Affected Platform : Diebold Opteva ATM with AFD Platform

บริษัทด้านความปลอดภัย IOActive ได้ประกาศการค้นพบสองช่องโหว่ร้ายแรงบนเอทีเอ็มของ Diebold รุ่น Opteva ที่มีการใช้แพลตฟอร์ม AFD เพื่อปกป้องกล่องเก็บเงินซึ่งส่งผลให้ผู้โจมตีสามารถขโมยเงินจากตู้ได้โดยตรงโดยไม่ต้องมีการยืนยันตัวตนใดๆ
ในการโจมตีนั้น ผู้โจมตีจะต้องมีการใช้ทั้งสองช่องโหว่ควบคู่กันเนื่องจากระบบของเอทีเอ็มมักจะมีการแยกระบบปฏิบัติการออกจากส่วนที่มีการเก็บเงิน โดยในขั้นตอนแรกผู้โจมตีจะต้องทำการเข้าถึง AFD controller ด้วยวิธีทางกายภาพคือการเสียบแท่งเหล็กขนาดเล็กเข้าไปในส่วนลำโพง แท่งเหล็กดังกล่าวจะถูกใช้ในการยกตัวล็อคข้างในที่ทำการป้องกันการเข้าถึงคอมพิวเตอร์ของเอทีเอ็มเอาไว้อยู่ จากนั้นผู้โจมตีจะต้องทำการถอดสาย USB ที่ต่อเข้ากับคอมพิวเตอร์แล้วใช้ช่องทางนีทำเพื่อทำการเชื่อมต่อและส่งข้อมูลกับ AFD controller โดยตรง จากนั้นผู้โจมตีจะทำการโจมตีช่องโหว่ที่เกิดจากการไม่เข้ารหัสและไม่ตรวจสอบแหล่งที่มาของโปรโตคอลของ AFD เพื่อส่งคำสั่งปลอมให้ระบบทำการถอนเงินออกมาได้
อย่างไรก็ตามปัญหาของช่องโหว่นี้อยู่ที่การแพตช์ IOActive กล่าวว่าทางบริษัทได้มีการติดต่อกับ Diebold เป็นระยะเพื่อสอบถามความคืบหน้าในเรื่องการแพตช์แต่กลับยังไม่ได้รับคำตอบที่ชัดเจนว่าได้มีการแพตช์แล้วในเฟิร์มแวร์รุ่นใหม่แล้วหรือไม่ จน IOActive ต้องตัดสินเผยแพร่รายงานการวิเคราะห์ดังกล่าวในที่สุด

ดูรายงานได้ที่: https://www.

Impact Level: High

Affected Platform : Cross Platform

มัลแวร์ SambaCry ซึ่งมีการใช้ช่องโหว่ในชื่อเดียวกันบน Samba ที่พึ่งได้รับแพตช์มาเมื่อไม่นานมานี้ กำลังถูกใช้โดยมัลแวร์ CowerSnail ในรูปแบบเดียวกับการแพร่กระจายของ WannaCry
จากการวิเคราะห์ของ Kaspersky มัลแวร์ CowerSnail น่าจะเป็นมัลแวร์ที่ถูกพัฒนาโดยนักพัฒนาเดียวกับที่พัฒนามัลแวร์ SambaCry อันเนื่องมาจากการใช้ C&C server เดียวกัน มัลแวร์ CowerSnail ถูกออกแบบมาให้ทำงานได้บนหลายระบบโดยพุ่งเป้าไปที่การแพร่กระจายและฝังตัวเป็นระยะเวลานานผ่านการควบคุมบนโปรโตคอล IRC ที่ทำให้ผู้โจมตีสามารถสั่งการมัลแวร์ได้จากระยะไกล

Recommendation : แนะนำให้ตรวจสอบความผิดปกติของระบบอย่างสม่ำเสมอเพื่อตรวจหาการมีอยู่ของมัลแวร์

ที่มา : The Register

ผู้พัฒนา่มัลแวร์เรียกค่าไถ่ Petya รุ่นแรกซึ่งใช้ชื่อว่า Janus ที่เคยแพร่กระจายในปี 2016 ได้มีการปล่อย master key หรือกุญแจเข้ารหัสตัวหลักที่สามารถใช้ในการถอดรหัสไฟล์ได้ เช่นเดียวกับผู้พัฒนามัลแวร์เรียกค่าไถ่ TeslaCrypt ซึ่งแพร่ระบา่ดในปี 2015 ซึ่งได้มีการปล่อยกุญแจสำหรับเข้ารหัสออกมาให้ผู้ใช้งานนำไปถอดรหัสไฟล์ได้เช่นเดียวกัน
ทาง Kaspersky Lab และนักวิจัยด้านความปลอดภัย Haserezade จาก MalwareBytes ได้ออกมายืนยันความถูกต้องของกุญแจเข้ารหัสดังกล่าวว่าสามารถใช้ในการถอดรหัสไฟล์หรือข้อมูลที่ถูกเข้ารหัสโดยมัลแวร์เรียกค่าไถ่ Petya และ GoldenEye ได้จริง แต่อย่างไรก็ตามกุญแจถอดรหัสดังกล่าวสามารถใช้ได้กับเฉพาะ Petya ในรุ่นปี 2016 เท่านั้น ไม่สามารถใช้ใช้การถอดรหัส Petya รุ่นปี 2017 ที่มีการแพร่กระจายเมื่อช่วงที่ผ่านมาได้
Hasherezade กล่าวว่าสำหรับ Petya ในรุ่นปี 2017 นั้น แม้ว่าจะมีต้นแบบในการพัฒนามาจากซอร์สโค้ดของมัลแวร์ Goldeneye แต่มันก็ขาดความสามารถในการถอดรหัสระบบที่ติดเชื้อได้ และถูกจัดให้อยู่ในกลุ่ม wiper malware ซึ่งมาในชื่อต่างๆ เช่น Not Petya, ExPetr เป็นต้น
Petya คือมัลแวร์เรียกค่าไถ่แบบเข้ารหัสซึ่งเป็นที่รู้จักกันว่าจะพุ่งเป้าไปที่ Master Boot Record ของเหยื่อแทนที่จะไปที่แหล่งเก็บไฟล์ต่างๆ บนเครื่อง รวมไปถึง network shares หรือ backups ที่เครื่องของเหยื่ออาจมีเข้าถึงอยู่อยู่ โดยมันจะทำการเรียกร้องเงินค่าไถ่เป็นจำนวน $400 เพื่อแลกกับการถอดรหัสไฟล์ อย่างไรก็ตามในช่วงเมษายน 2016 นักวิจัยได้พัฒนาเครื่องมือซึ่งทำให้เหยื่อสามารถถอดรหัสในเวอร์ชันก่อนๆ ได้โดยไม่จำเป็นต้องโอนเงินค่าไถ่

ที่มา : threatpost

นักวิจัยด้านความปลอดภัยจาก CheckPoint ประกาศการค้นพบมัลแวร์บนแอนดรอยด์ตัวใหม่ "CopyCat" แพร่กระจายไปแล้วกว่า 14 ล้านเครื่อง และน่าจะขโมยข้อมูลบัตรเครดิตไปแล้วจากกว่า 4.4 ล้านเครื่อง
CheckPoint กล่าวว่า ในจำนวนกว่า 14 ล้านเครื่องที่มีการแพร่กระจายนั้นจะมีเหยื่ออยู่ในประเทศกลุ่มเอเชียใต้และเอเชียตะวันออกเฉียงใต้เป็นหลัก โดยมีอินเดียที่มีการตรวจพบว่ามีการติดเชื้อมากที่สุด รวมไปถึงในปากีสถาน, บังกลาเทศ, อินโดนีเซียและพม่า (ยังไม่ยืนยันว่าเจอในไทย) ส่วนในอเมริกาก็มีอุปกรณ์ที่ตรวจพบมัลแวร์แล้วกว่า 280,000 เครื่อง
จากการวิเคราะห์มัลแวร์ดังกล่าว CheckPoint เปิดเผยว่า มัลแวร์มีการใช้หลายช่องโหว่ในการ "รูท" อุปกรณ์เพื่อให้ได้สิทธิ์สูงสุดในระบบ กระทบแอนดรอย์หลายรุ่นด้วยกัน หลังจากที่มัลแวร์มีสิทธิ์สูงสุดในระบบแล้ว มันจะทำการปิดฟีเจอร์รักษาความปลอดภัยทั้งหมดรวมไปถึงแก้ไขการตั้งค่าของแอพและอุปกรณ์เพื่อให้มีการแสดงโฆษณาเพื่อสร้างรายได้ รวมไปถึงขโมยข้อมูลต่างๆ
CheckPoint ยังไม่สามารถระบุแน่ชัดถึงช่องทางในการแพร่กระจายได้ แต่เชื่อกันว่า CopyCat น่าจะแพร่กระจายผ่านทาง third-party app ที่ไม่ได้อยู่บน Google Play Store และทางฟิชชิ่ง CheckPoint ยังระบุว่าผู้อยู่เบื้องหลังของ CopyCat อาจจะเป็นบริษัทโฆษณาในจีนเนื่องจากมีการตรวจพบความคล้ายคลึงและพฤติกรรมที่คล้ายกันใน CopyCat กับเครือข่ายโฆษณา MobiSummer
การป้องกัน CopyCat อย่างดีที่สุดคือการไม่ติดตั้งแอพแปลกปลอมหรือแอพที่มีที่มาที่ไม่เชื่อถือ หากสงสัยว่ามีการติดเชื้อแล้ว แนะนำทำการสำรองข้อมูลและติดตั้งระบบใหม่จะดีที่สุด

ที่มา : TheHackerNew

ช่วงก่อนหน้านี้ทาง NCR ได้ออกมาแจ้งเตือนถึงเหตุการณ์โจรกรรมข้อมูลแบบ Eavesdropping หรือ รูปแบบของการดักจับข้อมูลที่กำลังถูกนำมาใช้กับบัตรที่ใช้แทบแม่เหล็กในการอ่านค่ากับตู้ ATM model Personas และล่าสุดทาง NCR ได้ออกมาแจ้งเตือนอีกครั้งถึงการโจมตีในรูปแบบเดิมนี้กับ SelfServ ATM ใน USA
เทคนิค การทำงานของ Eavesdropping Skimming Attack คือผู้ไม่หวังดีจะทำการเจาะรูบริเวณของตัวตู้ ATM จากนั้นจะฝังอุปกรณ์ไว้เพื่ออ่านค่าจากแทบแม่เหล็กของตัวบัตรที่ผู้ใช้งานสอดเข้าไป การโจมตีที่ Personas ATM เจอนั้นคือการดักจับข้อมูลที่มุ่งเป้าหมายไปที่บอร์ดแม่เหล็กที่ทำหน้าที่เป็นตัวควบคุมบัตร ในการโจมตีครั้งใหม่กับ SelfServ ATM นั้นวิธีการได้ถูกยกระดับขึ้น แต่ยังคงหลักการทำงานเดิมอยู่
เป้าหมายการโจมตีครั้งนี้คือ model 6634 โดยผู้ไม่หวังดีทำการเจารูตู้เป็นรูปกรอบสี่เหลี่ยมบริเวณด้านข้างที่อยู่ระหว่าง ATM monitor และ Card Reader และใช้รูนี้ในการฝังตัว Eavesdropping Skimmer ไว้ข้างใต้ Card Reader เพื่อที่ตัวดักจับข้อมูลนี้จะเชื่อมต่อกับหัวอ่านค่าบัตรของตู้ได้พอดี จากนั้นก็จะทำการปกปิดร่องรอยที่เจาะไว้ ส่วนการดักจับ PIN ก็คือการแอบติดกล้องไว้เหนือแป้นกดรหัสเพื่อดูว่าผู้ใช้งานกดรหัสตัวไหนไปบ้าง
ข้อเสนอแนะ
ควรตรวจสอบตู้ ATM ให้บ่อยมากขึ้น ตรวจดูว่ามีการติดตั้งกล้องเพื่อแอบดูรหัส PIN หรือมีการติดตั้ง Skimmers เพื่อแอบลอบดึงข้อมูลจากบัตรอิเล็กทรอนิกส์หรือไม่ รวมไปถึงการติดตั้งอุปกรณ์ตรวจหา Deep Insert Skimmers

ที่มา : NRC

Joomla! ได้มีการประกาศเวอร์ชันล่าสุดคือเวอร์ชัน 3.7.3 เมื่อวันอังคารที่ผ่านมาโดยนอกเหนือจากการแก้ไขปัญหาบั๊กของโปรแกรมโดยทั่วไปแล้ว ในเวอร์ชันนี้ยังมีการแก้ปัญหาด้านความปลอดภัยทั้งหมด 3 ช่องโหว่ด้วย

ช่องโหว่แรกเป็นช่องโหว่ Information Disclosure ซึ่งกระทบตั้งแต่ Joomla! ในรุ่น 1.7.3 ถึง 3.7.2 มีความรุนแรงระดับสูง, ช่องโหว่ที่สองเป็นช่องโหว่ XSS กระทบ1.7.3 ถึง 3.7.2 และช่องโหวที่สามเป็นช่องโหว่ XSS ซึ่งกระทบ 1.5.0 ถึง 3.6.5 โดยช่องโหว่ที่สองมีความรุนแรงระดับสูงส่วนช่องโหว่ที่สามมีความรุนแรงระดับต่ำ

แนะนำให้ทำการอัพเดตเพื่อลดความเสี่ยงที่จะถูกโจมตีระบบโดยด่วน

ที่มา : joomla

สองนักจัยจากมหาวิทยาลัยเวอร์จิเนีย ได้พัฒนาระบบช่วยการจัดรหัสผ่านที่แตกต่างจากที่เคยมีในท้องตลาด โดยทีมนักวิจัยได้อธิบายว่า Horcrux จะแทรกข้อมูลประจำตัวปลอมเข้าในฟอร์มของผู้ใช้ เนื่องจากเวลาผู้ใช้กรอกข้อมูลลงในแบบฟอร์มนั้น จะมี JSscripts ที่แอบเก็บข้อมูลในแบบฟอร์มไปก่อนที่ผู้ใช้จะกดส่งข้อมูล ทั้งสองกล่าวว่าพวกเขาป้องกันการโจมตีนี้โดย Horcrux จะใส่ข้อมูลประจำตัวปลอม(dummy)ในช่องข้อมูลเพื่อหลอก JSscripts แต่เมื่อผู้ใช้กดส่งข้อมูล Horcrux ก็จะดักจับการดำเนินการส่งฟอร์มและส่งข้อมูลจริงให้กับทางระบบ

คุณลักษณะที่สองที่ทำให้ Horcrux โดดเด่นเมื่อเทียบกับไคลเอ็นต์การจัดการรหัสผ่านอื่นๆคือ Horcrux จะกระจายข้อมูลการรับรองผู้ใช้ไปยัง Server หลายเครื่อง ซึ่งหมายความว่าหากผู้โจมตีสามารถเข้าถึงเซิร์ฟเวอร์ตัวใดตัวหนึ่งได้เขาจะไม่สามารถเข้าถึงรหัสผ่านทั้งหมดของผู้ใช้เพื่อจำกัดความเสียหายของเหตุการณ์ด้านความปลอดภัย นอกจากนี้ข้อมูลประจำตัวที่จัดเก็บไว้ในเซิร์ฟเวอร์หลายเครื่องยังมีการแบ่งปันข้อมูลลับโดยใช้ Cuckoo Hashing Algorithm ซึ่งช่วยจำกัดความสามารถในการกู้คืนข้อมูลรหัสผ่านของผู้บุกรุกได้แม้ว่าจะสามารถจัดการกับเซิร์ฟเวอร์เก็บรหัสผ่านได้หลายเครื่องก็ตาม แต่ข้อดีนี้ก็ตามมาด้วยข้อเสียคือผู้ใช้ต้อง Host Server เก็บรหัสผ่านของตนเองเพื่อใช้ Horcrux ซึ่งเป็นสิ่งที่ผู้ใช้ส่วนมากไม่สามารถมีเงินทุนจ่ายให้ได้

ที่มา : bleepingcomputer

บริษัทความปลอดภัย Darktrace ระบุว่าเริ่มค้นพบมัลแวร์รูปแบบใหม่ๆ ที่นำเทคนิคด้าน AI มาใช้งาน เพื่อให้มัลแวร์สามารถเรียนรู้สภาพแวดล้อม และปลอมตัวได้เนียนกว่าเดิม

Nicole Eagan ซีอีโอของ Darktrace กล่าวว่ามัลแวร์กลุ่มนี้จะปรับพฤติกรรมไปเรื่อยๆ เพื่อให้อยู่ในระบบโดยไม่ถูกตรวจจับได้นานที่สุดเท่าที่จะทำได้ อย่างไรก็ตาม มัลแวร์กลุ่มนี้ยังไม่ได้มีศักยภาพด้าน AI เต็มขั้น แต่ก็เริ่มหยิบบางส่วนมาใช้งาน

อีกประเด็นที่น่าสนใจคือมัลแวร์เหล่านี้ถูกพบในประเทศกำลังพัฒนา มากกว่าประเทศพัฒนาแล้ว เนื่องจากบริษัทยักษ์ใหญ่ในประเทศพัฒนาแล้วมีระบบป้องกันทางไอทีที่เข้มแข็งกว่า ส่งผลให้แฮ็กเกอร์หันไปทดสอบมัลแวร์ของตัวเองในประเทศที่ไม่ได้สนใจความปลอดภัยไซเบอร์มากนัก ตัวอย่างที่โด่งดังคือ การแฮ็กธนาคารกลางของบังกลาเทศ ที่ในภายหลัง Symantec พบการโจมตีรูปแบบเดียวกัน ถูกใช้ในอีก 31 ประเทศ

ที่มา : BLOGNONE

กรรมการกำกับดูแลตลาดหลักทรัพย์สหรัฐฯ (US Securities and Exchange Commission - SEC) สั่งปรับ Citigroup เป็นเงิน 7 ล้านดอลลาร์หลังจากพบว่าธนาคารส่งรายงานการซื้อขายไม่ครบถ้วนตั้งแต่ปี 1999 ไปจนถึงปี 2014
สาเหตุของความผิดพลาดเนื่องจากระบบการออกรายงานที่เขียนในช่วงปี 1995 มีการกรองหมายเลขสาขา 089 ถึง 100 ออกไป เนื่องจากเลขสาขาเหล่านี้เป็นสาขาปลอมที่สร้างขึ้นเพื่อทดสอบระบบ โค้ดนี้รันต่อเนื่องมาโดยตลอดและทาง Citigroup สร้างสาขาใหม่ๆ เป็นหมายเลขที่มีตัวอักษรได้ด้วย เช่น 10B, 10C ปรากฏว่าโค้ดเดิมกลับกรองสาขาเหล่านี้ออกไปด้วย ทำให้รายงานจากสาขาเหล่านั้นไม่ถูกส่งไปยัง SEC ตลอดระยะเวลาที่บั๊กนี้มีผล ทำให้ SEC ไม่ได้รับรายงานการซื้อขาย 26,810 รายการ จากการขอข้อมูล 2,300 ครั้ง
บั๊กนี้ถูกพบหลังจาก Citigroup ส่งรายงานการซื้อขายชุดใหญ่ไปยังทีมเทคนิคของ SEC เพื่อสอบถามการให้หมายเลขการซื้อขาย แต่ SEC พบว่าในรายงานมีเลขสาขาที่ไม่ปรากฏอยู่ในรายงานก่อนหน้านี้

ที่มา : blognone

Nikolay Nikiforov โฆษกประจำกระทรวงการสื่อสารของรัสเซีย เปิดเผยกับ SC Magazine ว่าปัจจุบันบรรดาวายร้าย Hacker ทุ่มงบประมาณถึง 40% ของเงินลงทุนที่ได้จากการทำทุจริตบนโลกอินเทอร์เน็ต เพื่อสร้างเทคโนโลยีในการจู่โจมแบบใหม่
Hacker ให้ความสำคัญกับการจัดหาทุนให้เกิดพัฒนาทางซอฟท์แวร์ก็คือ เน้นพัฒนาการเข้ารหัสของโปรแกรมไวรัส เพื่อให้ระบบป้องกันภัยบนโลกไซเบอร์ยุคใหม่ๆ ตรวจจับไม่พบ ซึ่งเงินที่ใช้ในการลงทุนก็มาจากความเสียหายของผู้บริสุทธิ์ที่ถูกปล้นบนโลกไซเบอร์นั่นเอง
โดยนำผลที่ได้ไปต่อยอดเพื่อเจาะช่องโหว่ด้านการรักษาความปลอดภัยไปยังระบบ บัญชีธนาคารอื่น ๆ ของเหยื่อที่ถูกโจมตี ตัวอย่างที่เกิดขึ้นก็คือธนาคาร Russian Kuznetsky ที่เป็นธนาคารใหญ่อันดับต้น ๆ ของรัสเซีย เพิ่งถูกโจมตีจาก Hacker ทำให้เกิดความเสียหายทางการเงินเป็นมูลค่าถึง 500 ล้านรูเบิ้ล (ประมาณ 20 ล้านเหรียญสหรัฐ)

ที่มา : enterpriseitpro