นักวิจัยจากบริษัท SentinelOne บริษัทรักษาความปลอดภัยทางไซเบอร์ได้ค้นพบมัลแวร์บนโปรเจกต์ Xcode ที่ถูกเรียกว่า “XcodeSpy” ซึ่งกำลังกำหนดเป้าหมายไปยังนักพัฒนาแอปพลิเคชัน iOS เพื่อทำการโจมตีในลักษณะ Supply-chain attack และเพื่อติดตั้งแบ็คดอร์บนระบบปฏิบัติการ macOS บนคอมพิวเตอร์ของผู้พัฒนา

Xcode เป็นเครื่องมือสำหรับการพัฒนาแอปพลิเคชัน (Integrated Development Environment - IDE) ที่สร้างโดย Apple ซึ่ง Xcode จะช่วยให้นักพัฒนาสามารถสร้างแอปพลิเคชันที่ทำงานบน macOS, iOS, tvOS และ watchOS

นักวิจัยจากบริษัท SentinelOne กล่าวว่าได้ค้นพบ iOS โปรเจกต์ที่มีชื่อว่า TabBarInteraction โดยโปรเจกต์ดังกล่าวเป็นโปรเจกต์ Xcode ที่ถูกต้องสำหรับผู้พัฒนาแอปพลิเคชัน จากการตรวจสอบโปรเจกต์โดยทีมนักวัยจัยพบว่าผู้ประสงค์ร้ายได้ทำการโคลนโปรเจกต์ TabBarInteraction ที่ถูกต้องและได้เพิ่มสคริปต์ 'Run Script' ที่เป็นอันตรายลงไปยังโปรเจกต์ เมื่อผู้พัฒนาแอปพลิเคชันสร้างโปรเจกต์ code จะเรียกใช้ Run Script โดยอัตโนมัติเพื่อทำการสร้างไฟล์ที่ชื่อว่าว่า .tag ใน /tmp และภายในไฟล์จะมีคำสั่ง mdbcmd เพื่อเปิด Reverse shell กลับไปที่เซิร์ฟเวอร์ของผู้ประสงค์ร้าย นอกจากนี้แบ็คดอร์ยังสามารถทำให้ผู้ประสงค์ร้ายเข้าถึงการอัปโหลดและดาวน์โหลดไฟล์, ดึงข้อมูลหรือดักฟังจากกล้อง, ไมโครโฟนและคีย์บอร์ดของผู้ที่ตกเหยื่อได้อีกด้วย

ทั้งนี้ผู้พัฒนาแอปพลิเคชันจากซอฟต์แวร์ Xcode ควรระมัดระวังในการใช้งานอย่างมาก และไม่ควรดึงโปรเจกต์จากผู้พัฒนาที่ไม่รู้จักหรือไม่รู้เเหล่งที่มา เพื่อป้องกันการตกเป็นเหยื่อของผู้ประสงค์ร้าย

ที่มา: bleepingcomputer, hackread

Matthew Hickey ผู้ร่วมก่อตั้ง Hacker House ได้ออกมาเปิดเผยบนทวิตเตอร์ถึงการทดสอบ PoC ของช่องโหว่ CVE-2021-3156 หรือที่เรียกว่า Baron Samedit บน MacOS ซึ่งเขาได้พบว่า MacOS ก็ได้รับผลกระทบเช่นเดียวกันกับระบบปฏิบัติการ Unix ตัวอื่นๆ

สืบเนื่องมาจากที่นักวิจัยจาก Qualys ได้เปิดเผยช่องโหว่ CVE-2021-3156 ซึ่งเป็นช่องโหว่ Heap-based buffer overflow ที่อยู่ภายในเป็นเครื่องมือ Sudo ที่ถูกใช้อย่างเเพร่หลายบนระบบปฏิบัติการ Unix ซึ่งช่องโหว่จะนำไปสู่การยกระดับสิทธิ์เป็น Root ได้ โดยที่ผู้โจมตีไม่จำเป็นต้องรู้รหัสผ่านของผู้ใช้

Hickey ได้ทดสอบช่องโหว่ CVE-2021-3156 บน MacOS และได้ทำการปรับเปลี่ยนโค้ดบน PoC ของช่องโหว่เล็กน้อย โดยการสั่งเขียนทับ argv[0] หรือสร้าง symlink ซึ่งจะทำให้ระบบปฏิบัติการ MacOS มีช่องโหว่เช่นเดียวกันกับระบบปฏิบัติการ Linux และยกระดับสิทธิ์เป็น Root ได้เช่นเดียวกัน

Hickey กล่าวอีกว่าช่องโหว่ CVE-2021-3156 นี้สามารถใช้ประโยชน์ได้ใน macOS เวอร์ชันล่าสุดได้ ถึงแม้ว่าจะใช้แพตช์ความปลอดภัยล่าสุดที่ Apple เปิดตัวเมื่อวันจันทร์ที่ผ่านมา ทั้งนี้ Hickey ได้รายงานข้อผิดพลาดเเก่ Apple แล้ว ซึ่ง Apple ปฏิเสธที่จะแสดงความคิดเห็นในขณะที่ตรวจสอบรายงาน ผู้ใช้งาน MacOS ควรทำการติดตามการอัปเดตแพตช์ความปลอดภัยจาก Apple อย่างต่อเนื่องและเมื่อทาง Apple ปล่อยแพตช์ความปลอดภัยเพื่อแก้ไขข้อบกพร่องดังกล่าวผู้ใช้ควรรีบทำการอัปเดตแพตช์อย่างเร่งด่วน

ที่มา: zdnet.

Samuel Groß นักวิจัยด้านความปลอดภัยจาก Google Project Zero ได้มีการเผยแพร่งานวิจัยใหม่เกี่ยวกับฟีเจอร์ด้านความปลอดภัยใน iOS 14 ในส่วนของ iMessage ซึ่งตกเป็นเป้าหมายในการถูกโจมตีแบบ Zero-click อยู่บ่อยครั้ง โดยงานวิจัยนี้เกิดจากการทำ Reverse engineering กับกระบวนการทำงานของ iMessage ในเวลาเพียงแค่ 1 สัปดาห์

สำหรับฟีเจอร์แรกนั้นถูกเรียกว่าเซอร์วิส BlastDoor ซึ่งเป็นส่วนโมดูลใหม่สำหรับประมวลผลข้อมูลไบนารี อาทิ ไฟล์แนบ, ลิงค์และไฟล์รูปข้างใน Sandbox ซึ่งไม่สามารถเชื่อมต่อออกสู่เครือข่ายได้ ผลลัพธ์ของการแยกประมวลผลนี้ทำให้การจัดเรียงกันของหน่วยความจำนั้นแตกต่างออกไปและเพิ่มความเป็นไปได้ยากในการที่จะทำการโจมตีในลักษณะของ Memory corruption

ฟีเจอร์ส่วนที่สองนั้นถูกเรียกว่า Shared cache resliding โดยเป็นการปรับปรุงส่วนของ Shared cache ในหน่วยความจำ ส่วนของ Shared cache เป็นส่วนหนึ่งของหน่วยความจำที่มีการเก็บตำแหน่งของฟังก์ชันของระบบเอาไว้และจะถูกสุ่มภายใต้ฟีเจอร์ ASLR เฉพาะเมื่อมีการบูต เนื่องจากการสุ่มตำแหน่งโดย ASLR ไม่ได้เกิดขึ้นบ่อยนัก การโจมตีในบางเทคนิคสามารถนำไปสู่การระบุหาแอดเดรสใน Shared cache ซึ่งนำไปสู่การข้ามผ่านฟีเจอร์ ASLR ได้ ใน iOS 14 ปัญหาในส่วนนี้ถูกแก้โดยการเพิ่มเงื่อนไขในการสุ่มตำแหน่งของข้อมูลใน Shared cache สำหรับเซอร์วิสใดๆ เมื่อเซอร์วิสเริ่มทำงานแทน ซึ่งทำให้การข้ามผ่านฟีเจอร์ ASLR เป็นไปได้ยากขึ้นหรือแทบเป็นไปไม่ได้เลย

ฟีเจอร์ส่วนสุดท้ายยังคงอยู่ในแนวทางของการป้องกันการข้ามผ่านฟีเจอร์ ASLR ซึ่งมาในลักษณะของการ Brute force โดยใน iOS 14 นั้นเซอร์วิสอย่าง BlastDoor จะถูกตั้งค่าและควบคุมให้อยู่ในกลไกที่ชื่อ ExponentialThrottling ซึ่งจะทำการหน่วงเวลาของการรีสตาร์ทหากโปรเซสหรือเซอร์วิสมีการแครช ฟีเจอร์ ExponentialThrottling ถูกบังคับใช้เฉพาะกับกลไกที่สำคัญ ดังนั้นผลกระทบของเวลาที่ถูกหน่วงในแต่ละครั้งจะไม่กระทบต่อการใช้งานทั่วไป จากการตรวจสอบโดย Samuel เวลาหน่วงที่มากที่สุดหลังจากมีการแครชและจำนวนเวลาถูกเพิ่มไปเรื่อยๆ นั้นคือ 20 นาที

สำหรับใครที่สนใจทางด้าน Exploitation โดยเฉพาะอย่างยิ่งในสภาพแวดล้อมของ macOS และ iOS สามารถอ่านรายละเอียดจากการ Reverse engineer ได้ที่ : googleprojectzero

ที่มา: zdnet

โครงการ VideoLAN ได้เปิดตัว VLC Media Player เวอร์ชัน 3.0.12 สำหรับ Windows, Mac และ Linux ในสัปดาห์ที่ผ่านมา โดยใน VLC Media Player เวอร์ชันล่าสุดนี้ได้ทำการปรับปรุงคุณสมบัติและแก้ไขความปลอดภัยมากมายอีกทั้งยังเป็นการอัปเกรดที่สำคัญสำหรับผู้ใช้ Mac เนื่องจากในเวอร์ชันนี้มีการรองรับ Apple Silicon และแก้ไขความผิดเพี้ยนของเสียงใน macOS

นอกจากการแก้ไขข้อบกพร่องและการปรับปรุงแล้ว VLC Media Player 3.0.12 ยังแก้ไขช่องโหว่ด้านความปลอดภัยจำนวนมากที่ถูกรายงานโดย Zhen Zhou จากทีมรักษาความปลอดภัยของบริษัท NSFOCUS ซึ่งค้นพบช่องโหว่ Buffer overflow ที่อาจทำให้ซอฟต์แวร์เกิดข้อขัดข้องหรืออาจนำไปสู่การเรียกใช้โค้ดได้โดยไม่ได้รับอนุญาตด้วยสิทธิ์ของผู้ใช้ที่ตกเป็นเป้าหมาย ซึ่งผู้โจมตีจากระยะไกลสามารถใช้ช่องโหว่นี้ได้โดยการสร้างไฟล์สื่อที่ออกแบบมาเป็นพิเศษและหลอกให้ผู้ใช้เปิดไฟล์ด้วย VLC

ทั้งนี้ผู้ใช้ VLC Media Player ควรทำการอัปเดตเวอร์ชันให้เป็น VLC 3.0.12 เพื่อป้องกันการตกเป็นเหยื่อของผู้ประสงค์ร้าย

ที่มา: bleepingcomputer

นักวิจัยจาก IBM พบปัญหาด้านความปลอดภัยบน Cisco Webex เมื่อต้นปีที่ผ่านมา ปัญหาดังกล่าวส่งผลให้ผู้ไม่หวังดีสามารถ

เข้าร่วมการประชุมแบบไม่เห็นตัวตน และสามารถเข้าถึงได้ทั้งเสียง, วิดีโอ, แชท และแชร์สกรีน (CVE-2020-3419)
แม้จะถูกไล่ออกจากห้องแล้ว แต่ก็ยังสามารถได้ยินเสียงในห้องประชุมแบบไม่เห็นตัวตนได้ (CVE-2020-3471)
เข้าถึงข้อมูลของสมาชิกที่เข้าร่วมประชุม อาทิเช่น ชื่อและนามสกุล, อีเมล และ IP Address โดยสามารถเข้าถึงข้อมูลเหล่านี้ได้แม้จะอยู่แค่ใน Lobby room ยังไม่ได้รับอนุญาตให้เข้าห้องก็ตาม (CVE-2020-3441)
ข้อมูลระบุว่าปัญหาดังกล่าวเกิดขึ้นในขั้นตอนการ Handshake ของการติดต่อกันระหว่างสมาชิกในห้องประชุม (Participants) ดังนั้นการโจมตีดังกล่าวนี้จะเกิดขึ้นได้เมื่อผู้ไม่หวังดีรู้ URL ของ Meeting เท่านั้น ปัญหานี้มีผลกระทบต่อ Webex บนระบบปฏิบัติการทั้ง macOS, iOS และ Windows รวมทั้ง Webex Meetings แอพพลิเคชั่น และ Webex Room Kit

ล่าสุด Cisco มีการอัพเดตแพทช์บน Cloud ของ Cisco Webex Meeting แล้ว และปล่อยอัพเดตสำหรับ Cisco Webex Meetings แอพพลิเคชั่นบนอุปกรณ์พกพา และซอฟต์แวร์ของ Cisco Webex Meetings Server แล้ว ผู้ใช้งานควรทำการอัพเดตทันที

ที่มา: bleepingcomputer

Apple ประกาศแพตช์ด้านความปลอดภัยเมื่ออาทิตย์ที่ผ่านมา โดยแพตช์ซึ่งออกมานั้นมีการปิดการโจมตีช่องโหว่ zero-day ทั้ง 3 รายการใน iOS ซึ่งตรวจพบว่าถูกใช้โดยผู้ไม่ประสงค์ดีแล้วโดย Google Project Zero

Google Project Zero ตรวจพบว่ามีผู้ไม่ประสงค์ดีกำลังใช้ช่องโหว่ 3 รายการได้แก่ CVE-2020-27930, CVE-2020-27932 และ CVE-2020-27950 ในการโจมตีจริง ช่องโหว่แรกนั้นเป็นช่องโหว่ memory corruption ในไลบรารี FontParser ซึ่งทำให้ผู้โจมตีสามารถรันโค้ดที่เป็นอันตรายจากไฟล์ฟอนต์แบบพิเศษได้ สองช่องโหว่ที่เหลือเป็นช่องโหว่สำหรับยกระดับสิทธิ์ และช่องโหว่ที่ช่วยข้ามผ่านมาตราการด้านความปลอดภัย

อุปกรณ์ที่ได้รับการแพตช์ได้แก่ iOS, iPadOS, macOS และ watchOS ซึ่งสามารถทำได้อัปเดตได้ทันทีจากหน้าต่างการตั้งค่าของอุปกรณ์ ขอให้ทำการอัปเดตทันทีเพื่อลดความเสี่ยงจากช่องโหว่

ที่มา: thehackernews

Adobe ได้ออกเเพตซ์อัปเดตด้านความปลอดภัยเพื่อแก้ไขช่องโหว่ความรุนแรงระดับ “Critical” จำนวน 14 รายการ ซึ่งช่องโหว่จะส่งผลกระทบต่อ Adobe Acrobat และ Reader สำหรับ Windows และ macOS โดยช่องโหว่อาจทำให้ผู้โจมตีสามารถเรียกใช้โค้ดได้โดยไม่ได้รับอนุญาตบนอุปกรณ์ที่มีช่องโหว่ ทั้งนี้ช่องโหว่ที่มีความสำคัญและได้รับการเเก้ไขมีดังนี้

ช่องโหว่ CVE-2020-24435 เป็นช่องโหว่ประเภท Heap-based buffer overflow ช่องโหว่จะทำให้ผู้โจมตีสามารถเรียกใช้โค้ดได้โดยไม่ได้รับอนุญาต
ช่องโหว่ CVE-2020-24436 เป็นช่องโหว่ประเภท Out-of-bounds write ช่องโหว่จะทำให้ผู้โจมตีสามารถเรียกใช้โค้ดได้โดยไม่ได้รับอนุญาต
ช่องโหว่ CVE-2020-24430 และ CVE-2020-24437 เป็นช่องโหว่ประเภท Use-after-free ช่องโหว่จะทำให้ผู้โจมตีสามารถเรียกใช้โค้ดได้โดยไม่ได้รับอนุญาต

ผู้ใช้งาน Adobe Acrobat และ Reader สำหรับ Windows และ macOS ควรทำการอัปเดตเเพตซ์และติดตั้งซอฟต์แวร์ให้เป็นเวอร์ชันล่าสุดเพื่อป้องกันผู้ประสงค์ร้ายใช้ประโยชน์จากช่องโหว่ทำการโจมตี สำหรับผู้ที่สนใจรายละเอียดของช่องโหว่เพิ่มเติมสามารถดูได้ที่นี่: helpx.

มัลแวร์ GravityRAT สายพันธุ์ใหม่ที่สามารถเเพร่กระจายได้บนอุปกรณ์ Android และ macOS

นักวิจัยด้านความปลอดภัยจาก Kaspersky ได้เผยถึงการตรวจพบมัลแวร์ GravityRAT สายพันธุ์ใหม่ที่สามารถเเพร่กระจายได้บนอุปกรณ์ Android และ macOS

GravityRAT เป็น Remote Access Trojan (RAT) ที่ได้รับการพัฒนาจากกลุ่มแฮกเกอร์ชาวปากีสถานอย่างน้อยตั้งแต่ 2015 เพื่อใช้ในการโจมตีเป้าหมายในหน่วยงานและองค์กรทางด้านทหารของอินเดีย

ด้วยความสามารถใหม่นี้มัลแวร์ GravityRAT ที่ปัจจุบันปลอมตัวเป็นแอป Android และ macOS ที่ถูกต้องจะมีความสามารถในการดักจับข้อมูลของอุปกรณ์, รายชื่อผู้ติดต่อ, ที่อยู่, อีเมล,บันทึกการโทรและข้อความ หลังจากนั้นจะทำการส่งไปยังเซิร์ฟเวอร์ที่ควบคุมโดยผู้โจมตี ทั้งนี้มัลแวร์ GravityRAT ยังมีความสามารถในการค้นหาไฟล์ในคอมพิวเตอร์และอุปกรณ์ removable disk ที่มีนามสกุล. doc, .docx, .ppt, .pptx, .xls, .xlsx, .pdf, .odt, .odp และ. ods และอัปโหลดไปยังเซิร์ฟเวอร์, ตรวจสอบโปรเซสที่กำลังทำงานอยู่, ล็อคกดแป้นพิมพ์, ถ่ายภาพหน้าจอ, รันคำสั่งเชลล์โค้ดได้, บันทึกเสียงและสแกนพอร์ต

ทั้งนี้ผู้ใช้งานควรระมัดระวังในการเปิดเอกสารหรือดาวน์โหลดไฟล์จากเเหล่งที่ไม่ทราบข้อมูลที่ชัดเจนและควรพิจารณาใช้ซอฟต์แวร์ป้องกันไวรัสที่มีประสิทธิภาพเพื่อเป็นการป้องกันการตกเป็นเหยื่อของผู้ประสงค์ร้าย

ที่มา: bleepingcomputer

ทีมนักวิจัย Unit 42 จาก Palo Alto Networks ได้เผยถึงการพบเวิร์ม cryptojacking ที่มีชื่อว่า “Black-T” จากกลุ่ม TeamTNT ซึ่งเป็นกลุ่มที่รู้จักกันในการกำหนดเป้าหมายเพื่อโจมตี AWS จากนั้นทำการใช้ Monero (XMR) cryptocurrency โดยเวิร์มที่ถูกค้นพบนั้นได้ถูกพัฒนาใหม่ทั้งการเพิ่มความสามารถในการขโมยรหัสผ่านและเครื่องสแกนเครือข่ายเพื่อให้ง่ายต่อการแพร่กระจายไปยังอุปกรณ์ที่มีช่องโหว่อื่นๆ

จากรายงานของทีมนักวิจัย Unit 42 พบว่า TeamTNT ได้เพิ่มความสามารถของมัลแวร์ในการใช้เครื่องมือ zgrab ซึ่งเป็นเครื่องมือสแกนเครือข่ายชนิดเดียวกับ pnscan และ masscan ที่อยู่ภายใน Black-T อยู่แล้วทำการสแกนเป้าหมาย ทั้งนี้เครื่องมือสแกน masscan ที่ใช้โดย Black-T ก็ได้รับการอัปเดตเพื่อกำหนดเป้าหมายเป็นพอร์ต TCP 5555 ซึ่งอาจบอกเป็นนัยว่า TeamTnT อาจกำหนดเป้าหมายไปที่อุปกรณ์ Android นอกจากนี้ Black-T ยังได้เพิ่ม Mimikatz แบบโอเพนซอร์สสองตัวคือ mimipy (รองรับ Windows / Linux / macOS) และ mimipenguin (รองรับ Linux) ทำการอ่านข้อมูลรหัสแบบ plaintext ภายในหน่วยความจำของระบบที่ถูกบุกรุกและส่งไปยังเซิร์ฟเวอร์ C&C ของ TeamTNT

ด้วยการรวมเทคนิคและขั้นตอนทั้งหมดเข้าด้วยกัน TeamTNT สามารถใช้บ็อตเน็ตของเซิร์ฟเวอร์ที่ถูกบุกรุกเพื่อทำการสแกนหา Docker daemon API เพิ่มเติม ภายในเครือข่ายโดยใช้เครื่องมือ masscan, pnscan และ zgrab และเมื่อมัลแวร์สามารถบุกรุกแล้วได้จะทำการติดตั้ง Kubernetes และ Docker และหลังจากนั้นจะปรับใช้ payload binary ใน container เพื่อทำการเริ่มต้น Monero (XMR) cryptocurrency ภายในเครื่องที่บุกรุก

ทั้งนี้ผู้ดูแลระบบควรทำการตรวจสอบให้แน่ใจว่า Docker daemon API บนระบบคลาวด์ของท่านไม่ถูกเปิดเผยและสามารถเข้าถึงได้จากอินเตอร์เน็ตและเพื่อเป็นการป้องกันการตกเป็นเหยือของมัลแวร์ ผู้ดูแลระบบควรใช้ทำการติดตั้งและใช้งาน Next-Generation Firewall ในระบบของท่าน

ที่มา : bleepingcomputer

“EvilQuest” แรนซัมแวร์ชนิดใหม่ซึ่งถูกค้นพบโดย Dinesh Devadoss นักวิจัยมัลแวร์จาก K7 Lab, Thomas Reed จาก Malwarebytes และ Patrick Wardle จาก Jamf Principal รายงานของนักวิจัยได้เปิดเผยว่าแรนซัมแวร์ชนิดใหม่นี้มุ่งเป้าหมายไปยังผู้ใช้งาน macOS ซึ่งแรนซัมแวร์ชนิดนี้จะทำการเเพร่กระจายไปสู่ผู้ใช้งาน โดยการปลอมเเปลงเป็นโปรเเกรม Google Software Update และแฝงไปกับซอฟต์เเวร์ที่ทำการดาวน์โหลดแบบละเมิดลิขสิทธิ์ยอดนิยมเช่น Little Snitch, Ableton Live และ Mixed in Key ใน Bit Torrent

Devadoss กล่าวว่า EvilQuest แรนซัมแวร์นั้นถูกพบครั้งเเรกปลายเดือนมิถุนายนที่ผ่านมา โดย EvilQuest นั้นนอกจากจะมีคุณสมบัติในการเข้ารหัสข้อมูลของเหยื่อแลัว EvilQuest ยังมีคุณสมบัติในการใช้งานและติดตั้ง keylogger, reverse shell และจะทำการขโมยไฟล์ต่างๆ ที่เกี่ยงข้องกับ cryptocurrency wallet เป็นต้น

เมื่อผู้ใช้งานเหยื่อของ EvilQuest และถูกเข้ารหัสข้อมูลเสร็จแล้ว จะพบว่ามีไฟล์ที่ชื่อว่า READ_ME_NOW.txt พร้อมคำเเนะนำในการจ่ายค่าไถ่ โดยผู้ที่ตกเป็นเหยื่อจะถูกขอให้จ่ายเงินค่าไถ่เป็นจำนวนเงิน $50 หรือประมาณ 1500 บาท ในสกุลเงิน bitcoin ภายในเวลา 72 ชั่วโมง เพื่อกู้คืนไฟล์ที่ถูกเข้ารหัส

ข้อเเนะนำ
ผู้ใช้งาน macOS ควรระมัดทำการติดตั้งซอฟต์เเวร์ที่มีลิขสิทธิ์ ไม่ควรทำการติดตั้งซอฟต์เเวร์ที่ละเมิดลิขสิทธิ์และควรระวังในการดาวน์โหลดซอฟต์เเวร์หรือไฟล์จากเเหล่งที่ไม่รู้จัก เพื่อป้องกันการตกเป็นเหยื่อของแรนซัมแวร์ชนิดใหม่นี้

ที่มา:

bleepingcomputer
helpnetsecurity