GitHub, Telegram Bots และ ASCII QR Codes ถูกนำมาใช้ในการโจมตีแบบ Phishing ในรูปแบบใหม่

มีการพบเห็นการโจมตีด้วยมัลแวร์รูปแบบใหม่ที่เกี่ยวข้องกับภาษี โดยมีการมุ่งเป้าไปที่ธุรกิจประกันภัย และการเงินโดยใช้ลิงก์ GitHub ในข้อความอีเมลฟิชชิ่งเพื่อหลบเลี่ยงมาตรการรักษาความปลอดภัย และส่งมัลแวร์ Remcos RAT โดยวิธีการนี้กำลังได้รับความนิยมในกลุ่มแฮ็กเกอร์ (more…)

ผู้ไม่หวังดีใช้โฆษณาของบริการ AppleCare+ ปลอมผ่าน GitHub Repositories

พบแคมเปญอันตรายที่มุ่งเป้าไปที่ผู้ใช้งาน Mac ที่กำลังค้นหาการสนับสนุน หรือขยายการรับประกันจาก Apple ผ่านแผนการสนับสนุน AppleCare+ โดยผู้ไม่หวังดีได้ทำการซื้อโฆษณาบน Google เพื่อหลอกเหยื่อ และเปลี่ยนเส้นทางให้ไปยังหน้าเว็บไซต์ปลอมที่โฮสต์อยู่บน GitHub ซึ่งเป็นแพลตฟอร์มของ Microsoft สำหรับนักพัฒนาเพื่อเป็นที่จัดเก็บโค้ด

เมื่อเหยื่อติดต่อศูนย์บริการที่ปรากฏบนเว็บไซต์ปลอม กลุ่มผู้ไม่หวังดีที่แอบอ้างว่าเป็นพนักงานของ Apple จะใช้วิธีการพูดคุยโน้มน้าว หรือวิธีการ Social Engineering เพื่อหลอกเอาเงินจากเหยื่อ (more…)

Comment ใน Github ถูกนำไปใช้เพื่อหลอกติดตั้งมัลแวร์ขโมยรหัสผ่าน

GitHub กำลังถูกใช้งานเพื่อเผยแพร่มัลแวร์ Lumma Stealer ที่มีความสามารถในการขโมยข้อมูล ผ่านการโพสต์วิธีการแก้ไขปัญหาปลอมในความคิดเห็นของโปรเจกต์ต่าง ๆ

การโจมตีนี้ถูกรายงานครั้งแรกโดย contributor ในไลบรารี Rust ของ Teloxide ซึ่งได้ระบุไว้บน Reddit ว่า พวกเขาได้รับความคิดเห็นที่ดูเหมือนจะเป็นการแก้ไขปัญหา แต่แท้จริงแล้วกลับเป็นการเผยแพร่มัลแวร์

การตรวจสอบเพิ่มเติมโดย BleepingComputer พบว่า มีความคิดเห็นที่คล้ายกันหลายพันรายการที่โพสต์ลงในโปรเจ็กต์ต่าง ๆ มากมายบน GitHub ซึ่งทั้งหมดล้วนเสนอการแก้ไขปัญหาปลอม ๆ ให้กับคำถามของผู้อื่น

วิธีแก้ปัญหานี้ คือ จะหลอกให้ดาวน์โหลดไฟล์ archive ที่ใส่รหัสผ่านไว้จาก mediafire.

Gitloker โจมตีโดยใช้การแจ้งเตือนของ GitHub เพื่อส่งแอป OAuth ที่เป็นอันตราย

แฮ็กเกอร์แอบอ้างเป็นทีมรักษาความปลอดภัย และการสรรหาบุคลากรของ GitHub ใช้การโจมตีแบบฟิชชิ่งเพื่อ hijack repositories โดยใช้แอป OAuth ที่เป็นอันตราย ในแคมเปญการข่มขู่ลบข้อมูลบน repositories ที่ถูกแฮ็ก

(more…)

แฮ็กเกอร์ใช้ Cracked Software บน GitHub แพร่กระจาย RisePro เพื่อขโมยข้อมูล

นักวิจัยด้านความปลอดภัยทางไซเบอร์จากบริษัท G DATA พบ GitHub repositories จำนวนหนึ่ง มี Cracked Software ที่ใช้ในการติดตั้งมัลแวร์สำหรับขโมยข้อมูลที่เรียกว่า RisePro
แคมเปญนี้มีชื่อว่า gitgub ประกอบด้วย repositories 17 แห่งที่เกี่ยวข้องกับบัญชีที่แตกต่างกัน 11 บัญชี จากข้อมูลของ G DATA ปัจจุบัน repositories ที่เป็นปัญหาได้ถูกลบออกไปแล้ว

(more…)

GitHub สามารถใช้งานสำหรับการเข้าสู่ระบบโดยไม่ต้องใช้รหัสผ่าน

GitHub ได้เปิดให้บริการ passkeys ในปัจจุบัน เพื่อป้องกันการโจมตีแบบฟิชชิ่ง และอนุญาตให้ผู้ใช้งานทุกคนสามารถเข้าสู่ระบบได้โดยไม่ต้องใช้รหัสผ่าน

Passkeys จะเชื่อมต่อกับอุปกรณ์เฉพาะ เช่น คอมพิวเตอร์ แท็บเล็ต หรือสมาร์ทโฟน และมีหน้าที่ในการลดความเสี่ยงจากการโจมตีแบบฟิชชิ่ง และป้องกันการเข้าถึงโดยไม่ได้รับอนุญาต

โดย Passkeys จะช่วยให้สามารถเข้าถึงแอพพลิเคชัน และบริการออนไลน์ผ่านวิธีการระบุตัวตน เช่น PIN หรือการตรวจสอบความถูกต้องแบบ biometric ซึ่งรวมถึงลายนิ้วมือ และการจดจำใบหน้า

นอกจากนี้ Passkeys ยังปรับปรุงความปลอดภัยให้กับผู้ใช้งาน โดยไม่จำเป็นต้องจำ และจัดการรหัสผ่านที่แตกต่างกันสำหรับแต่ละเว็บไซต์ และแอพพลิเคชัน

GitHub เริ่ม support การใช้งาน Passkeys ในเดือนกรกฎาคม 2023 โดยเป็นส่วนหนึ่งของ public beta passwordless authentication push

(more…)

Exploit released for Microsoft SharePoint Server auth bypass flaw

PoC ของการโจมตีช่องโหว่การยกระดับสิทธิ์ของ Microsoft SharePoint Server ถูกปล่อยออกมาแล้ว

ชุดสาธิตการโจมตีหรือ Proof-of-concept exploit code (PoC) ของช่องโหว่การหลีกเลี่ยงการตรวจสอบสิทธิ์ของ Microsoft SharePoint Server ที่ทำให้สามารถยกระดับสิทธิ์ได้ (privilege escalation) ถูกปล่อยออกมาบน GitHub แล้ว
**

CVE-2023-29357 (คะแนน CVSS 9.8/10 ความรุนแรงระดับ Critical) เป็นช่องโหว่ที่ทำให้ Hacker สามารถหลีกเลี่ยงการตรวจสอบสิทธิ์ของ Microsoft SharePoint Server และสามารถยกระดับสิทธิ์เป็นผู้ดูแลระบบได้โดยไม่ต้องมีการโต้ตอบจากผู้ใช้งาน

โดย Hacker สามารถเข้าถึง JWT authentication token ที่ถูกปลอมแปลงขึ้น และใช้ token เหล่านี้เพื่อดำเนินการโจมตีเครือข่าย ซึ่งจะข้ามการตรวจสอบสิทธิ์ และอนุญาตให้เข้าถึงสิทธิ์ของผู้ใช้ที่ได้รับการตรวจสอบสิทธิ์ รวมถึงสิทธิ์ของผู้ดูแลระบบ ปัจจุบันช่องโหว่ดังกล่าว ทาง Microsoft ได้ออกแพตซ์อัปเดตด้านความปลอดภัยเพื่อแก้ไขไปแล้ว (more…)

ช่องโหว่ระดับ Critical ใน GitHub ทำให้ Repositories มากกว่า 4,000 รายการถูกโจมตีด้วยวิธีการ Repojacking

พบช่องโหว่ใหม่ใน GitHub อาจทำให้ repositories หลายพันรายการเสี่ยงต่อการถูกโจมตีด้วยวิธีการ Repojacking

จากรายงานของ Elad Rapoport นักวิจัยด้านความปลอดภัยของ Checkmarx ที่แชร์กับ The Hacker News ระบุว่า ช่องโหว่นี้อาจทำให้ผู้โจมตีสามารถใช้ประโยชน์จาก race condition ในการดำเนินการสร้าง repository และเปลี่ยนชื่อผู้ใช้ของ GitHub
(more…)

Exploit Code สำหรับใช้โจมตีช่องโหว่ของ Veeam ถูกปล่อยออกสู่สาธารณะ แฮ็กเกอร์อาจใช้ขโมยข้อมูลสำคัญในรูปแบบ cleartext ได้

Veeam ประกาศแจ้งเตือนช่องโหว่ใหม่ที่ทำให้ผู้โจมตีสามารถขโมยข้อมูลสำคัญในรูปแบบ cleartext ได้ (CVE-2023-27532) รวมไปถึงปัจจุบันกลุ่ม Horizon3 ได้ปล่อยชุดสาธิตการโจมตี (POC) exploit code ออกมาแล้ว

CVE-2023-27532 (คะแนน CVSS 7.5/10 ระดับความรุนแรงสูง) เป็นช่องโหว่ในคอมโพเนนต์ Veeam Backup & Replication (VBR) ทำให้สามารถหลีกเลี่ยงการยืนยันสิทธิเพื่อเข้าไปใน backup infrastructure และขโมยข้อมูลสำคัญในรูปแบบ cleartext และเรียกใช้งานคำสั่งที่เป็นอันตรายจากระยะไกลได้ (RCE) ด้วยสิทธิ์ SYSTEM ซึ่งส่งผลกระทบกับ VBR ทุกเวอร์ชัน
โดย Veeam ได้ออกอัปเดตเพื่อแก้ไขช่องโหว่สำหรับ VBR เวอร์ชัน11 และ เวอร์ชัน 12 โดยแนะนำให้ผู้ใช้งานรีบทำการอัปเดตโดยด่วน รวมไปถึงยังให้คำแนะนำในกรณีที่ยังไม่สามารถทำการอัปเดตได้ทันที แนะนำให้ปิดการเชื่อมต่อจากภายนอกไปยังพอร์ต TCP 9401
Veeam เป็นบริษัทด้านซอฟต์แวร์สำรองข้อมูลระดับองค์กร โดย Veeam Backup & Replication (VBR) มีลูกค้ามากกว่า 450,000 รายทั่วโลก ซึ่งรวมถึง 82% ของบริษัทที่ติดอันดับ Fortune 500 และ 72% ของ Global 2,000

Horizon3 ปล่อย PoC ออกสู่สาธารณะ
ปัจจุบันทาง Horizon3 ได้ปล่อยตัวอย่างวิธีสาธิตการโจมตี proof-of-concept (PoC) ช่องโหว่ดังกล่าวออกมาแล้ว ซึ่งเป็นในรูปแบบ cross-platform ที่ทำให้สามารถเข้าถึงข้อมูลสำคัญในรูปแบบ cleartext บนฐานข้อมูล โดยใช้ API endpoint ในการโจมตีช่องโหว่ ซึ่งทาง Horizon3 ได้ทำเผยแพร่ PoC นี้บน Github ซึ่งสร้างขึ้นด้วย .NET core และสามารถทำงานบน Linux ได้

โดยช่องโหว่ดังกล่าวมีความอันตรายมาก เนื่องจากหาก Hacker สามารถหลีกเลี่ยงการตรวจสอบสิทธิ และเข้ามาภายในระบบได้แล้ว ก็สามารถที่จะแพร่กระจายไปยังส่วนอื่น ๆ ในระบบของเหยื่อ รวมถึงเรียกใช้งานคำสั่งที่เป็นอันตรายจากระยะไกลได้
นอกจากนี้ทาง Huntress บริษัทวิจัยด้านความปลอดภัย ได้ทำการตรวจสอบเครื่องที่ใช้ VBR จำนวนกว่า 2 ล้าน เครื่องที่เชื่อมต่อกับอินเตอร์เน็ต พบว่ามีเครื่องที่ใช้ VBR มากกว่า 7,500 รายการที่มีความเสี่ยงต่อการถูกโจมตีจากช่องโหว่ CVE-2023-27532
แม้ปัจจุบันยังไม่พบการรายงานโจมตีจากช่องโหว่ดังกล่าว แต่เมื่อมีการเผยแพร่ PoC ออกมาแล้วก็มีความเป็นไปได้ที่ช่องโหว่ดังกล่าวจะถูกใช้ในการโจมตีต่อไป

ที่มา : www.

พบการแพร่กระจายของแคมเปญมัลแวร์ Raccoon และ Vidar Stealers ผ่านซอฟต์แวร์เถื่อนที่ถูกฝังมัลแวร์

sekoia.io บริษัทรักษาความปลอดภัยทางไซเบอร์ของฝรั่งเศส พบแคมเปญการแพร่กระจายมัลแวร์ Raccoon และ Vidar Stealers จำนวนมาก โดยการสร้างเว็ปไซต์ปลอมเพื่อแจกจ่ายซอฟต์แวร์เถื่อนที่ถูกฝังมัลแวร์ที่เป็นอันตรายเอาไว้

ขั้นตอนการโจมตี

sekoia.