นักวิจัยพบแคมเปญ Malvertising ใหม่ที่ใช้โหว่แบบ Zero-day ใน WebKit เพื่อรีไดเร็คผู้ใช้ไปยังเว็บไซต์ที่ไม่เหมาะสม

นักวิจัยด้านความปลอดภัยจากบริษัท Confiant บริษัทรักษาความปลอดภัยทางไซเบอร์ได้เปิดเผยถึงการค้นพบแคมเปญ Malvertising ของกลุ่ม ScamClub ที่ใช้ช่องโหว่แบบ Zero-day ในเว็บเบราว์เซอร์ที่ใช้ WebKit engine ในการส่งเพย์โหลดเพื่อรีไดเร็คผู้ใช้จากพอร์ทัลที่ถูกต้องไปยังเว็บไซต์ที่ไม่เหมาะสมและจะแสดงโฆษณาที่เป็นอันตรายต่อผู้ใช้

ตามรายงานของ Confiant ได้ระบุว่าการโจมตีแคมเปญดังกล่าวพบครั้งแรกในเดือนมิถุนายนปี 2020 และยังคงดำเนินอยู่ในปัจจุบัน กลุ่มที่อยู่เบื้องหลังการโจมตีคือกลุ่มที่รู้จักกันในชื่อ ScamClub ซึ่งเป็นกลุ่มที่ดำเนินธุรกิจโดยการซื้อช่องโฆษณาจำนวนมากบนหลายแพลตฟอร์ม โดยกลุ่ม ScamClub มักกำหนดเป้าหมายผู้ใช้ iOS ด้วยโฆษณาที่เป็นอันตรายซึ่งมักจะรีไดเร็คผู้ใช้ไปยังเว็บไซต์ที่ที่ไม่เหมาะเพื่อทำการหลอกลวงผู้ใช้ทางออนไลน์และพยายามรวบรวมข้อมูลทางการเงินของผู้ใช้

ช่องโหว่ Zero-day ในโอเพนซอร์ส WebKit ถูกติดตามด้วยรหัส CVE-2021-1801 และถูกค้นพบโดยวิศวกรรักษาความปลอดภัยจาก Confiant และนักวิจัย Eliya Stein ซึ่งพบว่าการโจมตีได้อาศัยช่องโหว่ใน WebKit เพื่อทำการส่งเพย์โหลดยังผู้ใช้และทำการรีไดเร็คผู้ใช้จากพอร์ทัลที่ถูกต้องไปยังเว็บไซต์ที่ไม่เหมาะ

เนื่องจาก WebKit ถูกใช้ใน Safari ของ Apple และ Google Chrome สำหรับ iOS ทาง Stein จึงได้ทำการรายงานช่องโหว่ที่ค้นพบไปยังทีมของ Apple Security และทีมของ Google Chrome WebKit ซึ่ง WebKit ได้รับการแก้ไขช่องโหว่และออกแพตช์ความปลอดภัยแล้วในวันที่ 2 ธันวาคม 2020 ที่ผ่านมา

ทั้งนี้ Confiant ได้ทำการรวบรวม Indicators of compromise (IoCs) ลงใน GitHub ผู้ที่สนใจ IoCs แคมเปญของกลุ่ม ScamClub สามารถติดตามได้ที่: https://github.

Gitpaste-12 บ็อตเน็ตชนิดใหม่ที่ใช้ GitHub และ Pastebin เป็นฐานในการเเพร่กระจาย

นักวิจัยด้านความปลอดภัยจาก Juniper Threat Labs ได้ทำการตรวจพบเวิร์มและบ็อตเน็ตชนิดใหม่ที่อาศัย GitHub และ Pastebin ในการสร้างโค้ดคอมโพเนนต์ที่เป็นอันตรายและมีโมดูลในการโจมตีที่แตกต่างกันอย่างน้อย 12 โมดูลและมัลแวร์ยังมีความสามารถในการแพร่กระจายในรูปแบบอัตโนมัติ โดยมัลแวร์อาจนำไปสู่การแพร่กระจายภายในเครือข่ายองค์กรหรือไปยังโฮสต์ของผู้ใช้ที่ทำการเชื่อมต่อ ซึ่งนักวิจัยได้มัลแวร์ชนิดนี้ว่า “Gitpaste-12”

มัลแวร์“Gitpaste-12” ถูกตรวจพบครั้งแรกประมาณวันที่ 15 ตุลาคม ที่ผ่านมา โดยมัลแวร์จะมีโมดูลที่ใช้ในการโจมตีซึ่งประกอบไปด้วยช่องโหว่จำนวน 11 ช่องโหว่คือ CVE-2017-14135 (Webadmin plugin for opendreambox), CVE-2020-24217 (HiSilicon video encoders), CVE-2017-5638 (Apache Struts), CVE-2020-10987 (Tenda router), CVE-2014-8361 (Realtek SDK), CVE-2020-15893 (Dlink routers), CVE-2013-5948 (Asus routers), EDB-ID: 48225 (Netlink GPON Router), EDB-ID: 40500 (AVTECH IP Camera), CVE-2019-10758 (CVE-2019-10758) และ CVE-2017-17215 (Huawei router)

นักวิจัยกล่าวว่าขึ้นตอนการโจมตีของ Gitpaste-12 จะเริ่มต้นโดยการดาวน์โหลดสคริปต์จาก Pastebin URL ซึ่งจะสั่งให้โฮสต์ที่ติดเชื้อเรียกใช้สคริปต์นี้ต่อไปทุกๆ นาที จากนี้มัลแวร์จะดาวน์โหลด Shell script หลักจาก GitHub ซึ่งก็คือ https: //raw.

Ubuntu’s Gnome desktop could be tricked into giving root access

แจ้งเตือนช่องโหว่ใน GNOME ใช้สร้างบัญชีใหม่ให้ได้สิทธิ์และรันคำสั่งเป็น root ได้

นักวิจัยด้านความปลอดภัยจาก GitHub "Kevin Backhouse" เป็นเผย 2 ช่องโหว่ใหม่ใน GNOME Display Manager (GDM) ซึ่งทำให้บัญชีผู้ใช้งานที่มีสิทธิ์ทั่วไปนั้นสามารถสร้างบัญชีใหม่และยกระดับสิทธิ์ขึ้นมาได้ ผลลัพธ์ของการโจมตีทำให้ผู้โจมตีสามารถรันคำสั่งด้วยสิทธิ์ root ได้ ช่องโหว่เหล่านี้ยังมีวิธีการโจมตีที่ไม่ยากด้วย

ทั้งสองช่องโหว่นี้ได้แก่ CVE-2020-16126 ซึ่งทำให้เกิดการบัญชีสิทธิ์สามารถแครชโปรเซสของ GDM ให้เกิด segmentation fault ได้และ CVE-2020-16127 ซึ่งทำให้ผู้โจมตีสามารถยกระดับสิทธิ์ได้ โดยช่องโหว่ CVE-2020-16127 นั้นสามารถโจมตีได้โดยการแก้ไขการตั้งค่าในส่วน System Settings ซึ่งไม่จำเป็นต้องมีสิทธิ์สูงในการตั้งค่าแต่อย่างใด

ระบบที่ได้รับผลกระทบจากสองช่องโหว่นี้ได้แก่ Ubuntu 20.10, Ubuntu 20.04, Ubuntu 18.04, และ Ubuntu 16.04 ผู้ที่สนใจสามารถดูรายละเอียดช่องโหว่เพิ่มเติมได้ที่ : securitylab

ที่มา: bleepingcomputer

Malicious npm package opens backdoors on programmers’ computers

ทีม security ของ npm (Node Package Manager) ที่เป็นผู้ให้บริการ Package Manager ของ JavaScript ได้ทำการลบ JavaScript Library ที่มีชื่อว่า "twilio-npm" ออกไปเมื่อวันที่ 2 พฤศจิกายนที่ผ่านมา เนื่องจากพบว่า Script ดังกล่าวจะมีการสั่งให้แอบเปิด TCP reverse shell บนเครื่องของนักพัฒนาที่นำไปใช้ จากรายงานระบุว่า reverse shell ดังกล่าวจะเปิดการเชื่อมต่อไปยัง 4.tcp.

นักวิจัยพบแพ็คเกจ NPM อันตรายแอบเก็บข้อมูลผู้ใช้ส่งไปยัง GitHub ของแฮกเกอร์

นักวิจัยพบจากบริษัท Sonatype ได้รายงานถึงการตรวจพบแพ็คเกจ npm ที่เป็นอันตรายซึ่งภายในแพ็คเกจจะมีโค้ดที่ทำการรวบรวมรายละเอียดผู้ใช้และทำการอัปโหลดข้อมูลไปยัง GitHub ของแฮกเกอร์

ตามรายงานจาก Sonatype พบว่าแพ็คเกจทั้งสี่คือ Electorn, lodashs, loadyaml และ loadyml ทั้ง 4 แพ็คเกจได้รับการพัฒนาจากผู้ใช้คนเดียวกันที่ชื่อ simplelive12 และถูกอัปโหลดลงบนพอร์ทัล npm ในเดือนสิงหาคมแต่ปัจจุบันถูกลบไปแล้วโดยทีมรักษาความปลอดภัยของ npm จากการตรวจสอบโค้ดของแพ็คเกจทั้งสี่พบว่า ผู้โจมตีได้มีการใช้เทคนิค typosquatting ซึ่งเป็นเทคนิคที่อาศัยการที่ผู้ใช้ที่ทำการสะกดชื่อของแพ็กเกจผิด เพื่อให้ทำให้ผู้ใช้ได้รับการติดตั้งแพ็คเกจที่มีชื่อคล้ายกันและภายในจะแพ็คเกจจะมีโค้ดที่ทำการรวบรวม IP address, country, city, computer username, home directory path และข้อมูลโมเดลรุ่นของ CPU และการโพสต์ข้อมูลในส่วนของ GitHub repository ของผู้พัฒนา

นักวิจัยจาก Sonatype กล่าวว่าข้อมูลที่ถูกส่งกับไปยัง GitHub นั้นจะถูกลบออกทุกๆ 24 ชั่วโมงซึ่งส่วนใหญ่จะถูกคัดลอกและถูกจัดทำดัชนีภายในฐานข้อมูลอื่น ยังไม่ชัดเจนว่าเป้าหมายของการดำเนินการนี้คืออะไร ทั้งนี้ผู้ใช้ควรทำการตรวจสอบแพ็คเกจ JavaScript npm ภายในเครื่องถ้าพบว่าเคยทำการติดตั้งแพ็คเกจชุดนี้ควรทำการตรวจสอบและลบออกจากเครื่องเพื่อเป็นการป้องกันการใช้ประโยชน์จากข้อมูลที่ถูกเก็บไปใช้ประโยชน์ในการโจมตีในรูปแบบอื่น

ที่มา: zdnet.

กิจกรรม #Hacktoberfest ทำป่วน Pull request ขยะเต็ม GitHub ด้าน DigitalOcean ออกแถลงวิธีดำเนินการแล้ว

กิจกรรม Hacktoberfest เป็นกิจกรรมซึ่งร่วมจัดโดย Digital Ocean, GitHub และ Twilio เพื่อการเฉลิมฉลองและสนับสนุนการพัฒนาซอฟต์แวร์แบบโอเพนซอร์ส เงื่อนไขของการทำกิจกรรมคือการ contribute โครงการโอเพนซอร์สอย่างน้อย 5 ครั้งก่อนวันที่ 31 ตุลาคมเพื่อรับเสื้อของกิจกรรม Hacktoberfest

ความนิยมของกิจกรรมและความโลภของคนที่แย่งกันจะเอาเสื้อตัวเดียวนั้นส่งผลให้โครงการโอเพนซอร์สหลายโครงการประสบกับเหตุการณ์ pull request ขยะเป็นจำนวน บาง pull request ซึ่งเปิดมาให้พิจารณาการแก้ไขโค้ดในโครงการโอเพนซอร์สบางกรณีนั้นเป็นแค่การเพิ่ม newline หรือการขึ้นบรรทัดใหม่เพื่อปั่นจำนวน contribution ให้สามารถรับของรางวัลได้ หรีอในบางกรณีก็มีการเปิดแก้ไขไฟล์ README ของโครงการโอเพนซอร์สเพื่อเพิ่มคำขยะเข้ามา

หลังจากประสบการ pull request ขยะเป็นจำนวนมาก ทางผู้จัดกิจกรรม Hacktoberfest ได้มีการเพิ่มมาตรการใหม่ในการเปลี่ยนลักษณะโครงการเป็นแบบ opt-in only แล้ว โดยโครงการไหนอยากเข้าร่วมโครงการ Hacktoberfest จะต้องมีการระบุชื่อ topic เป็น "hacktoberfest" ไว้ที่ repository ของโครงการ หาก pull request ที่ถูก approve โดยเจ้าของโครงการ เจ้าของโครงการจะต้องมีการ tag "hacktoberfest-accpeted" ด้วย

อ่านข้อมูลเพิ่มเติมของกิจกรรมและเงื่อนไขของกิจกรรมอื่น ๆ ของผู้จัดกิจกรรมได้ที่แหล่งที่มาครับ

ที่มา : hacktoberfest

GitHub เปิดตัวฟีเจอร์ความปลอดภัยใหม่ “Code Scanning” ให้กับผู้ใช้ทุกคน

GitHub ได้เปิดตัวฟีเจอร์ด้านความปลอดภัยใหม่ที่ชื่อว่า Code Scanning สำหรับผู้ใช้ทุกคนทั้งในบัญชีแบบชำระเงินและบัญชีฟรี

ฟีเจอร์ด้านความปลอดภัยใหม่นี้จะช่วยสแกนหาโค้ดที่ช่องโหว่ให้ผู้ใช้งานเพื่อช่วยทำการวิเคราะห์เมื่อเกิดการส่งคำขอ Pull Requests, Commit และ Merge ซึ่งเมื่อตรวจพบช่องโหว่ Code Scanning จะทำงานโดยแจ้งเตือนให้นักพัฒนาแก้ไขโค้ดของตน

ฟีเจอร์ Code Scanning จะทำงานความสามารถของ CodeQL (Code query language) ซึ่งเป็นเทคโนโลยีของ GitHub ที่ได้นำมาใช้ในแพลตฟอร์มหลังจากทำการซื้อกิจการมาจาก Semmle ซึ่งด้วยความสามารถของ CodeQL นี้จะช่วยให้นักพัฒนาสามารถเขียน Rule เพื่อตรวจหาช่องโหว่ในโค้ดได้ในปริมาณมากๆ

หลังจากทีมงาน GitHub เปิดให้ผู้ทดสอบเบต้าทดสอบมาตั้งเเต่เดือนพฤษภาคมที่ผ่านมา โดยฟีเจอร์นี้ได้ทำการทดสอบการสแกนหาช่องโหว่ไปแล้วกว่า 1,400,000 ครั้งกับ repository จำนวน 12,000 แห่ง ซึ่งช่องโหว่ที่ถูกพบและสามารถระบุได้หลักๆ จำนวนกว่า 20,000 รายการคือ ช่องโหว่การเรียกใช้โค้ดจากระยะไกล (Remote Code Execution - RCE), SQL Injection และ Cross-Site Scripting (XSS)

ทั้งนี้ผู้ใช้งานจะถูกแจ้งเตือนให้เปิดใช้งานฟีเจอร์ดังกล่าวหรือผู้ใช้งานสามารถเปิดการใช้งานฟีเจอร์ได้ด้วยตนเอง โดยการเข้าไปที่แท็บ ‘Security’ และในช่อง Code Scanning ให้เลือก Set up code scanning เพื่อเปิดใช้งาน

ที่มา : zdnet

 

แฮกเกอร์ปล่อยข้อมูลซอร์สโค้ด GPU ของ Xbox Series X ที่ขโมยมา

แฮกเกอร์ปล่อยข้อมูลซอร์สโค้ด GPU ของ Xbox Series X ที่ขโมยมา

บริษัท AMD ยอมรับว่าแฮกเกอร์ได้ทำการขโมยข้อมูลซอร์สโค้ดฮาร์ดแวร์สำหรับ GPU ที่ AMD กำลังจะเปิดตัวผลิตภัณฑ์และบริษัทได้ออกแถลงการณ์ยืนยันอย่างเป็นทางการแล้ว

คำแถลงของ AMD กล่าวว่าการแฮกเกิดขึ้นในเดือนธันวาคม 2019 แฮกเกอร์ดำเนินการโดยใช้ชื่อว่า “ xxXsoullessXxx” ได้เข้ามาขโมยข้อมูลกราฟิกซีพียู “Series X” ซึ่งส่วนใหญ่ใช้ใน Xbox พร้อมกับซอร์สโค้ดของกราฟิกการ์ดที่กำลังจะใช้สำหรับคอมพิวเตอร์พีซี

ในขณะนี้ มีการปรากฎของซอร์สโค้ดบางส่วนบน GitHub ซึ่งเชื่อกันว่าแฮกเกอร์เป็นผู้เผยแพร่ข้อมูลดังกล่าว โดยซอร์สโค้ดที่ถูกปล่อยออกมานั้นเป็นซอร์สโค้ดและข้อมูลที่ได้รับการยืนยันแล้วว่าเกี่ยวข้องกับฮาร์ดแวร์ AMD Navi GPU

ยังไม่มีรายละเอียดถึงวิธีการและเทคนิคที่แฮกเกอร์ใช้ในการเข้าถึงระบบภายในและขโมยข้อมูลออกมา

ที่มา: hackread

Scotiabank slammed for ‘muppet-grade security’ after internal source code and credentials spill onto open internet

Scotiabank ได้รับผลกระทบ หลังจากทำซอร์สโค้ดภายในและข้อมูลรั่วไหลออกสู่อินเตอร์เน็ต

Scotiabank สถาบันการเงินรายใหญ่ของแคนาดาได้ทำซอร์สโค้ดภายในรั่วไหลออกสู่ออนไลน์ โดยมีบางส่วนที่เป็นข้อมูลสำหรับเข้าสู่ระบบเบื้องหลังของธนาคาร

ข้อมูลที่รั่วนี้แสดงใน GitHub มีพิมพ์เขียวซอฟต์แวร์และคีย์เข้าถึงข้อมูลระบบอัตราแลกเปลี่ยนระหว่างประเทศ โค้ดแอปพลิเคชัน Scotiabank ที่ถูกใช้ในอเมริกากลางและอเมริกาใต้ และข้อมูลเข้าระบบสำหรับบริการและฐานข้อมูล

ข้อมูลภายใน GitHub ที่แสดงออกมาได้ถูกสันนิษฐานว่าอาจมาจากการตั้งคอนฟิกที่ผิดอย่างไม่ตั้งใจจากพนักงานของ Scotiabank เอง ซึ่งข้อมูลควรที่จะถูกลบหรือซ่อนเอาไว้

ที่มา : theregister.

A hacker is wiping Git repositories and asking for a ransom

แฮกเกอร์เรียกค่าไถ่แลกกับการไม่เปิด git repository เป็นสาธารณะ หากผู้ที่ตกเป็นเหยื่อไม่ชำระเงินใน 10 วัน

แฮกเกอร์อ้างว่าซอร์สโค้ดทั้งหมดได้รับการดาวน์โหลดและเก็บไว้ในเซิร์ฟเวอร์ตัวใดตัวหนึ่งแล้วให้เหยื่อจ่ายเงินค่าไถ่ 10 วัน ชำระเงินเป็น 0.1 Bitcoin (~ $ 570) มิฉะนั้นพวกเขาจะทำให้ซอร์สโค้ดเป็นสาธารณะ การโจมตีครั้งนี้เกิดกับหลายๆ บริการโฮสติ้ง Git ทั้ง GitHub Bitbucket และ GitLab และยังไม่ชัดเจนว่าเกิดขึ้นได้อย่างไร
โดยแฮกเกอร์จะลบซอร์สโค้ดทั้งหมดและ commit ล่าสุดจากบริการโฮสติ้ง Git ของเหยื่อ

จากการสำรวจของ GitHub พบว่า git repository บน GitHub อย่างน้อย 392 แห่งได้ถูกเรียกค่าไถ่แล้ว และจากข้อมูลของ BitcoinAbuse.