Fujitsu ยืนยันการพบมัลแวร์ในหลายระบบ คาดว่าถูกโจรกรรมข้อมูลจริง

Fujitsu บริษัทเทคโนโลยียักษ์ใหญ่สัญชาติญี่ปุ่น พบว่าระบบภายในหลายระบบติดมัลแวร์ และออกมาแจ้งเตือนว่าข้อมูลของลูกค้าอาจถูกกลุ่มแฮ็กเกอร์ขโมยออกไป (more…)

พบกลุ่ม Hacker Blackwood ควบคุม WPS Office ที่ทำการอัปเดตเพื่อติดตั้งมัลแวร์

พบกลุ่ม Hacker ในชื่อ Blackwood กำลังใช้มัลแวร์ที่มีความสามารถสูงในชื่อ “NSPX30” เพื่อทำการโจมตีทางไซเบอร์ต่อบริษัท และบุคคล

(more…)

นักวิจัยของ Certitude พบช่องโหว่บน Cloudflare Firewall และ DDoS prevention ที่ทำให้ bypass การตรวจสอบได้โดยการใช้ช่องโหว่ cross-tenant security controls ซึ่งข้อจำกัดเพียงอย่างเดียวสำหรับการโจมตีคือแฮ็กเกอร์ต้องมีการสร้างบัญชี Cloudflare ฟรี เพื่อใช้เป็นส่วนหนึ่งของการโจมตี รวมถึงผู้โจมตีต้องรู้ที่อยู่ IP ของเว็บเซิร์ฟเวอร์เป้าหมายเพื่อใช้ช่องโหว่นี้ในการโจมตี

การโจมตี Cloudflare โดยใช้ Cloudflare account

Stefan Proksch นักวิจัยของ Certitude ระบุว่าสาเหตของปัญหาคือการที่ Cloudflare ใช้โครงสร้างพื้นฐานร่วมกันในการรับการเชื่อมต่อจาก tenants ทั้งหมด โดยช่องโหว่ที่ส่งผลกระทบต่อระบบคือ "Authenticated Origin Pulls" และ "Allowlist Cloudflare IP Addresses" ของ Cloudflare

Authenticated Origin Pulls เป็นคุณสมบัติด้านความปลอดภัยที่ Cloudflare ใช้เพื่อให้แน่ใจว่า HTTP(s) request ที่ส่งไปยังเซิร์ฟเวอร์ต้นทางนั้น ถูกส่งผ่าน Cloudflare และไม่ได้มาจาก Hacker

โดยเมื่อทำการกำหนดค่าฟีเจอร์ดังกล่าว ลูกค้าสามารถอัปโหลด certificates ของตนโดยใช้ API หรือสร้างใบรับรองผ่าน Cloudflare ซึ่งเป็นวิธีการเริ่มต้น และง่ายที่สุด เมื่อทำการกำหนดค่าแล้ว Cloudflare จะใช้ SSL/TLS certificate เพื่อตรวจสอบ HTTP(S) requests ใด ๆ ระหว่าง reverse proxy ของบริการ และเซิร์ฟเวอร์ต้นทางของลูกค้า เพื่อป้องกัน HTTP(S) requests ที่ไม่ได้รับอนุญาตเข้าถึงเว็บไซต์ได้

(more…)

มหาวิทยาลัยแมนเชสเตอร์ ออกมายืนยันเรื่องข้อมูลของศิษย์เก่า และนักศึกษาปัจจุบันจำนวน 7 TB รั่วไหลออกไป หลังจากเกิดเหตุการณ์โจมตีทางไซเบอร์ โดยมหาวิทยาลัยแจ้งว่าเหตุการณ์ดังกล่าวไม่เกี่ยวข้องกับการโจมตีของ MOVEit Transfer

เมื่อวันอังคารที่ 20 มิถุนายน 2566 ที่ผ่านมา Bleeping Computer รายงานว่าแฮ็กเกอร์ที่อยู่เบื้องหลังการโจมตีได้ส่งอีเมลถึงนักศึกษา โดยอ้างว่าได้ขโมยข้อมูลของนักศึกษาและบุคลากรที่เป็นความลับออกมากว่า 7 TB โดยผู้โจมตีได้ระบุในอีเมลว่า พวกเขาได้แฮ็กเครือข่าย manchester.

พบช่องโหว่ใหม่ใน TPM 2.0 ซึ่งเป็นช่องโหว่ buffer overflow 2 รายการ ซึ่งส่งผลทำให้ Hacker สามารถเข้าถึง หรือเขียนทับข้อมูล และขโมยข้อมูลที่มีความสำคัญ เช่น cryptographic keys ได้

Trusted Platform Module (TPM) เป็นฮาร์ดแวร์เทคโนโลยีที่ทำให้ระบบปฏิบัติการมีฟังก์ชันในการเข้ารหัสที่ปลอดภัย สำหรับการปกป้องข้อมูลที่มีความสำคัญ มันสามารถใช้เพื่อจัดเก็บ cryptographic keys, รหัสผ่าน และข้อมูลสำคัญอื่น ๆ โดย TPM จะใช้สำหรับคุณสมบัติด้านความปลอดภัยบางอย่างของ Windows เช่น Measured Boot, การเข้ารหัสอุปกรณ์, Windows Defender System Guard (DRTM), การรับรองความสมบูรณ์ของอุปกรณ์ (more…)

Silver เป็น command-and-control framework ที่ถูกสร้างขึ้นเพื่อใช้ทำ penetration testers (ทดสอบเจาะระบบ) ที่กำลังได้รับความสนใจจากกลุ่มผู่ไม่หวังดีมากขึ้น เพื่อใช้เป็นเครื่องมือทางเลือกแทน Cobalt Strike และ Metasploit ซึ่งเหตุการณ์นี้ถูกพบโดย Cybereason เมื่อสัปดาห์ที่ผ่านมา

(more…)

พบมัลแวร์ตัวใหม่บน Android ที่มีชื่อว่า 'Hook' สามารถ remote เพื่อควบคุมอุปกรณ์มือถือจากระยะไกลได้แบบเรียลไทม์โดยการใช้ VNC (virtual network computing)

โดยตัวมัลแวร์ถูกสร้างโดยผู้สร้าง Ermac ซึ่งเป็นโทรจันสำหรับขโมยข้อมูลธนาคารบน Android ที่จะช่วยให้ผู้โจมตีสามารถขโมยข้อมูล credentials จากแอปธนาคาร และ crypto แอปพลิเคชันกว่า 467 รายการผ่านหน้า login ปลอม

คุณสมบัติของ Hook เมื่อเทียบกับ Ermac คือการเปิด WebSocket ที่นอกเหนือจากการรับส่งข้อมูล HTTP ที่ Ermac ใช้ โดยเฉพาะการรับส่งข้อมูลเครือข่ายยังคงถูก encrypt โดยการใช้คีย์ AES-256-CBC

จุดเด่นเพิ่มเติมคือ module 'VNC' ที่ช่วยให้ผู้โจมตีสามารถควบคุมอุปกรณ์ที่ถูกบุกรุกได้แบบ real-time

Hook ติดอันดับต้นๆ ของกลุ่มมัลแวร์ที่สามารถดำเนินการโจมตีแบบ Device Take-Over (DTO) ได้เต็มรูปแบบ เนื่องจากระบบใหม่นี้ช่วยให้ผู้โจมตีที่ใช้งาน Hook สามารถดำเนินการใดๆก็ได้บนอุปกรณ์ ตั้งแต่ขโมยข้อมูลส่วนตัว ไปจนถึงข้อมูลการทำธุรกรรมทางการเงิน ซึ่งการดำเนินการลักษณะนี้ตรวจจับได้ยากกว่า ทำให้ถือเป็นจุดขายหลักสำหรับมัลแวร์ประเภทนี้

แต่มีประเด็นสำคัญอีกอย่างหนึ่งคือ VNC ของ Hook ต้องการการเข้าถึงบริการ Accessibility Service ซึ่งอาจทำได้ยากขึ้นบนอุปกรณ์ที่ใช้ Android 11 หรือใหม่กว่า

คำสั่งใหม่ของ Hook (นอกเหนือจาก Ermac)

Start/stop RAT
ถ่ายภาพหน้าจอ
จำลองการคลิกที่รายการข้อความที่กำหนด
Simulate การกดปุ่ม (HOME/BACK/RECENTS/LOCK/POWERDIALOG)
Unlock อุปกรณ์
Scroll up/down
Simulate การกดแบบค้าง
Simulate การคลิกที่กำหนดเฉพาะ
ตั้งค่า clipboard UI ด้วยค่าเฉพาะเจาะจง
Simulate การคลิก UI ด้วยข้อความเฉพาะ
ตั้งค่าองค์ประกอบ UI เป็นข้อความเฉพาะ

นอกเหนือจากข้างต้น คำสั่ง "File Manager" จะเปลี่ยนมัลแวร์ให้เป็นตัวจัดการไฟล์ ทำให้ผู้โจมตีสามารถเข้าถึงรายการไฟล์ทั้งหมดที่จัดเก็บไว้ในอุปกรณ์ และดาวน์โหลดไฟล์ที่ต้องการได้

คำสั่งสำคัญอีกคำสั่งที่ ThreatFabric พบเกี่ยวข้องกับ WhatsApp ที่ทำให้ Hook สามารถบันทึกข้อความทั้งหมดในแอพ IM (Instant Messaging) ที่ได้รับความนิยมและยังช่วยให้ผู้โจมตีสามารถส่งข้อความผ่านบัญชีของเหยื่อได้ ในส่วนระบบการติดตามตำแหน่งใหม่ก็ช่วยให้ Hook สามารถติดตามตำแหน่งที่แม่นยำของเหยื่อได้โดยใช้สิทธิ์ "Access Fine Location"

การกำหนดเป้าหมายทั่วโลก

เป้าหมายของ Hook คือแอปพลิเคชันธนาคารต่างๆ ซึ่งคาดว่าจะส่งผลกระทบต่อผู้ใช้ในสหรัฐอเมริกา สเปน ออสเตรเลีย โปแลนด์ แคนาดา ตุรกี สหราชอาณาจักร ฝรั่งเศส อิตาลี และโปรตุเกส

ปัจจุบัน Hook มีการแพร่กระจายผ่านทาง Google Chrome APK ภายใต้ชื่อแพ็คเกจดังนี้

"com.

Censys บริษัทด้านความปลอดภัยไซเบอร์ ได้เปิดเผยรายงานการพบเซิร์ฟเวอร์ Cacti ที่เชื่อมต่อกับอินเทอร์เน็ตส่วนใหญ่ไม่ได้รับการอัปเดตช่องโหว่ด้านความปลอดภัยที่มีหมายเลข CVE-2022-46169 ซึ่งพึ่งถูกค้นพบในเดือนธันวาคม 2022 ที่ผ่านมา ทำให้ตกเป็นเป้าหมายในการโจมตีของกลุ่ม Hackers

CVE-2022-46169 (คะแนน CVSS: 9.8 ระดับความรุนแรงสูงมาก) เป็นช่องโหว่ใน Cacti Servers ที่สามารถ bypass การตรวจสอบสิทธิ์และเรียกใช้งานคำสั่งที่เป็นอันตรายบนเวอร์ชันที่เป็น open-source, web-based monitoring solution

จากการตรวจของ Censys สอบพบว่ามีเซิร์ฟเวอร์ Cacti เพียง 26 เซิร์ฟเวอร์ จากทั้งหมด 6,427 เซิร์ฟเวอร์ ที่มีการอัปเดตเวอร์ชันเพื่อปิดช่องโหว่ (version 1.2.23 และ 1.3.0) อีกทั้งนักวิจัยของ SonarSource บริษัทด้านความปลอดภัยไซเบอร์ยังได้ให้ข้อมูลเพิ่มเติมว่า พบเซิร์ฟเวอร์ Cacti ที่ยังไม่ได้อัปเดตเพื่อป้องกันช่องโหว่ถึง 1,320 เซิร์ฟเวอร์ โดยมาจากประเทศต่าง ๆ ได้แก่ บราซิล อินโดนีเซีย สหรัฐอเมริกา จีน บังคลาเทศ รัสเซีย ยูเครน ฟิลิปปินส์ อังกฤษ และประเทศไทย อีกทั้งยังพบการโจมตีช่องโหว่ดังกล่าวแล้ว ซึ่งพบว่า IP ที่โจมตีมานั้นส่วนใหญ่มาจากประเทศยูเครน

Cacti Server ที่ได้รับผลกระทบ

Cacti Server เวอร์ชัน 1.2.22 และต่ำกว่า

วิธีการแก้ไข

ทำการอัปเดต Cacti Server เป็นเวอร์ชัน 1.2.23 และ 1.3.0 เพื่อปิดช่องโหว่โดยเร็วที่สุด

ที่มา : thehackernews

BlackCat ransomware หรือในอีกชื่อที่เรียกว่า ALPHV ransomware ได้ปรับเปลี่ยนกลยุทธ์ในการขู่เรียกค่าไถ่เพื่อให้เหยื่อยอมที่จะจ่ายเงินเรียกค่าไถ่ โดยการสร้างเว็ปไซต์เลียนแบบเว็ปของเหยื่อที่ถูกโจมตีเพื่อเผยแพร่ข้อมูลที่ถูกขโมยออกมา ส่งผลให้ผู้ที่ตกเป็นเหยื่อของการโจมตีต้องหาวิธีในการยับยั้งการเผยแพร่ข้อมูล

BlackCat ransomware หรือ ALPHV ransomware เป็นกลุ่ม Hackers ที่มีแรงจูงใจในการโจมตี คือ เงินเรียกค่าไถ่ โดยมุ่งเป้าหมายไปยังกลุ่มสถาบันทางการเงินฝั่งสหรัฐอเมริกา ยุโรป และเอเชีย อีกทั้งยังพบว่าประเทศไทยเป็นหนึ่งในประเทศที่ตกเป็นเป้าหมายของการโจมตีเช่นกัน

วิธีการเผยแพร่ข้อมูล

เมื่อวันที่ 26 ธันวาคม 2022 กลุ่ม BlackCat ได้เผยแพร่ตัวอย่างข้อมูลที่ขโมยออกมาจากการโจมตีบริษัทที่ให้บริการทางการเงินรายหนึ่งบนเว็ปไซต์ที่อยู่บน Tor network เพื่อเรียกค่าไถ่ แต่เนื่องจากเหยื่อไม่ตอบสนองกลับมา กลุ่ม BlackCat จึงเผยแพร่ไฟล์ที่ถูกขโมยทั้งหมดเพื่อเป็นบทลงโทษสำหรับเหยื่อที่ไม่ยอมจ่ายค่าไถ่ ซึ่งเป็นขั้นตอนตามมาตรฐานสำหรับกลุ่มแรนซัมแวร์ แต่ด้วยวิธีการใหม่นั่นคือการสร้างเว็ปไซต์เลียนแบบเว็ปของเหยื่อเพื่อเผยแพร่ไฟล์ที่ขโมยมา

โดยเว็บไซต์เลียนแบบนี้มีข้อมูลที่ถูกขโมยออกมาจำนวนมาก ตั้งแต่บันทึกพนักงาน, แบบฟอร์มการชำระเงิน, ข้อมูลพนักงาน, ข้อมูลเกี่ยวกับทรัพย์สินและค่าใช้จ่าย, ข้อมูลทางการเงินสำหรับคู่ค้าและการสแกนหนังสือเดินทาง โดยมีขนาดประมาณ 3.5 GB สามารถดาวน์โหลดได้จากบริการไฟล์แชร์ที่ไม่ระบุตัวตนและเว็ปไซต์บน Tor network

โดยตอนนี้ยังไม่ทราบแน่ชัดว่าวิธีการนี้จะประสบความสำเร็จเพียงใด ซึ่งพบว่ามีจำนวนผู้เข้าถึงจำนวนมากขึ้นเรื่อย ๆ เนื่องจากข้อมูลไม่มีข้อจำกัดในการเข้าถึงใด ๆ ทั้งสิ้น แต่คาดว่าวิธีการและกลยุทธ์ในการขู่กรรโชกนี้ จะถูกนำไปใช้โดยกลุ่ม Hackers อื่น ๆ ต่อไปในอนาคต

ที่มา : bleepingcomputer

Guardio Labs และ Trend Micro บริษัทด้านความปลอดภัยได้เผยแพร่ข้อมูลเทคนิคการโจมตีของกลุ่ม Hackers ที่เริ่มหันมาใช้ Google Ads ในการหลอกล่อเป้าหมายที่กำลังค้นหาซอฟต์แวร์ เพื่อให้เหยื่อทำการดาวน์โหลดซอฟต์แวร์อันตรายที่ถูกฝังมัลแวร์ไว้โดยที่ไม่รู้ตัว

Google Ads เป็นแพลตฟอร์มช่วยโปรโมตโฆษณาบนหน้าเว็ปในการค้นหาของ Google เพื่อให้อยู่ในอันดับต้น ๆ ของรายการค้นหา ซึ่งมักจะถูกนำเสนอก่อนเว็ปไซต์ของคำค้นหา

วิธีการโจมตี

Guardio Labs และ Trend Micro ได้ค้นพบแคมเปญ typosquatting ซึ่งเป็นแคมเปญการโจมตีโดยใช้การจดโดนเมนปลอมใกล้เคียง เพื่อเลียนแบบหน้าเว็ปไซต์ของซอฟต์แวร์ยอดนิยมกว่า 200 โดเมน เช่น Grammarly, MSI Afterburner, Slack, Dashlane, Malwarebytes, Audacity, μTorrent, OBS, Ring, AnyDesk, Libre Office, Teamviewer, Thunderbird และ Brave

รวมทั้งยังได้ใช้ Google Ads ในการโปรโมตโฆษณาหน้าเว็ปปลอมบนหน้าการค้นหาของ Google และให้ขึ้นมาอยู่ในอันดับต้น ๆ ของคำค้นหานั้น เมื่อเป้าหมายกดคลิกหน้าเว็ปไซต์ปลอมเพื่อทำการดาวน์โหลดซอฟต์แวร์ ก็จะเป็นการดาวน์โหลดซอฟต์แวร์ที่ถูกฝังเพย์โหลดที่เป็นอันตราย

โดยเพย์โหลดที่ฝังมากับซอฟต์แวร์จะทำการดาวน์โหลดมัลแวร์ซึ่งประกอบไปด้วย Raccoon Stealer, Vidar Stealer และ IcedID malware loader ซึ่งเพย์โหลดที่มาในรูปแบบ .ZIP หรือ .MSI จะถูกดาวน์โหลดจากบริการแชร์ไฟล์ต่าง ๆ เช่น GitHub, Dropbox หรือ Discord เพื่อหลีกเลี่ยงการตรวจจับของโปรแกรมป้องกันไวรัสบนเครื่องเป้าหมาย

รวมถึงเมื่อ Google ตรวจพบว่าเว็ปไซต์ที่ Google Ads เชื่อมโยงไว้นั้นเป็นอันตราย โฆษณานั้นจะถูกบล็อกและลบออก ดังนั้น Hackers จึงใช้เทคนิคเลี่ยงการตรวจสอบของ Google Ads ด้วยการหลอกล่อให้เป้าหมายคลิกโฆษณาไปยังเว็ปไซต์ที่ไม่มีอันตรายที่สร้างโดย Hackers ก่อน จากนั้นก็จะทำการปลี่ยนเส้นทางไปยังเว็ปไซต์ดาวน์โหลดซอฟต์แวร์อันตรายอีกครั้งหนึ่ง

วิธีการป้องกัน

ระมัดระวังการคลิกชมโฆษณาบน Google Ads / ตรวจสอบ URL ของลิงค์เว็ปไซต์ที่ต้องการค้นหา
เปิดใช้งานตัวบล็อกโฆษณาบนเว็บเบราว์เซอร์

ที่มา : bleepingcomputer