SambaCry malware scum return with a Windows encore

Impact Level: High

Affected Platform : Cross Platform

มัลแวร์ SambaCry ซึ่งมีการใช้ช่องโหว่ในชื่อเดียวกันบน Samba ที่พึ่งได้รับแพตช์มาเมื่อไม่นานมานี้ กำลังถูกใช้โดยมัลแวร์ CowerSnail ในรูปแบบเดียวกับการแพร่กระจายของ WannaCry
จากการวิเคราะห์ของ Kaspersky มัลแวร์ CowerSnail น่าจะเป็นมัลแวร์ที่ถูกพัฒนาโดยนักพัฒนาเดียวกับที่พัฒนามัลแวร์ SambaCry อันเนื่องมาจากการใช้ C&C server เดียวกัน มัลแวร์ CowerSnail ถูกออกแบบมาให้ทำงานได้บนหลายระบบโดยพุ่งเป้าไปที่การแพร่กระจายและฝังตัวเป็นระยะเวลานานผ่านการควบคุมบนโปรโตคอล IRC ที่ทำให้ผู้โจมตีสามารถสั่งการมัลแวร์ได้จากระยะไกล

Recommendation : แนะนำให้ตรวจสอบความผิดปกติของระบบอย่างสม่ำเสมอเพื่อตรวจหาการมีอยู่ของมัลแวร์

ที่มา : The Register

Decryption Key สำหรับ Petya Ransomware รุ่นแรก (2016) ถูกปล่อย

ผู้พัฒนา่มัลแวร์เรียกค่าไถ่ Petya รุ่นแรกซึ่งใช้ชื่อว่า Janus ที่เคยแพร่กระจายในปี 2016 ได้มีการปล่อย master key หรือกุญแจเข้ารหัสตัวหลักที่สามารถใช้ในการถอดรหัสไฟล์ได้ เช่นเดียวกับผู้พัฒนามัลแวร์เรียกค่าไถ่ TeslaCrypt ซึ่งแพร่ระบา่ดในปี 2015 ซึ่งได้มีการปล่อยกุญแจสำหรับเข้ารหัสออกมาให้ผู้ใช้งานนำไปถอดรหัสไฟล์ได้เช่นเดียวกัน
ทาง Kaspersky Lab และนักวิจัยด้านความปลอดภัย Haserezade จาก MalwareBytes ได้ออกมายืนยันความถูกต้องของกุญแจเข้ารหัสดังกล่าวว่าสามารถใช้ในการถอดรหัสไฟล์หรือข้อมูลที่ถูกเข้ารหัสโดยมัลแวร์เรียกค่าไถ่ Petya และ GoldenEye ได้จริง แต่อย่างไรก็ตามกุญแจถอดรหัสดังกล่าวสามารถใช้ได้กับเฉพาะ Petya ในรุ่นปี 2016 เท่านั้น ไม่สามารถใช้ใช้การถอดรหัส Petya รุ่นปี 2017 ที่มีการแพร่กระจายเมื่อช่วงที่ผ่านมาได้
Hasherezade กล่าวว่าสำหรับ Petya ในรุ่นปี 2017 นั้น แม้ว่าจะมีต้นแบบในการพัฒนามาจากซอร์สโค้ดของมัลแวร์ Goldeneye แต่มันก็ขาดความสามารถในการถอดรหัสระบบที่ติดเชื้อได้ และถูกจัดให้อยู่ในกลุ่ม wiper malware ซึ่งมาในชื่อต่างๆ เช่น Not Petya, ExPetr เป็นต้น
Petya คือมัลแวร์เรียกค่าไถ่แบบเข้ารหัสซึ่งเป็นที่รู้จักกันว่าจะพุ่งเป้าไปที่ Master Boot Record ของเหยื่อแทนที่จะไปที่แหล่งเก็บไฟล์ต่างๆ บนเครื่อง รวมไปถึง network shares หรือ backups ที่เครื่องของเหยื่ออาจมีเข้าถึงอยู่อยู่ โดยมันจะทำการเรียกร้องเงินค่าไถ่เป็นจำนวน $400 เพื่อแลกกับการถอดรหัสไฟล์ อย่างไรก็ตามในช่วงเมษายน 2016 นักวิจัยได้พัฒนาเครื่องมือซึ่งทำให้เหยื่อสามารถถอดรหัสในเวอร์ชันก่อนๆ ได้โดยไม่จำเป็นต้องโอนเงินค่าไถ่

ที่มา : threatpost

แจ้งเตือนมัลแวร์บนแอนดรอยด์ “CopyCat” แพร่กระจายไปแล้วกว่า 14 ล้านเครื่อง

นักวิจัยด้านความปลอดภัยจาก CheckPoint ประกาศการค้นพบมัลแวร์บนแอนดรอยด์ตัวใหม่ "CopyCat" แพร่กระจายไปแล้วกว่า 14 ล้านเครื่อง และน่าจะขโมยข้อมูลบัตรเครดิตไปแล้วจากกว่า 4.4 ล้านเครื่อง
CheckPoint กล่าวว่า ในจำนวนกว่า 14 ล้านเครื่องที่มีการแพร่กระจายนั้นจะมีเหยื่ออยู่ในประเทศกลุ่มเอเชียใต้และเอเชียตะวันออกเฉียงใต้เป็นหลัก โดยมีอินเดียที่มีการตรวจพบว่ามีการติดเชื้อมากที่สุด รวมไปถึงในปากีสถาน, บังกลาเทศ, อินโดนีเซียและพม่า (ยังไม่ยืนยันว่าเจอในไทย) ส่วนในอเมริกาก็มีอุปกรณ์ที่ตรวจพบมัลแวร์แล้วกว่า 280,000 เครื่อง
จากการวิเคราะห์มัลแวร์ดังกล่าว CheckPoint เปิดเผยว่า มัลแวร์มีการใช้หลายช่องโหว่ในการ "รูท" อุปกรณ์เพื่อให้ได้สิทธิ์สูงสุดในระบบ กระทบแอนดรอย์หลายรุ่นด้วยกัน หลังจากที่มัลแวร์มีสิทธิ์สูงสุดในระบบแล้ว มันจะทำการปิดฟีเจอร์รักษาความปลอดภัยทั้งหมดรวมไปถึงแก้ไขการตั้งค่าของแอพและอุปกรณ์เพื่อให้มีการแสดงโฆษณาเพื่อสร้างรายได้ รวมไปถึงขโมยข้อมูลต่างๆ
CheckPoint ยังไม่สามารถระบุแน่ชัดถึงช่องทางในการแพร่กระจายได้ แต่เชื่อกันว่า CopyCat น่าจะแพร่กระจายผ่านทาง third-party app ที่ไม่ได้อยู่บน Google Play Store และทางฟิชชิ่ง CheckPoint ยังระบุว่าผู้อยู่เบื้องหลังของ CopyCat อาจจะเป็นบริษัทโฆษณาในจีนเนื่องจากมีการตรวจพบความคล้ายคลึงและพฤติกรรมที่คล้ายกันใน CopyCat กับเครือข่ายโฆษณา MobiSummer
การป้องกัน CopyCat อย่างดีที่สุดคือการไม่ติดตั้งแอพแปลกปลอมหรือแอพที่มีที่มาที่ไม่เชื่อถือ หากสงสัยว่ามีการติดเชื้อแล้ว แนะนำทำการสำรองข้อมูลและติดตั้งระบบใหม่จะดีที่สุด

ที่มา : TheHackerNew

การโจรกรรมข้อมูลแบบ Eavesdropping Attack บน ATM ของ SelfServ ใน USA

ช่วงก่อนหน้านี้ทาง NCR ได้ออกมาแจ้งเตือนถึงเหตุการณ์โจรกรรมข้อมูลแบบ Eavesdropping หรือ รูปแบบของการดักจับข้อมูลที่กำลังถูกนำมาใช้กับบัตรที่ใช้แทบแม่เหล็กในการอ่านค่ากับตู้ ATM model Personas และล่าสุดทาง NCR ได้ออกมาแจ้งเตือนอีกครั้งถึงการโจมตีในรูปแบบเดิมนี้กับ SelfServ ATM ใน USA
เทคนิค การทำงานของ Eavesdropping Skimming Attack คือผู้ไม่หวังดีจะทำการเจาะรูบริเวณของตัวตู้ ATM จากนั้นจะฝังอุปกรณ์ไว้เพื่ออ่านค่าจากแทบแม่เหล็กของตัวบัตรที่ผู้ใช้งานสอดเข้าไป การโจมตีที่ Personas ATM เจอนั้นคือการดักจับข้อมูลที่มุ่งเป้าหมายไปที่บอร์ดแม่เหล็กที่ทำหน้าที่เป็นตัวควบคุมบัตร ในการโจมตีครั้งใหม่กับ SelfServ ATM นั้นวิธีการได้ถูกยกระดับขึ้น แต่ยังคงหลักการทำงานเดิมอยู่
เป้าหมายการโจมตีครั้งนี้คือ model 6634 โดยผู้ไม่หวังดีทำการเจารูตู้เป็นรูปกรอบสี่เหลี่ยมบริเวณด้านข้างที่อยู่ระหว่าง ATM monitor และ Card Reader และใช้รูนี้ในการฝังตัว Eavesdropping Skimmer ไว้ข้างใต้ Card Reader เพื่อที่ตัวดักจับข้อมูลนี้จะเชื่อมต่อกับหัวอ่านค่าบัตรของตู้ได้พอดี จากนั้นก็จะทำการปกปิดร่องรอยที่เจาะไว้ ส่วนการดักจับ PIN ก็คือการแอบติดกล้องไว้เหนือแป้นกดรหัสเพื่อดูว่าผู้ใช้งานกดรหัสตัวไหนไปบ้าง
ข้อเสนอแนะ
ควรตรวจสอบตู้ ATM ให้บ่อยมากขึ้น ตรวจดูว่ามีการติดตั้งกล้องเพื่อแอบดูรหัส PIN หรือมีการติดตั้ง Skimmers เพื่อแอบลอบดึงข้อมูลจากบัตรอิเล็กทรอนิกส์หรือไม่ รวมไปถึงการติดตั้งอุปกรณ์ตรวจหา Deep Insert Skimmers

ที่มา : NRC

Joomla! 3.7.3 มาแล้วพร้อมอัพเดตด้านความปลอดภัย

Joomla! ได้มีการประกาศเวอร์ชันล่าสุดคือเวอร์ชัน 3.7.3 เมื่อวันอังคารที่ผ่านมาโดยนอกเหนือจากการแก้ไขปัญหาบั๊กของโปรแกรมโดยทั่วไปแล้ว ในเวอร์ชันนี้ยังมีการแก้ปัญหาด้านความปลอดภัยทั้งหมด 3 ช่องโหว่ด้วย

ช่องโหว่แรกเป็นช่องโหว่ Information Disclosure ซึ่งกระทบตั้งแต่ Joomla! ในรุ่น 1.7.3 ถึง 3.7.2 มีความรุนแรงระดับสูง, ช่องโหว่ที่สองเป็นช่องโหว่ XSS กระทบ1.7.3 ถึง 3.7.2 และช่องโหวที่สามเป็นช่องโหว่ XSS ซึ่งกระทบ 1.5.0 ถึง 3.6.5 โดยช่องโหว่ที่สองมีความรุนแรงระดับสูงส่วนช่องโหว่ที่สามมีความรุนแรงระดับต่ำ

แนะนำให้ทำการอัพเดตเพื่อลดความเสี่ยงที่จะถูกโจมตีระบบโดยด่วน

ที่มา : joomla

Horcrux โปรแกรมจัดการรหัสผ่านที่ออกแบบมาเพื่อความปลอดภัยสำหรับผู้ใช้ที่รู้สึกไม่ปลอดภัย

สองนักจัยจากมหาวิทยาลัยเวอร์จิเนีย ได้พัฒนาระบบช่วยการจัดรหัสผ่านที่แตกต่างจากที่เคยมีในท้องตลาด โดยทีมนักวิจัยได้อธิบายว่า Horcrux จะแทรกข้อมูลประจำตัวปลอมเข้าในฟอร์มของผู้ใช้ เนื่องจากเวลาผู้ใช้กรอกข้อมูลลงในแบบฟอร์มนั้น จะมี JSscripts ที่แอบเก็บข้อมูลในแบบฟอร์มไปก่อนที่ผู้ใช้จะกดส่งข้อมูล ทั้งสองกล่าวว่าพวกเขาป้องกันการโจมตีนี้โดย Horcrux จะใส่ข้อมูลประจำตัวปลอม(dummy)ในช่องข้อมูลเพื่อหลอก JSscripts แต่เมื่อผู้ใช้กดส่งข้อมูล Horcrux ก็จะดักจับการดำเนินการส่งฟอร์มและส่งข้อมูลจริงให้กับทางระบบ

คุณลักษณะที่สองที่ทำให้ Horcrux โดดเด่นเมื่อเทียบกับไคลเอ็นต์การจัดการรหัสผ่านอื่นๆคือ Horcrux จะกระจายข้อมูลการรับรองผู้ใช้ไปยัง Server หลายเครื่อง ซึ่งหมายความว่าหากผู้โจมตีสามารถเข้าถึงเซิร์ฟเวอร์ตัวใดตัวหนึ่งได้เขาจะไม่สามารถเข้าถึงรหัสผ่านทั้งหมดของผู้ใช้เพื่อจำกัดความเสียหายของเหตุการณ์ด้านความปลอดภัย นอกจากนี้ข้อมูลประจำตัวที่จัดเก็บไว้ในเซิร์ฟเวอร์หลายเครื่องยังมีการแบ่งปันข้อมูลลับโดยใช้ Cuckoo Hashing Algorithm ซึ่งช่วยจำกัดความสามารถในการกู้คืนข้อมูลรหัสผ่านของผู้บุกรุกได้แม้ว่าจะสามารถจัดการกับเซิร์ฟเวอร์เก็บรหัสผ่านได้หลายเครื่องก็ตาม แต่ข้อดีนี้ก็ตามมาด้วยข้อเสียคือผู้ใช้ต้อง Host Server เก็บรหัสผ่านของตนเองเพื่อใช้ Horcrux ซึ่งเป็นสิ่งที่ผู้ใช้ส่วนมากไม่สามารถมีเงินทุนจ่ายให้ได้

ที่มา : bleepingcomputer

พบมัลแวร์รูปแบบใหม่ นำเทคนิค AI มาใช้งาน ปรับตัวเองตลอดเพื่อให้ไม่ถูกตรวจจับง่ายๆ

บริษัทความปลอดภัย Darktrace ระบุว่าเริ่มค้นพบมัลแวร์รูปแบบใหม่ๆ ที่นำเทคนิคด้าน AI มาใช้งาน เพื่อให้มัลแวร์สามารถเรียนรู้สภาพแวดล้อม และปลอมตัวได้เนียนกว่าเดิม

Nicole Eagan ซีอีโอของ Darktrace กล่าวว่ามัลแวร์กลุ่มนี้จะปรับพฤติกรรมไปเรื่อยๆ เพื่อให้อยู่ในระบบโดยไม่ถูกตรวจจับได้นานที่สุดเท่าที่จะทำได้ อย่างไรก็ตาม มัลแวร์กลุ่มนี้ยังไม่ได้มีศักยภาพด้าน AI เต็มขั้น แต่ก็เริ่มหยิบบางส่วนมาใช้งาน

อีกประเด็นที่น่าสนใจคือมัลแวร์เหล่านี้ถูกพบในประเทศกำลังพัฒนา มากกว่าประเทศพัฒนาแล้ว เนื่องจากบริษัทยักษ์ใหญ่ในประเทศพัฒนาแล้วมีระบบป้องกันทางไอทีที่เข้มแข็งกว่า ส่งผลให้แฮ็กเกอร์หันไปทดสอบมัลแวร์ของตัวเองในประเทศที่ไม่ได้สนใจความปลอดภัยไซเบอร์มากนัก ตัวอย่างที่โด่งดังคือ การแฮ็กธนาคารกลางของบังกลาเทศ ที่ในภายหลัง Symantec พบการโจมตีรูปแบบเดียวกัน ถูกใช้ในอีก 31 ประเทศ

ที่มา : BLOGNONE

Citigroup ลืมเอาโค้ดกรองข้อมูลทดสอบออกจากโค้ดจริง ส่งรายงานผิดพลาด 15 ปี

กรรมการกำกับดูแลตลาดหลักทรัพย์สหรัฐฯ (US Securities and Exchange Commission - SEC) สั่งปรับ Citigroup เป็นเงิน 7 ล้านดอลลาร์หลังจากพบว่าธนาคารส่งรายงานการซื้อขายไม่ครบถ้วนตั้งแต่ปี 1999 ไปจนถึงปี 2014
สาเหตุของความผิดพลาดเนื่องจากระบบการออกรายงานที่เขียนในช่วงปี 1995 มีการกรองหมายเลขสาขา 089 ถึง 100 ออกไป เนื่องจากเลขสาขาเหล่านี้เป็นสาขาปลอมที่สร้างขึ้นเพื่อทดสอบระบบ โค้ดนี้รันต่อเนื่องมาโดยตลอดและทาง Citigroup สร้างสาขาใหม่ๆ เป็นหมายเลขที่มีตัวอักษรได้ด้วย เช่น 10B, 10C ปรากฏว่าโค้ดเดิมกลับกรองสาขาเหล่านี้ออกไปด้วย ทำให้รายงานจากสาขาเหล่านั้นไม่ถูกส่งไปยัง SEC ตลอดระยะเวลาที่บั๊กนี้มีผล ทำให้ SEC ไม่ได้รับรายงานการซื้อขาย 26,810 รายการ จากการขอข้อมูล 2,300 ครั้ง
บั๊กนี้ถูกพบหลังจาก Citigroup ส่งรายงานการซื้อขายชุดใหญ่ไปยังทีมเทคนิคของ SEC เพื่อสอบถามการให้หมายเลขการซื้อขาย แต่ SEC พบว่าในรายงานมีเลขสาขาที่ไม่ปรากฏอยู่ในรายงานก่อนหน้านี้

ที่มา : blognone

Hacker ลงทุนเงินอีก 40% จากรายได้ที่โกงมา..เพื่อเอามาพัฒนาเครื่องมือโจมตีใหม่ ๆ

Nikolay Nikiforov โฆษกประจำกระทรวงการสื่อสารของรัสเซีย เปิดเผยกับ SC Magazine ว่าปัจจุบันบรรดาวายร้าย Hacker ทุ่มงบประมาณถึง 40% ของเงินลงทุนที่ได้จากการทำทุจริตบนโลกอินเทอร์เน็ต เพื่อสร้างเทคโนโลยีในการจู่โจมแบบใหม่
Hacker ให้ความสำคัญกับการจัดหาทุนให้เกิดพัฒนาทางซอฟท์แวร์ก็คือ เน้นพัฒนาการเข้ารหัสของโปรแกรมไวรัส เพื่อให้ระบบป้องกันภัยบนโลกไซเบอร์ยุคใหม่ๆ ตรวจจับไม่พบ ซึ่งเงินที่ใช้ในการลงทุนก็มาจากความเสียหายของผู้บริสุทธิ์ที่ถูกปล้นบนโลกไซเบอร์นั่นเอง
โดยนำผลที่ได้ไปต่อยอดเพื่อเจาะช่องโหว่ด้านการรักษาความปลอดภัยไปยังระบบ บัญชีธนาคารอื่น ๆ ของเหยื่อที่ถูกโจมตี ตัวอย่างที่เกิดขึ้นก็คือธนาคาร Russian Kuznetsky ที่เป็นธนาคารใหญ่อันดับต้น ๆ ของรัสเซีย เพิ่งถูกโจมตีจาก Hacker ทำให้เกิดความเสียหายทางการเงินเป็นมูลค่าถึง 500 ล้านรูเบิ้ล (ประมาณ 20 ล้านเหรียญสหรัฐ)

ที่มา : enterpriseitpro

Foxit Patches 12 Vulnerabilities in PDF Reader

Foxit ออก patch version 8.0 เพื่อปิดช่องโหว่ จำนวนมากในส่วนของ PDF Reader รุ่น 7.3.4.311 และก่อนหน้าในช่วงอาทิตย์ที่ผ่านมา ซึ่งกว่าครึ่งของช่องโหว่นั้นเป็นการโจมตีในเชิง Remote code execute ไปเครื่องเป้าหมายที่ได้มีการติดตั้งโปรแกรมดังกล่าว ซึ่งพบพฤติกรรมที่เป็นการโจมตีในลักษณะของ PDF vulnerabilities โดยหลอกล่อให้

เหยื่อเปิดไฟล์หรือเข้า malicious pdf file ตาม website ต่าง ๆ Attacker สามารถใช้ไฟล์ image เช่น BMP, TIFF, GIF, JPEG ในการ exploit ผ่านช่องโหว่ดังกล่าวได้ และยังมี bug ในส่วนของการตรวจสอบ file SWF ที่อยู่ภายใน file PDF ที่ทำให้ attacker สามารถเข้าถึง Sensitive information ได้อีกด้วย

Recommendation ดำเนินการ update patch เพื่อลดความเสี่ยงในการถูกโจมตีด้วยช่องโหว่ดังกล่าว

ที่มา :  threatpost