ในช่วงปลายเดือนพฤกษาคมถึงต้นเดือนมิถุนายนที่ผ่านมา แอปเปิลได้มีการปล่อยแพตช์ด้านความปลอดภัยชุดใหญ่ซึ่งครอบคลุมหลายผลิตภัณฑ์ เฉพาะใน iOS 11.4 นั้น มีแพตช์ด้านความปลอดภัยกว่า 40 รายการ

สำหรับผลิตภัณฑ์ที่ได้รับการอัปเดตเวอร์ชันใหม่แถมแพตช์ด้านความปลอดภัยมีดังต่อไปนี้
- iTunes 12.7.5 for Windows
- watchOS 4.3.1
- iOS 11.4
- macOS High Sierra 10.13.5, Security Update 2018-003 Sierra, Security Update 2018-003 El Capitan
- Safari 11.1.1
- iCloud for Windows 7.5

โดยในรอบนี้นั้น WebKit ซึ่งเป็นเอนจินบนเว็บเบราว์เซอร์นั้นตกเป็นเป้าของการโจมตีและเป็นที่มาของหลายช่องโหว่ หนึ่งในนั้นคือช่องโหว่ CVE-2018-4233 ซึ่งถูกค้นพบโดย Samuel Groß (@5aelo) และถูกใช้งานในงาน Pwn2Own 2018 ที่ผ่านมา โดยทำให้เหยื่อถูกแฮกได้เพียงเป็นเปิดเว็บไซต์ที่มีโค้ดสำหรับโจมตีบนเครื่องที่มีช่องโหว่
Recommendation แนะนำให้ผู้ใช้งานทำการอัปเดตอุปกรณ์และซอฟต์แวร์ให้เป็นเวอร์ชันใหม่โดยด่วน

ที่มา : US-CERT

นักวิจัยภัยคุกคามอิสระ Kaffeine, นักวิจัยจาก Qihoo 360, Kaspersky, TrendMicro และ MalwareBytes ออกรายงานพฤติกรรมของเครือข่ายมัลแวร์ RIG Exploit Kit ล่าสุดที่มีการใช้ช่องโหว่รหัส CVE-2018-8174 ซึ่งเพิ่งถูกแพตช์เมื่อเดือนพฤษภาคมที่ผ่านมาเพื่อโจมตีระบบที่มีช่องโหว่และแพร่กระจายมัลแวร์ขุดบิทคอยน์

ช่องโหว่ CVE-2018-8174 เป็นช่องโหว่ในคอมโพเนนต์ VBScript ซึ่งถูกรวมอยู่ในโปรแกรมอย่าง Internet Explorer และ Microsoft Office ซึ่งทำให้ผู้โจมตีสามารถรันโค้ดที่เป็นอันตรายหรือมัลแวร์ในระบบของเหยื่อได้

เป็นที่เชื่อกันว่าพฤติกรรมของ RIG Exploit Kit เกิดขึ้นหลังจากมีการเปิดเผยโค้ดสำหรับพิสูจน์การมีอยู่ของช่องโหว่ (PoC) โดยนักวิจัยด้านความปลอดภัย Michael Gorelik จาก Morphisec ซึ่งทำให้มัลแวร์สามารถนำโค้ดดังกล่าวไปใช้ในการโจมตีและแพร่กระจายมัลแวร์ได้

แนะนำให้ผู้ใช้งานทำการอัปแพตช์ของระบบปฏิบัติการ Windows ให้เป็นรุ่นล่าสุดโดยด่วน

ที่มา: BLEEPINGCOMPUTER

CISCO ประกาศข่าวน่าตกใจว่าพบช่องโหว่ Buffer Overflow ในส่วน Simple Network Management Protocol (SNMP) Service ในทุกๆ version ที่ให้บริการใน CISCO IOS, IOS XE

CISCO กล่าวว่า SNMP ทุกๆ version (v1,v2c,v3) ที่ให้บริการใน CISCO IOS, IOS XE นั้นมีช่องโหว่ Buffer Overflow อยู่ทำให้สามารถถูก exploit แล้วกลายเป็น Denila of Service (ส่งผลให้เครื่องไม่สามารถให้บริการได้) หรือ Remote Code Execution (สั่งงานเครื่องจากระยะไกล) ได้ โดยหากเป็นบริการ SNMP v1,v2c ผู้โจมตีสามารถโจมตีได้โดยที่จำเป็นต้องรู้ SNMP community string แต่หากเป็น SNMPv3 จำเป็นต้องมี username, password ด้วย

โดยช่องโหว่ดังกล่าวนี้มี CVE 9 CVE คือ CVE-2017-6736, CVE-2017-6737, CVE-2017-6738, CVE-2017-6739, CVE-2017-6740, CVE-2017-6741, CVE-2017-6742, CVE-2017-6743, CVE-2017-6744 และ CVE แต่ละตัวจะเกี่ยวข้องกับ SNMP Management Information Bases (MIBs) ต่อไปนี้ :

ADSL-LINE-MIB
ALPS-MIB
CISCO-ADSL-DMT-LINE-MIB
CISCO-BSTUN-MIB
CISCO-MAC-AUTH-BYPASS-MIB
CISCO-SLB-EXT-MIB
CISCO-VOICE-DNIS-MIB
CISCO-VOICE-NUMBER-EXPANSION-MIB
TN3270E-RT-MIB
ตอนนี้ทาง CISCO ยังคงทำ patch update ไม่เสร็จ ดังนั้นในระหว่างนี้หากไม่มีความจำเป็นใดๆแนะนำให้ทำการปิด SNMP Access ไปก่อน หรือปิดการใช้งาน MIBs ที่มีช่องโหว่ครับ

ที่มา : TheRegister
แปลโดย : Techsuii

ทาง Ubuntu ประกาศว่ามีการพบช่องโหว่ Remote Code Execcution ใน Systemd ซึ่งทำให้ client นั้นอาจถูกแฮ็คได้ทันที เมื่อได้รับ DNS Response ที่ถูกสร้างขึ้นมาโดยเฉพาะ

Ubuntu ประกาศเมื่อวันที่ 27/06/2017 ที่ผ่านมาว่าพบช่องโหว่ Denial of Service และ Remote Code Execution จากการรับ DNS Response ที่ถูกสร้างขึ้นมาเฉพาะใน systemd-resolved ซึ่งได้รับ CVE เป็น CVE-2017-9445 หากใครใช้งาน Ubuntu version 16.10 หรือ 17.04 แนะนำให้ทำการ update systemd ด่วนครับ

ผลกระทบ: Remote Code Execution or DoS
ระบบที่ได้รับผลกระทบ: Ubuntu 16.10 , 17.04
วิธีแก้ไขหรือป้องกัน: ทำการ upgrade Systemd เป็น 231-9ubuntu5 (16.10) หรือ 232-21ubuntu5 (17.04)

ที่มา : Ubuntu

ช่วงเวลาประมาณ 19:30 ของวันที่ 28/06/2017 ที่ผ่านมา นักวิจัยด้านความปลอดภัยทั่วโลกตรวจพบการแพร่กระจายของมัลแวร์เรียกค่าไถ่ที่มีลักษณะคล้ายกับมัลแวร์เรียกค่าไถ่ Petya แต่ด้วยลักษณะที่แตกต่างกันคือมีการแพร่กระจายอย่างรวดเร็วและส่งผลกระทบในวงกว้างมากกว่าภายใต้ชื่อของมัลแวร์ที่ถูกเรียกว่า Petyawrap
ในบทความนี้ทีมงานไอ-ซีเคียวจะมานำเสนอรายละเอียดโดยสรุป สมมติฐานการแพร่กระจายของมัลแวร์พร้อมทั้งวิธีการป้องกันและลดผลกระทบในเบื้องต้นเพื่อป้องกันผู้ใช้บริการและผู้ใช้งานทั่วไปให้ปลอดภัยจากมัลแวร์ครับ
สรุปย่อ

มัลแวร์เรียกค่าไถ่ Petyawrap เป็นมัลแวร์เรียกค่าไถ่ในตระกูลเดียวกับมัลแวร์เรียกค่าไถ่ Petya ซึ่งเคยมีการแพร่กระจายและสร้างความเสียหายมาแล้วในช่วงต้นปี 2016 ที่ผ่านมาโดยสร้างความเสียหายด้วยการเข้ารหัสส่วนของ master file table (MFT) ซึ่งทำให้ระบบปฏิบัติการไม่สามารถอ่านข้อมูลจากดิสก์ได้

ภาพหน้าจอหลังจากที่มัลแวร์ Petyawrap แพร่กระจายและมีการบังคับให้รีบูตระบบใหม่ ภาพจากคุณ Vlad Styran

มัลแวร์เรียกค่าไถ่ Petyawrap ถูกสันนิษฐานว่าใช้วิธีการแพร่กระจายผ่านทางช่องโหว่ EternalBlue ซึ่งเป็นวิธีการเดียวกับที่มัลแวร์เรียกค่าไถ่ WannaCry ใช้ในการแพร่กระจายตัวเองอันเนื่องมาจากความรวดเร็วในการแพร่กระจายและจำนวนของเครื่องที่ถูกเข้ารหัสซึ่งเกิดขึ้นอย่างรวดเร็ว (ดูเพิ่มเติมเกี่ยวกับ EternalBlue ได้ที่นี่)
พฤติกรรมที่สามารถสังเกตเห็นได้นอกเหนือจากหน้าจอที่แสดงกระบวนการจ่ายค่าไถ่
ของมัลแวร์เรียกค่าไถ่ Petyawrap นั้นประกอบไปด้วย ระบบมีการรีบูตอัตโนมัติ, ไฟล์ที่เป็น event log ถูกลบออกและรวมไปถึงมีการสร้างไฟล์น่าสงสัยที่พาธ %PROGRAMDATA%\dllhost.

ข้อมูลส่วนตัวของประชาชนสหรัฐฯ กว่า 200 ล้านคน คิดเป็นเกือบ 62% ของจำนวนประชากรสหรัฐฯ ถูกเก็บอยู่บนคลาวด์เซิร์ฟเวอร์ของ Amazon ใครมีลิงก์ก็สามารถเปิดดูได้ทันที
ข้อมูลขนาดกว่า 1.1 เทราไบต์ ประกอบไปด้วยข้อมูลเบื้องต้นตั้งแต่วันเกิด ที่อยู่ หมายเลขโทรศัพท์ จนไปถึงแนวคิดทางการเมือง มุมมองเกี่ยวกับเรื่องเชื้อชาติ และจุดยืนในประเด็นอ่อนไหวที่ยังมีการถกเถียง เช่น กฎหมายการควบคุมปืน สิทธิ์ในการทำแท้ง และการวิจัยสเต็มเซลล์ ซึ่งข้อมูลถูกรวบรวมมาจากหลายแหล่งตั้งแต่โพสต์ทางการเมืองบน Reddit จนไปถึงงานระดมทุนสนับสนุนพรรค Republican
นักวิเคราะห์ความเสี่ยงทางไซเบอร์เป็นผู้พบข้อมูลไฟล์ spreadsheet เก็บอยู่ในเซิร์ฟเวอร์ของบริษัท Deep Root Analytics ไฟล์มีการอัพเดตเมื่อเดือนมกราคมที่ผ่านมา ซึ่งตรงกับช่วงพิธีสาบานตนเข้ารับตำแหน่งของประธานาธิบดี Trump โดยข้อมูลถูกพบเมื่ออาทิตย์ที่แล้วแต่ยังไม่แน่ชัดว่าถูกเปิดให้เข้าถึงมานานแค่ไหน จากชื่อไฟล์ทำให้ระบุได้ว่าข้อมูลจะถูกนำไปใช้สำหรับองค์กรที่สนับสนุนพรรค Republican

ที่มา: Blognone , BBC

Samsung ถือเป็นหนึ่งในบริษัทชั้นนำเรื่องมือถือในยุคปัจจุบัน แต่กลับปล่อยให้ผู้ใช้จำนวนมากตกเป็นเหยื่อของภัยคุกคาม หลังจากที่ไม่ยอมต่อ domain name สำหรับการแนะนำ Application

หากคุณใช้มือถือ Samsung รุ่นเก่าๆหน่อย คุณจะคงเห็นโปรแกรมที่ชื่อว่า "S Suggest" ติดตั้งอยู่ ซึ่ง Application ดังกล่าวจะเป็น app สำหรับการแนะนำ application/widget อื่นๆที่เหมาะสมกับเครื่องของเรา ซึ่งบริการดังกล่าวนี้ได้หยุดให้บริการไปตั้งแต่ 2014 โดย Application ดังกล่าวจะทำการติดต่อไปยัง ssuggest.

Qualys แสดงความสามารถอีกครั้งด้วยการเปิดเผยช่องโหว่ที่ชือว่า "Stack Clash" ทำให้ user สามารถใช้ช่องโหว่ดังกล่าวเพิ่มสิทธิ์ของตัวเองให้กลายเป็นสิทธิ์สูงสุดหรือ root ได้

Qualys พบช่องโหว่ "Stack Clash" ซึ่งทำให้ได้สิทธิ์ root ใน UNIX System ได้ ทาง Qualys พบช่องโหว่นี้ตั้งแต่เมื่อเดือนที่แล้ว (06/2017) และได้แจ้งให้เหล่า vendor ต่างๆไปก่อนแล้ว เพื่อให้ทาง vendor เหล่านั้นออกมา patch แก้ไขได้ทัน

ช่องโหว่นี้กระทบทั้ง Linux, OpenBSD, NetBSD, FreeBSD, และ Solaris.

PayPal เป็นเป้าหมายสำหรับการทำ Phishing มาตลอดเนื่องด้วยความใหญ่โตและความน่าเชื่อถือเกี่ยวกับการทำธุรกรรมของ PayPal ทำให้เราเห็น Phishing website ที่ปลอมเป็น PayPal อยู่บ่อยๆ แต่พบว่า PayPal Phishing website หลายๆอันไม่เพียงแต่จะหลอกให้ user กรอก username, password เท่านั้น รวมไปถึงหลอกให้ทำการถ่าย selfie กับบัตรประชาชนส่งมาให้ด้วย
Security Researcher จาก PhishMe พบการ spam Phishing website ไปยัง user ต่างๆทั่วโลก โดย Phishing website นั้นปลอมเป็น PayPal และตั้งอยู่บนเว็บไซด์ WordPress ใน New Zealand ที่ถูกแฮ็คมา ซึ่งสิ่งที่เว็บไซด์ Phishing ดังกล่าวแตกต่างจาก Phishing ทั่วไป โดยหน้า login จะมีให้ใส่ PayPal credentials จากนั้นเมื่อ login เข้ามา(แน่นอนว่าแกล้งให้เป็นการ login สำเร็จ)ก็จะแจ้งให้ผู้ใช้งานกรอกข้อมูลบัตรเครดิต, รวมถึงให้ user ถ่ายภาพ selfie พร้อมกับถือ ID card ไปด้วย
ซึ่งเข้าใจว่าการขอข้อมูลเหล่านั้นจะนำไปสู่การสร้าง account CryptoCurrency ต่างๆ ด้วยข้อมูลที่หลอกมาได้ต่อไปนั่นเอง
ที่มา : bleepingcomputer

Kaspersky ยังคงทำ Project nomoreransom (https://www.nomoreransom.org) อย่างต่อเนื่อง ล่าสุดได้มีการพยายามหยุดยั้ง Ransomware เพิ่มเติมโดยการเผยแพร่เครื่องมือถอดรหัส Jaff Ransomware เหยื่อที่ติด Jaff Ransomware จะมีอาการคือไฟล์ถูกเข้ารหัสแล้วถูกเปลี่ยนนามสกุลไฟล์ (extension) เป็น .jaff, .wlu, .sVn) โดยเราสามารถ download ตัวถอดรหัสได้จาก http://media.