าว และเราได้แจ้งเตือนกับลูกค้าแล้ว" บริษัทกล่าว

CISA สั่งให้หน่วยงานของรัฐบาลอัปเดตแพตช์

Trend Micro ได้มีการแจ้งให้ลูกค้าที่ได้รับผลกระทบ อัปเดตเป็นเวอร์ชันล่าสุดโดยเร็วที่สุด ส่วนเวอร์ชัน Software as a service (SaaS) ถูกอัปเดตโดย Trend Micro แล้วโดยอัตโนมัติ ผู้ใช้งานไม่จำเป็นต้องดำเนินการใดๆ เพิ่มเติมเกี่ยวกับช่องโหว่นี้

เมื่อถูกถามถึงจำนวนลูกค้าที่ตกเป็นเป้าหมายในการโจมตี และระบบของพวกเขาที่อาจถูกเข้าถึงจากช่องโหว่นี้ Funda Cizgenakad ของ Trend Micro บอกกับ BleepingComputer ว่าบริษัท "ไม่สามารถให้ข้อมูลเกี่ยวกับลูกค้าได้ เนื่องจากเป็นความลับของทางบริษัท"

หลังจากการเปิดเผยข้อมูลของ Trend Micro ทาง Cybersecurity and Infrastructure Security Agency (CISA) ได้สั่งให้หน่วยงานของรัฐบาลแก้ไขช่องโหว่ใน Apex Central ที่อาจถูกโจมตีได้ ภายในสามสัปดาห์ จนถึงวันที่ 21 เมษายน 2022

CISA ได้เพิ่มช่องโหว่ของ Trend Micro ลงใน Known Exploited Vulnerabilities Catalog ซึ่งเป็นรายการช่องโหว่ด้านความปลอดภัย ร่วมกับอีก 7 รายการ รวมถึงช่องโหว่ที่มีระดับความรุนแรงสูงใน Sophos firewall

ที่มา: bleepingcomputer.

US Cybersecurity and Infrastructure Security Agency (CISA) ได้อัปเดตการแจ้งเตือน IOC ของ Conti ransomware ซึ่งประกอบด้วยชื่อโดเมนเกือบ 100 ชื่อที่ทางกลุ่มใช้ในการดำเนินการที่ผ่านมา

การแจ้งเตือนเกี่ยวกับ Conti Ransomware ถูกเผยแพร่ครั้งแรกตั้งแต่วันที่ 22 กันยายน พ.ศ. 2564 โดยมีรายละเอียดที่ CISA และสำนักงานสืบสวนสหรัฐอเมริกา (FBI) ให้ข้อมูลรายละเอียดของการโจมตีจาก Conti ransomware ที่กำหนดเป้าหมายเป็นองค์กรต่างๆ ในสหรัฐอเมริกา ส่วนข้อมูลอัพเดทครั้งล่าสุดเป็นข้อมูลจาก US Secret Service

(more…)

CISA อัปเดตคำแนะนำสำหรับการป้องกันและรับมือกับการใช้ประโยชน์จากช่องโหว่ใน Microsoft Exchange Server

หน่วยงานรักษาความปลอดภัยทางไซเบอร์และโครงสร้างพื้นฐาน (Cybersecurity and Infrastructure Security Agency - CISA) ได้อัปเดตคำแนะนำสำหรับการป้องกันและรับมือกับการใช้ประโยชน์จากช่องโหว่ใน Microsoft Exchange Server ที่ถูกใช้โจมตีอย่างต่อเนื่อง รวมถึงรายงานการวิเคราะห์มัลแวร์ (Malware Analysis Reports - MAR) ที่อาศัยช่องโหว่ในการโจมตี

CISA ยังได้ทำการอัปเดตรายงานการวิเคราะห์มัลแวร์ที่มีอยู่ 7 รายการ พร้อมทั้งเพิ่ม YARA rules เพื่อช่วยตรวจจับมัลแวร์และป้องกันการโจมตีที่อาจเกิดขึ้นได้ในอนาคต

ทั้งนี้ผู้ที่สนใจรายละเอียดเพิ่มเติมสามารถอ่านรายงานและคำแนะนำสำหรับการป้องกันและรับมือกับการใช้ประโยชน์จากช่องโหว่ใน Microsoft Exchange Server ได้ที่: https://us-cert.

กลุ่ม Cyber Unified Coordination Group (UCG) ซึ่งเป็นการจัดตั้งขึ้นโดยการรวม FBI, CISA, ODNI และ NSA เฉพาะกิจได้มีการออกแถลงการณ์ยืนยันว่าการโจมตีที่เกิดขึ้นนั้นอาจมีชาวรัสเซียหรือผู้ที่ใช้ภาษารัสเซียเป็นหลักอยู่เบื้องหลัง

นอกเหนือจากการเปิดเผยข้อยืนยันในส่วนของผู้อยู่เบื้องหลังการโจมตีแล้ว UCG ยังออกมาเปิดเผยถึงหน่วยงานรัฐฯ ที่ได้รับผลกระทบว่ามีน้อยกว่า 10 ราย แม้จะมีการระบุจาก SolarWinds แก่ SEC ว่ามีองค์กรที่ดาวโหลดอัปเดตที่มีมัลแวร์ไปกว่า 18,000 ราย ข้อเท็จจริงนี้มีความเป็นไปได้สูงด้วยกลไกการทำงานของมัลแวร์ SUNBURST ที่ทำให้ผู้โจมตีสามารถเลือกเป้าหมายที่ติดมัลแวร์เพื่อโจมตีต่อไปได้

UCG เชื่อว่าเป้าหมายของการโจมตีนั้นมีจุดประสงค์เพื่อการรวบรวมข้อมูลข่าวกรอง ซึ่งอาจทำให้เราสามารถอนุมานได้ว่าผู้ที่อยู่เบื้องหลังการโจมตีจะสามารถใช้ประโยชน์จากข้อมูลข่าวกรองได้ ซึ่งก็หมายถึงหน่วยความข่าวกรองซึ่งเป็นปฏิปักษ์ต่อสหรัฐอเมริกานั่นเอง

ที่มา: www.

หน่วย US Cyber Command เผยแพร่ข้อมูลแบ็คดอร์ซึ่งถูกใช้โดยรัสเซีย พุ่งเป้าหน่วยงานราชการในหลายประเทศ

หน่วย US Cyber Command เผยแพร่ข้อมูลแบ็คดอร์ที่ถูกใช้โดยกลุ่มแฮกเกอร์ Turla และ APT28 ซึ่งเชื่อว่ามีรัฐบาลรัสเซียหนุนหลังปฏิบัติการ กลุ่ม Turla พุ่งเป้าหน่วยงานราชการในหลายประเทศ โดยมีประวัติการโจมตีกองบัญชาการกลางของกองทัพสหรัฐฯ, กระทรวงกลาโหมและองค์การนาซ่าด้วย

ข้อมูลของมัลแวร์ที่เผยแพร่ออกมานั้นมีสองส่วน ส่วนแรกเป็นสคริปต์ซึ่งเกี่ยวข้องกับมัลแวร์ ComRAT ในลักษณะของสคริปต์ PowerShell (https://us-cert.

CISA ออกประกาศรหัส AA20-301A เมื่อวันที่ 27 ที่ผ่านมาโดยมีเนื้อหาสำคัญถึงการพูดถึงพฤติกรรมและความเคลื่อนไหวของกลุ่มแฮกเกอร์สัญชาติเกาหลีเหนือ Kimsuky ซึ่งมีเป้าหมายการโจมตีอยู่ทั่วโลก

จากรายงานที่เผยแพร่ออกมา กลุ่ม Kimsuky เริ่มการเคลื่อนไหวตั้งแต่ปี 2012 โดยถูกควบคุมและสั่งการจากรัฐบาลเกาหลีเพื่อการสืบหาข่าวกรอง เป้าหมายของการโจมตีโดยส่วนใหญ่เป็นบุคคลและองค์กรในเกาหลีใต้ ญี่ปุ่นและสหรัฐอเมริกา พฤติกรรมของกลุ่มไม่มีความแตกต่างเท่าใดนักหากเทียบกับแฮกเกอร์กลุ่มอื่น โดย Kimsuky จะโจมตีเป้าหมายโดยวิธีการแบบ Social engineering และ Watering hole ก่อนจะเข้าถึงและเคลื่อนย้ายตัวเองในเครือข่ายของเป้าหมาย เมื่อถึงจุดหนึ่ง กลุ่ม Kimsuky จะรวบรวมข้อมูลและลักลอบส่งออกมาทั้งทางอีเมลหรือติดต่อไปยัง C&C

CISA มีการระบุถึงพฤติกรรมเชิงลึกของกลุ่มพร้อมกับ TTP และ IOC ข้อมูลเพื่อช่วยในลดความเสี่ยงที่จะถูกโจมตีเหล่านี้สามารถดูเพิ่มเติมได้จากแหล่งที่มา

ที่มา: us-cert.

หน่วยงานรักษาความปลอดภัยทางไซเบอร์และโครงสร้างพื้นฐานของสหรัฐอเมริกา (Cybersecurity and Infrastructure Security Agency - CISA) ได้ออกเเจ้งเตือนถึงการตรวจพบกิจกรรมที่เพิ่มขึ้นของมัลแวร์ LokiBot ตั้งแต่เดือนกรกฎาคม 2020 จากระบบตรวจจับการบุกรุก EINSTEIN ของ CISA

LokiBot หรือที่เรียกว่า Lokibot, Loki PWS และ Loki-bot เป็นมัลแวร์โทรจันที่ถูกใช้เพื่อขโมยข้อมูลที่ละเอียดอ่อนเช่น ชื่อผู้ใช้, รหัสผ่าน, Cryptocurrency wallet และ Credential อื่นๆ โดยเมื่อเหยื่อติดมัลแวร์แล้วมัลแวร์จะทำการค้นหาแอปที่ติดตั้งในเครื่องและแยกข้อมูล Credential จากฐานข้อมูลภายในและทำการส่งข้อมูลที่ค้บพบกลับมาที่เซิฟเวอร์ C&C ของเเฮกเกอร์ นอกจากนี้ LokiBot ได้ทำการพัฒนาขึ้นเพื่อทำให้สามารถ keylogger แบบเรียลไทม์เพื่อจับการกดแป้นพิมพ์และขโมยรหัสผ่านสำหรับบัญชีที่ไม่ได้เก็บไว้ในฐานข้อมูลภายในของเบราว์เซอร์และยังมีความสามารถ Desktop screenshot เพื่อทำการบันทึกเอกสารที่ถูกเปิดบนคอมพิวเตอร์ของเหยื่อ

LokiBot นอกจากจะถูกใช้เพื่อในการขโมยข้อมูลแล้วตัวบอทยังทำหน้าที่เป็นแบ็คดอร์ทำให้แฮกเกอร์สามารถเรียกใช้มัลแวร์อื่นๆ บนโฮสต์ที่ติดไวรัสและอาจทำให้การโจมตีเพิ่มขึ้น

ผู้ใช้งานอินเตอร์เน็ตควรทำการระมัดระวังในการใช้งานไม่ควรทำการดาวน์โหลดไฟล์จากเเหล่งที่มาที่ไม่เเน่ชัดหรือเข้าคลิกเข้าเว็บไซต์ที่ไม่รู้จัก นอกจากนี้ผู้ใช้ควรทำการใช้ซอฟเเวร์ป้องกันไวรัสและทำการอัปเดต Signature อยู่เสมอเพื่อเป็นการป้องกันไม่ให้ตกเป็นเหยื่อของมัลแวร์ ทั้งนี้ผู้ที่สนใจรายละเอียด IOC สามารถดูได้ที่ : CISA

ที่มา : ZDnet

CISA ออกแจ้งเตือนการโจมตีจากกลุ่มแฮกเกอร์อิหร่านที่ใช้ประโยชน์จากช่องโหว่ของ VPN ทำการโจมตีเครือข่าย

หน่วยงาน Cybersecurity and Infrastructure Security Agency (CISA) ได้ออกประกาศเเจ้งเตือนภัยรหัส AA20-259A ถึงกลุ่มแฮกเกอร์อิหร่านหรือที่รู้จักกันในชื่อ Pioneer Kitten และ UNC757 กำลังใช้ประโยชน์จากช่องโหว่ของ VPN ทำการโจมตีเครือข่าย โดยเเฮกเกอร์กลุ่มนี้ได้กำหนดเป้าหมายการโจมตีไปยังกลุ่มอุตสาหกรรมต่างๆ ที่เกี่ยวข้องกับเทคโนโลยีสารสนเทศ, หน่วยงานของรัฐบาล, หน่วยงานการดูแลสุขภาพ, การเงิน, การประกันภัยและภาคสื่อทั่วสหรัฐอเมริกา

สำหรับการบุกรุกเครือข่ายนั้นกลุ่มเเฮกเกอร์จะทำการสแกนจำนวนมากและใช้เครื่องมือเช่น Nmap เพื่อทำการสำรวจและระบุพอร์ตที่เปิดอยู่จากนั้นจะใช้ช่องโหว่ที่เกี่ยงข้องกับ VPN ที่ถูกเปิดเผยแล้วเช่น CVE-2019-11510 (Pulse Secure VPN), CVE-2019-11539 (Pulse Secure VPN), CVE-2019-19781 (Citrix VPN Appliance) และ CVE-2020-5902 (F5 Big-IP) ทำการโจมตี ซึ่งหลังจากทำการบุกรุกได้แล้วกลุ่มเเฮกเกอร์จะทำการยกระดับสิทธิเป็นผู้ดูแลระบบและจะทำการติดตั้ง web shell ในเครื่องเป้าหมายเพื่อหาประโยชน์ต่างๆ จากเซิฟเวอร์ที่ทำการบุกรุก

นอกจากนี้ CISA และ FBI ได้สังเกตเห็นว่ากลุ่มเเฮกเกอร์ใช้ประโยชน์จากเครื่องมือโอเพ่นซอร์สเช่น ngrok, Fast Reverse Proxy (FRP), Lightweight Directory Access Protocol (LDAP) directory browser และ web shells เช่น ChunkyTuna, Tiny และ China Chopper ในการโจมตี

ผู้ดูแลระบบควรทำการตรวจสอบระบบ VPN ว่าได้ทำการอัปเดตเเพตซ์ในอุปกรณ์แล้วหรือไม่ ซึ่งหากยังไม่ได้ทำการอัปเดตเเพตซ์ควรทำการอัพเดตอย่างเร่งด่วนเพื่อป้องกันผู้ประสงค์ร้ายทำการโจมตีระบบ ทั้งนี้ผู้ดูแลระบบและผู้ที่สนใจสามารถดูรายละเอียดการของเครื่องมือการโจมตีและ IOC การโจมตีได้ที่เเหล่งที่มา

ที่มา: us-cert.

หน่วยงาน Cybersecurity and Infrastructure Security Agency (CISA) ออกประกาศรหัส AA20-258A ล่าสุดภายใต้หัวข้อซึ่งมีการพูดถึงแคมเปญการโจมตีทางไซเบอร์ซึ่งมีกระทรวงความมั่นคงของจีน (Ministry of State Security - MSS) หนุนหลัง โดยได้มีการเผยแพร่ช่องโหว่ซึ่งแฮกเกอร์จีนมักจะใช้ในการโจมตีและพฤติกรรมของแฮกเกอร์จีนด้วย

รายการช่องโหว่ทั้งหมดที่ถูกใช้เพื่อโจมตีล้วนแล้วอยู่ในช่วง "สัปดาห์นรก" ของวงการ Security ที่มีการประกาศการค้นพบช่องโหว่ในอุปกรณ์เครือข่ายและระบบสำคัญหลายช่องโหว่ โดยมีรายการดังนี้

ช่องโหว่ใน F5 Big-IP รหัส CVE-2020-5902 รันคำสั่งอันตรายในอุปกรณ์ได้จากระยะไกล
ช่องโหว่ใน Citrix VPN Appliance รหัส CVE-2019-19781 รันคำสั่งอันตรายในอุปกรณ์ได้จากระยะไกล
ช่องโหว่ใน Pulse Secure VPN รหัส CVE-2019-11510 รันคำสั่งอันตรายเพื่ออ่านข้อมูลในระบบได้จากระยะไกล
ช่องโหว่ใน Microsoft Exchange รหัส CVE-2020-0688 ใช้รันคำสั่งอันตรายเพื่อขโมยอีเมลได้

ช่องโหว่ทั้งหมดมีโค้ดสำหรับโจมตีเผยแพร่ในอินเตอร์เน็ตแล้ว และมักถูกใช้โดยกลุ่ม Ransomware เพื่อโจมตีและเรียกค่าไถ่ด้วย ขอให้องค์กรทำการตรวจสอบและลดความเสี่ยงที่จะถูกโจมตีด้วยช่องโหว่เหล่านี้โดยด่วน

ที่มา: zdnet.

หน่วยงาน Cybersecurity and Infrastructure Security Agency (CISA) ออกมาแจ้งเตือนเกี่ยวกับโทรจันใหม่ซึ่งเชื่อมโยงกับการโจมตีโดยกลุ่มแฮกเกอร์สัญชาติเกาหลีเหนือภายใต้ชื่อ BLINDINGCAN โดยมัลแวร์ดังกล่าวพุ่งเป้าโจมตีหน่วยงานทางการทหาร การบินและอวกาศของสหรัฐฯ

มัลแวร์ BLINDINGCAN เชื่อมโยงกับปฏิบัติการการโจมตีชื่อ North Star ซึ่งถูกตรวจพบโดย McAfee และปฏิบัติการ DreamJob ซึ่งถูกตรวจพบโดย ClearSky โดยแฮกเกอร์สัญชาติเกาหลีเหนือจะมีการแอบอ้างและปลอมตัวเพื่อให้เป้าหมายหลงเชื่อและมีการส่งมัลแวร์ผ่านทางอีเมลไปยังเป้าหมาย (ดูรายละเอียดของทั้งสองปฏิบัติการได้จากลิงค์ท้ายข่าว)

มัลแวร์ BLIDINGCAN จะถูกติดตั้งเพื่อฝังตัวอยู่ในระบบเป้าหมายเพื่อให้ผู้โจมตีใช้มัลแวร์เป็นช่องทางในการเข้าถึงระบบเป้าหมาย โดยตัวมัลแวร์ยังมีคุณสมบัติของโทรจันที่ทำให้มันสามารถดำเนินการเกี่ยวกับไฟล์ รวมไปถึงเก็บข้อมูลต่างๆ ในระบบได้

ประกาศจาก CISA ได้มีการแนบข้อมูลตัวบ่งชี้ภัยคุกคามมาแล้วในลักษณะของ Malware Analysis Report รหัส AR20-232A ผู้ดูแลระบบสามารถนำข้อมูลดังกล่าวไปใช้เพื่อระบุหาการมีอยู่หรือป้องกันภัยคุกคามได้ทันที

ดูรายละเอียดตัวบ่งชี้ภัยคุกคามได้ที่ https://us-cert.