Cyble Honeypot Sensors ตรวจพบการโจมตีที่มุ่งเป้าหมายไปที่ D-Link, Cisco, QNAP และ Linux

Cyble ตรวจพบการโจมตีหลายครั้ง ไม่ว่าจะเป็นการโจมตีโดยใช้ช่องโหว่ต่าง ๆ, Malware Intrusions, แคมเปญฟิชชิ่ง และการโจมตีแบบ brute-force ผ่านเครือข่าย Honeypot sensors เมื่อสัปดาห์ที่ผ่านมา (more…)

พบช่องโหว่ใน CUPS ที่ทำให้สามารถโจมตีแบบ RCE บน Linux ได้โดยมีเงื่อนไขบางอย่าง

พบช่องโหว่ใน CUPS open-source printing system ที่ Hacker ต้องอยู่ภายใต้เงื่อนไขบางประการ เพื่อที่จะสามารถโจมตีโดยการเรียกใช้คำสั่งที่เป็นอันตรายจากระยะไกล (RCE) บนระบบ Linux ที่มีช่องโหว่ (more…)

พบ Mallox ransomware เวอร์ชัน Linux ตัวใหม่ ที่สร้างจาก code ของ Kryptina ที่รั่วไหลออกมา

TargetCompany ซึ่งเป็นหนึ่งในบริษัทที่ถูกโจมตีจาก Mallox ransomware ได้พบว่ามีการใช้ Kryptina ransomware ที่ได้รับการปรับปรุง ในการโจมตีระบบ Linux ของพวกเขา (more…)

แคมเปญมัลแวร์ใหม่บน Linux ใช้ช่องโหว่ของ Oracle Weblogic เพื่อขุดเหรียญคริปโต

นักวิจัยด้านความปลอดภัยทางไซเบอร์ได้ค้นพบแคมเปญมัลแวร์ใหม่ที่มุ่งเป้าการโจมตีไปยังระบบปฏิบัติการ Linux เพื่อใช้ทำการขุดเหรียญคริปโต และแพร่กระจาย botnet (more…)

พบ Ransomware Cicada เวอร์ชัน Linux ตัวใหม่ กำลังมุ่งเป้าไปยัง VMware ESXi servers

พบการดำเนินการ ransomware-as-a-service (RaaS) ใหม่กำลังปลอมแปลงเป็นองค์กร Cicada 3301 และได้เผยแพร่รายชื่อเหยื่อที่ถูกโจมตีจำนวน 19 รายการ รวมถึงพบว่ากำลังทำการโจมตีบริษัทต่าง ๆ ทั่วโลกอย่างรวดเร็ว

โดยกลุ่ม RaaS ที่เพิ่งถูกค้นพบนี้ ได้รับการตั้งชื่อตามเกมออนไลน์ ซึ่งใช้โลโก้เดียวกันในปี 2012-2014 ที่มีชื่อว่า Cicada 3301 ซึ่งมีปริศนาการเข้ารหัสที่ซับซ้อน

อย่างไรก็ตามไม่พบความเชื่อมโยงของกลุ่ม Ransomware กับองค์กรดังกล่าว รวมถึงองค์กร Cicada 3301 ได้ออกประนามกลุ่ม Ransomware อีกด้วย (more…)

Microsoft แนะนำวิธีการแก้ไขปัญหาชั่วคราว สำหรับปัญหาการบูท Linux ในระบบ dual-boot

Microsoft แนะนำวิธีแก้ไขปัญหาชั่วคราวเพื่อแก้ไขปัญหาที่ทำให้ไม่สามารถบูทระบบปฏิบัติการ Linux บนระบบที่มี dual-boot systems ได้ โดยมีการเปิดใช้งาน Secure Boot

บริษัทระบุว่าวิธีแก้ไขปัญหาชั่วคราวนี้สามารถช่วยผู้ใช้ Linux ที่ประสบปัญหากับระบบที่ไม่สามารถบูทได้ ซึ่งแสดงข้อความ “Something has gone seriously wrong: SBAT self-check failed: Security Policy Violation” หลังจากติดตั้งการอัปเดตความปลอดภัยของ Windows ในเดือนสิงหาคม 2024

(more…)

‘sedexp’ มัลแวร์บน Linux ที่แฝงตัวในระบบ และหลีกเลี่ยงการตรวจจับนานกว่า 2 ปี

Stroz Friedberg ซึ่งเป็น risk management firm ของบริษัท Aon Insurance เป็นผู้ค้นพบ 'sedexp' มัลแวร์บน Linux ซึ่งได้แฝงตัวในระบบ และหลีกเลี่ยงการตรวจจับมาได้ตั้งแต่ปี 2022 ทำให้สามารถสร้าง reverse shell สำหรับการเข้าถึงจากระยะไกล และขยายการโจมตีบนระบบต่อไปได้ โดยใช้เทคนิค persistence “udev rule” ที่ไม่มีอยู่ใน MITRE ATT&CK framework รวมถึงนักวิจัยตั้งข้อสังเกตว่า sedexp เป็น advanced threat ที่ซ่อนตัวอยู่ในเครือข่ายของเป้าหมาย

(more…)

Linux Kernel ได้รับผลกระทบจากการโจมตีแบบ SLUBStick cross-cache

การโจมตีแบบ Cross-cache รูปแบบใหม่ใน Linux Kernel ที่ชื่อว่า SLUBStick ประสบความสำเร็จถึง 99% ในการแปลงช่องโหว่ของ heap memory ให้เป็นความสามารถในการอ่าน และเขียน memory ได้ตามที่ต้องการ ซึ่งทำให้นักวิจัยสามารถเพิ่มสิทธิ์ หรือ escape containers ได้

การค้นพบนี้มาจากทีมวิจัยจากมหาวิทยาลัยเทคโนโลยีเกรซ (Graz University of Technology) ที่แสดงให้เห็นการโจมตีบนเวอร์ชันของ Linux Kernel 5.9 และ 6.2 (ล่าสุด) โดยใช้ CVE ที่มีอยู่ 9 ตัวในทั้งระบบ 32-bit และ 64-bit

นอกจากนี้ การโจมตีนี้ยังส่งผลกระทบกับการป้องกันของ Kernel แบบใหม่ทั้งหมด เช่น Supervisor Mode Execution Prevention (SMEP), Supervisor Mode Access Prevention (SMAP) และ Kernel Address Space Layout Randomization (KASLR) ที่เปิดใช้งานอยู่

SLUBStick จะถูกนำเสนอโดยละเอียดในการประชุม Usenix Security Symposium ที่จะจัดขึ้นในเดือนนี้ โดยนักวิจัยจะสาธิตการเพิ่มสิทธิ์ และการ escape containers ใน Linux รุ่นล่าสุด และมีการเปิดใช้งานการป้องกันล่าสุดเช่นกัน

ในระหว่างนี้ เอกสารทางเทคนิคที่เผยแพร่จะมีรายละเอียดทั้งหมดเกี่ยวกับการโจมตี และสถานการณ์การใช้ประโยชน์จากช่องโหว่ที่เป็นไปได้

รายละเอียดของ SLUBStick

วิธีหนึ่งที่ Linux Kernel จัดการกับหน่วยความจำอย่างมีประสิทธิภาพ และปลอดภัย คือการจัดสรร และยกเลิกการจัดสรรหน่วยความจำที่เรียกว่า "slabs" สำหรับโครงสร้างข้อมูลที่แตกต่างกัน

ช่องโหว่ในกระบวนการจัดการหน่วยความจำนี้ อาจทำให้ผู้โจมตีสามารถสร้างความเสียหาย หรือจัดการโครงสร้างข้อมูลได้ ซึ่งเรียกว่า "cross-cache attacks" อย่างไรก็ตามการโจมตีเหล่านี้มีประสิทธิภาพประมาณ 40% และมักจะทำให้ระบบล่มในที่สุด

SLUBStick ใช้ประโยชน์จากช่องโหว่ของ heap memory เช่น การจัดสรรหน่วยความจำแบบ Double-free, user-after-free หรือ out-of-bounds write เพื่อควบคุมกระบวนการจัดสรรหน่วยความจำ

CVEs ที่ถูกนำมาใช้ในการทดลองของนักวิจัย

จากนั้นจะมีการใช้ timing side channel เพื่อกำหนดช่วงเวลาที่แน่นอนของการจัดสรร/ยกเลิกการจัดสรรหน่วยความจำ ซึ่งช่วยให้ผู้โจมตีสามารถคาดการณ์ และควบคุมการใช้หน่วยความจำใหม่ได้

การใช้ข้อมูลด้านเวลาเหล่านี้ เพิ่มความสำเร็จในการใช้ประโยชน์จากช่องโหว่สูงถึง 99% ทำให้ SLUBStick เป็นเครื่องมือที่ใช้ในการโจมตีได้จริง

อัตราความสำเร็จที่วัดได้

การแปลงช่องโหว่ของ heap เป็นพฤติกรรมการอ่าน และเขียนหน่วยความจำ ทำได้ในสามขั้นตอน:

ยกเลิกการจัดสรรหน่วยความจำเฉพาะ และรอให้ Kernel นำกลับมาใช้ใหม่
จัดสรรหน่วยความจำเหล่านี้ใหม่ในลักษณะที่ควบคุมได้ เพื่อให้แน่ใจว่ามันถูกนำไปใช้ใหม่สำหรับโครงสร้างข้อมูลที่สำคัญ เช่น page table
เมื่อเรียกคืนได้แล้ว ผู้โจมตีจะเขียนทับรายการ page table ทำให้สามารถอ่าน และเขียนตำแหน่งหน่วยความจำใด ๆ ได้

ภาพรวมของ SLUBStick

ผลกระทบที่เกิดขึ้น

เช่นเดียวกับการโจมตีที่เกี่ยวข้องกับ Side Channel ส่วนใหญ่ SLUBStick ต้องการการเข้าถึงภายในเครื่องเป้าหมายที่มีความสามารถในการ Run Code นอกจากนี้การโจมตียังต้องการช่องโหว่ของ Heap ใน Linux Kernel ซึ่งจะถูกใช้เพื่อให้สามารถเข้าถึงการอ่าน และเขียนหน่วยความจำได้

แม้ว่าอาจทำให้การโจมตีดูทำได้ค่อนข้างยาก แต่ก็มีประโยชน์บางอย่างสำหรับผู้โจมตี

สำหรับผู้โจมตีที่มีความสามารถในการ Run Code ได้ SLUBStick ยังให้ความสามารถในการเพิ่มสิทธิ์, การข้ามการป้องกันของ Kernel, container escape หรือใช้มันเป็นส่วนหนึ่งของการโจมตีที่ซับซ้อนอื่น ๆ ได้

การเพิ่มสิทธิ์สามารถใช้เพื่อเพิ่มสิทธิ์เป็น root อนุญาตให้ดำเนินการได้อย่างไม่จำกัด ในขณะที่การ escape container สามารถใช้เพื่อ break ระบบในลักษณะ sandboxed และเข้าถึงโฮสต์ได้

นอกจากนี้ ในระยะหลังการใช้ประโยชน์ในลักษณะ SLUBStick อาจเปลี่ยนแปลงโครงสร้างของ Kernel เพื่อแฝงตัวอยู่บนระบบ ทำให้การตรวจจับมัลแวร์ทำได้ยากขึ้น

การดัดแปลงข้อมูล '/etc/passwd'

ผู้ที่ต้องการศึกษาเพิ่มเติมเกี่ยวกับ SLUBStick และทดลองใช้การโจมตีที่ใช้โดยนักวิจัยจากมหาวิทยาลัยเกรซสามารถค้นหาได้ในที่ GitHub ของนักวิจัย

ที่มา : bleepingcomputer

กลุ่ม Kimsuky ใช้ Linux backdoor ตัวใหม่ มุ่งเป้าโจมตีไปยังเกาหลีใต้

กลุ่ม Hacker ชาวเกาหลีเหนือที่เป็นที่รู้จักในชื่อ Kimsuki กำลังใช้ Linux backdoor ตัวใหม่ ในชื่อ Gomir ซึ่งเป็นหนึ่งในเวอร์ชัน ของ GoBear backdoor ที่ถูกติดตั้งผ่านโปรแกรมที่ฝัง trojan ไว้

Kimsuky เป็นกลุ่ม Hacker ที่ได้รับการสนับสนุนจากรัฐบาลเกาหลีเหนือ ซึ่งมีความเกี่ยวข้องกับหน่วยข่าวกรองทางทหารของเกาหลีเหนือ หรือ Reconnaissance General Bureau (RGB)

ในช่วงต้นเดือนกุมภาพันธ์ 2024 นักวิจัยจากบริษัทข่าวกรองภัยคุกคาม SW2 ได้รายงานเกี่ยวกับแคมเปญการโจมตี ที่ Kimsuky ใช้ซอฟต์แวร์ต่าง ๆ ที่ฝัง trojan ไว้ เช่น TrustPKI และ NX_PRNMAN จาก SGA Solutions, Wizvera VeraPort เพื่อโจมตีไปยังเป้าหมายชาวเกาหลีใต้ด้วย Troll Stealer และ GoBear ซึ่งเป็นมัลแวร์บน Windows ที่ใช้ภาษา GO

ต่อมานักวิจัยจาก Symantec ได้พบแคมเปญการโจมตีที่มุ่งเป้าหมายไปที่องค์กรรัฐบาลเกาหลีใต้ โดยได้ค้นพบ GoBear backdoor ในรูปแบบ Linux

Gomir backdoor

Gomir backdoor มีความคล้ายคลึงกับ GoBear backdoor หลายอย่าง เช่น feature การเชื่อมต่อผ่าน command and control (C2), การแฝงตัวบนระบบ และการรองรับการดำเนินการคำสั่งที่หลากหลาย

ซึ่งเมื่อ backdoor ทำการโจมตี และเข้าสู่เครื่องได้แล้ว ก็จะทำการตรวจสอบว่ากำลังทำงานด้วยสิทธิ์ root บนเครื่อง Linux หรือไม่ จากนั้นจะทำการคัดลอกตัวเองไปที่ /var/log/syslogd จากนั้นก็จะสร้าง System service ในชื่อ 'syslogd' และเรียกใช้คำสั่ง ก่อนที่จะลบไฟล์ปฏิบัติการดั้งเดิม และยุติขั้นตอนการทำงาน

รวมถึง backdoor ยังพยายามกำหนดค่าคำสั่ง crontab ให้ทำงานเมื่อรีบูตระบบด้วยการสร้าง helper file (‘cron.

Microsoft เตรียมนำคำสั่ง sudo บน Linux มาใช้งานบน Windows เซิร์ฟเวอร์

Microsoft เตรียมนำคำสั่ง sudo บน Linux มาใช้งานบน Windows เซิร์ฟเวอร์

Microsoft เตรียมนำฟีเจอร์ ‘sudo’ จาก ระบบปฏิบัติการ Linux มาใช้งานใน Windows เซิร์ฟเวอร์ 2025 ซึ่งจะเพิ่มวิธีการใหม่ที่ทำให้แอดมิน สามารถยกระดับสิทธิ์บน Console Application ได้ (more…)