Google TAG เผยอินเดียกำลังเป็นแหล่งยอดฮิตของธุรกิจ Hack for Hire

Google Threat Analysis Group (TAG) หรือ Google TAG ซึ่งเป็นทีมที่ติดตามกลุ่มอาชญากรรมระดับสูงและอาชญากรรมทางไซเบอร์ของ Google ได้เผยแพร่รายงานประจำไตรมาสที่ 1 ปี 2020 ซึ่งเป็นรายงานจากการติดตามกลุ่มอาชญากรรมไซเบอร์ที่เป็นผู้โจมตีหรือได้รับการสนับสนุนจากรัฐบาลมากกว่า 270 กลุ่มจากกว่า 50 ประเทศ โดยประเด็นที่น่าสนใจมีดังนี้

ความพยายามในการแฮ็กและฟิชชิงของกลุ่มต่างๆ
ปัจจุบันจากการเเพร่ของโรค Coronavirus หรือ COVID-19 ที่เกิดการเเพร่กระจายเป็นจำนวนมากทำให้กลุ่มอาชญากรรมไซเบอร์ใช้ประโยชน์จากเหตุการณ์นี้เพื่อทำการแฮ็กและฟิชชิงข้อมูลโดยพุ่งเป้าหมายไปที่ ผู้นำธุรกิจ, บริษัทที่ให้บริการด้านการเงินและการให้คำปรึกษา, บริษัทด้านการดูแลสุขภาพในหลายประเทศ เช่น สหรัฐอเมริกา, สโลวีเนีย, แคนาดา, อินเดีย, บาห์เรน, ไซปรัสและสหราชอาณาจักร ตัวอย่างกิจกรรมทางไซเบอร์ที่เห็นได้ชัดคือ บริษัท “hack-for-hire” หรือบริษัทรับจ้างแฮกข้อมูลทางอินเตอร์เน็ตในประเทศอินเดียได้ทำการสร้างแอคเคาท์ Gmail ที่ทำการปลอมเเปลงเป็น WHO เพื่อใช้ในการฟิชชิงกลุ่มเป้าหมาย โดยทั้งนี้ Google TAG มองว่าบริษัท “hack-for-hire” ในอินเดียมีการเติบโตและมีจำนวนมากขึ้นจากไตรมาสก่อน

การดำเนินการเคลื่อนไหวทางการเมือง
ปัจจุบันกลุ่มที่ได้รับการสนับสนุนจากรัฐบาลหรือรัฐสนับสนุนมีเป้าหมายเพื่อการดำเนินการเคลื่อนไหวทางการเมืองโดยใช้การดำเนินการในเครือข่ายเว็บไซต์ของ Google เช่น YouTube, Play Store, AdSense นั้นมีมากขึ้นและทาง Google รับเเจ้งให้ได้ทำการตรวจเป็นจำนวนมากหลังจากการตรวจสอบ Google ได้ทำการยกเลิกบัญชีช่อง YouTube และบัญชีการโฆษณาเป็นจำนวนมากในช่วงที่ผ่านมา

ทั้งนี้ผู้ที่สนใจรายละเอียดเพิ่มเติมสามารถเข้าไปอ่านต่อได้ที่: https://blog.

บริษัท ASCO ผู้ผลิตชิ้นส่วนเครื่องบินในรัฐนิวเจอร์ซีย์ ซึ่งถือว่าเป็นหนึ่งในซัพพลายเออร์ผู้ผลิตชิ้นส่วนเครื่องบินที่ใหญ่ที่สุดในโลก ถูกโจมตีระบบไอทีด้วย Ransomware ทำให้ต้องหยุดกระบวนการผลิตของโรงงานใน 4 ประเทศ ซึ่งได้แก่ สหรัฐอเมริกา, เบลเยียม, เยอรมนีและแคนาดาเป็นเวลาหนึ่งสัปดาห์ ส่งผลให้พนักงานกว่าประมาณ 1,000 คนไม่มีงานทำ

Asco เป็นซัพพลายเออร์อะไหล่ให้กับบริษัทต่างๆ เช่น Airbus, Boeing, Bombardier และ Lockheed Martin และยังผลิตชิ้นส่วนให้กับเครื่องบินทหารเช่น F-35 fighter jet

เบื้องต้นยังไม่มีการเปิดเผยว่าบริษัท ASCO ติด ransomware ตัวใด

ที่มา: zdnet

ช่องโหว่ใหม่ เครื่อง Linux สามารถถูกแฮกได้เพียงแค่เปิดไฟล์ด้วย Vim หรือ Neovim

Armin Razmjou นักวิจัยด้านความปลอดภัยค้นพบช่องโหว่ที่สามารถรันคำสั่งในระดับระบบปฏิบัติการได้ (CVE-2019-12735) ในโปรแกรม Vim editor และ Neovim บนระบบปฏิบัติการ Linux
ช่องโหว่ดังกล่าวเกิดขึ้นที่ความสามารถ Modelines ในโปรแกรม Vim และ Neovim โดย Modelines ถูกตั้งค่าให้ใช้งานเป็นค่าเริ่มต้นเสมอ เพื่อค้นหาลักษณะการตั้งค่าที่ผู้สร้างไฟล์ใส่มาในไฟล์ ซึ่งตามปกติแล้ว Vim หรือ Neovim จะอนุญาตให้ตั้งค่าบางอย่างด้วย Modelines เท่านั้น และมีการใช้ sandbox เพื่อป้องกันกรณีมีการตั้งค่าที่ไม่ปลอดภัย

แต่ Razmjou พบว่าสามารถหลบหลีก sandbox ได้ด้วยการใช้คำสั่ง ":source!" ดังนั้นผู้โจมตีจึงสามารถสร้างไฟล์อันตรายที่หลบหลีก sanbox ขึ้นมาได้ ซึ่งสามารถแอบรันคำสั่งบนระบบปฏิบัติการ Linux ได้เมื่อมีผู้หลงเปิดไฟล์อันตรายด้วย Vim หรือ Neovim

ผู้ใช้งานควรอัพเดท Vim (patch 8.1.1365) และ Neovim (released in v0.3.6) ให้เป็นเวอร์ชั่นล่าสุดเพื่อป้องกันช่องโหว่ดังกล่าว
และ Razmjou ผู้ค้นพบช่องโหว่ดังกล่าวยังแนะนำเพิ่มเติมให้ผู้ใช้งาน

- ปิดการใช้งาน Modelines
- ปิดการใช้งาน modelineexpr และ
- ใช้ Securemodelines plugin แทน modelines

ที่มา : thehackernews

แจ้งเตือนช่องโหว่ RCE ในซอฟต์แวร์ Exim คาดกระทบอีเมลเซิร์ฟเวอร์กว่าครึ่งหนึ่งของโลก

ซอฟต์แวร์ Exim ซึ่งเป็นซอฟต์แวร์ประเภท mail transfer agent (MTA) ถูกระบุว่ามีช่องโหว่ประเภท Remote Code Execution โดย Qualys วันนี้

ช่องโหว่ที่รหัส CVE-2019-10149 หรือในอีกชื่อซึ่งถูกเรียกว่า "Return off the WIZard" โดย Qualys นั้นเป็นช่องโหว่ประเภท Remote Code Execution ที่มีลักษณะที่คล้ายกับช่องโหว่เก่าแก่อย่าง WIZ และ DEBUG ในซอฟต์แวร์ sendmail ในอดีต การโจมตีช่องโหว่นี้สามารถทำได้สองรูปแบบคือแบบ local attack ซึ่งผู้ใช้งานที่มีอีเมลอยู่บนเซิร์ฟเวอร์อยู่แล้วทำการโจมตี และแบบ remote attack ซึ่งถูกระบุว่ามีความซับซ้อนสูง เนื่องจากผู้โจมตีจะต้องมีการรักษา connection ที่เชื่อมต่อกับเซิร์ฟเวอร์ที่มีช่องโหว่เอาไว้กว่า 7 วัน และยังไม่มีการโจมตีช่องโหว่จากระยะไกลที่ง่ายไปกว่านี้

ช่องโหว่กระทบ Exim ตั้งแต่เวอร์ชัน 4.87 ถึง 4.91 โดยผู้ใช้งานสามารถทำการอัปเกรดซอฟต์แวร์เพื่อรับแพตช์จากโครงการต้นน้ำได้ตั้งแต่วันนี้เป็นต้นไป

ที่มา : zdnet

แพตช์ช่องโหว่ Android ประจำเดือนมิถุนายน 2562 มาแล้ว ทั้งหมด 22 ช่องโหว่ถูกแพตช์

Google ประกาศแพตช์ด้านความปลอดภัยสำหรับ Android ประจำเดือนมิถุนยายน 2562 วันนี้โดยมีช่องโหว่ระดับวิกฤติ (critical) จำนวน 8 ช่องโหว่จากทั้งหมด 22 ช่องโหว่ที่ถูกแพตช์ในรอบนี้

สำหรับช่องโหว่ร้ายแรงระดับวิกฤติ คอมโพเนนต์ของระบบที่ยังคงปรากฎช่องโหว่เหล่านี้เป็นจำนวนมากยังได้แก่ส่วนที่เป็น Media Framework ซึ่งผู้โจมตีสามารถสร้างไฟล์ซึ่งเมื่อถูกประมวลผลด้วย Media Framework จะทำให้ผู้โจมตีสามารถรันโค้ดที่เป็นอันตรายได้ อีกหนึ่งช่องโหว่มาจากส่วน System ในโมดูลที่เกี่ยวข้องกับไฟล์ PAC และส่วนที่เหลือเป็นช่องโหว่ระดับวิกฤติจากคอมโพเนนต์ของ Qualcomm

ผู้ใช้งานสามารถรับแพตช์ได้ทันทีตั้งแต่วันนี้เป็นต้นไป โดยความช้า-เร็วในการรับแพตช์จะขึ้นอยู่กับผู้ผลิตในแต่ละราย ข้อมูลเกี่ยวกับช่องโหว่แบบมีรายละเอียดครบถ้วนสามารถตรวจสอบได้ที่ https://source.

โครงการ phpMyAdmin ประกาศแพตช์สำหรับช่องโหว่ SQL Injection และ CSRF

โครงการ phpMyAdmin ประกาศแพตช์สำหรับช่องโหว่รหัส CVE-2019-11768 (PMSA-2019-3) และ CVE-2019-12616 (PMSA-2019-4) วันนี้ โดยเป็นช่องโหว่ SQL Injection และ CSRF ตามลำดับ

ช่องโหว่ CVE-2019-11768 เป็นช่องโหว่ SQL Injection ในส่วน Designer Feature โดยตรวจพบกับ phpMyAdmin เวอร์ชันก่อน 4.8.6 ซึ่งจะเกิดขึ้นเมื่อผู้โจมตีมีการสร้างฐานข้อมูลด้วยชื่อแบบพิเศษซึ่งจะทำให้เกิดเงื่อนไขของ SQL Injection

ในส่วนของช่องโหว่ CVE-2019-12616 นั้น เป็นช่องโหว่ประเภท CSRF ที่หน้าล็อกอินของ phpMyAdmin โดยผู้โจมตีสามารถทำการโจมตีผ่าน HTML tag ที่มีการพัฒนาอย่างไม่ปลอดภัยเพื่อใช้สิทธิ์ของผู้ใช้งานในการส่งคำสั่งที่เป็นอันตรายไปยังระบบได้ ช่องโหว่นี้กระทบ phpMyAdmin ก่อนรุ่น 4.9.0 โดยให้ทำการอัปเดตเป็นเวอร์ชันใหม่กว่าเพื่อรับการแก้ไขช่องโหว่

ที่มา: PMASA-2019-3 , PMASA-2019-4

ผู้สร้าง GandCrab ransomware ประกาศว่าจะหยุดให้บริการ Ransomware-as-a-Service เพราะได้เงินพอแล้ว

ในช่วงปลายเดือนที่ผ่านมาผู้สร้าง GandCrab ransomware ได้ประกาศว่าจะทำการปิดการทำงานของ Ransomware-as-a-Service (RaaS) ด้วยเหตุผลที่ว่าผู้สร้างสามารถที่จะทำเงินได้มากพอแล้ว (มากกว่า 2 พันล้านเหรียญ) และวางแผนที่จะยกเลิกการให้บริการภายในหนึ่งเดือน

มัลแวร์เรียกค่าไถ่ (Ransomware) เป็นการโจมตีในรูปแบบการเข้ารหัสไฟล์ในเครื่องผู้ใช้งาน เหยื่อต้องจ่ายเงินให้แก่ผู้โจมตีเพื่อแลกกับการถอดรหัสเพื่อให้ได้ไฟล์คืนมา โดยพบว่ามัลแวร์เรียกค่าไถ่ที่อยู่ในตระกูล GandCrab ได้รายได้จากการขาย GandCrab RaaS ให้กับผู้ต้องการและส่วนแบ่งจากเงินเรียกค่าไถ่ที่เหยื่อจ่ายมา จากประกาศดังกล่าวยังมีการระบุว่า ผู้สร้างวางแผนจะทำการลบคีย์สำหรับถอดรหัสทิ้งด้วย ซึ่งจะส่งผลให้ผู้ที่ตกเป็นเหยื่อไม่สามารถกู้คืนไฟล์ได้ แต่นักวิจัยก็เชื่อว่าการประกาศลบคีย์สำหรับถอดรหัสนี้อาจจะเป็นแค่แผนการเพื่อกระตุ้นให้ผู้ที่ตกเป็นเหยื่อตื่นตระหนกและรีบทำการชำระค่าไถ่ก็เป็นไปได้

อย่างไรก็ตามหากอ้างอิงถึงเหตุการณ์ลักษณะเดียวกัน ที่ผู้ผลิตมัลแวร์เรียกค่าไถ่ประกาศจะปิดกระบวนการทำงานของมัลแวร์ อย่างเช่น TeslaCrypt, XData, Crysis และ FilesLocker ผู้สร้างมัลแวร์เหล่านั้นมักจะปล่อยคีย์สำหรับถอดรหัสออกมาให้เหยื่อฟรีๆ มากกว่า ดังนั้นทางเลือกที่ดีที่สุดคือ ไม่ติดเลยจะดีกว่า หรือควรมีแผนสำหรับกู้คืนระบบเมื่อตกเป็นเหยื่อจริงๆ อย่างเช่น การมีระบบ Backup ข้อมูลของเครื่องสำคัญๆ อย่างสม่ำเสมอ

ที่มา: zdnet

จากเหตุการณ์ที่ธนาคาร Bamcomext และธนาคาร Bank of Chile ถูกโจมตีทั้งในรูปแบบของการใช้มัลแวร์ KillDisk เพื่อแพร่ระบาดในเครือข่ายของธนาคารและรูปแบบของการเข้ายึดและสั่งการระบบ SWIFT ของธนาคารให้มีการโอนเงินออกมา อ้างอิงจากแหล่งข่าวของ Cyberscoop คนในสามคนที่เข้าตรวจสอบเหตุการณ์นี้ได้ออกมายืนยันแล้วว่าเป็นการโจมตีที่มีความเกี่ยวข้องกับกลุ่มแฮกเกอร์ของเกาหลีเหนือ

กลุ่มแฮกเกอร์เกาหลีเหนือตกเป็นผู้ต้องสงสัยในการโจมตีระบบของธนาคารเพื่อขโมยเงินหลายครั้ง โดยหนึ่งในกลุ่มแฮกเกอร์ซึ่งเป็นที่รู้จักกันว่ามีแรงจูงใจในการโจมตีเพื่อการแสวงหาเงินนั้นคือกลุ่ม Lazarus Group (ชื่ออื่น HIDDEN COBRA, Unit 121)

แม้ว่ากลุ่มผู้โจมตีจะมีการใช้มัลแวร์ KillDisk หรือ MBR Killer ในการสร้างความเสียหายและดึงความสนใจ การปรากฎตัวของมัลแวร์ดังกล่าวก็ไม่ได้เป็นหลักฐานในการยืนยันที่ดีมากนักแม้ว่ามัลแวร์ในลักษณะเดียวกันจะเคยปรากฎในครั้งที้ธนาคารสัญชาติไต้หวันถูกโจมตีมาแล้ว เนื่องจากซอร์สโค้ดของมัลแวร์ทั้งสองประเภทนี้นั้นถูกปล่อยขายอยู่ในตลาดมืดออนไลน์โดยทั่วไป

อย่างไรก็ตามนอกเหนือจากการปรากฎตัวของมัลแวร์ KillDisk หรือ MBR Killer และความคลุมเครือของมัน อ้างอิงจากรายงานการวิเคราะห์ของ Flashpoint (TLP: Amber) Flashpoint ยังคงยืนยันว่าโมดูลของ MBR Killer, RAT และ TTP ของผู้โจมตีนั้นมีความเกี่ยวข้องกับกรณีการโจมตีสถาบันทางการเงินอื่นๆ และยังสามาถเชื่อมโยงกลับไปยังเกาหลีเหนือได้

Lazarus Group หรือ HIDDEN Cobra มักใช้เทคนิค Spear Phishing เพื่อให้สามารถเข้าถึงเครือข่ายภายในของธนาคารได้ ก่อนจะทำการติดตั้งและดาวโหลดมัลแวร์ต่างๆ ที่ทำให้ผู้โจมตีสามารถควบคุมระบบภายได้ ท้ายที่สุดผู้โจมตีจะมีการทำ Lateral Movement เพื่อค้นหาระบบที่เกี่ยวข้องกับระบบ SWIFT ก่อนที่จะดำเนินสั่งโอนเงินออกมา

ที่มา : Security Affairs

โครงการ phpMyAdmin ประกาศแพตช์ช่องโหว่ความปลอดภัยรหัส CVE-2018-12581 และ CVE-2018-12613 เมื่อปลายสัปดาห์ที่ผ่านมา โดยช่องโหว่ที่มีการประกาศแพตช์นั้นมีทั้งช่องโหว่ประเภท XSS, LFI และ RCE

ช่องโหว่แรกรหัส CVE-2018-12581 ถูกค้นพบโดย William Desportes โดยค้นพบช่องโหว่ XSS ในฟีเจอร์ Designer ซึ่งส่งผลให้ผู้โจมตีสามารถสร้างการโจมตีที่เป็นอันตรายที่จะถูกสั่งให้ทำงานโดยผู้ใช้งานผ่านทางฟิลด์ชื่อของฐานข้อมูลได้

ช่องโหว่ที่สองรหัส CVE-2018-12613 ถูกค้นพบโดย Huang Henry โดยเป็นช่องโหว่แบบ LFI ที่ผู้โจมตีจำเป็นต้องมีการพิสูจน์ตัวตนกับระบบก่อน ช่องโหว่นี้มีที่มาจากการที่ phpMyAdmin ในไฟล์ที่ผู้ใช้งานมาอัปโหลดและทำการแสดงผล รวมไปถึงปัญหาในการ whitelist ของซอฟต์แวร์เองซึ่งทำให้เกิดการรันโค้ดที่เป็นอันตรายได้
สำหรับช่องโหว่รหัส CVE-2018-12613 ผู้ใช้งานซอฟต์แวร์สามารถป้องกันการโจมตีในเบื้องต้นได้โดยการตั้งค่า "open_basedir", "$cfg['AllowArbitraryServer'] " และ "$cfg['ServerDefault']" อย่างเหมาะสม

ดำเนินการอัปเดตซอฟต์แวร์ phpMyAdmin ไปเป็นเวอร์ชันที่มีการแพตช์แล้วคือเวอร์ชัน 4.8.2 โดยด่วน

ที่มา : phpMyAdmin

ทีมนักวิจัยด้านความปลอดภัยจาก AlienVault ประกาศการค้นพบมัลแวร์ตัวใหม่ภายใต้ชื่อ GZipDe ซึ่งเชื่อกันว่าเป็นมัลแวร์ที่มีเป้าหมายอย่างเฉพาะเจาะจง (targeted attack) เพื่อการจารกรรมข้อมูล

AlienVault ค้นพบมัลแวร์ครั้งแรกจากไฟล์ที่ถูกอัปโหลดขึ้นมาสแกนบนเซอร์วิสของ VirusTotal โดยไฟล์ดังกล่าวเป็นไฟล์เอกสาร Word ซึ่งเมื่อถูกรันแล้วจะทำการดาวโหลดและติตตั้งมัลแวร์ GZipDe ลงไป ไฟล์ดังกล่าวมีที่มาจากผู้ใช้งานในอีฟกานิสถานซึ่งในขณะนี้ยังไม่สามารถระบุลงลึกไปได้ว่าเป้าหมายในการโจมตีครั้งนี้เป็นใครหรือองค์กรใด

มัลแวร์ GZipDe มีจุดน่าสนใจในโมดูล RAT เมื่อ payload ที่มีที่มาจากไฟล์เอกสาร Word ถูกถอดรหัสและถูกเรียกใช้งานบนหน่วยความจำแล้ว มันจะทำการดาวโหลดโมดูล RAT ซึ่งแท้จริงคือโมดูลแบ็คดอร์ของชุดโปรแกรมสำหรับทดสอบเจาะระบบ Metasploit

การใช้งานซอฟต์แวร์ในการทดสอบเจาะระบบในการโจมตีจริงนั้นไม่ใช่สิ่งใหม่ เนื่องจากกลุ่มผู้โจมตีและ APT หลายประเภทก็มีการใช้ซอฟต์แวร์ อาทิ Metasploit หรือ Cobalt Strike ในกระบวนการโจมตีและฝังตัวในระบบเช่นเดียวกัน

ที่มา : BLEEPINGCOMPUTER