ทีม Threat Intelligence ของ Microsoft ออกคำเตือนเมื่อวันที่ 4 ธันวาคม 2023 ที่ผ่านมา จากการพบกลุ่ม Hacker ที่ได้รับการสนับสนุนจากรัฐบาลรัสเซียในชื่อ APT28 ("Fancybear" หรือ "Strontium") ที่ได้ทำการโจมตีเป้าหมายโดยใช้ช่องโหว่ Outlook CVE-2023-23397 เพื่อขโมยบัญชี Microsoft Exchange และข้อมูลที่มีความสำคัญ โดยหน่วยงานที่ตกเป็นเป้าหมายในการโจมตีได้แก่ หน่วยงานรัฐบาล, หน่วยงานทางด้านพลังงาน, การขนส่ง และองค์กรสำคัญอื่น ๆ ในสหรัฐอเมริกา ยุโรป และตะวันออกกลาง รวมถึง Microsoft ยังพบการใช้ช่องโหว่อื่น ๆ ในการโจมตีด้วย เช่น CVE-2023-38831 ใน WinRAR และ CVE-2021-40444 ใน Windows MSHTML (more…)

Microsoft ออกแพตซ์อัปเดต Patch Tuesday ประจำเดือนพฤศจิกายน 2023 ซึ่งเป็นการอัปเดตสำหรับช่องโหว่ทั้งหมด 58 รายการ และเป็นช่องโหว่แบบ Zero-Day 5 รายการ

โดยเป็นการแก้ไขช่องโหว่การเรียกใช้โค้ดที่เป็นอันตรายจากระยะไกล (RCE) 14 รายการ แต่มีเพียง 1 รายการที่มีความรุนแรงระดับ Critical โดยช่องโหว่ที่มีความรุนแรงระดับ Critical ทั้งหมด 3 รายการ ได้แก่ ช่องโหว่ Azure information disclosure, ช่องโหว่การเรียกใช้โค้ดที่เป็นอันตรายจากระยะไกลใน Windows Internet Connection Sharing (ICS) และช่องโหว่ใน Hyper-V Escape ที่ทำให้สามารถเรียกใช้งานโปรแกรมบนโฮสต์ด้วยสิทธิ์ SYSTEM (more…)

Microsoft ออกมายืนยันว่ารับทราบปัญหาการเกิดหน้าจอฟ้าของ Windows Server 2022 virtual machine (VM) และการบูตที่ไม่สำเร็จบน VMware ESXi hosts

โดยผู้ดูระบบ Windows ได้รายงานว่าพบปัญหาการบูตที่ไม่สำเร็จบน VMware ESXi hosts หลังจากติดตั้งแพตซ์อัปเดต KB5031364 ในเดือนตุลาคม 2023 (more…)

Microsoft ประกาศว่าใน Windows 11 จะไม่เพิ่ม SMB1 Windows Defender Firewall rules อีกต่อไปเมื่อมีการสร้าง SMB shares ใหม่โดยเริ่มจาก Canary Channel Insider Preview Build 25992 ในปัจจุบัน

ซึ่งตั้งแต่ Windows XP SP2 การสร้าง SMB shares จะถูกตั้ง firewall rules โดยอัตโนมัติภายใน group "File and Printer Sharing" สำหรับ specified firewall profiles

โดย Windows 11 จะกำหนดค่า group "File and Printer Sharing (Restrictive)" โดยยกเว้นพอร์ต NetBIOS ขาเข้า 137-139 (SMB1 artifacts) การเปลี่ยนแปลงนี้จะบังคับใช้ตั้งแต่ระดับเริ่มต้นของ network security รวมถึงนำ SMB firewall rules เข้ามาใช้กับ role behavior ใน "File Server" ของ Windows Server ทั้งนี้ ผู้ดูแลระบบยังคงสามารถกำหนดค่า group "File and Printer Sharing" ได้หากจำเป็น รวมทั้งแก้ไข firewall group ใหม่ได้อีกด้วย

Microsoft ได้วางแผนการอัปเดตในอนาคตสำหรับ rule นี้เพื่อลบ Port ICMP ขาเข้า, LLMNR และ Spooler Service ขาเข้ารวมถึงจำกัดเฉพาะ Port ที่จำเป็นในการสร้าง SMB shares

โดยขณะนี้ SMB client ยังได้รับอนุญาตให้เชื่อมต่อกับ SMB server ผ่าน TCP, QUIC หรือ RDMA over custom network ports ที่แตกต่างจากค่า hardcoded default ซึ่งก่อนหน้านี้ SMB จะมาพร้อมกับการรองรับ TCP/445, QUIC/443 และ RDMA iWARP/5445 เท่านั้น

การทำให้ Windows มีความปลอดภัยมากยิ่งขึ้น

การปรับปรุงเหล่านี้เป็นส่วนหนึ่งของความพยายามในการเสริมสร้างความปลอดภัยของ Windows และ Windows Server ดังที่ได้ออกการอัปเดตอื่น ๆ ในช่วงไม่กี่เดือนที่ผ่านมา โดยหลังจากการเปิดตัว Windows 11 Insider Preview Build 25982 ใน Canary Channel ผู้ดูแลระบบสามารถบังคับใช้การเข้ารหัส SMB client สำหรับการเชื่อมต่อขาออกทั้งหมดได้แล้ว ด้วยการกำหนดให้เซิร์ฟเวอร์ปลายทางทั้งหมดที่รองรับ SMB 3.x และการเข้ารหัสทำให้ผู้ดูแลระบบ สามารถรับรองได้ว่าการเชื่อมต่อทั้งหมดมีความปลอดภัย ซึ่งจะช่วยลดความเสี่ยงของการดักฟัง และการโจมตีแบบ interception attacks

รวมถึงผู้ดูแลระบบยังสามารถกำหนดค่าระบบ Windows 11 เพื่อบล็อกการส่งข้อมูล NTLM ผ่าน SMB ได้โดยอัตโนมัติในการเชื่อมต่อขาออก เพื่อป้องกันการโจมตีแบบ pass-the-hash, NTLM relay และ password-cracking attacks โดยเริ่มที่ Windows 11 Insider Preview Build 25951 อีกทั้งยังมีการให้ทำ SMB signing (security signatures) เป็นค่าเริ่มต้นสำหรับการเชื่อมต่อทั้งหมดเพื่อป้องกันการโจมตีแบบ NTLM relay attacks

ในเดือนเมษายน 2023 ทาง Microsoft ได้วางแผนการปิดการใช้ SMB1 file-sharing protocol ที่เก่าแก่ และใช้งานมาหลายทศวรรษ สำหรับ Windows 11 Home Insiders รวมทั้งยังเสริมความแข็งแกร่งให้กับการป้องกันการโจมตีแบบ brute-force ในเดือนกันยายน 2022 ด้วยการเปิดตัว SMB authentication rate limiter ที่ออกแบบมาเพื่อลดผลกระทบของการโจมตี NTLM authentication ขาเข้าที่ไม่สำเร็จ

ที่มา : bleepingcomputer

Microsoft แจ้งเตือนกลุ่มแฮ็กเกอร์ BlueNoroff วางแผนการโจมตีเพื่อขโมยเงิน crypto ครั้งใหม่

Microsoft แจ้งเตือนกลุ่มแฮ็กเกอร์ BlueNoroff จากเกาหลีเหนือกำลังสร้างระบบในการโจมตีครั้งใหม่สำหรับแคมเปญ social engineering บน LinkedIn (more…)

นักวิจัยพบเทคนิคการขุดคริปโตที่ไม่สามารถตรวจจับได้บน Azure Automation

นักวิจัยด้านความปลอดภัยทางไซเบอร์ได้พัฒนาโปรแกรมขุดคริปโตบนคลาวด์ที่ไม่สามารถตรวจจับได้เป็นรายแรก โดยใช้บริการ Azure Automation ของ Microsoft โดยไม่ต้องเสียค่าใช้จ่ายใด ๆ (more…)

Microsoft ได้เผยแพร่ข้อมูลโดยละเอียดของกลุ่มผู้โจมตีที่ใช้ภาษาอังกฤษเป็นภาษาหลัก และมีความสามารถทางด้าน social engineering ขั้นสูง ถูกติดตามในชื่อ Octo Tempest ซึ่งเป็นกลุ่มแฮ็กเกอร์ที่โจมตีบริษัทต่าง ๆ ด้วยการเรียกค่าไถ่ และการโจมตีด้วย ransomware

การโจมตีของ Octo Tempest ได้พัฒนามาอย่างต่อเนื่องนับตั้งแต่ต้นปี 2022 โดยขยายเป้าหมายไปยังองค์กรที่ให้บริการโทรคมนาคมผ่านสายสัญญาณเคเบิล อีเมล และบริการด้านเทคโนโลยี และร่วมมือกับกลุ่ม ransomware ALPHV/BlackCat

เริ่มต้นจากการขโมยบัญชีไปจนถึงการโจมตีด้วย ransomware

กลุ่มผู้โจมตีรายนี้ถูกพบครั้งแรกจากการโจมตีแบบ SIM swaps และขโมยบัญชีของบุคคลที่มีชื่อเสียงที่มีสินทรัพย์ cryptocurrency

ในช่วงปลายปี 2022 Octo Tempest ได้เริ่มใช้การโจมตีแบบฟิชชิ่ง, social engineering, รีเซ็ตรหัสผ่านจำนวนมากของลูกค้าของผู้ให้บริการที่ถูกโจมตี และการขโมยข้อมูล

ในช่วงต้นปีนี้ กลุ่มแฮ็กเกอร์ได้โจมตีบริษัทในอุตสาหกรรมเกม, การโรงแรม, ร้านค้า, การผลิต, เทคโนโลยี และการเงิน รวมถึงผู้ให้บริการในลักษณะ managed service providers (MSPs)

หลังจากเข้าร่วมเป็นพันธมิตรกับกลุ่ม ALPHV/BlackCat กลุ่ม Octa Tempest ได้เริ่มใช้งาน ransomware เพื่อขโมยข้อมูล และเข้ารหัสข้อมูลของเหยื่อ

กลุ่ม Octo Tempest ได้ใช้ประสบการณ์ที่สั่งสมมาในการสร้างการโจมตีที่ทันสมัย และรุนแรงมากขึ้น และยังเริ่มสร้างรายได้จากการโจมตีโดยการรีดไถ่เหยื่อหลังจากขโมยข้อมูล

Microsoft ระบุว่า Octo Tempest ยังใช้วิธีการ physical threats โดยตรงในบางกรณี เพื่อให้ได้ข้อมูลการเข้าสู่ระบบที่จะทำให้การโจมตีของพวกเขามีโอกาสสำเร็จมากขึ้น

อีกเหตุการณ์ที่พบคือ Octo Tempest ได้กลายเป็นพันธมิตรกับกลุ่ม Ransomware ALPHV/BlackCat ตามที่ Microsoft รายงานในเดือนมิถุนายนว่า พวกเขาได้เริ่มต้นใช้ ransomware payloads ทั้ง Windows และ Linux โดยมุ่งเน้นไปที่เซิร์ฟเวอร์ VMware ESXi

เหตุการณ์นี้น่าสนใจตรงที่ในอดีต กลุ่ม ransomware ในยุโรปตะวันออกมักจะปฏิเสธที่จะทำธุรกิจร่วมกับกลุ่มแฮ็กเกอร์ที่ใช้ภาษาอังกฤษเป็นภาษาหลัก

โดยการโจมตีล่าสุดของกลุ่มนี้มุ่งเป้าไปที่องค์กรในหลากหลายภาคอุตสาหกรรม รวมถึงธุรกิจเกมส์, ทรัพยากรธรรมชาติ, โรงแรม, สินค้าอุปโภคบริโภค, ร้านค้าปลีก ,ผู้ให้บริการในลักษณะ managed service providers (MSPs), การผลิต, กฎหมาย, เทคโนโลยี และบริการทางด้านการเงิน

Octo Tempest TTPs

Microsoft ประเมินว่า Octo Tempest เป็นกลุ่มที่มีการจัดระเบียบอย่างดี ซึ่งประกอบด้วยสมาชิกที่มีความรู้ด้านเทคนิคอย่างกว้างขวาง และผู้ปฏิบัติงานแบบ hands-on-keyboard หลายคน

โดยผู้โจมตีมักได้รับสิทธิ์ในการเข้าถึงระบบของเหยื่อเบื้องต้นผ่านทางการโจมตีแบบ social engineering ขั้นสูง ที่มุ่งเป้าไปที่บัญชีของผู้ดูแลระบบด้านเทคนิค (เช่น พนักงานฝ่ายสนับสนุน และบริการช่วยเหลือ) ซึ่งมีสิทธิ์มากพอที่จะดำเนินการโจมตีในลักษณะอื่น ๆ ต่อไป

พวกเขาทำการศึกษาข้อมูลเกี่ยวกับบริษัทของเหยื่อ เพื่อระบุเป้าหมายที่พวกเขาสามารถปลอมแปลงได้ ซึ่งรวมถึงการเลียนแบบการพูดของบุคคลในการสนทนาทางโทรศัพท์

ด้วยการทำเช่นนี้พวกเขาจึงสามารถหลอกผู้ดูแลระบบด้านเทคนิค ให้รีเซ็ตรหัสผ่าน และรีเซ็ตวิธีการตรวจสอบสิทธิ์แบบหลายขั้นตอน (MFA) ได้

วิธีการโจมตีอื่น ๆ สำหรับขั้นตอน Initial access ได้แก่ :

การหลอกเป้าหมายให้ติดตั้งซอฟต์แวร์สำหรับการติดตาม และการจัดการระยะไกล
การขโมยข้อมูลเข้าสู่ระบบผ่านเว็บไซต์ฟิชชิง
การซื้อข้อมูลเข้าสู่ระบบ หรือ session tokens จากอาชญากรไซเบอร์รายอื่น
การโจมตีแบบ SMS phishing ด้วยลิงก์ไปยังเว็บไซต์ปลอมที่ดักจับข้อมูลรหัสผ่าน
การโจมตีแบบ SIM-swapping หรือ call forwarding
การคุกคามโดยตรง หรือใช้ความรุนแรง

เมื่อได้สิทธิ์เข้าถึงที่เพียงพอแล้ว กลุ่ม Octo Tempest จะเริ่มขั้นตอนการสำรวจการโจมตีโดยการระบุโฮสต์ และบริการ และรวบรวมข้อมูลที่จะช่วยให้สามารถใช้ประโยชน์จากช่องทางที่ถูกต้องเพื่อดำเนินการโจมตีต่อไป

จากนั้น Octo Tempest จะดำเนินการสำรวจโครงสร้างของระบบ ระบุสิทธิ์การเข้าถึง และ resources ของ cloud environments, code repositories, ระบบจัดการเซิร์ฟเวอร์ และระบบสำรองข้อมูล เพื่อยกระดับสิทธิ์ ผู้โจมตีจะกลับไปใช้วิธีการ social engineering, SIM-swapping หรือ call forwarding และเริ่มต้นการรีเซ็ตรหัสผ่านด้วยตนเองของบัญชีเป้าหมาย

ในขั้นตอนนี้ แฮ็กเกอร์จะสร้างความเชื่อใจกับเหยื่อ โดยใช้บัญชีที่ถูกขโมย และแสดงให้เห็นว่ามีความเข้าใจในขั้นตอนการทำงานของบริษัท ซึ่งหากแฮ็กเกอร์เข้าถึงบัญชีที่มีสิทธิ์สูงได้ ก็จะทำการอนุมัติคำขอรับสิทธิ์การเข้าถึงที่เพิ่มขึ้นได้ด้วยตนเอง

เมื่อไรก็ตามที่ Octo Tempest สามารถเข้าถึงระบบได้ พวกเขาจะค้นหาข้อมูล credentials เพิ่มเติม เพื่อขยายขอบเขตของการโจมตี ด้วยการใช้เครื่องมืออย่าง Jercretz และ TruffleHog เพื่อทำงานอัตโนมัติในการค้นหา plaintext keys, ข้อมูลที่เป็นความลับ และรหัสผ่านที่อยู่ใน code repositories

เพื่อปกปิดร่องรอย แฮ็กเกอร์ยังโจมตีบัญชีของเจ้าหน้าที่ด้านความปลอดภัยด้วย เพื่อให้พวกเขาสามารถปิดใช้งานผลิตภัณฑ์ และคุณสมบัติด้านความปลอดภัยได้

โดยข้อมูลจาก Microsoft ระบุว่า Octo Tempest จะพยายามซ่อนตัวตนของตนเองบนเครือข่ายโดยการปิดการใช้งานการแจ้งเตือนการเปลี่ยนแปลง และแก้ไข mailbox rules เพื่อลบอีเมลที่อาจทำให้เหยื่อสงสัยเรื่องการละเมิดความปลอดภัย

นักวิจัยให้รายละเอียดเพิ่มเติมเกี่ยวกับเครื่องมือและเทคนิคที่ Octo Tempest ใช้ในการโจมตี ได้แก่:

เครื่องมือโอเพ่นซอร์ส : ** ScreenConnect, FleetDeck, AnyDesk, RustDesk, Splashtop, Pulseway, TightVNC, LummaC2, Level.

Google เผยแพร่รายงานการพบกลุ่ม Hacker ที่ได้รับการสนับสนุนจากรัฐบาลหลายกลุ่ม ได้ทำการโจมตีโดยใช้ช่องโหว่ที่มีระดับความรุนแรงสูงใน WinRAR (CVE-2023-38831) อย่างต่อเนื่อง โดยมีเป้าหมายในการเรียกใช้คำสั่งที่เป็นอันตรายบนระบบของเป้าหมาย

WinRAR เป็นซอฟต์แวร์บีบอัด และจัดเก็บไฟล์ยอดนิยมสำหรับ Windows ที่มีผู้ใช้งานในปัจจุบันมากกว่า 500 ล้านคน (more…)

Microsoft Defender เปิดตัวความสามารถใหม่ ในการกักกันบัญชีที่ถูกโจมตีได้โดยอัตโนมัติ เพื่อหยุดการโจมตี และการแพร่กระจายไปในเครือข่าย โดยได้เพิ่ม 'contain user' ซึ่งเป็นความสามารถใหม่ไปใน public preview

การกักกันบัญชีที่ถูกโจมตี จะถูกใช้เมื่อพบเหตุการณ์การโจมตีโดยแรนซัมแวร์ ซึ่ง Hacker จะทำการแฝงตัวในเครือข่ายของเป้าหมาย และแพร่กระจายต่อไปในเครือข่าย หลังจากนั้นจะทำการยกระดับสิทธิ์เป็นสิทธิ์ระดับสูงผ่านบัญชีที่ถูกขโมย เพื่อติดตั้งเพย์โหลดที่เป็นอันตราย และเรียกใช้ในการการโจมตีต่อไป

(more…)

Microsoft กำลังวางแผนที่จะทำการยุติการใช้ VBScript ใน Windows รุ่นต่อไป หลังจากใช้งานมา 30 ปี โดยจะทำให้เป็น Features on Demand (FODs) จนกว่าจะถูกลบออก

VBScript (Visual Basic Script หรือ Microsoft Visual Basic Scripting Edition) เป็นภาษาการเขียนโปรแกรมที่คล้ายคลึงกับ Visual Basic หรือ Visual Basic for Applications (VBA) ซึ่งเปิดตัวมานานเกือบ 30 ปี โดยเปิดตัวในเดือนสิงหาคม 1996 และมาพร้อมกับ Internet Explorer (ซึ่งทาง Microsoft ได้ปิดการใช้งานไปแล้ว บน Windows 10 บางแพลตฟอร์มในเดือนกุมภาพันธ์ 2023) เพื่อรวมสคริปต์ที่ใช้งานอยู่เข้ากับ Windows environment และสื่อสารกับ host application ผ่าน Windows Script

(more…)