พบภัยคุกคามทางไซเบอร์ระลอกใหม่ จากการที่ผู้โจมตีเริ่มนำ AdaptixC2 ซึ่งเป็น Open-source Command and Control framework และใช้งานได้ฟรี ที่เดิมทีออกแบบมาสำหรับการทดสอบเจาะระบบที่ถูกกฎหมาย และปฏิบัติการของ Red Team

นักวิจัยด้านความปลอดภัยได้ค้นพบแนวโน้มที่น่ากังวล โดยพบว่าผู้โจมตีได้นำเครื่องมือ post-exploitation นี้ ไปใช้ในแคมเปญแรนซัมแวร์ทั่วโลก ซึ่งเป็นการเปลี่ยนเครื่องมือที่มีไว้สำหรับการแฮ็กอย่างถูกกฎหมาย ให้กลายเป็นอาวุธร้ายแรงสำหรับองค์กรอาชญากรรม

เฟรมเวิร์กนี้ เขียนด้วย Golang สำหรับ component เซิร์ฟเวอร์ ที่ใช้ C++ และ QT-based GUI client ที่รองรับทั้ง Linux, Windows และ macOS ช่วยให้ผู้โจมตีมีความยืดหยุ่น และโจมตีได้หลายแพลตฟอร์ม จึงเหมาะอย่างยิ่งสำหรับการโจมตี

การใช้งาน AdaptixC2 ถูกพบครั้งแรกระหว่างการวิจัยเชิงลึกเกี่ยวกับ CountLoader ซึ่งเป็น malware loader ที่ทำหน้าที่ส่ง payloads ของ AdaptixC2 ที่เป็นอันตรายจากโครงสร้างพื้นฐานที่ผู้โจมตีควบคุมอยู่

นักวิเคราะห์ของ Silent Push ได้ตรวจพบ และติดตามการใช้งานที่เป็นอันตรายเหล่านี้ ต่อมาจึงได้สร้าง signatures การตรวจจับโดยเฉพาะเพื่อระบุภัยคุกคามทั้งสองรายการ

หลังจากการใช้มาตรการป้องกันเหล่านี้ รายงานสาธารณะหลายฉบับได้แสดงให้เห็นถึงการใช้งาน AdaptixC2 ที่เพิ่มขึ้นอย่างรวดเร็วในกลุ่มเครือข่ายแรนซัมแวร์ โดยเฉพาะกลุ่มที่เชื่อมโยงกับปฏิบัติการอย่าง Akira

การโจมตีครั้งนี้ ได้ส่งผลกระทบต่อองค์กรกว่า 250 แห่งนับตั้งแต่เดือนมีนาคม 2023 และถูกกล่าวหาว่าเรียกค่าไถ่ไปได้ถึง 42 ล้านดอลลาร์

นักวิจัยของ Silent Push ตั้งข้อสังเกตว่า การละเมิด AdaptixC2 ที่ทวีความรุนแรงขึ้นเรื่อย ๆ เผยให้เห็นถึงภัยคุกคามที่ซับซ้อนซึ่งใช้เครื่องมือสำหรับนักพัฒนาที่ถูกกฎหมาย เพื่อปกปิดเจตนาที่เป็นอันตรายของตน

เฟรมเวิร์กนี้มีความสามารถ post-exploitation ซึ่งช่วยให้ผู้โจมตีสามารถสร้าง command channels ที่แฝงตัวอยู่อย่างถาวร สั่งรันคำสั่งอันตรายบนระบบที่ถูกเจาะ และทำการ lateral movement ภายในเครือข่ายเป้าหมาย

ระบบรองรับ listener หลายประเภท รวมถึงโปรโตคอล mTLS, HTTP, SMB และ BTCP ซึ่งช่วยให้ผู้โจมตีมีช่องทางการสื่อสารที่หลากหลาย ทำให้การตรวจจับ และการเฝ้าระวังผ่านเครือข่ายมีความซับซ้อนยิ่งขึ้น

ความเชื่อมโยงใต้ดินของรัสเซีย และการระบุแหล่งที่มาของผู้พัฒนา

การสืบสวนที่มาของเฟรมเวิร์กนี้เปิดเผยความเชื่อมโยงที่สำคัญกับเครือข่ายอาชญากรใต้ดินของรัสเซีย

บุคคลที่ใช้นามแฝงว่า “RalfHacker” ดูเหมือนจะเป็นผู้พัฒนาหลักที่อยู่เบื้องหลัง AdaptixC2 โดยดูแล project ผ่าน GitHub commits อย่างสม่ำเสมอ และดูแลช่องทาง Telegram ภาษารัสเซียสำหรับขายเฟรมเวิร์กนี้

งานวิจัยของ OSINT พบบัญชีอีเมลที่เชื่อมโยงกับบัญชีของ RalfHacker ซึ่งรวมถึงการอ้างอิงในฐานข้อมูลที่รั่วไหลออกมาจากฟอรัมแฮ็กเกอร์ที่มีชื่อเสียง เช่น RaidForums ซึ่งเป็นการสร้างความเชื่อมโยงที่น่าเชื่อถือไปยังชุมชนอาชญากรไซเบอร์ที่จัดตั้งเป็นองค์กร

ช่องทาง Telegram ของผู้พัฒนารายนี้สื่อสารเป็นภาษารัสเซียเป็นส่วนใหญ่ โดยโฆษณาการอัปเดตเฟรมเวิร์กพร้อมแฮชแท็กที่อ้างอิงถึง Active Directory, กลยุทธ์แบบ APT และเนื้อหาที่เกี่ยวข้องกับ ATM ซึ่งตอกย้ำความเชื่อมโยงกับเครือข่ายผู้โจมตีจากรัสเซียที่กำลังใช้แพลตฟอร์มนี้ในปฏิบัติการแรนซัมแวร์

ที่มา : cybersecuritynews

 

 

Atlassian ได้เผยแพร่คำแนะนำด้านความปลอดภัยเพื่อแจ้งเตือนว่าผลิตภัณฑ์ Jira และ Jira Service Management ของ บริษัท ได้รับผลกระทบจากช่องโหว่การเลี่ยงผ่านการตรวจสอบสิทธิ์ที่สำคัญใน Seraph ซึ่งเป็น Framework การรักษาความปลอดภัยเว็บแอปพลิเคชันของบริษัท

Seraph ใช้ใน Jira และ Confluence เพื่อจัดการคำขอเข้าสู่ระบบ และออกจากระบบทั้งหมด

ช่องโหว่มีหมายเลข CVE-2022-0540 และ CVSS 9.9 ซึ่งทำให้ผู้โจมตีสามารถ bypass authentication โดยส่งคำขอ HTTP ที่สร้างขึ้นเป็นพิเศษไปยังเซิร์ฟเวอร์ปลายทางที่มีช่องโหว่

ผลิตภัณฑ์ที่ได้รับผลกระทบ ได้แก่ Jira Core Server, Software Data Center, Software Server, Service Management Server และ Management Data Center เวอร์ชันดังต่อไปนี้:

Jira Core Server, Software Server และ Software Data Center เวอร์ชันก่อน 8.13.18, 8.14.x, 8.15.x, 8.16.x, 8.17.x, 8.18.x, 8.19.x, 8.20.x เวอร์ชันก่อน 8.20.6 และ 8.21.x.
Jira Service Management Server and Management Data Center เวอร์ชันก่อน 4.13.18, 4.14.x, 4.15.x, 4.16.x, 4.17.x, 4.18.x, 4.19.x, 4.20.x เวอร์ชันก่อน 4.20.6, 4.21.x

ช่องโหว่นี้ไม่ส่งผลกระทบต่อเวอร์ชันคลาวด์สำหรับ Jira และ Jira Service Management.

Google ออกแพตซ์แก้ไขข้อบกพร่องที่สำคัญบน Android

สัปดาห์ที่ผ่านมา Google ได้เปิดตัวชุดรักษาความปลอดภัยสำหรับ Android ประจำเดือนพฤศจิกายน เพื่อแก้ไขช่องโหว่ที่มีผลกระทบต่อแพลตฟอร์มเกือบ 40 ประกอบด้วยข้อบกพร่องทั้งหมด 17 รายการใน Framework, Library, Framework , Media framework และ System (2019-11-01) ช่องโหว่ที่รุนแรงที่สุดอยู่ในระดับ System ส่งผลให้ผู้โจมตีสามารถสั่งรันคำสั่งที่เป็นอันตรายจากระยะไกลตามสิทธิ์ของโปรเซสที่ใช้รัน ประกอบด้วยช่องโหว่ใน Android 9 (CVE-2019-2204), Android 8.0, 8.1, 9 และ 10 (CVE-2019-2205 และ CVE-2019-2206)

ช่องโหว่อื่นๆ อีกประมาณ 21 รายการ (2019-11-05) ประกอบด้วยช่องโหว่ที่น่าสนใจ คือ ช่องโหว่ความรุนแรงสูงในระดับ Framework 2 รายการ, ช่องโหว่ความรุนแรงสูงในระดับ System 1 รายการ และช่องโหว่ความรุนแรงสูง 3 รายการและความรุนแรงปานกลางอีก 1 รายการในระดับ Kernel โดยได้แก้ไขช่องโหว่ที่พบในส่วนของ Qualcomm ที่พบมาก่อนหน้านี้ด้วย โดยช่องโหว่บน Pixel เองก็จะได้รับการแก้ไขในรอบนี้ด้วย

ที่มา: securityweek

Google ได้ทำการแก้ไข 2 ช่องโหว่สำคัญ (critical) ที่เกี่ยวกับ remote code execution และช่องโหว่ระดับความรุนแรงสูง (high) 9 ช่องโหว่ ที่เกี่ยวกับการยกระดับสิทธิ์ และช่องโหว่การเปิดเผยข้อมูล ของ Android Open Source Project (AOSP) ซึ่งเป็นแหล่งรวบรวมข้อมูล และ Source Code สำหรับให้นักพัฒนา Android นำไปใช้งาน เมื่อช่วงต้นเดือนที่ผ่านมา

CVE-2019-2027 และ CVE-2019-2028 เป็นช่องโหว่ที่สำคัญที่ส่งผลกระทบต่อ Media framework ซึ่งอาจทำให้ผู้โจมตีสามารถสั่งรันโค้ดอันตรายบนระบบได้ ส่งผลกระทบต่อ Android 7.0 หรือใหม่กว่าทั้งหมด ช่องโหว่อีก 9 ช่องโหว่เป็นการยกระดับสิทธิ์เพื่อเปิดเผยข้อมูล (CVE-2019-2026) ส่งผลกระทบต่ออุปกรณ์ Android 8.0 หรือใหม่กว่า ผู้ใช้งานควรทำการอัพเดตแพทซ์ล่าสุดเพื่อลดความเสี่ยง

ที่มา: bleepingcomputer.