มีการพบว่ากลุ่ม APT ที่ใช้ภาษาจีน กำลังมุ่งเป้าการโจมตีไปยังหน่วยงานด้านโครงสร้างพื้นฐานเว็บในไต้หวัน โดยใช้เครื่องมือ Open-Source ที่ถูกปรับแต่งเพื่อสร้างการแฝงตัวระยะยาวในสภาพแวดล้อมของเหยื่อที่มีมูลค่าสูง (more…)

 

PathWiper มัลแวร์ลบข้อมูลตัวใหม่ ถูกพบในการโจมตีโครงสร้างพื้นฐานสำคัญของยูเครน โดยมุ่งเป้าขัดขวางการทำงาน โดยอาศัยเครื่องมือจัดการระบบที่ถูกต้องในการแพร่กระจาย เหตุการณ์นี้แสดงให้เห็นว่าผู้โจมตีมีสิทธิ์เข้าถึงในฐานะผู้ดูแลระบบอยู่ก่อนแล้ว (more…)

อาชญากรทางไซเบอร์กำลังใช้ประโยชน์จาก Cascading Style Sheets (CSS) ซึ่งเป็นเทคโนโลยีที่ใช้ในการจัดรูปแบบ และตกแต่งเลย์เอาต์ของเว็บเพจ เพื่อหลบเลี่ยง Spam Filters และติดตามการกระทำของผู้ใช้งาน

ข้อมูลดังกล่าวมาจากการค้นพบใหม่ของ Cisco Talos ซึ่งระบุว่า พฤติกรรมที่เป็นอันตรายเหล่านี้อาจส่งผลกระทบต่อความปลอดภัย และความเป็นส่วนตัวของเหยื่อได้ (more…)

นักวิจัยจาก Cisco Talos ที่ทำงานร่วมกับตำรวจเนเธอร์แลนด์ได้รับเครื่องมือถอดรหัสของ Tortilla เวอร์ชันหนึ่งของตระกูล Babuk ransomware จนนำไปสู่การจับกุมกลุ่มแฮ็กเกอร์ที่ทำการโจมตี

Tortilla เป็นเวอร์ชันหนึ่งของตระกูล Babuk ransomware ที่แพร่กระจายอย่างรวดเร็วหลังจากซอร์สโค้ดของมัลแวร์ต้นฉบับถูกปล่อยใน Hacker forum (more…)

แฮ็กเกอร์ที่มีความเชื่อมโยงกับรัฐบาลเบลารุสกำลังกำหนดเป้าหมายการโจมตีไปยังหน่วยงานรัฐบาล และกองทัพในยูเครน และโปแลนด์ด้วยแคมเปญ Spear-Phishing เพื่อแอบติดตั้ง Trojans ที่ใช้เพื่อเข้าถึงได้จากระยะไกล

นักวิจัยจาก Cisco Talos บริษัทรักษาความปลอดภัยทางไซเบอร์ระบุว่า เป้าหมายของผู้โจมตีคือการขโมยข้อมูล และการควบคุมระบบเป้าหมายจากระยะไกล และพบการติดตั้ง payload ของมัลแวร์ njRAT ที่ใช้ขโมยข้อมูล โดยการโจมตีดังกล่าวเริ่มตั้งแต่เดือนเมษายน 2565

เมื่อเร็ว ๆ นี้ทีม Computer Emergency Response ของยูเครนได้ระบุเหตุการณ์ในเดือนกรกฎาคมที่เกิดจากกลุ่มแฮ็กเกอร์ Ghostwriter หรือที่รู้จักกันในชื่อ UNC1151 โดย Mandiant ระบุว่าแฮ็กเกอร์มีความสัมพันธ์ใกล้ชิดกับรัฐบาลเบลารุส ซึ่งเป็นพันธมิตรที่ใกล้ชิดที่สุดของรัสเซียหลังจากการรุกรานยูเครนในเดือนกุมภาพันธ์ 2565 และในรายงานบางฉบับระบุว่ากลุ่ม Ghostwriter นั้นยังมีความเชื่อมโยงกับแฮ็กเกอร์ชาวรัสเซียที่กำหนดเป้าหมายเป็นบุคลากรทางทหารของยูเครน และหน่วยงานราชการของโปแลนด์อย่างต่อเนื่อง

(more…)

หน่วยงานด้านความปลอดภัยทางไซเบอร์จากสหรัฐอเมริกาได้เปิดเผยมัลแวร์ตัวใหม่ที่ใช้โดยกลุ่ม APT ที่ได้รับการสนับสนุนจากรัฐบาลอิหร่านในการโจมตีที่มุ่งเป้าไปยังรัฐบาล และเครือข่ายการค้าทั่วโลก

ข้อมูลนี้ได้รับการยืนยันเช่นเดียวกันจากสำนักงานสืบสวนกลางแห่งสหรัฐอเมริกา (FBI) สำนักงานความมั่นคงปลอดภัยทางไซเบอร์ และโครงสร้างพื้นฐาน (CISA) กองกำลังปฏิบัติการทางไซเบอร์แห่งชาติของสหรัฐฯ (CNMF) และศูนย์ความมั่นคงทางไซเบอร์แห่งชาติ (NCSC)

ในปีนี้กลุ่ม MuddyWater ถูกเปิดเผยว่ากำลังดำเนินการภายใต้ปฏิบัติการของกระทรวงข่าวกรอง และความมั่นคงของอิหร่าน (MOIS) ที่มุ่งเป้าไปยังองค์กรภาครัฐ และเอกชนหลายราย รวมถึงผู้ให้บริการโทรคมนาคม การป้องกันประเทศ รัฐบาลท้องถิ่น และภาคอุตสาหกรรมน้ำมัน และก๊าซธรรมชาติ ในเอเชีย แอฟริกา ยุโรป และอเมริกาเหนือ

กลุ่ม MuddyWater ยังเป็นที่รู้จักภายใต้ชื่อ Earth Vetala, MERCURY, Static Kitten, Seedworm และ TEMP.Zagros โดยมีเป้าหมายในการโจมตีทางไซเบอร์เพื่อสนับสนุนวัตถุประสงค์ของ MOIS มาตั้งแต่ปี 2018

(more…)

Cisco Talos ทำบล็อกแจ้งเตือนใหม่โดยเผลอหลุดชื่อช่องโหว่ RCE ใน SMBv3 ที่ไมโครซอฟต์กำลังจะออกแพตช์รหัส CVE-2020-0796 โดยช่องโหว่นี้มีลักษณะ Wormable ได้ ซึ่งหมายถึงว่ามันสามารถถูกเอามาใช้แพร่กระจายได้เช่นเดียวกับกรณีของ CVE-2017-0143/0144 ที่ #WannaCry ใช้

ตอนนี้ IPS ก็เริ่มมี signature มาก่อนแล้วโดยที่ข้อมูลช่องโหว่ยังไม่มีออกมา แต่จากรายละเอียดก็พอบอกได้แต่เพียงว่าเป็นช่องโหว่ Buffer Overflow ในส่วนของกระบวนการ compress packet

ด้วยสถานการณ์ตอนนี้ Patch Tuesday ที่กำลังจะมาถึงอาจจะเป็นหนึ่งในแพตช์ที่ช่วยรักษาชีวิตของเราไว้ได้อย่างที่เราคาดไม่ถึงครับ

ที่มา : twitter

ObliqueRAT เชื่อมโยงกับกลุ่มภัยคุกคามที่เริ่มโจมตีโดยมีรัฐบาลเป็นเป้าหมาย เน้นภูมิภาคเอเชียตะวันออกเฉียงใต้
นักวิจัยเปิดเผย Remote Access Trojan (RAT) ตัวใหม่ที่ดูเหมือนจะเป็นงานฝีมือของกลุ่มภัยคุกคามที่เชี่ยวชาญในการโจมตีรัฐบาล นักวิจัยของ Cisco Talos กล่าวว่ามัลแวร์ที่ถูกเรียกว่า ObliqueRAT กำลังถูกปล่อยในแคมเปญใหม่ที่มุ่งเน้นไปที่เป้าหมายในเอเชียตะวันออกเฉียงใต้ แคมเปญล่าสุดเริ่มขึ้นในเดือนมกราคม 2563 และกำลังดำเนินการอยู่อย่างต่อเนื่อง
อาชญากรไซเบอร์ที่อยู่เบื้องหลังโครงการนี้ใช้ฟิชชิ่งอีเมลเป็นจุดเริ่มต้นในการโจมตี อีเมลดังกล่าวแนบเอกสาร Microsoft Office ที่เป็นอันตราย ซึ่งจะทำการแพร่ RAT ตามมา
เอกสารแนบจะมีชื่อที่ไม่น่าสงสัย เช่น Company-Terms.

พบช่องโหว่ร้ายแรงสามารถเข้าควบคุมเราเตอร์ D-Link ได้

ทีมนักวิจัยจากมหาวิทยาลัย Silesian ในประเทศโปแลนด์ได้พบช่องโหว่หลายรายการซึ่งส่งผลกระทบกับเราเตอร์ D-Link หลายรุ่นประกอบด้วย DWR-116, DWR-111, DIR-140L, DIR-640L, DWR-512, DWR-712, DWR-912 และ DWR-921 โดยช่องโหว่ร้ายแรงสามารถทำให้แฮกเกอร์เข้าควบคุมอุปกรณ์ได้เลยทีเดียว

หนึ่งในช่องโหว่เป็น Directory Traversal (CVE-2018-10822) ส่งผลให้ผู้โจมตีสามารถเข้ามาอ่านไฟล์ผ่าน HTTP Request ได้ ซึ่งก่อนหน้านี้ช่องโหว่เคยถูกรายงานมาแล้ว (CVE-2017-6190) แต่ทางผู้ผลิตล้มเหลวในการแก้ไขช่องโหว่ที่เกิดขึ้นบนผลิตภัณฑ์ของตนเองหลายรุ่น นอกจากนี้ยังมี

CVE-2018-10824 เป็นช่องโหว่ที่ทำให้ผู้โจมตีสามารถเข้าถึงไฟล์เก็บรหัสผ่านของ Admin ที่พบว่าไม่มีการเข้ารหัสด้วย โดยนักวิจัยไม่ได้เผยที่ตั้งไฟล์เพราะเกรงว่าจะเป็นการชี้ช่องทาง
CVE-2018-10823 เป็นช่องโหว่ที่ทำให้เกิดการรันคำสั่งและสามารถเข้าควบคุมอุปกรณ์ได้อย่างสมบูรณ์ หลังจากทำการ authenticate สำเร็จแล้ว

แม้ว่าทางบริษัทผู้ผลิตจะได้รับการแจ้งเตือนช่องโหว่ต่างๆ ตั้งแต่เดือนพฤษภาคมและให้สัญญาว่าจะออกแพตช์สำหรับเราเตอร์รุ่น DWR-116 และ DWR-111 พร้อมแจ้งเตือนสำหรับผลิตภัณฑ์ที่เก่าจนไม่ได้รับการรองรับแล้ว แต่จนบัดนี้ทาง D-Link ก็ยังไม่มีแพตช์ใดๆ ออกมาจนทำให้นักวิจัยตัดสินใจเผยรายละเอียดต่อสาธารณะ สำหรับผู้ใช้งานที่ได้รับผลกระทบควรไปตั้งค่าปิดการเข้าถึงเราเตอร์ผ่านอินเทอร์เน็ต

เช่นเดียวกับการค้นพบช่องโหว่ใน Linksys E-Series เร้าเตอร์ โดยนักวิจัยจาก Cisco Talos เป็นข้อผิดพลาดใน Injection Command ของระบบปฏิบัติการ ส่งผลให้สามารถเข้าถึงเครื่องและติดตั้งมัลแวร์ได้ ซึ่งข้อแตกต่างจากช่องโหว่ในผลิตภัณฑ์ D-Link คือสามารถโจมตีสำเร็จได้เมื่อทำการ authenticate แล้วเท่านั้น และได้มีการออกแพทช์เรียบร้อยแล้ว

ที่มา:securityweek

ทีม Cisco Talos ได้มีการประกาศถึงโปรเจคล่าสุดวันนี้โดยโปรเจคดังกล่าวนั้นเป็นโปรแกรมสำหรับถอดรหัสไฟล์ที่ถูกเข้ารหัสโดยมัลแวร์เรียกค่าไถ่ Thanatos ซึ่งเคยแพร่กระจายอยู่ในช่วงเดือนกุมภาพันธ์ที่ผ่านมา หลังจากที่มีการค้นพบว่ามัลแวร์เรียกค่าไถ่ Thanatos มีบั๊กในโปรแกรมทำให้ไม่สามารถถอดรหัสไฟล์ได้แม้จะถูกถอดรหัสไฟล์โดยผู้พัฒนามัลแวร์เอง

เมื่อเข้ารหัสไฟล์ มัลแวร์เรียกค่าไถ่ Thanatos จะทำการแก้ไขนามสกุลโดยต่อท้ายคำว่า ".THANATOS" ไปด้วย เป้าหมายของมัลแวร์เรียกค่าไถ่ Thanatos นั้นได้แก่ไฟล์หลายประเภททั้งไฟล์เอกสารทั่วไปไปจนถึงไฟล์ .VMDK หรือไฟล์ .LNK

ผู้ใช้งานที่ได้รับผลกระทบจากมัลแวร์เรียกค่าไถ่ Thanatos สามารถดาวโหลดโปรแกรมถอดรหัสได้ที่ลิงค์ด้านล่าง โดยจะต้องติดตั้ง Microsoft Visual C++ Redistributable for Visual Studio 2017 ก่อนจึงจะสามารถรันในเครื่องที่ถูกเข้ารหัสเพื่อถอดรหัสไฟล์ได้

Thanatos Decryptor: https://github.