แฮกเกอร์ปล่อยข้อมูลซอร์สโค้ด GPU ของ Xbox Series X ที่ขโมยมา

บริษัท AMD ยอมรับว่าแฮกเกอร์ได้ทำการขโมยข้อมูลซอร์สโค้ดฮาร์ดแวร์สำหรับ GPU ที่ AMD กำลังจะเปิดตัวผลิตภัณฑ์และบริษัทได้ออกแถลงการณ์ยืนยันอย่างเป็นทางการแล้ว

คำแถลงของ AMD กล่าวว่าการแฮกเกิดขึ้นในเดือนธันวาคม 2019 แฮกเกอร์ดำเนินการโดยใช้ชื่อว่า “ xxXsoullessXxx” ได้เข้ามาขโมยข้อมูลกราฟิกซีพียู “Series X” ซึ่งส่วนใหญ่ใช้ใน Xbox พร้อมกับซอร์สโค้ดของกราฟิกการ์ดที่กำลังจะใช้สำหรับคอมพิวเตอร์พีซี

ในขณะนี้ มีการปรากฎของซอร์สโค้ดบางส่วนบน GitHub ซึ่งเชื่อกันว่าแฮกเกอร์เป็นผู้เผยแพร่ข้อมูลดังกล่าว โดยซอร์สโค้ดที่ถูกปล่อยออกมานั้นเป็นซอร์สโค้ดและข้อมูลที่ได้รับการยืนยันแล้วว่าเกี่ยวข้องกับฮาร์ดแวร์ AMD Navi GPU

ยังไม่มีรายละเอียดถึงวิธีการและเทคนิคที่แฮกเกอร์ใช้ในการเข้าถึงระบบภายในและขโมยข้อมูลออกมา

ที่มา: hackread

แคมเปญมัลแวร์ Poisoned News: มุ่งโจมตีผู้ใช้ iPhone ในฮ่องกงด้วยช่องโหว่และแบ็คดอร์ iOS ที่ช่วยให้ผู้โจมตีสามารถสอดแนมได้

เมื่อวันที่ 19 กุมภาพันธ์ ผู้เชี่ยวชาญด้านความปลอดภัยที่ Trend Micro ได้เปิดช่องโหว่โจมตีเป้าหมายผู้ใช้ iOS ด้วย URL ที่ชี้ไปยังเว็บไซต์ที่เป็นอันตราย แคมเปญนี้มีชื่อว่า” Operation Poisoned News” ที่มุ่งโจมตี iPhone ของผู้ใช้ในฮ่องกงด้วยการติดตามแบ็คดอร์ iOS lightSpy

ผู้โจมตีใช้ลิงค์ที่เป็นอันตรายซึ่งจะกระจายผ่านการโพสต์บนฟอรัมที่ได้รับความนิยมม, พาดหัวข่าว clickbait เกี่ยวกับการระบาดของ COVID-19 ในฮ่องกง และนำผู้ใช้ไปยังเว็บไซต์ข่าวจริงที่ถูกบุกรุกและเเฝงโค้ดที่จะโหลดและเรียกใช้มัลแวร์

การโจมตีใช้ประโยชน์จากช่องโหว่ความปลอดภัย CVE-2019-8605 ที่อนุญาตให้ผู้โจมตีได้รับสิทธิ์ root มีผลต่ออุปกรณ์ Apple iPhone 6S จนถึง iPhone X ที่ใช้ iOS 12.1 และ 12.2 ที่ไม่ได้รับการอัพเดตแพตช์และจะทำการฝังมัลแวร์แบ็คดอร์ lightSpy ที่สามารถเข้าควบคุมอุปกรณ์เป้าหมายได้อย่างสมบูรณ์

แบ็คดอร์ lightSpy ยังทำการเก็บข้อมูลประวัติการใช้ WiFi ที่เชื่อมต่อ, รายชื่อ, ตำแหน่ง GPS, ข้อมูลฮาร์ดแวร์, iOS keychain, ประวัติการโทร, เว็บเบราว์เซอร์ Safari และ Chrome, ข้อความ SMS, IP Address, แอปพลิเคชัน Telegram, QQ และ WeChat

ที่มา: securityaffairs, zdnet

Trend Micro ประกาศแพตช์ 2 ช่องโหว่ Zero-day และ 3 ช่องโหว่ร้ายแรงที่โดนโจมตีจากแฮกเกอร์

บริษัท Trend Micro ได้เปิดเผยว่าแฮกเกอร์ได้พยายามโจมตีผ่านช่องโหว่ Zero-day ถึง 2 รายการ CVE-2020-8467, CVE-2020-8468 และยังพบช่องโหว่ร้ายแรงอีก 3 รายการ ซึ่งทั้งหมดกระทบกับผลิตภัณฑ์ Antivirus อย่าง Apex One และ OfficeScan ล่าสุดทาง Trend Micro ยังไม่ได้เปิดเผยรายละเอียดใดๆ เกี่ยวกับการโจมตี อย่างไรก็ตามเมื่อปีก่อนแฮกเกอร์จากจีนได้ใช้ช่องโหว่ Zero-day บนผลิตภัณฑ์ OfficeScan ทำการแฮกบริษัท Mitsubishi Electric ของญี่ปุ่นมาแล้ว แต่ยังไม่เเน่ชัดว่าเป็นกลุ่มแฮกเกอร์เดียวกันหรือไม่

รายละเอียดช่องโหว่ Zero-day

CVE-2020-8467 (CVSS 9.1) - เป็นช่องโหว่ที่ทำให้ผู้โจมตีสามารถเรียกใช้การโจมตีระยะไกล (RCE) บนเครื่องที่ติดตั้งผลิตภัณฑ์ Trend Micro Apex One และ OfficeScan แต่การโจมตีจะเกิดขึ้นได้ผู้โจมตีพิสูจน์ตัวตนผู้ใช้ก่อน
CVE-2020-8468 (CVSS 8.0) - เป็นช่องโหว่ที่เกิดขึ้นกับ Agent ของผลิตภัณฑ์ Apex One และ OfficeScan โดยช่องโหว่การตรวจสอบความถูกต้องของการตรวจสอบเนื้อหาซึ่งอาจทำให้ผู้โจมตีสามารถจัดการคอมโพเนนต์ไคลเอ็นต์ของ Agent บางตัวได้เงื่อนไขการโจมตีของช่องโหว่นี้ต้องใช้การพิสูจน์ตัวตนผู้ใช้ก่อน

รายละเอียดช่องโหว่ร้ายแรง

CVE-2020-8470 (CVSS 10) - กระทบกับเซิร์ฟเวอร์ของ Apex One และ OfficeScan ผู้โจมตีสามารถเข้าไปลบไฟล์ DLL บนเซิร์ฟเวอร์ในระดับสิทธิ์ของ SYSTEM โดยไม่ต้องผ่านการพิสูจน์ตัวตนได้
CVE-2020-8598 (CVSS 10) - กระทบกับเซิร์ฟเวอร์ของ Apex One และ OfficeScan ผู้โจมตีสามารถใช้ช่องโหว่เกี่ยวกับไฟล์ DLL ที่ทำให้สามารถเข้าไปลอบรันโค้ดจากทางไกล (RCE) ในระดับสิทธิ์ของ SYSTEM โดยไม่ต้องผ่านการพิสูจน์ตัวตน
*CVE-2020-8599 (CVSS 10) - กระทบกับเซิร์ฟเวอร์ของ Apex One และ OfficeScan ผู้โจมตีสามารถใช้ช่องโหว่จากไฟล์ EXE ทำให้สามารถโจมตีระยะไกลและเข้าไปเขียนข้อมูลใน Path ที่ได้รับผลกระทบจากการติดตั้งและ Bypass การล็อกอินระดับ Root ได้โดยไม่ต้องพิสูจน์ตัวตน*

รุ่นผลิตภัณฑ์ที่ได้รับผลกระทบ

Apex One บน Windows เวอร์ชั่น 2019
OfficeScan บน Windows เวอร์ชั่น XG SP1 และ XG (non-SP)

การเเก้ไข

Trend Micro ได้เปิดให้อัปเดตแพตช์ตั้งแต่วันที่ 16 มีนาคม 2020 ที่ผ่านมาเเนะนำผู้ใช้รีบทำการอัปเดตแพตช์โดยด่วนเพราะช่องโหว่มีผลกระทบค่อนข้างรุนเเรง

ที่มา: Zdnet

พบช่องโหว่บน Slack อนุญาตให้ผู้โจมตีสามารถครอบครองบัญชีได้อัตโนมัติ

Evan Custodio นักวิจัยด้านความปลอดภัยบนเว็บและนักล่าเงินรางวัลได้เผยช่องโหว่บน Slack ให้ทีมรักษาความปลอดภัยของเว็บไซต์ HackerOne bug Bounty เมื่อวันที่ 14 พฤศจิกายน

ช่องโหว่เป็นข้อบกพร่องด้านความปลอดภัยที่อนุญาตให้ผู้โจมตีทำการครอบครองบัญชีโดยอัตโนมัติหลังจากขโมย Cookie Session โดยใช้การร้องขอ HTTP Smuggling CL.TE

HTTP Request Smuggling เป็นการโจมตีซึ่งอาศัยปัญหาของเว็บแอปพลิเคชันซึ่งตีความ HTTP Request ที่เข้ามาแตกต่างกันระหว่างคอมโพเนนต์ซึ่งเป็น Frontend และ Backend การโจมตี HTTP Request Smuggling อาศัยการควบคุมการตั้งค่าในเฮดเดอร์ Transfer-Encoding (TE) และ Content-Length (CL) เพื่อให้เกิดเงื่อนไขที่เหมาะสมให้การโจมตีสำเร็จได้

ดังนั้นการโจมตีบน https://slackb.

ผู้โจมตีใช้ CoronaVirus Ransomware เพื่อปกปิด Kpot Password-Stealer

ผู้เชี่ยวชาญด้านความปลอดภัยจาก Malware Hunter Team ตรวจพบ Ransomware ที่เรียกว่า CoronaVirus เผยแพร่ผ่านเว็บไซต์ WiseCleaner ในแคมเปญนี้ผู้โจมตีจะใช้ประโยชน์จากความสนใจในการแพร่ระบาดของโรค Coronavirus (COVID-19) โดยจะแฝงมัลแวร์ Coronavirus Ransomware และมัลแวร์ที่ชื่อว่า Kpot Password-Stealer ในการโจมตี

เว็บไซต์ WiseCleaner ถูกระบุว่าเป็นที่เเพร่กระจายไฟล์ชื่อ WSHSetup.

แฮกเกอร์ที่รัฐสนับสนุนกำลังใช้ coronavirus เพื่อหลอกลวงให้เป้าหมายของพวกเขาติดเชื้อมัลแวร์

แฮกเกอร์ที่รัฐสนับสนุน (APT) ของรัฐบาลจีน เกาหลีเหนือ และรัสเซียถูกจับได้โดยใช้อีเมลที่มีธีม COVID-19 เพื่อทำให้เหยื่อติดมัลแวร์

รัสเซีย
กลุ่มแฮกที่ได้รับการสนับสนุนจากรัฐกลุ่มแรกที่ใช้การหลอกลวงโดย coronavirus คือกลุ่ม Hades ที่เชื่อว่ามีการปฏิบัติการนอกรัสเซีย และมีส่วนเกี่ยวข้องกับ APT28 (Fancy Bear) iและเป็นหนึ่งในกลุ่มที่แฮก DNC ในปี 2016

QiAnXin บริษัทรักษาความปลอดภัยไซเบอร์พบว่าแฮกเกอร์ Hades ดำเนินการเเคมเปญในกลางเดือนกุมภาพันธ์ เมื่อพวกเขาซ่อน C# backdoor trojan ในเอกสารที่มีข่าวล่าสุดเกี่ยวกับ COVID-19 เอกสารถูกส่งไปยังเป้าหมายในยูเครน ซึ่งปลอมเป็นอีเมลที่มาจากศูนย์สาธารณสุขของกระทรวงสาธารณสุขของประเทศยูเครน

เกาหลีเหนือ
กลุ่มแฮกเกอร์เกาหลีเหนือซ่อนมัลแวร์ไว้ในเอกสารที่ระบุรายละเอียดการตอบสนองของเกาหลีใต้ต่อการแพร่ระบาดของ COVID-19 เชื่อว่าเอกสารดังกล่าวมีเป้าหมายเป็นเจ้าหน้าที่ของเกาหลีใต้ โดยเอกสารนั้นเต็มไปด้วย BabyShark ซึ่งเป็นสายพันธุ์มัลแวร์ที่เคยใช้โดยกลุ่มแฮกเกอร์เกาหลีเหนือที่รู้จักกันในชื่อ Kimsuky

จีน
แคมเปญมัลแวร์ส่วนใหญ่ที่ใช้ธีม coronavirus มาจากประเทศจีน พบการโจมตีครั้งเเรกที่เกิดขึ้นโดยบริษัทรักษาความปลอดภัยในโลกไซเบอร์เวียดนาม VinCSS ตรวจพบกลุ่มแฮกที่ได้รับการสนับสนุนจากรัฐของจีน (ชื่อ Mustang Panda) แพร่กระจายอีเมลด้วยไฟล์แนบ RAR ที่อ้างว่าส่งข้อความเกี่ยวกับการระบาดของโรค coronavirus จากนายกรัฐมนตรีเวียดนาม เมื่อเหยื่อหลงเชื่อโหลดและแตกไฟล์ก็จะติดโทรจัน

ที่มา : Zdnet

Patch Tuesday เดือนมีนาคม 2020 ของ Microsoft แก้ไข 115 ช่องโหว่

ด้วยการเปิดตัวการอัพเดทความปลอดภัยมีนาคม 2020 Microsoft ได้เปิดตัวแก้ไขสำหรับ 115 ช่องโหว่ในผลิตภัณฑ์ Microsoft จากช่องโหว่ 115 ช่องโหว่เหล่านี้ 24 ช่องโหว่ถูกจัดให้อยู่ในประเภท Critical, 88 ช่องโหว่ถูกจัดให้อยู่ในประเภท Important, และ 3 ช่องโหว่ถูกจัดให้อยู่ในประเภท Moderate ผู้ใช้ควรติดตั้งการอัพเดทความปลอดภัยเหล่านี้โดยเร็วที่สุด เพื่อป้องกัน Windows จากความเสี่ยงด้านความปลอดภัยที่ถูกเปิดเผยแล้ว
การขโมยซอร์สโค้ดด้วยช่องโหว่รหัส CVE-2020-0872 มีชื่อว่า "Remote Code Execution Vulnerability in Application Inspector" สามารถใช้งานโดยผู้โจมตี เพื่อขโมยซอร์สโค้ดของไฟล์ที่เปิดใน Application Inspector
มีช่องโหว่ในการเรียกใช้โค้ดจากระยะไกลใน Application Inspector เวอร์ชัน v1.0.23, หรือก่อนหน้านี้ เมื่อเครื่องมือแสดง Snippet โค้ดจากซอร์สไฟล์ของบุคคลที่สามไปยังเอาต์พุต HTML ผู้โจมตีสามารถส่งส่วนของรายงานที่มี Snippet โค้ดไปยังเซิร์ฟเวอร์ภายนอก ในการโจมตีช่องโหว่นี้ ผู้โจมตีต้องโน้มน้าวให้ผู้ใช้เรียกใช้ Application Inspector ในซอร์สโค้ดที่มีส่วนประกอบของบุคคลที่สามที่เป็นอันตราย
Weaponized ไฟล์ LNK และเอกสาร Word
สองช่องโหว่ใหม่ได้รับการแก้ไขในครั้งนี้ที่อาจทำให้ผู้โจมตีสามารถสร้างไฟล์. LNK หรือเอกสาร Word ที่สร้างขึ้นเป็นพิเศษ ซึ่งสามารถทำการประมวลผลโค้ดได้เมื่อถูกเปิด
ช่องโหว่แรกคือ CVE-2020-0684 และมีชื่อว่า "LNK Remote Code Execution Vulnerability" และช่วยให้ให้ผู้โจมตีสร้างไฟล์ LNK ที่เป็นอันตรายซึ่งสามารถเรียกใช้โค้ดได้
ช่องโหว่ที่สองคือ CVE-2020-0852 และมีชื่อว่า "Microsoft Word Remote Code Execution Vulnerability" ช่องโหว่นี้จะทำให้ผู้โจมตีสามารถสร้างเอกสาร Word ที่เป็นอันตรายซึ่งดำเนินการเรียกใช้โค้ดได้ง่ายเพียงเปิดเอกสารเหล่านั้น ช่องโหว่นี้ใช้งานได้ใน preview pane ของ Outlook

ที่มา : bleepingcomputer