Honda investigates possible ransomware attack, networks impacted

ฮอนด้าทำการตรวจสอบผลกระทบจากการโจมตีเครือข่ายโดย SNAKE Ransomware

บริษัทผู้ผลิตรถยนต์ยักษ์ใหญ่ของโลกฮอนด้าได้เผยถึงการโจมตีเครือข่ายคอมพิวเตอร์ในยุโรปและญี่ปุ่น ทำให้บริษัทต้องหยุดการผลิตบางส่วน จากการตรวจสอบสาเหตุเบื้องต้นพบเครือข่ายถูกโจมตีจาก SNAKE Ransomware ในวันอาทิตย์ที่ 7 มิถุนายน ที่ผ่านมา

ฮอนด้ากล่าวว่าในขณะนี้ยังไม่มีความชัดเจนถึงผลกระทบจากการโจมตี ในขณะนี้ฮอนด้ากำลังตรวจสอบอยู่

นักวิจัยด้านความปลอดภัย Milkream ได้พบตัวอย่างของ SNAKE (EKANS) ransomware ในช่วงเวลาใกล้เคียงกับที่ฮอนด้าถูกโจมตี เมื่อตรวจสอบมัลแวร์ที่ VirusTotal พบว่ามัลแวร์พยายามจะเรียกหาโดเมน "mds.

NSA warns of new Sandworm attacks on email servers

NSA: เเจ้งเตือนภัยจากกลุ่ม APT "Sandworm" ที่ใช้ประโยชน์จากช่องโหว่ Exim ทำการโจมตี Email Server

สำนักงานความมั่นคงแห่งชาติสหรัฐ (NSA) ได้เปิดเผยถึงความเคลื่อนไหวของเเฮกเกอร์ที่ได้รับการสนับสนุนจากรัฐบาลรัสเซียหรือที่รู้จักกันในชื่อ Sandworm Team ซึ่งได้ใช้ประโยชน์จากช่องโหว่ใน Mail Transfer Agent (MTA) ตั้งแต่สิงหาคม 2019

NSA กล่าวว่า แฮกเกอร์จากหน่วย 74455 ของ GRU Main Center for Special Technologies (GTsST) ได้ใช้ประโยชน์จากช่องโหว่ Exim ตั้งเเต่เดือนสิงหาคม 2019 ซึ่งปัจจุบันพบว่าเซิร์ฟเวอร์ที่ยังสามารถใช้ประโยชน์จากช่องโหว่ Exim นั้นมีมาถึง 2,481,000 เซิร์ฟเวอร์ที่สามารถเข้าผ่านอินเตอร์เน็ตได้

Sandworm Team ใช้ประโยชน์ช่องโหว่ที่ติดตามเป็นรหัส CVE-2019-10149 ซึ่งทำให้ผู้โจมตีจากระยะไกลที่ไม่ผ่านการตรวจสอบสิทธิ์สามารถรันโค้ดคำสั่งได้โดยใช้สิทธิ์ Root บนเซิร์ฟเวอร์อีเมลที่มีช่องโหว่ เมื่อทำการรันสคริปต์ Shell สคริปต์จะทำการเพิ่มสิทธิ์ผู้ใช้งาน, ปิดการตั้งค่าความปลอดภัยเครื่องข่าย, อัพเดตค่าคอนฟิก SSH เพื่อให้สามารถเข้าถึงจากระยะไกลและเรียกใช้งานสคริปต์อื่นๆที่จะสามารถใช้ประโยน์ภายในเครื่องที่บุกรุกได้

ข้อเเนะนำ
NSA ได้ออกคำเเนะนำให้ผู้ใช้งานและผู้ดูเลระบบที่จะทำการติดตั้งเซิร์ฟเวอร์ Exim ให้ทำการติดตั้งเวอร์ชัน 4.93 หรือใหม่กว่า สำหรับผู้ที่ใช้งานเซิร์ฟเวอร์ Exim Mail Transfer Agent อยู่แล้วให้ทำการอัปเดตซอฟต์แวร์ผ่าน Linux distribution package manager หรือดาวน์โหลดได้ที่
https://exim.

Cisco hacked by exploiting vulnerable SaltStack servers

ระบบของ Cisco ถูกโจมตีผ่านช่องโหว่ SaltStack

Cisco ได้เปิดเผยว่าเซิร์ฟเวอร์แบ็กเอนด์ของ Cisco Virtual Internet Routing Lab Personal Edition (VIRL-PE) บางส่วนถูกโจมตี โดยการโจมตีนั้นใช้ประโยน์จากช่องโหว่ SaltStack

Cisco ระบุว่าเซิร์ฟเวอร์ Cisco maintained salt-master ที่เป็นเซอร์วิสของ Cisco VIRL-PE เวอร์ชั่น 1.2 และ 1.3 นั้นถูกโจมตี โดยแฮกเกอร์ได้ทำการโจมตีเซิร์ฟเวอร์แบ็กเอนด์ของ Cisco จำนวน 6 เเห่งคือ us-1.virl.

Google highlights Indian ‘hack-for-hire’ companies in new TAG report

Google TAG เผยอินเดียกำลังเป็นแหล่งยอดฮิตของธุรกิจ Hack for Hire

Google Threat Analysis Group (TAG) หรือ Google TAG ซึ่งเป็นทีมที่ติดตามกลุ่มอาชญากรรมระดับสูงและอาชญากรรมทางไซเบอร์ของ Google ได้เผยแพร่รายงานประจำไตรมาสที่ 1 ปี 2020 ซึ่งเป็นรายงานจากการติดตามกลุ่มอาชญากรรมไซเบอร์ที่เป็นผู้โจมตีหรือได้รับการสนับสนุนจากรัฐบาลมากกว่า 270 กลุ่มจากกว่า 50 ประเทศ โดยประเด็นที่น่าสนใจมีดังนี้

ความพยายามในการแฮ็กและฟิชชิงของกลุ่มต่างๆ
ปัจจุบันจากการเเพร่ของโรค Coronavirus หรือ COVID-19 ที่เกิดการเเพร่กระจายเป็นจำนวนมากทำให้กลุ่มอาชญากรรมไซเบอร์ใช้ประโยชน์จากเหตุการณ์นี้เพื่อทำการแฮ็กและฟิชชิงข้อมูลโดยพุ่งเป้าหมายไปที่ ผู้นำธุรกิจ, บริษัทที่ให้บริการด้านการเงินและการให้คำปรึกษา, บริษัทด้านการดูแลสุขภาพในหลายประเทศ เช่น สหรัฐอเมริกา, สโลวีเนีย, แคนาดา, อินเดีย, บาห์เรน, ไซปรัสและสหราชอาณาจักร ตัวอย่างกิจกรรมทางไซเบอร์ที่เห็นได้ชัดคือ บริษัท “hack-for-hire” หรือบริษัทรับจ้างแฮกข้อมูลทางอินเตอร์เน็ตในประเทศอินเดียได้ทำการสร้างแอคเคาท์ Gmail ที่ทำการปลอมเเปลงเป็น WHO เพื่อใช้ในการฟิชชิงกลุ่มเป้าหมาย โดยทั้งนี้ Google TAG มองว่าบริษัท “hack-for-hire” ในอินเดียมีการเติบโตและมีจำนวนมากขึ้นจากไตรมาสก่อน

การดำเนินการเคลื่อนไหวทางการเมือง
ปัจจุบันกลุ่มที่ได้รับการสนับสนุนจากรัฐบาลหรือรัฐสนับสนุนมีเป้าหมายเพื่อการดำเนินการเคลื่อนไหวทางการเมืองโดยใช้การดำเนินการในเครือข่ายเว็บไซต์ของ Google เช่น YouTube, Play Store, AdSense นั้นมีมากขึ้นและทาง Google รับเเจ้งให้ได้ทำการตรวจเป็นจำนวนมากหลังจากการตรวจสอบ Google ได้ทำการยกเลิกบัญชีช่อง YouTube และบัญชีการโฆษณาเป็นจำนวนมากในช่วงที่ผ่านมา

ทั้งนี้ผู้ที่สนใจรายละเอียดเพิ่มเติมสามารถเข้าไปอ่านต่อได้ที่: https://blog.

Ransomware halts production for days at major airplane parts manufacturer

บริษัท ASCO ผู้ผลิตชิ้นส่วนเครื่องบินในรัฐนิวเจอร์ซีย์ ซึ่งถือว่าเป็นหนึ่งในซัพพลายเออร์ผู้ผลิตชิ้นส่วนเครื่องบินที่ใหญ่ที่สุดในโลก ถูกโจมตีระบบไอทีด้วย Ransomware ทำให้ต้องหยุดกระบวนการผลิตของโรงงานใน 4 ประเทศ ซึ่งได้แก่ สหรัฐอเมริกา, เบลเยียม, เยอรมนีและแคนาดาเป็นเวลาหนึ่งสัปดาห์ ส่งผลให้พนักงานกว่าประมาณ 1,000 คนไม่มีงานทำ

Asco เป็นซัพพลายเออร์อะไหล่ให้กับบริษัทต่างๆ เช่น Airbus, Boeing, Bombardier และ Lockheed Martin และยังผลิตชิ้นส่วนให้กับเครื่องบินทหารเช่น F-35 fighter jet

เบื้องต้นยังไม่มีการเปิดเผยว่าบริษัท ASCO ติด ransomware ตัวใด

ที่มา: zdnet

Your Linux Can Get Hacked Just by Opening a File in Vim or Neovim Editor

ช่องโหว่ใหม่ เครื่อง Linux สามารถถูกแฮกได้เพียงแค่เปิดไฟล์ด้วย Vim หรือ Neovim

Armin Razmjou นักวิจัยด้านความปลอดภัยค้นพบช่องโหว่ที่สามารถรันคำสั่งในระดับระบบปฏิบัติการได้ (CVE-2019-12735) ในโปรแกรม Vim editor และ Neovim บนระบบปฏิบัติการ Linux
ช่องโหว่ดังกล่าวเกิดขึ้นที่ความสามารถ Modelines ในโปรแกรม Vim และ Neovim โดย Modelines ถูกตั้งค่าให้ใช้งานเป็นค่าเริ่มต้นเสมอ เพื่อค้นหาลักษณะการตั้งค่าที่ผู้สร้างไฟล์ใส่มาในไฟล์ ซึ่งตามปกติแล้ว Vim หรือ Neovim จะอนุญาตให้ตั้งค่าบางอย่างด้วย Modelines เท่านั้น และมีการใช้ sandbox เพื่อป้องกันกรณีมีการตั้งค่าที่ไม่ปลอดภัย

แต่ Razmjou พบว่าสามารถหลบหลีก sandbox ได้ด้วยการใช้คำสั่ง ":source!" ดังนั้นผู้โจมตีจึงสามารถสร้างไฟล์อันตรายที่หลบหลีก sanbox ขึ้นมาได้ ซึ่งสามารถแอบรันคำสั่งบนระบบปฏิบัติการ Linux ได้เมื่อมีผู้หลงเปิดไฟล์อันตรายด้วย Vim หรือ Neovim

ผู้ใช้งานควรอัพเดท Vim (patch 8.1.1365) และ Neovim (released in v0.3.6) ให้เป็นเวอร์ชั่นล่าสุดเพื่อป้องกันช่องโหว่ดังกล่าว
และ Razmjou ผู้ค้นพบช่องโหว่ดังกล่าวยังแนะนำเพิ่มเติมให้ผู้ใช้งาน

- ปิดการใช้งาน Modelines
- ปิดการใช้งาน modelineexpr และ
- ใช้ Securemodelines plugin แทน modelines

ที่มา : thehackernews

New RCE vulnerability impacts nearly half of the internet’s email servers

แจ้งเตือนช่องโหว่ RCE ในซอฟต์แวร์ Exim คาดกระทบอีเมลเซิร์ฟเวอร์กว่าครึ่งหนึ่งของโลก

ซอฟต์แวร์ Exim ซึ่งเป็นซอฟต์แวร์ประเภท mail transfer agent (MTA) ถูกระบุว่ามีช่องโหว่ประเภท Remote Code Execution โดย Qualys วันนี้

ช่องโหว่ที่รหัส CVE-2019-10149 หรือในอีกชื่อซึ่งถูกเรียกว่า "Return off the WIZard" โดย Qualys นั้นเป็นช่องโหว่ประเภท Remote Code Execution ที่มีลักษณะที่คล้ายกับช่องโหว่เก่าแก่อย่าง WIZ และ DEBUG ในซอฟต์แวร์ sendmail ในอดีต การโจมตีช่องโหว่นี้สามารถทำได้สองรูปแบบคือแบบ local attack ซึ่งผู้ใช้งานที่มีอีเมลอยู่บนเซิร์ฟเวอร์อยู่แล้วทำการโจมตี และแบบ remote attack ซึ่งถูกระบุว่ามีความซับซ้อนสูง เนื่องจากผู้โจมตีจะต้องมีการรักษา connection ที่เชื่อมต่อกับเซิร์ฟเวอร์ที่มีช่องโหว่เอาไว้กว่า 7 วัน และยังไม่มีการโจมตีช่องโหว่จากระยะไกลที่ง่ายไปกว่านี้

ช่องโหว่กระทบ Exim ตั้งแต่เวอร์ชัน 4.87 ถึง 4.91 โดยผู้ใช้งานสามารถทำการอัปเกรดซอฟต์แวร์เพื่อรับแพตช์จากโครงการต้นน้ำได้ตั้งแต่วันนี้เป็นต้นไป

ที่มา : zdnet

Google’s Android June Security Patch

แพตช์ช่องโหว่ Android ประจำเดือนมิถุนายน 2562 มาแล้ว ทั้งหมด 22 ช่องโหว่ถูกแพตช์

Google ประกาศแพตช์ด้านความปลอดภัยสำหรับ Android ประจำเดือนมิถุนยายน 2562 วันนี้โดยมีช่องโหว่ระดับวิกฤติ (critical) จำนวน 8 ช่องโหว่จากทั้งหมด 22 ช่องโหว่ที่ถูกแพตช์ในรอบนี้

สำหรับช่องโหว่ร้ายแรงระดับวิกฤติ คอมโพเนนต์ของระบบที่ยังคงปรากฎช่องโหว่เหล่านี้เป็นจำนวนมากยังได้แก่ส่วนที่เป็น Media Framework ซึ่งผู้โจมตีสามารถสร้างไฟล์ซึ่งเมื่อถูกประมวลผลด้วย Media Framework จะทำให้ผู้โจมตีสามารถรันโค้ดที่เป็นอันตรายได้ อีกหนึ่งช่องโหว่มาจากส่วน System ในโมดูลที่เกี่ยวข้องกับไฟล์ PAC และส่วนที่เหลือเป็นช่องโหว่ระดับวิกฤติจากคอมโพเนนต์ของ Qualcomm

ผู้ใช้งานสามารถรับแพตช์ได้ทันทีตั้งแต่วันนี้เป็นต้นไป โดยความช้า-เร็วในการรับแพตช์จะขึ้นอยู่กับผู้ผลิตในแต่ละราย ข้อมูลเกี่ยวกับช่องโหว่แบบมีรายละเอียดครบถ้วนสามารถตรวจสอบได้ที่ https://source.

phpMyAdmin CSRF and SQL Injection Vulnerabilities

โครงการ phpMyAdmin ประกาศแพตช์สำหรับช่องโหว่ SQL Injection และ CSRF

โครงการ phpMyAdmin ประกาศแพตช์สำหรับช่องโหว่รหัส CVE-2019-11768 (PMSA-2019-3) และ CVE-2019-12616 (PMSA-2019-4) วันนี้ โดยเป็นช่องโหว่ SQL Injection และ CSRF ตามลำดับ

ช่องโหว่ CVE-2019-11768 เป็นช่องโหว่ SQL Injection ในส่วน Designer Feature โดยตรวจพบกับ phpMyAdmin เวอร์ชันก่อน 4.8.6 ซึ่งจะเกิดขึ้นเมื่อผู้โจมตีมีการสร้างฐานข้อมูลด้วยชื่อแบบพิเศษซึ่งจะทำให้เกิดเงื่อนไขของ SQL Injection

ในส่วนของช่องโหว่ CVE-2019-12616 นั้น เป็นช่องโหว่ประเภท CSRF ที่หน้าล็อกอินของ phpMyAdmin โดยผู้โจมตีสามารถทำการโจมตีผ่าน HTML tag ที่มีการพัฒนาอย่างไม่ปลอดภัยเพื่อใช้สิทธิ์ของผู้ใช้งานในการส่งคำสั่งที่เป็นอันตรายไปยังระบบได้ ช่องโหว่นี้กระทบ phpMyAdmin ก่อนรุ่น 4.9.0 โดยให้ทำการอัปเดตเป็นเวอร์ชันใหม่กว่าเพื่อรับการแก้ไขช่องโหว่

ที่มา: PMASA-2019-3 , PMASA-2019-4

GandCrab ransomware operation says it’s shutting down

ผู้สร้าง GandCrab ransomware ประกาศว่าจะหยุดให้บริการ Ransomware-as-a-Service เพราะได้เงินพอแล้ว

ในช่วงปลายเดือนที่ผ่านมาผู้สร้าง GandCrab ransomware ได้ประกาศว่าจะทำการปิดการทำงานของ Ransomware-as-a-Service (RaaS) ด้วยเหตุผลที่ว่าผู้สร้างสามารถที่จะทำเงินได้มากพอแล้ว (มากกว่า 2 พันล้านเหรียญ) และวางแผนที่จะยกเลิกการให้บริการภายในหนึ่งเดือน

มัลแวร์เรียกค่าไถ่ (Ransomware) เป็นการโจมตีในรูปแบบการเข้ารหัสไฟล์ในเครื่องผู้ใช้งาน เหยื่อต้องจ่ายเงินให้แก่ผู้โจมตีเพื่อแลกกับการถอดรหัสเพื่อให้ได้ไฟล์คืนมา โดยพบว่ามัลแวร์เรียกค่าไถ่ที่อยู่ในตระกูล GandCrab ได้รายได้จากการขาย GandCrab RaaS ให้กับผู้ต้องการและส่วนแบ่งจากเงินเรียกค่าไถ่ที่เหยื่อจ่ายมา จากประกาศดังกล่าวยังมีการระบุว่า ผู้สร้างวางแผนจะทำการลบคีย์สำหรับถอดรหัสทิ้งด้วย ซึ่งจะส่งผลให้ผู้ที่ตกเป็นเหยื่อไม่สามารถกู้คืนไฟล์ได้ แต่นักวิจัยก็เชื่อว่าการประกาศลบคีย์สำหรับถอดรหัสนี้อาจจะเป็นแค่แผนการเพื่อกระตุ้นให้ผู้ที่ตกเป็นเหยื่อตื่นตระหนกและรีบทำการชำระค่าไถ่ก็เป็นไปได้

อย่างไรก็ตามหากอ้างอิงถึงเหตุการณ์ลักษณะเดียวกัน ที่ผู้ผลิตมัลแวร์เรียกค่าไถ่ประกาศจะปิดกระบวนการทำงานของมัลแวร์ อย่างเช่น TeslaCrypt, XData, Crysis และ FilesLocker ผู้สร้างมัลแวร์เหล่านั้นมักจะปล่อยคีย์สำหรับถอดรหัสออกมาให้เหยื่อฟรีๆ มากกว่า ดังนั้นทางเลือกที่ดีที่สุดคือ ไม่ติดเลยจะดีกว่า หรือควรมีแผนสำหรับกู้คืนระบบเมื่อตกเป็นเหยื่อจริงๆ อย่างเช่น การมีระบบ Backup ข้อมูลของเครื่องสำคัญๆ อย่างสม่ำเสมอ

ที่มา: zdnet