ช่องโหว่ Zero-Day บน Internet Explorer กำลังถูกใช้ในการโจมตีอย่างต่อเนื่องโดยกลุ่ม ScarCruft กลุ่มแฮ็กเกอร์จากเกาหลีเหนือ ซึ่งจะมุ่งเป้าไปยังผู้ใช้งานชาวเกาหลีใต้ โดยใช้เหตุการณ์โศกนาฏกรรมที่ Itaewon ในช่วงวันฮาโลวีนเพื่อดึงดูดความสนใจให้เหยื่อดาวน์โหลดไฟล์ที่เป็นอันตราย

การค้นพบครั้งนี้ถูกรายงานโดย Benoît Sevens และ Clément Lecigne นักวิจัยจาก Google Threat Analysis Group (TAG) ซึ่งถือเป็นการโจมตีล่าสุดที่ดำเนินการโดยกลุ่ม ScarCruft ซึ่งเป็นที่รู้จักในอีกหลายชื่อ เช่น APT37, InkySquid, Reaper และ Ricochet Chollima โดยส่วนใหญ่การโจมตีจะมุ่งเป้าไปที่ผู้ใช้งานชาวเกาหลีใต้ ผู้แปรพักตร์ชาวเกาหลีเหนือ ผู้กำหนดนโยบาย นักข่าว และนักเคลื่อนไหวด้านสิทธิมนุษยชน

ลักษณะการโจมตี

การโจมตีจะเกิดขึ้นหลังจากที่มีการเปิดไฟล์บน Microsoft Word และแสดงเนื้อหา HTML ที่เปิดขึ้นมาจาก Internet Explorer
มีการใช้ช่องโหว่ของ Internet Explorer เช่น CVE-2020-1380 และ CVE-2021-26411 เพื่อติดตั้ง Backdoor อย่าง BLUELIGHT และ Dolphin
มีการใช้ RokRat (Remote Access Trojan) บน Windows ที่มีฟังก์ชั่นที่ช่วยให้สามารถจับภาพหน้าจอ, บันทึกการกดแป้นพิมพ์ และการเก็บข้อมูลอุปกรณ์ Bluetooth
หลังจากที่โจมตีสำเร็จแล้ว มันจะทำการส่ง Shell Code ที่สามารถลบร่องรอยในการโจมตีทั้งหมด โดยการล้างแคช และประวัติของ Internet Explorer รวมถึง payload ของมัลแวร์

โดย Google TAG ลองอัปโหลดเอกสาร Microsoft Word ที่เป็นอันตรายนี้ไปยัง VirusTotal เมื่อวันที่ 31 ตุลาคม 2022 โดยพบว่าเป็นการโจมตีโดยใช้ช่องโหว่ Zero-day ของ Internet Explorer ที่เกี่ยวข้องกับ JScript9 JavaScript, CVE-2022-41128 ซึ่งได้รับการแก้ไขโดย Microsoft ไปแล้วเมื่อเดือนที่ผ่านมา

อีกทั้ง MalwareHunterTeam ยังพบไฟล์ Word ลักษณะเดียวกันนี้เคยถูกแชร์จากกลุ่ม Shadow Chaser Group เมื่อวันที่ 31 ตุลาคม 2022 ซึ่งเคยได้ระบุในรายงานไว้ว่าเป็น "DOCX injection template ที่น่าสนใจ" และมีต้นกำเนิดจากประเทศเกาหลีเช่นเดียวกัน

Google TAG ระบุว่าขณะนี้ยังไม่สามารถกู้คืนมัลแวร์ที่ถูกใช้ในแคมเปญนี้ได้ แม้ว่าจะทราบแล้วว่าเป็นมัลแวร์อย่างเช่น RokRat, BLUELIGHT หรือ Dolphin ก็ตาม

ที่มา : thehackernews

Google ได้ประกาศแพตช์อัปเดตให้กับ Google Chrome Browser เพื่อแก้ไขช่องโหว่ Zero-Day ที่มีระดับความรุนแรงสูง

รายละเอียดของช่องโหว่

โดยปกติแล้ว Google จะไม่มีการเปิดเผยรายละเอียดเพิ่มเติมเกี่ยวกับช่องโหว่ Zero-day จนกว่าผู้ใช้งานส่วนใหญ่จะได้รับการอัปเดตแล้ว โดยช่องโหว่ดังกล่าวมีหมายเลข CVE-2022-4135 เป็นช่องโหว่ที่มีระดับความรุนแรงสูง ที่เกิดจาก Heap-based buffer overflow บน GPU component ที่จะทำให้โปรแกรมเกิดข้อผิดพลาด และผู้ไม่หวังดีสามารถรันโค้ดที่เป็นอันตรายได้หากโจมตีสำเร็จ

ช่องโหว่นี้ถูกพบโดย Clement Lecigne จาก Threat Analysis Group เมื่อวันที่ 22 พฤศจิการยนที่ผ่านมา และในการการอัปเดตครั้งนี้ถือเป็นช่องโหว่ Zero-day ครั้งที่ 8 นับตั้งแต่ต้นปี ของ Google โดยช่องโหว่ zero-day 7 รายการก่อนหน้านี้ที่ถูกพบ และแก้ไขไปแล้วในปี 2565 ได้แก่ :

CVE-2022-0609 - Use-after-free in Animation – February 14th, 2022
CVE-2022-1096 - Type confusion in V8 – March 25th, 2022
CVE-2022-1364 - Type confusion in V8 – April 14th, 2022
CVE-2022-2294 - Heap buffer overflow in WebRTC – July 4th, 2022
CVE-2022-2856 - Insufficient validation of untrusted input in Intents - September 2nd, 2022
CVE-2022-3075 - Insufficient data validation in Mojo - August 30th, 2022
CVE-2022-3723 - Type confusion in V8 - October 27th, 2022

Google แนะนำให้ผู้ใช้งานอัปเดตเป็นเวอร์ชัน 107.0.5304.121 สำหรับ macOS และ Linux และเวอร์ชั่น 107.0.5304.121/.122 สำหรับ Windows เพื่อลดความเสี่ยงจากการถูกโจมตีที่อาจเกิดขึ้น

Browser อื่น ๆ ที่อยู่บน Chromium-based เช่น Microsoft Edge, Brave, Opera และ Vivaldi แนะนำให้ผู้ใช้งานทำการอัปเดตเวอร์ชันที่ได้รับการแก้ไขแล้วก่อนการใช้งานเช่นเดียวกัน

ที่มา : thehackernews

 

นักวิจัยพบแอปพลิเคชันที่เป็นอันตราย 4 รายการ ที่อยู่บน Google Play ซึ่งเป็น official store ของ Android ซึ่งจะนำผู้ใช้งานเข้าไปสู่เว็ปไซต์ที่ใช้สำหรับขโมยข้อมูลที่สำคัญ หรือสร้างรายได้ให้กับแฮ็กเกอร์ในแบบที่เรียกว่า pay-per-click และบางเว็ปไซต์ยังหลอกให้เหยื่อดาวน์โหลดแอปพลิเคชันที่ปลอมแปลงเป็น security tools หรือแอปพลิเคชันอัปเดต เพื่อหลอกให้ผู้ใช้งานติดตั้งไฟล์ที่เป็นอันตรายด้วยตนเอง

โดยแอปพลิเคชันเหล่านี้อยู่ภายใต้บัญชีนักพัฒนาที่ชื่อว่า Mobile Apps Group บน Google Play และมียอดติดตั้งไปแล้วรวมกว่า 1 ล้านครั้ง

โดยรายงานจาก Malwarebytes พบว่า นักพัฒนารายเดียวกันนี้เคยมีการเผยแพร่แอปพลิเคชันที่มีลักษณะ adware บน Google Play มาก่อน แต่ก็ยังคงได้รับอนุญาตให้เผยแพร่แอปพลิเคชันต่อไปหลังจากทำการแก้ไขพฤติกรรมผิดปกติดังกล่าวไปแล้วในเวอร์ชันถัดมา

แอปที่เป็นอันตรายสี่รายการที่ถูกเปิดเผยในครั้งนี้ ได้แก่ :

Bluetooth Auto Connect มียอดติดตั้งไปแล้วมากกว่า 1,000,000 ครั้ง
Bluetooth App Sender มียอดติดตั้งไปแล้วมากกว่า 50,000 ครั้ง
Driver: Bluetooth,Wi-Fi, USB มียอดติดตั้งไปแล้วมากกว่า 10,000 ครั้ง
Mobile transfer : smart switch มียอดติดตั้งไปแล้วมากกว่า 10,000 ครั้ง

แอปพลิเคชันเหล่านี้ส่วนใหญ่จะได้รับความคิดเห็นในแง่ลบจากผู้ใช้งานบน Google Play โดยผู้ใช้งานจำนวนมากระบุเกี่ยวกับโฆษณาที่ถูกเปิดโดยอัตโนมัติในเบราว์เซอร์ ที่น่าสนใจคือนักพัฒนาได้ตอบกลับความคิดเห็นเหล่านี้บางส่วน และยังเสนอจะช่วยแก้ไขปัญหาในเรื่องการโฆษณาอีกด้วย

BleepingComputer ได้ทำการติดต่อไปยัง Mobile App Group เพื่อขอความคิดเห็นเกี่ยวกับการค้นพบของนักวิจัยจาก Malwarebytes แต่ยังไม่ได้รับการตอบกลับ

Malwarebytes พบว่าแอปพลิเคชันเหล่านี้จะมี delay 72 ชั่วโมงก่อนที่จะเริ่มแสดงโฆษณาครั้งแรก หรือเปิดลิงก์ฟิชชิ่งในเว็บเบราเซอร์ จากนั้นจึงจะมีการเปิดแท็บโฆษณาในลักษณะดังกล่าวขึ้นมาในทุกๆ 2 ชั่วโมง นักวิจัยตั้งข้อสังเกตว่าแท็บเบราว์เซอร์ใหม่จะยังคงถูกเปิดขึ้นมาแม้ในขณะที่อุปกรณ์ถูกล็อก ดังนั้นเมื่อผู้ใช้กลับมาใช้งานโทรศัพท์หลังจากผ่านไประยะหนึ่ง ก็จะพบว่ามีเว็ปไซต์ฟิชชิง และโฆษณาหลายแห่งถูกเปิดทิ้งไว้อยู่

จากการวิเคราะห์ไฟล์ Manifest แสดงให้เห็นว่านักพัฒนาพยายามสร้างความสับสนบน log ของการดำเนินการของแอปพลิเคชัน โดยใช้ log descriptor ที่ไม่มีความหมายเช่น "sdfsdf" ซึ่งแม้ว่าวิธีนี้จะใช้ได้ผลกับเครื่องมือที่ใช้ตรวจสอบโค้ดแบบอัตโนมัติ แต่ก็ช่วยให้นักวิจัยสามารถระบุการดำเนินการได้ง่ายขึ้น

หากผู้ใช้งานต้องการป้องกันแอดแวร์จากอุปกรณ์ ให้หลีกเลี่ยงการติดตั้งแอปพลิเคชันจากภายนอก อ่านรีวิวจากผู้ใช้งานอื่นๆ ตรวจสอบการใช้งานแบตเตอรี่ และข้อมูลการเชื่อมต่อผ่านเครือข่ายซึ่งจะช่วยระบุว่าอุปกรณ์กำลังมีการใช้งานซอฟต์แวร์ที่น่าสงสัยอยู่หรือไม่

หากมีแอปใดแอปหนึ่งข้างต้นติดตั้งอยู่ แนะนำให้ทำการลบออก และตรวจสอบอุปกรณ์โดยการใช้ mobile antivirus จากผู้ให้บริการที่มีความน่าเชื่อถือ

BleepingComputer ได้ทำการติดต่อไปยัง Google เพื่อแจ้งเกี่ยวกับประวัตินักพัฒนา และแอปพลิเคชันปัจจุบันของพวกเขา และจะอัปเดตข้อมูลทันทีเมื่อได้รับการตอบกลับจาก google

ที่มา : bleepingcomputer.

Google ได้ออกการอัปเดตแพตซ์ด้านความปลอดภัยเร่งด่วนสำหรับผู้ใช้งาน Google Chrome ทุกคน เนื่องจากสามารถยืนยันได้แล้วว่ามีผู้โจมตีได้ใช้ประโยชน์จากช่องโหว่ Zero-Day นี้ในการโจมตีอยู่ในปัจจุบัน

การอัพเดตล่าสุดเวอร์ชัน 99.0.4844.84 ของ Chrome นั้นเป็นการอัปเดตเพื่อจัดการกับช่องโหว่ด้านความปลอดภัยเพียงช่องโหว่เดียวเท่านั้น แสดงให้เห็นว่าการอัปเดตครั้งนี้เร่งด่วน และสำคัญมาก

Chrome ประกาศอัปเดตเมื่อวันที่ 25 มีนาคม ซึ่ง Google ยืนยันว่า "เรารับทราบถึงการพบการโจมตีโดยใช้ช่องโหว่ CVE-2022-1096 แล้วในปัจจุบัน" ดังนั้นขอแนะนำให้ผู้ใช้ Chrome ทุกคนรีบตรวจสอบให้แน่ใจว่าได้อัปเดต browsers ของคุณให้เป็นเวอร์ชันล่าสุดเรียบร้อยแล้ว

CVE-2022-1096 คืออะไร ?

ในช่วงแรกๆช่องโหว่ CVE-2022-1096 ยังไม่ค่อยเป็นที่รู้จักในวงกว้างมากนัก โดยเป็นช่องโหว่ใน "Type Confusion in V8" ซึ่ง V8 เป็น JavaScript engine ของ Chrome แต่เพราะ Google มักจะยังไม่เปิดเผยรายละเอียดการโจมตี เทคนิค หรือ ช่องโหว่จนกว่าจะมีการอัปเดตแพตซ์ออกมาเพื่อปกป้องผู้ใช้งาน

วิธีการอัปเดต Google Chrome

ไปที่ตัวเลือก Help | About ในเมนู Google Chrome หากต้องมีการอัปเดต ระบบจะเริ่มดาวน์โหลดโดยอัตโนมัติ นอกจากนี้แนะนำให้รีสตาร์ทเบราว์เซอร์หลังจากติดตั้งการอัปเดตเรียบร้อยแล้ว

ที่มา : www.

Google ได้ออกอัพเดท Chrome เวอร์ชัน 98.0.4758.102 สำหรับ Windows, Mac และ Linux เพื่อแก้ไขช่องโหว่ Zero-day

Google แจ้งว่าการอัปเดตตามปกติของ Chrome จะมาในไม่กี่สัปดาห์ข้างหน้า แต่อย่างไรก็ตามเนื่องจากช่องโหว่ CVE-2022-0609 เริ่มถูกใช้ในการโจมตีเป็นวงกว้าง ผู้ใช้งานสามารถทำการติดตั้งการอัปเดตได้ทันทีโดยไปที่ Chrome menu > Help > About Google Chrome เบราว์เซอร์จะตรวจสอบการอัปเดตใหม่โดยอัตโนมัติ และติดตั้งในครั้งต่อไปหลังจากที่มีการปิดและเปิด Google Chrome ใหม่อีกครั้ง

(more…)

Google, Linux Foundation, RedHat และมหาวิทยาลัย Purdue ได้ร่วมกันเปิดตัวโครงการ Sigstore ภายใต้แนวคิดของที่มีลักษณะคล้ายกับโครงการ Let's Encrypt สำหรับการทำ Code signing

โครงการ Sigstore จะเป็นโครงการฐานข้อมูลการรับรองซอฟต์แวร์, อิมเมจของ Container หรือไบนารี โดยจะเป็นช่องทางให้นักพัฒนาซอฟต์แวร์แบบโอเพนซอร์สสามารถทำ Code signing กับข้อมูลในโครงการของตัวเองได้ฟรี พร้อมกับเป็นช่องทางที่ให้ผู้ใช้งานคนอื่นสามารถตรวจสอบความถูกต้องได้บนพื้นฐานของ X509 PKI และการมี Tranparency log ซึ่งคล้ายกับโครงการ Certificate transparency

ในขณะนี้โครงการบางส่วนยังอยู่ในช่วงพัฒนา อาทิ ส่วนสำหรับการมอนิเตอร์การทำ Code signing ใหม่ อย่างไรก็ตามส่วนที่เป็น Ledger (rekor), โปรแกรม cosign สำหรับการทำ Signing กับ Container (cosign) และข้อมูลของ Root CA (fulcio) ได้ถูกเปิดเผยออกมาแล้ว

ผู้ที่สนใจสามารถดูข้อมูลเพิ่มเติมได้ที่ sigstore

ที่มา: security

Google ประกาศแพตช์รอบที่สองสำหรับช่องโหว่ Zero-day รหัส CVE-2021-21166 ที่กำลังถูกใช้โจมตีใน Chrome รุ่น 89.0.4389.72 ที่ผ่านมา โดย CVE-2021-21166 เป็นช่องโหว่อยู่ในระดับสูงและเกี่ยวข้องกับคอมโพเนนต์เรื่องเสียงของ Chrome

แม้ว่า Google จะตรวจพบการใช้ CVE-2021-21166 ในการโจมตีจริงแล้ว Google ก็ยังไม่ได้มีการเปิดเผยรายละเอียดการใช้ช่องโหว่ดังกล่าวเพื่อโจมตีออกมา รวมไปถึงข้อมูลประกอบ อาทิ เป้าหมายของการโจมตี หรือกลุ่มที่อยู่เบื้องหลังการโจมตี โดย Google มีการให้เหตุผลว่าข้อมูลของการโจมตีนั้นจะถูกเก็บเอาไว้จนกว่าผู้ใช้งานส่วนใหญ่จะทำการอัปเดตรุ่นของเบราว์เซอร์ Chrome ให้เป็นรุ่นล่าสุด

นอกเหนือจากแพตช์สำหรับ CVE-2021-21166 ที่ถูกแพตช์ในรอบนี้ด้วยความเร่งด่วนแล้ว Chrome จะมีการปล่อยแพตช์ให้กับอีก 47 ช่องโหว่ซึ่งโดยส่วนใหญ่ถูกพบโดยนักวิจัยด้านความปลอดภัยภายนอกด้วย ขอให้ผู้ใช้ ทำการอัปเดต Chrome ให้เป็นเวอร์ชันล่าสุดโดยด่วนเพื่อลดความเสี่ยงที่จะถูกโจมตีด้วยช่องโหว่

ที่มา: bleepingcomputer

ผู้ใช้ Android สามารถใช้ฟีเจอร์ Password Checkup ของ Google ได้แล้วหลังจากที่ Google เปิดฟีเจอร์ให้สามารถใช้งานใน Chrome เบราว์เซอร์เมื่อปลายปี 2019 ที่ผ่านมา

ฟีเจอร์ Password Checkup ของ Google เป็นฟีเจอร์การตรวจสอบรหัสผ่านว่าเคยรั่วไหลทางออนไลน์หรือไม่จากฐานข้อมูลที่มีบันทึกหลายพันล้านรายการจากการละเมิดข้อมูลสาธารณะและถูกจัดให้เป็นเป็นส่วนหนึ่งของ Autofill with Google ที่ถูกใช้ในระบบปฏิบัติเพื่อเลือกข้อความจากแคชและกรอกแบบฟอร์ม

Google กล่าวว่าการใช้งานฟีเจอร์ Password Checkup นั้น กลไกการตรวจสอบรหัสผ่านนี้จะไม่เปิดเผยข้อมูล Credential ของผู้ใช้เนื่องจากฟีเจอร์จะทำการตรววจสอบเฉพาะแฮชของข้อมูล Credential เท่านั้น จากนั้นเซิร์ฟเวอร์ทำการตรวจสอบแฮชจากฐานข้อมูลและจะส่งคืนค่ารายการแฮชที่เข้ารหัสของข้อมูล Credential ที่ทำการตรวจสอบเพื่อแจ้งให้ผู้ใช้ทราบว่าข้อมูลเคยถูกละเมิดหรือไม่

ฟีเจอร์ Password Checkup ของ Google นี้ผู้ใช้ Android 9+ ทุกคนสามารถใช้งานได้วันนี้ โดยสามารถเปิดใช้งานการได้โดยเข้าไปที่ Settings จากนั้นไปที่ System > Languages & input > Advanced จากนั้นมองหา Autofill service เพื่อเปิดการใช้งาน ทั้งนี้ผู้ใช้ iOS 14 มีฟีเจอร์การตรวจสอบรหัสผ่านที่คล้ายกันอยู่แล้วตั้งเเต่กลางปี 2019 ที่ผ่านมา

ที่มา: zdnet

 

Google ได้ลบและบังคับให้ถอนการติดตั้ง Extension ที่มีชื่อว่า “The Great Suspender” ออกจาก Chrome web store โดย The Great Suspender เป็น Extension ที่นิยมอย่างมากและมีผู้ใช้มากกว่า 2,000,000 ราย หลังจากมีการตรวจพบว่า The Great Suspender มีโค้ดของมัลแวร์ฝังอยู่

Great Suspender เป็น Extension ใน Google Chrome ที่จะระงับแท็บที่ไม่ได้ใช้งานและยกเลิกการโหลดทรัพยากรเพื่อลดการใช้หน่วยความจำของเบราว์เซอร์ ซึ่งเมื่อผู้ใช้พร้อมที่จะใช้แท็บอีกครั้งผู้ใช้คลิกที่แท็บเพื่อใช้งานต่อได้

Google ได้ตรวจสอบ Extension และพบว่าผู้พัฒนา Extension ที่ได้ทำการซึ้อ โปรเจกต์ในเดือนมิถุนายน 2020 เพื่อนำไปพัฒนาต่อได้ทำการเพิ่มฟีเจอร์ที่ทำให้สามารถเรียกใช้โค้ดได้โดยผู้ใช้ไม่ได้อนุญาตจากเซิร์ฟเวอร์ระยะไกลรวมถึง Extension มีโค้ดในการติดตามผู้ใช้ทางออนไลน์และกระทำการแฝงโฆษณาไว้ ซึ่งฟีเจอร์ดังกล่าวอยู่ใน The Great Suspender เวอร์ชัน 7.1.8

ทั้งนี้สำหรับผู้ที่ต้องการใช้ Extension ที่ชื่อว่า The Great Suspender อย่างถูกต้องและเวอร์ชันดังเดิมสามารถเข้าไปดาวน์โหลดได้ที่ GitHub ซึ่งเป็นเวอร์ชันสุดท้ายของ Extension คือเวอร์ชัน 7.1.6 ได้ที่: github

ที่มา: bleepingcomputer, thehackernews

 

Google เปิดโครงการฐานข้อมูลช่องโหว่ Open Source Vulnerabilities (OSV) ซึ่งรวมรายการของช่องโหว่ในโครงการโอเพนซอร์สเอาไว้ ในปัจจุบันข้อมูลจาก OSV นั้นมาจากผลลัพธ์ของโครงการ OSS-Fuzz ซึ่งใช้เทคนิคแบบ Fuzzing ในการค้นหาช่องโหว่

เมื่อ OSS-Fuzz ค้นพบช่องโหว่ OSV จะทำหน้าที่หลักในการ triage ข้อมูลของช่องโหว่นั้นให้สามารถเข้าถึงได้จากช่องทางหรือแพลตฟอร์มอื่น ๆ โดยโครงการที่มีอยู่ก่อนหน้าอย่าง CVE ก็สามารถอ้างอิงรูปแบบของ OSV ในการอ้างถึงรายละเอียดของช่องโหว่ได้ ในขณะเดียวกันผู้ใช้งานและผู้พัฒนาก็สามารถอ้างอิงช่องโหว่ผ่านทางระบบ API ของ OSV ได้ด้วย

ผู้ที่สนใจสามารถเข้าถึง OSV ได้ที่ osv.