CISA ออก Alert ใหม่ในกรณี SolarWinds รหัส AA21-008A โดยในรอบนี้นั้น รายละเอียดของการแจ้งเตือนพุ่งเป้าไปที่การอธิบาย TTP ใหม่ของผู้โจมตีในระบบคลาวด์ของ Microsoft ที่ถูกระบุและให้รายละเอียดไปแล้วจากทาง Microsoft เอง และแนวทางในการตรวจจับ ป้องกันและตอบสนอง

ในส่วนของข้อมูลใหม่เกี่ยวกับ TTP ทีม Intelligent Response ขอสรุปประเด็นที่น่าสนใจเพิ่มเติมตามรายการดังนี้

TTP ที่น่าสนใจหลังที่ผู้โจมตีประสบความสำเร็จในการเข้าถึงระบบได้แล้ว (Post-compromise) ประกอบด้วย 3 องค์ประกอบหลักด้วยกัน คือการโจมตีระบบสำหรับยืนยันตัวตนแบบ Federation service, การสร้างข้อมูลสำหรับยืนยันตัวตนใหม่เพื่อใช้ในการทำ Lateral movement และการฝังตัวในระบบคลาวด์ผ่านการเข้าถึง API ด้วยข้อมูลสำหรับยืนยันตัวตนที่ได้จากขั้นตอนก่อนหน้า

กระบวนการ Privilege escalation ของผู้โจมตีจะมีการใช้ฟีเจอร์ WMI กับเซอร์วิส Microsoft Active Directory Federated Services เพื่อสร้างโทเคนสำหรับการยืนยันตัวตนและทำการรับรอง โทเคนสำหรับการยืนยันตัวตนดังกล่าวจะถูกใช้เพื่อเข้าถึงระบบบนคลาวด์ของไมโครซอฟต์ที่เป้าหมายใช้งาน

CISA ยังพบพฤติกรรมของผู้โจมตีที่ไม่ได้ทำการเข้าถึงระบบเป้าหมายผ่านทาง SUNBURST แต่มีการใช้เทคนิคในการคาดเดารหัสทั้งแบบ Bruteforcing, แบบ Spraying และการโจมตีระบบสำหรับจัดการระบบที่ไม่ปลอดภัยด้วย

ในส่วนของคำแนะนำเพื่อตรวจจับและระบุหาพฤติกรรมตามที่ CISA ได้แจ้งเตือนนั้น เราขอสรุปประเด็นสำคัญตามคำแนะนำให้ดังนี้

การระบุหาความผิดปกติในระบบ Microsoft 365 สามารถใช้เครื่องมือซึ่ง Sparrow (https://github.

นักวิจัยค้นพบบัญชีผู้ใช้ลับในอุปกรณ์ไฟร์วอลล์ Zyxel ซึ่งจะทำให้องค์กรต่างๆ ตกอยู่ในความเสี่ยง

นักวิจัยด้านความปลอดภัยจาก Eye Control ได้พบบัญชีผู้ใช้ลับบนอุปกรณ์ไฟร์วอลล์ Zyxel ซึ่งจะทำให้อุปกรณ์ไฟร์วอลล์ Zyxel มากกว่า 100,000 รายการ, VPN gateway และ Access point controller ตกอยู่ในความเสี่ยงเนื่องจากบัญชีผู้ใช้ลับที่ถูกค้นพบ

นักวิจัยกล่าวว่าพวกเขาได้ค้นพบบัญชีผู้ใช้ลับและถูกติดตามด้วยรหัส CVE-2020-29583 ซึ่งมีบัญชีผู้ใช้คือ "zyfwp" และรหัสผ่าน "PrOw!aN_fXp" โดยบัญชีผู้ใช้ดังกล่าวจะสามารถทำให้ผู้ประสงค์ร้ายสามารถเข้าถึงระบบ Root และยังสามารถทำการติดตั้งการอัปเดตเฟิร์มแวร์บนอุปกรณ์ Zyxel อื่นๆ ที่เชื่อมต่อกันผ่าน FTP ได้

นักวิจัยกล่าวอีกว่าบัญชีผู้ใช้ลับที่ถูกค้นพบนั้นจะส่งผลกระทบกับอุปกรณ์ Zyxel เป็นจำนวนมากและถูกติดตั้งในในเครือข่ายองค์กร, เอกชนและภาครัฐ สำหรับรุ่นที่ได้รับผลกระทบมีดังนี้

ซีรีส์ Advanced Threat Protection (ATP) - ถูกใช้เป็นไฟร์วอลล์เป็นหลัก
ชุด Unified Security Gateway (USG) - ถูกใช้เป็นไฮบริดไฟร์วอลล์และ VPN เกตเวย์
USG FLEX series - ถูกใช้เป็นไฮบริดไฟร์วอลล์และ VPN เกตเวย์
ซีรีส์ VPN - ถูกใช้เป็น VPN เกตเวย์
ซีรีส์ NXC - ถูกใช้เป็นตัวควบคุมจุดเชื่อมต่อ WLAN

ทั้งนี้ผู้ดูแลระบบควรทำการอัปเดตแพตช์เป็นการด่วน โดยในขณะนี้แพตช์มีให้บริการจะมีเฉพาะสำหรับซีรีส์ ATP, USG, USG Flex และ VPN สำหรับแพทช์ชุด NXC ที่คาดว่าจะมีการอัปเดตในเดือนเมษายน 2021 ตามคำแนะนำความปลอดภัยจาก Zyxel

ที่มา : zdnet | zyxel

สำนักงานความมั่นคงปลอดภัยไซเบอร์และโครงสร้างพื้นฐาน (CISA) ของสหรัฐอเมริกาออกคำเตือนถึงการเพิ่มขึ้นของการโจมตีด้วยมัลแวร์ Emotet
Emotet เป็นโทรจันที่มีความซับซ้อนซึ่งโดยทั่วไปจะทำหน้าที่เป็นตัวดาวน์โหลดหรือ dropper มัลแวร์อื่น ๆ โดยส่วนใหญ่มัลแวร์ดังกล่าวจะแพร่กระจายผ่านไฟล์แนบทางอีเมลที่เป็นอันตรายและพยายามแพร่กระจายภายในเครือข่ายโดยการ Brute Force ข้อมูลประจำตัวของผู้ใช้และการ shared drives หากโจมตีสำเร็จผู้โจมตีสามารถเข้าถึงข้อมูลสำคัญของผู้ใช้งานได้

CISA แนะนำผู้ใช้งานและผู้ดูแลระบบปฏิบัติตาม best practice ต่อไปนี้เพื่อป้องกัน

บล็อกไฟล์อันตรายที่ถูกแนบมากับอีเมล (เช่น ไฟล์ .dll และ .exe)
บล็อกไฟล์แนบอีเมลที่ไม่สามารถสแกนได้โดยซอฟต์แวร์ป้องกันไวรัส (เช่นไฟล์. zip)
แนะนำให้ทำการตั้งค่า Group Policy Object และ Firewall rule
แนะนำให้ติดตั้งโปรแกรมป้องกันไวรัสและทำการแพทช์อย่างสม่ำเสมอ
ติดตั้งตัวกรองที่เกตเวย์อีเมลและบล็อก IP ที่น่าสงสัยที่ไฟร์วอลล์
ยึดตามหลักการของ least privilege
ตั้งค่า Domain-Based Message Authentication, Reporting & Conformance (DMARC)
จัดการแบ่งโซนเน็ตเวิร์ค
จำกัดสิทธิการเข้าถึงที่ไม่จำเป็น

CISA แนะนำให้ผู้ใช้และผู้ดูแลระบบตรวจสอบแหล่งข้อมูลต่อไปนี้สำหรับข้อมูลเกี่ยวกับการป้องกัน Emotet และมัลแวร์อื่น ๆ

CISA Alert Emotet Malware https://www.

POC ของช่องโหว่ CVE-2019-19781 ใน Citrix ADC (NetScaler) ถูกเผยแพร่แล้ว

ในช่วงปลายเดือนธันวาคม 2019 มีรายงานการพบช่องโหว่ CVE-2019-19781 ใน Citrix ADC (NetScaler) ซึ่งในเวลาต่อมาไม่นานนักวิจัยด้านความปลอดภัยพบการแสกนจำนวนมากเพื่อค้นหาเครื่องที่มีช่องโหว่ ซึ่งในวันที่ 11 มกราคม 2020 มีการปล่อยโค้ดสำหรับโจมตีช่องโหว่ CVE-2019-19781 ออกมาแล้ว

CVE-2019-19781 ถูกจัดความรุนแรงอยู่ในระดับ Critical และอาจส่งผลให้ผู้โจมตีสามารถรันคำสั่งที่เป็นอันตรายผ่าน Directory Traversal หากทำการโจมตีได้สำเร็จ ซึ่งในขณะนี้ยังไม่มีแพตช์ Citrix ได้ให้คำแนะนำเกี่ยวกับวิธีตั้งค่าเพื่อป้องกันไว้ที่ https://support.

แจ้งเตือนการค้นพบช่องโหว่ใหม่ในเครือข่าย 3G, 4G และ 5G อาจส่งผลให้ดักฟังการสื่อสารได้

ทีมนักวิจัยจาก ETH Zurich ได้มีการเผยแพร่งานวิจัยใหม่ภายใต้ชื่อ "New Privacy Threat on 3G, 4G, and Upcoming 5G AKA Protocols" ซึ่งมีการให้รายละเอียดถึงช่องโหว่ใหม่ในตัวโปรโตคอลซึ่งอาจส่งผลกระทบต่อความเป็นส่วนตัวของผู้ใช้งานได้

ช่องโหว่ดังกล่าวนั้นส่งผลกระทบต่อกระบวนการ Authentication and Key Agreement หรือ AKA ซึ่งทำหน้าที่ในการพิสูจน์ตัวตนระหว่างผู้ใช้งาน แลกเปลี่ยนกุญแจเข้ารหัสและเข้ารหัสการสื่อสาร

ช่องโหว่ในครั้งนี้นั้นแตกต่างจากช่องโหว่ที่มีอยู่เดิมและถูกโจมตีด้วยอุปกรณ์ IMSI-catcher เพื่อหาตำแหน่งและสอดแนม โดยทำให้ผู้โจมตีสามารถสะกดรอยการใช้งานของผู้ใช้ได้แม้ว่าผู้ใช้งานจะอยู่หาก base station ปลอมที่ผู้โจมตีสร้างขึ้นเพื่อโจมตี

ในขณะนี้การค้นพบดังกล่าวได้ถูกตรวจสอบโดยกลุ่มของผู้ออกแบบโปรโตคอล 3GPP และ GSMA แล้วเพื่อแก้ไข โดยคาดว่าการแก้ไขตัวโปรโตคอลควรจะดำเนินการให้เสร็จก่อนการติดตั้ง 5G ในเฟสต่อไปที่จะเกิดขึ้นในช่วงปลายปี 2019

ที่มา : www.

พบมัลแวร์ใหม่ที่ปลอมตัวเป็นโปรแกรม Google Update เพื่อขโมยข้อมูล และติดตั้งมัลแวร์เพิ่มเติม

นักวิจัยด้านความปลอดภัยจาก Minerva Labs ตรวจพบมีการขโมยข้อมูลโดยใช้โทรจัน AZORult ซึ่งโทรจันดังกล่าวจะทำการปลอมตัวเป็นโปรแกรม Google Update เมื่อติดตั้งบนเครื่องเหยื่อแล้ว มัลแวร์จะแทนที่การทำงานของ Google Update ตัวจริง

โปรแกรมดังกล่าวถูกพัฒนาให้มีรูปแบบที่เหมือนกับโปรแกรมที่ถูกต้องของ Google เช่นมีการใช้ไอคอนของ Google และมีการรับรอง (signed) ด้วยใบรับรอง (certificate) ที่ยังไม่หมดอายุ แต่จากการตรวจสอบเพิ่มเติมอย่างละเอียดพบว่า ใบรับรอง (certificate) ดังกล่าวออกให้กับ "Singh Agile Content Design Limited" แทนที่จะเป็นการออกให้กับ "Google" โดยออกเมื่อวันที่ 19 พฤศจิกายน

หลังจากการวิเคราะห์อย่างละเอียดพบว่ามัลแวร์ AZORult มีรูปแบบการทำงาน ดังต่อไปนี้

- ส่งคำขอ HTTP POST ไปที่ /index.

เซิร์ฟเวอร์ดาวน์โหลดไลบรารีภาษา PHP หรือ PHP Extension and Application Repository (PEAR) ประกาศปิดเว็บไซต์ไม่มีกำหนดเพราะถูก Hack

go-pear.

กระทรวงความมั่นคงแห่งมาตุภูมิของสหรัฐอเมริกา (DHS) ได้ประกาศ "คำสั่งฉุกเฉิน" ซึ่งมีรายละเอียดและคำแนะนำเกี่ยวกับเหตุการณ์ DNS hijacking จากอิหร่าน

คำสั่งฉุกเฉินสั่งให้หน่วยงานของรัฐตรวจสอบ DNS records ว่ามีการแก้ไขที่ไม่ได้รับอนุญาตหรือไม่ สั่งให้เปลี่ยนรหัสผ่านและเปิดใช้งานการตรวจสอบความถูกต้องหลายปัจจัย (multi-factor authentication) สำหรับบัญชีทั้งหมดที่สามารถจัดการ DNS records ได้ นอกจากนี้เอกสารของ DHS ยังเรียกร้องให้บุคลากรด้านไอทีของรัฐบาลตรวจสอบใบรับรอง Certificate Transparency (CT) ด้วย

รายงานระบุรายละเอียดเกี่ยวกับแคมเปญที่มีการประสานงานกันระหว่างกลุ่มที่หน่วยสืบราชการลับทางไซเบอร์เชื่อว่าเป็นการดำเนินการนอกอิหร่าน มีจัดการ DNS records สำหรับโดเมนของบริษัทเอกชนและหน่วยงานรัฐบาล โดยวัตถุประสงค์ของ DNS hijacks เพื่อเปลี่ยนเส้นทางการรับส่งข้อมูลทางเว็บของบริษัท และเซิร์ฟเวอร์อีเมลของหน่วยงานไปสู่เซิร์ฟเวอร์ที่เป็นอันตราย ซึ่งแฮกเกอร์ชาวอิหร่านจะทำการรวบรวมรายละเอียดการเข้าสู่ระบบของเหยื่อ

ตอนนี้เจ้าหน้าที่ DHS ต้องการทราบผลกระทบของเหตุการณ์นี้ในทุกหน่วยงานรัฐบาลของสหรัฐอเมริกาและให้หน่วยงานจัดทำแผนปฏิบัติการสี่ขั้นตอนที่มีรายละเอียดในเอกสารคำสั่ง

ที่มา: www.

Phobos ปรากฏตัวครั้งแรกในเดือนธันวาคมที่ผ่านมา โดยนักวิจัยที่ CoveWare ได้ให้รายละเอียดว่า ransomware ตัวนี้จะมีหลักการทำงานคล้ายคลึงกับ Dharma ransomware โดยมีเป้าหมายการโจมตีคือธุรกิจต่างๆทั่วโลก โดยการโจมตีแบบ Phobos ransomware คืออาชญากรไซเบอร์จะใช้ประโยชน์จาก RDP Port ที่เปิดเอาไว้และมีความปลอดภัยต่ำ ทำให้ถูกผู้ไม่ประสงค์ดีแอบเข้าไปในเครือข่ายได้และทำการโจมตีโดยการเข้ารหัสไฟล์และทำการเรียกค่าไถ่ โดยอ้างว่าถ้าเหยือจ่ายเป็น bitcoin ถึงจะทำการคืนไฟล์ที่ถูกเข้ารหัสให้ Phobos ransomware จะทำให้ไฟล์ในเครื่องของเหยือถูกล็อคด้วยนามสกุลไฟล์ .PHOBOS และเพิ่มไฟล์ Phobos.

Joomla 3.9.2 มีการแก้ไขช่องโหว่ด้านความปลอดภัย 4 รายการ และมีการแก้ไขข้อผิดพลาด พร้อมทั้งปรับปรุงมากกว่า 50 รายการ
• Low Priority - XSS ใน mod_banners (ส่งผลกระทบต่อ Joomla 2.5.0 ถึง 3.9.1)
• Low Priority - XSS ใน com_contact (ส่งผลกระทบต่อ Joomla 2.5.0 ถึง 3.9.1)
• Low Priority - XSS ใน Global Configuration textfilter (ส่งผลกระทบต่อ Joomla 2.5.0 ถึง 3.9.1)
• Low Priority - XSS Global Configuration URL (ส่งผลกระทบต่อ Joomla 2.5.0 ถึง 3.9.1)

แก้ไขข้อผิดพลาดและการปรับปรุง
• แก้ไข states ใน com_finder, com_banners, com_messages, com_users โน้ต
• ลบ Caching field ใน languages, syndicate, random image, and login modules
• เพิ่มเติมความสามารถของ Editors API
• ใน Menu Item Alias เปลี่ยนให้ redirection เป็น optional
• ปรับให้ชื่อไฟล์เหมาะสมต่อการใช้งานแบบ drag and drop ใน com_media
• ปรับปรุงส่วนของ Code cleanup และ namespace

ที่มา: www.