FireEye Mandiant ออกรายงานล่าสุดถึงความเคลื่อนไหวของกลุ่มแฮกเกอร์อย่างน้อย 2-3 กลุ่มที่มีพฤติกรรมเชื่อมโยงกัน โดยกลุ่มแฮกเกอร์ดังกล่าวกำลังทำการโจมตีช่องโหว่ Zero-day ใน ซอฟต์แวร์ Accellion FTA เพื่อเข้าไปขโมยข้อมูล บางส่วนถูกนำมาใช้เรียกค่าไถ่

Accellion FTA เป็นซอฟต์แวร์สำหรับจัดการไฟล์ในองค์กร อ้างอิงจากประกาศของ Accellion ผลิตภัณฑ์ FTA ถูกตรวจพบว่ามีช่องโหว่ตั้งแต่ในช่วงกลางเดือนธันวาคม โดยในปัจจุบันช่องโหว่ที่ได้รับการยืนยันแล้วมีตามรายการดังนี้

CVE-2021-27101: ช่องโหว่ SQL injection ใน Host header
CVE-2021-27102: ช่องโหว่ OS command execution ผ่านทางเว็บเซอร์วิส
CVE-2021-27103: ช่องโหว่ SSRF ผ่านทาง POST request แบบพิเศษ
CVE-2021-27104: ช่องโหว่ OS command execution ผ่านทาง POST request แบบพิเศษ
จากรายงานของ FireEye Mandiant กลุ่มผู้โจมตีที่เกี่ยวข้องกับการโจมตีในครั้งนี้มีอยู่ 2 กลุ่ม โดยในกลุ่มแรกนั้นถูกระบุด้วยรหัส UNC2546 ซึ่งมีพฤติกรรมในการโจมตีช่องโหว่, ฝัง Web shell และขโมยข้อมูลออกไป และกลุ่ม UNC2582 ซึ่งมีการนำข้อมูลที่ได้จากการโจมตีมาเรียกค่าไถ่ผ่านทางหน้าเว็บไซต์ของ Clop ransomware

ทั้งกลุ่ม UNC2546 และ UNC2582 ถูกเชื่อมโยงเข้ากับพฤติกรรมของกลุ่ม FIN11 และกลุ่ม Clop ransonware ด้วยพฤติกรรมการโจมตีหลายอย่างที่เหมือนกัน

อ้างอิงจากข่าวเก่าที่ทางไอ-ซีเคียวได้มีการนำเสนอไปเมื่อวันที่ 16 กุมภาพันธ์ Singtel คือหนึ่งในเหยื่อที่ถูกโจมตีในครั้งนี้ facebook

เราขอแนะนำให้ทำการตรวจสอบการมีอยู่ของซอฟต์แวร์และแอปที่มีช่องโหว่ ปรับใช้ข้อมูลตัวบ่งชี้ภัยคุกคามอย่างเหมาะสม และเฝ้าระวังระบบอย่างใกล้ชิด

ดูข้อมูลเพิ่มเติม: fireeye
IOC เพิ่มเติม: twitter

ที่มา: securityweek, wsj, threatpost, zdnet, bleepingcomputer

SonicWall ประกาศเปิดตัวการอัปเดตเฟิร์มแวร์ครั้งที่สองสำหรับช่องโหว่ Zero-day ใน SMA-100 ซึ่งเป็นช่องโหว่ที่ถูกใช้ในการโจมตีแล้วและทาง SonicWall ได้ออกแจ้งเตือนให้ผู้ดูแลระบบทำการติดตั้งอัปเดตเฟิร์มแวร์ทันที

สืบเนื่องมาจากเมื่อเดือนที่แล้วทาง SonicWall ได้เปิดเผยถึงระบบภายในถูกโจมตีโดยการใช้ช่องโหว่ Zero-day ในอุปกรณ์ SMA-100 และสัปดาห์ต่อมา NCC Group ได้ตรวจพบช่องโหว่ Zero-day ดังกล่าวในการโจมตีจริงอย่างต่อเนื่อง ซึ่งเมื่อวันที่ 3 กุมภาพันธ์ที่ผ่านมา SonicWall ได้เปิดตัวแพตช์การแก้ไขสำหรับช่องโหว่ Zero-day ดังกล่าวและขอแนะนำให้ผู้ใช้ทุกคนทำการอัปเดตแพตช์อย่างทันที

เมื่อวันที่ 19 กุมภาพันธ์ที่ผ่านมา SonicWall ได้ประกาศการอัปเดตเฟิร์มแวร์ใหม่สำหรับอุปกรณ์ SMA-100 ซีรี่ส์ ซึ่งได้ทำการแก้ไขและเพิ่มการป้องกันเพิ่มเติมสำหรับการอัปเดตครั้งล่าสุด

ทั้งนี้เฟิร์มแวร์เวอร์ชันใหม่สำหรับเฟิร์มแวร์รหัส 10.x และ 9.x ในผลิตภัณฑ์ SMA 100 ซีรี่ส์ ซึ่งประกอบด้วย SMA 200, 210, 400, 410 สำหรับ Physical appliance และอุปกรณ์ MA 500v Virtual Appliance พร้อมสำหรับการใช้งานแล้ว ผู้ใช้และผู้ดูแลระบบควรรีบทำการอัปเดตเฟิร์มแวร์โดยทันทีเพื่อป้องกันการตกเป็นเป้าหมายของผู้ประสงค์ร้าย

ที่มา: bleepingcomputer

แอปโซเชียลเน็ตเวิร์กชื่อดัง ClubHouse ตกเป็นประเด็นถกเถียงในเรื่องความปลอดภัยและความเป็นส่วนตัวหลังจากมีผู้ใช้งานสามารถลักลอบสตรีมเสียงออกจากแอปและนำไปถ่ายทอดบนเว็บไซต์ ส่งผลให้บุคคลภายนอกที่ไม่ได้มีบัญชีสามารถฟังบทสนทนาที่เกิดขึ้นได้ รวมไปถึงประเด็นของ Backend ระบบที่อยู่ในประเทศจีนด้วย

 

จากสถานการณ์ที่มีผู้ลักลอบสตรีมเสียงออกมาภายนอกแอป ทางโฆษกของ ClubHouse ได้มีการให้ข้อมูลกับ Bloomberg ว่าบัญชีผู้ใช้งานซึ่งถูกใช้ได้ในการดำเนินการดังกล่าวได้ถูกระงับการใช้งานโดยถาวรแล้ว ทาง ClubHouse ยังได้มีการเพิ่ม "มาตรการรักษาความปลอดภัย" เพื่อป้องกันเหตุเกิดซ้ำด้วย

 

อีกหนึ่งประเด็นสำคัญนั้นอยู่ที่ระบบหลังบ้านหรือ Backend ของ ClubHouse เนื่องจากทาง ClubHouse มีการใช้แพลตฟอร์ม Agora ซึ่งเป็นสตาร์ทปอัปในประเทศจีนในการถ่ายทอดเสียง ทราฟฟิกของการใช้งาน ClubHouse จึงหลีกเลี่ยงไม่ได้ที่จะถูกส่งไปยังเซิร์ฟเวอร์ที่อยู่ในประเทศจีน ซึ่งอาจมีข้อมูลส่วนบุคคลอยู่ด้วย ข้อเท็จจริงถูกตรวจพบโดยสถาบัน Stanford Internet Observatory (SIO) เมื่อวันที่ 12 กุมภาพันธ์ที่ผ่านมา

 

ข้อกังวลของการที่แพลตฟอร์ม Agora นั้นอยู่ทั้งใน Silicon Valley และในประเทศจีนนั้นอยู่ในประเด็นที่ว่า แพลตฟอร์ม Agora อยู่ในขอบเขตอำนาจของกฎหมาย Cybersecurity ของจีนที่มีข้อบังคับให้บริษัทจำเป็นต้องส่งข้อมูลให้กับรัฐบาลจีนหากถูกร้องขอด้วย ในความเห็น SIO รัฐบาลจีนก็สามารถที่จะลักลอบดักฟังการสนทนาได้ด้วยเช่นกัน

 

แม้จะมีข้อกังวลในเรื่องของความปลอดภัยและความเป็นส่วนตัวอย่างต่อเนื่อง ความนิยมของแอปพลิเคชัน ClubHouse ก็พุ่งถึงจุดขีดสุดอีกครั้งเมื่อบัญชี Tony Woodsome ซึ่งเป็นบัญชีของอดีตนายกรัฐมนตรี ทักษิณ ชินวัตร ปรากฎตัวในแพลตฟอร์มเมื่อช่วงดึกของวันที่ 22 ที่ผ่านมา

 

ที่มา: threatpost

ไมโครซอฟต์ประกาศการสิ้นสุดการตรวจสอบภายในกรณีการโจมตี SolarWinds และซอฟต์แวร์ SolarWinds Orion เพื่อแพร่กระจายมัลแวร์และบุกรุกเข้าองค์กรต่าง ๆ เมื่อกลางสัปดาห์ที่ผ่านมา พร้อมกับเผยแพร่ Final update หรือการอัปเดตฉบับสุดท้ายที่เป็นผลลัพธ์จากการตรวจสอบครั้งนี้

ทีมตอบสนองการโจมตีและภัยคุกคามจากไอ-ซีเคียว ขอสรุปสาระสำคัญในรายงานของไมโครซอฟต์ไว้ดังนี้

ไมโครซอฟต์พบพฤติกรรมผิดปกติตั้งแต่เดือนธันวาคม ช่วงเดียวกับที่ FireEye ออกมาประกาศการตรวจพบการโจมตี การตรวจสอบไม่พบหลักฐานซึ่งบ่งชี้ว่าระบบของไมโครซอฟต์ที่ได้รับผลกระทบจากการโจมตีนั้นถูกนำไปใช้ในการโจมตีระบบอื่น
ไมโครซอฟต์พบว่าผู้โจมตีมีการเข้าถึงและอ่านไฟล์ที่อยู่ในโครงการพัฒนาซอฟต์แวร์ภายใน และได้ดำเนินการกับบัญชีที่ถูกใช้เพื่อเข้าถึงซอร์สโค้ดดังกล่าวทันที
แม้จะมีการเข้าถึงโครงการพัฒนาซอฟต์แวร์ แต่โครงการพัฒนาซอฟต์แวร์ที่ได้รับผลกระทบนั้นถือเป็นแค่โครงการบางส่วนของผลิตภัณฑ์หรือบริการที่ไมโครซอฟต์ให้บริการ ไม่มีลักษณะการเข้าถึงโครงการพัฒนาซอฟต์แวร์เป็นจำนวนมาก และลักษณะการเข้าถึงโครงการซอฟต์แวร์ที่ได้รับผลกระทบนั้นก็เกิดขึ้นในลักษณะที่จำกัด เช่น เป็นผลลัพธ์จากการเสิร์ชคีย์เวิร์ดที่เกี่ยวข้อง secret ในซอร์สโค้ดแล้วเข้าดูเพียงบางไฟล์
หลังจากเข้าถึงแล้ว ผู้โจมตีมีการดาวน์โหลดซอร์สโค้ดบางส่วนออกไป ซึ่งผลิตภัณฑ์ที่ได้รับผลกระทบนั้นได้แก่โครงการบางส่วนของ Azure, Intune และ Exchange ซึ่งล้วนแล้วแต่เป็นส่วนน้อยของซอร์สโค้ดทั้งหมด
ด้วยมาตรการรักษาความปลอดภัยปัจจุบัน ผู้โจมตีไม่สามารถที่จะเข้าถึงข้อมูลสำหรับการยืนยันตัวตนของบัญชีที่มีสิทธิ์สูงในระบบ หรือมีการใช้เทคนิคที่เกี่ยวข้องกับ SAML กับโดเมนของไมโครซอฟต์ได้

ที่มา: msrc-blog

กลุ่มแฮกเกอร์พม่าซึ่งใช้ชื่อว่า Myanmar Hackers มีการเริ่มปฏิบัติการโจมตีระบบของเว็บไซต์ส่วนราชการและรัฐบาลเพื่อแสดงออกในเชิงต่อต้านการทำรัฐประหาร โดยเป้าหมายที่ถูกโจมตีไปแล้วนั้นได้แก่ Central Bank, หน้าประชาสัมพันธ์ของกองทัพพม่า, สถานีโทรทัศน์ และหน่วยงานอื่น ๆ

Matt Warren จากมหาวิทยาลัย RMIT ของออสเตรเลียให้สัมภาษณ์กับทาง AFP ว่า ลักษณะของการโจมตีที่เกิดขึ้นนั้นดูเหมือนว่าจะมีเป้าหมายในการประชาสัมพันธ์ ปลุกระดมและเผยแพร่ข่าวสารต่อต้านการทำรัฐประหารที่เกิดขึ้นเมื่อช่วงต้นเดือนที่ผ่านมาในลักษณะ Hacktivism ผ่านการโจมตีด้วยเทคนิค Denial of Service (DoS) และการแฮกเพื่อเปลี่ยนหน้าเว็บไซต์ (Defacement)

นอกเหนือจากการโจมตีโดยกลุ่ม Myanmar Hackers แบบ Hacktivism แล้ว มีการตรวจพบการเผยแพร่ข้อมูลจากกลุ่ม DDoSecrets ซึ่งเป็นกลุ่มองค์กรไม่แสวงหาผลกำไรอีกกลุ่มหนึ่ง โดยเป็นข้อมูลจำนวน 330GB ที่ประกอบไปด้วยข้อมูลการจดทะเบียนบริษัท, ข้อมูลสแกนของเอกสารสำคัญทางราชการ รวมไปถึงเอกสารทางการเงิน กลุ่ม DDoSecrets ระบุว่าข้อมูลดังกล่าวถูกดึงมาจากระบบ myco.

Kia Motors America ถูกโจมตีด้วย Ransomware โดยกลุ่ม DoppelPaymer ซึ่งส่งผลกระทบให้ระบบไอทีของบริษัทหยุดการให้บริการ อีกทั้งยังถูกเรียกร้องค่าไถ่สำหรับตัวถอดรหัสและการไม่เปิดเผยข้อมูลที่ขโมยมารั่วไหลสู่สาธารณะเป็นจำนวนเงิน 20 ล้านดอลลาร์

ตามรายงานข่าวระบุว่า Kia Motors America ประสบปัญหาระบบไอทีหยุดให้บริการทั่วประเทศในสหรัฐอเมริกา ซึ่งการหยุดให้บริการดังกล่าวส่งผลกระทบต่อแอปพลิเคชัน UVO, ระบบการชำระเงินและเว็บไซต์ภายในที่ให้บริการกับตัวแทนจำหน่ายเกือบ 800 แห่งในสหรัฐอเมริกา

BleepingComputer ได้ทำการสอบถามไปยัง Kia Motors America และได้รับหลักฐานการโจมตีโดยเป็นโน้ตเรียกค่าไถ่จากกลุ่ม DoppelPaymer Ransomware โดยข้อความในบันทึกเรียกค่าไถ่ได้ระบุว่าเป้าหมายของกลุ่ม DoppelPaymer ในครั้งนี้นั้นคือ Hyundai Motor America ซึ่งเป็นบริษัทแม่ของ Kia อีกทั้งภายในบันทึกข้อความยังมีลิงก์ที่ลิงก์ไปยังหน้าเว็บไซต์การชำระเงินของกลุ่ม DoppelPaymer บนเครือข่าย Tor ซึ่งภายในเว็บไซต์การชำระเงินของกลุ่ม DoppelPaymer ได้ระบุข้อความเรียกร้องเงินจำนวน 404 bitcoins หรือมูลค่าประมาณ 20 ล้านดอลลาร์ (600 ล้านบาท) เพื่อแลกกับตัวถอดรหัสและการไม่เปิดเผยข้อมูลที่ขโมยมารั่วไหลสู่สาธารณะ นอกจากนี้หากทาง Kia Motors America ไม่มีการจ่ายค่าไถ่ภายในกรอบเวลาที่กำหนดจำนวนเงินจะเพิ่มเป็น 600 bitcoins หรือ 30 ล้านเหรียญ (900 ล้านบาท)

ในแถลงการณ์ล่าสุดของ Kia Motors America ได้ระบุว่าในขณะนี้ทางบริษัทกำลังประสบปัญหาระบบหยุดทำงานเป็นเวลานานและระบบที่ได้รับผลกระทบ ได้แก่ Kia Owners Portal, UVO Mobile Apps และเว็บพอร์ทัล Consumer Affairs กำลังอยู่ในการแก้ไขระบบโดยเร็วที่สุด

ที่มา: bleepingcomputer

ทีม McAfee Advanced Threat Research (ATR) ได้เปิดเผยรายละเอียดช่องโหว่ของชุดเครื่องมือ Software Development Kit (SDK) ที่ถูกใช้พัฒนา Video Calling ชื่อดังอย่าง Agora.

กระทรวงยุติธรรมสหรัฐ (Department of Justice - DoJ) ได้แจ้งข้อหาแฮกเกอร์ชาวเกาหลีเหนือ 3 คนที่ถูกกล่าวหาว่าสมคบคิดกัน ขโมยและรีดไถเงินสดและเงินสกุลดิจิตอลกว่า 1.3 พันล้านดอลลาร์จากสถาบันการเงินและกลุ่มธุรกิจอื่น ๆ

จำเลยเป็นแฮกเกอร์ชาวเกาหลีเหนือที่ได้รับการสนับสนุนจากรัฐและเป็นสมาชิกของหน่วยลาดตระเวน (Reconnaissance General Bureau - RGB) หรือที่รู้จักกันในโลกไซเบอร์คือกลุ่ม Lazarus group, Hidden Cobra หรือ Advanced Persistent Threat 38 (APT 38) ซึ่งเป็นหน่วยข่าวกรองทางทหารของเกาหลีเหนือที่มีส่วนร่วมในปฏิบัติการอาชญากรรมทางไซเบอร์

จำเลยทั้งสามคือ Jon Chang Hyok (31 ปี), Kim Il (27 ปี); และ Park Jin Hyok (36 ปี) ถูกกล่าวหาว่าได้ทำการเข้าร่วมในการสมคบคิดทางอาชญากรรมทางไซเบอร์ เพื่อดำเนินการโจมตีทางไซเบอร์ในวงกว้างและเพื่อขโมยและรีดไถเงินสกุลเงินดิจิทัลมากกว่า 1.3 พันล้านดอลลาร์จากสถาบันการเงินและบริษัทต่าง ๆ ซึ่งสำนวนฟ้องดังกล่าวได้ขยายไปถึงข้อหาที่ฟ้องในปี 2018 ที่มีต่อ Park Jin Hyok ซึ่งเป็นหนึ่งในแฮกเกอร์ที่ถูกตั้งข้อหาเกี่ยวข้องกับการโจมตีทางอินเทอร์เน็ตในปี 2014 ที่ได้ทำการโจมตีบริษัท Sony Pictures Entertainment

ทั้งนี้ผู้ที่สนใจรายละเอียดสำนวนการฟ้องของกระทรวงยุติธรรมสหรัฐที่มีต่อเเฮกเกอร์ทั้งสามสามารถอ่านต่อได้ที่: justice

ที่มา: zdnet, bleepingcomputer, thehackernews

โดยปกติในอุปกรณ์ที่ใช้ iOS นั้น หากผู้ใช้งานมีการตั้งค่า Fraudulent Website Warning ไว้ในแอป Safari เมื่อผู้ใช้งานพยายามจะเข้าเว็บไซต์ใด Safari จะทำการส่งข้อมูลที่เกี่ยวข้องกับการเข้าถึงแบบไม่สามารถระบุตัวตนได้ไปยังบริการ Safe Browsing ของ Google เพื่อตรวจสอบความเป็นอันตรายของการเข้าถึงดังกล่าว ผู้ใช้งานจะได้รับการแจ้งเตือนเป็นหน้าสีแดงหากผลลัพธ์ออกมาว่าเว็บไซต์ที่ผู้ใช้งานกำลังจะเข้าถึงนั้นเป็นอันตราย

อย่างไรก็ตามแม้ว่าข้อมูลที่ Safari ส่งให้กับ Safe Browsing จะอยู่ในสถานะที่ปราศจากข้อมูลส่วนบุคคลหรือข้อมูลที่บ่งชี้พฤติกรรมการใช้งานได้ Google ก็ยังคงทราบหมายเลขไอพีแอดเดรสของอุปกรณ์ที่ส่งข้อมูลมาอยู่ดี

หลังจากความตั้งใจของแอปเปิลเกี่ยวกับการพยายามเพิ่มความเป็นส่วนตัวของผู้ใช้งานซึ่งแสดงให้เห็นจากหลายฟีเจอร์ที่ถูกเพิ่มเข้ามาใน iOS หนึ่งในฟีเจอร์อีกหนึ่งอย่างที่กำลังจะเพิ่มเข้ามาใน iOS 14.5 นั้นคือการทำพร็อกซีให้กับแอป Safari ก่อนที่จะมีการส่งข้อมูลไปยัง Safe Browsing ซึ่งจะส่งผลให้หมายเลขไอพีแอดเดรสทั้งหมดที่ Safe Browsing จะเห็นนั้นเป็นหมายเลขไอพีเดียวกัน

ฟีเจอร์นี้ได้ถูกอิมพลีเมนต์ลงไปแล้วใน iOS 14.5 beta หลังจากที่ถูกค้นพบโดยผู้ใช้งาน Reddit ซึ่งใช้ชื่อบัญชีว่า jaydenkieran โดย Apple อาจมีจะมีการปล่อย iOS รุ่นใหม่นี้ในช่วงเดือนกุมภาพันธ์/มีนาคมที่จะถึงนี้

ที่มา: zdnet

Bob Gualtieri นายอำเภอของเขต Pinellas County เมือง Oldsmar รัฐฟลอริดา ประเทศสหรัฐอเมริกา ได้แถลงถึงกรณีที่แฮกเกอร์ได้ทำการบุกรุกเข้าถึงระบบคอมพิวเตอร์ของโรงบำบัดน้ำในเมือง Oldsmar และได้ทำการปรับเปลี่ยนระบบการควบคุมระดับสารเคมีที่ใช้ในโรงบำบัดให้เป็นระดับที่เป็นอันตราย

การบุกรุกเกิดขึ้นในวันศุกร์ที่ 5 กุมภาพันธ์ที่ผ่านมา โดยการโจมตีดังกล่าวเกิดขึ้นก่อนการแข่งขัน Super Bowl LV ของ NFL ใน Tampa Bay เพียงสองวัน ซึ่งแฮกเกอร์ได้เข้าถึงระบบคอมพิวเตอร์ที่สามารถตั้งค่าการควบคุมระบบการบำบัดน้ำได้จากระยะไกลผ่านซอฟต์แวร์ TeamViewer ครั้งแรกเวลา 8.00 น และครั้งที่สอง 13.30 น. โดยการเข้าถึงระบบครั้งที่สองนี้เจ้าหน้าที่ผู้ปฏิบัติงานที่กำลังตรวจสอบระบบและเห็นแฮกเกอร์กำลังเลื่อนเคอร์เซอร์ของเมาส์บนหน้าจอเพื่อเข้าถึงซอฟต์แวร์ที่ใช้ในการบำบัดน้ำ

แฮกเกอร์ได้ทำการการตั้งค่าสารโซเดียมไฮดรอกไซด์ที่ถูกใช้เพื่อควบคุมความเป็นกรดของน้ำและกำจัดโลหะออกจากน้ำดื่มในโรงบำบัดน้ำ จากประมาณ 100 ส่วนต่อล้านเป็น 11,100 ส่วนต่อล้าน ซึ่งเป็นการเพิ่มขึ้นอย่างมีนัยสำคัญและอาจเป็นอันตรายต่อประชาชนในเมืองได้

เนื่องจากการโจมตีดังกล่าวถูกเจ้าหน้าที่ผู้ปฏิบัติงานตรวจจับได้ทันเวลาก่อนที่ระดับสารเคมีในน้ำจะถูกนำไปใช้ในระบบการส่งน้ำในเมืองและหลังจากการตรวจจับการโจมตี เจ้าหน้าที่ผู้ปฏิบัติงานได้ทำการแก้ไขระบบการตั้งค่าระดับสารเคมีให้กลับมาเป็นปกติทันที

ปัจจุบันทางการเมือง Pinellas County, หน่วยงาน FBI และหน่วย Secret Service ของสหรัฐ กำลังร่วมกันสอบสวนหาผู้กระทำการโจมตีครั้งนี้

ที่มา: zdnet, bleepingcomputer