VMware ออกแพตซ์แก้ไขช่องโหว่ที่ถูกนำไปใช้ในการเปิดเผยข้อมูลบน VMware Tanzu Application Service for VMs (TAS for VMs) และ Isolation Segment โดยเกิดจากการถูกขโมยข้อมูล Credentials ซึ่งมีการเปิดเผยผ่านทาง Audit Logs

TAS (Tanzu Application Service) เป็นแพลตฟอร์มที่พัฒนาโดย VMware ซึ่งช่วยให้องค์กรสามารถจัดการแอปพลิเคชันได้โดยอัตโนมัติทั่วทั้งภายในองค์กร รวมทั้งระบบคลาวด์สาธารณะ และระบบคลาวด์ส่วนตัว เช่น vSphere, AWS, Azure, GCP, OpenStack

โดยช่องโหว่มีหมายเลข CVE-2023-20891 ซึ่งเป็นช่องโหว่ที่ทำให้ผู้โจมตีที่ไม่ได้รับอนุญาตสามารถเข้าถึงข้อมูล Credentials ของผู้ดูแลระบบ Cloud Foundry (CF) API บนระบบที่มีช่องโหว่ได้อย่างง่ายดาย ส่งผลให้ผู้โจมตีสามารถใช้ข้อมูล Credentials ที่ได้มาเพื่อติดตั้งโปรแกรมที่เป็นอันตรายได้

โดยบริษัทแนะนำให้ผู้ใช้งาน TAS ทั้งหมดที่ได้รับผลกระทบจากช่องโหว่ CVE-2023-20891 ให้ทำการเปลี่ยนแปลงข้อมูล Credentials ของผู้ดูแลระบบ CF API เพื่อให้แน่ใจว่าผู้โจมตีไม่สามารถใช้รหัสผ่านที่อาจรั่วไหลได้

VMware ให้คำแนะนำโดยละเอียดเกี่ยวกับการเปลี่ยนบัญชีผู้ใช้งาน Cloud Foundry และการรับรองความถูกต้องของผู้ดูแลระบบ (UAA) ใน VMware tanzu support hub

ที่มา : bleepingcomputer

Coinbase แพลตฟอร์มการแลกเปลี่ยน cryptocurrency ชื่อดัง ออกมายอมรับว่าถูกแฮ็กเกอร์ขโมยข้อมูลการเข้าสู่ระบบของพนักงาน เพื่อพยายามเข้าถึงระบบของบริษัทจากภายนอก

ผลจากการโจมตีทำให้แฮ็กเกอร์ได้ข้อมูลติดต่อของพนักงาน Coinbase จำนวนหนึ่ง โดยข้อมูลทางการเงิน และข้อมูลของลูกค้ายังไม่ได้รับผลกระทบ

รายละเอียดการโจมตี

แฮ็กเกอร์มุ่งเป้าไปที่ engineer ของ Coinbase จำนวนมาก ในวันอาทิตย์ที่ 5 กุมภาพันธ์ โดยมีการส่งข้อความแจ้งเตือนทาง SMS เพื่อให้ล็อกอินเข้าสู่บัญชีของบริษัทเพื่ออ่านข้อความสำคัญ โดยที่พนักงานส่วนใหญ่ไม่ได้สนใจข้อความ แต่มีพนักงานคนหนึ่งคลิกลิงก์ไปยังหน้าฟิชชิ่ง และมีการป้อนข้อมูล credentials

ขั้นตอนต่อไป แฮ็กเกอร์พยายามเข้าสู่ระบบภายในของ Coinbase โดยใช้ข้อมูล credentials ที่ถูกขโมยไป แต่ล้มเหลวเนื่องจากการเข้าถึงได้รับการป้องกันด้วย multi-factor authentication (MFA) และ 20 นาทีต่อมา แฮ็กเกอร์ก็เปลี่ยนไปใช้กลยุทธ์อื่น โดยโทรหาพนักงาน และอ้างว่าติดต่อมาจากทีม IT ของ Coinbase และสั่งให้เหยื่อลงชื่อเข้าใช้งานระบบ และทำตามคำแนะนำ

CSIRT ของ Coinbase ตรวจพบพฤติกรรมที่ผิดปกติภายใน 10 นาทีนับตั้งแต่เริ่มการโจมตี และติดต่อเหยื่อเพื่อสอบถามเกี่ยวกับพฤติกรรมล่าสุดที่ผิดปกติจากบัญชี หลังจากนั้นพนักงานก็ตระหนักว่ามีบางอย่างผิดปกติ และหยุดการสื่อสารกับผู้โจมตี

การป้องกัน

Coinbase ได้แชร์ TTPs ที่สามารถใช้เพื่อระบุการโจมตีที่คล้ายกัน และเพื่อป้องกันการโจมตีดังกล่าว:

การเข้าใช้งาน web traffic ไปยังที่อยู่ : sso-[.]com, sso[.]com, login.

พบการโจมตีทางไซเบอร์แบบหลายขั้นตอนที่ไม่ค่อยได้พบเห็นมาก่อน ซึ่งจะมีการพยายามหลอกให้ผู้ใช้เล่น Malicious Video และหลังจากนั้นก็จะนำผู้ใช้งานไปยังหน้า Microsoft ที่ปลอมขึ้นมาเพื่อใช้ในการขโมย credentials

บริษัท Perception Point ได้เผยแพร่รายงานเกี่ยวกับแคมเปญ Phishing ให้เห็นว่าการโจมตีจะเริ่มต้นจากอีเมลใบแจ้งหนี้จากบริษัทรักษาความปลอดภัยทางด้านการสื่อสารของอังกฤษ (Egress) โดยอีเมลนั้นมาจากผู้ส่งที่ถูกต้องของ Egress ซึ่งอาจเป็นไปได้ว่าพนักงานรายนั้นโดนแฮ็กเกอร์ Take over Email ไปเรียบร้อยแล้ว และนำมาใช้ในการโจมตีแบบ Phishing email

สรุปรายละเอียดการโจมตี

แฮ็กเกอร์ได้มีการเข้าควบคุมอีเมลของหนึ่งในพนักงานของบริษัทรักษาความปลอดภัยทางด้านการสื่อสารของอังกฤษ (Egress)
จากนั้นจะทำการส่งอีเมลโดยมีใจความว่าเป็นใบ invoice จาก Egress
เมื่อเหยื่อทำการคลิกที่ไฟล์นั้นจะถูก Redirect ไปที่ Powtoon ที่เป็น Video-Platform เพื่อเล่น Video ที่เป็นอันตราย
เมื่อ Video เล่นเสร็จจะนำไปยังหน้า Microsoft ที่มีการปลอมแปลงขึ้นมาเพื่อขโมยข้อมูลของเหยื่อ

ค่อนข้างเป็นที่แน่ชัดว่าเป็น account takeover แน่นอน เนื่องจากว่าอีเมลมีลายเซ็นของพนักงานจาก Egress ที่ถูกต้อง และอีเมลนั้นผ่านการตรวจสอบสิทธิ์อีเมลตามมาตรฐาน (SPF: Sender Policy Framework) และถูกส่งมาจาก Microsoft Outlook ทำให้มีความน่าเชื่อถือสูง และการโจมตีนี้จะเป็นอันตรายมากขึ้น หากผู้รับนั้นรู้จักผู้ส่ง ซึ่งจะทำให้ผู้รับนั้นเกิดความไว้วางใจ และไม่เกิดความสงสัย

แนวทางการป้องกัน

ไม่ควรใช้อีเมลของบริษัทไปทำการสมัครบริการต่าง ๆ ที่นอกเหนือจากการใช้งานของบริษัท
สร้าง Awareness ให้กับพนักงาน
ติดตามข่าวสารอยู่อย่างสม่ำเสมอ

ที่มา : darkreading

คำแนะนำด้านความปลอดภัยโดยหน่วยงานความปลอดภัยทางไซเบอร์ระดับชาติหลายแห่ง ซึ่งเปิดเผยรายงาน 10 อันดับ attack vectors ที่ผู้โจมตีนำไปใช้มากที่สุด

คำแนะที่ร่วมกันเผยแพร่โดยหน่วยงานจากประเทศสหรัฐอเมริกา แคนาดา นิวซีแลนด์ เนเธอร์แลนด์ และสหราชอาณาจักร รวมถึงคำแนะนำในการบรรเทาผลกระทบ, การตั้งค่าความปลอดภัยที่ไม่เข้มงวด และแนวทางปฏิบัติที่ไม่เหมาะสม

ผู้โจมตีมักใช้ประโยชน์จากการตั้งค่าความปลอดภัยที่ไม่เข้มงวด (ไม่ว่าจะกำหนดค่าผิด หรือไม่ปลอดภัย) และแนวทางปฏิบัติทางไซเบอร์ที่ไม่เหมาะสมอื่นๆ ผู้โจมตียังมีเทคนิคที่ใช้เป็นประจำเพื่อเข้าถึงเครือข่ายของเหยื่อในเบื้องต้น รวมถึงการใช้ประโยชน์จากแอปพลิเคชั่นที่เข้าถึงได้โดยตรงจากอินเทอร์เน็ต การใช้ประโยชน์จากการเปิดให้ remote ได้โดยตรงจากภายนอก ฟิชชิ่ง การไว้วางใจบริษัท partners หรือ third party มากจนเกินไป รวมไปถึงการใช้ข้อมูล credentials ที่ถูกขโมยมา

(more…)

Cisco ได้ออกแพตซ์อัปเดตด้านความปลอดภัยเพื่อแก้ไขช่องโหว่ที่มีความรุนแรงสูงใน Cisco Umbrella Virtual Appliance (VA) ซึ่งทำให้ผู้โจมตีที่ไม่ผ่านการตรวจสอบสิทธิ์สามารถขโมยข้อมูลประจำตัวของผู้ดูแลระบบได้จากระยะไกล

Fraser Hess จาก Pinnacol Assurance พบช่องโหว่ (หมายเลข CVE-2022-20773) ในกลไกการพิสูจน์ตัวตน SSH แบบใช้คีย์ของ Cisco Umbrella VA

Cisco Umbrella ให้บริการด้านความปลอดภัยบนคลาวด์ กับองค์กรกว่า 24,000 แห่ง ในการรักษาความปลอดภัย DNS ต่อการโจมตีจากฟิชชิ่ง มัลแวร์ และแรนซัมแวร์ โดยการตั้งเครื่อง virtual machine ไว้ภายในองค์กรเพื่อช่วยในการทำ DNS Forwarders ที่จะบันทึก เข้ารหัส และรับรองความถูกต้องของข้อมูล DNS

ช่องโหว่นี้เกิดจาก static SSH host key ซึ่งผู้โจมตีสามารถใช้ประโยชน์จากช่องโหว่นี้ด้วยการโจมตีแบบ man-in-the-middle ในการเชื่อมต่อระหว่าง SSH กับ Umbrella VA" Cisco กล่าว

หากโจมตีได้สำเร็จ จะทำให้ผู้โจมตีสามารถเข้าถึง credentials ของผู้ดูแลระบบ เปลี่ยนค่าคอนฟิค หรือ reload VA ได้

ช่องโหว่ดังกล่าวส่งผลกระทบต่อ Cisco Umbrella VA สำหรับ Hyper-V และ VMWare ESXi เวอร์ชันก่อนหน้า 3.3.2

(more…)

Cring ransomware เป็นมัลแวร์เรียกค่าไถ่สายพันธุ์ล่าสุดที่พบว่าอาศัยช่องโหว่ของ Fortinet SSL VPN (CVE-2018-13379) ที่สามารถถูกใช้เพื่อดึงข้อมูล credentials ของผู้ใช้งาน VPN ออกมาได้โดยไม่ต้องพิสูจน์ตัวตนผ่านการส่ง http request ที่ถูกดัดแปลงแล้ว (Path Traversal) และได้มีการเปิดเผย IP ของอุปกรณ์ที่มีช่องโหว่ออกมาเมื่อปลายปีที่แล้ว มัลแวร์เรียกค่าไถ่ตัวนี้เป็น human-operated ransomware นั่นคือเป็น ransomware ที่มีการปฏิบัติการและควบคุมโดยแฮ็กเกอร์อยู่เบื้องหลัง

เริ่มต้นด้วยการโจมตีช่องโหว่ของ Fortinet VPN จากนั้นจึงอาศัยข้อมูลที่ได้มาเข้าไปติดตั้ง Mimikatz ที่ถูกดัดแปลงลงบนเครื่องเหยื่อ ตามด้วย CobaltStrike และวาง ransomware ด้วยการดาวน์โหลดผ่านโปรแกรม CertUtil ของ Windows เอง เพื่อหลบหลีกการตรวจจับ Mimikatz จะถูกใช้เพื่อกวาด credentials ที่อาจหลงเหลืออยู่บนเครื่องเหยื่อ เพื่อนำไปเข้าถึงเครื่องอื่นๆ ต่อไป (Lateral movement) เช่น domain admin เป็นต้น จากนั้นจึงใช้ CobaltStrike เป็นเครื่องมือในการแพร่กระจายไฟล์ ransomware ไปยังเครื่องอื่นๆ

ถึงแม้ช่องโหว่ที่ค่อนข้างเก่า แต่ก็มีความรุนแรงสูงมาก (9.8/10) ผู้ใช้งาน Fortinet SSL VPN ที่ยังเป็น FortiOS 6.0.0 to 6.0.4, 5.6.3 to 5.6.7 และ 5.4.6 ถึง 5.4.12 ควรตรวจสอบอุปกรณ์ที่ใช้งานอยู่ และดำเนินการแพทช์โดยเร็วที่สุด สำหรับ IOCs สามารถศึกษาเพิ่มเติมได้จากรายงานของ Kaspersky ตามลิงก์ด้านล่าง : kaspersky

ที่มา: bleepingcomputer

พนักงานขององค์กร FS-ISAC ตกเป็นเหยื่อของการโจมตีแบบฟิชชิ่ง ทำให้ข้อมูลการเข้าสู่ระบบ(Credentials) โดนขโมย และถูกใช้ในการโจมตีพนักงานคนอื่นต่อไป

เหตุการณ์เกิดขึ้นหลังจากมีพนักงานคนหนึ่งดันไปเปิดอีเมลล์ที่เป็นอันตราย ทำให้ credentials ของเครื่องตนเองหลุดออกไป ผู้โจมตีจึงฉวยโอกาสสร้างอีเมลล์ที่แนบ PDF ซึ่งฝังลิงก์อันตราย แล้วส่งต่อไปยังพนักงานคนอื่นๆได้

แต่การโจมตีดังกล่าวก็ไม่สามารถสร้างผลกระทบได้มากนัก เนื่องจากมีพนักงานหลายคนที่ได้รับอีเมลล์ดังกล่าว สังเกตเห็นและได้แจ้งถึงการพบอีเมลล์ที่น่าสงสัย จึงสามารถจำกัดผลกระทบได้อย่างรวดเร็ว

จะเห็นได้ว่าการปลูกฝังจิตสำนึกด้านความปลอดภัยทางเทคโนโลยีให้แก่พนักงาน อย่างเช่นการจัด Awareness Training นั้น สามารถช่วยป้องกันและจำกัดความเสียหายที่อาจจะเกิดขึ้นจากการโจมตีได้ องค์กรหรือบริษัทจึงควรตระหนัก และไม่มองข้ามความสำคัญในข้อนี้ไป

ที่มา : scmagazine