Transaction Reversal Fraud – Global

Diebold ประกาศแจ้งเตือนการโจมตี Jackpotting และมัลแวร์ในเอทีเอ็ม พร้อม Fraud แบบใหม่จาก NCR

Diebold และ NCR บริษัทผู้ผลิตและจัดจำหน่ายระบบเอทีเอ็มและ POS รายใหญ่ออกประกาศด้านความปลอดภัยในระยะเวลาไล่เลี่ยกันเมื่อวานที่ผ่านมา โดยในประกาศของ Diebold นั้นโฟกัสไปที่การโจมตีด้วยวิธีการ Jackpotting และการค้นพบมัลแวร์ในเอทีเอ็ม สว่นประกาศจาก NCR นั้นเน้นไปที่เรื่องของเทคนิคการ Fraud "Transaction Reversal Fraud (TRF)" และวิธีการป้องกัน

Diebold ประกาศหลังจากตรวจพบเพิ่มขึ้นของการโจมตีในรูปแบบ Jackpotting กับระบบเอทีเอ็มซึ่งอยู่ในยุโรปและละตินอเมริกาโดยพุ่งเป้าไปที่ตู้รุ่น Opteva ที่มีการใช้งานตัวจ่ายเงินรุ่น Advacned Function Dispenser (AFD) 1.x ผู้โจมตีอาศัยทั้งการเข้าถึงทางกายภาพและทางซอฟต์แวร์เพื่อข้ามผ่านการตรวจสอบและยืนยันอุปกรณ์ โดยมีจุดมุ่งหมายเพื่อทำให้เกิดการเชื่อมต่อกับอุปกรณ์ภายนอกที่สามารถใช้เพื่อควบคุมระบบของเอทีเอ็มให้สามารถสั่งจ่ายเงินได้ อย่างไรก็ตามการโจมตีส่วนมากที่ตรวจพบนั้นไม่ประสบความสำเร็จด้วยเหตุผลทางด้านเทคนิค Diebold แนะนำให้ผู้ใช้งานทำการอัปเดตซอฟต์แวร์ให้เป็นรุ่นล่าสุดเพื่อป้องกันการโจมตีนี้

ในขณะเดียวกัน Diebold ได้ประกาศการค้นพบมัลแวร์ที่พุ่งเป้าโจมตีระบบเอทีเอ็มภายใต้ชื่อ "Peralta" โดยมัลแวร์ชนิดดังกล่าวนั้นถูกออกแบบมาเพื่อสร้างการโจมตีแบบ Jackpotting โดยใช้ซอฟต์แวร์แทนที่จะเป็นการโจมตีทางกายภาพกับระบบเอทีเอ็ม ในการโจมตีนั้น ผู้โจมตีใช้วิธีการถอดฮาร์ดดิสก์ของเอทีเอ็มที่อยู่บริเวณด้านบนของตู้ออกก่อนจะทำการแก้ไขข้อมูลในฮาร์ดดิสก์เพื่อสอดแทรกมัลแวร์ โดยมัลแวร์จะทำการโจมตีช่องโหว่รหัส MS16-032 ซึ่งมีการแพตช์ไปแล้วเพื่อยกระดับสิทธิ์ด้วยสคริปต์ PowerShell หลังจากนั้นจึงทำการเริ่มการทำงานของส่วนหลักของมัลแวร์ที่จะเริ่มการทำงานโดยอัตโนมัติเมื่อระบบของเอทีเอ็มถูกเปิด และคอยรอรับคำสั่งที่เป็นชุดของการกดแป้นพิมพ์ต่อ

สำหรับประกาศจากทาง NCR นั้น ได้มีการแจ้งเตือนความถีที่เพิ่มขึ้นของรูปแบบการโจมตีที่มีชื่อเรียกว่า Transaction Reversal Fraud (TRF) ซึ่งเป็นการโจมตีเพื่อขโมยเงินจากเอทีเอ็มออกโดยอาศัยการทำให้เกิด "ข้อผิดพลาด" ในกระบวนการถอนเงินที่เกือบสำเร็จ ซึ่งส่งผลให้บริเวณของส่วนจ่ายเงินยังเปิดอยู่และชิงเอาเงินออกมาก่อนที่เงินจะถูกส่งคืนกลับเซฟได้

กระบวนการป้องกันการโจมตีและภัยคุกคามทั้งหมดสามารถตรวจสอบเพิ่มเติมได้จากลิงค์แหล่งที่มาส่วนท้ายบทความ

ที่มา : response

Multiple Vulnerabilities in PHP Could Allow for Arbitrary Code Execution

PHP ประกาศแพตช์ช่องโหว่ด้านความปลอดภัย 7 รายการในรุ่น 7.1.19 และ 7.2.7 วันนี้โดยช่องโหว่ที่ร้ายแรงสูงสุดใน 7 รายการนั้นสามารถทำให้ผู้โจมตีรันโค้ดที่เป็นอันตรายเพื่อโจมตีระบบที่มีช่องโหว่ได้จากระยะไกล ยังไม่พบการใช้ช่องโหว่ดังกล่าวในการโจมตีจริงในตอนนี้
ผู้ใช้งานสามารถทำการอัปเดต PHP เพื่อรับแพตช์ช่องโหว่ด้านความปลอดภัยดังกล่าวได้โดยสำหรับรุ่น 7.2 นั้นให้ผู้ใช้งานอัปเดตไปยังรุ่น 7.2.7 ส่วนในรุ่น 7.1 นั้นให้ผู้ใช้งานอัปเดตไปยังรุ่น 7.1.19 PHP รุ่น 7.2 ก่อนหน้ารุ่น 7.2.7 และ PHP รุ่น 7.1. ก่อนหน้ารุ่น 7.1.19

ที่มา : Center for Internet Security

Every Android Device Since 2012 Impacted by RAMpage Vulnerability

ทีมนักวิจัยนานาชาติได้เปิดเผยว่าอุปกรณ์ Android ที่เปิดตัวตั้งแต่ปี 2012 เกือบทุกเครื่อง เสี่ยงต่อช่องโหว่ในหน่วยความจำตัวใหม่ชื่อว่า "RAMpage"

ย้อนกลับไปก่อนหน้านี้ได้มีการค้นพบช่องโหว่ CVE-2018-9442 เป็นรูปแบบของการโจมตีที่เรียกว่า "Rowhammer" ซึ่งเป็นช่องโหว่ของฮาร์ดแวร์ในการ์ดหน่วยความจำรุ่นใหม่ เมื่อมีคนส่งคำสั่ง write/read เข้าไปยัง memory cell เดียวกันซ้ำๆ จะทำให้เกิดสนามไฟฟ้าที่จะสามารถเปลี่ยนแปลงข้อมูลที่เก็บอยู่ในหน่วยความจำใกล้เคียง และพบว่าสามารถโจมตีโดยใช้ Rowhammer ผ่านทาง JavaScript, GPU card และ network packet ได้

RAMpage เป็นช่องโหว่จำพวกเดียวกับ Rowhammer โดยช่องโหว่นี้สามารถทำลายขอบเขตการป้องกันความปลอดภัยระหว่างแอพพลิเคชั่น และระบบปฏิบัติการที่ได้ออกแบบมาบนอุปกรณ์มือถือ ซึ่งช่วยป้องกันไม่ให้แอพพลิเคชั่นใดๆที่ลงบนอุปกรณ์สามารถอ่านข้อมูลจากแอพพลิเคชั่นอื่นๆที่ลงบนเครื่องได้ แต่แอพพลิเคชั่นที่ถูกดัดแปลงให้ใช้ช่องโหว่นี้ จะสามารถโจมตีเพื่อเพิ่มสิทธิ์ตนเองให้สามารถควบคุมเครื่อง และทำการอ่านข้อมูลสำคัญๆที่ถูกเก็บอยู่บนเครื่องได้ เช่น พาสเวิร์ดที่อยู่ใน password manager หรือบน browser, รูปถ่าย, email, chat และเอกสารสำคัญทางธุรกิจต่างๆที่อยู่บนเครื่อง

โดยความแตกต่างระหว่างช่องโหว่ก่อนหน้านี้(Drammer Rowhammer) และ RAMpage Rowhammer เวอร์ชันใหม่คือ RAMpage มุ่งเป้าหมายไปที่ระบบหน่วยความจำ Android ที่เรียกว่า ION ซึ่งเป็นส่วนหนึ่งของระบบ Android ที่ใช้จัดการหน่วยความจำระหว่างแอพพลิเคชั่นและระบบปฏิบัติการ ทั้งนี้ Google ได้มีการเปิดตัว ION ใน Android 4.0 (Ice Cream Sandwich) ตั้งแต่วันที่ 18 ตุลาคม 2554

ที่มา : BLEEPINGCOMPUTER

‘Tick’ espionage group is likely trying to hop air gaps, researchers say

กลุ่มแฮกเกอร์ที่เรียกตัวเองว่า "Tick" ได้มุ่งเป้าหมายไปที่การโจมตีผ่าน USB drive เพื่อเข้าสู่ระบบที่มีมาตรการรักษาความปลอดภัยเครือข่ายคอมพิวเตอร์ที่แยกตัวจากเครือข่ายที่มีความเสี่ยง หรือที่เรียกว่า Air-Gapped system และสามารถทำงานบนระบบปฏิบัติการ Microsoft Windows XP หรือ Windows Server 2003 ได้

นักวิจัยจาก Palo Alto Networks ค้นพบว่า Malware ที่ถูกใช้ในการโจมตีครั้งนี้ไม่ต้องใช้การเชื่อมต่อเพื่อเข้าถึง Command-and-Control Server ของแฮกเกอร์เพื่อรับคำสั่งเหมือนอย่าง Malware ทั่วๆไปที่เคยถูกใช้โดยแฮกเกอร์กลุ่มนี้มาก่อน แต่กลับใช้วิธีการรันตัวเองจาก USB drive ที่เสียบบนเครื่อง ซึ่งเป็นเทคนิคที่ไม่ค่อยได้พบเห็นบ่อยนัก อย่างไรก็ตามนักวิจัยเองก็ไม่สามารถวิเคราะห์ข้อมูลใดๆเพิ่มเติมมากกว่านี้ได้ หากไม่ได้ทำการวิเคราะห์ USB drive ที่ถูกใช้ และ ไฟล์ต้องสงสัยที่ถูกวางบนเครื่องเหยื่อ

ที่มา : cyberscoop

BrickerBot Dev Claims Cyber-Attack That Affected Over 60,000 Indian Modems

เมื่อช่วงปลายเดือน กรกฎาคม ที่ผ่านมาผู้ใช้บริการ Internet ของ Bharat Sanchar Nigam (BSNL) และ Mahanagar Telephone Nigam Limited (MTNL) จำนวนมากในอินเดียไม่สามารถใช้บริการ Internet ได้ เนื่องจากโมเด็มและเราเตอร์กว่า 60,000 เครื่องถูกโจมตีด้วยมัลแวร์ BrickerBot

BrickerBot เป็นสายพันธุ์มัลแวร์ที่ใช้ในการโจมตีอุปกรณ์ IoT และอุปกรณ์ Network ที่ใช้ Linux โดยโมเด็มที่ติดไวรัสมัลแวร์ BrickerBot เป็นโมเด็มที่ใช้รหัสผ่านเริ่มต้น (admin / admin) ซึ่งหลังจากเหตุการณ์ดังกล่าวทาง MTNL และ BSNL ได้ทำการแจ้งให้ผู้ใช้จำนวนกว่า 2,000 รายเปลี่ยนรหัสผ่านของอุปกรณ์ใหม่ ซึ่งจะแตกต่างจากมัลแวร์อื่น ๆ ที่ทำการยึดอุปกรณ์ไว้ใช้สำหรับเป็น botnet ในการโจมตี DDoS และวัตถุประสงค์อื่น ๆ

Recommendation :
- เปลี่ยนรหัสผ่านของอุปกรณ์ที่ตั้งค่ามาจากโรงงานผลิตให้มีความมั่นคงปลอดภัยสูงขึ้น
- ปิด Service Telnet , SSH ไม่ให้สามารถเข้าถึงได้จากภายนอก
- ทำการ update patch ของอุปกรณ์ให้เป็นเวอร์ชั่นล่าสุด

ที่มา : BLEEPINGCOMPUTER

Microsoft won’t patch SMBv1 flaw that only an idiot would expose

Impact Level : Critical

Affected Platform : SMBv1, Windows

Conclusion : "SMBLoris" ช่องโหว่ใหม่บน SMBv1 มาแล้ว ปราศจากแพตช์จากไมโครซอฟต์
ในงานสัมมนาด้านความปลอดภัย DEF CON 25 ซึ่งเป็นครั้งล่าสุดนั้น นักวิจัยด้านความปลอดภัย Sean Dillon (zerosum0x0) และ Zach Harding (Aleph-Naught-) จากบริษัท RiskSense ได้มีการเปิดเผยช่องโหว่ใหม่บน SMBv1 ชื่อ "SMBLoris" ซึ่งอาจส่งผลให้เกิดการโจมตีแบบ DoS ได้
ช่องโหว่ SMBLoris นั้นได้เคยถูกแจ้งให้กับทางไมโครซอฟต์แล้วเมื่อเดือนมิถุนายนที่ผ่านมา (ก่อนงาน Black Hat และ DEF CON) อย่างไรก็ตามทางไมโครซอฟต์มีการแจ้งว่าช่องโหว่นี้จะไม่มีแพตช์เพื่อแก้ไขช่องโหว่ออกมาอันเนื่องมาจากผลกระทบที่อยู่ในระดับปานกลาง (บางรายงานข่าวแจ้งว่าไมโครซอฟต์จะไม่มีการปล่อยแพตช์ในทันที) ซึ่งส่งผลให้ช่องโหว่นี้สามารถถูกเรียกได้ว่าเป็น n-day
ช่องโหว่ SMBLoris เกิดขึ้นในส่วนของ NBSS หรือโปรโตคอล NetBIOS Session Service ในทุกครั้งที่มีการเชื่อมต่อผ่านโปรโตคอล SMB นั้น NBSS จะมีการจองพื้นที่ในหน่วยความจำเอาไว้จำนวน 128 KB ซึ่งจะถูกคืนให้กลับระบบในกรณีที่การเชื่อมต่อเสร็จสิ้น ผู้โจมตีสามารถใช้กลไกนี้ในการสร้างการเชื่อมต่อเพื่อใช้งานหน่วยความจำได้เรื่อยๆ จนหมด โดยจากการสาธิตในงาน DEF CON การโจมตีนี้สามารถดึงหน่วยความจำมาใช้ได้ถึง 32 GB จนจำเป็นต้องมีการรีบูต

Recommendation : ในกระบวนการลดผลกระทบจากช่องโหว่นี้นั้น ข้อปฏิบัติที่ดีที่สุดคือการจำกัดการเชื่อมต่อในลักษณะที่มาจากแหล่งที่มาเดียวกันจากอินเตอร์เน็ตที่มีจำนวนมากๆ เอาไว้และทำการปิดการเชื่อมต่อทิ้งเมื่อถึงจุดอันตราย

ที่มา : The Register

Hackers are making their malware more powerful by copying WannaCry and Petya ransomware tricks

Impact Level : Medium

Affected Platform : Windows with SMBv1

Conclusion : เอาเป็นแบบอย่าง! มัลแวร์ขโมยข้อมูล Emomet และ Trickbot เริ่มมีโมดูลแพร่กระจายตัวเองตาม WannaCry และ NotPetya
นักวิจัยจาก FlashPoint ได้มีการตรวจพบรุ่นใหม่ (1000029) ของมัลแวร์ Trickbot ซึ่งเป็นมัลแวร์ขโมยข้อมูลที่แพร่กระจายเป็นจำนวนมากในสหรัฐฯ และอังกฤษ โดยในรุ่นใหม่ของ Trickbot นี้มีการเพิ่มฟีเจอร์ในการแพร่กระจายตัวเองตามแบบของ WannaCry และ NotPetya เข้าไปด้วย
Trickbot มีการใช้ EternalBlue ในการแพร่กระจายโดยโจมตีช่องโหว่ MS17-010 โดยมันจะทำการสแกนหาโดเมนในเครือข่ายโดยใช้ Windows API "NetServerEnum" และ LDAP จากเดิมที่แพร่กระจายเป็นหลักผ่านทางอีเมลฟิชชิ่ง จุดแตกต่างจาก WannaCry คือ Trickbot ไม่มีการสุ่มสแกนไอพีบนอินเตอร์เน็ตเพื่อแพร่กระจายกัน
นักวิจัยจาก Fidelis และ Barkly ก็ตรวจพบมัลแวร์ Emomet ในรุ่นที่พยายามกระจายตัวเองด้วยการโจมตีแบบ brute force เพื่อเข้าถึงระบบอื่นในเครือข่ายด้วย

Recommendation : แนะนำให้แพตช์ช่องโหว่ MS17-010 รวมถึงเพิ่มความปลอดภัยของระบบปฏิบัติการด้วยวิธีการ hardening เพื่อลดความเสี่ยงจากมัลแวร์เหล่านี้

ที่มา : ZDNet

Security flaw in 3G, 4G LTE networks lets hackers track phone locations

Impact Level : High

Affected Platform : 3G, 4G LTE

Conclusion : ปัญหาด้านความปลอดภัยล่าสุดบน 3G และ 4G LTE อาจนำไปสู่การรั่วไหลของ metadata ได้
ณ งาน Black Hat 2017 ที่ลาสเวกัส นักวิจัยด้านความปลอดภัย Ravishankar Borgaonka และ Lucca Hirschi ได้มีการเปิดเผยงานวิจัยที่เกี่ยวข้องกับปัญหาด้านความปลอดภัยบนเครือข่าย 3G และ 4G LTE ที่อาจนำไปสู่การรั่วไหลของข้อมูลในลักษณะที่เป็น metadata อาทิ ช่วงเวลาที่มีการโทรหรือส่งข้อความหรือที่อยู่ปัจจุบันของโทรศัพท์เครื่องดังกล่าวได้
ปัญหาด้านความปลอดภัยดังกล่าวนั้นอยู่ในกระบวนการพิสูจน์ตัวตนและการแลกเปลี่ยนกุญแจเข้ารหัส กระบวนการแลกเปลี่ยนและตกลงที่จะใช้กุญแจในการเข้ารหัสนั้นส่วนหนึ่งขึ้นอยู่กับส่วนของตัวนับ (counter) ซึ่งอยู่ในแพ็คเกตที่มีการรับส่ง ค่าของตัวนับดังกล่าวจะถูกเก็บอยู่ที่ระบบของฝั่งผู้ให้บริการเพื่อยืนยันตัวตนของอุปกรณ์และมีหน้าที่สำคัญในการป้องกันการโจมตีที่ลักลอบดักจับ แก้ไขและส่งคืนแพ็คเกตที่มีการแก้ไขแล้ว (replay attack) เมื่อตัวนับดังกล่าวถูกใช้ในการรับส่งเพื่อยืนยันตัวตนหรือแลกเปลี่ยนกุญแจสำหรับเข้ารหัส นักวิจัยทั้งสองคนได้ตรวจพบการใช้งานค่าตัวนับที่ไม่เหมาะสมและมีข้อมูลที่ควรจะถูกเข้ารหัสรั่วไหลออกมา ส่งผลให้ผู้โจมตีซึ่งอาจมอนิเตอร์การใช้งานอยู่สามารถดักจับการรับส่งข้อมูลเพื่อให้ลักษณะและรูปแบบของข้อมูลที่อาจบ่งชี้ถึง metadata ได้

ผลลัพธ์ของปัญหาด้านความปลอดภัยนี้อาจนำไปสู่การพัฒนาอุปกรณ์ IMSI catcher อีกรูปแบบซึ่งใช้ในการดักจับข้อมูลข้อมูลได้ด้วย และเนื่องจากการใช้งานอย่างแพร่หลาย ปัญหานี้จึงส่งผลกระทบต่อผู้ใช้งานและผู้ให้บริการทั่วโลก ในตอนนี้องค์กร 3GPP ซึ่งเป็นองค์กรหลักในการพัฒนาโปรโตคอลที่เกี่ยวข้องได้รับทราบถึงการมีอยู่ของช่องโหว่ดังกล่าวและ และจะดำเนินการแก้ไขในรุ่นต่อไปซึ่งอาจหมายถึงในระบบ 5G

ที่มา : ZDNet

VMware API Allows Limited vSphere Users to Access Guest OS

Impact Level : High

Affected Platform : ESXi 5.5, 6.0 ถึง 6.5 และ VMWare Tools ก่อนรุ่น 10.1.0

Conclusion : ช่องโหว่บน VMware VIX API ทำให้ผู้ใช้งานเข้าถึง Guest OS ที่ไม่ได้รับอนุญาตได้
นักวิจัยด้านความปลอดภัย Ofri Ziv จาก GuardiCore ได้เปิดเผยช่องโหว่บน VMware VIX API ในงาน Black Hat 2017 ที่ลาสเวกัสโดยช่องโหว่ดังกล่าวอนุญาตผู้ใช้งานที่มีสิทธิ์ใช้งานต่ำหรือถูกจำกัดสิทธิ์ไว้อยู่สามารถใช้ช่องโหว่ดังกล่าวในการเข้าถึง Guest OS ที่ไม่ได้รับอนุญาตได้
ช่องโหว่ดังกล่าวนั้นเกิดขึ้นในส่วนของ Virtual Infrastructure eXtension (VIX) API ซึ่งเป็น API ที่ช่วยให้ผู้ใช้งานสามารถทำการควบคุมการทำงานของ VM, จัดการไฟล์ภายใน Guest OS รวมไปถึงเข้าถึง Guest OS ได้โดยตรง ในการโจมตีช่องโหว่นี้บัญชีผู้ใช้งานใน vSphere ซึ่งมีสิทธิ์การใช้งานที่จำกัดอยู่จะได้ต้องรับสิทธิ์ในการอนุญาตให้ใช้ VIX API ก่อนด้วยจึงจะทำการโจมตีได้
ช่องโหว่ได้รับรหัส CVE-2017-4919 กระทบ ESXi 5.5, 6.0 และ 6.5 และ VMware Tools เวอร์ชันก่อน 10.1.0 ซึ่งมีการปิดการใช้งาน API ดังกล่าวเป็นค่าเริ่มต้นแล้ว

Recommendation : ในการลดผลกระทบที่เกิดจากช่องโหว่ ผู้ใช้งานสามารถทำการตั้งค่าใน ESXi เฉพาะรุ่น 6.0 (https://kb.

Attack Uses Docker Containers To Hide, Persist, Plant Malware

Impact Level : High

Affected Platform : Docker Latest Version

นักวิจัยด้านความปลอดภัย Sagie Dulce จากบริษัท Aqua Security ได้แสดงการใช้ API ของ Docker เพื่อสนับสนุนการทำงานของมัลแวร์ในงาน Black Hat ครั้งล่าสุดที่ลาสเวกัส โดยในการทดลองนี้ Docker API สามารถถูกใช้ในการซ่อน ฝังและสั่งการมัลแวร์ได้
การโจมตีนี้สามารถทำได้โดยระบบที่มีการติดตั้ง Docker ทุกเวอร์ชันที่มีการเปิดให้เรียกหา API ผ่านทางโปรโตคอล TCP (ยังคงเปิดใช้ฟีเจอร์นี้เป็นค่าดีฟอลต์ในรุ่นปัจจุบันบน Docker for Windows)
การใช้ Docker API ในการสนับสนุนการทำงานของมัลแวร์ประกอบด้วยการโจมตีหลายขั้นตอนและต้องอาศัยการตอบสนองจากผู้ใช้งาน โดยประกอบด้วยขั้นตอนในการข้ามผ่านฟีเจอร์ Same Origin Policy ด้วยการโจมตีที่เรียกว่า Host Rebinding Attack ที่ส่งผลให้ผู้โจมตีสามารถเข้าถึง Docker daemon REST API ได้ รวมไปถึงการสร้าง "Shadow Container" เพื่อคงการเข้าถึงเอาไว้แม้จะมีการรีบูตระบบ

Recommendation : ในการป้องกันนั้น Sagie Dulce แนะนำให้ปรับแต่งการตั้งค่าในการเรียก Docker API ให้เฉพาะไคลเอนต์ที่มีการพิสูจน์ตัวตน (ผ่านใบรับรอง) รวมถึงบล็อคการเข้าถึงพอร์ต 2375 และปิดการใช้งานโปรโตคอล LLMNR และ NetBIOS เพื่อป้องกันการ Host Rebinding Attack ด้วย

ที่มา : threatpost