Microsoft ออกแพตซ์อัปเดตประจำเดือนพฤศจิกายน 2024 แก้ช่องโหว่ 91 รายการ และช่องโหว่ zero-day 4 รายการ

Microsoft ออก Patch Tuesday ประจำเดือนพฤศจิกายน 2024 โดยแก้ไขช่องโหว่ 91 รายการ รวมถึงช่องโหว่ zero-days 4 รายการ ที่พบว่ากำลังถูกนำมาใช้ในการโจมตีอีกด้วย (more…)

Cyble เปิดเผยการโจมตีที่ซับซ้อนที่ใช้ VS Code เพื่อการเข้าถึงโดยไม่ได้รับอนุญาต

Cyble Research and Intelligence Lab (CRIL) ได้เปิดเผยแคมเปญที่ใช้ไฟล์ .LNK ที่น่าสงสัยเป็น attack vector ในการโจมตีเบื้องต้น โดยไฟล์นี้อาจถูกส่งผ่านอีเมล spam และดาวน์โหลดแพ็คเกจ Python ซึ่งจากนั้นจะใช้เพื่อรันสคริปต์ Python ที่ถูก obfuscated ซึ่งถูกดึงมาจากเว็บไซต์ paste.

แฮ็กเกอร์ถูกตั้งข้อหา เนื่องจากมีการละเมิดการซื้อขายข้อมูลของบริษัท 5 แห่ง

สำนักงานคณะกรรมการกำกับหลักทรัพย์ และตลาดหลักทรัพย์ของสหรัฐฯ (SEC) ได้ตั้งข้อกล่าวหาโรเบิร์ต บี. เวสต์บรู๊ค ซึ่งเป็นพลเมืองอังกฤษ ในข้อหาแฮ็กระบบคอมพิวเตอร์ของบริษัทมหาชนของสหรัฐฯ 5 แห่ง เพื่อเข้าถึงข้อมูลรายได้ที่เป็นความลับ และดำเนินการซื้อขายข้อมูลภายใน

จากนั้นเวสต์บรู๊คก็ใช้ข้อมูลนี้เพื่อทำการซื้อขายก่อนที่จะมีการประกาศรายได้ 14 รายการ ระหว่างเดือนมกราคม 2019 ถึงสิงหาคม 2020 และได้รับกำไรจากการขาย และกระทำผิดกฎหมายประมาณ 3,750,000 ดอลลาร์

กิจกรรมนี้เรียกว่า insider trading ซึ่งบุคคลที่ไม่ได้รับอนุญาตจะทำการลงทุนโดยอาศัยข้อมูลลับของบริษัทที่ไม่สามารถเปิดเผยต่อภายนอกได้

แฮ็กเกอร์ชาวอังกฤษถูกกล่าวหาว่าเจาะระบบของบริษัทต่าง ๆ โดยการรีเซ็ตรหัสผ่านของผู้บริหารระดับสูงขององค์กรที่เป็นเป้าหมาย จากนั้นแฮ็กเกอร์จึงเข้าถึงเอกสาร หรืออีเมลที่มีรายงานทางการเงิน และผลประกอบการ

การเข้าถึงบัญชีอีเมลจะช่วยให้แฮ็กเกอร์ลบร่องรอยของกิจกรรมนี้ได้อย่างง่าย รวมถึงลบการแจ้งเตือนของการรีเซ็ตรหัสผ่าน หรือการใช้วิธีการส่งต่อข้อความ

นอกจากนี้ เวสต์บรู๊คยังใช้บัญชีอีเมลที่ไม่เปิดเผยตัวตน คือ บริการ VPN และ Bitcoin เพื่อทำการลงทุนที่ผิดกฎหมายโดยปกปิดตัวตน อย่างไรก็ตาม ก.ล.ต. ระบุว่าสามารถติดตามตัวผู้ก่อเหตุได้โดยใช้การวิเคราะห์ข้อมูล

สำนักงาน ก.ล.ต. สหรัฐฯ ระบุว่า แม้ว่าเวสต์บรู๊คจะใช้วิธีการต่าง ๆ มากมายในการปกปิดตัวตน ซึ่งรวมถึงการใช้บัญชีอีเมลที่ไม่เปิดเผยตัวตน คือ บริการ VPN และการใช้บิตคอยน์ แต่ระบบวิเคราะห์ข้อมูลขั้นสูงได้มีการติดตามสินทรัพย์ดิจิทัลอยู่ตลอด และต่อมาเทคโนโลยีของคณะกรรมาธิการก็สามารถเปิดเผยการฉ้อโกงได้ แม้แต่ในกรณีที่เกี่ยวข้องกับการแฮ็กข้อมูลที่ซับซ้อนในระดับนานาชาติก็สามารถติดตามตรวจจับได้

ขณะนี้ เวสต์บรู๊คต้องเผชิญกับข้อกล่าวหาทางแพ่งจากสำนักงานคณะกรรมการกำกับหลักทรัพย์ และตลาดหลักทรัพย์สหรัฐ (SEC) และข้อกล่าวหาทางอาญาจากสำนักงานอัยการสหรัฐประจำเขตนิวเจอร์ซี

ก.ล.ต. ได้ยื่นฟ้อง Westbrook ว่าได้ทำผิดกฎหมายการต่อต้านการฉ้อโกงภายใต้พระราชบัญญัติการแลกเปลี่ยนหลักทรัพย์ พ.ศ. 2477 ในขณะที่ข้อกล่าวหาทางอาญาอาจประกอบไปด้วยการฉ้อโกงทางโทรศัพท์ และการฉ้อโกงในหลักทรัพย์ รวมไปถึงการเข้าถึงระบบคอมพิวเตอร์โดยไม่ได้รับอนุญาต

การกระทำข้างต้นอาจมีโทษจำคุกหลายปี และปรับเงินจำนวนมาก โดยการปรับมักจะมีการปรับเงินมากกว่าเงินที่ได้จากการทำผิดกฎหมาย รวมทั้งมีคำสั่งห้าม Westbrook ซื้อขายหลักทรัพย์ในอนาคตอีกด้วย

ที่มา : bleepingcomputer

Google แก้ไขช่องโหว่ Zero-day ใน Chrome ที่ถูกกำลังถูกใช้ในการโจมตีเป็นครั้งที่ 9 ในปีนี้

วันที่ 21 สิงหาคม 2024 ที่ผ่านมา Google ออกแพตซ์อัปเดตความปลอดภัยฉุกเฉินสำหรับ Chrome เพื่อแก้ไขช่องโหว่ zero-day ที่กำลังถูกใช้ในการโจมตี

โดย Google ระบุว่า "Google ได้รับข้อมูลว่ากำลังมีการโจมตีโดยใช้ประโยชน์จากช่องโหว่ CVE-2024-7971"

(more…)

Hackers กำลังโจมตีโดยใช้ช่องโหว่ระดับ Critical ใน LiteSpeed Cache plugin

ผู้โจมตีได้เริ่มทำการโจมตีโดยใช้ช่องโหว่ระดับ Critical ที่ส่งผลกระทบต่อ LiteSpeed ​​Cache ซึ่งเป็นปลั๊กอินของ WordPress ที่ใช้สำหรับการเร่ง response times เพียงหนึ่งวันหลังจากที่รายละเอียดทางเทคนิคถูกเปิดเผย

(more…)

กลุ่มแฮ็กเกอร์เกาหลีเหนือมุ่งเป้าการโจมตีไปที่อาจารย์มหาวิทยาลัย

Kimsuky กลุ่มแฮ็กเกอร์ที่มีความเชื่อมโยงกับรัฐบาลเกาหลีเหนือ มีส่วนเกี่ยวข้องกับการโจมตีครั้งใหม่ที่กำหนดเป้าหมายไปที่เจ้าหน้าที่มหาวิทยาลัย, นักวิจัย และศาสตราจารย์ เพื่อวัตถุประสงค์ในการรวบรวมข้อมูลข่าวกรอง (more…)

ช่องโหว่ใน Cisco SSM On-Prem ทำให้ Hacker สามารถเปลี่ยนรหัสผ่านของผู้ใช้ได้

ช่องโหว่ใน Cisco SSM On-Prem ทำให้ Hacker สามารถเปลี่ยนรหัสผ่านของผู้ใช้ได้

Cisco ออกแพตซ์แก้ไขช่องโหว่ระดับ Critical ซึ่งทำให้ Hacker สามารถเปลี่ยนรหัสผ่านของผู้ใช้บน Cisco Smart Software Manager On-Prem (Cisco SSM On-Prem) license servers ที่มีช่องโหว่ รวมถึงรหัสผ่านของผู้ดูแลระบบ

(more…)

Check Point แก้ไขช่องโหว่ Zero-Day ของ VPN ที่กำลังถูกใช้ในการโจมตี

Check Point ออกแพตซ์อัปเดตเพื่อแก้ไขช่องโหว่ Zero-Day ของ VPN ที่กำลังถูกใช้ในการโจมตีเพื่อเข้าถึงไฟร์วอลล์จากระยะไกล และพยายามเข้าถึงเครือข่ายของเป้าหมาย

โดยก่อนหน้านี้ทาง Check Point ได้แจ้งเตือนการพบการโจมตีซึ่งมุ่งเป้าหมายไปยังอุปกรณ์ VPN ที่สูงขึ้นอย่างมีนัยสำคัญ และได้เผยแพร่คำแนะนำในการป้องกัน ต่อมาทาง Check Point ได้ค้นพบสาเหตุของปัญหาดังกล่าว ซึ่งเป็นช่องโหว่ Zero-Day ที่กำลังถูกใช้โดย Hacker เพื่อโจมตีเป้าหมาย

CVE-2024-24919 (คะแนน CVSS 8.6/10 ความรุนแรงระดับ High) ช่องโหว่ information disclosure ที่ทำให้ Hacker สามารถอ่านข้อมูลบน Check Point Security Gateways ที่เข้าถึงได้จากอินเทอร์เน็ต ที่มีการเปิดใช้งาน VPN หรือ Mobile Access Software Blades ซึ่งส่งผลกระทบต่ออุปกรณ์ CloudGuard Network, Quantum Maestro, Quantum Scalable Chassis, Quantum Security Gateways, และ Quantum Spark Appliancesในเวอร์ชัน R80.20.x, R80.20SP (EOL), R80.40 (EOL), R81, R81.10, R81.10.x และ R81.20

ทั้งนี้ทาง Check Point ได้ออกอัปเดตแพตซ์เพื่อแก้ไขช่องโหว่ดังกล่าวแล้ว ในเวอร์ชันดังต่อไปนี้ :
**

Quantum Security Gateway and CloudGuard Network Security: R81.20, R81.10, R81, R80.40

Quantum Maestro and Quantum Scalable Chassis: R81.20, R81.10, R80.40, R80.30SP, R80.20SP

Quantum Spark Gateways: R81.10.x, R80.20.x, R77.20.x

หากผู้ดูแลระบบต้องการอัปเดตด้วยตนเอง สามารถเข้าไปที่ Security Gateway > Software Updates > Available Updates > Hotfix Updates และคลิก 'Install' โดยจะใช้เวลาในการดำเนินงานประมาณ 10 นาที และจำเป็นต้องทำการ reboot อุปกรณ์

หลังจากที่ทำการอัปเดตแล้ว การพยายามโจมตีเพื่อเข้าสู่ระบบโดยใช้ข้อมูล weak credentials จะถูกบล็อคโดยอัตโนมัติ และถูก logging ในระบบ ซึ่งการอัปเดตดังกล่าวครอบคลุมถึงเวอร์ชันที่ end-of-life (EOL) ไปแล้ว

ทั้งนี้ผู้ดูแลระบบที่ยังไม่สามารถทำการอัปเดตได้ ควรปรับปรุงด้านความปลอดภัยโดยการอัปเดตรหัสผ่าน Active Directory (AD) ที่ Security Gateway ใช้สำหรับการตรวจสอบสิทธิ์

รวมถึง Check Point ได้สร้างสคริปต์ สำหรับตรวจสอบการเข้าถึงระยะไกลที่สามารถอัปโหลดไปยัง 'SmartConsole' และดำเนินการเพื่อตรวจสอบผลลัพธ์ และวิธีการดำเนินการที่เหมาะสม

ที่มา : bleepingcomputer

Hacker มุ่งเป้าการโจมตีไปยัง Check Point VPN เพื่อเข้าถึงเครือข่าย

Check Point เปิดเผยการค้นพบกลุ่ม Hacker กำลังกำหนดเป้าหมายไปยังอุปกรณ์ VPN ของ Check Point เพื่อพยายามเข้าถึงเครือข่ายจากระยะไกล

ทั้งนี้การเข้าถึงจากระยะไกลผ่าน VPN ของ Check Point สามารถทำได้ 2 วิธีคือ client-to-site VPN สำหรับการเข้าถึงเครือข่ายองค์กรผ่าน VPN client หรือการเข้าถึงเครือข่ายองค์กรผ่าน SSL VPN Portal จาก web-based

โดย Check Point พบว่ากลุ่ม Hacker ได้มุ่งเป้าโจมตีไปยัง local account ที่มีการตั้งค่าการยืนยันตัวตนที่ไม่ปลอดภัย (password-only) เพื่อป้องกันการโจมตีดังกล่าว Check Point ได้แนะนำให้ผู้ดูแลระบบตรวจสอบ local account ที่มีความเสี่ยงในลักษณะดังกล่าวใน Quantum Security Gateway และ CloudGuard Network Security product และบน Mobile Access และ Remote Access VPN software blade แล้วทำการเปลี่ยนวิธีการยืนยันตัวตนให้ปลอดภัยยิ่งขึ้น รวมถึงลบ local account ที่มีความเสี่ยงออกจาก Security Management Server database

นอกจากนี้ Check Point ยังได้ออก Security Gateway hotfix ที่จะบล็อก local account ทั้งหมดที่มีการยืนยันตัวตนแบบ password-only และจะไม่สามารถทำการ VPN เพื่อเข้าถึงเครือข่ายจากระยะไกลได้

Cisco VPN ก็ตกเป็นเป้าหมายการโจมตีด้วยเช่นกัน

ทั้งนี้ Check Point เป็นบริษัทที่สองต่อจาก Cisco ที่ได้ทำการแก้ไขช่องโหว่บน VPN หลังจากที่พบกลุ่ม Hacker มุ่งเป้าหมายในการโจมตีช่องโหว่ดังกล่าว

ในเดือนเมษายน 2024 Cisco ได้แจ้งเตือนพบการโจมตีแบบ brute-force โดยกำหนดเป้าหมายไปยัง VPN และ SSH service บนอุปกรณ์ Cisco, Check Point, SonicWall, Fortinet และ Ubiquiti ซึ่งแคมเปญการโจมตีดังกล่าว ได้เริ่มต้นตั้งแต่วันที่ 18 มีนาคม 2024 โดยมีการโจมตีที่มาจาก TOR exit node และใช้เครื่องมือต่าง ๆ รวมถึง proxy เพื่อหลีกเลี่ยงการตรวจจับ

Aaron Martin นักวิจัยด้านความปลอดภัย ได้เชื่อมโยงแคมเปญการโจมตีกับ botnet ที่พึงถูกค้นพบชื่อว่า "Brutus" ซึ่งควบคุม IP addresses กว่า 20,000 รายการใน cloud service และ residential network

นอกจากนี้ Cisco ยังได้เปิดเผยข้อมูลว่ากลุ่ม Hacker ที่ได้รับการสนันสนุนจากรัฐบาลในชื่อ UAT4356 (หรือที่เรียกว่า STORM-1849) ได้ใช้ช่องโหว่ Zero-day ในไฟร์วอลล์ Cisco Adaptive Security Appliance (ASA) และ Firepower Threat Defense (FTD) เพื่อโจมตีเครือข่ายของรัฐบาลทั่วโลกมาตั้งแต่เดือนพฤศจิกายน 2023 ในแคมเปญการโจมตีที่ถูกติดตามในชื่อ ArcaneDoor

ที่มา : bleepingcomputer

พบ Python backdoor ตัวใหม่ ที่มุ่งเป้าไปยัง developer โดยการส่ง job interview ปลอม

พบแคมเปญการโจมตีใหม่ในชื่อ “Dev Popper” ซึ่งกำหนดเป้าหมายไปยัง software developers ด้วยการส่งนัดสัมภาษณ์งานปลอม โดยการส่ง job interview เพื่อให้เป้าหมายติดตั้ง Python Remote Access Trojan (RAT)

ซึ่ง developer จะถูกขอให้ทำสิ่งต่าง ๆ ระหว่างการสัมภาษณ์ เช่น การดาวน์โหลด และเรียกใช้โค้ดจาก GitHub เพื่อทำให้กระบวนการทั้งหมดดูปกติ แต่เป้าหมายของ Hacker คือการให้เป้าหมายทำการดาวน์โหลดซอฟต์แวร์ที่เป็นอันตรายซึ่งจะทำการรวบรวมข้อมูลของระบบ และเปิดใช้งานการเข้าถึงเครื่องจากระยะไกล

จากการวิเคราะห์ของของ Securonix ระบุว่า จากวิธีการโจมตีแคมเปญการโจมตีดังกล่าวน่าจะมีที่มาจาก Hacker ชาวเกาหลีเหนือ แม้ว่าข้อมูลอาจจะยังไม่เพียงพอที่จะสามารถระบุแหล่งที่มาได้

การโจมตีแบบ Multi-stage infection chain

การโจมตี “Dev Popper” เป็นรูปแบบ multi-stage infection chain โดยอาศัยวิธีการ social engineering ซึ่งออกแบบมาเพื่อหลอกลวงเป้าหมายผ่านกระบวนการอย่างต่อเนื่อง

Hacker เริ่มต้นการติดต่อโดยสวมรอยเป็นนายจ้างที่เสนอตำแหน่ง developer ซึ่งในระหว่างการสัมภาษณ์ ผู้สมัครจะถูกขอให้ดาวน์โหลด และเรียกใช้งาน present ที่เป็น standard coding task จาก GitHub repository

ตัวอย่างไฟล์ ZIP ที่มี NPM package ซึ่งมี README.md รวมถึง frontend และ backend directory

เมื่อ developer รัน NPM package ไฟล์ JavaScript ที่อันตราย (“imageDetails.