หน่วยงานความมั่นคงปลอดภัยทางไซเบอร์ และโครงสร้างพื้นฐานของสหรัฐ (CISA) ได้เพิ่มช่องโหว่สามรายการไปในแคตตาล็อก Known Exploited Vulnerabilities (KEV) โดยอ้างถึงหลักฐานของการพบการตั้งเป้าหมายการโจมตีไปที่ช่องโหว่ดังกล่าว

ช่องโหว่ TerraMaster (TNAS)

CVE-2022-24990 เป็นช่องโหว่ที่ส่งผลต่ออุปกรณ์จัดเก็บข้อมูลกับเครือข่าย TerraMaster network-attached storage (TNAS) ซึ่งอาจนำไปสู่การเรียกใช้โค้ดที่เป็นอันตรายจากระยะไกล (RCE) โดยไม่ต้องผ่านการตรวจสอบสิทธิ์ด้วยสิทธิ์สูงสุด ซึ่งช่องโหว่ CVE-2022-24990 ได้รับการเปิดเผยโดย Octagon Networks บริษัทวิจัยด้านความปลอดภัยทางไซเบอร์ของเอธิโอเปียในเดือนมีนาคม 2565 รวมไปถึงหน่วยงานรัฐบาลของสหรัฐฯ และเกาหลีใต้ได้ระบุว่า ช่องโหว่ดังกล่าวได้ถูกใช้โดย Hacker ชาวเกาหลีเหนือ เพื่อโจมตีหน่วยงานด้านสุขภาพ และโครงสร้างพื้นฐานที่สำคัญด้วยแรนซัมแวร์

ช่องโหว่ Intel ethernet

CVE-2015-2291 เป็นช่องโหว่ที่ส่งผลต่อไดรเวอร์ Intel ethernet สำหรับ Windows (IQVW32.sys และ IQVW64.sys) ซึ่งอาจทำให้อุปกรณ์ที่ได้รับผลกระทบเข้าสู่สถานะ Denial-of-Service state (DOS) โดยช่องโหว่ CVE-2015-2291 ได้รับการเปิดเผยโดย CrowdStrike ในเดือนมกราคม 2023 โดยเกี่ยวข้องกับการโจมตีจาก Scattered Spider (หรือที่รู้จักในชื่อ Roasted 0ktapus หรือ UNC3944) ซึ่งสามารถที่จะใช้วิธีการที่เรียกว่า Bring Your Own Vulnerable Driver (BYOVD) เพื่อหลีกเลี่ยงการตรวจจับจากซอฟต์แวร์รักษาความปลอดภัยที่ติดตั้งบนเครื่องเป้าหมายได้ รวมถึงยังพบว่าเทคนิคดังกล่าวได้ถูกนำไปใช้โดยกลุ่ม Hacker จำนวนมาก เช่น BlackByte, Earth Longzhi, Lazarus Group และ OldGremlin

ช่องโหว่ GoAnywhere MFT

CVE-2023-0669 เป็นช่องโหว่การเรียกใช้โค้ดที่เป็นอันตรายจากระยะไกล (RCE) ที่ค้นพบใน GoAnywhere MFT managed file transfer application ของ Fortra โดยขณะนี้ ทาง Fortra ได้ปล่อยตัวอัปเดตเพื่อป้องกันช่องโหว่ดังกล่าวออกมาแล้ว จึงได้เตือนให้ผู้ดูแลระบบเร่งทำการอัปเดตโดยเร็ว

รวมไปถึง Huntress บริษัทผู้ให้บริการด้านความปลอดภัย ได้พบการนำช่องโหว่ CVE-2023-0669 ไปใช้ร่วมกับ TrueBot ซึ่งเป็นมัลแวร์บน Windows ที่มาจากกลุ่ม Silence และแชร์การเชื่อมต่อกับ Evil Corp ซึ่งมาจากกลุ่ม Hacker ชาวรัสเซียในชื่อ TA505

ที่มา : thehackernews

วันจันทร์ที่ 28 พฤศจิกายน 2022 ที่ผ่านมา สำนักงานความมั่นคงปลอดภัยทางไซเบอร์ และโครงสร้างพื้นฐานของอเมริกา (CISA) ได้เพิ่มช่องโหว่ที่ส่งผลกระทบต่อ Oracle Fusion Middleware ลงในแค็ตตาล็อกช่องโหว่ (KEV) โดยช่องโหว่มีหมายเลข CVE-2021-35587 มีคะแนน CVSS 9.8 โดยส่งผลกระทบต่อ Oracle Access Manager (OAM) เวอร์ชัน 11.1.2.3.0, 12.2.1.3.0 และ 12.2.1.4.0 ทำให้ผู้โจมตีที่ไม่ผ่านการยืนยันตัวตนมีสิทธิ์เข้าถึงเครือข่ายได้ทั้งหมด และใช้คำสั่งในอินสแตนซ์ประมวลผลคำสั่งจากระยะไกลในการเข้าถึงข้อมูล นอกจากนี้ยังอนุญาตให้ผู้โจมตีเข้าถึงเซิร์ฟเวอร์ OAM เป็นซอฟต์แวร์จากค่าย Oracle ซึ่งมีหน้าที่ในการช่วยจัดการกระบวนการพิสูจน์ และยืนยันตัวตนในรูปแบบของ Single Sign-On ในหลายรูปแบบอุปกรณ์

Greynoise ผู้เชี่ยวชาญด้าน Cybersecurity ยังเห็นว่าความพยายามในการโจมตีนั้นดำเนินไปอย่างต่อเนื่อง และมาจากสหรัฐอเมริกา จีน สิงคโปร์ และแคนาดา นอกจากนี้ CISA ที่เพิ่มรายการลงในแค็ตตาล็อกช่องโหว่ (KEV) ยังเป็นช่องโหว่ heap buffer overflow ที่พึ่งได้รับการแก้ไขในเว็บเบราว์เซอร์ Google Chrome (CVE-2022-4135) ซึ่งผู้ให้บริการอินเทอร์เน็ตยักษ์ใหญ่ยอมรับว่าถูกโจมตีจริง ดังนั้นหน่วยงานของรัฐบาลกลางจะต้องอัปเดตแพตช์ภายในวันจันทร์ที่ 19 ธันวาคม 2022 เพื่อรักษาความปลอดภัยเครือข่ายจากภัยคุกคามที่อาจเกิดขึ้นในครั้งนี้

ที่มา : thehackernews

CISA เตือนผู้โจมตีใช้ประโยชน์จากช่องโหว่ของ Windows Print Spooler

Cybersecurity and Infrastructure Security Agency (CISA) เพิ่ม 3 ช่องโหว่ความปลอดภัยใหม่ รวมถึงช่องโหว่ในการยกระดับสิทธิ์ใน Windows Print Spooler

ช่องโหว่ที่มีความรุนแรงสูงนี้ (CVE-2022-22718) ส่งผลกระทบกับ Windows ทุกรุ่น ซึ่ง Microsoft ออกแพตซ์แก้ไขมาแล้วในช่วงเดือนกุมภาพันธ์ 2022

ข้อมูลที่ Microsoft เผยแพร่เกี่ยวกับช่องโหว่นี้คือ ผู้โจมตีสามารถจะสามารถโจมตีได้ไม่ยากเมื่อเข้าถึงเครื่องเหยื่อได้ และไม่จำเป็นต้องให้เหยื่อดำเนินการใดๆก่อนเพื่อให้การโจมตีสำเร็จ

Microsoft เคยแก้ไขช่องโหว่อื่นๆ ของ Windows Print Spooler ในช่วง 12 เดือนที่ผ่านมา รวมถึงช่องโหว่การเรียกใช้โค้ดที่เป็นอันตรายจากระยะไกลของ PrintNightmare

หลังจากรายละเอียด และ POC Exploit สำหรับ PrintNightmare รั่วไหลโดยไม่ตั้งใจ CISA ได้เตือนผู้ดูแลระบบให้ปิดใช้งานบริการ Windows Print Spooler บน Domain Controller และระบบที่ไม่ได้ใช้งาน เพื่อป้องกันการโจมตีที่อาจจะเกิดขึ้น

เมื่อสัปดาห์ที่แล้ว CISA ได้เพิ่มช่องโหว่การยกระดับสิทธิ์ใน Log File System Driver ของ Windows ลงในรายการช่องโหว่ที่เริ่มพบเห็นการโจมตี ซึ่งเป็นช่องโหว่ที่ถูกพบโดย CrowdStrike และสำนักงานความมั่นคงแห่งชาติของสหรัฐอเมริกา (NSA) และถูกแก้ไขโดย Microsoft ในช่วงแพทช์วันอังคารนี้

(more…)

Trend Micro บริษัท Cybersecurity สัญชาติญี่ปุ่น ออกแพตช์แก้ไขช่องโหว่ด้านความปลอดภัยที่มีระดับความรุนแรงสูงใน Apex Central management console ซึ่งทำให้ผู้โจมตีสามารถสั่งรันโค้ดที่เป็นอันตรายได้จากระยะไกล

Apex Central มีหน้า web-based management console ที่ช่วยให้ผู้ดูแลระบบสามารถจัดการผลิตภัณฑ์ และบริการของ Trend Micro ต่างๆ (รวมถึงผลิตภัณฑ์ และบริการด้านการป้องกันไวรัส) และยังสามารถใช้เพื่อติดตั้ง ไฟล์ Antivirus pattern, Scan engines และ antispam rules ด้วยวิธีการ Manual หรือตั้ง scheduled โดยอัตโนมัติไว้ล่วงหน้า

ช่องโหว่ CVE-2022-26871 เป็นช่องโหว่ที่มีระดับความรุนแรงสูง เรื่องการอัปโหลดไฟล์ในโมดูลการจัดการไฟล์ ซึ่งทำให้ผู้โจมตีสามารถโจมตีได้โดยไม่ต้องมีการตรวจสอบสิทธิ์ ซึ่งหากโจมตีได้สำเร็จผู้โจมตีสามารถเรียกใช้โค้ดที่เป็นอันตรายจากระยะไกลได้

"ซึ่งปัจจุบันทาง Trend Micro ได้พบการพยายามโจมตีอย่างต่อเนื่องด้วยช่องโหว่ดังกล่าว และเราได้แจ้งเตือนกับลูกค้าแล้ว" บริษัทกล่าว

CISA สั่งให้หน่วยงานของรัฐบาลอัปเดตแพตช์

Trend Micro ได้มีการแจ้งให้ลูกค้าที่ได้รับผลกระทบ อัปเดตเป็นเวอร์ชันล่าสุดโดยเร็วที่สุด ส่วนเวอร์ชัน Software as a service (SaaS) ถูกอัปเดตโดย Trend Micro แล้วโดยอัตโนมัติ ผู้ใช้งานไม่จำเป็นต้องดำเนินการใดๆ เพิ่มเติมเกี่ยวกับช่องโหว่นี้

เมื่อถูกถามถึงจำนวนลูกค้าที่ตกเป็นเป้าหมายในการโจมตี และระบบของพวกเขาที่อาจถูกเข้าถึงจากช่องโหว่นี้ Funda Cizgenakad ของ Trend Micro บอกกับ BleepingComputer ว่าบริษัท "ไม่สามารถให้ข้อมูลเกี่ยวกับลูกค้าได้ เนื่องจากเป็นความลับของทางบริษัท"

หลังจากการเปิดเผยข้อมูลของ Trend Micro ทาง Cybersecurity and Infrastructure Security Agency (CISA) ได้สั่งให้หน่วยงานของรัฐบาลแก้ไขช่องโหว่ใน Apex Central ที่อาจถูกโจมตีได้ ภายในสามสัปดาห์ จนถึงวันที่ 21 เมษายน 2022

CISA ได้เพิ่มช่องโหว่ของ Trend Micro ลงใน Known Exploited Vulnerabilities Catalog ซึ่งเป็นรายการช่องโหว่ด้านความปลอดภัย ร่วมกับอีก 7 รายการ รวมถึงช่องโหว่ที่มีระดับความรุนแรงสูงใน Sophos firewall

ที่มา: bleepingcomputer.

US Cybersecurity and Infrastructure Security Agency (CISA) ได้อัปเดตการแจ้งเตือน IOC ของ Conti ransomware ซึ่งประกอบด้วยชื่อโดเมนเกือบ 100 ชื่อที่ทางกลุ่มใช้ในการดำเนินการที่ผ่านมา

การแจ้งเตือนเกี่ยวกับ Conti Ransomware ถูกเผยแพร่ครั้งแรกตั้งแต่วันที่ 22 กันยายน พ.ศ. 2564 โดยมีรายละเอียดที่ CISA และสำนักงานสืบสวนสหรัฐอเมริกา (FBI) ให้ข้อมูลรายละเอียดของการโจมตีจาก Conti ransomware ที่กำหนดเป้าหมายเป็นองค์กรต่างๆ ในสหรัฐอเมริกา ส่วนข้อมูลอัพเดทครั้งล่าสุดเป็นข้อมูลจาก US Secret Service

(more…)

CISA อัปเดตคำแนะนำสำหรับการป้องกันและรับมือกับการใช้ประโยชน์จากช่องโหว่ใน Microsoft Exchange Server

หน่วยงานรักษาความปลอดภัยทางไซเบอร์และโครงสร้างพื้นฐาน (Cybersecurity and Infrastructure Security Agency - CISA) ได้อัปเดตคำแนะนำสำหรับการป้องกันและรับมือกับการใช้ประโยชน์จากช่องโหว่ใน Microsoft Exchange Server ที่ถูกใช้โจมตีอย่างต่อเนื่อง รวมถึงรายงานการวิเคราะห์มัลแวร์ (Malware Analysis Reports - MAR) ที่อาศัยช่องโหว่ในการโจมตี

CISA ยังได้ทำการอัปเดตรายงานการวิเคราะห์มัลแวร์ที่มีอยู่ 7 รายการ พร้อมทั้งเพิ่ม YARA rules เพื่อช่วยตรวจจับมัลแวร์และป้องกันการโจมตีที่อาจเกิดขึ้นได้ในอนาคต

ทั้งนี้ผู้ที่สนใจรายละเอียดเพิ่มเติมสามารถอ่านรายงานและคำแนะนำสำหรับการป้องกันและรับมือกับการใช้ประโยชน์จากช่องโหว่ใน Microsoft Exchange Server ได้ที่: https://us-cert.

กลุ่ม Cyber Unified Coordination Group (UCG) ซึ่งเป็นการจัดตั้งขึ้นโดยการรวม FBI, CISA, ODNI และ NSA เฉพาะกิจได้มีการออกแถลงการณ์ยืนยันว่าการโจมตีที่เกิดขึ้นนั้นอาจมีชาวรัสเซียหรือผู้ที่ใช้ภาษารัสเซียเป็นหลักอยู่เบื้องหลัง

นอกเหนือจากการเปิดเผยข้อยืนยันในส่วนของผู้อยู่เบื้องหลังการโจมตีแล้ว UCG ยังออกมาเปิดเผยถึงหน่วยงานรัฐฯ ที่ได้รับผลกระทบว่ามีน้อยกว่า 10 ราย แม้จะมีการระบุจาก SolarWinds แก่ SEC ว่ามีองค์กรที่ดาวโหลดอัปเดตที่มีมัลแวร์ไปกว่า 18,000 ราย ข้อเท็จจริงนี้มีความเป็นไปได้สูงด้วยกลไกการทำงานของมัลแวร์ SUNBURST ที่ทำให้ผู้โจมตีสามารถเลือกเป้าหมายที่ติดมัลแวร์เพื่อโจมตีต่อไปได้

UCG เชื่อว่าเป้าหมายของการโจมตีนั้นมีจุดประสงค์เพื่อการรวบรวมข้อมูลข่าวกรอง ซึ่งอาจทำให้เราสามารถอนุมานได้ว่าผู้ที่อยู่เบื้องหลังการโจมตีจะสามารถใช้ประโยชน์จากข้อมูลข่าวกรองได้ ซึ่งก็หมายถึงหน่วยความข่าวกรองซึ่งเป็นปฏิปักษ์ต่อสหรัฐอเมริกานั่นเอง

ที่มา: www.

หน่วย US Cyber Command เผยแพร่ข้อมูลแบ็คดอร์ซึ่งถูกใช้โดยรัสเซีย พุ่งเป้าหน่วยงานราชการในหลายประเทศ

หน่วย US Cyber Command เผยแพร่ข้อมูลแบ็คดอร์ที่ถูกใช้โดยกลุ่มแฮกเกอร์ Turla และ APT28 ซึ่งเชื่อว่ามีรัฐบาลรัสเซียหนุนหลังปฏิบัติการ กลุ่ม Turla พุ่งเป้าหน่วยงานราชการในหลายประเทศ โดยมีประวัติการโจมตีกองบัญชาการกลางของกองทัพสหรัฐฯ, กระทรวงกลาโหมและองค์การนาซ่าด้วย

ข้อมูลของมัลแวร์ที่เผยแพร่ออกมานั้นมีสองส่วน ส่วนแรกเป็นสคริปต์ซึ่งเกี่ยวข้องกับมัลแวร์ ComRAT ในลักษณะของสคริปต์ PowerShell (https://us-cert.

CISA ออกประกาศรหัส AA20-301A เมื่อวันที่ 27 ที่ผ่านมาโดยมีเนื้อหาสำคัญถึงการพูดถึงพฤติกรรมและความเคลื่อนไหวของกลุ่มแฮกเกอร์สัญชาติเกาหลีเหนือ Kimsuky ซึ่งมีเป้าหมายการโจมตีอยู่ทั่วโลก

จากรายงานที่เผยแพร่ออกมา กลุ่ม Kimsuky เริ่มการเคลื่อนไหวตั้งแต่ปี 2012 โดยถูกควบคุมและสั่งการจากรัฐบาลเกาหลีเพื่อการสืบหาข่าวกรอง เป้าหมายของการโจมตีโดยส่วนใหญ่เป็นบุคคลและองค์กรในเกาหลีใต้ ญี่ปุ่นและสหรัฐอเมริกา พฤติกรรมของกลุ่มไม่มีความแตกต่างเท่าใดนักหากเทียบกับแฮกเกอร์กลุ่มอื่น โดย Kimsuky จะโจมตีเป้าหมายโดยวิธีการแบบ Social engineering และ Watering hole ก่อนจะเข้าถึงและเคลื่อนย้ายตัวเองในเครือข่ายของเป้าหมาย เมื่อถึงจุดหนึ่ง กลุ่ม Kimsuky จะรวบรวมข้อมูลและลักลอบส่งออกมาทั้งทางอีเมลหรือติดต่อไปยัง C&C

CISA มีการระบุถึงพฤติกรรมเชิงลึกของกลุ่มพร้อมกับ TTP และ IOC ข้อมูลเพื่อช่วยในลดความเสี่ยงที่จะถูกโจมตีเหล่านี้สามารถดูเพิ่มเติมได้จากแหล่งที่มา

ที่มา: us-cert.

หน่วยงานรักษาความปลอดภัยทางไซเบอร์และโครงสร้างพื้นฐานของสหรัฐอเมริกา (Cybersecurity and Infrastructure Security Agency - CISA) ได้ออกเเจ้งเตือนถึงการตรวจพบกิจกรรมที่เพิ่มขึ้นของมัลแวร์ LokiBot ตั้งแต่เดือนกรกฎาคม 2020 จากระบบตรวจจับการบุกรุก EINSTEIN ของ CISA

LokiBot หรือที่เรียกว่า Lokibot, Loki PWS และ Loki-bot เป็นมัลแวร์โทรจันที่ถูกใช้เพื่อขโมยข้อมูลที่ละเอียดอ่อนเช่น ชื่อผู้ใช้, รหัสผ่าน, Cryptocurrency wallet และ Credential อื่นๆ โดยเมื่อเหยื่อติดมัลแวร์แล้วมัลแวร์จะทำการค้นหาแอปที่ติดตั้งในเครื่องและแยกข้อมูล Credential จากฐานข้อมูลภายในและทำการส่งข้อมูลที่ค้บพบกลับมาที่เซิฟเวอร์ C&C ของเเฮกเกอร์ นอกจากนี้ LokiBot ได้ทำการพัฒนาขึ้นเพื่อทำให้สามารถ keylogger แบบเรียลไทม์เพื่อจับการกดแป้นพิมพ์และขโมยรหัสผ่านสำหรับบัญชีที่ไม่ได้เก็บไว้ในฐานข้อมูลภายในของเบราว์เซอร์และยังมีความสามารถ Desktop screenshot เพื่อทำการบันทึกเอกสารที่ถูกเปิดบนคอมพิวเตอร์ของเหยื่อ

LokiBot นอกจากจะถูกใช้เพื่อในการขโมยข้อมูลแล้วตัวบอทยังทำหน้าที่เป็นแบ็คดอร์ทำให้แฮกเกอร์สามารถเรียกใช้มัลแวร์อื่นๆ บนโฮสต์ที่ติดไวรัสและอาจทำให้การโจมตีเพิ่มขึ้น

ผู้ใช้งานอินเตอร์เน็ตควรทำการระมัดระวังในการใช้งานไม่ควรทำการดาวน์โหลดไฟล์จากเเหล่งที่มาที่ไม่เเน่ชัดหรือเข้าคลิกเข้าเว็บไซต์ที่ไม่รู้จัก นอกจากนี้ผู้ใช้ควรทำการใช้ซอฟเเวร์ป้องกันไวรัสและทำการอัปเดต Signature อยู่เสมอเพื่อเป็นการป้องกันไม่ให้ตกเป็นเหยื่อของมัลแวร์ ทั้งนี้ผู้ที่สนใจรายละเอียด IOC สามารถดูได้ที่ : CISA

ที่มา : ZDnet