Increased Emotet Malware Activity

สำนักงานความมั่นคงปลอดภัยไซเบอร์และโครงสร้างพื้นฐาน (CISA) ของสหรัฐอเมริกาออกคำเตือนถึงการเพิ่มขึ้นของการโจมตีด้วยมัลแวร์ Emotet
Emotet เป็นโทรจันที่มีความซับซ้อนซึ่งโดยทั่วไปจะทำหน้าที่เป็นตัวดาวน์โหลดหรือ dropper มัลแวร์อื่น ๆ โดยส่วนใหญ่มัลแวร์ดังกล่าวจะแพร่กระจายผ่านไฟล์แนบทางอีเมลที่เป็นอันตรายและพยายามแพร่กระจายภายในเครือข่ายโดยการ Brute Force ข้อมูลประจำตัวของผู้ใช้และการ shared drives หากโจมตีสำเร็จผู้โจมตีสามารถเข้าถึงข้อมูลสำคัญของผู้ใช้งานได้

CISA แนะนำผู้ใช้งานและผู้ดูแลระบบปฏิบัติตาม best practice ต่อไปนี้เพื่อป้องกัน

บล็อกไฟล์อันตรายที่ถูกแนบมากับอีเมล (เช่น ไฟล์ .dll และ .exe)
บล็อกไฟล์แนบอีเมลที่ไม่สามารถสแกนได้โดยซอฟต์แวร์ป้องกันไวรัส (เช่นไฟล์. zip)
แนะนำให้ทำการตั้งค่า Group Policy Object และ Firewall rule
แนะนำให้ติดตั้งโปรแกรมป้องกันไวรัสและทำการแพทช์อย่างสม่ำเสมอ
ติดตั้งตัวกรองที่เกตเวย์อีเมลและบล็อก IP ที่น่าสงสัยที่ไฟร์วอลล์
ยึดตามหลักการของ least privilege
ตั้งค่า Domain-Based Message Authentication, Reporting & Conformance (DMARC)
จัดการแบ่งโซนเน็ตเวิร์ค
จำกัดสิทธิการเข้าถึงที่ไม่จำเป็น

CISA แนะนำให้ผู้ใช้และผู้ดูแลระบบตรวจสอบแหล่งข้อมูลต่อไปนี้สำหรับข้อมูลเกี่ยวกับการป้องกัน Emotet และมัลแวร์อื่น ๆ

CISA Alert Emotet Malware https://www.

Attackers Are Scanning for Vulnerable Citrix Servers, Secure Now

POC ของช่องโหว่ CVE-2019-19781 ใน Citrix ADC (NetScaler) ถูกเผยแพร่แล้ว

ในช่วงปลายเดือนธันวาคม 2019 มีรายงานการพบช่องโหว่ CVE-2019-19781 ใน Citrix ADC (NetScaler) ซึ่งในเวลาต่อมาไม่นานนักวิจัยด้านความปลอดภัยพบการแสกนจำนวนมากเพื่อค้นหาเครื่องที่มีช่องโหว่ ซึ่งในวันที่ 11 มกราคม 2020 มีการปล่อยโค้ดสำหรับโจมตีช่องโหว่ CVE-2019-19781 ออกมาแล้ว

CVE-2019-19781 ถูกจัดความรุนแรงอยู่ในระดับ Critical และอาจส่งผลให้ผู้โจมตีสามารถรันคำสั่งที่เป็นอันตรายผ่าน Directory Traversal หากทำการโจมตีได้สำเร็จ ซึ่งในขณะนี้ยังไม่มีแพตช์ Citrix ได้ให้คำแนะนำเกี่ยวกับวิธีตั้งค่าเพื่อป้องกันไว้ที่ https://support.

New security flaw impacts 5G, 4G, and 3G telephony protocols

แจ้งเตือนการค้นพบช่องโหว่ใหม่ในเครือข่าย 3G, 4G และ 5G อาจส่งผลให้ดักฟังการสื่อสารได้

ทีมนักวิจัยจาก ETH Zurich ได้มีการเผยแพร่งานวิจัยใหม่ภายใต้ชื่อ "New Privacy Threat on 3G, 4G, and Upcoming 5G AKA Protocols" ซึ่งมีการให้รายละเอียดถึงช่องโหว่ใหม่ในตัวโปรโตคอลซึ่งอาจส่งผลกระทบต่อความเป็นส่วนตัวของผู้ใช้งานได้

ช่องโหว่ดังกล่าวนั้นส่งผลกระทบต่อกระบวนการ Authentication and Key Agreement หรือ AKA ซึ่งทำหน้าที่ในการพิสูจน์ตัวตนระหว่างผู้ใช้งาน แลกเปลี่ยนกุญแจเข้ารหัสและเข้ารหัสการสื่อสาร

ช่องโหว่ในครั้งนี้นั้นแตกต่างจากช่องโหว่ที่มีอยู่เดิมและถูกโจมตีด้วยอุปกรณ์ IMSI-catcher เพื่อหาตำแหน่งและสอดแนม โดยทำให้ผู้โจมตีสามารถสะกดรอยการใช้งานของผู้ใช้ได้แม้ว่าผู้ใช้งานจะอยู่หาก base station ปลอมที่ผู้โจมตีสร้างขึ้นเพื่อโจมตี

ในขณะนี้การค้นพบดังกล่าวได้ถูกตรวจสอบโดยกลุ่มของผู้ออกแบบโปรโตคอล 3GPP และ GSMA แล้วเพื่อแก้ไข โดยคาดว่าการแก้ไขตัวโปรโตคอลควรจะดำเนินการให้เสร็จก่อนการติดตั้ง 5G ในเฟสต่อไปที่จะเกิดขึ้นในช่วงปลายปี 2019

ที่มา : www.

Azorult Trojan Steals Passwords While Hiding as Google Update

พบมัลแวร์ใหม่ที่ปลอมตัวเป็นโปรแกรม Google Update เพื่อขโมยข้อมูล และติดตั้งมัลแวร์เพิ่มเติม

นักวิจัยด้านความปลอดภัยจาก Minerva Labs ตรวจพบมีการขโมยข้อมูลโดยใช้โทรจัน AZORult ซึ่งโทรจันดังกล่าวจะทำการปลอมตัวเป็นโปรแกรม Google Update เมื่อติดตั้งบนเครื่องเหยื่อแล้ว มัลแวร์จะแทนที่การทำงานของ Google Update ตัวจริง

โปรแกรมดังกล่าวถูกพัฒนาให้มีรูปแบบที่เหมือนกับโปรแกรมที่ถูกต้องของ Google เช่นมีการใช้ไอคอนของ Google และมีการรับรอง (signed) ด้วยใบรับรอง (certificate) ที่ยังไม่หมดอายุ แต่จากการตรวจสอบเพิ่มเติมอย่างละเอียดพบว่า ใบรับรอง (certificate) ดังกล่าวออกให้กับ "Singh Agile Content Design Limited" แทนที่จะเป็นการออกให้กับ "Google" โดยออกเมื่อวันที่ 19 พฤศจิกายน

หลังจากการวิเคราะห์อย่างละเอียดพบว่ามัลแวร์ AZORult มีรูปแบบการทำงาน ดังต่อไปนี้

- ส่งคำขอ HTTP POST ไปที่ /index.

DHS issues security alert about recent DNS hijacking attacks

กระทรวงความมั่นคงแห่งมาตุภูมิของสหรัฐอเมริกา (DHS) ได้ประกาศ "คำสั่งฉุกเฉิน" ซึ่งมีรายละเอียดและคำแนะนำเกี่ยวกับเหตุการณ์ DNS hijacking จากอิหร่าน

คำสั่งฉุกเฉินสั่งให้หน่วยงานของรัฐตรวจสอบ DNS records ว่ามีการแก้ไขที่ไม่ได้รับอนุญาตหรือไม่ สั่งให้เปลี่ยนรหัสผ่านและเปิดใช้งานการตรวจสอบความถูกต้องหลายปัจจัย (multi-factor authentication) สำหรับบัญชีทั้งหมดที่สามารถจัดการ DNS records ได้ นอกจากนี้เอกสารของ DHS ยังเรียกร้องให้บุคลากรด้านไอทีของรัฐบาลตรวจสอบใบรับรอง Certificate Transparency (CT) ด้วย

รายงานระบุรายละเอียดเกี่ยวกับแคมเปญที่มีการประสานงานกันระหว่างกลุ่มที่หน่วยสืบราชการลับทางไซเบอร์เชื่อว่าเป็นการดำเนินการนอกอิหร่าน มีจัดการ DNS records สำหรับโดเมนของบริษัทเอกชนและหน่วยงานรัฐบาล โดยวัตถุประสงค์ของ DNS hijacks เพื่อเปลี่ยนเส้นทางการรับส่งข้อมูลทางเว็บของบริษัท และเซิร์ฟเวอร์อีเมลของหน่วยงานไปสู่เซิร์ฟเวอร์ที่เป็นอันตราย ซึ่งแฮกเกอร์ชาวอิหร่านจะทำการรวบรวมรายละเอียดการเข้าสู่ระบบของเหยื่อ

ตอนนี้เจ้าหน้าที่ DHS ต้องการทราบผลกระทบของเหตุการณ์นี้ในทุกหน่วยงานรัฐบาลของสหรัฐอเมริกาและให้หน่วยงานจัดทำแผนปฏิบัติการสี่ขั้นตอนที่มีรายละเอียดในเอกสารคำสั่ง

ที่มา: www.

New Phobos ransomware exploits weak security to hit targets around the world

Phobos ปรากฏตัวครั้งแรกในเดือนธันวาคมที่ผ่านมา โดยนักวิจัยที่ CoveWare ได้ให้รายละเอียดว่า ransomware ตัวนี้จะมีหลักการทำงานคล้ายคลึงกับ Dharma ransomware โดยมีเป้าหมายการโจมตีคือธุรกิจต่างๆทั่วโลก โดยการโจมตีแบบ Phobos ransomware คืออาชญากรไซเบอร์จะใช้ประโยชน์จาก RDP Port ที่เปิดเอาไว้และมีความปลอดภัยต่ำ ทำให้ถูกผู้ไม่ประสงค์ดีแอบเข้าไปในเครือข่ายได้และทำการโจมตีโดยการเข้ารหัสไฟล์และทำการเรียกค่าไถ่ โดยอ้างว่าถ้าเหยือจ่ายเป็น bitcoin ถึงจะทำการคืนไฟล์ที่ถูกเข้ารหัสให้ Phobos ransomware จะทำให้ไฟล์ในเครื่องของเหยือถูกล็อคด้วยนามสกุลไฟล์ .PHOBOS และเพิ่มไฟล์ Phobos.

Joomla 3.9.2 Release

Joomla 3.9.2 มีการแก้ไขช่องโหว่ด้านความปลอดภัย 4 รายการ และมีการแก้ไขข้อผิดพลาด พร้อมทั้งปรับปรุงมากกว่า 50 รายการ
• Low Priority - XSS ใน mod_banners (ส่งผลกระทบต่อ Joomla 2.5.0 ถึง 3.9.1)
• Low Priority - XSS ใน com_contact (ส่งผลกระทบต่อ Joomla 2.5.0 ถึง 3.9.1)
• Low Priority - XSS ใน Global Configuration textfilter (ส่งผลกระทบต่อ Joomla 2.5.0 ถึง 3.9.1)
• Low Priority - XSS Global Configuration URL (ส่งผลกระทบต่อ Joomla 2.5.0 ถึง 3.9.1)

แก้ไขข้อผิดพลาดและการปรับปรุง
• แก้ไข states ใน com_finder, com_banners, com_messages, com_users โน้ต
• ลบ Caching field ใน languages, syndicate, random image, and login modules
• เพิ่มเติมความสามารถของ Editors API
• ใน Menu Item Alias เปลี่ยนให้ redirection เป็น optional
• ปรับให้ชื่อไฟล์เหมาะสมต่อการใช้งานแบบ drag and drop ใน com_media
• ปรับปรุงส่วนของ Code cleanup และ namespace

ที่มา: www.

Firefox 65 to Show Certificates Used in Man-in-the-Middle SSL Attacks

Firefox รุ่น 65 ปรับปรุงความสามารถในการแจ้งเตือนการโจมตี Man-in-the-middle

ตั้งแต่ Firefox รุ่น 61 มีเพิ่มความสามารถการแสดงข้อความ error "MOZILLA_PKIX_ERROR_MITM_DETECTED" ที่เตือนว่ามีการรันโปรแกรมเพื่อทำการโจมตี SSL ด้วยวิธีการ man-in-the-middle ซึ่งใน Firefox รุ่น 65 ได้มีการแก้ไขเพิ่มเติมว่าอาจมีโปรแกรมป้องกันไวรัสอาจเป็นสาเหตุของข้อผิดพลาดดังกล่าวได้ด้วย ไม่ใช่มีแต่การถูกโจมตีเสมอไป

Man-in-the-middle (MITM) คือ เทคนิคการโจมตีของแฮคเกอร์ที่จะปลอมเป็นคนกลางเข้ามาแทรกสัญญาณการรับส่งข้อมูลระหว่างผู้ใช้ (เบราว์เซอร์) และเซิร์ฟเวอร์ โดยใช้โปรแกรมดักฟังข้อมูลของเหยื่อ แล้วแฮกเกอร์ก็เป็นตัวกลางส่งผ่านข้อมูลให้ระหว่างเบราว์เซอร์กับเซิร์ฟเวอร์ ทำให้สามารถดักข้อมูล เช่น รหัสผ่าน หรือทำการแก้ไขเนื้อหาข้อมูลก่อนถึงปลายทางได้่
แต่โปรแกรมป้องกันไวรัสหรือโปรแกรม HTTP debugging tool อย่าง Fiddler มีการทำงานที่คล้ายกับการทำ MITM ทำให้เกิดข้อความ error ได้เช่นกัน

Firefox รุ่น 65 จึงมีการปรับปรุงโดยเพิ่มข้อมูลใบรับรองของโปรแกรมที่ทำให้เกิดการแจ้งเตือน ดังนั้นหาก Firefox รุ่น 65 แสดงข้อผิดพลาด MOZILLA_PKIX_ERROR_MITM_DETECTED แสดงว่าผู้ใช้มีโปรแกรมที่พยายามเข้าถึงใบรับรองเพื่อให้สามารถรับฟังการเข้าชมเว็บไซต์ที่เข้ารหัสของคุณได้ ผู้ใช้ควรทำการตรวจสอบว่ามาจากโปรแกรมใด ถ้าใบรับรองไม่ได้มาจากโปรแกรมป้องกันไวรัสแปลว่าอาจมีมัลแวร์บนเครื่อง
แต่ถ้าหากใบรับรองมาจากโปรแกรมป้องกันไวรัส Mozilla แนะนำให้ผู้ใช้ปิดการสแกน SSL หรือ HTTPS และเปิดใช้งานอีกครั้ง เพื่อเพิ่มใบรับรองของโปรแกรมป้องกันไวรัสไปยังที่เก็บใบรับรอง Firefox

ที่มา : bleepingcomputer

SCP implementations impacted by 36-years-old security flaws

โปรแกรมที่มีการอิมพลีเมนต์ฟีเจอร์ SCP (Secure Copy Protocol) ทั้งหมดจาก 36 ปีที่ผ่านมาตั้งแต่ปี 1983 มีความเสี่ยงต่อข้อบกพร่องด้านความปลอดภัย 4 ประเด็น ที่อนุญาตให้เซิร์ฟเวอร์ SCP ที่เป็นอันตรายทำการเปลี่ยนแปลงระบบของผู้ใช้ โดยไม่ได้รับอนุญาตและซ่อนการทำงานที่เป็นอันตรายในเครื่อง

Harry Sintonen นักวิจัยด้านความปลอดภัยจากบริษัท F-Secure บริษัทที่รักษาความปลอดภัยทางไซเบอร์จากประเทศฟินแลนด์ได้ค้นพบช่องโหว่ตั้งแต่เดือนสิงหาคมปีที่ผ่านมา

SCP ทำงานบนโปรโตคอล SSH ที่สนับสนุนกลไกการตรวจสอบสิทธิ์ หรือการพิสูจน์ตัวตนเพื่อความถูกต้องและรักษาความลับสำหรับไฟล์ที่ถูกถ่ายโอนเช่นเดียวกับ นับตั้งแต่เปิดตัวครั้งแรกในปี 2526 SCP ได้ถูกใช้เป็นแอฟพลิเคชั่นภายใต้ชื่อเดียวกัน แต่อยู่ภายในปพลิเคชันอื่นๆ ตัวอย่างเช่น SCP เป็นวิธีการถ่ายโอนไฟล์มาตรฐานสำหรับ OpenSSH, Putty และ WinSCP เป็นต้น

Sintonen เปิดเผยว่ามีข้อบกพร่องด้านความปลอดภัยที่สำคัญ 4 ตัวที่มีผลต่อการใช้งาน SCP ดังนี้
1. CVE-2018-20685 - แอปไคลเอ็นต์ของ SCP อนุญาตให้เซิร์ฟเวอร์ SCP ระยะไกลสามารถแก้ไขสิทธิ์ของไดเรกทอรีเป้าหมายได้
2. CVE-2019-6111 - เซิร์ฟเวอร์ SCP ที่เป็นอันตรายสามารถเขียนทับไฟล์โดยพลการได้ในไดเรกทอรีของเป้าหมายบนไคลเอ็นต์ SCP หากดำเนินการแบบเรียกซ้ำ (-r) เซิร์ฟเวอร์สามารถจัดการไดเรกทอรีย่อยได้เช่นกัน (เช่นเขียนทับ. ssh / authorized_keys)
3. CVE-2019-6109 - เอาต์พุตเทอร์มินัลไคลเอ็นต์สามารถจัดการผ่านรหัส ANSI เพื่อซ่อนการทำงานที่ตามมา
4. CVE-2019-6110 – คล้ายกับด้านบน

การโจมตีต่างๆที่อาจพยายามโจมตีผ่านช่องโหว่เหล่านี้นั้นขึ้นอยู่กับผู้ที่ประสงค์ร้ายที่จะทำการยึดครองเซิร์ฟเวอร์ SCP หรือทำตัวเป็น Man-in-the-Middle

Recommendation แนะนำให้ผู้ใช้งานอัปเดตโปรแกรม OpenSSH, Putty และ WinSCP ให้เป็นเวอร์ชันใหม่โดยด่วน

ที่มา : zdnet