นักวิจัยพบกลุ่ม phishing-as-a-service (PhaaS) ชื่อว่า Morphing Meerkat ได้ใช้ protocol DNS over HTTPS (DoH) เพื่อหลีกเลี่ยงการตรวจจับ

รวมถึงยังพบการใช้ประโยชน์จาก DNS email exchange (MX) records เพื่อระบุผู้ให้บริการอีเมลของเหยื่อ และเพื่อให้บริการหน้าเข้าสู่ระบบปลอมแบบไดนามิกสำหรับแบรนด์ต่าง ๆ มากกว่า 114 แบรนด์

Morphing Meerkat ได้เริ่มทำการโจมตีมาตั้งแต่ปี 2020 เป็นอย่างน้อย ซึ่งนักวิจัยด้านความปลอดภัยจาก Infoblox เป็นผู้ค้นพบกลุ่มดังกล่าว แม้ว่าจะมีการบันทึกการดำเนินการของกลุ่มนี้ไว้บางส่วนแล้ว แต่ส่วนใหญ่ก็ไม่ค่อยมีการตรวจพบมานานหลายปี

แคมเปญ Phishing ขนาดใหญ่

Morphing Meerkat คือ PhaaS platform ที่มีชุดเครื่องมือสำหรับการโจมตี phishing ที่มีประสิทธิภาพ ปรับรูปแบบได้ และหลบเลี่ยงการตรวจจับได้ โดยไม่จำเป็นต้องมีความรู้ทางเทคนิคในการโจมตีขั้นสูงก็สามารถใช้งานได้

ตัวระบบมี SMTP infrastructure แบบรวมศูนย์เพื่อแพร่กระจาย spam อีเมล โดยอีเมลที่ติดตามได้ 50% มีต้นทางมาจากบริการอินเทอร์เน็ตที่ให้บริการโดย iomart (สหราชอาณาจักร) และ HostPapa (สหรัฐอเมริกา)

แคมเปญ Phishing นี้สามารถปลอมแปลงเป็นผู้ให้บริการอีเมล และบริการอื่น ๆ มากกว่า 114 ราย รวมถึง Gmail, Outlook, Yahoo, DHL, Maersk และ RakBank โดยส่งข้อความที่มี subject ที่ได้รับการออกแบบมาเพื่อกระตุ้นให้ผู้รับดำเนินการอย่างเร่งด่วน เช่น “ต้องดำเนินการ: ปิดใช้งานบัญชี” โดยอีเมลจะถูกส่งในหลายภาษา รวมถึงภาษาอังกฤษ สเปน รัสเซีย และแม้แต่จีน และสามารถปลอมแปลงชื่อและที่อยู่ของผู้ส่งได้

หากเหยื่อคลิกลิงก์ที่เป็นอันตรายในข้อความ ก็จะเข้าสู่กระบวนการโจมตีแบบ open redirect exploits บนแพลตฟอร์มเทคโนโลยีโฆษณา เช่น Google DoubleClick ซึ่งหลายครั้งจะมาจาก WordPress sites ที่ถูกโจมตี โดเมนปลอม และบริการโฮสติ้งฟรี

เมื่อเหยื่อไปถึงเว็บไซต์ปลายทางแล้ว เครื่องมือ phishing จะโหลด และตรวจสอบ MX record ของโดเมนอีเมลของเหยื่อโดยใช้ DoH ผ่านทาง Google หรือ Cloudflare และต่อมาก็จะโหลดหน้าล็อกอินปลอมโดยกรอกอีเมลของเหยื่อโดยอัตโนมัติ

เมื่อเหยื่อกรอกข้อมูล credentials แล้ว ข้อมูลดังกล่าวจะถูกส่งต่อไปยัง Hacker ผ่าน AJAX requests ไปยังเซิร์ฟเวอร์ภายนอก และ PHP scripts ที่โฮสต์บนหน้าฟิชชิ่ง นอกจากนี้ยังสามารถส่งต่อแบบ Real-time โดยใช้ Telegram bot webhooks ได้อีกด้วย

เมื่อทำการกรอกข้อมูลเป็นครั้งแรก จะมีข้อความแจ้งข้อผิดพลาดว่า “รหัสผ่านไม่ถูกต้อง กรุณากรอกอีเมล รหัสผ่านที่ถูกต้อง” เพื่อให้เหยื่อกรอกรหัสผ่านใหม่อีกครั้ง เพื่อให้แน่ใจว่าข้อมูลถูกต้อง เมื่อเหยื่อทำเช่นนั้นแล้ว จะถูกส่งต่อไปยังหน้าการยืนยันตัวตนที่ถูกต้องเพื่อลดความน่าสงสัย

DoH และ DNS MX

การใช้ DoH และ DNS MX ทำให้ Morphing Meerkat โดดเด่นจากเครื่องมืออื่น ๆ ที่คล้ายกัน เนื่องจากเป็นเทคนิคขั้นสูงที่ช่วยในด้านการโจมตีได้เป็นอย่างดี

DNS over HTTPS (DoH) เป็นโปรโตคอลที่ดำเนินการ DNS resolution โดยใช้ HTTPS requests ที่เข้ารหัส แทน DNS queries ที่ใช้ UDP แบบ plaintext ดั้งเดิม

MX (Mail Exchange) record เป็น type หนึ่งของ DNS record ที่แจ้งให้อินเทอร์เน็ตทราบว่าเซิร์ฟเวอร์ใดจัดการอีเมลสำหรับโดเมนที่กำหนด

เมื่อเหยื่อคลิกลิงก์ใน phishing เครื่องมือ phishing kit จะถูกโหลดลงในเบราว์เซอร์ และส่ง DNS request ไปยัง Google หรือ Cloudflare เพื่อค้นหา MX records ของ domain อีเมลของพวกเขา วิธีการดังกล่าวช่วยหลีกเลี่ยงการตรวจจับได้ เนื่องจาก query เกิดขึ้นในฝั่งไคลเอนต์ และการใช้ DoH จะช่วยหลีกเลี่ยงจากการตรวจสอบ DNS

เมื่อระบุผู้ให้บริการอีเมลจาก MX record แล้ว phishing kit จะสามารถส่งแคมเปญ Phishing ที่ตรงกันให้กับเหยื่อได้

Infoblox เสริมว่า แนวทางป้องกันที่แนะนำในการรับมือกับ Phishing ประเภทนี้ก็คือ "การใช้ DNS control ที่เข้มงวดยิ่งขึ้น เพื่อไม่ให้ผู้ใช้สามารถเชื่อมต่อกับ DoH servers หรือการบล็อกการเข้าถึงของผู้ใช้ใน adtech หรือ file sharing infrastructure ที่ไม่สำคัญต่อธุรกิจ"

 

ที่มา : bleepingcomputer.

กลุ่มผู้โจมตีในแคมเปญที่ชื่อว่า Roaming Mantis ถูกพบว่ามีการใช้มัลแวร์บนโทรศัพท์มือถือที่รู้จักกันในชื่อ Wroba เพื่อมุ่งเป้าโจมตีไปยัง Wi-Fi router และทำการ Domain Name System (DNS) hijacking (more…)

นักวิจัยด้านความปลอดภัยทางไซเบอร์เปิดเผยช่องโหว่ใหม่ที่ทำให้ผู้โจมตีสามารถขโมยข้อมูลสำคัญออกจากระบบภายในได้ ซึ่งส่งผลกระทบกับผู้ให้บริการ DNS-as-a-Service (DNSaaS)

Shir Tamari และ Ami Luttwak นักวิจัยด้านความปลอดภัยทางไซเบอร์จาก Wiz ประกาศค้นพบช่องโหว่ง่ายๆ ที่อนุญาตให้ผู้โจมตีสามารถดักจับส่วนหนึ่งของการรับส่งข้อมูลบน DNS แบบไดนามิกจากการรับส่งข้อมูลทางอินเทอร์เน็ตทั้งหมด ที่ถูกกำหนดเส้นทางผ่านผู้ให้บริการ DNS เช่น Amazon และ Google หากโจมตีสำเร็จผู้โจมตีจะสามารถเข้าถึงข้อมูล และสามารถขโมยข้อมูลสำคัญออกจากระบบได้

ช่องโหว่ดังกล่าวเกิดจากการจัดการลงทะเบียนโดเมนบน Google Cloud DNS หรือ Amazon Route53 ที่ทำการกำหนดชื่อตรงกับชื่อของเซิร์ฟเวอร์ DNS ดังนั้นหากองค์กรมีการกำหนดโดเมนใหม่บนแพลตฟอร์ม Route53 ภายในเซิร์ฟเวอร์ AWS และชี้โฮสต์ไปยังเครือข่ายภายใน จะทำให้การรับส่งข้อมูล DNS แบบไดนามิกจากปลายทางของลูกค้า Route53 ถูกทำการ hijacked และส่งไปยังเซิร์ฟเวอร์ DNS อื่นหรือผู้โจมตีโดยตรงหากมีการลงทะเบียนชื่อ DNS ตรงกัน

นักวิจัยด้านความปลอดภัยทางไซเบอร์จาก Wiz กล่าวว่าพวกเขาสามารถดักการรับส่งข้อมูล DNS แบบไดนามิกจากองค์กรได้กว่า 15,000 แห่ง รวมถึง Fortune 500, หน่วยงานรัฐบาลของสหรัฐอเมริกา 45 แห่ง และหน่วยงานรัฐบาลระหว่างประเทศ 85 แห่ง โดยข้อมูลส่วนใหญ่เป็นข้อมูลที่สำคัญ อาทิ IP Address ภายใน, ชื่อเครื่องคอมพิวเตอร์, รายชื่อพนักงาน และที่อยู่ของบริษัท

เบื้องต้นทาง Amazon และ Google ได้ทำการแก้ไขปัญหาดังกล่าวแล้ว และทีมวิจัยของ Wiz ได้ทำการพัฒนาเครื่องมือเพื่อให้บริษัทต่างๆ ทดสอบว่าการอัปเดต DDNS ภายในรั่วไหลไปยังผู้ให้บริการ DNS หรือผู้โจมตีหรือไม่อีกด้วย

ที่มา : thehackernews.

นักวิจัยด้านความปลอดภัยของ Qihoo 360 จากประเทศจีนเปิดเผยการโจมตี Hijacked บนเราเตอร์ที่ใช้ในบ้านกว่า 100,000 เครื่องพร้อมทำการแก้ไขการตั้งค่า DNS เพื่อ redirects การร้องขอ DNS ของผู้ใช้งานไปยังเว็บไซต์ที่เป็นอันตราย (phishing site) เพื่อขโมยข้อมูลสำคัญในการเข้าสู่ระบบของผู้ใช้ โดยตั้งชื่อแคมเปญดังกล่าวว่า GhostDNS

Netlab นักวิจัยด้านความปลอดภัยของ Qihoo 360 เปิดเผยการทำงานของ GhostDNS ว่าจะทำการสแกนหา IP ของเราเตอร์ที่มีช่องโหว่ ใช้รหัสผ่านที่คาดเดาง่ายหรือไม่มีรหัสผ่านในการเข้าสู่ระบบการตั้งค่าเราเตอร์ และทำการแก้ไขการตั้งค่า DNS ใหม่ เพื่อ redirects การร้องขอ DNS ของผู้ใช้งานทั้งหมดที่ส่งผ่านเราเตอร์ที่ถูกบุกรุกไปยัง DNS Server ที่เป็นอันตรายเพื่อขโมยข้อมูลส่วนตัวของผู้ใช้ ทำให้เมื่อผู้ใช้พยายามเข้าสู่เว็บไซต์ที่ถูกต้องจะถูกส่งไปยังเว็บไซต์ที่อันตรายแทน ซึ่งเว็บไซต์ที่ถูก redirect ส่วนใหญ่เป็นเว็บไซต์ของธนาคารในประเทศบราซิลและบริการเว็บโฮสติ้งต่างๆ เช่น Netflix, Citibank.

นักวิจัยได้แจ้งเตือนถึงการใช้งาน DNS query ที่ไม่ปลอดภัย ทำให้สามารถถูกดักขโมยข้อมูลโดยการปลอม DNS ให้ชี้ไปยังผู้ไม่หวังดี

อ้างอิงจากงานวิจัยที่ได้รับการเปิดเผยโดยนักวิจัยของมหาวิทยาลัย Texas สหรัฐอเมริกา และมหาวิทยาลัย China Tsinghua จากจีน ระบุว่า DNS query ประมาณ 0.66% ของการเข้าถึงเว็บไซต์ที่ส่งผ่าน TCP สามารถถูกดักฟังข้อมูลได้ ทีมงานวิจัยจากจีนและสหรัฐอเมริกาอธิบายผลการวิจัยไว้ในบทความ "Who Is Answering My Queries : Understanding and Characterizing Interception of the DNS Resolution Path.

Patrick Wardle ได้วิเคราะห์มัลแวร์ตัวใหม่ที่ออกแบบมาเพื่อโจมตีไปที่การตั้งค่า DNS บนอุปกรณ์ macOS ชื่อ OSX / MaMi หรือ "SBMaMiSettings" ปัจจุบันสามารถตรวจจับได้โดย ESET และ Ikarus มีชื่อ Signature ว่า OSX / DNSChanger.

แจ้งเตือนช่องโหว่ใน DNS resolver ของ systemd ยิงระบบค้างได้

นักวิจัยและพัฒนาช่องโหว่ William Gamazo Sanchez จาก TrendMicro ได้มีการเปิดเผยการค้นพบช่องโหว่พร้อมทั้งรายละเอียดล่าสุดวันนี้โดยช่องโหว่ที่มีการค้นพบนั้นเป็นช่องโหว่รหัส CVE-2017-15908 ซึ่งอยู่ในฟังก์ชันการทำ DNS resolve ของ systemd ซึ่งปัจจุบันมีการใช้งานอยู่ในระบบปฏิบัติการลินุกซ์หลายดิสโทร

การโจมตีช่องโหว่นี้จะเกิดขึ้นเมื่อเซิร์ฟเวอร์ที่ให้บริการ DNS ที่มีช่องโหว่ทำการรีเควสต์เพื่อร้องขอข้อมูลไปยังเซิร์ฟเวอร์ที่ให้บริการ DNS ที่ถูกควบคุมโดยผู้โจมตี โดยเซิร์ฟเวอร์ที่ให้บริการ DNS ที่ถูกควบคุมโดยผู้โจมตีจะมีการส่งข้อมูลตอบรับแบบพิเศษมาส่งผลให้เซิร์ฟเวอร์ที่ให้บริการ DNS ทีมีช่องโหว่เมื่อได้รับแพ็คเกตดังกล่าวแล้วจะทำการวนการทำงานแบบไม่มีสิ้นสุด ใช้ทรัพยากรของระบบจนหมดและทำให้ระบบไม่สามารถให้บริการได้
Recommendation ในตอนนี้ช่องโหว่นี้ได้มีแพตช์ออกมาเป็นที่เรียบร้อยแล้ว ทาง TrendMicro แนะนำให้ผู้ดูแลระบบทำการตรวจสอบแพตช์เฉพาะดิสโทรของตัวเองโดยทันที อย่างไรก็ตามหากระบบไม่สามารถทำการแพตช์ได้ TrendMicro แนะนำให้ผู้ดูแลระบบทำการบล็อคแพ็คเกต DNS แบบพิเศษที่สามารถโจมตีช่องโหว่ได้ (ดูเพิ่มเติมใน RFC 4034 ส่วนที่ 4 หรือ NSEC record) เพื่อป้องกันระบบในเบื้องต้น

ที่มา : Trendmicro

Google ประกาศการค้นพบช่องโหว่ร้ายแรงบน Dnsmaq รีบแพตช์โดยด่วน

Dnsmasq ซอฟต์แวร์แบบเซอร์วิสสำหรับการให้บริการ DNS, DHCP, Route Advertisements และ Network boot เป็นซอฟต์แวร์ที่ติดตั้งบนอุปกรณ์ที่รันระบบปฏิบัติการ Linux, IoT, Home Router ที่ใช้กันอย่างแพร่หลายทั้งบนอินเทอร์เน็ตแบบเปิดและภายในองค์กรรวมไปถึงเครือข่ายส่วนตัว

ช่องโหว่ที่ถูกพบมีจำนวน 7 รายการ ซึ่งประกอบด้วย ช่องโหว่ Remote Code Execution จำนวน 3 รายการ
1 รายการทำให้เกิด Information leak และอีก 3 รายการเป็นช่องโหว่ denial of service (DoS) ตัวอย่างช่องโหว่ที่มีความร้ายแรงสูง อาทิ
CVE-2017-14491 ช่องโหว่ DNS-based ซึ่งมีผลกระทบต่อการตั้งค่าเครือข่ายภายในที่เปิดโดยตรง ทำให้เกิด Overflow ได้ 2 byte
CVE-2017-14493 เป็นช่องโหว่ DHCP-based ที่ทำให้เกิด Buffer Overflow เมื่อใช้ร่วมกับ CVE-2017-14494 จะทำให้ข้อมูลรั่วไหล ผู้บุกรุกสามารถ Bypass ASLR และรันโค้ดจากระยะไกลได้
CVE-2017-14496 ส่งผลกระทบกับ Android ทำให้ระบบไม่สามารถทำงานได้

ช่องโหว่ทั้งหมดถูกแก้ไขใน Dnsmasq เวอร์ชันล่าสุด (2.78) เรียบร้อยแล้ว สำหรับ CVE-2017-14496 ได้ถูกแก้ไขในเวอร์ชั่น 2.76

ที่มา : Google Security Blog

หลังจากมีผู้ใช้ TeamViewer หลายรายแจ้งว่าไม่สามารถล็อกอินเข้าใช้บริการได้ ประกอบกับทางทวิตเตอร์ของ TeamViewer (@TeamViewer_help) ได้แจ้งว่ามีปัญหาด้านเครือข่าย อยู่ระหว่างการแก้ไข ต่อมา ผู้ใช้หลายรายได้แจ้งว่าเครื่องคอมพิวเตอร์ที่ติดตั้ง TeamViewer ไว้ ถูกล็อกอินเข้ามาใช้งานโดยบุคคลอื่น ผู้ใช้บางรายพบว่ามีผู้เชื่อมต่อเข้ามาแล้วใช้โปรแกรมดูรหัสผ่านที่ถูกบันทึกไว้ในเบราว์เซอร์เพื่อนำไปใช้ขโมยเงินจากธนาคารออนไลน์ ผู้ใช้บางรายถูกติดตั้งมัลแวร์เรียกค่าไถ่ลงในเครื่อง

โดยทาง TeamViewer แจ้งว่าปัญหาที่ทำให้ระบบล่มเกิดจากเซิร์ฟเวอร์ DNS ถูกโจมตี แต่ปฏิเสธว่าระบบไม่ได้ถูกเจาะจนเป็นเหตุให้ผู้ใช้ถูกล็อกอินโดยบุคคลอื่น ซึ่งทางทีมงานอ้างว่าผู้ใช้ที่ถูกขโมยบัญชีเกิดจากการที่ตั้งรหัสผ่านสำหรับล็อกอินเป็นรหัสผ่านเดียวกับบริการอื่นที่เคยถูกแฮกไปก่อนหน้านี้แล้วมีการเผยแพร่รหัสผ่านดังกล่าวบนอินเทอร์เน็ต อย่างไรก็ตาม เรื่องนี้มีประเด็นข้อสงสัยหลายจุด เช่น ผู้ใช้บางรายอ้างว่าถูกแฮกได้ถึงแม้ไม่ได้ตั้งรหัสผ่านซ้ำกับบริการอื่นเลย รวมถึงสำนักข่าว The Register ยังพบข้อสังเกตว่ามีผู้ใช้บางรายถูกล็อกอินได้ถึงแม้จะมีการเปิดใช้งานการยืนยันตัวตนสองขั้นตอน (two factor Authentication)

โดยทาง Teamviewer ออกมาแนะนำให้ผู้ใช้งานดำเนินการเพื่อความปลอดภัยดังต่อไปนี้

สร้าง password สำหรับแต่ละ account
ไม่แจกหรือบอก password แก่ผู้อื่น
มีการเปลี่ยน password อยู่เสมอ
ไม่ใช้ข้อมูลในเชิง identifiable information เป็นส่วนหนึ่งใน password (วันเดือนปีเกิด,เบอร์มือถือ)
ใช้การยืนยันตัวตนชนิด two factor Authentication
ไม่จดหรือจัดเก็บ password ในรูปแบบ Plain text หรือง่ายต่อการลักลอบใช้จากผู้อื่น

ที่มา : ThaiCERT