Vietnam targeted in complex supply chain attack

นักวิจัยพบการโจมตี Supply Chain Attack ใน Vietnam Government Certification Authority (VGCA) ซึ่งมีผลต่อบริษัทเอกชนและหน่วยงานของรัฐเวียดนาม

ตามรายงานที่มีชื่อว่า "Operation SignSight" จากบริษัทรักษาความปลอดภัย ESET ซึ่งได้เปิดเผยรายละเอียดเกี่ยวกับกลุ่มแฮกเกอร์ลึกลับที่ได้ทำการโจมตี ในลักษณะ Supply-chain Attack ต่อบริษัทเอกชนเวียดนามและหน่วยงานของรัฐโดยการแทรกมัลแวร์เข้าไปในชุดเครื่องมือซอฟต์แวร์ของรัฐบาล

กลุ่มแฮกเกอร์ได้กำหนดเป้าหมายการโจมตีไปยัง Vietnam Government Certification Authority (VGCA) ซึ่งเป็นองค์กรของรัฐบาลที่ออกใบรับรองดิจิทัลที่สามารถใช้ในการลงนามในเอกสารทางอิเล็กทรอนิกส์ได้ ซึ่งจะทำให้พลเมืองเวียดนาม, บริษัทเอกชนและแม้แต่หน่วยงานของรัฐอื่นๆ ที่ต้องการส่งไฟล์ไปยังรัฐบาลเวียดนามและจะต้องลงนามในเอกสารของตนด้วยใบรับรองดิจิทัลที่รองรับ VGCA มีความเสี่ยงจากการดาวน์โหลดและติดตั้งแอปพลิเคชันไคลเอ็นต์ที่ถูกใช้ในกระบวนการลงนามเแบบอัตโนมัติ

ESET กล่าวว่าแฮกเกอร์ได้ทำการบุกรุกเข้าไปในเว็บไซต์ของหน่วยงานคือ ca.

Multi-platform card skimmer found on Shopify, BigCommerce stores

นักวิจัยพบสคริปต์ Skimmer ชนิดใหม่ที่สามารถรวบรวมข้อมูลการชำระเงินของร้านค้าที่ถูกบุกรุกอย่างเช่น Shopify และ BigCommerce

นักวิจัยจากบริษัทรักษาความปลอดภัยทางไซเบอร์ Sansec ได้เปิดเผยถึงสคริปต์ Skimmer (Magecart) ชนิดใหม่ที่มีความสามารถในการรวบรวมข้อมูลการชำระเงินของร้านค้าที่ถูกบุกรุกอย่างเช่น Shopify, BigCommerce, Zencart และ Woocommerce

นักวิจัยจาก Sansec กล่าวว่า Skimmer ชนิดใหม่นี้จะใช้ระบบโฮสต์อีคอมเมิร์ซ เช่น Shopify และ BigCommerce ในทางที่ผิด โดยจะทำการแสดงหน้าการชำระเงินปลอมก่อนที่ลูกค้าจะเข้าสู่แบบฟอร์มการชำระเงินจริงและใช้ keylogger เพื่อบัญทึกข้อมูลการชำระเงินและข้อมูลส่วนบุคคล จากนั้นจะแสดงข้อผิดพลาดในการชำระเงินและเมื่อผู้ใช้ทำการกดปุ่ม "ดำเนินการต่อ" ข้อมูลที่ถูกบันทึกจะถูกส่งกลับไปยังผู้ประสงค์ร้ายและจะทำการรีไดเร็คกลับไปยังขั้นตอนการชำระเงินและแบบฟอร์มการชำระเงินที่ถูกต้องตามกฎหมายใหม่อีกครั้งเพื่อเป็นการเพื่อหลบเลี่ยงการตรวจจับ

นักวิจัยยังกล่าวอีกว่าจากการวิเคราะห์การ exfiltrate ของ Skimmer ชนิดใหม่นี้ โดยข้อมูลจะถูกส่งไปยังโดเมนที่สร้างขึ้นโดยอัตโนมัติและเข้ารหัสโดยใช้การเข้ารหัสแบบ base64 ซึ่งตัวอย่างของโดเมนดังกล่าว ได้แก่ zg9tywlubmftzw5ldza[.]com, zg9tywlubmftzw5ldze[.]com และอื่นๆ

ทั้งนี้ผู้ใช้งานต้องมีความระมัดระวังในการใช้งานเว็บไซต์ Online Store และควรทำการตรวจยอดเงินการใช้จ่ายบัตรเคดิตอยู่เสมอ หากพบยอดชำระผิดปกติให้ทำการติดต่อธนาคารเพื่อเเจ้งยกเลิกบัตร

ที่มา: bleepingcomputer

DHS warns against using Chinese hardware and digital services

DHS ออกเตือนถึงการใช้อุปกรณ์ฮาร์ดแวร์และบริการทางดิจิทัลที่มีการเชื่อมโยงกับบริษัทจากจีน

กระทรวงความมั่นคงแห่งมาตุภูมิของสหรัฐฯ หรือ The US Department of Homeland Security (DHS) ได้ออกแจ้งเตือนถึงบริษัทและองค์กรในสหรัฐฯ ไม่ให้ใช้อุปกรณ์ฮาร์ดแวร์และบริการทางดิจิทัลที่สร้างขึ้นหรือเชื่อมโยงกับบริษัทจากจีน

DHS กล่าวว่าผลิตภัณฑ์จากจีนอาจมีแบ็คดอร์ จุดบกพร่องหรือกลไกในการรวบรวมข้อมูลที่ซ่อนอยู่ซึ่งทางการจีนสามารถใช้เพื่อรวบรวมข้อมูลจากบริษัทและส่งต่อข้อมูลไปยังคู่แข่งทางการค้าที่อยู่ภายในประเทศจีนเพื่อขยายเป้าหมายทางเศรษฐกิจของจีน โดยหน่วยงาน DHS กล่าวต่อว่าอุปกรณ์และบริการทั้งหมดที่เชื่อมโยงกับบริษัทจากจีนควรได้รับการพิจารณาว่าเป็นความปลอดภัยทางไซเบอร์และความเสี่ยงทางธุรกิจ

ทั้งนี้ DHS ได้ระบุถึงกฎหมายความมั่นคงแห่งชาติของจีนจะอนุญาตให้รัฐบาลสามารถบีบบังคับบริษัทเอกชนท้องถิ่นและพลเมืองใดๆ ให้ปรับเปลี่ยนผลิตภัณฑ์และมีส่วนร่วมในการจารกรรมหรือขโมยทรัพย์สินทางปัญญา โดยแนวทางปฏิบัติที่ให้รัฐบาลจีนสามารถเข้าถึงข้อมูลที่ละเอียดอ่อนโดยไม่ได้รับอนุญาตทั้งส่วนบุคคลและที่เป็นกรรมสิทธิ์ทำให้เศรษฐกิจและธุรกิจของสหรัฐฯตกอยู่ในความเสี่ยงโดยตรงจากการแสวงหาผลประโยชน์ ซึ่ง DHS ขอให้ธุรกิจต่างๆ ใช้ความระมัดระวังก่อนที่จะทำข้อตกลงใด ๆ กับบริษัทที่เชื่อมโยงกับรัฐบาลจีน

ที่มา: zdnet

CrowdStrike releases free Azure security tool after failed hack

CrowdStrike ออกเครื่องมือช่วยตรวจสอบ Microsoft Azure ฟรีหลังจากที่ถูกพยายามทำการบุกรุกระบบอีเมล

วันที่ 15 ธันวาคมที่ผ่านมา CrowdStrike ได้รับแจ้งจาก Microsoft ถึงการพยายามอ่านอีเมลของบริษัทผ่าน Credential ของ Microsoft Azure ที่ถูกบุกรุก

สืบเนื่องมาจากเมื่อต้นเดือนที่ผ่านมามีการค้นพบว่าซอฟต์แวร์ SolarWinds Orion ประสบปัญหาการถูกโจมตีทางอินเทอร์เน็ต ซึ่งผู้ประสงค์ร้ายได้ปรับเปลี่ยนซอฟต์แวร์เพื่อติดตั้งแบ็คดอร์บนเครือข่ายของลูกค้าจึงเป็นผลทำให้บริษัทและองค์กรต่างๆ ได้รับผลกระทบจากการโจมตี Supply-chain attack ผ่านซอฟต์แวร์ SolarWinds Orion

ตามรายงานการแจ้งเตือนระบุว่า Microsoft ได้สังเกตเห็นว่ามีการเรียกใช้ Microsoft cloud APIs ผิดปกติในช่วงเวลา 17 ชั่วโมงเมื่อหลายเดือนก่อนและมีความพยายามในการอ่านอีเมล Office 365 เพื่อเข้าถึงอีเมลของ CrowdStrike เนื่องจาก CrowdStrike ไม่ใช้ Office 365 การโจมตีดังกล่าวจึงล้มเหลว โดย Microsoft ได้เปิดเผยว่าข้อมูล Credential และโทเค็นการเข้าถึง Microsoft Azure สำหรับบัญชีผู้ค้าถูกขโมยไป Microsoft จึงได้ตั้งข้อสันนิษฐานผู้ประสงค์ร้ายได้ใช้ข้อมูลดังกล่าวเพื่อใช้ในการกำหนดเป้าหมายลูกค้า Microsoft Azure ของ Microsoft

หลังจากได้รับการแจ้งเตือน CrowdStrike ได้ทำการวิเคราะห์ Environment ต่างๆ ของ Microsoft Azure และพบว่าไม่มีการบุกรุก อย่างไรก็ตามในระหว่างการวิเคราะห์นี้ CrowdStrike จัดทำเครื่องมือที่ชื่อว่า CrowdStrike Reporting Tool สำหรับ Azure (CRT) เพื่อที่จะช่วยให้ผู้ดูแลระบบ Microsoft Azure สามารถทำการตรวจสอบและทำการวิเคราะห์ Environment ต่างๆ ของ Microsoft Azure ของท่านได้ โดยผู้ดูแลระบบที่สนใจเครื่องมือดังกล่าวสามารถเข้าไปอ่านรายละเอียดได้ที่: https://github.

Windows zero-day with bad patch gets new public exploit code

 

นักวิจัยค้นพบช่องโหว่ในแพตช์ความปลอดภัยของ Microsoft ที่ออกแก้ไขช่องโหว่ CVE-2020-0986

Maddie Stone นักวิจัยด้านความปลอดภัยจาก Google Project Zero ได้ออกมาเปิดเผยถึงการค้นพบว่าแพตช์ความปลอดภัยของ Microsoft ที่ออกแก้ไขช่องโหว่ CVE-2020-0986 ในเดือนมิถุนายนที่ผ่านมายังไม่ได้แก้ไขช่องโหว่อย่างสมบูรณ์และยังสามารถใช้ประโยชน์จากช่องโหว่ผ่านการโจมตีได้ โดยการปรับเปลี่ยนออฟเซ็ตของ pointer บางอย่างที่จะทำให้ผู้โจมตีสามารถเพิ่มสิทธิ์ในระดับเคอร์เนลบนเครื่องที่ถูกบุกรุกได้

ช่องโหว่ได้ถูกระบุรหัสใหม่คือ CVE-2020-17008 โดยช่องโหว่เกิดจากข้อผิดพลาดใน arbitrary pointer dereference ซึ่งจะช่วยให้ผู้โจมตีสามารถเข้าควบคุม “src” และ “dest” pointer ที่ถูกส่งไปยังฟังก์ชั่น memcpy และส่งผลให้เกิดเงื่อนไขที่ผู้โจมตีสามารถยกระดับสิทธิ์ในระบบได้

ทั้งนี้ Microsoft ได้รับรายงานเกี่ยวกับช่องโหว่แล้วเมื่อวันที่ 24 กันยายนที่ผ่านมา โดย Microsoft มีเวลา 90 วันในการแก้ไขช่องโหว่ก่อนที่ทาง Google Project Zero จะเปิดเผยช่องโหว่สู่สาธารณะ

ที่มา: bleepingcomputer

Fake Amazon Order Confirmations Push Banking Trojans on Holiday Shoppers

EdgeWave บริษัทรักษาความปลอดภัยเกี่ยวกับอีเมล ค้นพบแคมเปญ Phishing และ Malspam โดยผู้โจมตีจะส่งอีเมลที่ปลอมเป็นหน้ายืนยันการสั่งซื้อของ Amazon ที่ดูน่าเชื่อถือ และมีหัวข้อ (Subject) ของอีเมลว่า "Your Amazon.

Huawei Router Flaw Leaks Default Credential Status

พบช่องโหว่ในเราเตอร์ Huawei (CVE-2018-7900) ส่งผลให้ผู้ไม่หวังดีสามารถรู้ได้ว่าเราเตอร์ใช้ default password อยู่หรือไม่

ช่องโหว่ดังกล่าวส่งผลให้เว็บไซต์อย่าง ZoomEye หรือ Shodan ที่ใช้สำหรับค้นหารายการอุปกรณ์ที่มีช่องโหว่ทั่วโลก สามารถทราบได้ว่ามีเราเตอร์ตัวไหนบ้างที่มีการใช้ default password อยู่ โดยเป็นปัญหาที่มาจากตัวแปรบางตัวของ html source code ในหน้า Login ที่มีการเก็บค่าเฉพาะบางอย่างที่สามารถบ่งบอกได้ว่าอุปกรณ์มีการใช้ default password อยู่หรือไม่

Huawei ได้แก้ไขปัญหาดังกล่าวแล้ว โดยไม่มีการเปิดเผยรายละเอียดของช่องโหว่หรือจำนวนอุปกรณ์ที่ได้รับผลกระทบ

ที่มา: threatpost

File Inclusion Bug in Kibana Console for Elasticsearch Gets Exploit Code

พบช่องโหว่ Local File Inclusion (LFI) ในปลั๊กอิน Kibana data visualization tool ใช้สำหรับแสดงผลข้อมูลจาก Elasticsearch

Kibana เป็นเครื่องมือที่ถูกใช้อย่างแพร่หลายเพื่อแสดงผลข้อมูลจาก Elasticsearch ให้อยู่ในรูปแบบต่างๆ มีประโยชน์สำหรับการวิเคราะห์ข้อมูลและการสร้างภาพข้อมูลในรูปแบบต่างๆ จาก PoC code ที่ได้มีการเผยแพร่ออกมาเป็นเพียง code 1 บรรทัดที่มีตัวอักษรประมาณ 110 ตัว ซึ่งใน code จะมีการระบุถึงพาธของ Directory ที่ใช้เก็บ Password (/etc/passwd) รวมอยู่ด้วย เมื่อมีการรัน credential ที่อยู่ในพาธดังกล่าวจะถูกบันทึกไปยัง Kibana Log ด้วย

ช่องโหว่ดังกล่าวส่งผลให้ผู้โจมตีสามารถอัปโหลดสคริปต์ที่เป็นอันตรายและสามารถเข้าถึงระบบจากระยะ มีผลกระทบต่อ Kibana เวอร์ชั่นก่อน 6.4.3 และ 5.6.13 ซึ่งทีม Slow Mist Technology เป็นผู้เปิดเผยรายละเอียดของช่องโหว่ CVE-2018-17246

แนะนำให้ผู้ใช้งานอัพเกรด Elastic Stack เป็นเวอร์ชันใหม่กว่า 6.4.3 หรือ 5.6.13 หรือปิดการใช้ปลั๊กอิน Kibana ซึ่งสามารถทำได้จากการกำหนดค่า ('kibana.

Latin America suffers 1 billion malware attacks in 2018

ในละตินอเมริกาพบการโจมตีของมัลแวร์เฉลี่ย 3.7 ล้านรายต่อวัน รวมแล้วประมาณ 1 พันล้านครั้งต่อปีตามรายงานของ Kaspersky Lab ตัวเลขดังกล่าวบ่งชี้ว่ามีการโจมตีของมัลแวร์เพิ่มขึ้นร้อยละ 14.5 ในภูมิภาคตั้งแต่เดือนพฤศจิกายน 2017จนถึงเดือนพฤศจิกายน 2018

ประเทศแถบละตินที่เป็นเป้าหมายของการโจมตีมากที่สุดคืออาร์เจนตินาซึ่งมีการโจมตีของมัลแวร์เพิ่มขึ้นราว 62% ตามด้วยเปรู 39% และเม็กซิโก 35% ซึ่งเพิ่มจำนวนการโจมตีมากขึ้น บริษัทรักษาความปลอดภัยทางไซเบอร์ตรวจสอบพบการโจมตี 192,000 ครั้งต่อวันมีจำนวนเพิ่มขึ้นประมาณ 115% เมื่อเทียบกับช่วงเดือนพฤศจิกายนในปี 2016 กับพฤศจิกายนในปี 2017

ประเทศในแถบละตินอเมริกาที่พบการโจมตีแบบฟิชชิ่ง (Phishing) มากที่สุดคือประเทศเม็กซิโกครองอันดับหนึ่ง ซึ่งพบการโจมตีฟิชชิ่งเพิ่มขึ้นประมาณ 120% ตามมาด้วยโคลัมเบียประมาณ 118% และบราซิล 110 %

สัปดาห์ที่ผ่านมาปรากฏว่ามีผู้ใช้บริการธนาคารผ่านระบบมือถือกว่า 2,000 รายในบราซิลที่ดาวน์โหลดมัลแวร์ผ่านทางระบบแอนดรอยด์โดยไม่รู้ตัว ซึ่งทำให้อุปกรณ์ถูกควบคุมรวมถึงขโมยข้อมูลส่วนบุคคลอีกด้วย เช่นเดียวกับธนาคาร Bradesco สถาบันทางการเงินที่ใหญ่เป็นอันดับสองของประเทศบราซิลพบว่าถูกโจมตีด้วยการทำฟิชชิ่งผ่านการใช้มัลแวร์บนระบบปฏิบัติการแอนดรอยด์ นอกจากนี้มัลแวร์ยังมีการหลอกขโมยข้อมูลจากแอพพลิเคชั่นอื่นๆ เพิ่มเติมด้วย เช่น Uber, Netflix และ Twitter

ที่มา : zdnet

US ballistic missile defense systems (BMDS) open to cyber attacks

ผู้ตรวจการทั่วไปของกระทรวงกลาโหมประเทศสหรัฐอเมริกาออกรายงานเรื่องความไม่ปลอดภัยของระบบการป้องกันขีปนาวุธ (BMDS) ว่ายังไม่เพียงพอต่อการป้องกันการเข้าถึงทางไซเบอร์ในขณะนี้ เนื่องจากระบบต่างๆได้รับการควบคุมโดยคอมพิวเตอร์และซอฟต์แวร์จึงเสี่ยงต่อการถูกโจมตีทางไซเบอร์โดยผู้ก่อการร้ายระดับชาติที่อาจพยายามเข้าควบคุมระบบ สร้างความเสียหาย ขโมยข้อมูลและรหัสแหล่งข้อมูล หรืแม้แต่สั่งยิงขีปนาวุธ

ทั้งนี้เมื่อวันที่ 14 มีนาคม 2014 หัวหน้าข้อมูลสารสนเทศของกระทรวงกลาโหมประกา่ศแผนที่จะใช้มาตราฐานการควบคุมด้านความปลอดภัยทางไซเบอร์ของสถาบันมาตรฐานและเทคโนโลยี (NIST) เพื่อปกป้องระบบซึ่งรวมถึง BMDS แต่เมื่อผ่านไปสี่ปี ผู้ตรวจสอบกลับพบว่า BMDS ล้มเหลวในการใช้การควบคุมด้านความปลอดภัยที่จำเป็น เช่น ไม่มีการใช้ระบบยืนยันตัวตนหลายปัจจัย (Multifactor Authentication), ไม่มีการประเมินความเสี่ยงระบบสารสนเทศโดยการตรวจสอบหาช่องโหว่ (Vulnerability Assessment), ไม่มีการควบคุมความปลอดภัยของเซิร์ฟเวอร์, ไม่มีการป้องกันข้อมูลที่จัดเก็บไว้บนอุปกรณ์จัดเก็บข้อมูลที่สามารถถอดเคืร่องย้ายได้, ไม่มีการเข้ารหัสข้อมูลทางเทคนิค รวมไปถึงไม่มีกล้องและเซนเซอร์สำหรับป้องกันการบุกเข้ามายังสถานที่โดยตรง นอกจากนี้ในรายงานยังกล่าวว่าไม่มีการอัปเดตแพตช์ความปลอดภัยให้กับระบบ BMDS โดยพบว่าในบางฐานไม่มีการอัปเดตแพตช์เพื่อแก้ไขช่องโหว่ที่พบตั้งแต่ปี 1990 ซึ่งในรายงานระบุให้แก้ไขปัญหาเหล่านี้และทำตามข้อกำหนดของหน่วยงานรัฐ

ทั้งนี้ยังไม่มีความเห็นจากเจ้าหน้าที่ที่เกี่ยวข้องกับระบบ BMDS ซึ่งสำนักงานผู้ตรวจการได้ขอให้ผู้อำนวยการ นายพล และเจ้าหน้าที่ระดับสูงอื่นๆ ในกระทรวงกลาโหมประเทศสหรัฐอเมริกาชี้แจงเกี่ยวกับรายงานนี้ภายใน 8 มกรา 2019

ที่มา: bleepingcomputer