มีการค้นพบมัลแวร์บนระบบ Linux ที่ไม่เคยถูกบันทึกข้อมูลมาก่อนชื่อ Quasar Linux (QLNX) ซึ่งกำลังมุ่งเป้าโจมตีระบบของเหล่านักพัฒนา ด้วยความสามารถผสมผสานทั้งการเป็น Rootkit, Backdoor และการขโมยข้อมูล Credential

ชุดมัลแวร์นี้ ถูกนำไปใช้งานในสภาพแวดล้อมการพัฒนา และ DevOps บน npm, PyPI, GitHub, AWS, Docker และ Kubernetes ซึ่งอาจนำไปสู่การโจมตีแบบ Supply-chain โดยผู้ไม่หวังดีจะทำการเผยแพร่แพ็กเกจอันตรายลงบนแพลตฟอร์มการกระจายโค้ดต่าง ๆ

นักวิจัยจากบริษัทด้านความปลอดภัยทางไซเบอร์ Trend Micro ได้วิเคราะห์ QLNX และพบว่า "มันจะใช้เทคนิค Dynamically Compiles Rootkit shared objects และ PAM backdoor modules บนเครื่องเป้าหมายอัตโนมัติ โดยใช้ gcc [GNU Compiler Collection]"

รายงานจากบริษัทในสัปดาห์นี้ระบุว่า QLNX ถูกออกแบบมาเพื่อเน้นการซ่อนตัว และการแฝงตัวอยู่ระยะยาวโดยมันจะทำงานอยู่บนหน่วยความจำ พร้อมกับลบไฟล์ไบนารีต้นฉบับออกจากดิสก์, ลบ Logs, เปลี่ยนชื่อ Process และ Clear ค่า environment variables สำหรับการทำ forensics

มัลแวร์นี้ยังใช้กลไกการแฝงตัวที่แตกต่างกันถึง 7 รูปแบบ รวมถึง LD_PRELOAD, systemd, crontab, init.

มีการปล่อยโค้ดสำหรับที่ใช้ในการโจมตีระบบของช่องโหว่ Windows privilege escalation ที่ยังไม่ได้รับการแพตช์แก้ไข ซึ่งเคยมีการรายงานให้ทาง Microsoft ทราบเป็นการส่วนตัว โดยช่องโหว่ดังกล่าวจะทำให้ผู้โจมตีสามารถเข้าถึงสิทธิ์ระดับ SYSTEM หรือสิทธิ์ผู้ดูแลระบบขั้นสูงได้ (more…)

กลุ่มแฮ็กเกอร์ที่ถูกติดตามในชื่อ Storm-2561 กำลังเผยแพร่โปรแกรม enterprise VPN ปลอม ที่แอบอ้างว่าเป็นของ Ivanti, Cisco และ Fortinet เพื่อขโมยข้อมูล Credential ของ VPN จากผู้ใช้ที่ไม่ทันระวังตัว

(more…)

Lukas Stefanko นักวิจัยด้านความปลอดภัยทางไซเบอร์จาก ESET ได้เปิดเผยถึงการพบมัลแวร์ที่ถูกเรียกว่า “BlackRock” โดยมัลแวร์ดังกล่าวจะถูกเเฝงไปกับแอปพลิเคชันปลอมของแอปพลิเคชันยอดนิยมในขณะนี้อย่าง Clubhouse เวอร์ชัน Android ซึ่งในขณะนี้แอปพลิเคชันยังไม่มีเวอร์ชัน Android

นักวิจัยกล่าวต่อว่ามัลแวร์ถูกสร้างขึ้นเพื่อจุดประสงค์ในการขโมยข้อมูลการเข้าสู่ระบบของผู้ที่ตกเป็นเหยื่อ โดยมัลแวร์ได้กำหนดเป้าหมาย ซึ่งประกอบด้วยแอปทางการเงินและการช็อปปิ้งทุกประเภท รวมถึงแอปการแลกเปลี่ยนสกุลเงินดิจิทัลตลอดจนแอปโซเชียลมีเดีย เช่น Facebook, Twitter, Whatsapp, Amazon, Netflix และบริการออนไลน์อื่น ๆ อีก 458 รายการ

“BlackRock” จะใช้การโจมตีแบบ Overlay Attack ที่ช่วยให้สามารถขโมยข้อมูล Credential ของผู้ที่ตกเป็นเหยื่อและเมื่อใดก็ตามที่แอปที่เป็นเป้าหมายเปิดตัวขึ้น ระบบจะขอให้ผู้ใช้ป้อนข้อมูลการเข้าสู่ระบบของตน ซึ่งจะทำให้ผู้โจมตีสามารถทราบและเข้าถึงข้อมูล Credential ผู้ที่ตกเหยื่อ นอกจากนี้มัลแวร์ยังสามารถดัก SMS ที่อาจใช้กับฟีเจอร์การยืนยันตัวตนหลายขั้นตอนของผู้ใช้อีกด้วย

นักวิจัยกล่าวอีกว่ามัลแวร์ถูกเเพร่กระจายโดยเว็บไซต์ของผู้ประสงค์ร้ายที่ได้ทำการสร้างเว็บไซต์ที่เหมือนกันเว็บไซต์ Clubhouse ที่ถูกต้องและเมื่อผู้ใช้ดาวน์โหลดแอปจากเว็บไซต์ตัวเว็บผู้ใช้จะได้รับ Android Package Kit (APK) ของ Clubhouse เวอร์ชันปลอม

ทั้งนี้เพื่อหลีกเลี่ยงการตกเป็นเหยื่อของมัลแวร์ “BlackRock” ผู้ใช้ควรทำการหลีกเลี่ยงการดาวน์โหลดแอปจากเว็บไซต์ที่ไม่รู้เเหล่งที่มา อย่างไรก็ตาม Clubhouse กำลังวางแผนที่จะเปิดตัวแอปเวอร์ชัน Android ซึ่งในขณะนี้มีเพียงแพลตฟอร์มสำหรับผู้ใช้ iOS เท่านั้น ผู้ใช้ Android ควรทำการติดตามข่าวสารของแอปพลิเคชันและควรทำการดาวน์โหลดแอปจาก Google Play เท่านั้น

ที่มา: hackread

ผู้ใช้ Android สามารถใช้ฟีเจอร์ Password Checkup ของ Google ได้แล้วหลังจากที่ Google เปิดฟีเจอร์ให้สามารถใช้งานใน Chrome เบราว์เซอร์เมื่อปลายปี 2019 ที่ผ่านมา

ฟีเจอร์ Password Checkup ของ Google เป็นฟีเจอร์การตรวจสอบรหัสผ่านว่าเคยรั่วไหลทางออนไลน์หรือไม่จากฐานข้อมูลที่มีบันทึกหลายพันล้านรายการจากการละเมิดข้อมูลสาธารณะและถูกจัดให้เป็นเป็นส่วนหนึ่งของ Autofill with Google ที่ถูกใช้ในระบบปฏิบัติเพื่อเลือกข้อความจากแคชและกรอกแบบฟอร์ม

Google กล่าวว่าการใช้งานฟีเจอร์ Password Checkup นั้น กลไกการตรวจสอบรหัสผ่านนี้จะไม่เปิดเผยข้อมูล Credential ของผู้ใช้เนื่องจากฟีเจอร์จะทำการตรววจสอบเฉพาะแฮชของข้อมูล Credential เท่านั้น จากนั้นเซิร์ฟเวอร์ทำการตรวจสอบแฮชจากฐานข้อมูลและจะส่งคืนค่ารายการแฮชที่เข้ารหัสของข้อมูล Credential ที่ทำการตรวจสอบเพื่อแจ้งให้ผู้ใช้ทราบว่าข้อมูลเคยถูกละเมิดหรือไม่

ฟีเจอร์ Password Checkup ของ Google นี้ผู้ใช้ Android 9+ ทุกคนสามารถใช้งานได้วันนี้ โดยสามารถเปิดใช้งานการได้โดยเข้าไปที่ Settings จากนั้นไปที่ System > Languages & input > Advanced จากนั้นมองหา Autofill service เพื่อเปิดการใช้งาน ทั้งนี้ผู้ใช้ iOS 14 มีฟีเจอร์การตรวจสอบรหัสผ่านที่คล้ายกันอยู่แล้วตั้งเเต่กลางปี 2019 ที่ผ่านมา

ที่มา: zdnet

Cisco เปิดตัวแพตช์อัปเดตความปลอดภัยสำหรับช่องโหว่ใน AnyConnect Secure Mobility Client สำหรับ Windows โดยช่องโหว่อาจทำให้ผู้โจมตีที่อยู่ภายในระบบและได้รับการตรวจสอบความถูกต้องสามารถทำการโจมตีแบบ Hijacking DLL บนอุปกรณ์ที่ได้รับผลกระทบหากโมดูล VPN Posture (HostScan) ถูกติดตั้งบน AnyConnect client

ช่องโหว่ถูกค้นพบโดย Marcos Accossatto และ Pablo Zurro จาก Core Security โดยช่องโหว่เกิดจากการตรวจสอบความถูกต้องของข้อมูลที่โหลดโดยแอปพลิเคชันในขณะทำงานไม่เพียงพอ ผู้โจมตีสามารถใช้ประโยชน์จากช่องโหว่นี้ได้โดยส่ง IPC message ที่สร้างขึ้นมาเป็นพิเศษไปยังกระบวนการของ AnyConnect ซึ่งหากประสบความสำเร็จในการใช้ช่องโหว่อาจทำให้ผู้โจมตีสามารถเรียกใช้โค้ดได้โดยไม่ต้องรับอนุญาตบนเครื่องที่ตกเป็นเป้าหมายด้วยสิทธิ์ของระบบ ซึ่งในการใช้ประโยชน์จากช่องโหว่นี้ผู้โจมตีจำเป็นต้องมีข้อมูล Credential บนระบบก่อน

ทั้งนี้ Cisco แก้ไขช่องโหว่นี้ใน Cisco AnyConnect Secure Mobility Client สำหรับ Windows เวอร์ชัน 4.9.05042 และใหม่กว่า ผู้ใช้งานควรทำการอัปเดตให้เป็นเวอร์ชันล่าสุดเพื่อป้องกันการตกเป็นเป้าหมายของผู้ประสงค์ร้าย

ที่มา: cisco

สำนักงานความมั่นคงแห่งชาติของสหรัฐฯ หรือ National Security Agency (NSA) ได้ออกเผยเเพร่คำแนะนำด้านความปลอดภัยเกี่ยวกับเทคนิคที่แฮกเกอร์ใช้เพื่อเพิ่มการเข้าถึงจาก Local network ที่ถูกบุกรุกไปยัง Cloud-based infrastructure ขององค์กรหรือบริษัท

การเผยเเพร่คำแนะนำสืบเนื่องมาจากเหตุการณ์มีการตรวจพบ Supply-chain attack บนซอฟต์แวร์ SolarWinds Orion ที่อาจทำให้กลุ่มผู้ประสงค์ร้ายสามารถเข้าถึง Local network ขององค์กรหรือบริษัท โดย NSA ได้อธิบายเทคนิค Tactics, Techniques, and Procedures (TTPs) ที่แฮกเกอร์ใช้สองเทคนิคเพื่อเพิ่มการเข้าถึงจาก Local networks ที่ถูกบุกรุกไปยัง Cloud-based infrastructure ไว้ดังนี้

เทคนิคเเรกกลุ่มผู้ประสงค์ร้ายที่สามารถเข้าถึง SSO infrastructure และสามารถขโมยข้อมูล Credential หรือ Private key ได้จะใช้ข้อมูลในส่วนนี้ในการปลอมแปลง Security Assertion Markup Language (SAML) tokens เพื่อเข้าถึง Cloud-based infrastructure ขององค์กรหรือบริษัท
เทคนิคที่สองผู้ประสงค์ร้ายจะใช้ประโยชน์จาก Credential ของบัญชีผู้ดูแลระบบที่ถูกบุกรุกทั่วโลก ทำการเพิ่มบัญชีบนบริการระบบคลาวด์แอปพลิเคชัน เพื่อเข้าถึงทรัพยากรบนระบบคลาวด์อื่น ๆ ขององค์กร์ที่บุกรุก
NSA ได้ตั้งข้อสังเกตว่าเทคนิคทั้งสองไม่ได้เป็นเทคนิคใหม่และเทคนิคทั้งสองนี้ถูกนำมาใช้ตั้งแต่ปี 2017 แล้ว นอกจากนี้ NSA ยังกล่าวอีกว่าเทคนิคทั้งสองเทคนิคไม่ได้ใช้ประโยชน์จากช่องโหว่ในผลิตภัณฑ์ Federated Authentication แต่เป็นการละเมิดฟังก์ชันที่ถูกต้องตามกฎหมายหลังจากที่ Local network หรือบัญชีผู้ดูแลระบบถูกบุกรุก ทั้งนี้ผู้ที่สนใจรายละเอียดเพิ่มเติมสามารถอ่านได้ที่เเหล่งที่มา

ที่มา: zdnet | media.

นักวิจัยด้านความปลอดภัยจาก Juniper Threat Labs ได้เปิดเผยถึงเป้าหมายการโจมตีของบอตเน็ต DarkIRC ที่กำลังพยายามสแกนหาและใช้ประโยชน์จากช่องโหว่ CVE-2020-14750 (Remote Code Execution - RCE) ในเซิร์ฟเวอร์ Oracle WebLogic ที่สามารถเข้าถึงได้จากอินเตอร์เน็ตและยังไม่ได้รับการแพตช์เพื่อแก้ไขช่องโหว่

ตามรายงานจากนักวิจัยด้านความปลอดภัยที่ได้ทำการตรวจสอบเซิร์ฟเวอร์ Oracle WebLogic จากเครื่องมือค้นหาของ Shodan พบว่ามีเซิร์ฟเวอร์ Oracle WebLogic ประมาณ 3,000 เครื่องที่สามารถเข้าถึงได้บนอินเทอร์เน็ต

ช่องโหว่ CVE-2020-14750 (RCE) ในเซิร์ฟเวอร์ Oracle WebLogic เป็นช่องโหว่ที่สำคัญและมีความรุนเเรงจากคะแนน CVSSv3 อยู่ที่ 9.8/10 โดยช่องโหว่ช่วยให้ผู้โจมตีสามารถควบคุมระบบได้โดยการส่ง HTTP request ที่สร้างขึ้นมาเป็นพิเศษและไม่มีการตรวจสอบสิทธิ์ไปยังเซิร์ฟเวอร์ Oracle WebLogic เวอร์ชัน 10.3.6.0.0, 12.1.3.0.0, 12.2.1.3.0, 12.2.1.4.0 และ 14.1.1.0

นักวิจัยกล่าวว่าบอตเน็ต DarkIRC ทำกำหนดเป้าหมายไปยังเครือข่ายของเซิร์ฟเวอร์ Oracle WebLogic ที่สามารถเข้าถึงได้จากอินเทอร์เน็ต โดยเมื่อบุกรุกได้แล้วจะทำการดาวน์โหลดไฟล์เพื่อขโมยข้อมูลภายในเครื่อง, Keylogger, ขโมยข้อมูล Credential และจะสั่งรัน Command บนเครื่องที่ถูกบุกรุกและทำการส่งข้อมูลกลับไปยังเซิร์ฟเวอร์ C&C ของผู้ประสงค์ร้าย นอกจากนี้บอตเน็ตยังมีฟีเจอร์ที่จะทำการเปลื่ยนที่อยู่ Bitcoin wallet ที่อยู่ภายในเครื่องไปยังที่อยู่ Bitcoin wallet ของผู้ประสงค์ร้าย ทั้งนี้บอตเน็ต DarkIRC ถูกผู้ใช้ที่ชื่อ "Freak_OG" ทำการวางขายบอตเน็ตในแฮ็กฟอรัม โดยราคาขายอยู่ที่ $75 (ประมาณ 2,259 บาท) ตั้งแต่เดือนสิงหาคมที่ผ่านมา

ผู้ดูแลระบบเซิร์ฟเวอร์ Oracle WebLogic ควรทำการอัปเดตเเพตซ์ความปลอดภัยเป็นการเร่งด่วนและควรทำการปิดการเข้าถึงเซิฟเวอร์จากอินเตอร์เน็ตเพื่อเป็นการป้องกันการใช้ประโยชน์จากช่องโหว่ทำการโจมตีระบบ

ที่มา: thehackernews

 

นักวิจัยด้านความปลอดภัยจาก Bank_Security ได้เปิดเผยถึงการค้นพบข้อมูล Credential ของ Fortinet VPN ที่มีเกือบ 50,000 รายการในฟอรั่ม Dark web

ข้อมูล Credential ที่ถูกปล่อยนั้นเป็นไฟล์ "sslvpn_websession" ของ Fortinet VPN ที่ถูกใช้ประโยชน์จากช่องโหว่ CVE-2018-13379 ซึ่งเป็นช่องโหว่ path traversal ที่ส่งผลกระทบต่ออุปกรณ์ Fortinet FortiOS SSL VPN จำนวนมากที่ไม่ได้รับการเเพตซ์ความปลอดภัย ด้วยการใช้ประโยชน์จากช่องโหว่นี้ผู้โจมตีระยะไกลที่ไม่ได้รับการพิสูจน์ตัวตนสามารถเข้าถึงไฟล์ของระบบผ่านการร้องขอ HTTP request ที่สร้างขึ้นเป็นพิเศษไปยังอุปกรณ์ ซึ่งผู้โจมตีจะสามารถเข้าถึงไฟล์ sslvpn_websession จาก Fortinet VPN ได้และจะสามารถขโมยข้อมูล Credential ของการเข้าสู่ระบบ โดยข้อมูล Credential ที่ถูกขโมยเหล่านี้สามารถใช้ในบุกรุกเครือข่ายได้

นักวิจัยได้ทำการวิเคราะห์ข้อมูลที่ถูกรั่วไหลออกมา พบว่า IP และโดเมนส่วนใหญ่เป็นของรัฐบาลจากทั่วโลกและเป็นของธนาคารและบริษัททางด้านการเงินทุนที่มีชื่อเสียง

ทั้งนี้ผู้ดูแลระบบของ Fortinet VPN ควรรีบทำการตรวจสอบและควรรีบทำการอัปเดตแพตซ์ความปลอดภัยเป็นการด่วนเพื่อเป็นการป้องกันการโจมตีจากผู้ประสงค์ร้าย

ที่มา:

https://www.

สำนักงานคณะกรรมการข้อมูลข่าวสาร (Information Commissioner Office - ICO) สั่งปรับเครือโรงเเรม Marriott เป็นจำนวนเงิน 18.4 ล้านปอนด์ หลังจากข้อมูลของแขกผู้เข้าพักจำนวน 339 ล้านคนถูกขโมยไปจากเครือโรงแรม

เหตุการณ์การถูกละเมิดข้อมูลนั้นเกิดขึ้นในปี 2014 และส่งผลกระทบต่อเครือรีสอร์ท Starwood ที่ Marriott เข้าซื้อกิจการในปี 2015 ด้วย เหตุการณ์เกิดขึ้นจากผู้โจมตีสามารถเข้าถึงระบบของ Starwood และได้ดำเนินการรันมัลแวร์ผ่านเว็บเชลล์รวมถึงเครื่องมือการเข้าถึงจากระยะไกล เพื่อทำการรวบรวม credential ของระบบ จากนั้นผู้โจมตีสามารถเข้าถึงฐานข้อมูลที่ใช้ในการจัดเก็บข้อมูลการจองของแขกรวมถึงชื่อ ที่อยู่, อีเมล, หมายเลขโทรศัพท์, หมายเลขหนังสือเดินทาง, รายละเอียดการเดินทางและข้อมูล loyalty ของทางโรงแรม ซึ่งการบุกรุกยังคงดำเนินการต่อไปจนถึงปี 2018 โดยที่ทางเครือโรงเเรม Marriott ไม่สามารถตรวจพบและตลอดระยะเวลาสี่ปีข้อมูลของแขกผู้เข้าพักประมาณ 339 ล้านคนถูกขโมยไปจากเครือโรงแรม

หน่วยงาน ICO ได้ทำการสอบสวนต่อเหตุการณ์ที่เกิดขึ้นและพบว่าเครือโรงเเรม Marriott ได้ทำการฝ่าฝืนข้อกำหนดการป้องกันข้อมูลและการบังคับใช้กฎระเบียบของ (General Data Protection Regulation - GDPR) ที่ออกในปี 2018 ซึ่งด้วยเหตุนี้ ICO สั่งปรับเครือโรงเเรม Marriott เป็นจำนวนเงิน 99 ล้านปอนด์ แต่ด้วยสถานะการ COVID-19 ซึ่งทำให้เครือโรงเเรม Marriott เกิดสถานะขาดทุนทางด้านการเงิน จึงทำให้เกิดการต่อรองและเจรจาขอลดในส่วนของค่าปรับและเครือโรงเเรม Marriott ได้ถูกเเก้ไขค่าปรับเป็นเงินจำนวน 18.4 ล้านปอนด์

ทั้งนี้เหตุการณ์การบุกรุกเครือข่ายทางเครือโรงเเรม Marriott ได้ทำการปรับปรุงด้านความปลอดภัยทางไซเบอร์พื่อลดความเสี่ยงต่อความเสียหายที่ลูกค้าได้รับแล้ว

ที่มา: zdnet