FBI, CISA และ NSA เปิดเผยช่องโหว่ที่ถูกโจมตีมากที่สุดในปี 2023

หน่วยงานด้านความปลอดภัยทางไซเบอร์ของ FBI, NSA และ Five Eyes ได้เผยแพร่รายชื่อช่องโหว่ที่ถูกใช้ในการโจมตีอยู่อย่างต่อเนื่อง 15 อันดับแรกตลอดทั้งปีที่ผ่านมา ซึ่งส่วนใหญ่ถูกโจมตีครั้งแรกในลักษณะ zero-day (more…)

NSA และ CISA เปิดเผยรายงาน 10 อันดับของการตั้งค่าที่ไม่ปลอดภัยบนระบบ

สำนักงานความมั่นคงแห่งชาติ (NSA) และหน่วยงานรักษาความปลอดภัยทางไซเบอร์ และโครงสร้างพื้นฐาน (CISA) ได้เปิดเผยรายงานการค้นพบการตั้งค่าที่ไม่ปลอดภัยที่พบบ่อยที่สุด 10 อันดับ ซึ่งถูกพบโดย Red และ Blue Team ของบริษัทชั้นนำในโลก และหน่วยงานของรัฐบาล

รวมไปถึงรายงานดังกล่าวยังให้ข้อมูลเกี่ยวกับ กลยุทธ์ เทคนิค และขั้นตอน (TTP) ที่ Hacker นำการตั้งค่าที่ไม่ปลอดภัยไปใช้ร่วมกับการโจมตีอย่างหลากหลาย เช่น การเข้าถึงระบบ (Initial Access), การแพร่กระจายไปในระบบ (Lateral Movement) และการขโมยข้อมูลที่สำคัญ (Exfiltration) โดยข้อมูลเหล่านี้ได้มาจากผลการวิเคราะห์ในระหว่างการตอบสนองต่อเหตุการณ์ หรือ Incident Response

(more…)

MITRE เปิดเผยรายชื่อจุดอ่อนของซอฟต์แวร์ที่อันตรายที่สุด 25 อันดับแรก

MITRE เปิดเผยรายงานรายชื่อจุดอ่อนของซอฟต์แวร์ที่อันตรายที่สุด 25 อันดับแรกที่เกิดขึ้นในระหว่างปี 2021-2022 โดยจุดอ่อนของซอฟต์แวร์ ครอบคลุมปัญหาต่าง ๆ มากมาย ไม่ว่าจะเป็น ข้อบกพร่อง จุดบกพร่อง ช่องโหว่ และข้อผิดพลาดในโค้ด ระบบสถาปัตยกรรม การนำไปใช้ หรือการ (more…)

NSA และ FBI แจ้งเตือนกลุ่ม Hacker ในชื่อ “Kimsuky” สวมรอยเป็นนักข่าวเพื่อขโมยข้อมูล

NSA และ FBI แจ้งเตือนการพบ Kimsuky (a.k.a APT43) กลุ่ม Hacker ชาวเกาหลีเหนือที่ได้รับการสนับสนุนจากรัฐ ได้ปลอมตัวเป็นนักข่าว และนักวิชาการ แล้วใช้การโจมตีแบบ spear-phishing เพื่อรวบรวมข้อมูลข่าวกรองจากองค์กรด้านนวัตกรรม ศูนย์วิจัย สถาบันการศึกษา และองค์กรสื่อต่าง ๆ

โดยการแจ้งเตือนดังกล่าวมาจากการที่หน่วยงานรัฐบาลหลายแห่งในสหรัฐอเมริกา และเกาหลีใต้ ซึ่งกำลังติดตามปฏิบัติการของ Hacker กลุ่มดังกล่าว รวมถึงวิเคราะห์รูปแบบการโจมตีของกลุ่ม ทั้งนี้หน่วยงานต่าง ๆ ที่ออกมาแจ้งเตือนประกอบไปด้วย ที่ปรึกษาร่วมจากสำนักงานสืบสวนกลางแห่งสหรัฐอเมริกา (FBI) กระทรวงการต่างประเทศสหรัฐฯ สำนักงานความมั่นคงแห่งชาติ (NSA) ร่วมกับหน่วยข่าวกรองแห่งชาติของเกาหลีใต้ (NIS) สำนักงานตำรวจแห่งชาติ (NPA) และกระทรวงการต่างประเทศ (MOFA)

Kimsuky นอกจากมีชื่อ APT43 แล้ว ยังเป็นที่รู้จักในชื่อ Thallium และ Velvet Chollima ได้ดำเนินแคมเปญจารกรรมขนาดใหญ่ ที่ได้รับการสนับสนุนจากหน่วยงานข่าวกรอง และสำนักงานลาดตระเวนทั่วไป (RGB) ของเกาหลีเหนือมาตั้งแต่ปี 2012 เป็นอย่างน้อย

การโจมตีด้วย Spear-phishing ที่ปลอมตัวเป็นนักข่าว

Kimsuky ได้เริ่มต้นการโจมตีด้วย spear-phishing โดยใช้ที่อยู่อีเมลที่ใกล้เคียงกับบุคคลจริง และสร้างเนื้อหาที่น่าเชื่อถือ และสมจริงสำหรับการสื่อสารกับเป้าหมาย ในหัวข้อต่าง ๆ ที่สังเกตได้ ได้แก่ การสอบถาม, การเชิญสัมภาษณ์, การสำรวจที่กำลังดำเนินอยู่ และการขอรายงาน หรือการตรวจสอบเอกสาร ซึ่งใน phishing Email จะเริ่มต้นโดยไม่มีมัลแวร์ หรือไฟล์แนบใด ๆ เนื่องจากต้องการได้รับความไว้วางใจจากเป้าหมาย หากเป้าหมายไม่ตอบกลับอีเมลเหล่านี้ Kimsuky จะกลับมาพร้อมข้อความติดตามหลังจากผ่านไปสองสามวัน

ทาง FBI พบว่าในอีเมลภาษาอังกฤษก็มีโครงสร้างประโยค และอาจมีข้อความที่ตัดตอนมาจากการสื่อสารครั้งก่อนของเหยื่อกับผู้ติดต่อที่ถูกต้องซึ่งถูกขโมยไป รวมถึงเมื่อเป้าหมายเป็นชาวเกาหลีใต้ ข้อความฟิชชิ่งอาจมีภาษาถิ่นของเกาหลีเหนือที่แตกต่างกัน นอกจากนี้ยังพบว่าที่อยู่ที่ใช้ในการส่งอีเมลฟิชชิ่งจะปลอมแปลงเป็นของบุคคล หรือหน่วยงานที่ถูกต้องตามกฎหมาย แต่มักจะมีการสะกดผิดเล็กน้อย

การป้องกัน Kimsuky

ทั้งนี้หน่วยงานต่างๆ ที่ออกมาแจ้งเตือน ได้ให้คำแนะนำในการป้องกันการโจมตีจาก Kimsuky ไว้ว่า

ควรมีชุดมาตรการลดผลกระทบ ซึ่งรวมถึงการใช้รหัสผ่านที่รัดกุมเพื่อป้องกันบัญชี และเปิดใช้งาน multi-factor authentication (MFA)
ผู้ใช้ไม่ควรเปิดใช้งาน Macro ในเอกสารในอีเมลที่ส่งโดยบุคคลที่ไม่รู้จัก
ตรวจสอบเอกสารที่ส่งจากบริการ cloud hosting services ที่รู้จักเท่านั้น
เมื่อมีข้อสงสัยเกี่ยวกับข้อความที่อ้างว่ามาจากกลุ่มสื่อหรือนักข่าว โปรดไปที่เว็บไซต์อย่างเป็นทางการขององค์กรนั้น และยืนยันความถูกต้องของข้อมูลติดต่อ

 

ที่มา : bleepingcomputer

หน่วยงานความปลอดภัยทางไซเบอร์เปิดเผยอันดับ initial access attack vectors

คำแนะนำด้านความปลอดภัยโดยหน่วยงานความปลอดภัยทางไซเบอร์ระดับชาติหลายแห่ง ซึ่งเปิดเผยรายงาน 10 อันดับ attack vectors ที่ผู้โจมตีนำไปใช้มากที่สุด

คำแนะที่ร่วมกันเผยแพร่โดยหน่วยงานจากประเทศสหรัฐอเมริกา แคนาดา นิวซีแลนด์ เนเธอร์แลนด์ และสหราชอาณาจักร รวมถึงคำแนะนำในการบรรเทาผลกระทบ, การตั้งค่าความปลอดภัยที่ไม่เข้มงวด และแนวทางปฏิบัติที่ไม่เหมาะสม

ผู้โจมตีมักใช้ประโยชน์จากการตั้งค่าความปลอดภัยที่ไม่เข้มงวด (ไม่ว่าจะกำหนดค่าผิด หรือไม่ปลอดภัย) และแนวทางปฏิบัติทางไซเบอร์ที่ไม่เหมาะสมอื่นๆ ผู้โจมตียังมีเทคนิคที่ใช้เป็นประจำเพื่อเข้าถึงเครือข่ายของเหยื่อในเบื้องต้น รวมถึงการใช้ประโยชน์จากแอปพลิเคชั่นที่เข้าถึงได้โดยตรงจากอินเทอร์เน็ต การใช้ประโยชน์จากการเปิดให้ remote ได้โดยตรงจากภายนอก ฟิชชิ่ง การไว้วางใจบริษัท partners หรือ third party มากจนเกินไป รวมไปถึงการใช้ข้อมูล credentials ที่ถูกขโมยมา

(more…)

NSA ค้นพบช่องโหว่ใหม่ความรุนแรงสูงมาก (Critical) ใน Microsoft Exchange Server เพิ่มเติมอีก 4 รายการ

ช่องโหว่ทั้งหมดเป็นช่องโหว่การรันคำสั่งอันตราย (RCE) ประกอบด้วย CVE-2021-28480 (CVSS 9.8/10), CVE-2021-28481 (CVSS 9.8/10), CVE-2021-28482 (CVSS 8.8/10) และ CVE-2021-28483 (CVSS 9/10) โดยมีเพียงช่องโหว่เดียว (CVE-2021-28483) ที่สามารถโจมตีได้เฉพาะภายในระบบเครือข่ายที่อยู่ในวงเดียวกัน (Attack Vector: Adjacent) นอกจากนั้นอีก 3 รายการ สามารถโจมตีโดยตรงจากระบบเครือข่ายภายนอกได้ (Attack Vector: Network)

อย่างไรก็ตามในเวลาเดียวกัน Microsoft ก็ได้ปล่อยแพทช์สำหรับแก้ไขช่องโหว่ดังกล่าวออกมาใน Tuesday Patch รอบนี้ด้วย องค์กรไหนที่มีการใช้งาน Exchange Server ที่ยังเป็น On-premise หรือ Hybrid อยู่ ควรทำการอัพเดตเครื่องให้เป็นเวอร์ชั่นล่าสุดทันที โดยสามารถศึกษาวิธีการอัพเดต และ script สำหรับใช้ตรวจสอบการแพทช์ได้จากลิงก์ด้านล่าง

https://techcommunity.

กลุ่มรวมยอดมนุษย์ของรัฐบาลสหรัฐฯ Cyber Unified Coordination Group ยืนยันว่าอาจมีชาวรัสเซียหรือผู้ที่ใช้ภาษารัสเซียเป็นหลักอยู่เบื้องหลังการโจมตี SolarWinds เชื่อเป้าหมายคือการรวบรวมข่าวกรอง

กลุ่ม Cyber Unified Coordination Group (UCG) ซึ่งเป็นการจัดตั้งขึ้นโดยการรวม FBI, CISA, ODNI และ NSA เฉพาะกิจได้มีการออกแถลงการณ์ยืนยันว่าการโจมตีที่เกิดขึ้นนั้นอาจมีชาวรัสเซียหรือผู้ที่ใช้ภาษารัสเซียเป็นหลักอยู่เบื้องหลัง

นอกเหนือจากการเปิดเผยข้อยืนยันในส่วนของผู้อยู่เบื้องหลังการโจมตีแล้ว UCG ยังออกมาเปิดเผยถึงหน่วยงานรัฐฯ ที่ได้รับผลกระทบว่ามีน้อยกว่า 10 ราย แม้จะมีการระบุจาก SolarWinds แก่ SEC ว่ามีองค์กรที่ดาวโหลดอัปเดตที่มีมัลแวร์ไปกว่า 18,000 ราย ข้อเท็จจริงนี้มีความเป็นไปได้สูงด้วยกลไกการทำงานของมัลแวร์ SUNBURST ที่ทำให้ผู้โจมตีสามารถเลือกเป้าหมายที่ติดมัลแวร์เพื่อโจมตีต่อไปได้

UCG เชื่อว่าเป้าหมายของการโจมตีนั้นมีจุดประสงค์เพื่อการรวบรวมข้อมูลข่าวกรอง ซึ่งอาจทำให้เราสามารถอนุมานได้ว่าผู้ที่อยู่เบื้องหลังการโจมตีจะสามารถใช้ประโยชน์จากข้อมูลข่าวกรองได้ ซึ่งก็หมายถึงหน่วยความข่าวกรองซึ่งเป็นปฏิปักษ์ต่อสหรัฐอเมริกานั่นเอง

ที่มา: www.

NSA Releases Advisory on Chinese State-Sponsored Actors Exploiting Publicly Known Vulnerabilities

เปิดประเทศก็พอ ไม่ต้องเปิดระบบให้เขาเข้ามา! NSA ออกรายงานช่องโหว่ซึ่งมักถูกใช้โดยกลุ่มแฮกเกอร์จีนในการโจมตีระบบ

NSA ออก Cybersecurity Advisory เมื่อวันอังคารที่ผ่านมาโดยมีเนื้อหาเป็นการรวบรวมและแจ้งเตือนช่องโหว่ซึ่งมักถูกใช้โดยกลุ่มแฮกเกอร์ที่ถูกสนับสนุนโดยรัฐบาลจีนในการโจมตี พร้อมคำแนะนำในการรับมือและความเสี่ยงในการถูกโจมตีด้วย

ช่องโหว่ที่ถูกระบุในรายงานมีทั้งสิ้น 25 ช่องโหว่ โดยมีการระบุถึงช่องโหว่ชื่อดังอย่าง CVE-2019-19781 ใน Citrix ADC ซึ่งถูกใช้ทั้งจากกลุ่มแฮกเกอร์ที่รัฐบาลจีนสนับสนุนและกลุ่มแฮกเกอร์ที่รัฐบาลอิหร่านสนับสนุน แนะนำให้ตรวจสอบรายงานดังกล่าวและดำเนินการตามความเหมาะสมเพื่อลดผลกระทบจากการถูกโจมตีโดยช่องโหว่เหล่านี้

ที่มา : CISA

องค์กรข่าวกรอง NSA แนะนำการป้องกันการถูกฝังมัลแวร์ระดับเฟิร์มแวร์ด้วย Secure Boot

สำนักงานความมั่นคงแห่งชาติสหรัฐฯ (National Security Agency - NSA) ออกคู่มือใหม่ในการตั้งค่า UEFI Secure Boot เพื่อป้องกันการถูกโจมตีในระดับเฟิร์มแวร์ เช่น การฝังมัลแวร์ในส่วนเฟิร์มแวร์ก่อนที่ OS จะเริ่มทำงาน รวมไปถึงการโจมตีด้วยช่องโหว่ BootHole (CVE-2020-10713)

การโจมตีในระดับเฟิร์มแวร์ไม่ใช่เรื่องที่ไกลเกินจริง ด้วยลักษณะของเฟิร์มแวร์ที่จะต้องถูกเปิดทำงานก่อนระบบปฏิบัติการ และความยากที่ซอฟต์แวร์ Antivirus และ EDR บางประเภทจะตรวจสอบพบ มัลแวร์ในกลุ่ม Bootkit จึงกำลังได้รับความนิยมมากขึ้นในปฏิบัติการจริง ในปัจจุบันมีการตรวจพบมัลแวร์กลุ่ม Bootkit ชื่อ Lojax ซึ่งถูกใช้โดยกลุ่มแฮกเกอร์รัสเซีย Fancy Bear หรือ APT28 แล้ว

ในภาพรวม NSA แนะนำให้คอมพิวเตอร์ที่ต้องการความปลอดภัยต่อมัลแวร์ประเภทนี้จริงๆ ให้

หยุดใช้ BIOS หรือ UEFI-CSM ซึ่งเป็นรุ่นเก่า และเปลี่ยนไปใช้ UEFI native แทน
เปิด Secureboot เสมอและตั้งค่าให้บันทึกการเปลี่ยนแปลงระดับเฟิร์มแวร์
อัปเดตเฟิร์มแวร์ให้บ่อยเท่ากับที่อัปเดตระบบ
เปิดใช้ TPM เพื่อช่วยเช็คและยืนยันความถูกต้องของเฟิร์มแวร์และการตั้งค่า Secure Boot

หากใน Threat model ใครมีโอกาสจะเจอภัยคุกคามในลักษณะนี้ เช่น เป็นสายลับให้กับรัฐบาล หรือเป็นเป้าหมายของการโจมตีของแฮกเกอร์จากประเทศอื่น แนะนำให้อ่านคู่มือฉบับเต็มได้ที่ https://media.

FBI และ NSA ร่วมออกรายงานแจ้งเตือนมัลแวร์ตัวใหม่ใน Linux “Drovorub” คาดถูกใช้โดยแฮกเกอร์ที่รัฐบาลรัสเซียหนุนหลัง

เมื่ออาทิตย์ที่ผ่านมา FBI และ NSA ได้มีการเปิดเผยการแจ้งเตือนซึ่งเป็นผลมาจากการทำงานร่วมกันของทั้งสองหน่วยงาน โดยเป็นการแจ้งเตือนและผลการวิเคราะห์มัลแวร์ตัวใหม่บน Linux "Drovorub" อ้างอิงจากรายงานของทั้งสองหน่วยงาน มัลแวร์ Drovorub ถูกตรวจจับว่ามีการใช้งานในการโจมตีจริงแล้ว และเชื่อมโยงกลับไปยังกลุ่มแฮกเกอร์ APT28 หรือ Fancy Bear ที่มีรัฐบาลรัสเซียหนุนหลัง

การวิเคราะห์มัลแวร์ Drovorub บ่งชี้ให้เห็นศักยภาพที่หลากหลายของมัลแวร์ ตัวมัลแวร์เองถูกออกแบบมาให้เป็น kernel module rootkit แต่ยังมีฟังก์ชันการทำงานเช่นเดียวกับโทรจันโดยทั่วไป อาทิ การรับส่งไฟล์และการสร้างช่องทางลับเพื่อการ pivoting ด้วยลักษณะของการเป็น rootkit ระดับ kernel มัลแวร์ Drovorub จะมีการซ่อนตัวเองจากความพยายามในการค้นหาโปรเซส, ไฟล์, socket หรือพฤติกรรมการทำงานต่างๆ ผ่านการ hook หรือเป็นลอจิคการทำงานของโปรแกรม เช่น เมื่อผู้ใช้งานมีการใช้คำสั่ง ps เพื่อดูรายการโปรเซส มัลแวร์ Drovorub จะทำการแก้ไขผลลัพธ์อยู่เบื้องหลังเพื่อทำให้โปรเซสที่เกี่ยวข้องกับมัลแวร์ไม่แสดงในผลลัพธ์ของคำสั่ง

นอกเหนือจากการวิเคราะห์การทำงาน รายงานร่วมของ FBI และ NSA ยังพูดถึงวิธีในการตรวจจับการทำงานของมัลแวร์ทั้งในมุม network และ endpoint รวมไปถึงการทำ memory analysis เพื่อตรวจหาการมีอยู่ของมัลแวร์ รวมไปถึงคำแนะนำจากทั้งสองหน่วยงานในการป้องกันและลดผลกระทบ ผู้ที่สนใจสามารถอ่านเพิ่มเติมได้จากรายงานของ FBI และ NSA (media.