CISA แจ้งเตือนพบ Hacker กำลังใช้ช่องโหว่ Chrome และ D-Link router ในการโจมตีเป้าหมาย

CISA แจ้งเตือนพบ Hacker กำลังใช้ช่องโหว่ Chrome และ D-Link router ในการโจมตีเป้าหมาย

หน่วยงาน US Cybersecurity & Infrastructure Security Agency (CISA) ได้เพิ่มช่องโหว่ 3 รายการไปยัง Known Exploited Vulnerabilities catalog (KEV) หรือรายการช่องโหว่ที่กำลังถูกใช้ในการโจมตี โดยมีช่องโหว่ 1 รายการที่ส่งผลกระทบต่อ Google Chrome และช่องโหว่ 2 รายการที่ส่งผลกระทบต่อ D-Link router

(more…)

กลุ่ม Kimsuky ใช้ Linux backdoor ตัวใหม่ มุ่งเป้าโจมตีไปยังเกาหลีใต้

กลุ่ม Hacker ชาวเกาหลีเหนือที่เป็นที่รู้จักในชื่อ Kimsuki กำลังใช้ Linux backdoor ตัวใหม่ ในชื่อ Gomir ซึ่งเป็นหนึ่งในเวอร์ชัน ของ GoBear backdoor ที่ถูกติดตั้งผ่านโปรแกรมที่ฝัง trojan ไว้

Kimsuky เป็นกลุ่ม Hacker ที่ได้รับการสนับสนุนจากรัฐบาลเกาหลีเหนือ ซึ่งมีความเกี่ยวข้องกับหน่วยข่าวกรองทางทหารของเกาหลีเหนือ หรือ Reconnaissance General Bureau (RGB)

ในช่วงต้นเดือนกุมภาพันธ์ 2024 นักวิจัยจากบริษัทข่าวกรองภัยคุกคาม SW2 ได้รายงานเกี่ยวกับแคมเปญการโจมตี ที่ Kimsuky ใช้ซอฟต์แวร์ต่าง ๆ ที่ฝัง trojan ไว้ เช่น TrustPKI และ NX_PRNMAN จาก SGA Solutions, Wizvera VeraPort เพื่อโจมตีไปยังเป้าหมายชาวเกาหลีใต้ด้วย Troll Stealer และ GoBear ซึ่งเป็นมัลแวร์บน Windows ที่ใช้ภาษา GO

ต่อมานักวิจัยจาก Symantec ได้พบแคมเปญการโจมตีที่มุ่งเป้าหมายไปที่องค์กรรัฐบาลเกาหลีใต้ โดยได้ค้นพบ GoBear backdoor ในรูปแบบ Linux

Gomir backdoor

Gomir backdoor มีความคล้ายคลึงกับ GoBear backdoor หลายอย่าง เช่น feature การเชื่อมต่อผ่าน command and control (C2), การแฝงตัวบนระบบ และการรองรับการดำเนินการคำสั่งที่หลากหลาย

ซึ่งเมื่อ backdoor ทำการโจมตี และเข้าสู่เครื่องได้แล้ว ก็จะทำการตรวจสอบว่ากำลังทำงานด้วยสิทธิ์ root บนเครื่อง Linux หรือไม่ จากนั้นจะทำการคัดลอกตัวเองไปที่ /var/log/syslogd จากนั้นก็จะสร้าง System service ในชื่อ 'syslogd' และเรียกใช้คำสั่ง ก่อนที่จะลบไฟล์ปฏิบัติการดั้งเดิม และยุติขั้นตอนการทำงาน

รวมถึง backdoor ยังพยายามกำหนดค่าคำสั่ง crontab ให้ทำงานเมื่อรีบูตระบบด้วยการสร้าง helper file (‘cron.

Apple ระงับการฉ้อโกงใน App Store ไปกว่า 7 พันล้านดอลลาร์ใน 4 ปี

Apple ระบุในการวิเคราะห์การป้องกันการฉ้อโกงประจำปีล่าสุดว่า เทคโนโลยีในการต่อต้านการฉ้อโกงของ Apple ได้ปิดกั้นการทำธุรกรรมที่อาจเป็นการฉ้อโกงมูลค่ามากกว่า 7 พันล้านดอลลาร์ในสี่ปี

ตั้งแต่ปี 2020 ถึง 2023 บริษัทตรวจพบบัตรเครดิตที่ถูกขโมยมาใช้มากกว่า 14 ล้านใบ และบล็อกไม่ให้ทำธุรกรรมบนแพลตฟอร์มพร้อมกับบัญชี 3.3 ล้าน accounts

สถิติในปีที่แล้วแสดงให้เห็นว่า Apple หยุดธุรกรรมที่น่าสงสัยมูลค่า 1.8 พันล้านดอลลาร์ ซึ่งน้อยกว่าในปี 2022 ที่บล็อกธุรกรรมที่น่าสงสัยไป 2 พันล้านดอลลาร์เล็กน้อย

รายงานยังระบุว่า ตลอดปี 2023 Apple ยังป้องกันการใช้งานบัตรเครดิตที่ถูกขโมยมากว่า 3.5 ล้านใบสำหรับการซื้อที่ App Store และแบน accounts มากกว่า 1.1 ล้าน accounts จากการทำธุรกรรมอีกครั้ง

ในแง่ของความปลอดภัยของแอป และการบังคับใช้นโยบายความเป็นส่วนตัว เมื่อปีที่ผ่านมา Apple ปฏิเสธที่แอปที่ถูกส่งเข้ามามากกว่า 1.7 ล้านรายการที่ไม่เป็นไปตามมาตรฐานของ App Store ในด้านความเป็นส่วนตัว ความปลอดภัย และเนื้อหา

ในจำนวนนี้ 248,000 รายการถูกปฏิเสธเนื่องจากเป็นสแปม ลอกเลียนแบบ หรือทำให้ผู้ใช้งานเข้าใจผิด
38,000 รายการถูกปฏิเสธเนื่องจากมีคุณลักษณะที่ซ่อนอยู่ หรือไม่มีเอกสารอ้างอิง
375,000 รายการถูกปฏิเสธเนื่องจากการละเมิดความเป็นส่วนตัวต่าง ๆ
47,000 รายการถูกปฏิเสธเนื่องจากเป็นแอปที่ผิดกฎหมายละเมิดลิขสิทธิ์
40,000 รายการถูกถอดออก หรือปฏิเสธเพราะใช้กลยุทธ์ "bait-and-switch"
และ 98,000 รายการคาดว่า "อาจฉ้อโกง" และถูกบล็อกไว้ก่อน

ทีมตรวจสอบแอปซึ่งประกอบด้วยผู้เชี่ยวชาญ 500 คน ตรวจสอบแอปที่ส่งเข้ามา 6.9 ล้านรายการในปี 2023 และพบการละเมิดที่นำไปสู่การปฏิเสธคำขอ 1.7 ล้านคำขอ

นอกจากนี้ ปีที่แล้ว Apple ได้แบน accounts ไป 118,000 accounts และ turned down accounts ไป 91,000 accounts

ในส่วนของ accounts ของลูกค้า พบว่ามีการฉ้อโกง 153 ล้าน accounts หรือมีส่วนร่วมในกิจกรรมที่ผิดกฎหมาย 374 ล้าน accounts ซึ่งนำไปสู่การบล็อก หรือปิดการใช้งาน

สุดท้ายนี้ จากคะแนน และรีวิวแอป 1.1 พันล้านรายการที่ผู้ใช้ส่งไปยัง App Store ในปี 2023 มี 152 ล้านรายการที่ถูกพิจารณาว่าเป็นแอปปลอม/ฉ้อโกง และถูกลบออก

Apple แสดงความมุ่งมั่นที่จะยกระดับความความปลอดภัย และความสมบูรณ์ของ App Store การลงทุนด้านความปลอดภัย ขยายโครงการต่อต้านการฉ้อโกง และเสริมความแข็งแกร่งให้กับเทคโนโลยีการชำระเงินที่ปลอดภัย เช่น Apple Pay และ StoreKit

อย่างไรก็ตาม ผู้ใช้ยังงานสามารถดำเนินการเพื่อปกป้องตนเองจากการฉ้อโกงได้ดังนี้:

ดาวน์โหลดเฉพาะแอปจาก App Store อย่างเป็นทางการเท่านั้น หลีกเลี่ยงการใช้งาน third-party แอป
อ่าน reviews ของผู้ใช้งานอื่น ๆ อย่างละเอียด และมองหาสัญญาณของการฉ้อโกง เช่น การให้คะแนนที่สูงอย่างน่าสงสัย พร้อม reviews ที่มีรายละเอียดเพียงเล็กน้อย
ใช้ซอฟต์แวร์จากนักพัฒนาที่มีชื่อเสียงซึ่งมีผลงานจากโครงการที่น่าเชื่อถือเท่านั้น
สังเกตการขอ permissions ที่แอปร้องขอ และปฏิเสธการเข้าถึงที่ไม่จำเป็น
อัปเดตระบบปฏิบัติการ และแอปของอุปกรณ์ให้เป็นเวอร์ชันล่าสุดอยู่เสมอ
ลบแอปที่ไม่ได้ใช้งาน และเพิกถอน permissions สำหรับแอปที่ไม่ได้ใช้
อย่างไรก็ตาม แม้จะมีนโยบายที่เข้มงวดสำหรับแอปพลิเคชันที่จะเข้าสู่ App Store แต่ผู้โจมตีบางรายยังคงสามารถหลีกเลี่ยงกลไกการตรวจสอบ และส่งแอปที่เป็นอันตรายเข้าสู่ App Store ได้

ในปีนี้ มีกรณีแอปปลอมที่มีชื่อเสียงโด่งดังสองกรณีถูกเพิ่มเข้าไปใน App Store ของ Apple โดยกรณีหนึ่งเป็นการเลียนแบบเครื่องมือจัดการรหัสผ่าน LastPass และอีกกรณีหนึ่งแอบอ้างเป็นกระเป๋าเงินดิจิทัลของ Leather

ที่มา: bleepingcomputer

Terminator เครื่องมือใหม่ของแฮ็กเกอร์ที่อ้างว่าหยุดการทำงานของ EDR ได้

เครื่องมือของแฮ็กเกอร์ตัวใหม่ที่ชื่อว่า "Terminator" กำลังได้รับการโปรโมตโดยผู้ไม่หวังดีชื่อ 'Spyboy' บนฟอรัมแฮ็กเกอร์ของรัสเซีย โดยเครื่องมือนี้ถูกอ้างว่าสามารถปิดการทำงานของซอฟแวร์ป้องกันไวรัส, Endpoint Detection and Response (EDR) และ Extended Detection and Response (XDR) ได้ อย่างไรก็ตามบริษัทด้านความปลอดภัยทางไซเบอร์อย่าง CrowdStrike ได้ปฏิเสธคำกล่าวอ้างเหล่านี้ โดยระบุว่า Terminator เพียงใช้วิธีการโจมตีที่เรียกว่า Bring Your Own Vulnerable Driver (BYOVD) มาใช้เท่านั้น

รายละเอียดของ Terminator

ตามรายงาน Terminator มีความสามารถในการหลีกเลี่ยงการตรวจจับจากโซลูชันด้านความปลอดภัยได้ถึง 24 รายการ ซึ่งรวมถึงแอนตี้ไวรัส, EDR, XDR และ Windows Defender

Spyboy ซึ่งเป็นผู้ที่อยู่เบื้องหลัง Terminator ได้นำเสนอซอฟต์แวร์นี้ในราคาที่แตกต่างกันตามรูปแบบ เช่น 'single bypass' หรือแบบครอบคลุม 'all-in-one bypass'
Spyboy ระบุว่าการหลีกเลี่ยงการตรวจจับจาก EDR บางรายการ เช่น SentinelOne, Sophos, CrowdStrike, Carbon Black, Cortex และ Cylance ไม่สามารถขายแยกได้ นอกจากนี้ยังมีระบุว่าไม่รับผิดชอบต่อการกระทำใด ๆ ที่เกี่ยวข้องกับแรนซัมแวร์ หรือการเข้ารหัสอื่น ๆ

โดยรายงานจากวิศวกรของ CrowdStrike ใน Reddit ระบุว่า Terminator นั้นแค่ดรอปไฟล์ไดรเวอร์ที่ผ่านการตรวจสอบ และลงทะเบียนอย่างถูกต้องจาก Zemana anti-malware kernel driver ซึ่งไฟล์ไดรเวอร์จะชื่อ zamguard64.sys หรือ zam64.sys และเก็บไว้ในไดเรกทอรี C:\Windows\System32\ โดยใช้ชื่อที่สุ่มมาตั้งแต่ 4 ถึง 10 ตัวอักษร

เมื่อไดรเวอร์ที่เป็นมัลแวร์ถูกเขียนลงบนดิสก์แล้ว Terminator จะโหลดไดรเวอร์นั้นเพื่อใช้สิทธิ์ระดับเคอร์เนล เพื่อให้สามารถหยุดการทำงานของ processes ที่เกี่ยวข้องกับซอฟต์แวร์ AV และ EDR ที่ทำงานบนอุปกรณ์ที่ได้รับผลกระทบ
เพื่อใช้งาน Terminator ต้องมีสิทธิ์ผู้ดูแลระบบในระบบปฏิบัติการ Windows เป้าหมาย และต้องหลอกให้เหยื่อให้ยอมรับข้อความ User Account Controls (UAC) ที่ปรากฏขึ้นเมื่อมีการเรียกใช้เครื่องมือ
เทคนิคนี้คล้ายกับแคมเปญ BYOVD อื่น ๆ ที่พบเห็นก่อนหน้านี้

ปัจจุบันไดรเวอร์ที่มีช่องโหว่ที่ Terminator ใช้งานอยู่ ถูกระบุว่าเป็นอันตรายโดยเครื่องมือสแกนมัลแวร์เพียงรายเดียว ตามผลสแกนของ VirusTotal

อย่างไรก็ตาม Florian Roth หัวหน้าฝ่ายวิจัยที่ Nextron Systems และ Nasreddine Bencherchali นักวิจัยด้านความเสี่ยง ได้แชร์ YARA กับ Sigma rules ที่ช่วยให้ผู้ใช้งานสามารถตรวจจับไดรเวอร์ที่มีช่องโหว่ที่ถูกใช้งานโดยเครื่องมือ Terminator ได้แบบล่วงหน้า และลดความเสี่ยงจากไดรเวอร์ที่มีช่องโหว่ที่อยู่ในระบบได้

อ้างอิง : https://cyware.

มหาวิทยาลัยชื่อดังในแคนาดาถูกแรนซัมแวร์โจมตีระบบอีเมล

University of Waterloo มหาวิทยาลัยในแคนาดา ออกมายืนยันในสัปดาห์ที่ผ่านมาว่ากำลังรับมือกับการโจมตีจากแรนซัมแวร์ที่เกิดขึ้นกับระบบอีเมลของมหาวิทยาลัย

เมื่อวันพุธที่ผ่านมา รองประธานมหาวิทยาลัย 'Jacinda Reitsma' ระบุว่า มหาวิทยาลัยได้หยุดการโจมตีจากแรนซัมแวร์ที่พยายามเข้าสู่ระบบในวันที่ 30 พฤษภาคม และกำลังดำเนินการเพื่อจำกัดผลกระทบจากการละเมิดข้อมูล โดยมหาวิทยาลัยดังกล่าวตั้งอยู่ในเวตเตอร์ลู รัฐออนแทริโอ มีนักศึกษากว่า 40,000 คน

Reitsma ระบุว่า บริการอีเมล Microsoft Exchange ในวิทยาเขตของโรงเรียนได้รับผลกระทบจากการโจมตีจากแรนซัมแวร์ โดยผู้ใช้บริการอีเมลที่ใช้บนระบบคลาวด์จะไม่ได้รับผลกระทบจากการโจมตีครั้งนี้

แต่เนื่องจากการโจมตีดังกล่าว ทางมหาวิทยาลัยต้องปิดการใช้งานระบบอีเมลชั่วคราว ส่งผลให้นักศึกษาไม่สามารถเข้าสู่ระบบ หรือสร้างบัญชีใหม่ได้ นักศึกษายังไม่สามารถเข้าสู่แพลตฟอร์มการศึกษาอื่น ๆ ด้วยข้อมูลประจำตัวทางอีเมลได้ เช่น Workday, Waterloo LEARN และอื่น ๆ

Reitsma ระบุเพิ่มเติมว่า "มหาวิทยาลัยทราบถึงการละเมิดความปลอดภัยที่เกี่ยวข้องกับบริการอีเมลภายในของเรา (Microsoft Exchange) ซึ่งปัจจุบันบริการนี้ถูกแยกออกจากบริการอื่น ๆ แล้ว และปัจจุบันบัญชี Microsoft Exchange ส่วนใหญ่ของมหาวิทยาลัยอยู่บนระบบคลาวด์ และไม่ได้รับผลกระทบ "

"ดังนั้นสำหรับบุคคลส่วนใหญ่ในมหาวิทยาลัย การเข้าถึงอีเมลจะไม่ได้รับผลกระทบ โดยมหาวิทยาลัยกำลังดำเนินการตรวจสอบผลกระทบจากการละเมิดความปลอดภัยนี้ อาจมีความจำเป็นที่จะต้องแยกบริการออกจากกัน ซึ่งทำให้บางระบบอาจไม่สามารถเข้าถึงได้ตลอดทั้งวัน"

เมื่อวันพฤหัสบดีที่ผ่านมา ทางมหาวิทยาลัยได้แถลงการณ์ว่า จะเริ่มการปิดระบบ และรีเซ็ตระบบทั้งหมดใหม่ในคืนวันพฤหัสบดีซึ่งจะใช้เวลาประมาณหกชั่วโมง

การเข้าถึงทรัพยากรออนไลน์ของห้องสมุดในมหาวิทยาลัย รวมถึง Omni และการจองหลักสูตรได้รับผลกระทบจากการหยุดทำงาน มหาวิทยาลัยได้อธิบายสถานการณ์ให้แก่นักศึกษา และคณาจารย์ทราบเกี่ยวกับเหตุการณ์ที่เกิดขึ้น

เมื่อวันศุกร์ที่ผ่านมา Reitsma ได้แถลงการณ์ว่า การรีเซ็ตเสร็จสมบูรณ์แล้ว แต่ได้แจ้งนักศึกษา และคณาจารย์จะต้องทำการเปลี่ยนรหัสผ่านก่อนวันที่ 8 มิถุนายน ผู้ที่ทำการเปลี่ยนรหัสผ่านไม่ทันจะถูกล็อคออกจากบัญชี และจำเป็นต้องได้รับความช่วยเหลือจากทีมไอทีของมหาวิทยาลัย

ยังไม่มีกลุ่มแรนซัมแวร์ใดออกมาอ้างความรับผิดชอบว่าเป็นผู้โจมตีในเหตุการณ์ครั้งนี้ โดยในปี 2023 ประเทศแคนาดาได้เผชิญกับการโจมตีจากแรนซัมแวร์หลายครั้งในสถาบันขนาดใหญ่

สำนักพิมพ์ Indigo ของแคนาดาที่มียอดขายหลายพันล้านดอลลาร์ก็พึ่งถูกกลุ่มแรนซัมแวร์ Lockbit โจมตีในเดือนกุมภาพันธ์ และพิพิธภัณฑ์แห่งชาติแคนาดาก็ถูกแรนซัมแวร์โจมตีเมื่อสามสัปดาห์ที่ผ่านมา

อ้างอิง : https://therecord.

การเพิ่มขึ้นของ TrueBot แสดงให้เห็นถึงช่องทางใหม่ในการแพร่กระจายมัลแวร์

นักวิจัยด้านความปลอดภัยทางไซเบอร์เปิดเผยการพบพฤติกรรมของ TrueBot เพิ่มขึ้นในเดือนพฤษภาคม 2023

Fae Carlisle นักวิจัยจาก VMware ระบุว่า "TrueBot เป็นโทรจันบอตเน็ต ที่ใช้ C2 Server เก็บรวบรวมข้อมูลที่เกี่ยวกับระบบที่ถูกโจมตี และใช้ระบบที่ถูกโจมตีนั้นเป็นจุดเริ่มต้นในการโจมตีครั้งถัดไป"

TrueBot ถูกพบครั้งแรกตั้งแต่ปี 2017 และมีความเกี่ยวข้องกับกลุ่ม Silence ซึ่งเชื่อว่ามีความเกี่ยวข้องกับกลุ่มอาชญากรทางไซเบอร์ชาวรัสเซียที่ชื่อ Evil Corp

การโจมตีของ TrueBot เมื่อเร็ว ๆ นี้ ได้ใช้ช่องโหว่ระดับ Critical ใน Netwrix Auditor (CVE-2022-31199, CVSS: 9.8) และ Raspberry Robin เป็นช่องทางในการแพร่กระจายมัลแวร์

การโจมตีที่ถูกพบโดย VMware เริ่มต้นด้วยการดาวน์โหลดไฟล์ปฏิบัติการชื่อ "update.

ธนาคารขนาดใหญ่ในสเปนยืนยันการถูกโจมตีจากแรนซัมแวร์

หนึ่งในผู้ให้บริการทางการเงินรายใหญ่ในสเปนแจ้งว่า กำลังรับมือกับการโจมตีจากแรนซัมแวร์ที่ส่งผลกระทบต่อสำนักงานหลายแห่ง

Globalcaja ที่ตั้งอยู่ในเมือง Albacete ในสเปน มีสำนักงานกว่า 300 แห่งทั่วประเทศ และให้บริการแก่ประชาชนกว่า 500,000 คน ด้วยบริการทางการเงินหลากหลายประเภท ธนาคารนี้จัดการกับสินเชื่อผู้บริโภคมากกว่า 1.6 พันล้านเหรียญสหรัฐ และมีพนักงานกว่า 1,000 คน

กลุ่มแรนซัมแวร์ Play ได้ประกาศในสัปดาห์นี้ว่าได้โจมตีธนาคาร และขโมยข้อมูลที่เป็นความลับที่เกี่ยวกับข้อมูลส่วนตัว และความลับของลูกค้า และเอกสารของพนักงาน เช่น หนังสือเดินทาง, สัญญา และอื่น ๆ ซึ่งจำนวนข้อมูลที่ถูกขโมยมายังไม่ถูกเปิดเผย

ธนาคารได้เผยแพร่แถลงการณ์เมื่อวันศุกร์ที่ผ่านมายืนยันว่า คอมพิวเตอร์ในสำนักงานท้องถิ่นหลายแห่งกำลังถูกโจมตีด้วยแรนซัมแวร์

"การโจมตีไม่ส่งผลกระทบต่อการทำธุรกรรมขององค์กร (รวมถึงบัญชี และข้อกำหนดของลูกค้า) สำนักงานต่าง ๆ กำลังดำเนินการตามปกติสำหรับธุรกรรมทางอิเล็กทรอนิกส์ และตู้เอทีเอ็ม" ธนาคารระบุในแถลงการณ์

"เมื่อตรวจพบการโจมตี Globalcaja ได้เปิดใช้งานโปรโตคอลด้านความปลอดภัยที่สร้างขึ้นเพื่อวัตถุประสงค์นี้ ซึ่งทำให้ธนาคารต้องปิดการทำงานของสำนักงานบางแห่ง และจำกัดการดำเนินการบางอย่างชั่วคราว และกำลังทำงานอย่างหนักเพื่อที่จะทำให้สถานะการณ์กลับสู่สถานะปกติ และกำลังวิเคราะห์สิ่งที่เกิดขึ้นโดยให้ความสำคัญกับความปลอดภัยเสมอ ขออภัยในความไม่สะดวกที่เกิดขึ้น"

บริษัทไม่ได้ตอบสนองต่อคำร้องให้แสดงความคิดเห็นเกี่ยวกับการจ่ายค่าไถ่

สถาบันการเงินในสเปนตกเป็นเป้าหมายของผู้ไม่หวังดีมานาน แต่ตั้งแต่ในปี 2023 ซึ่งสเปนกำลังเผชิญกับเหตุการณ์แรนซัมแวร์มากขึ้น โดยมีอีกหนึ่งการโจมตีที่ทำให้ระบบของโรงพยาบาลในบาร์เซโลนาหยุดการทำงาน และอีกเหตุการณ์หนึ่งกับบริษัทสวนสนุกในสเปน

กลุ่มแรนซัมแวร์ Play ปรากฏตัวครั้งแรกในเดือนกรกฎาคม 2022 โดยมุ่งเป้าไปที่หน่วยงานของรัฐในทวีปละตินอเมริกา ตามรายงานของ Trend Micro และเมื่อเร็ว ๆ นี้ กลุ่มดังกล่าวมีการโจมตีไปที่เมือง Oakland ซึ่งใช้เวลาหลายสัปดาห์ในการกู้คืนระบบจากเหตุการณ์ดังกล่าว

โดยกลุ่มนี้ยังได้โจมตีเมือง Lowell ในรัฐแมสซาซูเซตส์ รวมถึงบริษัทหลายแห่งในยุโรปอีกด้วย

อ้างอิง : https://therecord.

ผู้ไม่หวังดีสามารถดึงข้อมูลจาก Goolge Drive ได้โดยไม่มีการทิ้งร่องรอย

นักวิจัยจาก Mitiga ระบุว่า "Google Workspace หรือชื่อเดิม 'G Suite' มีจุดอ่อนจากการป้องกันไม่ให้บุคคลภายนอก หรือคนในที่เป็นอันตรายสามารถขโมยข้อมูลออกจาก Google Drive ได้"

Ariel Szarf และ Or Aspir จาก Mitiga อธิบายว่า "Google Workspace กำหนดให้การมองเห็นต่อข้อมูลบน Google Drive ของบริษัทโดยใช้ 'บันทึกการใช้งาน Drive' เพื่อติดตามการดำเนินการต่าง ๆ เช่น การลบ, การดาวน์โหลด, และการดูไฟล์ รวมถึงบันทึกเหตุการณ์ที่เกี่ยวข้องจากโดเมนภายนอกก็ได้รับการบันทึกไว้"

โดยค่าเริ่มต้นของผู้ใช้ Google Drive จะได้รับสิทธิ์ 'Cloud Identity Free' และจะได้รับการกำหนดสิทธิ์แบบเสียค่าใช้จ่าย เช่น Goolge Workspace Enterprise Plus จากผู้ดูแลระบบในองค์กร

นักวิจัยพบว่าเมื่อไม่ได้มีการกำหนดสิทธิ์ให้กับสิทธิ์แบบที่เสียค่าใช้จ่าย จะไม่มีบันทึกการกระทำในไดรฟ์ส่วนตัวของผู้ใช้ ซึ่งอาจทำให้องค์กรไม่ทราบถึงการดำเนินการ และการจัดการข้อมูล และการนำข้อมูลออกไปโดยผู้ใช้งาน หรือผู้โจมตีภายนอก

ตัวอย่างเช่น หากไม่ได้รับการกำหนดสิทธิ์แบบที่เสียค่าใช้จ่าย หรือสิทธิ์ถูกยกเลิกก่อนที่บัญชี Google จะถูกลบ พนักงานที่ออกจากบริษัทอาจใช้ช่องโหว่นี้เพื่อนำข้อมูลที่สำคัญออกไปโดยไม่ทิ้งหลักฐานใด ๆ

ผู้ใช้สามารถคัดลอกไฟล์ทั้งหมดจากไดรฟ์ที่ถูกแชร์ขององค์กรไปยังไดรฟ์ส่วนตัว และดาวน์โหลดไฟล์ ซึ่งการดาวน์โหลดจะไม่ได้รับการบันทึกไว้ และการคัดลอกจะได้รับการบันทึกเพียงบางส่วนเท่านั้น (จะบันทึกใน 'source_copy' แต่ไม่ได้บันทึกใน 'copy')

ผู้โจมตีภายนอกอาจดำเนินการด้วยวิธีเดียวกัน ถ้าหากสามารถโจมตีบัญชีของผู้ใช้งานที่ไม่มีสิทธิ์แบบที่เสียค่าใช้จ่าย หรือบัญชีของผู้ดูแลระบบ

นักวิจัยได้อธิบายว่า "ผู้ไม่หวังดีที่สามารถเข้าถึงบัญชีผู้ดูแลระบบได้ สามารถเพิกถอนสิทธิ์ของผู้ใช้งาน, ดาวน์โหลดไฟล์ส่วนตัวทั้งหมด และกำหนดสิทธิ์ใหม่ บันทึกการกระทำที่ถูกสร้างขึ้น ในกรณีนี้เป็นบันทึกเพียงเท่าที่เกี่ยวข้องกับการเพิกถอน และกำหนดสิทธิ์ (ภายใต้ 'กิจกรรมบันทึกของผู้ดูแลระบบ')"

การตรวจสอบการนำข้อมูลออกจาก Goolge Drive

คำแนะนำของนักวิจัยสำหรับองค์กรคือ ควรดำเนินการตรวจสอบความเสี่ยงใน Google Workspace เป็นประจำ และค้นหาเหตุการณ์การกำหนด และเพิกถอนสิทธิ์ที่น่าสงสัย และตรวจสอบบันทึก 'source_copy' เพื่อตรวจสอบการคัดลอกไฟล์ของบริษัทที่น่าสงสัย

อ้างอิง : https://www.

ช่องโหว่ Zero-Day ใน MOVEit Transfer กำลังถูกนำมาใช้ในการโจมตี

ช่องโหว่ในแอปพลิเคชันการถ่ายโอนไฟล์ที่จัดการโดย Progress Software ที่ชื่อ MOVEit Transfer ถูกนำไปใช้ประโยชน์อย่างแพร่หลายเพื่อโจมตีระบบที่มีช่องโหว่

โดยช่องโหว่มีหมายเลข CVE-2023-34362 ซึ่งเป็นช่องโหว่ SQL injection ที่สามารถยกระดับสิทธิ์ และเข้าถึงข้อมูลโดยไม่ได้รับอนุญาตได้

บริษัทระบุว่า "พบช่องโหว่ SQL injection ในเว็บแอปพลิเคชัน MOVEit Transfer ที่อาจทำให้ผู้โจมตีสามารถเข้าถึงฐานข้อมูลของ MOVEit Transfer ได้"

ขึ้นอยู่กับเครื่องมือฐานข้อมูลที่ใช้ (MySQL, Microsoft SQL Server หรือ Azure SQL) ผู้โจมตีอาจสามารถสืบค้นข้อมูลเกี่ยวกับโครงสร้าง และเนื้อหาของฐานข้อมูลได้นอกเหนือจากการรัน SQL statements ที่แก้ไข หรือลบ elements ของฐานข้อมูล

โดยบริษัทได้ออกแพตช์อัปเดตสำหรับช่องโหว่นี้ในเวอร์ชัน 2021.0.6 (13.0.6), 2021.1.4 (13.1.4), 2022.0.4 (14.0.4), 2022.1.5 (14.1.5) และ 2023.0.1 (15.0.1)

ช่องโหว่นี้ถูกรายงานครั้งแรกโดย Bleeping Computer ในวันที่ 31 พฤษภาคม 2023 จากการที่ Huntress และ Rapid7 ได้ระบุว่ามีอินสแตนซ์ของ MOVEit Transfer ประมาณ 2,500 ระบบที่สามารถเข้าถึงได้จากอินเทอร์เน็ต โดยอินสแตนซ์ส่วนใหญ่ตั้งอยู่ในประเทศสหรัฐอเมริกา

การโจมตีที่ประสบความสำเร็จ ทำให้สามารถติดตั้งเว็บเชลล์ (web shell) ซึ่งอาจเป็นไฟล์ชื่อ "human2.aspx" ที่สร้างขึ้นผ่านสคริปต์ ในไดเรกทอรี "wwwroot" หรือด้วยชื่อไฟล์อื่น ๆ โดยเว็บเชลล์นี้ถูกใช้เพื่อขโมยข้อมูลต่าง ๆ ที่อยู่บนบริการของ MOVEit ออกไป

การวิเคราะห์เชื่อมโยงกับการโจมตีพบว่าเว็บเชลล์ถูกออกแบบให้สามารถเพิ่มเซสชันบัญชีผู้ใช้แอดมินใหม่ชื่อ "Health Check Service" เพื่อหลีกเลี่ยงการตรวจจับที่อาจเกิดขึ้น

บริษัทด้านความปลอดภัย และความเสี่ยงทางเทคโนโลยีชื่อ 'GreyNoise' ระบุว่า "ได้สังเกตพบการพยายามสแกนหน้าเข้าสู่ระบบของ MOVEit Transfer ที่ path /human.

มัลแวร์ DogeRAT มุ่งเป้าหมายไปที่สถาบันการเงิน และธุรกิจความบันเทิง

พบมัลแวร์บน Android ตัวใหม่ในชื่อ DogeRAT ที่มุ่งเป้าหมายไปที่องค์กรในหลายภาคอุตสาหกรรม รวมถึงสถาบันการเงิน, เกม และธุรกิจความบันเทิง นอกจากความสามารถในการเข้าถึงจากระยะไกลแล้ว มัลแวร์ยังสามารถทำหน้าที่เป็นคีย์ล็อกเกอร์ และสามารถคัดลอกเนื้อหาจากคลิปบอร์ดได้

ข้อมูลเกี่ยวกับแคมเปญการโจมตี

นักวิจัยจาก CloudSEK เปิดเผยว่าพบการแพร่ระบาดของแคมเปญ DogeRAT ที่มุ่งเป้าไปที่ผู้ใช้งาน Android ในประเทศอินเดีย และคาดว่ามัลแวร์อาจขยายการโจมตีออกไปทั่วโลกได้

ผู้โจมตีได้สร้างแอปพลิเคชันปลอมหลายพันรายการ โดยปลอมเป็นแอปพลิเคชัน และบริการยอดนิยม เช่น Netflix Premium, YouTube Premium, Instagram Pro, Opera Mini browser และ ChatGPT
แอปพลิเคชันที่เป็นอันตรายเหล่านี้ได้กระจายไปทั่วแพลตฟอร์มโซเชียลเน็ตเวิร์คต่าง ๆ
เมื่อติดตั้งแอปพลิเคชันปลอมเหล่านี้ แอปพลิเคชันจะขอสิทธิ์ที่ใช้ในการเข้าถึงข้อมูลที่สำคัญโดยไม่ได้รับอนุญาต รวมถึงข้อมูลสำคัญอื่น ๆ เช่น ข้อมูลการเข้าสู่ระบบธนาคาร, รายชื่อผู้ติดต่อ และข้อความ
นอกจากนี้ ยังช่วยให้ผู้โจมตีสามารถดำเนินการเพิ่มเติมต่าง ๆ ได้ เช่น ดำเนินการทำธุรกรรมธนาคารโดยไม่ได้รับอนุญาต, ส่งอีเมลสแปม และถ่ายรูปโดยใช้กล้องของอุปกรณ์

Boeing ถูกโปรโมตให้เป็น MaaS (Malware as a Service)

นักพัฒนาของ DogeRAT ถูกสงสัยว่ามาจากประเทศอินเดีย เนื่องจากมีการใช้งาน DogeRAT ที่เป็น RAT (Remote Access Trojan) โดยใช้ภาษา Java ซึ่งให้เป็นบริการ MaaS (Malware as a Service) ผ่านสองช่องทางใน Telegram

เวอร์ชันโอเพ่นซอร์สของมัลแวร์ถูกจัดเก็บไว้บนโฮสต์ GitHub ซึ่งมาพร้อมกับรายการความสามารถทั้งหมด และวิดีโอสอนการใช้งานคุณสมบัติต่าง ๆ
ผู้พัฒนากำลังโปรโมต DogeRAT เวอร์ชันพรีเมียมเพิ่มเติม ซึ่งเวอร์ชันนี้มีความต่อเนื่องมากขึ้น มีการเชื่อมต่อที่เสถียรมากกับเซิร์ฟเวอร์ C2 และมาพร้อมกับความสามารถเพิ่มเติม เช่น คีย์ล็อกเกอร์, การขโมยภาพจากแกลเลอรี่ และสามารถขโมยข้อมูลจากคลิปบอร์ดได้

ความสามารถที่หลากหลายของ DogeRAT เป็นตัวอย่างการพัฒนาการอย่างรวดเร็วของธุรกิจ MaaS ที่นักพัฒนามัลแวร์กำลังเน้นไปที่มัลแวร์ที่มีคุณสมบัติที่หลากหลาย

แนะนำให้องค์กรควรเตรียมกลยุทธ์ทางไซเบอร์ที่ครอบคลุม และปฏิบัติตามมาตรฐานการรักษาความปลอดภัยทางไซเบอร์

อ้างอิง : https://cyware.