หน่วยงานไซเบอร์ฝรั่งเศสแจ้งเตือนความเคลื่อนไหวของกลุ่มแฮกเกอร์ Sandworm พุ่งเป้าโจมตีซอฟต์แวร์มอนิเตอร์ระบบ Centreon

หน่วยงานด้านความปลอดภัยทางไซเบอร์ของฝรั่งเศส Agence Nationale de la Sécurité des Systèmes d'Information หรือ ANSSI ออกรายงานเชิงวิเคราะห์เกี่ยวกับความเคลื่อนไหวของกลุ่มแฮกเกอร์สัญชาติรัสเซีย Sandworm ซึ่งมีความเคลื่อนไหวมาตลอด 3 ปี โดยใจความสำคัญของรายการเชิงวิเคราะห์ดังกล่าวนั้นระบุถึงการโจมตีซอฟต์แวร์มอนิเตอร์ระบบ Centreon เพื่อเข้าถึงระบบภายในขององค์กรและบริษัทในฝรั่งเศสหลายองค์กร

ซอฟต์แวร์มอนิเตอร์ระบบ Centreon ถูกตรวจพบไว้ใช้เป็นช่องทางในการเข้าถึงและโจมตีระบบของ Sandworm โดย Centreon ที่ถูกตรวจพบว่าถูกโจมตีนั้นมักเป็นระบบที่สามารถเข้าถึงได้จากอินเตอร์เน็ต อย่างไรก็ตามยังไม่มีการยืนยันอย่างชัดเจนว่าการโจมตีดังกล่าวเกิดขึ้นในลักษณะของการโจมตีช่องโหว่ หรือเป็นการคาดเดารหัสผ่าน

อ้างอิงจากรายงานของ ANSSI เหยื่อรายแรกที่ตรวจพบนั้นถูกโจมตีในปี 2017 และมีการปรากฎความเคลื่อนไหวมาเรื่อยมาจนกระทั่งในปี 2020 โดยหลังจากที่ Sandworm เข้าถึงระบบ Centreon ของเป้าหมายได้สำเร็จแล้ว กลุ่มผู้โจมตีจะทำการติดตั้ง Web shell และ Backdoor เพื่อใช้ในการเข้าถึงในภายหลัง ด้วยลักษณะของมัลแวร์ที่ใช้ ANSSI จึงได้เชื่อมโยงความเกี่ยวข้องพฤติกรรมดังกล่าวไปหากลุ่ม Sandworm ซึ่งสอดคล้องกับรายงานของ Kaspersky

ในขณะที่ทาง Centreon ยังไม่ได้มีการออกมาให้ความเห็นเพิ่มเติมเกี่ยวกับกรณีที่เกิดขึ้น ขอให้ติดตามสถานการณ์ต่อไป

ที่มา : zdnet

อัปเดตสถานการณ์ SolarWinds: ทำความรู้จักมัลแวร์ SUNSPOT ฝังตัวแอบแก้ซอร์สโค้ด, ความเชื่อมโยงกับรัสเซียและการประกาศขายข้อมูล

ทีม Intelligent Response ข้อสรุปสถานการณ์ที่เกี่ยวข้องกับ SolarWinds ที่เกิดขึ้นในช่วงวันที่ 11-13 มกราคม 2021 ตามรายละเอียดดังนี้

CrowdStrike เผยแพร่รายงานการตรวจสอบการบุกรุกระบบของ SolarWinds เพื่อฝังโค้ดของมัลแวร์ SUNBURST ลงไปในแพลตฟอร์ม SolarWinds Orion ผลการตรวจสอบพบการบุกรุกและการมีอยู่ของมัลแวร์ชื่อ SUNSPOT ซึ่งรับหน้าที่ในการฝังมัลแวร์ SUNBURST อ่านข้อมูลในส่วนนี้เพิ่มเติมได้ที่เหตุการณ์การโจมตี SolarWinds
Kaspersky มีการเปิดเผยรายงานการวิเคราะห์ความเชื่อมโยงของโค้ดของมัลแวร์ SUNBURST กับมัลแวร์ Kazuar ซึ่งถูกใช้โดยกลุ่มแฮกเกอร์ Turla แม้จะมีส่วนของโค้ดที่มีลักษณะเหมือนหรือคล้ายคลึงกัน การตัดสินความเชื่อมโยงจากผู้เกี่ยวข้องกับ SUNBURST เข้ากับกลุ่มแฮกเกอร์ Turla ซึ่งเป็นผู้พัฒนามัลแวร์ Kazuar ก็ยังไม่สามารถสรุปได้อย่างแน่ชัด อ่านข้อมูลในส่วนนี้เพิ่มเติมได้ที่รายละเอียด Threat actor
เว็บไซต์ solarleaks[.]net ประกาศขายข้อมูลของ Microsoft, Cisco, FireEye และ SolarWinds ซึ่งทั้งหมดเป็นเหยื่อของการโจมตี Supply-chain attack จาก SolarWinds อย่างไรอ้างอิงจากการตรวจสอบโดย Joseph Cox ซึ่งเป็นผู้สื่อข่าวได้ Cybersecurity ของ Motherboard ระบุว่าเว็บไซต์ดังกล่าวมีความน่าเชื่อถือต่ำ อีกทั้งยังไม่มีหลักฐานว่าได้มีการครอบครองข้อมูลจริง
ที่มา: crowdstrike | securelist | bleepingcomputer | twitter.

กลุ่มแฮกเกอร์รับจ้างใช้เครืองมือเเฮกชนิดใหม่ที่ชื่อ PowerPepper ในการโจมตีผู้ใช้ล่าสุด

นักวิจัยด้านความปลอดภัยของ Kaspersky ได้เปิดเผยรายละเอียดเกี่ยวกับแบ็คดอร์ PowerShell ใน Windows ที่พึ่งมีการค้นพบ โดยแบ็คดอร์ที่มีการค้นพบนั้นถูกระบุชื่อว่า PowerPepper ตามภาษาที่ถูกใช้เพื่อพัฒนาแบ็คดอร์ เชื่อว่าเป็นแบ็คดอร์ที่ถูกพัฒนามาจากกลุ่ม Advanced Persistent Threat (APT) รับจ้างที่มีชื่อว่า DeathStalker

กลุ่ม DeathStalker เป็นกลุ่ม APT ที่ถูกพบครั้งเเรกในปี 2012 โดยมีการกำหนดเป้าหมายการโจมตีไปยังกลุ่มธุรกิจขนาดเล็กถึงขนาดกลางในหลายสิบประเทศตามคำขอของลูกค้าที่ทำการว่าจ้าง กิจกรรมการโจมตีที่ถูกตรวจพบว่ามีการใช้ PowerPepper ถูกพบครั้งแรกเมื่อต้นเดือนกรกฎาคมที่ผ่านมา การโจมตีส่วนใหญ่เริ่มต้นด้วยอีเมล Spear-phishing ที่มีไฟล์เอกสาร Word ที่เป็นอันตราย ซึ่งเมื่อคลิกแล้วจะดาวน์โหลดและเรียกใช้สคริปต์ PowerShell ชื่อ Powersing เพื่อดำเนินการรันคำสั่งอันตราย จากนั้นมัลแวร์จะใช้ประโยชน์จากโปรโตคอล DNS-over-HTTPS (DoH) เป็นช่องทางการสื่อสารจากเซิร์ฟเวอร์ Command and Control (C&C) ของผู้ประสงค์ร้าย

เพื่อเป็นการป้องกันการตกเป็นเหยื่อผู้ใช้ควรระมัดระวังในการเปิดเอกสารที่แนบมากับอีเมล หรือคลิกลิงก์ในอีเมลจากผู้ส่งที่ไม่รู้จัก หรือผู้ดูแลระบบควรทำจำกัดการใช้งาน PowerShell บนคอมพิวเตอร์ของผู้ใช้ด้วยอีกทางหนึ่ง

ที่มา: thehackernews | securityweek

เตือนภัย! Android banking trojan ชนิดใหม่ “Ghimob” มุ่งเป้าขโมยข้อมูลและสอดแนมผู้ใช้ Android

นักวิจัยด้านความปลอดภัยจาก Kaspersky ได้รายงานถึงการค้นพบ Android banking trojan ชนิดใหม่ที่สามารถสอดแนมและขโมยข้อมูลจากแอปพลิเคชันของผู้ใช้ Android ได้ โดยหลังจากนักวิจัยพบจำนวนแอปพลิเคชัน 153 แอปพลิเคชันที่มีอันตรายและนักวิจัยได้เรียกโทรจันชนิดนี้ว่า Ghimob

นักวิจัยกล่าวว่า Ghimob เป็นโทรจันได้รับการพัฒนาโดยกลุ่มเดียวกันที่อยู่เบื้องหลังมัลแวร์ Windows Astaroth หรือ Guildma การตรวจพบเกิดจากทีมนักวิจัยได้รับข้อเสนอให้ทำการดาวน์โหลด Android ที่เป็นอันตรายบนเว็บไซต์เเห่งหนึ่งและเมื่อทำการตรวจสอบเซิร์ฟเวอร์ที่ใช้งานพบว่าเป็นเซิร์ฟเวอร์ที่ก่อนหน้านี้ถูกใช้โดยกลุ่มมัลแวร์ Astaroth (Guildama)

แอปที่อยู่ภายในเว็บไซต์พบว่ามีการเลียนแบบแอปและแบรนด์ที่เป็นทางการโดยมีชื่อเช่น Google Defender, Google Docs, WhatsApp Updater หรือ Flash Update หากผู้ใช้ประมาทและทำการติดตั้งแอป ถึงแม้จะมีคำเตือนที่แสดงบนอุปกรณ์ของผู้ใช้ก็ตาม แอปที่เป็นอันตรายเหล่านี้จะร้องขอการเข้าถึงบริการ ซึ่งจะเป็นขั้นตอนสุดท้ายในกระบวนการติดไวรัสและถ้าหากได้รับอนุญาต แอปจะค้นหาข้อมูลภายในโทรศัพท์ที่ติดไวรัสเพื่อดูรายการแอปของผู้ใช้ จากนั้นจะแสดงหน้าล็อกอินปลอมเพื่อพยายามขโมยข้อมูล Credential ของผู้ใช้ ซึ่งหลังจากความพยายามฟิชชิงข้อมูลสำเร็จข้อมูล Credential ที่รวบรวมไว้ทั้งหมดจะถูกส่งกลับไปยังกลุ่ม Ghimob ซึ่งจะใช้ข้อมูลเหล่านี้ในการเข้าถึงบัญชีของเหยื่อและเริ่มทำธุรกรรมที่ผิดกฎหมาย

นักวิจัยยังกล่าวอีกว่าแอปที่แฝงมัลแวร์ Ghimob ไว้นั้นได้กำหนดเป้าหมายส่วนใหญ่เป็นของธนาคารในบราซิล , เยอรมนี, โปรตุเกส, เปรู, ปารากวัย, แองโกลาและโมซัมบิก และยังได้เพิ่มเป้าหมายไปยังแอปพลิเคชันที่มีเกี่ยวข้องกับ cryptocurrency exchange เพื่อพยายามเข้าถึงบัญชีสกุลเงินดิจิทัล

ทั้งนี้ผู้ใช้ Android ควรมีระมัดระวังในการดาวน์โหลดแอปพลิเคชันจากเเหล่งที่ไม่รู้จักเพื่อเป็นการป้องกันการตกเป็นเหยื่อของมัลแวร์

ที่มา: zdnet.

Brazil’s court system under massive RansomExx ransomware attack

ศาลยุติธรรมในบราซิลถูก Ransomware "RansomExx" โจมตี

เมื่ออาทิตย์ที่ผ่านมาศาลยุติธรรมในประเทศบราซิลประกาศว่าระบบและเครือข่ายภายในได้รับผลกระทบจากการโจมตี และหลักฐานซึ่งบ่งชี้ว่าการโจมตีดังกล่าวเกิดขึ้นโดยกลุ่ม Ransomware "RansomExx" ซึ่งส่งผลให้ระบบต้องหยุดให้บริการเพื่อจำกัดความเสียหายและฟื้นฟูระบบ

ฝ่ายเทคนิคของศาลออกมาให้ข้อมูลเพิ่้มเติมในภายหลังว่า กลุ่ม Ransomware ประสบความสำเร็จในการยึดครองบัญชี Domain admin และใช้ปัญชีดังกล่าวในการเข้าถึงระบบ virtual environment ที่ทางศาลใช้งาน ก่อนจะเริ่มการเข้ารหัสระบบซึ่งเป็น virtual machine ทั้งหมด

Kaspersky ได้มีการเผยแพร่การวิเคราะห์ทางเทคนิคของ RansomExx และพบว่า Ransomware ดังกล่าวถูกตรวจพบว่ามีเวอร์ชันที่พุ่งเป้าโจมตีกลุ่มระบบที่ใช้ระบบปฏิบัติการลินุกซ์ด้วย มัลแวร์ไม่มีการติดต่อ C&C, ไม่มีการปิดตัวเองลงหลังจากทำงานเสร็จสิ้นและไม่มีส่วนโค้ดซึ่งต่อต้านการวิเคราะห์แต่อย่างใด ไฟล์ถูกเข้ารหัสด้วย AES-ECB และคีย์ AES ถูกเข้ารหัสด้วย RSA ขนาด 4096 บิตที่ฝังมากับมัลแวร์

ยังไม่มีการระบุอย่างชัดเจนถึงวิธีที่กลุ่มมัลแวร์ใช้ในการเข้าถึงเหยื่อและเป้าหมาย

ที่มา: theregister | bleepingcomputer | securelist | zdnet

Windows GravityRAT Malware Now Also Targets macOS and Android Devices

มัลแวร์ GravityRAT สายพันธุ์ใหม่ที่สามารถเเพร่กระจายได้บนอุปกรณ์ Android และ macOS

นักวิจัยด้านความปลอดภัยจาก Kaspersky ได้เผยถึงการตรวจพบมัลแวร์ GravityRAT สายพันธุ์ใหม่ที่สามารถเเพร่กระจายได้บนอุปกรณ์ Android และ macOS

GravityRAT เป็น Remote Access Trojan (RAT) ที่ได้รับการพัฒนาจากกลุ่มแฮกเกอร์ชาวปากีสถานอย่างน้อยตั้งแต่ 2015 เพื่อใช้ในการโจมตีเป้าหมายในหน่วยงานและองค์กรทางด้านทหารของอินเดีย

ด้วยความสามารถใหม่นี้มัลแวร์ GravityRAT ที่ปัจจุบันปลอมตัวเป็นแอป Android และ macOS ที่ถูกต้องจะมีความสามารถในการดักจับข้อมูลของอุปกรณ์, รายชื่อผู้ติดต่อ, ที่อยู่, อีเมล,บันทึกการโทรและข้อความ หลังจากนั้นจะทำการส่งไปยังเซิร์ฟเวอร์ที่ควบคุมโดยผู้โจมตี ทั้งนี้มัลแวร์ GravityRAT ยังมีความสามารถในการค้นหาไฟล์ในคอมพิวเตอร์และอุปกรณ์ removable disk ที่มีนามสกุล. doc, .docx, .ppt, .pptx, .xls, .xlsx, .pdf, .odt, .odp และ. ods และอัปโหลดไปยังเซิร์ฟเวอร์, ตรวจสอบโปรเซสที่กำลังทำงานอยู่, ล็อคกดแป้นพิมพ์, ถ่ายภาพหน้าจอ, รันคำสั่งเชลล์โค้ดได้, บันทึกเสียงและสแกนพอร์ต

ทั้งนี้ผู้ใช้งานควรระมัดระวังในการเปิดเอกสารหรือดาวน์โหลดไฟล์จากเเหล่งที่ไม่ทราบข้อมูลที่ชัดเจนและควรพิจารณาใช้ซอฟต์แวร์ป้องกันไวรัสที่มีประสิทธิภาพเพื่อเป็นการป้องกันการตกเป็นเหยื่อของผู้ประสงค์ร้าย

ที่มา: bleepingcomputer

Kaspersky ตรวจพบมัลแวร์ใน UEFI สายพันธุ์ใหม่ คาดพัฒนาโดยกลุ่มแฮกเกอร์จีน

ในกิจกรรม #SASatHome นักวิจัยมัลแวร์ Mark Lechtik และ Igor Kuznetsov จาก Kaspersky ออกมาเปิดเผยการตรวจพบและผลการวิเคราะห์มัลแวร์ในเฟิร์มแวร์ UEFI จากระบบซึ่งถูกโจมตีและมีการแจ้งเตือนจากซอฟต์แวร์ Firmware Scanner ว่ามีโค้ดต้องสงสัยอยู่ข้างใน

จากการตรวจสอบโค้ดดังกล่าวในเฟิร์มแวร์ UEFI ทีม Kaspersky ตรวจพบมัลแวร์ซึ่งมีคุณสมับติในการลักลอบดาวน์โหลดและติดตั้งโปรแกรมอันตรายลงสู่ระบบโดยอัตโนมัติเมื่อคอมพิวเตอร์ถูกเปิดใช้งาน ส่วนของมัลแวร์ที่จะถูกดาวน์โหลดมาเพิ่มเติมนั้นถูกเรียกโดย Kaspersky ว่า "MosaicRegressor" malware framework

แม้ว่าการตรวจสอบจะยังไม่สมบูรณ์ Kaspersky พบว่า MosaicRegressor นั้นมีโมดูลในการลักลอบขโมยข้อมูลออกจากระบบ โดยส่วนของโค้ดที่พบในเฟิร์มแวร์ UEFI นั้นอาจเป็นเพียงส่วนหนึ่งในวิธีการฝังตัวของเฟรมเวิร์ค ทีม Kaspersky ยืนยันการพบโมดูลอื่น ๆ ของ MosaicRegressor แล้ว แต่มีเพียงสองระบบเท่านั้นที่พบโค้ดอันตรายใน UEFI โค้ดของ

ระบบส่วนใหญ่ที่ตรวจพบการมีอยู่ของมัลแวร์นี้โดยส่วนใหญ่นั้นเกี่ยวข้องกับองค์กรระหว่างประเทศและกลุ่ม NGO ในแอฟริกา, เอเชียและยุโรป ด้วยลักษณะและความเกี่ยวข้องของเหยื่อนั้นชี้โยงกลับไปที่เกาหลีเหนือ อย่างไรก็ตามทีม Kaspersky กับพบความเหมือนของโค้ดมัลแวร์กับโค้ดที่ถูกพัฒนาโดยกลุ่มแฮกเกอร์จีน ความเกี่ยวข้องของมัลแวร์และปฏิบัติการในตอนนี้จึงเชื่อมโยงกับไปหากลุ่มแฮกเกอร์จีนมากกว่า

ผู้ที่สนใจรายงานการโจมตีและการวิเคราะห์มัลแวร์สามารถดาวโหลดรายงานฉบับดังกล่าวได้ที่ : Kaspersky

ที่มา : Zdnet

แจ้งเตือนช่องโหว่แบบ Logical ในผลิตภัณฑ์ Antivirus หลายรายการ นำไปใช้ยกระดับสิทธิ์และข้ามผ่านกระบวนการจัดการสิทธิ์ได้

Eran Shimony จาก CyberArk อออกมาเปิดเผยถึงการค้นพบช่องโหว่ในผลิตภัณฑ์ Antivirus กว่า 15 ช่องโหว่ กระทบผลิตภัณฑ์ของ Kaspersky, McAfee, Symantec, Fortinet, CheckPoint, Trend Micro, Avira และ Microsoft Defender ช่องโหว่ทั้งหมดเป็นลักษณะของช่องโหว่แบบ logical หรือหมายถึงช่องโหว่ในเรื่องของการจัดการที่ไม่เหมาะสม ทำให้ผู้โจมตีสามารถใช้ประโยชน์จากปัญหาดังกล่าวในการโจมตีได้

Eran อธิบายถึงที่มาของช่องโหว่เอาไว้ในบล็อกของ CyberArk ช่องโหว่บางส่วนเกิดจากการจัดการสิทธิ์ที่ไม่เหมาะสมเมื่อมีการเขียนข้อมูลลงในพาธ C:\ProgramData รวมไปถึงการไม่ตรวจสอบและแก้ไขสิทธิ์ของไดเรกทอรีหรือไฟล์ที่โปรแกรม Antivirus ที่มีสิทธิ์สูงจะเข้าไปยุ่งเกี่ยวด้วยอย่างเหมาะสม แฮกเกอร์ซึ่งทราบเงื่อนไขของการโจมตีสามารถสร้างเงื่อนไขเพื่อให้โปรแกรม Antivirus ซึ่งมีสิทธิ์สูงอยู่แล้วเข้าไปแก้ไขไฟล์อื่น ๆ ในระบบ หรือลบไฟล์อื่น ๆ ในระบบได้

นอกเหนือจากเรื่องสิทธิ์ที่เกี่ยวกับพาธ C:\ProgramData แล้ว Eran ยังมีการระบุถึงช่องโหว่ DLL injection ในซอฟต์แวร์ Installer ยอดนิยมที่มักถูกใช้โดยผู้พัฒนาโปรแกรมป้องกันมัลแวร์ อาทิ InstallShield, InnoSetup, NsisInstaller และ Wix installer ด้วย

ช่องโหว่ดังกล่าวได้รับการแจ้งและแพตช์โดยผู้พัฒนาโปรแกรมป้องกันมัลแวร์แล้ว ขอให้ผู้ใช้งานทำการติดตามแพตช์และทำการอัปเดตเพื่อลดความเสี่ยงที่จะถูกโจมตีโดยใช้ช่องโหว่นี้โดยทันที

ที่มา : thehackernews

Iranian hacker group becomes first known APT to weaponize DNS-over-HTTPS (DoH)

นักวิจัยจาก Kaspersky พบกลุ่ม APT จากอิหร่านเริ่มนำ DNS-over-HTTPS (DoH) มาใช้เป็นเครื่องมือในการโจมตี

Vincente Diaz นักวิเคราะห์มัลแวร์และนักวิจัยโปรแกรมป้องกันไวรัสจาก Kaspersky ได้กล่าวถึงกลุ่ม APT จากอิหร่านหรือที่รู้จักกันในชื่อ OilRig หรือ APT34 ในงาน webinar ว่ากลุ่ม OilRig นี้ได้นำโปรโตคอล DNS-over-HTTPS (DoH) มาพัฒนาในเครื่องมือที่ใช้ในการโจมตีเป็นกลุ่มเเรก เพื่อใช้ exfiltration หรือขโมยข้อมูลออกจากระบบ

Diaz กล่าวว่ากลุ่ม OilRig นั้นได้เริ่มใช้ยูทิลิตี้ใหม่ที่เรียกว่า DNSExfiltrator เป็นส่วนหนึ่งของการบุกรุกเครือข่ายที่ถูกแฮก โดย DNSExfiltrator เป็นโอเพนซอร์สที่มีอยู่ใน GitHub โดย DNSExfiltrator จะสร้างช่องทางการสื่อสารที่ซ่อนตัวอย่างลับๆ โดยการใช้ funneling data และจะซ่อนช่องทางไว้ภายในโปรโตคอลที่ไม่ได้มาตรฐาน ซึ่งจะสามารถถ่ายโอนข้อมูลระหว่างสองจุดโดยใช้ DNS requests หรือ DNS-over-HTTPS (DoH) ในการดำเนินการ

Diaz ยังกล่าวอีกว่ากลุ่ม OilRig หรือ APT34 ได้ใช้ DNSExfiltrator ในการย้ายข้อมูลภายในเครือข่ายจากนั้นจะทำการ exfiltration ไฟล์ไปยังเครือข่ายภายนอกอีกครั้ง โดยกลุ่ม OilRig น่าจะนำเทคนิคนี้มาใช้เพื่อหลีกเลี่ยงการตรวจจับในขณะทำการขโมยข้อมูลออกสู่เครือข่ายภายนอก

ทั้งนี้กลุ่ม OilRig หรือ APT34 นั้นเป็นกลุ่มเเรกที่ใช้เทคนิคขโมยข้อมูลผ่าน DNS มาก่อน จึงไม่แปลกที่กลุ่มนี้จะหันมาพัฒนาเทคนิคเป็นการขโมยข้อมูลผ่าน DNS-over-HTTPS (DoH)

Kaspersky กล่าวว่าเมื่อเดือนพฤษภาคมที่ผ่านมานั้นพบกลุ่ม OilRig มีความเชื่อมโยงกับการ exfiltration ข้อมูลผ่าน DoH ไปยังโดเมนที่เกี่ยวข้องกับ COVID-19

ที่มา: zdnet

Latest Microsoft Update Patches New Windows 0-Day Under Active Attack

 

ไมโครซอฟท์อัปเดตแพตช์ใหม่แก้ช่องโหว่ Zero day ที่กำลังถูกโจมตี

ด้วยแพตช์ล่าสุดมีการอัปเดตในวันที่ 10 ธันวาคม 2019 ไมโครซอฟท์ได้เตือนผู้ใช้หลายพันล้านคนเกี่ยวกับช่องโหว่ใหม่ใน Windows ที่ผู้โจมตีใช้ประโยชน์จากการทำงานร่วมกันกับ Chrome exploit เพื่อควบคุมคอมพิวเตอร์จากระยะไกล

การอัปเดตด้านความปลอดภัยของ Microsoft ในเดือนธันวาคมนั้นมีการอัปเดตแพตช์เพื่อแก้ไขช่องโหว่ทั้งหมด 36 ช่องโหว่ มีช่องโหว่ที่มีความรุนแรงมากที่สุดอยู่ 7 ช่องโหว่ มีช่องโหว่ที่มีความรุนแรงสำคัญอยู่ 27 ช่องโหว่ มีช่องโหว่ที่มีความรุนแรงระดับปานกลางอยู่ 1 ช่องโหว่และมี 1 ช่องโหว่ที่มีความรุนแรงต่ำ

CVE-2019-1458 ซึ่งเป็นช่องโหว่ที่กำลังถูกโจมตี เป็นช่องโหว่ที่มีความรุนแรงสำคัญ เป็นช่องโหว่การเพิ่มระดับสิทธิการใช้งาน Win32k ซึ่ง Kaspersky พบว่ากำลังใช้โจมตีในการโจมตีที่ถูกตั้งชื่อว่า Operation WizardOpium ซึ่งผู้โจมตีใช้ช่องโหว่นี้ร่วมกับการหลีกเลี่ยงการตรวจจับจาก Chrome sandbox เพื่อยึดสิทธิ

แม้ว่า Google จะแก้ไขช่องโหว่ใน Chrome sandbox ที่ถูกใช้ร่วมกับ CVE-2019-1458 แล้ว แต่แฮกเกอร์มุ่งโจมตีเป้าหมายเป็นผู้ใช้งานเบราว์เซอร์เวอร์ชันที่มีช่องโหว่

ดังที่ The Hacker News รายงานเมื่อเดือนที่แล้ว Operation WizardOpium เกี่ยวข้องกับการโจมตีเว็บข่าวภาษาเกาหลี ที่ถูกบุกรุกแล้ววางโค้ดโจมตีเพื่อทำการแฮกคอมพิวเตอร์ของผู้ที่เข้าไปเยี่ยมชม โดยโค้ดโจมตีดังกล่าวจะโจมตี Chrome ตามด้วย CVE-2019-1458 ซึ่งโค้ดโจมตีนี้ทำงานบน Windows 7 และแม้แต่ใน Windows 10 บางรุ่น หากโจมตีสำเร็จ ผู้โจมตีสามารถเรียกใช้โค้ดอันตรายได้ใน kernel mode

ขณะนี้นักวิจัยไม่สามารถระบุว่า Operation WizardOpium คือผู้โจมตีหรือกลุ่มแฮกเกอร์ใด แต่พวกเขาพบความคล้ายคลึงกันบางอย่างคือโค้ดที่ใช้โจมตีคล้ายกับโค้ดของกลุ่มแฮกเกอร์เกาหลีเหนือ Lazarus

แนะนำผู้ใช้ Windows และผู้ดูแลระบบให้อัปเดตแพตช์ความปลอดภัยล่าสุดเพื่อป้องกันการโจมตี โดยสามารถอ่านรายละเอียดช่องโหว่ทั้งหมดที่อัปเดในแพตช์นี้ได้จาก https://msrc-blog.