Cyble Sensors ตรวจจับการโจมตีที่เกิดขึ้นกับ SAML, D-Link และ Python Framework

Cyble ได้ระบุการโจมตีทางไซเบอร์ใหม่หลายรายการในวันที่ 2-8 ตุลาคม 2024

หนึ่งในกลุ่มเป้าหมาย คือ ไลบรารี Ruby SAML, อุปกรณ์ NAS ของ D-Link หลายรุ่น, aiohttp client-server framework ที่ใช้กับ asyncio และ Python และปลั๊กอิน WordPress ยอดนิยมที่ใช้โดยร้านอาหาร และธุรกิจอื่น ๆ

Cyble sensors ยังได้ค้นพบที่อยู่อีเมลฟิชชิงใหม่กว่า 350 รายการ และการโจมตีด้วยวิธี brute-force จำนวนหลายพันรายการ (more…)

Cyble เรียกร้องให้แก้ไขช่องโหว่ของ ICS สำหรับ TEM, Mitsubishi และ Delta Electronics

นักวิจัยของ Cyble ได้ระบุช่องโหว่ในผลิตภัณฑ์สามรายการที่ใช้ในโครงสร้างพื้นฐานที่สำคัญ ซึ่งควรได้รับความสนใจอย่างเร่งด่วนจากทีมรักษาความปลอดภัย (more…)

Cyble เปิดเผยการโจมตีที่ซับซ้อนที่ใช้ VS Code เพื่อการเข้าถึงโดยไม่ได้รับอนุญาต

Cyble Research and Intelligence Lab (CRIL) ได้เปิดเผยแคมเปญที่ใช้ไฟล์ .LNK ที่น่าสงสัยเป็น attack vector ในการโจมตีเบื้องต้น โดยไฟล์นี้อาจถูกส่งผ่านอีเมล spam และดาวน์โหลดแพ็คเกจ Python ซึ่งจากนั้นจะใช้เพื่อรันสคริปต์ Python ที่ถูก obfuscated ซึ่งถูกดึงมาจากเว็บไซต์ paste.

ช่องโหว่ ICS ความรุนแรงระดับ Critical ใน Rockwell Automation, Siemens, และ Viessmann

Cyble Research and Intelligence Labs (CRIL) พบช่องโหว่จำนวนมากในรายงานข่าวกรองช่องโหว่ของระบบควบคุมอุตสาหกรรม (ICS) ประจำสัปดาห์ รายงานนี้ครอบคลุมเกี่ยวกับช่องโหว่ระดับ Critical ที่ถูกเปิดเผยระหว่างวันที่ 10 ถึง 16 กันยายน 2024

(more…)

ตลาดขายข้อมูลบัตรเครดิต BidenCash ปล่อยข้อมูลเครดิตการ์ดกว่า 2 ล้านใบฟรี

นักวิจัยของ Cyble บริษัทด้านความปลอดภัยทางไซเบอร์ เปิดเผยการพบกลุ่มตลาดซื้อขายข้อมูลเครดิตการ์ดชื่อ BidenCash market ได้ออกมาประกาศปล่อยข้อมูลบัตรเดบิตและบัตรเครดิตกว่า 2,165,700 ใบ โดยไม่คิดค่าบริการ เพื่อฉลองวันครบรอบการดำเนินการ 1 ปี โดยพบว่าได้รับความสนใจจากกลุ่ม Hacker ต่าง ๆ เป็นจำนวนมาก

BidenCash market เปิดตัวในวันที่ 28 กุมภาพันธ์ 2022 และขึ้นสู่อันดับที่ 5 ของแหล่งซื้อขายข้อมูลเครดิตการ์ด ซึ่งถูกจัดอันดับโดย Flashpoint บริษัทด้าน threat intel

จากการตรวจสอบพบว่า ข้อมูลเครดิตการ์ดที่ถูกปล่อยออกมานั้น เป็นบัตรเครดิตการ์ดอย่างน้อย 740,858 ใบ บัตรเดบิตการ์ด 811,676 ใบ และชาร์จการ์ด (บัตรเครดิตประเภทหนึ่งที่กำหนดให้ผู้ถือบัตรต้องชำระยอดคงเหลือเต็มจำนวนในแต่ละเดือน มีวงเงินเครดิตสูงกว่า และให้สิทธิประโยชน์พิเศษมากกว่าบัตรเครดิตทั่วไป) 293 ใบ โดยเป็นรายการที่ไม่ซ้ำกันถึง 2,141,564 รายการ ซึ่งชุดข้อมูลที่ถูกปล่อยออกมานั้น ประกอบด้วยข้อมูลที่สามารถระบุตัวบุคคลได้ Personally Identifiable Information (PII) เช่น ชื่อ อีเมล หมายเลขโทรศัพท์ ที่อยู่บ้าน และรายละเอียดบัตรชำระเงิน รวมถึงวันหมดอายุของบัตร และรหัส CVV โดยวันหมดอายุของบัตรยาวไปจนถึงปี 2052

รวมไปถึงยังพบว่าข้อมูลที่ถูกเผยแพร่ดังกล่าวมี Email address ที่ไม่ซ้ำกันประมาณ 497,000 อีเมล โดยเป็น Email domain ที่ไม่ซ้ำกันมากกว่า 28,000 โดเมน ซึ่งมีความเสี่ยงที่จะกลายเป็นเป้าหมายในการโจมตี phishing ของเหล่า Hacker อีกด้วย

ซึ่งนี่ไม่ใช่ครั้งแรกที่ BidenCash market ทำการปล่อยข้อมูลเครดิตการ์ดโดยไม่คิดค่าบริการ โดยก่อนหน้านี้ในเดือนตุลาคม 2022 ก็ได้มีการปล่อยข้อมูลบัตรเครดิตฟรี 1,221,551 ใบ เช่นกัน โดยการเปิดเผยข้อมูลโดยไม่เสียค่าบริการ ถือเป็นการโฆษณาตัวเองให้เป็นที่รู้จักของกลุ่ม Hacker ซึ่งเป็นวิธีที่แหล่งซื้อขายข้อมูลใช้อยู่เป็นประจำ เช่นกันกับกลุ่ม All World Cards ที่ได้ปล่อยข้อมูลเครดิตการ์ดกว่า 1,000,000 ใบฟรี ในฟอรัมต่าง ๆ ของ Hacker

 

ที่มา : bleepingcomputer

Medusa botnet กลับมาอีกครั้งในรูปแบบ Mirai-based พร้อม ransomware sting

Cyble บริษัทวิจัยด้านความปลอดภัยทางไซเบอร์ เปิดเผยการพบ Medusa DDoS (distributed denial of service) botnet เวอร์ชันใหม่ ที่พัฒนาจาก Mirai code based ซึ่งประกอบไปด้วยความสามารถของ ransomware และ Telnet brute-forcer ซึ่งสามารถกำหนดเป้าหมายบน Linux และสามารถโจมตี DDoS ได้หลากหลายรูปแบบ

และในตอนนี้ Medusa ได้กลายเป็น MaaS (malware-as-a-service) สำหรับการโจมตีในรูปแบบ DDoS หรือการขุดเหรียญคริปโต โดยได้รับประกันความเสถียรของบริการ รวมทั้งการไม่เปิดเผยตัวตนของลูกค้า มี API ที่ใช้งานได้ง่าย และค่าใช้จ่ายที่ปรับได้ตามความต้องการของผู้ใช้บริการ

Medusa เป็นมัลแวร์ที่มีมาอย่างยาวนาน ซึ่งมีการโฆษณาขายในตลาดมืดตั้งแต่ปี 2015 และต่อมาได้เพิ่มความสามารถในการโจมตี DDoS ผ่าน HTTP protocol ในปี 2017

ฟังก์ชันของ Ransomware

สิ่งที่น่าสนใจสำหรับ Medusa รูปแบบใหม่นี้คือฟังก์ชันของ Ransomware ที่ช่วยให้สามารถค้นหาไดเร็กทอรีทั้งหมดสำหรับประเภทไฟล์ที่กำหนดสำหรับการเข้ารหัสข้อมูล โดยรายการประเภทไฟล์เป้าหมายนั้นประกอบด้วยไฟล์เอกสาร และไฟล์ vector design เป็นหลัก

โดยไฟล์ที่เป็นเป้าหมายจะถูกเข้ารหัสด้วย AES 256 บิต และนามสกุล .medusastealer ต่อท้ายชื่อไฟล์ที่ถูกเข้ารหัส

ซึ่งพบว่ามันไม่เพียงแต่เข้ารหัสข้อมูลเท่านั้น แต่ยังเป็น data wiper ที่มุ่งทำลายข้อมูลบนเครื่องที่ถูกโจมตีอีกด้วย โดยพบว่าหลังจากเข้ารหัสไฟล์บนเครื่องเหยื่อแล้ว มัลแวร์จะเข้าสู่โหมดสลีปเป็นเวลา 86,400 วินาที (24 ชั่วโมง) หลังจากนั้นจะทำการลบไฟล์ทั้งหมดในไดรฟ์บนระบบ หลังจากลบไฟล์แล้ว มันจะแสดงข้อความเรียกค่าไถ่ที่ขอให้ชำระเงิน 0.5 BTC ($11,400)

Cyble วิเคราะห์ว่า การที่ Medusa ทำการลบข้อมูลทิ้งหลังจากการเข้ารหัสข้อมูลเป็นข้อผิดพลาดของคำสั่งการ เนื่องจากทำลายข้อมูลบนเครื่องที่ถูกโจมตี จะทำให้เหยื่อไม่สามารถใช้งานระบบของตน รวมถึงการเปิดอ่านข้อความเรียกเหตุค่าไถ่ได้ ซึ่งข้อผิดพลาดนี้แสดงให้เห็นว่า Medusa รูปแบบใหม่ หรืออย่างน้อยฟีเจอร์นี้ยังอยู่ในระหว่างการพัฒนา

รวมไปถึงจุดสังเกตุที่พบว่า ถึงแม้ Medusa รูปแบบใหม่จะมีเครื่องมือในการขโมยข้อมูล แต่มันกลับไม่ขโมยไฟล์ข้อมูลของเหยื่อก่อนทำการเข้ารหัส แต่จะมุ่งเน้นไปที่การรวบรวมข้อมูลระบบพื้นฐานที่ช่วยในการระบุตัวตนของเหยื่อ และประเมินทรัพยากรของเครื่องสำหรับการขุดเหรียญคริปโต และการโจมตี DDoS

การโจมตีด้วย Telnet

Medusa รูปแบบใหม่ยังมีฟังก์ชั่น brute force ในการสุ่มชื่อ และรหัสผ่านที่ใช้ทั่วไป ซึ่งหาก brute force สำเร็จ ก็จะทำการดาวน์โหลดเพย์โหลดที่เป็นอันตรายเพิ่มเติม

รวมถึงการใช้คำสั่ง "zmap" เพื่อค้นหาอุปกรณ์อื่นที่มีบริการ Telnet ที่ทำงานบน port 23 จากนั้นจะพยายามเชื่อมต่อกับอุปกรณ์เหล่านั้นโดยใช้ที่อยู่ IP, ชื่อผู้ใช้ และรหัสผ่านที่ดึงออกมาจากเครื่องที่ถูกโจมตี

สุดท้ายเมื่อสามารถเชื่อมต่อผ่าน Telnet ได้สำเร็จ ก็จะทำการเรียกใช้งานเพย์โหลด ("infection_medusa_stealer") อีกทั้งพบว่าเพย์โหลดสุดท้ายของ Medusa ยังคงรองรับคำสั่ง "FivemBackdoor" และ "sshlogin" ได้ไม่สมบูรณ์ เนื่องจากยังอยู่ในระหว่างการพัฒนา

IOC

ที่มา :

bleepingcomputer

blog.

ผู้โจมตีมุ่งเป้าไปยัง infoSec community ด้วยโค้ด POC exploits ปลอม

นักวิจัยพบแคมเปญมัลแวร์ใหม่ที่มุ่งเป้าไปยังกลุ่ม infoSec community ด้วย Proof of Concept exploits ** ปลอมเพื่อแอบติดตั้ง Cobalt Strike beacon

นักวิจัยจากบริษัทข่าวกรองภัยคุกคาม Cyble ค้นพบแคมเปญมัลแวร์ที่กำหนดเป้าหมายไปยัง infoSec community โดยผู้เชี่ยวชาญพบโพสต์ที่มีนักวิจัยแชร์โค้ดบน GitHub ที่อ้างว่าเป็น Proof of Concept (POC) สำหรับช่องโหว่ RPC Runtime Library Remote Code Execution (CVE-2022-26809 CVSS 9.8) ซึ่งจริงๆแล้วเป็นมัลแวร์

“จากการตรวจสอบเพิ่มเติมพบว่ามัลแวร์ที่ปลอมเป็น exploits ดังกล่าวคล้ายกับที่เคยพบก่อนหน้านี้กับมัลแวร์ที่ปลอมเป็น POC ของช่องโหว่ CVE-2022-24500 โดย Cyble พบว่ามัลแวร์ทั้งสองตัวถูกเผยแพร่อยู่บน GitHub และน่าสนใจว่ามัลแวร์ทั้งสองตัวอยู่ใน profile ของผู้ใช้คนเดียวกัน ซึ่งแสดงให้เห็นว่าผู้โจมตีในครั้งนี้ตั้งใจที่จะมุ่งเป้าการโจมตีไปยัง infoSec community"

จากการวิเคราะห์มัลแวร์พบว่าเป็นไบนารี .Net ที่อยู่ใน ConfuserEX ซึ่งเป็นฟรี open-source protector สำหรับแอปพลิเคชัน .NET โดยตัวมัลแวร์จะไม่มีโค้ดที่ใช้สำหรับโจมตีช่องโหว่อยู่จริงๆ โดยตัวมันจะทำเหมือนว่ากำลังโจมตี และรัน shell code แต่จริงๆแล้วเพียงแค่ print ข้อความหลอกๆโชว์ออกมาเท่านั้น

ซึ่งจริงๆแล้วมัลแวร์จะรันคำสั่งบน PowerShell ผ่าน cmd.

นักวิจัยพบข้อมูลของ Airlink International UAE ถูกปล่อยลง Dark Web

นักวิจัยด้านความปลอดภัยทางไซเบอร์จากบริษัท Cyble ได้พบการแชร์ข้อมูลซึ่งคาดว่าอาจเกิดจากการรั่วไหลของบริษัท Airlink International UAE ภายในฟอรั่มบน dark web

ข้อสันนิฐานจากนักวิจัยซึ่งคาดว่าข้อมูลถูกรั่วไหลนี้เป็นผลมาจากการคอนฟิกของเซิร์ฟเวอร์ที่ถูกกำหนดค่าไม่ถูกต้อง ซึ่งภายในเซิร์ฟเวอร์นั้นมี 60 ไดเรกทอรีที่มีไฟล์ประมาณ 5,000 ไฟล์ โดยการรั่วไหลของข้อมูลชุดนี้ถูกรายงานวันที่ 30 พฤษภาคม 2020 โดยทีม KelvinSecTeam

จากข้อมูลของ Cyble ข้อมูลที่รั่วไหลนั้นประกอบไปด้วยภาพสแกนหนังสือเดินทาง, การจองเที่ยวบิน, การจองโรงแรม, ข้อมูลการสื่อสารทางอีเมลระหว่างพนักงานและลูกค้าของ Airlink International Group และกรมธรรม์สำหรับการเดินทางระหว่างประเทศ

Cyble ได้ออกคำเเนะนำเพื่อการป้องกันเซิร์ฟเวอร์ โดยผู้ดูแลระบบควรทำการตรวจสอบดังนี้

ทำการกำหนดค่าเซิร์ฟเวอร์และทดสอบให้เเน่ใจว่าผู้ที่ไม่มีสิทธ์ในรายการไดเรกทอรีไม่สามารถเข้าถึงโดยไม่ได้รับอนุญาต
ตรวจสอบข้อมูลการ backup และไฟล์ที่ไม่ได้ถูกอ้างอิงสำหรับข้อมูลที่ละเอียดอ่อน
ทดสอบสิทธิ์การเข้าถึงของไฟล์
ทำลิสต์รายการโครงสร้างพื้นฐานและแอปพลิเคชันอินเตอร์เฟสของผู้ดูแลระบบ
ลองใช้การสแกนและทำการตรวจสอบเป็นระยะๆ เพื่อช่วยในการตรวจหาการกำหนดค่าที่ผิดพลาดในอนาคตหรือแพตช์ที่หายไป

ที่มา : securityaffairs

บันทึกของผู้เดินทางกว่า 45 ล้านคนที่เดินทางมายังประเทศไทยและมาเลเซียถูกเปิดเผยใน Dark web

ผู้เชี่ยวชาญจากบริษัท Cyble ได้เปิดเผยว่าได้พบบันทึกของผู้เดินทางกว่า 45 ล้านคนที่เดินทางมายังประเทศไทยและมาเลเซียจากหลายประเทศโผล่ใน Darkweb

ผู้เชี่ยวชาญกล่าวว่าข้อมูลจำนวนมหาศาลถูกค้นพบนั้น ถูกพบระหว่างที่พวกเขาทำการติดตามตรวจสอบกิจกรรมต่างๆ ใน Deepweb และ Darkweb โดยบันทึกของผู้เดินทางที่รั่วไหลนั้น ได้แก่ รหัสผู้โดยสาร, ชื่อเต็ม, หมายเลขโทรศัพท์มือถือ, รายละเอียดหนังสือเดินทาง, ที่อยู่, เพศและรายละเอียดเที่ยวบิน

ผู้เชี่ยวชาญได้ทำการวิเคราะห์ข้อมูลที่ถูกค้นพบและได้จัดทำข้อมูลเพื่อใช้ในการตรวจสอบข้อมูลที่รั่วไหลแล้วที่ AmiBreached.

LG Electronics ถูก Maze ransomware โจมตี ปล่อยข้อมูลยืนยันการโจมตีเป็นข้อมูลเกี่ยวกับเฟิร์มแวร์

นักวิจัยจาก Cyble ค้นพบการเปิดเผยข้อมูลของบริษัท LG Electronics ซึ่งเป็นผู้ผลิตอุปกรณ์อิเล็กทรอนิกส์รายใหญ่โดยกลุ่ม Maze ransomware คาดว่าการเปิดเผยข้อมูลในครั้งนี้เป็นการเปิดเผยเพื่อยืนยันการโจมตีกลุ่มบริษัท LG Electronics

Maze ransomware โดยปกติแล้วจะข่มขู่เหยื่อให้จ่ายค่าไถ่เพื่อแลกกับการที่กลุ่ม Maze จะไม่ปล่อยข้อมูลอื่นๆ ที่ยึดมาได้จากการเข้าถึงระบบออกสู่สาธารณะ และทางกลุ่มจะมีการเปิดเผยข้อมูลบางส่วนออกมาก่อนเพื่อยืนยันการโจมตีว่าได้เกิดขึ้นจริง โดยสำหรับในกรณีของ LG Electronics นั่้น ข้อมูลที่มีการเปิดเผยออกมาข้างต้นเพื่อยืนยันการโจมตีมีลักษณะเป็นรูปภาพ 3 ภาพที่แสดงให้เห็นถึงการรายละเอียดข้อมูลเฟิร์มแวร์และฮาร์ดแวร์ซึ่งกำลังคิดค้นและวิจัยกันภายใน

ที่มา: securityaffairs