หน่วยงานรักษาความปลอดภัยทางไซเบอร์ และโครงสร้างพื้นฐานของสหรัฐอเมริกา (CISA) ออกคำสั่งฉุกเฉินใหม่ เพื่อสั่งให้หน่วยงานรัฐบาลกลางของสหรัฐอเมริกาเร่งแก้ไข ความเสี่ยงที่เกิดขึ้นจากการโจมตี Microsoft corporate email หลายบัญชีโดยกลุ่ม APT29 ของรัสเซีย

คำสั่งฉุกเฉิน 24-02 ได้ออกให้กับหน่วยงาน Federal Civilian Executive Branch (FCEB) เมื่อวันที่ 2 เมษายน 2024 โดยกำหนดให้หน่วยงานรัฐบาลกลางตรวจสอบอีเมลที่อาจได้รับผลกระทบจากการโจมตี ทำการรีเซ็ตข้อมูลบัญชีที่ถูกโจมตี และใช้มาตรการเพื่อรักษาความปลอดภัยบัญชี Microsoft Azure ที่ได้รับสิทธิ์สูง

CISA ระบุว่า ขณะนี้หน่วยข่าวกรองต่างประเทศของรัสเซีย (SVR) ได้ใช้ข้อมูลที่ขโมยมาจากระบบ Microsoft corporate email รวมถึงรายละเอียดการตรวจสอบสิทธิ์ที่ใช้ร่วมกันระหว่าง Microsoft และลูกค้าทางอีเมล์ เพื่อเข้าถึงระบบลูกค้าบางระบบ

การโจมตีอีเมลของหน่วยงานรัฐบาลกลาง

Microsoft และหน่วยงานรักษาความปลอดภัยทางไซเบอร์ของสหรัฐอเมริกา ได้แจ้งหน่วยงานรัฐบาลกลางทั้งหมดทันทีหลังจากตรวจพบว่า Microsoft Exchange ได้ถูก Hacker ชาวรัสเซียโจมตี และขโมยข้อมูล

ซึ่งคำสั่งฉุกเฉินฉบับใหม่ของ CISA ถือว่าเป็นครั้งแรกที่รัฐบาลสหรัฐฯ ได้ออกมายืนยันว่าอีเมลของหน่วยงานรัฐบาลกลางถูกโจมตี และขโมยข้อมูลจาก Microsoft Exchange ในเดือนมกราคม 2024

ปัจจุบัน CISA ได้สั่งให้หน่วยงานที่ได้รับผลกระทบจากการโจมตี ทำการระบุเนื้อหาทั้งหมดของการติดต่อกับบัญชี Microsoft ที่ถูกโจมตี และดำเนินการวิเคราะห์ผลกระทบด้านความปลอดภัยทางไซเบอร์ภายในวันที่ 30 เมษายน 2024

หากตรวจพบสัญญาณของถูกโจมตีจะต้องดำเนินการตามขั้นตอนดังนี้ :

ดำเนินการแก้ไขทันทีสำหรับ token, passwords, API keys หรือข้อมูลรับรองการตรวจสอบสิทธิ์อื่น ๆ ที่ทราบ หรือสงสัยว่าจะถูกบุกรุก
สำหรับการละเมิดการรับรองความถูกต้องที่น่าสงสัยใด ๆ ที่ผ่านการดำเนินการที่ 1 ภายในวันที่ 30 เมษายน 2024

Reset ข้อมูล credentials ในแอปพลิเคชันที่เกี่ยวข้อง และปิดใช้งานแอปพลิเคชันที่เกี่ยวข้องซึ่งไม่ได้มีการใช้งานอีกต่อไป
ตรวจสอบการลงชื่อเข้าใช้ การออกโทเค็น และบันทึกพฤติกรรมบัญชีอื่น ๆ สำหรับผู้ใช้ และบริการที่สงสัยว่าข้อมูลประจำตัวถูกบุกรุก หรือพบว่าถูกบุกรุกจากพฤติกรรมที่อาจเป็นอันตราย

แม้ว่าข้อกำหนด ED 24-02 จะมีผลกับหน่วยงาน FCEB โดยเฉพาะ แต่การขโมยข้อมูลของ Microsoft corporate account อาจส่งผลกระทบต่อองค์กรอื่น ๆ จึงแนะนำให้ทำการป้องกันการโจมตีตามคำแนะนำของ Microsoft account teams

รวมถึงการนำมาตรการรักษาความปลอดภัยที่เข้มงวดมาใช้งาน เช่น การใช้รหัสผ่านที่รัดกุม, การเปิดใช้งานการยืนยันตัวตนหลายปัจจัย (MFA) ทุกครั้งที่เป็นไปได้ และยกเว้นจากการแบ่งปันข้อมูลที่ความสำคัญผ่านช่องทางที่ไม่ปลอดภัย

การโจมตี Microsoft ของกลุ่ม APT 29

ในเดือนมกราคม 2024 ทาง Microsoft เปิดเผยว่ากลุ่ม APT 29 (หรือในชื่อ Midnight Blizzard และ NOBELIUM) ได้ทำการโจมตี corporate email server ด้วยวิธี password spray attack ทำให้สามารถเข้าถึงบัญชีสำหรับทดสอบที่เป็น non-production ได้ เนื่องจากบัญชีดังกล่าวไม่ได้เปิดใช้งาน MFA จึงทำให้ถูกโจมตีเข้าถึงระบบของ Microsoft ได้สำเร็จ

หลังจากนั้น Hacker ทำการเข้าถึงแอปพลิเคชัน OAuth พร้อมการเข้าถึงระบบอื่น ๆ ของ Microsoft ในระดับที่สูงขึ้น ซึ่งช่วยให้ผู้ Hacker สามารถเข้าถึง และขโมยข้อมูลจาก mailbox ขององค์กรได้ ซึ่งบัญชีอีเมลเหล่านี้เป็นของสมาชิกระดับสูงของ Microsoft และพนักงานในแผนกความปลอดภัยทางไซเบอร์ และกฎหมายของบริษัท

กลุ่ม APT29 เป็นที่รู้จักหลังจากการโจมตีแบบ supply chain attack ของ SolarWinds ในปี 2020 ซึ่งส่งผลกระทบต่อเนื่องไปยังหน่วยงานรัฐบาลกลางของสหรัฐอเมริกา และบริษัทหลายแห่งรวมถึง Microsoft ทำให้สามารถขโมย source code บางส่วนของ Azure, Intune และ Exchange ต่อมาในปี 2021 กลุ่ม APT29 ได้โจมตี Microsoft อีกครั้ง ซึ่งการโจมตีดังกล่าวทำให้สามารถเข้าถึง customer support tool ได้

ที่มา : bleepingcomputer

 

หน่วยงานรักษาความปลอดภัยทางไซเบอร์ และโครงสร้างพื้นฐานของสหรัฐอเมริกา (CISA) เปิดตัวระบบการวิเคราะห์ "Malware Next-Gen" เวอร์ชันใหม่ ให้บุคคลทั่วไปสามารถส่งตัวอย่างมัลแวร์เพื่อรับการวิเคราะห์โดย CISA ได้ (more…)

สำนักงานความปลอดภัยทางไซเบอร์ และโครงสร้างพื้นฐานของสหรัฐอเมริกา (CISA) เปิดเผยว่า เครือข่ายองค์กรรัฐบาลที่ไม่เปิดเผยชื่อ ถูกเจาะผ่านบัญชีผู้ดูแลระบบที่เป็นของอดีตพนักงาน

ตัวแทนจาก CISA ระบุในรายงานความร่วมมือที่เผยแพร่เมื่อวันพฤหัสบดีพร้อม ๆ กับ Multi-State Information Sharing and Analysis Center (MS-ISAC) ว่า เหตุการณ์ดังกล่าวทำให้ผู้โจมตีสามารถเชื่อมต่อ VPN ของเหยื่อได้สำเร็จ โดยมีจุดประสงค์ที่จะรับส่งข้อมูลที่ดูเหมือนเป็นปกติเพื่อหลบเลี่ยงการตรวจจับ

มีการตั้งข้อสงสัยว่าผู้โจมตีได้รับข้อมูล credentials ภายหลังการละเมิดข้อมูล เนื่องจากมีข้อมูล credentials ปรากฏในช่องทางการเผยแพร่ข้อมูลบัญชีรั่วไหล โดยบัญชีผู้ดูแลระบบสามารถเข้าถึง virtualized SharePoint server และยังช่วยให้ผู้โจมตีเข้าถึงชุดข้อมูล credentials อื่นที่จัดเก็บไว้ในเซิร์ฟเวอร์ได้ ซึ่งมีสิทธิ์ผู้ดูแลระบบเครือข่ายภายในองค์กร และ Azure Active Directory (ปัจจุบันเรียกว่า Microsoft Entra ID)

สิ่งนี้ทำให้สามารถสำรวจข้อมูลภายในองค์กรของเหยื่อได้มากขึ้น และค้นหา Lightweight Directory Access Protocol (LDAP) ต่าง ๆ กับ domain controller ได้ ซึ่งผู้โจมตีที่อยู่เบื้องหลังเหตุการณ์นี้ยังไม่ถูกเปิดเผยในปัจจุบัน โดยจากการตรวจสอบเหตุการณ์นี้ มีหลักฐานที่แสดงให้เห็นว่าผู้โจมตีมีการย้ายระบบจาก on-premises ไปยัง Azure cloud

ผู้โจมตีเข้าถึงข้อมูลของโฮสต์ และผู้ใช้งานได้ในที่สุด และนำไปโพสต์ลงบน dark web เพื่อหาผลประโยชน์ทางการเงิน โดยมีข้อความแจ้งเตือนให้องค์กรรีเซ็ตรหัสผ่านสำหรับผู้ใช้ทั้งหมด ปิดการใช้งานบัญชีผู้ดูแลระบบ รวมถึงยกเลิกสิทธิ์การเพิ่มบัญชีที่สอง

เป็นที่น่าสังเกตว่าทั้งสองบัญชีไม่ได้เปิดใช้งาน MFA ซึ่งย้ำให้เห็นถึงความจำเป็นในการรักษาความปลอดภัยบัญชีพิเศษที่ให้สิทธิ์การเข้าถึงระบบที่สำคัญ โดยมีการแนะนำให้ใช้หลักการ least privilege และสร้างบัญชีผู้ดูแลระบบแยกต่างหาก เพื่อแบ่งกลุ่มการเข้าถึงข้อมูลภายในองค์กร และคลาวด์ เป็นสัญญาณบ่งชี้ว่าผู้โจมตีใช้ประโยชน์จากบัญชีที่ถูกต้อง รวมถึงบัญชีของอดีตพนักงานที่ยังไม่ได้ถูกลบออกจาก Active Directory (AD) เพื่อเข้าถึงองค์กรโดยไม่ได้รับอนุญาต

CISA ระบุเพิ่มเติมว่า "บัญชี ซอฟต์แวร์ และบริการที่ไม่จำเป็นในเครือข่ายจะสร้างช่องทางเพิ่มเติมเพื่อให้ผู้โจมตีสามารถเข้าถึงระบบได้ ใน Azure AD ผู้ใช้ทุกคนสามารถลงทะเบียน และจัดการแอปพลิเคชันที่พวกเขาสร้างขึ้นได้ การตั้งค่าเริ่มต้นเหล่านี้สามารถทำให้ผู้โจมตีสามารถเข้าถึงข้อมูลที่มีความสำคัญ และโจมตีต่อไปภายในเครือข่ายได้ นอกจากนี้ ผู้ใช้ที่สร้าง Azure AD จะกลายเป็นผู้ดูแลระบบโดยอัตโนมัติสำหรับ tenant นั้น ซึ่งอาจทำให้ผู้โจมตีสามารถเพิ่มสิทธิ์ในการดำเนินการที่เป็นอันตรายได้"

ที่มา : https://thehackernews.

U.S. Cybersecurity and Infrastructure Security Agency หรือ หน่วยงานรักษาความปลอดภัยทางไซเบอร์ และโครงสร้างพื้นฐานของสหรัฐอเมริกา (CISA) ได้ออกมาเรียกร้องให้ผู้ผลิตเลิกใช้ Default Password

เนื่องจากมีความเสี่ยงที่ Hacker จะใช้ Default Password ดังกล่าวในการโจมตีเพื่อติดตั้ง Backdoor เพื่อใช้ในการเข้าถึงอุปกรณ์ที่มีช่องโหว่ที่เข้าถึงได้จากอินเทอร์เน็ต โดยทั่วไปแล้ว Default Password จะถูกใช้เพื่อปรับปรุงกระบวนการผลิต หรือช่วยให้ผู้ดูแลระบบสามารถดำเนินการกับอุปกรณ์จำนวนมากภายในสภาพแวดล้อมขององค์กรได้ง่ายขึ้น แต่หากไม่ได้เปลี่ยน Default Password ก็อาจเป็นความเสี่ยงด้านความปลอดภัยที่ Hacker สามารถใช้เพื่อหลีกเลี่ยงมาตรการตรวจสอบสิทธิ์ ซึ่งอาจส่งผลต่อความปลอดภัยของเครือข่ายทั้งหมดขององค์กรได้เช่นเดียวกัน

(more…)

Atlassian แจ้งเตือนช่องโหว่ระดับ Critical ที่อาจนำไปสู่เหตุการณ์ข้อมูลเสียหายได้

Atlassian บริษัทซอฟต์แวร์จากออสเตรเลีย ออกมาแจ้งเตือนผู้ดูแลระบบให้อัปเดตแพตซ์เพื่อแก้ไขช่องโหว่ใน Confluence instances ที่เข้าถึงได้จากอินเทอร์เน็ตทันที เพื่อป้องกันการถูกโจมตีจากช่องโหว่ด้านความปลอดภัยระดับ Critical ซึ่งอาจนำไปสู่เหตุการณ์ข้อมูลเสียหายหากถูกโจมตีได้สำเร็จ
(more…)

เมื่อไม่นานมานี้ สำนักงานความมั่นคงปลอดภัยทางไซเบอร์ และโครงสร้างพื้นฐานของอเมริกา (CISA) ได้เพิ่มช่องโหว่ทางด้านความปลอดภัยที่กำลังถูกนำมาใช้ในการโจมตีอยู่ในปัจจุบันบน Microsoft .NET และ Visual Studio ลงใน KEV Catalog โดยอ้างอิงจากหลักฐานการพบการโจมตีที่เกิดขึ้น
ช่องโหว่ CVE-2023-38180 (คะแนน CVSS: 7.5) เป็นช่องโหว่ denial-of-service (DoS) ที่มีระดับความรุนแรงสูง ซึ่งส่งผลกระทบต่อ .NET และ Visual Studio ซึ่งช่องโหว่ดังกล่าวได้รับการแก้ไขไปแล้วโดย Microsoft จากการอัปเดต Patch Tuesday ในเดือนสิงหาคม 2023 เมื่อต้นสัปดาห์นี้ โดยได้มีการประเมินว่าจะพบการโจมตีช่องโหว่นี้เพิ่มขึ้นเรื่อย ๆ และติดแท็กช่องโหว่นี้ไว้ว่า “Exploitation More Likely”

ในขณะที่ปัจจุบันยังไม่มีรายละเอียดเกี่ยวกับการโจมตีที่แน่ชัด แต่ Microsoft ได้รับรายงานว่ามี Proof-of-Concept (PoC) สำหรับช่องโหว่ออกมาแล้ว นอกจากนี้ยังพบว่าการโจมตีที่ใช้ประโยชน์จากช่องโหว่นี้สามารถทำได้โดยไม่ต้องได้รับการอนุญาต หรือการตอบโต้จากผู้ใช้งาน
Microsoft ระบุว่าได้มีการทดสอบ Proof-of-Concept (PoC) และพบว่าการโจมตีไม่ได้ผลกับระบบส่วนใหญ่ รวมทั้งไม่สามารถใช้ได้กับทุกสถานการณ์ ซึ่ง Proof-of-Concept (PoC) จะต้องได้รับการแก้ไขจากผู้โจมตีที่มีทักษะ และความเชี่ยวชาญเท่านั้น
สำหรับซอฟต์แวร์เวอร์ชันที่ได้รับผลกระทบ ได้แก่ ASP.NET Core 2.1, .NET 6.0, .NET 7.0, Microsoft Visual Studio 2022 เวอร์ชัน 17.2, Microsoft Visual Studio 2022 เวอร์ชัน 17.4 และ Microsoft Visual Studio 2022 เวอร์ชัน 17.6

ดังนั้น เพื่อลดความเสี่ยงที่อาจเกิดขึ้น CISA จึงแนะนำให้หน่วยงาน Federal Civilian Executive Branch (FCEB) เร่งอัปเดตแพตซ์เพื่อแก้ไขช่องโหว่ภายในวันที่ 30 สิงหาคม 2023

ที่มา: thehackernews.

หน่วยงานรักษาความปลอดภัยทางไซเบอร์ และโครงสร้างพื้นฐานของสหรัฐ (CISA) ได้ออกประกาศเตือน 2 ช่องโหว่ใหม่ใน Endpoint Manager Mobile (EPMM) ของ Ivanti (เดิมชื่อ MobileIron Core)

เมื่อวันอังคารที่ 25 กรกฎาคม 2023 ที่ผ่านมา CISA ระบุว่า ระบบการจัดการอุปกรณ์พกพา (MDM) เป็นเป้าหมายที่น่าสนใจสำหรับผู้โจมตี เนื่องจากระบบดังกล่าวทำให้สามารถเข้าถึงอุปกรณ์พกพาหลายพันเครื่องในระดับสูง และกลุ่ม APT กำลังโจมตีโดยใช้ประโยชน์จากช่องโหว่ MobileIron ดังนั้น CISA และ NCSC-NO จึงมีความกังวลเกี่ยวกับการโจมตีในเครือข่ายของทั้งภาครัฐ และเอกชน

CVE-2023-35078 เป็นช่องโหว่ authentication bypass ที่ทำให้ผู้โจมตีสามารถสร้างบัญชีผู้ดูแลระบบ EPMM โดยมุ่งเป้าไปที่หน่วยงานรัฐบาลของนอร์เวย์ โดยจะเกี่ยวข้องกับช่องโหว่ directory traversal (CVE-2023-35081) ที่ทำให้ผู้โจมตีที่มีสิทธิ์ผู้ดูแลระบบ สามารถติดตั้ง web shells ได้

โดยหากสามารถโจมตีได้สำเร็จ ผู้โจมตีจะสามารถเข้าถึง API paths ซึ่งอาจนำไปสู่การขโมยข้อมูลที่สามารถระบุตัวบุคคลได้ (PII) โดยข้อมูลที่ถูกเข้าถึงประกอบด้วย ชื่อ หมายเลขโทรศัพท์ และรายละเอียดอุปกรณ์มือถืออื่น ๆ

นอกจากนี้หน่วยงานคุ้มครองข้อมูลของนอร์เวย์ (DPA) ยังได้รับการแจ้งเตือนหลังจากการโจมตีที่กำหนดเป้าหมายไปยังเครือข่ายของหน่วยงานของนอร์เวย์ เนื่องจากแฮ็กเกอร์อาจเข้าถึง และขโมยข้อมูลที่สำคัญจากระบบของรัฐบาลได้

จากรายงานของ Shodan ปัจจุบันมีพอร์ทัลของผู้ใช้งาน MobileIron ที่เข้าถึงได้บนอินเทอร์เน็ตมากกว่า 2,300 รายการ รวมทั้งยังมีความเกี่ยวข้องกับหน่วยงานรัฐบาลท้องถิ่น และรัฐของสหรัฐฯ

ประกาศแจ้งเตือนในครั้งนี้ เป็นการประกาศร่วมกันที่ออกโดยความร่วมมือกับศูนย์ความมั่นคงทางไซเบอร์แห่งชาตินอร์เวย์ (NCSC-NO) หลังจากมีคําสั่งให้หน่วยงานของรัฐบาลกลางสหรัฐแก้ไขหนึ่งในช่องโหว่ทั้งสองที่ถูกใช้ในการโจมตีภายในวันอังคารที่ 15 สิงหาคม 2023

ในวันจันทร์ที่ 31 กรกฎาคม 2023 ที่ผ่านมา CISA ยังสั่งให้หน่วยงานของรัฐบาลกลางแก้ไขระบบของตนภายในวันที่ 21 สิงหาคม 2023 เพื่อป้องกันการใช้ประโยชน์จากช่องโหว่ CVE-2023-35081

เมื่อสัปดาห์ที่ผ่านมา หน่วยงานความมั่นคงทางไซเบอร์ของสหรัฐฯ ได้ออกมาแจ้งเตือนถึงช่องโหว่ดังกล่าว ซึ่งมักถูกผู้ไม่หวังดีนำมาใช้ในการโจมตี และก่อให้เกิดความเสี่ยงที่สำคัญต่อองค์กรของรัฐบาลกลาง ด้วยเหตุนี้ทีมรักษาความปลอดภัย และผู้ดูแลระบบควรอัปเดตแพตซ์ของ Ivanti EPMM (MobileIron) ให้เป็นเวอร์ชันล่าสุดโดยทันที เพื่อรักษาความปลอดภัยของระบบจากการโจมตีอย่างต่อเนื่อง

ที่มา : bleepingcomputer

 

Microsoft เปิดเผยเมื่อวันที่ 12 กรกฎาคม 2023 ที่ผ่านมาว่า พบการโจมตีไปยังบัญชี Exchange Online และ Azure Active Directory (AD) ขององค์กรต่าง ๆ ประมาณ 24 องค์กร โดยกลุ่ม Hacker ชาวจีนในชื่อ Storm-0558 ซึ่งได้ขโมย Microsoft consumer signing key ทำให้สามารถเข้าถึงบัญชี Exchange Online และ Outlook.

U.S. Cybersecurity and Infrastructure Security Agency (CISA) หรือ หน่วยงานรักษาความปลอดภัยทางไซเบอร์ และโครงสร้างพื้นฐานของสหรัฐ ออกคำสั่งแจ้งเตือนไปยังหน่วยงานของรัฐบาลกลาง ให้เร่งทำการอัปเดตเพื่อแก้ไขช่องโหว่การยกระดับสิทธิ์ของ Arm Mali GPU kernel driver ที่มีระดับความรุนแรงสูง โดยได้ถูกเพิ่มไปในรายการช่องโหว่ที่กำลังถูกนำมาใช้ในการโจมตี KEV (Known Exploited Vulnerabilities) ซึ่งปัจจุบันได้มีการออกอัปเดตเพื่อแก้ไขช่องโหว่ดังกล่าวแล้วใน Bifrost, Valhall GPU Kernel Driver r30p0 และ Midgard Kernel Driver r31p0 จึงได้แจ้งเตือนให้ผู้ใช้งานเร่งทำการอัปเดตโดยด่วน (more…)