ผู้โจมตีกำลังมุ่งเป้าโจมตีช่องโหว่ระดับ Critical ใน JobMonster WordPress theme ซึ่งทำให้สามารถยึดบัญชีผู้ดูแลระบบได้ภายใต้เงื่อนไขบางประการ

(more…)

กลุ่มผู้โจมตีทางไซเบอร์ที่มีความเชื่อมโยงกับจีน ที่ถูกติดตามภายใต้ชื่อ 'Bronze Butler' (Tick) ได้โจมตีโดยใช้ช่องโหว่ zero-day ของ Motex Lanscope Endpoint Manager เพื่อติดตั้งมัลแวร์ Gokcpdoor เวอร์ชันอัปเดตของพวกเขา

(more…)

มหาวิทยาลัย Pennsylvania เผชิญเหตุการณ์ด้านความปลอดภัยทางไซเบอร์เมื่อวันศุกร์ที่ผ่านมา โดยนักศึกษา และศิษย์เก่าได้รับอีเมลหลายฉบับจากอีเมล address ต่าง ๆ ของมหาวิทยาลัย ที่มีการอ้างว่าข้อมูลถูกขโมยไปจากการโจมตีระบบแล้ว

(more…)

Microsoft เปิดตัวเซ็นเซอร์ตรวจจับ Scareware ตัวใหม่สำหรับเว็บเบราว์เซอร์ Microsoft Edge ซึ่งช่วยตรวจจับหน้าเว็บไซต์หลอกลวง ได้รวดเร็วยิ่งขึ้น และทำให้มั่นใจว่า Defender SmartScreen จะบล็อกหน้าเว็บไซต์หลอกลวงเหล่านั้นได้เร็วขึ้น

ในการหลอกลวงแบบ Scareware (หรือที่เรียกว่า tech support scams) มิจฉาชีพจะใช้หน้า Landing Page เพื่อหลอกล่อเหยื่อให้เชื่อว่าอุปกรณ์ของพวกเขาติดมัลแวร์ และพยายามเข้าควบคุมระบบจากระยะไกล โดยการกดดันให้โทรไปยังหมายเลข tech support ปลอม

Microsoft Defender SmartScreen ซึ่งปกป้องผู้ใช้ Edge จากการหลอกลวงดังกล่าว จะเริ่มทำงานหลังจากที่เว็บไซต์ที่เป็นอันตรายถูกเพิ่มเข้าไปใน index หน้าเว็บไซต์ที่เป็นอันตราย ในขณะที่ Scareware blocker ที่มีอยู่ใน Edge ซึ่งเปิดตัวในงาน Ignite conference เดือนพฤศจิกายน 2024 และเปิดใช้งานโดยค่าเริ่มต้นตั้งแต่เดือนกุมภาพันธ์บน PCs ส่วนใหญ่ จะเพิ่มการป้องกันพิเศษโดยการตรวจจับสัญญาณของการหลอกลวงดังกล่าวแบบเรียลไทม์โดยใช้โมเดล machine learning ภายในเครื่อง

หลังจากตรวจพบหน้าหน้าเว็บไซต์หลอกลวงแบบเรียลไทม์ Scareware blocker ที่ใช้ AI/ML จะแจ้งเตือนผู้ใช้ และอนุญาตให้ผู้ใช้โหลดเว็บไซต์ต่อได้หากพวกเขาเชื่อว่าปลอดภัย ตัวบล็อกจะออกจากโหมดเต็มหน้าจอ, แสดงคำเตือน, หยุดเสียงดัง และแสดงภาพ thumbnail ของหน้าเว็บ

ผู้ใช้ยังสามารถรายงานเว็บไซต์หลอกลวงเพื่อปกป้องผู้อื่นได้ โดยการแบ่งปันข้อมูลการตรวจสอบ และภาพหน้าจอกับ Microsoft ซึ่งจะช่วยให้บริการ SmartScreen ตรวจจับการระบาดของ Scareware ได้ดีขึ้น

เมื่อเซ็นเซอร์ใหม่นี้เปิดใช้งาน SmartScreen จะได้รับการแจ้งเตือนให้จัดทำ index หน้าเว็บหลอกลวงได้รวดเร็วยิ่งขึ้น เพื่อให้มั่นใจว่าผู้ใช้ Edge ทั่วโลกจะได้รับคำเตือนเกี่ยวกับการหลอกลวงได้เร็วขึ้น

Rob Franco PM Manager ซึ่งทำงานในทีม Microsoft Edge Enterprise and Security ระบุว่า "ตั้งแต่เดือนพฤศจิกายนเป็นต้นไป หาก Scareware blocker ตรวจพบหน้าเว็บไซต์ที่น่าสงสัยแบบเต็มหน้าจอ เซ็นเซอร์ Scareware ตัวใหม่ใน Edge 142 สามารถแจ้งเตือน SmartScreen เกี่ยวกับความเป็นไปได้ที่จะเป็นการหลอกลวงได้ทันที โดยไม่ต้องแชร์ภาพหน้าจอหรือข้อมูลใด ๆ เพิ่มเติมนอกเหนือจากที่ SmartScreen ได้รับอยู่แล้ว"

"รายงานแบบเรียลไทม์นี้จะช่วยแจ้งเตือน SmartScreen ล่วงหน้าทันที เพื่อช่วยยืนยันการหลอกลวงได้เร็วขึ้น และบล็อกการหลอกลวงเหล่านั้นได้ทั่วโลก ในอนาคตจะมีการเพิ่มสัญญาณการตรวจจับแบบไม่ระบุตัวตนมากขึ้น เพื่อช่วยให้ Edge จดจำรูปแบบการหลอกลวงที่เกิดขึ้นซ้ำ ๆ ได้"

เซ็นเซอร์ Scareware ตัวใหม่นี้กำลังทยอยเปิดตัวใน Microsoft Edge 142 โดยค่าเริ่มต้นจะถูกปิดใช้งานไว้ แต่ Microsoft วางแผนที่จะเปิดใช้งานสำหรับผู้ใช้ทุกคนที่เปิดใช้งาน SmartScreen อยู่แล้ว เพื่อช่วยตรวจจับการหลอกลวงได้มากขึ้น

Microsoft ระบุว่า ผู้ใช้ Edge ได้รายงาน Scareware ที่นอกเหนือไปจากป๊อปอัป "Virus Alert!" ทั่วไป ซึ่งรวมถึงการหลอกลวงที่ใช้ control panels ปลอม และ blue screens ปลอมด้วย

Franco ระบเพิ่มเติมว่า "เมื่อเร็ว ๆ นี้ ผู้ใช้รายงานการหลอกลวงที่แอบอ้างเป็นหน่วยงานบังคับใช้กฎหมาย กล่าวหาว่าพวกเขาก่ออาชญากรรม และเรียกร้องให้ชำระเงินเพื่อปลดล็อก PCs" "ตอนที่ Scareware blocker จับการหลอกลวงนั้นได้ มันยังไม่ถูกบล็อกโดย Defender SmartScreen หรือบริการอื่น ๆ เช่น Google Safe Browsing"

ที่มา : bleepingcomputer

 

รัฐบาลออสเตรเลียกำลังออกคำเตือนเกี่ยวกับการโจมตีทางไซเบอร์ที่กำลังเกิดขึ้นอย่างต่อเนื่องกับอุปกรณ์ Cisco IOS XE ที่ยังไม่ได้ทำการอัปเดตแพตช์ภายในประเทศ ซึ่งอาจทำให้เราเตอร์ติด BadCandy webshell

ช่องโหว่ที่ถูกใช้ในการโจมตีเหล่านี้คือ CVE-2023-20198 ซึ่งเป็นช่องโหว่ระดับความรุนแรงสูงสุด ที่ช่วยให้ผู้โจมตีจากภายนอกซึ่งไม่จำเป็นต้องผ่านการยืนยันตัวตน สามารถสร้างบัญชีผู้ดูแลระบบผ่านทางเว็บอินเทอร์เฟซ และเข้าควบคุมอุปกรณ์ได้

Cisco ได้แก้ไขช่องโหว่นี้ไปเมื่อเดือนตุลาคม 2023 ซึ่งในขณะนั้นถูกจัดว่าเป็นช่องโหว่ที่กำลังถูกใช้ในการโจมตีอย่างต่อเนื่อง สองสัปดาห์ต่อมาได้มีการเผยแพร่ public exploit ออกมา ซึ่งยิ่งกระตุ้นให้เกิดการโจมตีเป็นวงกว้างเพื่อฝังแบ็คดอร์บนอุปกรณ์ที่เข้าถึงได้จากอินเทอร์เน็ต

ทางการออสเตรเลียเตือนว่า BadCandy web shells ในรูปแบบต่าง ๆ ยังคงถูกใช้ในการโจมตีตลอดปี 2024 และ 2025 ซึ่งแสดงให้เห็นว่าอุปกรณ์ Cisco จำนวนมากยังคงไม่ได้รับการอัปเดตแพตช์

เมื่อติดตั้งแล้ว BadCandy จะทำให้ผู้โจมตีสามารถสั่งการคำสั่งด้วยสิทธิ์ root บนอุปกรณ์ที่ถูกเจาะได้

Web shells จะถูกลบออกจากอุปกรณ์เมื่อมีการรีบูท อย่างไรก็ตาม เนื่องจากอุปกรณ์เหล่านั้นยังไม่ได้อัปเดตแพตช์ และหากยังสามารถเข้าถึงเว็บอินเทอร์เฟซได้ ผู้โจมตีจะสามารถนำ Web shells กลับมาใช้งานได้อีกครั้ง

ประกาศเตือนระบุว่า "ตั้งแต่เดือนกรกฎาคม 2025 ASD ประเมินว่ามีอุปกรณ์มากกว่า 400 เครื่องในออสเตรเลียที่อาจถูกเจาะด้วย BADCANDY" "ณ ปลายเดือนตุลาคม 2025 ยังคงมีอุปกรณ์มากกว่า 150 เครื่องในออสเตรเลียที่ถูกเจาะด้วย BADCANDY"

แม้ว่าจำนวนการติดมัลแวร์จะลดลง แต่หน่วยงานก็ได้เห็นสัญญาณของการโจมตีซ้ำโดยใช้ช่องโหว่เดิมกับอุปกรณ์เดิม แม้ว่าหน่วยงานที่ถูกเจาะระบบจะได้รับแจ้งเตือนอย่างเหมาะสมแล้วก็ตาม

ตามข้อมูลของหน่วยงาน ผู้โจมตีสามารถตรวจจับได้เมื่ออุปกรณ์ที่ถูกฝัง BadCandy ถูกลบออก และจะมุ่งเป้าไปที่อุปกรณ์เดิมเพื่อติดตั้ง BadCandy อีกครั้ง

เพื่อตอบสนองต่อการโจมตีที่กำลังดำเนินอยู่นี้ สำนักข่าวกรองกลางออสเตรเลีย (ASD) กำลังส่งการแจ้งเตือนไปยังเหยื่อ ซึ่งรวมถึงคำแนะนำเกี่ยวกับการอัปเดตแพตช์, การเสริมความแข็งแกร่งให้อุปกรณ์ และการดำเนินการตอบสนองต่อเหตุการณ์ สำหรับอุปกรณ์ที่ไม่สามารถระบุตัวตนเจ้าของได้ ASD ได้ขอให้ผู้ให้บริการอินเทอร์เน็ต ติดต่อเหยื่อเพื่อแจ้งเตือนพวกเขา

ASD ระบุว่า ช่องโหว่นี้เคยถูกใช้โจมตีโดยกลุ่มผู้โจมตีที่ได้รับการสนับสนุนจากรัฐฯ เช่น 'Salt Typhoon' จากจีน ซึ่งถือเป็นผู้รับผิดชอบต่อการโจมตีหลายครั้งที่มุ่งเป้าไปที่ผู้ให้บริการโทรคมนาคมรายใหญ่ทั่วสหรัฐอเมริกา และแคนาดา

หน่วยงานเชื่อว่า แม้ว่าตามทฤษฎีแล้ว BadCandy จะถูกนำไปใช้โดยใครก็ได้ แต่การโจมตีที่พุ่งสูงขึ้นในช่วงนี้สามารถเชื่อมโยงได้กับกลุ่มผู้โจมตีที่ได้รับการสนับสนุนจากรัฐฯ

ผู้ดูแลระบบ Cisco IOS XE ทั่วโลก รวมถึงในออสเตรเลีย ควรปฏิบัติตามคำแนะนำในการลดความเสี่ยง ของผู้ผลิตในแถลงการณ์ด้านความปลอดภัย

Cisco ยังได้เผยแพร่คู่มือการเสริมความแข็งแกร่งอย่างละเอียดสำหรับอุปกรณ์ IOS XE ด้วย

ที่มา : bleepingcomputer

พบภัยคุกคามทางไซเบอร์ระลอกใหม่ จากการที่ผู้โจมตีเริ่มนำ AdaptixC2 ซึ่งเป็น Open-source Command and Control framework และใช้งานได้ฟรี ที่เดิมทีออกแบบมาสำหรับการทดสอบเจาะระบบที่ถูกกฎหมาย และปฏิบัติการของ Red Team

นักวิจัยด้านความปลอดภัยได้ค้นพบแนวโน้มที่น่ากังวล โดยพบว่าผู้โจมตีได้นำเครื่องมือ post-exploitation นี้ ไปใช้ในแคมเปญแรนซัมแวร์ทั่วโลก ซึ่งเป็นการเปลี่ยนเครื่องมือที่มีไว้สำหรับการแฮ็กอย่างถูกกฎหมาย ให้กลายเป็นอาวุธร้ายแรงสำหรับองค์กรอาชญากรรม

เฟรมเวิร์กนี้ เขียนด้วย Golang สำหรับ component เซิร์ฟเวอร์ ที่ใช้ C++ และ QT-based GUI client ที่รองรับทั้ง Linux, Windows และ macOS ช่วยให้ผู้โจมตีมีความยืดหยุ่น และโจมตีได้หลายแพลตฟอร์ม จึงเหมาะอย่างยิ่งสำหรับการโจมตี

การใช้งาน AdaptixC2 ถูกพบครั้งแรกระหว่างการวิจัยเชิงลึกเกี่ยวกับ CountLoader ซึ่งเป็น malware loader ที่ทำหน้าที่ส่ง payloads ของ AdaptixC2 ที่เป็นอันตรายจากโครงสร้างพื้นฐานที่ผู้โจมตีควบคุมอยู่

นักวิเคราะห์ของ Silent Push ได้ตรวจพบ และติดตามการใช้งานที่เป็นอันตรายเหล่านี้ ต่อมาจึงได้สร้าง signatures การตรวจจับโดยเฉพาะเพื่อระบุภัยคุกคามทั้งสองรายการ

หลังจากการใช้มาตรการป้องกันเหล่านี้ รายงานสาธารณะหลายฉบับได้แสดงให้เห็นถึงการใช้งาน AdaptixC2 ที่เพิ่มขึ้นอย่างรวดเร็วในกลุ่มเครือข่ายแรนซัมแวร์ โดยเฉพาะกลุ่มที่เชื่อมโยงกับปฏิบัติการอย่าง Akira

การโจมตีครั้งนี้ ได้ส่งผลกระทบต่อองค์กรกว่า 250 แห่งนับตั้งแต่เดือนมีนาคม 2023 และถูกกล่าวหาว่าเรียกค่าไถ่ไปได้ถึง 42 ล้านดอลลาร์

นักวิจัยของ Silent Push ตั้งข้อสังเกตว่า การละเมิด AdaptixC2 ที่ทวีความรุนแรงขึ้นเรื่อย ๆ เผยให้เห็นถึงภัยคุกคามที่ซับซ้อนซึ่งใช้เครื่องมือสำหรับนักพัฒนาที่ถูกกฎหมาย เพื่อปกปิดเจตนาที่เป็นอันตรายของตน

เฟรมเวิร์กนี้มีความสามารถ post-exploitation ซึ่งช่วยให้ผู้โจมตีสามารถสร้าง command channels ที่แฝงตัวอยู่อย่างถาวร สั่งรันคำสั่งอันตรายบนระบบที่ถูกเจาะ และทำการ lateral movement ภายในเครือข่ายเป้าหมาย

ระบบรองรับ listener หลายประเภท รวมถึงโปรโตคอล mTLS, HTTP, SMB และ BTCP ซึ่งช่วยให้ผู้โจมตีมีช่องทางการสื่อสารที่หลากหลาย ทำให้การตรวจจับ และการเฝ้าระวังผ่านเครือข่ายมีความซับซ้อนยิ่งขึ้น

ความเชื่อมโยงใต้ดินของรัสเซีย และการระบุแหล่งที่มาของผู้พัฒนา

การสืบสวนที่มาของเฟรมเวิร์กนี้เปิดเผยความเชื่อมโยงที่สำคัญกับเครือข่ายอาชญากรใต้ดินของรัสเซีย

บุคคลที่ใช้นามแฝงว่า “RalfHacker” ดูเหมือนจะเป็นผู้พัฒนาหลักที่อยู่เบื้องหลัง AdaptixC2 โดยดูแล project ผ่าน GitHub commits อย่างสม่ำเสมอ และดูแลช่องทาง Telegram ภาษารัสเซียสำหรับขายเฟรมเวิร์กนี้

งานวิจัยของ OSINT พบบัญชีอีเมลที่เชื่อมโยงกับบัญชีของ RalfHacker ซึ่งรวมถึงการอ้างอิงในฐานข้อมูลที่รั่วไหลออกมาจากฟอรัมแฮ็กเกอร์ที่มีชื่อเสียง เช่น RaidForums ซึ่งเป็นการสร้างความเชื่อมโยงที่น่าเชื่อถือไปยังชุมชนอาชญากรไซเบอร์ที่จัดตั้งเป็นองค์กร

ช่องทาง Telegram ของผู้พัฒนารายนี้สื่อสารเป็นภาษารัสเซียเป็นส่วนใหญ่ โดยโฆษณาการอัปเดตเฟรมเวิร์กพร้อมแฮชแท็กที่อ้างอิงถึง Active Directory, กลยุทธ์แบบ APT และเนื้อหาที่เกี่ยวข้องกับ ATM ซึ่งตอกย้ำความเชื่อมโยงกับเครือข่ายผู้โจมตีจากรัสเซียที่กำลังใช้แพลตฟอร์มนี้ในปฏิบัติการแรนซัมแวร์

ที่มา : cybersecuritynews

 

 

Progress Software ออกแพตช์อัปเดตความปลอดภัยเพื่อแก้ไขช่องโหว่ระดับความรุนแรงสูงที่ส่งผลกระทบต่อ MOVEit Transfer ซึ่งเป็นโซลูชันการถ่ายโอนไฟล์ระดับองค์กรที่ถูกใช้กันอย่างแพร่หลาย

ช่องโหว่นี้มีหมายเลข CVE-2025-10932 มีคะแนน CVSS อยู่ที่ 8.2 และส่งผลกระทบต่อ AS2 Module ในผลิตภัณฑ์หลายเวอร์ชัน

ช่องโหว่ Uncontrolled resource consumption ใน AS2 Module ของ MOVEit Transfer อาจทำให้ผู้โจมตีสามารถ disrupt การทำงานของ service โดยการใช้ resources ของระบบจนหมด

ช่องโหว่นี้พบในเวอร์ชัน 2025.0.0 ถึง 2025.0.2, 2024.1.0 ถึง 2024.1.6 และ 2023.1.0 ถึง 2023.1.15 ด้วยช่องทางการโจมตีที่เข้าถึงได้ผ่านเครือข่าย โดยไม่จำเป็นต้องมีการยืนยันตัวตน หรือการโต้ตอบจากผู้ใช้ ทำให้องค์กรที่ใช้เวอร์ชันที่ได้รับผลกระทบมีความเสี่ยงสูงต่อการหยุดทำงานของ service และการถูกโจมตี (more…)

การอัปเดตเฟิร์มแวร์ล่าสุดที่ถูกส่งไปยังอุปกรณ์ QNAP Network Attached Storage (NAS) ทำให้ผู้ดูแลระบบหลายรายไม่สามารถเข้าถึงระบบจัดเก็บข้อมูลของตนได้ บริษัทได้ถอนการอัปเดตเฟิร์มแวร์ และปล่อยเวอร์ชันที่ได้รับการแก้ไขแล้ว แต่การตอบสนองของบริษัททำให้บางผู้ (more…)

Zyxel ออกมาแจ้งเตือนเกี่ยวกับการพบกลุ่มแรนซัมแวร์ที่กำลังใช้ประโยชน์จากช่องโหว่ Command Injection ที่เพิ่งได้รับการแก้ไขในแพตช์ล่าสุดบน Firewall และมีหมายเลข CVE-2024-42057 ซึ่งช่องโหว่นี้ถูกใช้เป็นการโจมตีเพื่อเข้าสู่ระบบในเบื้องต้น (more…)

VMware ซึ่งเป็นผู้ให้บริการซอฟต์แวร์คลาวด์คอมพิวติ้ง และ virtualization software ได้เปิดเผยช่องโหว่ระดับ Critical หลายรายการในผลิตภัณฑ์ Aria Operations โดยช่องโหว่ที่อันตรายที่สุดเป็นช่องโหว่ที่ทำให้ผู้โจมตีสามารถยกระดับสิทธิ์เป็น root บนระบบที่มีช่องโหว่ได้ (more…)