พบการโจมตีด้วยมัลแวร์ Cardinal RAT อีกครั้ง โดยรอบนี้พุ่งเป้าไปที่บริษัทเทคโนโลยีทางการเงินในอิสราเอล

นักวิจัยจาก Palo Alto Networks เป็นผู้พบการกลับมาของมัลแวร์ในครั้งนี้ หลังจากที่พบครั้งแรกเมื่อปี 2017 มัลแวร์จะถูกดาวน์โหลดผ่านมัลแวร์ตั้งต้นที่ถูกเรียกว่า“ Carp” ที่จะมีการใช้ Macro ในเอกสาร Microsoft Excel เพื่อติดตั้ง Cardinal RAT บนเครื่องเหยื่อ มัลแวร์สามารถขโมยชื่อผู้ใช้และรหัสผ่าน, ล้างคุกกี้จากเบราว์เซอร์, keylogger และถ่ายภาพหน้าจอของเครื่องเหยื่อ

Cardinal RAT รุ่นล่าสุด (รุ่น 1.7.2) มีการเปลี่ยนแปลงที่สำคัญที่สุดคือการเพิ่มวิธีหลบหลีกการตรวจจับจาก Anti-virus ด้วยการใช้ steganography (การซ่อนชุดคำสั่งในไฟล์รูปภาพ) นักวิจัยยังค้นพบความสัมพันธ์ที่เป็นไปได้ระหว่าง Cardinal RAT กับมัลแวร์ที่ชื่อว่า "EVILNUM" โดยพบว่าบริษัทที่พบ Cardinal RAT จะมีการพบ EVILNUM ด้วย มัลแวร์ทั้งสองมีเป้าหมายเป็นบริษัทการเงินเหมือนกัน และลักษณะการโจมตีเหยื่อจะมีการส่งไฟล์แนบเป็นเอกสารที่มีการฝังโค๊ดอันตรายมาหลอกลวงเหยื่อเหมือนกัน ในเอกสารจะมีการระบุข้อมูลเป็นชื่อหรือเลขส่วนตัวที่เกี่ยวข้องกับการซื้อขาย forex หรือสกุลเงินดิจิตอลเหมือนกัน

ดังนั้นเพื่อลดความเสี่ยง องค์กรควรมีระบบตรวจสอบ spam ที่มีประสิทธิภาพ, ไม่อนุญาตให้อีเมลที่มีการแนบไฟล์เป็น .LNK หรือ zip ไฟล์ที่มี .LNK ไฟล์อยู่ข้างในไฟล์เดียว และอีเมลที่มีไฟล์แนบเป็นเอกสารที่มี Macro จากภายนอก สามารถส่งมาถึงผู้ใช้งานในองค์กรได้

ที่มา: threatpost.

พบช่องโหว่ใน PHP Libraries ที่ใช้สำหรับสร้างไฟล์ PDF (CVE-2018-17057)

Sam Thomas นักวิจัยด้านความปลอดภัยจาก Secarma พบช่องโหว่ที่มีความรุนแรงใน PHP Libraries ที่มีชื่อว่า "TCPDF" ซึ่งถูกใช้สำหรับแปลงค่า HTML เป็น PDF ส่งผลให้ผู้ไม่หวังดีสามารถสั่งรันคำสั่งอันตราย (remote code execution) ผ่านหน้าเว็บไซต์ที่ใช้รับข้อมูลจากผู้ใช้งานในการสร้างไฟล์ PDF หรือผ่านการใช้ cross-site scripting (XSS) บนเว็บไซต์ที่มีช่องโหว่เพื่อแทรกโค๊ดที่เป็นอันตราย

ช่องโหว่ดังกล่าวได้ถูกแจ้งไปยังทีมผู้พัฒนา Library ดังกล่าวตั้งแต่เดือนสิงหาคมที่ผ่านมา และล่าสุดได้ปล่อยเวอร์ชั่น TCPDF 6.2.20 และ TCPDF 6.2.22 ออกมาตามลำดับ เพื่อแก้ไขปัญหาดังกล่าว เนื่องจากความรุนแรงของช่องโหว่ที่พบ ทำให้นักวิจัยเพิ่งออกมาเปิดเผยรายละเอียดของช่องโหว่หลังจากได้รับการแก้ไขมาแล้ว 6 เดือน เพื่อให้ผู้ใช้งานมีเวลาในการติดตั้งแพทช์ใหม่ ผู้ใช้งานที่ได้รับผลกระทบควรดำเนินการอัพเดตทันที

ที่มา: www.

Cisco แนะนำให้ลูกค้าทำการอัพเดตอุปกรณ์ wireless VPN และ firewall router เนื่องจากพบช่องโหว่ (CVSS 9.8) ทำให้โจมตีได้จากระยะไกลโดยที่ไม่ต้องตรวจสอบสิทธิ์ก่อน เพื่อสั่งรันคำสั่งที่เป็นอันตรายได้

ช่องโหว่ CVE-2019-1663 ถูกค้นพบโดยนักวิจัยด้านความปลอดภัยจาก Pen Test Partners ส่งผลกระทบต่อ Cisco RV110W Wireless-N VPN Firewall, Cisco RV130W Wireless-N Multifunction VPN Router, และ Cisco RV215W Wireless-N VPN Router ช่องโหว่ดังกล่าวพบว่าอยู่ในส่วนการจัดการผ่านเว็บ (web-based management interface) สำหรับเราเตอร์ ทั้ง 3 รุ่น ผู้โจมตีสามารถส่งคำขอ HTTP ที่เป็นอันตรายไปยังอุปกรณ์เป้าหมายที่ได้รับผลกระทบและรันโค้ดที่เป็นอันตราย

Ryan Seguin วิศวกรของ Tenable กล่าวว่าช่องโหว่นี้เกิดจากปัญหาของ Input field สำหรับการ authentication เพื่อเข้าสู่ระบบ ส่งผลให้เกิด buffer overflow และสามารถสั่งรันคำสั่งได้จากหน่วยความจำของอุปกรณ์

ที่มา:threatpost