Kaspersky ออกรายงานเกี่ยวกับความเคลื่อนไหวล่าสุดของกลุ่มแฮกเกอร์สัญชาติเกาหลีเหนือ Lazarus Group ซึ่งพุ่งเป้าโจมตีธุรกิจในกลุ่มผู้ผลิตอาวุธและเทคโนโลยีป้องกันประเทศในช่วงปี 2020 โดยมีเป้าหมายในการขโมยข้อมูลลับ ด้วยมัลแวร์ตัวใหม่ที่ถูกเรียกว่า ThreatNeedle

ในการโจมตีนั้น ผู้โจมตีจะทำการเข้าถึงระบบของเป้าหมายโดยอีเมลฟิชชิ่งที่มีลักษณะของเนื้อหาแอบอ้างสถานการณ์ COVID-19 จากนั้นจะมีการติดตั้งมัลแวร์ ThreatNeedle ซึ่งเคยมีประวัติในการถูกใช้เพื่อโจมตีธุรกิจในกลุ่ม Cryptocurrency ในปี 2018

มัลแแวร์ ThreatNeedle มีฟังก์ชันที่ครบเครื่อง ตัวมัลแวร์สามารถทำการยกระดับสิทธิ์ในระบบได้ด้วยตัวเอง มีการแยกส่วนของตัว Launcher และโค้ดของมัลแวร์ออกจากกันโดยส่วน Launcher จะเป็นตัวถอดรหัสและโหลดโค้ดของมัลแวร์จริง ๆ ไปทำงานในหน่วยความจำ

Kaspersky ยังค้นพบด้วยว่าผู้โจมตีมีการเข้าถึงระบบภายในผ่าน ThreatNeedle เพื่อเข้ามาแก้ไขการตั้งค่าของ Router ภายใน ในกรณีที่มีการทำ Network segmentation โดยแฮกเกอร์จะสร้าง Tunnel ด้วยโปรโตคอล SSH เพื่อส่งข้อมูลที่ขโมยมา กลับไปยังเซิร์ฟเวอร์ที่ถูกแฮกในเกาหลีใต้

ผู้ที่สนใจข้อมูลเพิ่มเติมสามารถดู Security advisory ได้จากรายงานของ Kaspersky ที่ ics-cert

ที่มา: .bleepingcomputer

Cisco ได้ออกเเพตช์เพื่อแก้ไขช่องโหว่ที่มีความรุนแรงสูงสุด ถูกพบใน API Endpoint ของ Cisco ACI Multi-Site Orchestrator (MSO) ที่ติดตั้งบน Application Services Engine โดยรายละเอียดของช่องโหว่ที่น่าสนใจมีดังนี้

 

ช่องโหว่แรกถูกติดตามด้วยรหัส CVE-2021-1388 มีคะแนน CVSS อยู่ที่ 10/10 เป็นช่องโหว่ถูกพบใน API Endpoint ของ Cisco ACI MSO เวอร์ชัน 3.0 ที่ติดตั้งบน Application Services Engine โดยช่องโหว่อาจทำให้ผู้โจมตีจากระยะไกลที่ไม่ได้รับการรับรองความถูกต้องอาจข้ามการพิสูจน์ตัวตน (Authentication Bypass) บนอุปกรณ์ที่ได้รับผลกระทบ โดยการส่ง Request ที่สร้างขึ้นมาเป็นพิเศษเข้ามายังอุปกรณ์ที่เป็นเป้าหมาย เพื่อทำให้ได้รับ Token การตรวจสอบสิทธิ์พร้อมสิทธิ์ระดับผู้ดูแลระบบ ซึ่งช่องโหว่นี้จะส่งผลกระทบต่อเวอร์ชัน Cisco ACI MSO เวอร์ชัน 3.0 ที่ติดตั้งบน Application Services Engine เท่านั้น

 

ช่องโหว่ที่สองถูกติดตามด้วยรหัส CVE-2021-1393 เป็นช่องโหว่ถูกพบใน Cisco Application Services Engine โดยช่องโหว่สามารถอนุญาตให้ผู้โจมตีระยะไกลที่ไม่ผ่านการตรวจสอบสิทธิ์เข้าถึงบริการพิเศษบนอุปกรณ์ที่ได้รับผลกระทบ เพื่อเรียกใช้คอนเทนเนอร์หรือเรียกใช้คำสั่งระดับโฮสต์ได้

 

ทั้งนี้ Cisco ยังได้เเก้ไขช่องโหว่เพิ่มเติมอีกห้ารายการที่ส่งผลกระทบต่อซอฟต์แวร์ Cisco FXOS, ซอฟต์แวร์ Cisco NX-OS และซอฟต์แวร์ Cisco UCS โดยช่องโหว่มีการจัดอันดับความรุนแรง CVSS อยู่ที่ 8.1 - 9.8/10 ผู้ใช้และผู้ดูแลระบบควรทำการอัปเดตแพตช์ให้เป็นเวอร์ชันล่าสุดโดยเร็วเพื่อป้องกันการตกเป็นเป้าหมายของผู้ประสงค์ร้าย

 

ที่มา: bleepingcomputer

ตามรายงานจาก BBC ได้ระบุว่าผลิตภัณฑ์กล้องสำหรับเฝ้าเด็ก NurseryCam ซึ่งถูกใช้ในระบบของสถานรับเลี้ยงเด็กประมาณ 40 แห่งทั่วสหราชอาณาจักรได้ถูกระงับการบริการในวันเสาร์ที่ผ่านมาเพื่อปิดปรับปรุงระบบการให้บริการ

การบุกรุกระบบ NurseryCam ทำให้แฮกเกอร์ซึ่งอ้างว่าได้เข้าถึงฐานข้อมูลนั้นสามารถเข้าถึงข้อมูลต่าง ๆ อาทิ ชื่อจริง, Username, Password ที่ผ่านฟังก์ชันแฮช SHA-1 และ Email addresses กว่า 12,000 บัญชี โดยแฮกเกอร์ได้ทำการเผยเเพร่ฐานข้อมูลสู่สาธารณะแล้ว

Andrew Tierney ผู้เชี่ยวชาญด้านความปลอดภัย IoT ได้เริ่มทำการตรวจสอบเหตุการณ์การบุกรุกและทำการตรวจสอบข้อมูลที่ถูกเผยเเพร่ว่าเป็นข้อมูลจริงหรือไม่

ทั้งนี้ NurseryCam ได้ทราบถึงการละเมิดระบบของบริษัทแล้วและได้เริ่มส่งอีเมลถึงผู้ปกครองเพื่อเตือนถึงการบุกรุกครั้งนี้ NurseryCam แล้ว

ที่มา: theregister

เมื่อวันที่ 23 กุมภาพันธ์ 2021 ที่ผ่านมา VMware ออกแพตช์ให้กับ VMware vCenter Server (vCenter Server) เพื่อแก้ไขช่องโหว่ร้ายแรง CVE-2021-21972 ซึ่งทำให้ผู้โจมตีสามารถส่งคำสั่งอันตรายมาจากระยะไกลผ่านพอร์ต Hโดยที่ไม่ต้องยืนยันตัวตนเพื่อทำการรันบนระบบปฏิบัติการณ์ของเครื่องที่มี vCenter Server ได้

โดยหลังจากการประกาศแพตช์ช่องโหว่ดังกล่าวเพียงวันเดียวก็มีการเผยแพร่ POC ของช่องโหว่ดังกล่าวทันที ทำให้เกิดการสแกนหาเครื่องที่มีช่องโหว่ตามมา ซึ่งจากการค้นหาผ่าน shodan.

BleepingComputer แจ้งเตือนถึงการค้นพบแคมเปญใหม่ของผู้ประสงค์ร้ายกำลังใช้ Google Alerts เพื่อทำการโปรโมตการอัปเดต Adobe Flash Player ปลอมที่ถูกใช้ในการดาวน์โหลดและติดตั้งโปรแกรมอื่น ๆ บนคอมพิวเตอร์ของผู้ใช้

ผู้ประสงค์ร้ายกำลังเริ่มแคมเปญใหม่โดยการสร้างเนื้อหาการอัปเดต Adobe Flash Player เวอร์ชันใหม่ปลอมเพื่อให้ Google Search จัดทำ Index และถึงแม้ว่า Adobe Flash Player จะ End of life Support และจะไม่ได้รับการสนับสนุนจากเบราว์เซอร์ทุกตัวอีกต่อไป แต่ผู้ใช้หลายคนอาจจะยังไม่ทราบและเมื่อคลิกที่ลิงก์ ผู้ใช้จะถูกรีไดเร็คไปยังเว็บไซต์ที่เป็นอันตรายของผู้ประสงค์ร้าย ซึ่งหากผู้ใช้เข้าไปที่ URL โดยตรงเว็บไซต์จะระบุว่าไม่มีเว็บไซต์ดังกล่าว

หากผู้ใช้คลิกที่ปุ่มอัปเดตโดยผู้ใช้คิดว่ากำลังดาวน์โหลดไฟล์และติดตั้งการอัปเดตล่าสุด Adobe Flash Player ผู้ใช้จะได้รับไฟล์ setup.

Brave Browser กำลังแก้ไขปัญหาด้าน Privacy ที่เกิดจากข้อบกพร่องในโหมด Private Window with Tor ที่ทำให้ข้อมูลการเยื่ยมชม Tor Onion URL บนโดเมน .onion และบน Dark Web ถูกส่งไปยังเซิร์ฟเวอร์ DNS ที่ผู้ใช้กำหนดไว้

Brave เป็น Chromium-based เบราว์เซอร์ที่มีฟีเจอร์เด่นในเรื่องของ Privacy รวมถึงการบล็อกโฆษณาและควบคุมข้อมูลที่มีความเป็นส่วนตัวและมีโหมดการใช้งานบนเครือข่าย Tor ซึ่งเป็นฟีเจอร์ที่เพิ่มความเป็น Anonymity ในการเข้าถึงเว็บไซต์โดยไม่ระบุตัวตนที่จะช่วยให้ผู้ใช้สามารถเข้าถึงโดเมน .onion บน Dark Web ได้โดยไม่ต้องติดตั้ง Tor

ข้อผิดพลาดเกิดขึ้นจากการเข้าถึง URL ของ Brave Browser ที่ได้เพิ่มโหมด Private Window with Tor ซึ่งทำหน้าที่เป็นพร็อกซีให้กับเครือข่าย Tor เมื่อผู้ใช้ทำการเชื่อมต่อ URL กับโดเมน .onion ซึ่งปกติจะไม่เปิดเผยข้อมูล IP address ให้กับผู้ให้บริการอินเทอร์เน็ต (ISP), ผู้ให้บริการเครือข่าย Wi-Fi และเว็บไซต์เอง อย่างไรก็ดีได้มีนักวิจัยด้านความปลอดภัยพบว่า Brave ได้เปิดเผยข้อมูล onion URL ไปยังเซิร์ฟเวอร์ DNS Provider ที่ผู้ใช้กำหนดไว้เช่นเซิร์ฟเวอร์ของ Google ที่มี IP address คือ 8.8.8.8

หลังจากที่ทีมงานของ Brave Software ได้รับรายงานปัญหาจึงได้ทำการตรวจสอบ พบว่ามีข้อบกพร่องในฟีเจอร์ CNAME decloaking ad-blocking ที่เป็นฟีเจอร์ที่ถูกเปิดใช้เพื่อบล็อก Tracking Script จาก Third-party ด้วยเหตุนี้ทางทีมงานจึงได้ปิด CNAME Adblocking เมื่อผู้ใช้เปิดโหมด Tor Browsing โดยข้อบกพร่องดังกล่าวจะถูกแก้ไขในเวอร์ชัน V1.20.108 ทั้งนี้ผู้ใช้ Brave Browser สามารถทำการอัปเดตเป็นเวอร์ชันล่าสุดได้แล้ว

ที่มา: bleepingcomputer, thehackernews, zdnet

RIPE NCC (Reseaux IP European Network Coordination Center) กำลังประสบปัญหาถูกโจมตีด้วยเทคนิค Credential stuffing attack เพื่อพยายามเข้าถึงบัญชีด้วยระบบ Single Sign-On (SSO)

RIPE NCC คือองค์กรที่ไม่แสวงหาผลกำไรสำหรับรับการลงทะเบียนอินเทอร์เน็ตระดับภูมิภาคสำหรับยุโรป, ตะวันออกกลางและบางส่วนของเอเชียกลาง (EMEA) ซึ่งมีหน้าที่รับผิดชอบในการจัดสรรบล็อกของ IP addresses กับผู้ให้บริการอินเทอร์เน็ต, ผู้ให้บริการโฮสติ้งและองค์กรต่างๆ ในภูมิภาค EMEA

เหตุการณ์การโจมตีถูกเปิดเผยโดย RIPE ซึ่งพบว่าพวกเขาถูกโจมตีด้วยเทคนิค Credential stuffing attack ในช่วงสุดสัปดาห์ที่ผ่านมาและเป้าหมายของการโจมตีมุ่งเป้าไปยังระบบ RIPE NCC Access ซึ่งเป็นระบบ SSO สำหรับการให้บริการผู้ใช้เพื่อล็อกอินเข้าสู่เว็บไซต์ RIPE ทั้งหมดรวมถึง My LIR, Resources, RIPE Database, RIPE Labs, RIPEstat, RIPE Atlas และเว็บไซต์ RIPE Meeting โดยจากการตรวจสอบเบื้องต้นพบเจตนาของผู้ประสงค์ร้ายต้องการให้เกิดการหยุดทำงานบางอย่างของระบบ

ทั้งนี้ RIPE NCC กำลังสอบสวนเหตุการณ์ที่เกิดขึ้นและยังไม่พบว่าบัญชีใด ๆ ในระบบถูกบุกรุก อย่างไรก็ดี RIPE NCC ได้เปิดใช้งานระบบ Two-Factor Authentication (2FA) สำหรับเข้าถึงบัญชีด้วยระบบ SSO และขอให้ผู้ใช้ทุกคนเปิดใช้งานระบบ 2FA ในการเข้าใช้บัญชีด้วยเพื่อป้องกันการบุกรุกจากการโจมตีด้วยข้อมูล Credential ที่อาจถูกบุกรุกและควรใช้รหัสผ่านที่แตกต่างกันในทุกเว็บไซต์เพื่อป้องกันการรั่วไหลจากการใช้ข้อมูล Credential ในการโจมตีเว็บไซต์อื่น ๆ

ที่มา: bleepingcomputer

Cisco เปิดตัวแพตช์อัปเดตความปลอดภัยสำหรับช่องโหว่ใน AnyConnect Secure Mobility Client สำหรับ Windows โดยช่องโหว่อาจทำให้ผู้โจมตีที่อยู่ภายในระบบและได้รับการตรวจสอบความถูกต้องสามารถทำการโจมตีแบบ Hijacking DLL บนอุปกรณ์ที่ได้รับผลกระทบหากโมดูล VPN Posture (HostScan) ถูกติดตั้งบน AnyConnect client

ช่องโหว่ถูกค้นพบโดย Marcos Accossatto และ Pablo Zurro จาก Core Security โดยช่องโหว่เกิดจากการตรวจสอบความถูกต้องของข้อมูลที่โหลดโดยแอปพลิเคชันในขณะทำงานไม่เพียงพอ ผู้โจมตีสามารถใช้ประโยชน์จากช่องโหว่นี้ได้โดยส่ง IPC message ที่สร้างขึ้นมาเป็นพิเศษไปยังกระบวนการของ AnyConnect ซึ่งหากประสบความสำเร็จในการใช้ช่องโหว่อาจทำให้ผู้โจมตีสามารถเรียกใช้โค้ดได้โดยไม่ต้องรับอนุญาตบนเครื่องที่ตกเป็นเป้าหมายด้วยสิทธิ์ของระบบ ซึ่งในการใช้ประโยชน์จากช่องโหว่นี้ผู้โจมตีจำเป็นต้องมีข้อมูล Credential บนระบบก่อน

ทั้งนี้ Cisco แก้ไขช่องโหว่นี้ใน Cisco AnyConnect Secure Mobility Client สำหรับ Windows เวอร์ชัน 4.9.05042 และใหม่กว่า ผู้ใช้งานควรทำการอัปเดตให้เป็นเวอร์ชันล่าสุดเพื่อป้องกันการตกเป็นเป้าหมายของผู้ประสงค์ร้าย

ที่มา: cisco

บริษัทด้านความปลอดภัย Red Canary, Malwarebytes และ VMware Carbon Black ออกแจ้งเตือนร่วมกันถึงการแพร่กระจายของมัลแวร์ตัวใหม่บน MacOS อีกทั้งยังสามารถทำงานบนชิป Apple M1 ได้ในชื่อ Silver Sparrow

อ้างอิงจากผลการตรวจสอบโดย Malwarebytes มัลแวร์ Silver Sparrow แพร่กระจายไปแล้วกว่า 29,139 ระบบในกว่า 153 ประเทศ ความน่าสนใจของ Silver Sparrow นั้นอยู่ที่แนวทางในการแพร่กระจาย มัลแวร์ Silver Sparrow แพร่กระจายในลักษณะไฟล์ 2 รูปแบบคือ "updater.

 

Eyal Itkin และ Itay Cohen สองนักวิจัยจาก Check Point เผยแพร่งานวิจัยที่เกี่ยวข้องกับการติดตามการใช้ช่องโหว่ในการโจมตีโดยกลุ่ม APT ซึ่งนำเสนอหลักฐานใหม่ที่พิสูจน์ให้เห็นว่ากลุ่ม APT สัญชาติจีน APT31 มีการใช้โค้ดสำหรับโจมตีช่องโหว่ชุดเดียวกับที่รั่วไหลมาจากกลุ่ม Tailored Access Operation (TAO) ซึ่งเป็นแผนกหนึ่งของสำนักงานมั่นคงแห่งชาติ (National Security Agency - NSA) หรือที่รู้จักกันในอีกโฉมหน้าหนึ่งคือกลุ่ม APT "Equation Group"

 

หากย้อนกลับไปในปี 2016-2017 กลุ่มแฮกเกอร์ Shadow Brokers ซึ่งทุกวันนี้ยังไม่สามารถระบุตัวตนได้ได้มีการเปิดประมูลเครื่องมือและโค้ดสำหรับโจมตีช่องโหว่ของ Equation Group และต่อมามีการปล่อยให้ดาวน์โหลดภายใต้ชื่อแคมเปญ Lost in Translation จนเป็นที่มาของมัลแวร์ WannaCry ที่มีการใช้หนึ่งในช่องโหว่ที่รั่วไหลออกมาอย่าง EternalBlue ในการโจมตี

 

สองนักวิจัยจาก Check Point ได้ทำการวิเคราะห์ช่องโหว่ CVE-2019-0803 ซึ่งถูกระบุโดย NSA ว่าเป็นหนึ่งในช่องโหว่ที่มักถูกใช้มากที่สุดโดยกลุ่มแฮกเกอร์ หลังการวิเคราะห์ช่องโหว่ CVE-2019-0803 ทีม Check Point ได้ทำการวิเคราะห์ช่องโหว่ตัวถัดไปที่น่าสนใจคือ CVE-2017-0005

 

ช่องโหว่ CVE-2017-005 เป็นช่องโหว่ยกระดับสิทธิ์ (Privilege escalation) ใน Windows ช่องโหว่นี้ถูกใช้โดยกลุ่มแฮกเกอร์ APT31 หรือที่รู้จักกันในชื่อ Zirconium ประวัติของช่องโหว่นี้มีมาอย่างยาวนาน มันถูกแจ้งไปยังไมโครซอฟต์ครั้งแรกโดยทีม IR ของ Lockheed Martin ในปี 2017 หลังจากถูกใช้มาแล้วตั้งแต่ปี 2013 การวิเคราะห์ช่องโหว่ของทีม Check Point บ่งบอกถึงความเหมือนกันของโค้ดที่แฮกเกอร์จีนใช้ และโค้ดที่หลุดออกมาจากฝั่ง NSA จากสหรัฐฯ อย่างชัดเจน

 

เมื่อช่องโหว่ในระดับเดียวกัน Cyberweapon มีการถูกใช้งานก่อนจะมีการรั่วไหลออกมา แน่นอนว่าสมมติฐานหลายอย่างก็เกิดขึ้นต่อความเป็นไปได้ในเหตุการณ์นี้ ทีม Check Point ได้สรุปสมมติฐานและความเป็นไปได้ของเหตุการณ์ที่เกิดขึ้นออกมาได้ 3 ลักษณะ คือ

 

1. ฝั่งอเมริกาอาจทำการโจมตีต่อเป้าหมายในจีน และทำโค้ดสำหรับโจมตีช่องโหว่หลุด

2. ฝั่งอเมริกาอาจทำการโจมตีเป้าหมายในประเทศหรือองค์กรอื่นซึ่งถูกเฝ้าระวังหรือมอนิเตอร์โดยกลุ่มจากฝั่งจีน ทำให้จีนสามารถเก็บโค้ดการโจมตีไปได้

3. โค้ดสำหรับโจมตีหลุดมาจาก Infrastructure ของฝั่งอเมริกาเอง ซึ่งอาจเกิดขึ้นจากฝ่ายจีนโจมตีเข้าไป หรือฝั่งอเมริกาดูแลโค้ดไม่ดี

 

เหตุการณ์ในลักษณะนี้ไม่ใช่เหตุการณ์แรกที่เคยเกิดขึ้น ในอดีต Symantec เคยตรวจพบการใช้ช่องโหว่ Zero day เดียวกับ Equation Group มาแล้วโดยกลุ่ม APT3 โดยข้อสรุปสำหรับเหตุการณ์ในขณะนั้นซึ่งมีโอกาสเป็นไปได้มากที่สุดคือการที่กลุ่ม APT3 ทำการศึกษา Network traffic ที่เกิดจากการโจมตี ก่อนจะประกอบร่างกลับมาเป็นโค้ดสำหรับโจมตี

 

งานวิจัยหลัก: checkpoint

 

ที่มา: theregister, threatpost, zdnet