มัลแวร์ QBot เริ่มใช้ช่องโหว่ DLL hijacking ในโปรแกรม WordPad บนวินโดวส์ 10 เพื่อทำให้คอมพิวเตอร์ติดมัลแวร์ เพื่อหลีกเลี่ยงการตรวจจับจากซอฟต์แวร์รักษาความปลอดภัย

DLL คือไฟล์ไลบรารีที่มีฟังก์ชันที่สามารถถูกใช้โดยโปรแกรมมากกว่าหนึ่งโปรแกรมในเวลาเดียวกัน โดยเมื่อมีการเปิดแอปพลิเคชัน แอปพลิเคชันจะพยายามโหลด DLL ที่จำเป็นต้องเรียกใช้งาน ซึ่งวินโดวส์จะจัดลำดับความสำคัญของ DLL ให้กับไฟล์ DLL ที่อยู่ในโฟลเดอร์เดียวกันกับไฟล์ของแอปพลิเคชัน โดยจะโหลดก่อนเป็นอันดับแรก

DLL hijacking คือวิธีการที่ผู้โจมตีสร้าง DLL ที่เป็นอันตรายซึ่งมีชื่อเดียวกันกับไฟล์ DLL ที่ถูกต้อง และวางไว้ในเส้นทางการค้นหาไฟล์ DLL ของวินโดวส์ก่อน ซึ่งมักจะเป็นโฟลเดอร์เดียวกับไฟล์ของแอปพลิเคชัน ทำให้เมื่อเรียกใช้ไฟล์ของแอปพลิเคชันนั้น มันจะโหลด DLL ของมัลแวร์แทนไฟล์ที่ถูกต้อง และดำเนินการคำสั่งที่เป็นอันตราย

QBot หรือที่รู้จักกันในชื่อ Qakbot เป็นมัลแวร์ชื่อดังบนวินโดวส์ ซึ่งเดิมทีเป็นโทรจันที่ถูกใช้สำหรับขโมยข้อมูลธนาคาร แต่ต่อมาถูกพัฒนาจนกลายมาเป็นมัลแวร์เริ่มต้นของกลุ่มแรนซัมแวร์ต่าง ๆ ได้แก่ Black Basta, Egregor และ Prolock ซึ่งร่วมมือกันในการใช้มัลแวร์เพื่อเข้าถึงเครือข่ายขององค์กรเพื่อทำการเรียกค่าไถ่

ProxyLife นักวิจัยด้านความปลอดภัยให้ข้อมูลกับ BleepingComputer ว่า แคมเปญฟิชชิ่งของ QBot แคมเปญใหม่ เริ่มใช้วิธีการโจมตีแบบ DLL hijacking ในโปรแกรม WordPad บน Windows 10

แม้ว่า BleepingComputer จะยังไม่เห็นอีเมลฟิชชิ่งต้นฉบับ แต่มีข้อมูลของลิงก์ที่ใช้สำหรับดาวน์โหลดไฟล์ ซึ่งเมื่อคลิกลิงก์มันจะทำการดาวน์โหลดไฟล์ ZIP มา ซึ่งไฟล์ ZIP นี้จะประกอบด้วยไฟล์สองไฟล์คือ document.

แคมเปญฟิชชิ่งใหม่ที่มุ่งเป้าไปที่องค์กรต่าง ๆ ในยุโรปตะวันออกด้วยมัลแวร์ Remcos RAT ด้วยการใช้เทคนิคการ Bypass Windows UAC ** (User Account Control) โดยการใช้ mock trusted directory ที่ถูกพบตั้งแต่เมื่อ 3 ปีก่อน แต่ก็ยังคงถูกนำมาใช้งานอยู่ในปัจจุบัน

โดยแคมเปญการโจมตีของ Remcos ล่าสุด ถูกพบ และวิเคราะห์โดยนักวิจัยของ SentinelOne ซึ่งบันทึกรายละเอียดไว้ในรายงานที่เผยแพร่ในวันนี้ (6 มีนาคม 2566) (more…)

Cisco เตือนผู้ใช้งานว่าช่องโหว่ด้านความปลอดภัย ใน Cisco AnyConnect Secure Mobility Client สำหรับ Windows กำลังถูกนำมาใช้โจมตีอยู่ในปัจจุบัน

AnyConnect Secure Mobility Client ช่วยลดความยุ่งยากในการเข้าถึง Endpoint ขององค์กร และช่วยให้พนักงานสามารถทำงานได้จากทุกที่ที่เชื่อมต่อกับ Virtual Private Network (VPN) ที่ปลอดภัยผ่าน Secure Sockets Layer (SSL) และ IPsec IKEv2

ช่องโหว่ดังกล่าวมีหมายเลข CVE-2020-3433 และ CVE-2020-3153 โดยจะสามารถทำให้ผู้โจมตีสามารถทำการโจมตีแบบ DLL hijacking และคัดลอกไฟล์ไปยังไดเร็กทอรีระบบด้วยการยกระดับสิทธิ์ หากสามารถโจมตีได้สําเร็จผู้โจมตีจะสามารถสั่งรันโค้ดที่เป็นอันตรายบนระบบของเป้าหมายด้วยสิทธิ์ของ SYSTEM

ถือว่าเป็นความโชคดีที่ช่องโหว่ทั้งสองช่องโหว่ยังต้องผ่านการตรวจสอบสิทธิ์ โดยผู้โจมตีจำเป็นต้องมีข้อมูลการเข้าใช้งานที่ถูกต้องในระบบก่อน แต่อย่างไรก็ตามผู้โจมตีก็อาจจะนำช่องโหว่ดังกล่าวไปใช้ร่วมกับช่องโหว่อื่น ๆ บน Windows เพื่อใช้ในการโจมตีได้

แม้จะผ่านมาแล้วถึง 2 ปีหลังจากที่มีแพตซ์ออกมา Cisco ได้อัปเดตคำแนะนำด้านความปลอดภัย เพื่อย้ำเตือนให้ผู้ดูแลระบบอัปเดตซอฟต์แวร์ที่มีช่องโหว่ และบล็อกการโจมตีอย่างต่อเนื่อง

"ในเดือนตุลาคม 2565 Cisco PSIRT พบรายงานว่าช่องโหว่ดังกล่าวกำลังถูกนำมาใช้โจมตีอยู่ในปัจจุบัน"

"Cisco ยังคงแนะนำอย่างยิ่งให้ผู้ใช้งานอัปเกรดซอฟต์แวร์เป็นเวอร์ชันปัจจุบันเพื่อแก้ไขช่องโหว่นี้"

คำเตือนนี้เป็นการยืนยันการประกาศจาก Cybersecurity and Infrastructure Security Agency (CISA) เมื่อวันจันทร์ว่า ช่องโหว่ด้านความปลอดภัยทั้งสอง CVE ได้ถูกเพิ่มลงในรายการ Known Exploited Vulnerabilities เรียบร้อยแล้ว

เมื่อเพิ่มในรายการช่องโหว่ของ CISA ที่ถูกโจมตีแล้ว หน่วยงาน Federal Civilian Executive Branch Agencies (FCEB) ทั้งหมดจะต้องดำเนินการแก้ไขช่องโหว่ภายในเดือนพฤศจิกายน 2021 หรือใช้มาตรการอื่นเพื่อบรรเทาผลกระทบที่อาจจะเกิดขึ้น

 

หน่วยงานความปลอดภัยทางไซเบอร์ของสหรัฐฯ ยังเรียกร้องให้ทุกองค์กรทั่วโลกจัดลำดับความสำคัญในการแก้ไขช่องโหว่ด้านความปลอดภัยเหล่านี้ แม้ว่าปกติแล้วคำสั่งดังกล่าวจะมีผลกับหน่วยงาน FCEB ของสหรัฐฯ เท่านั้น

ที่มา : https://www.

โปรแกรม PuTTY ได้ถูกปล่อยเวอร์ชันใหม่ในเวอร์ชัน 0.69 เมื่อช่วงปลายเดือนเมษายนที่ผ่านมา โดยในรุ่นล่าสุดนั้น PuTTY ได้ถูกแก้ไขช่องโหว่ DLL Hijacking บนแพลตฟอร์มของวินโดวส์ ที่ผู้โจมตีสามารถสร้างไฟล์ DLL ด้วยชื่อเฉพาะที่เป็นอันตรายและให้มีการโหลดขึ้นมาทำงานทันทีที่ PuTTY เริ่มการทำงานได้

นอกเหนือจากนั้นยังมีการแก้ปัญหาการรองรับการทำงานบน Kerberos ที่พบในเวอร์ชันก่อนหน้าพร้อมทั้งปัญหาทั่วไปอื่นๆ ด้วย
สำหรับผู้ที่ต้องการอัพเดตเป็นเวอร์ชันใหม่ แนะนำให้ทำการดาวน์โหลดจากแหล่งที่เชื่อถือได้และตรวจสอบความสมบูรณ์ของไฟล์ด้วยทุกครั้งเพื่อลดความเสี่ยงที่จะถูกโจมตีหรือถูกขโมยจากโปรแกรมที่ถูกดัดแปลง

ที่มา : chiark