ช่องโหว่ในแอปพลิเคชันการถ่ายโอนไฟล์ที่จัดการโดย Progress Software ที่ชื่อ MOVEit Transfer ถูกนำไปใช้ประโยชน์อย่างแพร่หลายเพื่อโจมตีระบบที่มีช่องโหว่

โดยช่องโหว่มีหมายเลข CVE-2023-34362 ซึ่งเป็นช่องโหว่ SQL injection ที่สามารถยกระดับสิทธิ์ และเข้าถึงข้อมูลโดยไม่ได้รับอนุญาตได้

บริษัทระบุว่า "พบช่องโหว่ SQL injection ในเว็บแอปพลิเคชัน MOVEit Transfer ที่อาจทำให้ผู้โจมตีสามารถเข้าถึงฐานข้อมูลของ MOVEit Transfer ได้"

ขึ้นอยู่กับเครื่องมือฐานข้อมูลที่ใช้ (MySQL, Microsoft SQL Server หรือ Azure SQL) ผู้โจมตีอาจสามารถสืบค้นข้อมูลเกี่ยวกับโครงสร้าง และเนื้อหาของฐานข้อมูลได้นอกเหนือจากการรัน SQL statements ที่แก้ไข หรือลบ elements ของฐานข้อมูล

โดยบริษัทได้ออกแพตช์อัปเดตสำหรับช่องโหว่นี้ในเวอร์ชัน 2021.0.6 (13.0.6), 2021.1.4 (13.1.4), 2022.0.4 (14.0.4), 2022.1.5 (14.1.5) และ 2023.0.1 (15.0.1)

ช่องโหว่นี้ถูกรายงานครั้งแรกโดย Bleeping Computer ในวันที่ 31 พฤษภาคม 2023 จากการที่ Huntress และ Rapid7 ได้ระบุว่ามีอินสแตนซ์ของ MOVEit Transfer ประมาณ 2,500 ระบบที่สามารถเข้าถึงได้จากอินเทอร์เน็ต โดยอินสแตนซ์ส่วนใหญ่ตั้งอยู่ในประเทศสหรัฐอเมริกา

การโจมตีที่ประสบความสำเร็จ ทำให้สามารถติดตั้งเว็บเชลล์ (web shell) ซึ่งอาจเป็นไฟล์ชื่อ "human2.aspx" ที่สร้างขึ้นผ่านสคริปต์ ในไดเรกทอรี "wwwroot" หรือด้วยชื่อไฟล์อื่น ๆ โดยเว็บเชลล์นี้ถูกใช้เพื่อขโมยข้อมูลต่าง ๆ ที่อยู่บนบริการของ MOVEit ออกไป

การวิเคราะห์เชื่อมโยงกับการโจมตีพบว่าเว็บเชลล์ถูกออกแบบให้สามารถเพิ่มเซสชันบัญชีผู้ใช้แอดมินใหม่ชื่อ "Health Check Service" เพื่อหลีกเลี่ยงการตรวจจับที่อาจเกิดขึ้น

บริษัทด้านความปลอดภัย และความเสี่ยงทางเทคโนโลยีชื่อ 'GreyNoise' ระบุว่า "ได้สังเกตพบการพยายามสแกนหน้าเข้าสู่ระบบของ MOVEit Transfer ที่ path /human.

พบมัลแวร์บน Android ตัวใหม่ในชื่อ DogeRAT ที่มุ่งเป้าหมายไปที่องค์กรในหลายภาคอุตสาหกรรม รวมถึงสถาบันการเงิน, เกม และธุรกิจความบันเทิง นอกจากความสามารถในการเข้าถึงจากระยะไกลแล้ว มัลแวร์ยังสามารถทำหน้าที่เป็นคีย์ล็อกเกอร์ และสามารถคัดลอกเนื้อหาจากคลิปบอร์ดได้

ข้อมูลเกี่ยวกับแคมเปญการโจมตี

นักวิจัยจาก CloudSEK เปิดเผยว่าพบการแพร่ระบาดของแคมเปญ DogeRAT ที่มุ่งเป้าไปที่ผู้ใช้งาน Android ในประเทศอินเดีย และคาดว่ามัลแวร์อาจขยายการโจมตีออกไปทั่วโลกได้

ผู้โจมตีได้สร้างแอปพลิเคชันปลอมหลายพันรายการ โดยปลอมเป็นแอปพลิเคชัน และบริการยอดนิยม เช่น Netflix Premium, YouTube Premium, Instagram Pro, Opera Mini browser และ ChatGPT
แอปพลิเคชันที่เป็นอันตรายเหล่านี้ได้กระจายไปทั่วแพลตฟอร์มโซเชียลเน็ตเวิร์คต่าง ๆ
เมื่อติดตั้งแอปพลิเคชันปลอมเหล่านี้ แอปพลิเคชันจะขอสิทธิ์ที่ใช้ในการเข้าถึงข้อมูลที่สำคัญโดยไม่ได้รับอนุญาต รวมถึงข้อมูลสำคัญอื่น ๆ เช่น ข้อมูลการเข้าสู่ระบบธนาคาร, รายชื่อผู้ติดต่อ และข้อความ
นอกจากนี้ ยังช่วยให้ผู้โจมตีสามารถดำเนินการเพิ่มเติมต่าง ๆ ได้ เช่น ดำเนินการทำธุรกรรมธนาคารโดยไม่ได้รับอนุญาต, ส่งอีเมลสแปม และถ่ายรูปโดยใช้กล้องของอุปกรณ์

Boeing ถูกโปรโมตให้เป็น MaaS (Malware as a Service)

นักพัฒนาของ DogeRAT ถูกสงสัยว่ามาจากประเทศอินเดีย เนื่องจากมีการใช้งาน DogeRAT ที่เป็น RAT (Remote Access Trojan) โดยใช้ภาษา Java ซึ่งให้เป็นบริการ MaaS (Malware as a Service) ผ่านสองช่องทางใน Telegram

เวอร์ชันโอเพ่นซอร์สของมัลแวร์ถูกจัดเก็บไว้บนโฮสต์ GitHub ซึ่งมาพร้อมกับรายการความสามารถทั้งหมด และวิดีโอสอนการใช้งานคุณสมบัติต่าง ๆ
ผู้พัฒนากำลังโปรโมต DogeRAT เวอร์ชันพรีเมียมเพิ่มเติม ซึ่งเวอร์ชันนี้มีความต่อเนื่องมากขึ้น มีการเชื่อมต่อที่เสถียรมากกับเซิร์ฟเวอร์ C2 และมาพร้อมกับความสามารถเพิ่มเติม เช่น คีย์ล็อกเกอร์, การขโมยภาพจากแกลเลอรี่ และสามารถขโมยข้อมูลจากคลิปบอร์ดได้

ความสามารถที่หลากหลายของ DogeRAT เป็นตัวอย่างการพัฒนาการอย่างรวดเร็วของธุรกิจ MaaS ที่นักพัฒนามัลแวร์กำลังเน้นไปที่มัลแวร์ที่มีคุณสมบัติที่หลากหลาย

แนะนำให้องค์กรควรเตรียมกลยุทธ์ทางไซเบอร์ที่ครอบคลุม และปฏิบัติตามมาตรฐานการรักษาความปลอดภัยทางไซเบอร์

อ้างอิง : https://cyware.

บริษัทโตโยต้ามอเตอร์คอร์ปอเรชั่น พบบริการคลาวด์อีก 2 รายการ ที่มีการตั้งค่าไม่ถูกต้อง ซึ่งทำให้ข้อมูลส่วนบุคคลของเจ้าของรถยนต์รั่วไหลมานานกว่าเจ็ดปี

การค้นพบนี้เกิดขึ้นหลังจากที่ผู้ผลิตรถยนต์ญี่ปุ่นได้ดำเนินการสำรวจอย่างละเอียดในระบบคลาวด์ทั้งหมดที่ถูกจัดการโดยบริษัท TOYOTA Connected Corporation หลังจากค้นพบเซิร์ฟเวอร์ที่มีการตั้งค่าไม่ถูกต้อง ที่ทำให้มีการเปิดเผยข้อมูล location ของลูกค้ากว่า 2 ล้านคนเป็นเวลากว่า 10 ปี

Toyota ประกาศว่า "เราได้ดำเนินการตรวจสอบระบบคลาวด์ทั้งหมดที่ถูกจัดการโดยบริษัท TOYOTA Connected Corporation (TC) และพบว่าข้อมูลบางส่วนที่ประกอบไปด้วยข้อมูลลูกค้าสามารถเข้าถึงได้จากภายนอก"

การรั่วไหลของข้อมูลครั้งแรกบนบริการคลาวด์ ได้เปิดเผยข้อมูลส่วนบุคคลของลูกค้าโตโยต้าในเอเชีย และโอเชียเนีย ตั้งแต่เดือนตุลาคม 2016 ถึงพฤษภาคม 2023

ฐานข้อมูลที่ควรจะเข้าถึงได้เฉพาะผู้จัดจำหน่าย และผู้ให้บริการถูกเผยแพร่ออกสู่สาธารณะ ทำให้ข้อมูลของลูกค้ารั่วไหล โดยมีข้อมูลดังต่อไปนี้

ที่อยู่
ชื่อ
หมายเลขโทรศัพท์
ที่อยู่อีเมล
รหัสลูกค้า
หมายเลขทะเบียนรถยนต์
หมายเลขระบุตัวรถยนต์ (VIN)

ผู้ผลิตรถยนต์สัญชาติญี่ปุ่นไม่ได้ชี้แจ้งว่ามีลูกค้าจำนวนเท่าไรที่ได้รับผลกระทบจากการรั่วไหลนี้

การรั่วไหลของข้อมูลครั้งที่ 2 บนบริการคลาวด์ เกิดขึ้นระหว่างวันที่ 9 กุมภาพันธ์ 2015 ถึงวันที่ 12 พฤษาภม 2023 และมีข้อมูลที่มีความสำคัญเกี่ยวกับระบบนำทางของรถยนต์ เช่น ไอดีของอุปกรณ์ภายในรถยนต์ (navigation terminal), การอัปเดตข้อมูลของแผนที่ และวันที่สร้างข้อมูล(ไม่มีข้อมูลตำแหน่งของยานพาหนะ) ของลูกค้าประมาณ 260,000 รายในประเทศญี่ปุ่น

การรั่วไหลข้อมูลนี้ มีผลกระทบต่อลูกค้าที่สมัครสมาชิกในระบบนำทาง G-BOOK ด้วย G-BOOK mX หรือ G-BOOX mX Pro และลูกค้าบางรายที่สมัครสมาชิก G-Link/G-Link Lite และต่ออายุการใช้งานของแผนที่โดยใช้บริการ Toyota's on Demand ระหว่างวันที่ 9 กุมภาพันธ์ 2015 ถึงวันที่ 31 มีนาคม 2022 รถยนต์ที่ได้รับผลกระทบเป็นรุ่นของยี่ห้อย่อยของโตโยต้าชื่อ Lexus และรถยนต์รุ่น LS, GS, HS, IS, ISF, ISC, LFA, SC, CT, และ RX ที่ขายในช่วงปี 2009 ถึง 2015

โตโยต้าระบุว่า รายการข้อมูลจะถูกลบอัตโนมัติจากระบบคลาวด์หลังจากผ่านไประยะเวลาหนึ่ง ดังนั้นจึงมีข้อมูลที่ถูกเปิดเผยจำกัดในแต่ละช่วงเวลา

รายละเอียดของฐานข้อมูลที่เปิดเผยครั้งแรก (โตโยต้า)

โตโยต้าระบุว่า ถึงแม้ข้อมูลจะถูกเข้าถึงจากภายนอกได้ ก็ไม่เพียงพอที่จะสามารถสรุปรายละเอียดเกี่ยวกับตัวตนของลูกค้า หรือเข้าถึงระบบของรถยนต์ได้

โดยบริษัทได้ใช้ระบบที่ตรวจสอบการกำหนดค่าคลาวด์ และการตั้งค่าฐานข้อมูลทั้งหมดอย่างสม่ำเสมอเพื่อป้องกันการรั่วไหลเช่นนี้อีกในอนาคต

อ้างอิง : https://www.

ในวันพฤหัสบดีที่ผ่านมา (25 พ.ค. 2023) Splunk ประกาศการอัปเดตแพตซ์ด้านความปลอดภัยของ Splunk Enterprise เพื่อแก้ไขช่องโหว่ที่มีระดับความรุนแรงสูงหลายรายการ รวมถึงบางรายการที่มีผลกระทบต่อ third-party packages ที่ใช้ผลิตภัณฑ์นี้

ช่องโหว่ที่รุนแรงที่สุดคือ CVE-2023-32707 ซึ่งเป็นช่องโหว่การยกระดับสิทธิ์ ทำให้ผู้ใช้งานที่มีสิทธิ์ต่ำที่มีความสามารถ 'edit_user' ยกระดับสิทธิ์เป็นผู้ดูแลระบบผ่าน web request ที่ถูกสร้างขึ้นโดยเฉพาะ

Splunk อธิบายว่า "สาเหตุเกิดขึ้นเนื่องจากความสามารถ 'edit_user' ไม่เป็นไปตามการตั้งค่า 'grantableRoles' ในไฟล์ configuration authorize.

ผู้เชี่ยวชาญด้านความปลอดภัยได้พบแคมเปญ Magecart ใหม่ ซึ่งมีเป้าหมายในการขโมยข้อมูลส่วนบุคคลที่สำคัญ (PII) และข้อมูลบัตรเครดิตจากเว็บไซต์ e-commerce

โดยนักวิจัยจากบริษัท Akamai ระบุว่าพบเหยื่ออยู่ในประเทศต่าง ๆ ทั่วทวีปอเมริกาเหนือ, ละตินอเมริกา และยุโรป

แคมเปญการโจมตีใหม่นี้ มีลักษณะเฉพาะด้วยวิธีการที่ผู้ไม่หวังดีจะสร้าง C2 server บนเว็บไซต์ที่ดูเหมือนถูกต้องตามปกติ ด้วยการโจมตีโดยใช้ช่องโหว่ที่เป็นที่รู้จักอย่างแพร่หลายเป็นส่วนใหญ่เพื่อดำเนินการตามแคมเปญนี้

รายละเอียดการโจมตี

ในขั้นตอนแรกของการดำเนินการ ผู้ไม่หวังดีจะค้นหาเว็บไซต์ที่มีช่องโหว่ แล้วดำเนินการโจมตีเว็บไซต์เหล่านั้น และทำให้เว็บไซต์ที่ถูกโจมตีทำหน้าที่เป็น C2 server

ด้วยการใช้เว็บไซต์ที่มีชื่อเสียงเป็นเครื่องมือ ผู้ไม่หวังดีจะสามารถหลีกเลี่ยงการตรวจจับ และหลีกเลี่ยงการบล็อกการเชื่อมต่อได้ ซึ่งทำให้ไม่จำเป็นต้องสร้าง C2 server เป็นของตัวเอง
ต่อจากนั้น ผู้ไม่หวังดีจะดำเนินการแทรก JavaScript ลงในเว็บไซต์ e-commerce ที่เป็นเป้าหมาย ซึ่งในส่วนของ JavaScript จะทำหน้าที่ดึงโค้ดที่เป็นอันตรายจากเว็บไซต์ที่ถูกโจมตีก่อนหน้านี้

การเข้ารหัสเพื่อหลีกเลี่ยงการตรวจสอบ

เพื่อเพิ่มประสิทธิภาพในการโจมตี ผู้ไม่หวังดีได้ใช้การเข้ารหัสแบบ Base64 เพื่อซ่อนเครื่องมือในการคัดลอกข้อมูลบัตรเครดิต
เทคนิคการเข้ารหัสนี้ไม่เพียงแค่ซ่อนที่อยู่ URL ของโฮสต์ แต่ยังใช้โครงสร้างที่คล้ายกับบริการของ third-party ที่มีชื่อเสียง เช่น Google Tag Manager หรือ Facebook Pixel

สิ่งที่สำคัญของการโจมตี

แคมเปญนี้มุ่งเป้าไปที่องค์กรด้านการค้าเป็นหลัก และมีขอบเขตการโจมตีเป็นวงกว้าง บางองค์กรที่ตกเป็นเป้าหมายมีผู้เข้าใช้งานเว็บไซต์มากกว่าแสนคนต่อเดือน
เนื่องจากเหตุการณ์นี้ มีผลกระทบต่อบุคคลอย่างน้อยหลักพันคน และอาจมีผลกระทบต่อบุคคลจำนวนหมื่นคน หรืออาจเป็นจำนวนที่มากกว่านั้น ซึ่งอาจเสี่ยงต่อการถูกขโมยข้อมูลบัตรเครดิต และข้อมูลส่วนบุคคล
การโจมตีแบบ skimming ทำให้อันตรายอย่างมากต่อองค์กรที่เกี่ยวข้องกับการค้าทางดิจิทัล ผลกระทบอาจสร้างความเสียหายต่อชื่อเสี่ยง และผลเสียด้านอื่น ๆ

การโจมตีเพิ่มเติม

แคมเปญการโจมตี Magecart ที่มีชื่อเสียงจำนวนมาก ยังไม่ได้รับการตรวจพบเป็นระยะเวลาหลายเดือน หรือหลายปี
เพียงแค่ในปี 2022 ปีเดียวมีการโจมตีทั้งหมด 9,290 โดเมน และเป็นโดเมนที่เกี่ยวกับการค้าดิจิทัลที่ได้รับผลกระทบจากแคมเปญการโจมตี Magecart มีจำนวน 2,468 โดเมนที่ถูกโจมตีต่อเนื่องตลอดทั้งปี แสดงให้เห็นถึงอันตรายที่เกิดขึ้นกับองค์กรด้านการค้า

แคมเปญนี้ถือเป็นการแจ้งเตือนให้ระวังการโจมตีแบบ skimming ซึ่งผู้ไม่หวังดีจะปรับเปลี่ยนกลยุทธ์เพื่อซ่อนการดำเนินการ และทำให้การตรวจจับยากขึ้น ทำให้เครื่องมือวิเคราะห์ และตรวจจับแบบเดิมอาจไม่สามารถใช้งานกับการโจมตี web skimming ได้ เนื่องจากผู้ไม่หวังดีได้เปลี่ยนวิธีการตลอดเวลา และใช้เทคนิคที่ซับซ้อนขึ้นเรื่อย ๆ เพื่อหลีกเลี่ยงการวิเคราะห์แบบเดิม

อ้างอิง : https://cyware.

GobRAT เป็น RAT ที่ใช้ภาษา Golang-based ซึ่งกำลังมุ่งเป้าหมายไปที่เราเตอร์ที่ใช้ Linux ในประเทศญี่ปุ่น โดยอาจใช้ช่องโหว่ที่มีอยู่แล้วเพื่อโจมตี เครื่องมือนี้มีความสามารถหลากหลาย และมุ่งเป้าหมายไปที่สถาปัตยกรรมที่หลากหลาย เช่น x86, x86-64, ARM, และ MIPS

ปฏิบัติการ GobRAT

JPCERT Coordination Center ได้เผยแพร่รายงานที่ยืนยันว่า GobRAT ได้แพร่กระจายในเราเตอร์ของญี่ปุ่นตั้งแต่เดือนกุมภาพันธ์ที่ผ่านมา

การโจมตีเริ่มต้นด้วยการสแกนเปิดหาเราเตอร์ที่มี WEBUI ที่เข้าถึงได้จากอินเทอร์เน็ต
มันจะพยายามเชื่อมต่อโดยอาจใช้ช่องโหว่ที่มีอยู่ก่อนแล้ว จากนั้นจึงเริ่มการติดตั้งมัลแวร์โดยเรียกใช้สคริปต์หลายรายการ
สคริปต์แรกคือ Loader Script ที่ปิดการทำงานของไฟร์วอล เพื่อดาวน์โหลด GobRAT และรันสคริปต์เพิ่มเติม เช่น Start Script และ Daemon Script
สคริปต์ Start Script ทำหน้าที่เรียกใช้ GobRAT โดยปลอมเป็น process Apache daemon (apache) ส่วนสคริปต์ Daemon Script จะตรวจสอบสถานะของ Start Script ทุก ๆ 20 วินาที เพื่อตรวจสอบให้แน่ใจว่าสคริปต์กำลังทำงานอยู่

รายละเอียด GobRAT

GobRAT ประกอบไปด้วย UPX v4 series และใช้โปรโคตอล TLS เพื่อสื่อสารกับ C2 Server

หลังจากติดตั้งมัลแวร์แล้ว GobRAT จะสแกนเครื่องที่ถูกโจมตีเพื่อเก็บข้อมูล เช่น IP address, MAC address, เวลาที่เครื่องทำงาน และสถานะของการเชื่อมต่อในเครือข่าย
ในซอร์สโค้ด คำสั่งสำหรับการเชื่อมต่อกับ C2 และคำสั่ง Linux จะถูกเข้ารหัสไว้ โดยโปรแกรมจะใช้โหมด AES128 CTR เพื่อถอดรหัสคำสั่งเหล่านั้น
GobRAT รองรับรายการคำสั่งทั้งหมด 22 รายการ เพื่อการดำเนินการที่หลากหลาย รวมถึงการรับข้อมูลเครื่อง, อ่าน และเขียนไฟล์, เริ่มต้นการเชื่อมต่อ SOCKS5 socket, และการดำเนินการ reverse shell
มัลแวร์จะพยายาม log in เข้าใช้บริการ Telnet, SSHD, MySQL, Redis, และ PostgreSQL บนเครื่องอื่น ๆ ทั่วทั้งเครือข่าย

GobRAT เป็นซอฟต์แวร์ที่ใช้ภาษา Golang-based อีกหนึ่งตัวที่พยายามใช้ช่องโหว่ในเราท์เตอร์ที่เผยแพร่ในอินเทอร์เน็ต การปล่อยให้เราท์เตอร์ขององค์กรสามารถเข้าถึงได้จากอินเทอร์เน็ตโดยไม่มีการตรวจสอบความปลอดภัยที่เหมาะสม เป็นการเชื้อเชิญให้ GobRAT และภัยคุกคามอื่น ๆ สามารถนำมาใช้เป็นช่องทางในการโจมตีได้

อ้างอิง :https://cyware.

Emby รายงานว่าเพื่อความปลอดภัย Emby ได้ปิดการใช้งานการเข้าถึงเซิร์ฟเวอร์ โดยไม่เปิดเผยจำนวนเซิร์ฟเวอร์ที่ได้รับผลกระทบจากการโจมตี ซึ่งส่วนใหญ่ถูกโจมตีโดยใช้ช่องโหว่ที่เป็นที่รู้จักก่อนหน้านี้ และการตั้งค่าบัญชีผู้ดูแลระบบที่ไม่ปลอดภัย

โดยบริษัทตรวจพบการทำงานของ plugin ที่เป็นอันตรายบนระบบ ดังนั้นเพื่อความปลอดภัยบริษัทจึงทำการปิดเซิร์ฟเวอร์เป็นมาตราการป้องกันไว้ก่อน ในขณะเดียวกันบริษัทได้แจ้งให้ผู้ใช้งานทราบเกี่ยวกับเซิร์ฟเวอร์ที่ได้รับผลกระทบ

การโจมตีเกิดขึ้นในช่วงกลางเดือนพฤษภาคม 2023 โดยผู้โจมตีกำหนดเป้าหมายไปยังเซิร์ฟเวอร์ Emby ที่เข้าถึงได้จากอินเตอร์เน็ต และเข้าสู่ระบบได้ด้วยสิทธิ์ของผู้ดูแลระบบโดยไม่ต้องใส่รหัสผ่าน

Emby อธิบายในการโจมตีนี้ว่า ผู้โจมตีได้พยายามเข้าสู่ระบบจากภายนอกโดยใช้ช่องโหว่ที่เรียกว่า Proxy Header เพื่อทำให้เซิร์ฟเวอร์ให้สิทธิ์การเข้าถึง และได้รับสิทธิ์เป็นผู้ดูแลระบบ ซึ่งช่องโหว่นี้เป็นที่รู้จักตั้งแต่เดือนกุมภาพันธ์ 2020 และพึ่งได้รับการแก้ไขในเวอร์ชันเบต้า

โดยผู้โจมตีได้ทำการติดตั้ง backdoor เพื่อเข้าควบคุม Emby เซิร์ฟเวอร์ ผ่านการติดตั้ง plugin ที่เป็นอันตราย และเก็บรวบรวม credential ทั้งหมดที่ถูกใช้ในการลงชื่อเข้าใช้บนเซิร์ฟเวอร์

หลังจากการวิเคราะห์ และประเมินความเป็นไปได้ในการแก้ไขปัญหาที่เกิดขึ้น ทีม Emby ได้เผยแพร่การอัปเดตเซิร์ฟเวอร์ ซึ่งสามารถตรวจจับการทำงานของ plugin ที่น่าสงสัย และป้องกันไม่ให้สามารถติดตั้งได้อีก

เพื่อเพิ่มความระมัดระวังเนื่องจากความรุนแรงของสถานการณ์ ทาง Emby ได้ป้องกันการทำงานของเซิร์ฟเวอร์ที่ถูกโจมตีโดยการปิดการใช้งานชั่วคราว เพื่อป้องกันการทำงานของ plugin ที่เป็นอันตราย เพื่อให้ผู้ดูแลระบบสามารถแก้ไขปัญหาได้โดยตรง

เพื่อเพิ่มระดับความปลอดภัย Emby แนะนำให้ตรวจสอบพฤติกรรมที่น่าสงสัยเพิ่มเติมดังนี้

แนะนำให้ผู้ดูแลระบบ Emby ลบไฟล์ helper.

บริษัท Barracuda ผู้ให้บริการด้านความปลอดภัยของอีเมล และบริการรักษาความปลอดภัยบนเครือข่าย แจ้งเตือนผู้ใช้งานเกี่ยวกับช่องโหว่ระดับ Critical ที่กำลังถูกนำมาใช้โจมตีระบบ Email Security Gateway (ESG) ของบริษัท

ช่องโหว่ zero-day นี้มีหมายเลข CVE-2023-2868 โดยเป็นช่องโหว่ remote code injection ที่ส่งผลกระทบกับ Barracuda Email Security Gateway เวอร์ชัน 5.1.3.001 ถึง 9.2.0.006 โดย Barracuda ระบุว่าปัญหาของช่องโหว่เกิดจากองค์ประกอบที่ทำหน้าที่ตรวจสอบไฟล์แนบของอีเมลที่เข้าสู่ระบบ

ส่วนจากคำแนะนำของสถาบันมาตรฐาน และเทคโนโลยีแห่งชาติ (NIST) ระบุว่าช่องโหว่นี้เกิดจากกระบวนการประมวลผลไฟล์ .tar (tape archives)

โดยช่องโหว่นี้เกิดจากการตรวจสอบอินพุตที่ไม่สมบูรณ์ของไฟล์ .tar ที่ผู้ใช้ส่งเข้ามา ซึ่งเกี่ยวข้องกับชื่อของไฟล์ที่อยู่ในเอกสารเหล่านั้น ทำให้ผู้โจมตีสามารถจัดรูปแบบชื่อไฟล์เหล่านี้ในลักษณะที่เฉพาะเจาะจงได้ ซึ่งทำให้สามารถรันคำสั่งบนระบบจากภายนอกผ่านตัวดำเนินการ qx ของ Perl ด้วยสิทธิ์ของ Email Security Gateway

ในวันที่ 19 พฤษภาคม 2023 ทาง Barracuda ได้ตรวจพบช่องโหว่ดังกล่าว และทำการอัปเดตอุปกรณ์ ESG ทั่วโลกด้วยการติดตั้งแพตช์ในวันถัดมา นอกจากนี้ยังมีการอัปเดตแพตซ์ครั้งที่สองในวันที่ 21 พฤษภาคม เพื่อเพิ่มประสิทธิภาพในการแก้ไขช่องโหว่

จากการตรวจสอบของบริษัทพบว่า มีการนำช่องโหว่ CVE-2023-2868 มาใช้ในการโจมตีอย่างต่อเนื่อง ส่งผลให้มีการเข้าถึงอุปกรณ์ Email Gateway ได้บางส่วน

ด้วยความที่มีลูกค้ามากกว่า 200,000 รายทั่วโลก บริษัทไม่ได้เปิดเผยขอบเขตของผู้ที่ถูกโจมตี แต่ได้ติดต่อกับผู้ใช้งานที่ได้รับผลกระทบโดยตรงทั้งหมด และให้คำแนะนำในการแก้ไขปัญหา และแนะนำให้ลูกค้าตรวจสอบระบบของตนเอง และคอยดูสถานการณ์อย่างใกล้ชิด

ปัจจุบันยังไม่ทราบรายละเอียดของกลุ่มแฮ็กเกอร์ที่อยู่เบื้องหลังการโจมตี แต่มีข้อสังเกตว่าในช่วงที่ผ่านมากลุ่มแฮ็กเกอร์ที่มาจากประเทศจีน และรัสเซีย มักจะใช้มัลแวร์ที่ออกแบบมาโดยเฉพาะในการโจมตีอุปกรณ์ Cisco, Fortinet, และ SonicWall ที่มีช่องโหว่ในช่วงเดือนที่ผ่านมา

ที่มา: https://thehackernews.

นักวิจัยจาก Fortinet FortiGuard Labs พบว่าหน่วยงานของรัฐที่ไม่ระบุชื่อของสหรัฐอาหรับเอมิเรตส์ ได้ตกเป็นเป้าหมายของการโจมตีโดยใช้แบ็คดอร์ที่มีชื่อว่า PowerExchange ด้วยวิธีการโจมตีโดยใช้ Phishing email พร้อมแนบ ZIP file ที่มีไฟล์โปรแกรมในรูปแบบ .NET และไฟล์ที่ถูกดัดแปลงในรูปแบบ PDF ซึ่งจะทำหน้าที่เป็นดรอปเปอร์เพื่อดำเนินการเพย์โหลดขั้นตอนสุดท้าย ซึ่งจะเป็นการติดตั้งแบ็คดอร์

โดย PowerExchange นั้นถูกเขียนด้วย PowerShell สำหรับการเชื่อมต่อกับ command-and-control (C2) และช่วยให้ผู้โจมตีสามารถเรียกใช้เพย์โหลดได้ตามทีต้องการ และสามารถอัปโหลด และดาวน์โหลดไฟล์จาก C2 ได้

ในส่วนของการแฝงตัวอยู่บนระบบทำได้โดยการใช้ Exchange Web Services (EWS) API เพื่อเชื่อมต่อกับ Exchange Server ของเหยื่อ และใช้ mailbox บนเซิร์ฟเวอร์เพื่อส่ง และรับคำสั่งที่เข้ารหัสจากผู้โจมตี ซึ่งปัจจุบันยังไม่สามารถทราบวิธีการที่ผู้โจมตีใช้เพื่อเข้าถึง domain credentials ในการเชื่อมต่อกับ Exchange Server ของเหยื่อ

ทาง Fortinet ยังพบว่าเซิร์ฟเวอร์ Exchange ถูก Backdoor ด้วยเว็บเชลล์อีกหลายตัว ซึ่งหนึ่งในนั้นถูกเรียกว่า ExchangeLeech (หรือที่รู้จักกันในชื่อ System.

นักวิจัยด้านความปลอดภัยทางไซเบอร์พบพฤติกรรมคล้ายแบ็คดอร์ในระบบของ Gigabyte ซึ่งทำให้เฟิร์มแวร์ UEFI ของอุปกรณ์สามารถส่งไฟล์ปฏิบัติการ (executable file) ของ Windows และเรียกข้อมูลอัปเดตในรูปแบบที่ไม่ปลอดภัยได้

บริษัทความปลอดภัยด้านเฟิร์มแวร์ 'Eclypsium' ระบุว่า พวกเขาตรวจพบความผิดปกติครั้งแรกในเดือนเมษายน 2023 ซึ่งต่อมา Gigabyte ได้ทราบปัญหา และดำเนินการแก้ไขปัญหาดังกล่าวเรียบร้อยแล้ว

John Loucaides รองประธานบริหารฝ่ายกลยุทธ์ของ Eclypsium ให้ข้อมูลกับ The Hacker News ว่า "พวกเขาพบว่าเฟิร์มแวร์ Gigabyte ส่วนใหญ่มีไฟล์ปฏิบัติการแบบ Windows Native Binary ถูกฝังอยู่ภายในเฟิร์มแวร์ UEFI"

ไฟล์ปฏิบัติการของ Windows ที่ตรวจพบ จะถูกเก็บลงดิสก์ และทำงานเป็นส่วนหนึ่งของ process เริ่มต้น Windows คล้ายการโจมตีแบบ double agent ของ LoJack ซึ่งไฟล์ปฏิบัติการนี้จะดาวน์โหลด และเรียกใช้ไบนารีเพิ่มเติมด้วยวิธีการที่ไม่ปลอดภัย

จากรายงานของ Eclypsium ไฟล์ปฏิบัติการนี้จะถูกฝังอยู่ในเฟิร์มแวร์ UEFI และจะถูกเขียนลงดิสก์โดยเฟิร์มแวร์ ซึ่งเป็นส่วนหนึ่งของกระบวนการบูตระบบ และจากนั้นจะถูกเรียกใช้ในลักษณะ update service

แอปพลิเคชันถูกพัฒนาด้วย .NET โดยทำการตั้งค่าให้ดาวน์โหลด และเรียกใช้เพย์โหลดจากเซิร์ฟเวอร์อัปเดตของ Gigabyte ผ่าน HTTP ธรรมดา ซึ่งทำให้กระบวนการดังกล่าวอาจตกเป็นเป้าหมายของการโจมตีแบบ adversary-in-the-middle (AitM) ผ่านเราท์เตอร์ที่ถูกโจมตี

Loucaides ระบุว่า "ซอฟต์แวร์มีจุดประสงค์ให้ดูเหมือนเป็นแอปพลิเคชันสำหรับการอัปเดตที่ดูถูกต้องตามปกติ และอาจส่งผลกระทบต่อ Gigabyte systems ประมาณ 364 ระบบ โดยมีอุปกรณ์ประมาณ 7 ล้านเครื่อง"

เนื่องจากผู้ไม่หวังดีพยายามมองหาวิธีที่จะไม่ถูกตรวจจับอยู่เสมอ และทิ้งร่องรอยการโจมตีให้น้อยที่สุด ช่องโหว่ในการอัปเดตเฟิร์มแวร์ที่มีสิทธิ์พิเศษอาจเป็นการเปิดทางให้เกิดการโจมตีบน UEFI bootkits ซึ่งจะหลบเลี่ยงอุปกรณ์ด้านความปลอดภัยได้ทั้งหมด

สิ่งที่แย่ไปกว่านั้นคือ UEFI code อยู่บนเมนบอร์ด มัลแวร์ที่ถูกฝังในเฟิร์มแวร์สามารถคงอยู่ถาวรแม้ว่าไดรฟ์จะถูกฟอร์แมต และติดตั้งระบบปฏิบัติการใหม่ก็ตาม

แนะนำให้องค์กรต่าง ๆ ควรอัปเดตเฟิร์มแวร์เป็นเวอร์ชันล่าสุดเพื่อลดความเสี่ยงที่อาจเกิดขึ้น นอกจากนี้ยังแนะนำให้ตรวจสอบ และปิดการใช้งานคุณสมบัติ "APP Center Download & Install" ในการตั้งค่า UEFI/BIOS และตั้งรหัสผ่าน BIOS เพื่อป้องกันการเปลี่ยนแปลงที่อาจเป็นอันตราย

อ้างอิง : https://thehackernews.