SolarWinds แก้ไขช่องโหว่ระดับ Critical 8 รายการในซอฟต์แวร์ Access Rights Manager (ARM)

SolarWinds แก้ไขช่องโหว่ระดับ Critical 8 รายการในซอฟต์แวร์ Access Rights Manager (ARM)

SolarWinds ได้ทำการแก้ไขช่องโหว่ระดับ Critical 8 รายการในซอฟต์แวร์ Access Rights Manager (ARM) โดยที่ 6 จาก 8 ช่องโหว่ทำให้ผู้โจมตีสามารถเรียกใช้โค้ดที่เป็นอันตรายจากระยะไกล (RCE) บนอุปกรณ์ของเป้าหมายได้

(more…)

ความเชี่ยวชาญด้าน Cloud Security, PowerShell กำลังจะกลายเป็นทักษะสำคัญของนักวิเคราะห์ความปลอดภัยทางไซเบอร์

ความเชี่ยวชาญด้าน Cloud Security, PowerShell กำลังจะกลายเป็นทักษะสำคัญของนักวิเคราะห์ความปลอดภัยทางไซเบอร์

นักวิเคราะห์ความปลอดภัยทางไซเบอร์ควรจะมีทักษะในหลาย ๆ ด้าน เช่น ทักษะการรับมือ และตอบสนองต่อภัยคุกคามทางไซเบอร์ (Incident handling and response), ทักษะการตรวจจับภัยคุกคามเชิงรุก (Threat hunting), ทักษะการจัดเก็บรวบรวม และวิเคราะห์หลักฐานทางดิจิตอล (Digital forensics), ทักษะการใช้งานภาษาคอมพิวเตอร์ทั้ง Python และ Bash scripting

(more…)

ช่องโหว่ใน Cisco SSM On-Prem ทำให้ Hacker สามารถเปลี่ยนรหัสผ่านของผู้ใช้ได้

ช่องโหว่ใน Cisco SSM On-Prem ทำให้ Hacker สามารถเปลี่ยนรหัสผ่านของผู้ใช้ได้

Cisco ออกแพตซ์แก้ไขช่องโหว่ระดับ Critical ซึ่งทำให้ Hacker สามารถเปลี่ยนรหัสผ่านของผู้ใช้บน Cisco Smart Software Manager On-Prem (Cisco SSM On-Prem) license servers ที่มีช่องโหว่ รวมถึงรหัสผ่านของผู้ดูแลระบบ

(more…)

กลุ่มแฮ็กเกอร์ CRYSTALRAY โจมตีเหยื่อกว่า 1,500 รายโดยใช้ Network Mapping Tool

กลุ่มแฮ็กเกอร์ CRYSTALRAY โจมตีเหยื่อกว่า 1,500 รายโดยใช้ Network Mapping Tool

กลุ่มแฮ็กเกอร์ที่เคยถูกพบว่าใช้ network mapping tool แบบ open-source ได้ขยายการโจมตีจนมีผู้ตกเป็นเหยื่อมากกว่า 1,500 ราย

(more…)

AT&T ยืนยันเหตุการณ์ข้อมูลรั่วไหลที่ส่งผลกระทบต่อลูกค้าบริการไร้สายเกือบทั้งหมด

AT&T ยืนยันเหตุการณ์ข้อมูลรั่วไหลที่ส่งผลกระทบต่อลูกค้าบริการไร้สายเกือบทั้งหมด

ผู้ให้บริการโทรคมนาคมของอเมริกา AT&T ยืนยันว่ากลุ่มแฮ็กเกอร์สามารถเข้าถึงข้อมูลของลูกค้าที่ใช้เครือข่ายแบบไร้สายได้เกือบทั้งหมดของบริษัท รวมถึงลูกค้าของผู้ให้บริการ mobile virtual network operators (MVNO) ที่ใช้เครือข่ายไร้สายของ AT&T

(more…)

รายงานการวิเคราะห์ Jellyfish Loader ตัวใหม่

รายงานการวิเคราะห์ Jellyfish Loader ตัวใหม่

นักวิจัยจาก CRIL พบไฟล์ ZIP ที่ถูกอัปโหลดมาจากประเทศโปแลนด์ โดยภายในไฟล์นี้มีไฟล์ Windows shortcut (.lnk) ซึ่งเมื่อเรียกใช้งานไฟล์ .lnk จะเปิดไฟล์ PDF ที่ไม่มีอะไรผิดปกติ จากนั้นจะดาวน์โหลด และเรียกใช้งาน shellcode loader ตัวใหม่ที่สร้างด้วย .NET ชื่อว่า JellyfishLoader

(more…)

กลุ่มอาชญากรทางไซเบอร์ส่งมอบเครื่องมือถอดรหัสแรนซัมแวร์ (Ransomware Decryptor) แก่ศูนย์ข้อมูลแห่งชาติอินโดนีเซียโดยไม่คิดค่าใช้จ่าย แต่ขอเป็นการบริจาคแทน

กลุ่มอาชญากรทางไซเบอร์ที่ได้โจมตีระบบของศูนย์ข้อมูลแห่งชาติอินโดนีเซียในเดือนมิถุนายน สร้างผลกระทบต่อหลายร้อยบริการของรัฐบาล ได้ส่งมอบเครื่องมือถอดรหัสให้โดยไม่คิดค่าใช้จ่าย รวมทั้งระบุถึงคำขอโทษต่อเหตุการณ์ดังกล่าว แต่มีการแนบลิ้งสำหรับการบริจาค เพื่อให้ประชาชน และรัฐบาลสามารถแสดงความขอบคุณต่อความมีน้ำใจของทางกลุ่มได้

“Brain Cipher” เป็นกลุ่มก่ออาชญากรรมทางไซเบอร์ค่อนข้างใหม่ที่ใช้งาน LockBit 3.0 ในเวอร์ชันของกลุ่มเอง โดยสร้าง และดัดแปลงจากเวอร์ชันที่ถูกปล่อยออกมาจากผู้พัฒนาเก่าของทาง LockBit ในปี 2023 ซึ่งถูกนำมาใช้เรียกค่าไถ่กว่า $8 ล้านเหรียญจากประเทศอินโดนีเซีย ก่อนจะเปลี่ยนเป็นการรับบริจาคในครั้งนี้

ศูนย์ข้อมูลแห่งชาติกำลังกลับมาให้บริการอย่างช้า ๆ

ประเทศอินโดนีเซียมีศูนย์ข้อมูลแห่งชาติกว่า 4 แห่ง ซึ่งมีการบริหารจัดการภายใต้มาตรฐานความปลอดภัยสูงสุดของประเทศ และเป็นแหล่งข้อมูลที่เปรียบเสมือนกระดูกสันหลังของการดำเนินงานของรัฐบาลเลยทีเดียว โดยเหตุการณ์ที่เกิดขึ้นคือทางกลุ่มแฮ็กเกอร์ได้เข้าโจมตีศูนย์ข้อมูลแห่งชาติแห่งใหม่ (ชั่วคราว) ซึ่งกำลังดำเนินการก่อสร้างตามมาตรฐานความปลอดภัยสูงสุดของประเทศ พร้อมทั้งติดตั้งแรนซัมแวร์ที่ทำให้ส่งผลกระทบเป็นวงกว้าง ซึ่งกลุ่มผู้ที่ได้รับผลกระทบอย่างรุนแรงทันทีนั้นคือกลุ่มนักท่องเที่ยว กลุ่มผู้สมัครเป็นผู้อพยพ อันเนื่องมาจากระบบของทางสนามบินได้ล่มลงไป แต่ความเสียหายที่เกิดขึ้นไม่ได้เกิดเพียงแค่กับ 2 กลุ่มนี้เท่านั้น ยังส่งผลกระทบไปทุกด้าน ตั้งแต่การอนุญาตด้านการศึกษาไปจนถึงการอนุญาตทางธุรกิจ ซึ่งทั้งหมดนี้คาดว่าต้องใช้เวลาในการกู้ระบบคืนตั้งแต่หลายสัปดาห์ไปจนถึงหลายเดือน

ในวันที่ 4 กรกฎาคม 2024 ที่ผ่านมา กระทรวงการคมนาคม และสารสนเทศ (Ministry of Communications and Informatics - Kominfo) ได้ออกมายืนยันว่าได้รับชุดเครื่องมือถอดรหัสจาก Brain Cipher แล้ว ซึ่งถูกใช้ในการกู้คืน 6 ชุดข้อมูลที่ได้รับผลกระทบของศูนย์ข้อมูลแห่งชาติแล้ว อย่างไรก็ตาม ยังไม่มีประกาศอย่างเป็นทางการว่าชุดเครื่องมือถอดรหัสจะสามารถใช้งานกับระบบ และข้อมูลที่ได้รับผลกระทบได้ทั้งหมด และเป็นที่แน่นอนว่าต้องใช้เวลาในการกู้คืนระบบ และข้อมูลหลายสัปดาห์ กว่า 230 หน่วยงานของรัฐจะสามารถให้บริการได้อย่างเต็มรูปแบบอีกครั้ง ถึงแม้ว่าชุดเครื่องมือจะสามารถใช้งานได้กับทุกระบบ และข้อมูลก็ตาม

Brain Cipher ได้ส่งมอบชุดเครื่องมือถอดรหัสให้ในวันที่ 3 กรกฎาคม 2024 แต่ในโพสต์บน Dark web ยังมีรายละเอียดระบุคำเตือนถึงข้อกำหนด และเงื่อนไขถึง Kominfo ว่าให้รัฐบาลใช้ชุดเครื่องมือในการกู้คืนข้อมูลเพียงเท่านั้น ห้ามขอความช่วยเหลือจากหน่วยงานภายนอก มิเช่นนั้นจะดำเนินการเปิดเผยข้อมูลที่นำออกมาได้แก่สาธารณะ และยังระบุเพิ่มเติมว่านี่จะเป็นครั้งแรก และครั้งสุดท้าย ในการที่กลุ่มนี้จะมอบชุดเครื่องมือถอดรหัสให้โดยไม่มีค่าใช้จ่ายแก่เหยื่อ และยังอวดอ้างถึงความมีน้ำใจของทางกลุ่ม และเชิญชวนให้ทำการบริจาคคริปโตแก่ทางกลุ่ม เพื่อแสดงถึงคำขอบคุณที่ทางกลุ่มมอบชุดเครื่องมือให้

จากเหตุกาณ์ดังกล่าว ยังไม่มีเหตุผลที่ชัดเจนว่าทำไมทางกลุ่มก่ออาชญากรรมทางไซเบอร์ถึงมอบชุดเครื่องมือถอดรหัสให้ เนื่องจากก่อนหน้านี้ทาง Kominfo ไม่ได้มีการติดต่อกับกลุ่ม Brain Cipher เลย ซึ่งเป็นไปได้ว่าเกิดจากการยืนยันปฏิเสธการจ่ายเงินให้แก่กลุ่มแฮ็กเกอร์ และทางกลุ่มแฮ็กเกอร์ก็มองว่าเป็นอีกช่องทางในการหาชื่อเสียงของทางกลุ่มได้พร้อม ๆ กันกับหลีกเลี่ยงกลไกของหน่วยงานบังคับใช้กฏหมายระหว่างประเทศได้ ซึ่งเป็นสาเหตุของการล่มสลายในหลายกลุ่มแรนซัมแวร์ใหญ่ ๆ ในช่วงไม่กี่ปีที่ผ่านมา

รัฐมนตรีช่วยด้านการเมือง กฏหมาย และความมั่นคงของอินโดนีเซีย (Purn) Hadi Tjahjanto ได้ออกแถลงการณ์เมื่อวันที่ 1 กรกฎาคม 2024 ระบุว่าศูนย์ข้อมูลแห่งชาติถูกยึดไปเนื่องจากพนักงานใช้งานรหัสผ่านร่วมกัน และพนักงานคนดังกล่าวคาดว่าจะตกเป็นเป้าหมายในการดำเนินคดีอีกด้วย และจากเหตุการณ์ความเสียหายดังกล่าวได้นำไปสู่การบังคับใช้ระเบียบตามมาตรฐานความมั่นคงแห่งชาติที่เข้มงวดมากยิ่งขึ้นโดยทันที ซึ่งรวมไปถึงการใช้งานระบบเฝ้าระวัง และติดตามความปลอดภัยทางไซเบอร์ของพนักงานรัฐทั้งหมด โดยใช้งานระบบ PDN ที่ได้รับผลกระทบชั่วคราว และขยายระบบสำหรับสำรองข้อมูลของรัฐบาลให้ใหญ่ยิ่งขึ้น ทั้งนี้อธิบดีกรมสารสนเทศประยุกต์ “Samuel Abrijani Pangerapan” ได้ลาออกจากตำแหน่งภายหลังการโจมตีศูนย์ข้อมูลแห่งชาติแล้ว

ระยะเวลาใช้งานชุดเครื่องมือถอดรหัสแรนซัมแวร์ อาจต้องใช้เวลานานพอสมควรเนื่องจากต้องยกระดับความปลอดภัยขององกรค์ไปพร้อม ๆ กันด้วย

เหตุการณ์ความเสียหายที่เกิดขึ้นครั้งนี้ ได้กระตุ้นให้เกิดการทบทวนด้านความมั่นคงปลอดภัยทางไซเบอร์ระดับชาติ ซึ่งนำไปสู่การวิพากษ์วิจารณ์ถึงความหละหลวมมากเกินไปของการดูแลระบบมาระยะหนึ่งแล้ว และประกอบกับอินโดนีเซียได้พบการโจมตีที่เพิ่มขึ้นกว่า 30 ล้านครั้งในช่วงไม่กี่ปีที่ผ่านมา โดยส่วนใหญ่เกิดจาก Phishing หรือการพยายามขโมยข้อมูล credentials ต่าง ๆ ซึ่งผู้ดำรงตำแหน่งทางการเมืองก็ได้รับการวิพากษ์วิจารณ์ในส่วนของการคัดเลือกนักการเมืองที่ไม่มีประสบการณ์ด้าน IT มาทำหน้าที่ พร้อมทั้งความเข้าใจที่ล้าสมัยถึงความอันตรายของการโจรกรรมข้อมูล และอินโดนีเซียยังต้องประสบปัญหาในการสำรองข้อมูลที่ไม่เพียงพอ เนื่องจากไม่มีกฏหมายบังคับหน่วยงานของรัฐให้ดำเนินการเตรียมพร้อมรับมือตามมาตรฐานความปลอดภัยทางไซเบอร์

Brain Cipher ได้เริ่มปฏิบัติการมาตั้งแต่มิถุนายน และการโจมตีศูนย์ข้อมูลแห่งชาตินี้ถือเป็นก้าวสำคัญที่สำเร็จของกลุ่มเลยก็ว่าได้ โดยทางกลุ่มพยายามสร้างชื่อเสียงด้วยการส่งมอบชุดเครื่องมือถอดรหัสให้เหยื่อไปโดยไม่คิดค่าใช้จ่าย เนื่องจากกลุ่มแรนซัมแวร์รายใหญ่ ที่รวมไปถึง LockBit เองด้วย กำลังตกเป็นเป้าหมายหลักของหน่วยงานผู้บังคับใช้กฏหมาย ซึ่งปัจจุบันยังไม่มีข้อมูลเกี่ยวกับกลุ่มนี้มากนัก แต่ดูเหมือนว่าจะมีข้อกำหนด และเงื่อนไขไม่ให้เหยื่อขอความช่วยเหลือจากตำรวจ และนำผู้เจรจาบุคคลที่สามเข้ามามีส่วนร่วม

ที่มา : Cpomagazine

Microsoft ออกอัปเดต Patch Tuesday ประจำเดือนกรกฎาคม 2024 แก้ไขช่องโหว่ 142 รายการ เป็น Zero-Days 4 รายการ

Microsoft ออกอัปเดต Patch Tuesday ประจำเดือนกรกฎาคม 2024 แก้ไขช่องโหว่ 142 รายการ เป็น Zero-Days 4 รายการ

Microsoft ออกอัปเดต Patch Tuesday ประจำเดือนกรกฎาคม 2024 โดยได้แก้ไขช่องโหว่ 142 รายการ รวมถึงช่องโหว่ Zero-Days ที่กำลังถูกใช้ในการโจมตี 2 รายการ และพึ่งเปิดเผย 2 รายการ
โดย Patch Tuesday ประจำเดือนกรกฎาคม 2024 มีช่องโหว่ระดับ Critical 5 รายการ

(more…)

Fujitsu ยืนยันข้อมูลลูกค้ารั่วไหลในเหตุการณ์การโจมตีทางไซเบอร์ช่วงเดือนมีนาคม

Fujitsu ยืนยันว่าข้อมูลที่เกี่ยวข้องกับบุคคล และธุรกิจของลูกค้าบางรายรั่วไหลในเหตุการณ์การโจมตีทางไซเบอร์ที่ตรวจพบเมื่อต้นปีนี้

บริษัท Fujitsu ระบุว่า การโจมตีไม่ได้เกี่ยวข้องกับแรนซัมแวร์ แต่มีการใช้วิธีการที่ซับซ้อนเพื่อหลีกเลี่ยงการตรวจจับในขณะที่ขโมยข้อมูลออกไป

โดยในช่วงเดือนมีนาคม บริษัทพบว่าระบบของบริษัทหลายระบบติดมัลแวร์ และสังเกตเห็นความเป็นไปได้ที่ข้อมูลที่มีความสำคัญของลูกค้าอาจถูก compromised

Fujitsu ได้แยกคอมพิวเตอร์ที่ได้รับผลกระทบ และเริ่มการสืบสวนโดยได้รับความช่วยเหลือจากผู้เชี่ยวชาญภายนอกเพื่อกำหนดขอบเขตของการรั่วไหล

ผลการตรวจสอบ

ในแถลงการณ์วันนี้ บริษัทระบุว่าได้สรุปการสืบสวนเหตุการณ์ และยืนยันว่าข้อมูลถูกขโมยออกไปโดยมัลแวร์ที่แพร่กระจายจากจุดเริ่มต้นเพียงจุดเดียวไปยังคอมพิวเตอร์ 49 เครื่อง

บริษัทอธิบายเพิ่มเติมว่า "หลังจากมัลแวร์ถูกติดตั้งบนคอมพิวเตอร์เครื่องหนึ่งของบริษัท ถูกพบว่ามันแพร่กระจายไปยังคอมพิวเตอร์เครื่องอื่น ๆ"

"มัลแวร์นี้ไม่ใช่แรนซัมแวร์ แต่ใช้เทคนิคที่ซับซ้อนในการปลอมตัวทำให้ยากต่อการตรวจจับ ซึ่งเกิดจากการโจมตีขั้นสูง"

Fujitsu ระบุว่าคอมพิวเตอร์ที่ติดมัลแวร์ทั้ง 49 เครื่องถูกแยกออกจากระบบอื่น ๆ ทันทีหลังจากพบการโจมตี และมัลแวร์ถูกจำกัดอยู่ในสภาพแวดล้อมเครือข่ายบริษัทในญี่ปุ่นเท่านั้น

บริษัทระบุว่า "คำสั่งในการคัดลอกไฟล์ถูกดำเนินการจากพฤติกรรมของมัลแวร์" ด้วยเหตุนี้ Fujitsu จึงระบุว่ามีความเป็นไปได้ที่ข้อมูลอาจถูกขโมยออกไป "ไฟล์ที่สามารถคัดลอกได้มีข้อมูลส่วนบุคคล และข้อมูลที่เกี่ยวข้องกับธุรกิจของลูกค้า"

Fujitsu อธิบายเพิ่มเติมว่ายังไม่ได้รับรายงานว่าข้อมูลที่ถูก compromised ถูกนำไปใช้ในทางที่ผิด หลังจากการวิเคราะห์มัลแวร์ และเหตุการณ์ Fujitsu ได้ใช้มาตรการการตรวจสอบด้านความปลอดภัยสำหรับคอมพิวเตอร์ทั้งหมดในบริษัท และอัปเดตโซลูชันตรวจจับมัลแวร์เพื่อป้องกันการโจมตีที่คล้ายกัน

ที่มา: bleepingcomputer

Zenbleed: ช่องโหว่ใหม่ในโปรเซสเซอร์ AMD Zen 2 ทำให้ Encryption Keys และรหัสผ่านมีความเสี่ยงข้อมูลรั่วไหล

พบช่องโหว่ด้านความปลอดภัยใหม่ในโปรเซสเซอร์ที่ใช้สถาปัตยกรรม Zen 2 ของ AMD ซึ่งอาจถูกใช้ในการโจมตีเพื่อดึงข้อมูลที่สำคัญ เช่น Keys การเข้ารหัส และรหัสผ่าน

ช่องโหว่นี้ถูกพบโดยนักวิจัยจาก Google Project Zero ชื่อ 'Tavis Ormandy' และถูกเรียกว่า 'Zenbleed' โดยมีหมายเลข CVE-2023-20593 (CVSS: 6.5) ที่ทำให้สามารถดึงข้อมูลออกมาได้ที่อัตรา 30 kb ต่อ core ต่อวินาที

ช่องโหว่นี้เป็นส่วนหนึ่งของช่องโหว่ที่เรียกว่า การโจมตีด้วยการดำเนินการเชิงคาดเดา (speculative execution attacks) ซึ่งเป็นเทคนิคที่ใช้เพิ่มประสิทธิภาพที่ใช้กันอย่างแพร่หลายในหน่วยประมวลผลยุคใหม่ เพื่อเข้าถึง Keys การเข้ารหัสจาก CPU registers

AMD ระบุว่า "ภายใต้สถานการณ์ Microarchitectural การ register ใน CPU Zen 2 อาจเขียนค่า 0 อย่างไม่ถูกต้อง ทำให้ข้อมูลจาก process และ Thread อื่น ๆ ถูกจัดเก็บไว้ใน YMM register ซึ่งอาจทำให้ผู้โจมตีสามารถเข้าถึงข้อมูลที่มีความสำคัญได้"

โดย Cloudflare ตั้งข้อสังเกตว่า การโจมตีสามารถดำเนินการได้จากภายนอกผ่านสคริปต์ JavaScript บนเว็บไซต์ ซึ่งทำให้ไม่จำเป็นต้องมีการเข้าถึงเครื่องคอมพิวเตอร์ หรือเซิร์ฟเวอร์โดยตรง

Derek Chamorro และ Ignat Korchagin นักวิจัยของ Cloudflare ระบุว่า "การดำเนินการแบบ Vectorized สามารถดำเนินการได้อย่างมีประสิทธิภาพอย่างมาก โดยใช้ YMM registers ซึ่งแอปพลิเคชันที่ประมวลผลข้อมูลปริมาณมากจะได้รับประโยชน์จากเทคนิคนี้ แต่ในขณะเดียวกันก็เป็นจุดที่เป็นความเสี่ยงเช่นเดียวกัน"

การโจมตีนี้ดำเนินการโดยการแก้ไขไฟล์รีจิสเตอร์เพื่อบังคับให้คำสั่งคาดการณ์ผิด เนื่องจากไฟล์รีจิสเตอร์ถูกใช้ร่วมกันโดยกระบวนการทั้งหมดที่ทำงานบนคอร์เดียวกัน การโจมตีนี้สามารถใช้ดักฟังข้อมูลในการดำเนินการของระบบพื้นฐานได้ โดยการตรวจสอบข้อมูลที่ถูกส่งต่อระหว่างหน่วยประมวลผล และส่วนอื่น ๆ ของคอมพิวเตอร์

ปัจจุบันยังไม่มีหลักฐานที่แสดงให้เห็นว่าช่องโหว่นี้ถูกนำมาใช้ในการโจมตีจริง แต่แนะนำให้อัปเดต Microcode เพื่อลดความเสี่ยงที่อาจเกิดขึ้น เมื่อมีข้อมูลที่สามารถอัปเดตได้ผ่านทางผู้ผลิตอุปกรณ์ (OEMs)

อ้างอิง : https://thehackernews.