สำนักงานความมั่นคงแห่งชาติ (NSA) และหน่วยงานรักษาความปลอดภัยทางไซเบอร์ และโครงสร้างพื้นฐาน (CISA) ได้เปิดเผยรายงานการค้นพบการตั้งค่าที่ไม่ปลอดภัยที่พบบ่อยที่สุด 10 อันดับ ซึ่งถูกพบโดย Red และ Blue Team ของบริษัทชั้นนำในโลก และหน่วยงานของรัฐบาล

รวมไปถึงรายงานดังกล่าวยังให้ข้อมูลเกี่ยวกับ กลยุทธ์ เทคนิค และขั้นตอน (TTP) ที่ Hacker นำการตั้งค่าที่ไม่ปลอดภัยไปใช้ร่วมกับการโจมตีอย่างหลากหลาย เช่น การเข้าถึงระบบ (Initial Access), การแพร่กระจายไปในระบบ (Lateral Movement) และการขโมยข้อมูลที่สำคัญ (Exfiltration) โดยข้อมูลเหล่านี้ได้มาจากผลการวิเคราะห์ในระหว่างการตอบสนองต่อเหตุการณ์ หรือ Incident Response

(more…)

MITRE เปิดเผยรายงานรายชื่อจุดอ่อนของซอฟต์แวร์ที่อันตรายที่สุด 25 อันดับแรกที่เกิดขึ้นในระหว่างปี 2021-2022 โดยจุดอ่อนของซอฟต์แวร์ ครอบคลุมปัญหาต่าง ๆ มากมาย ไม่ว่าจะเป็น ข้อบกพร่อง จุดบกพร่อง ช่องโหว่ และข้อผิดพลาดในโค้ด ระบบสถาปัตยกรรม การนำไปใช้ หรือการ (more…)

NSA และ FBI แจ้งเตือนการพบ Kimsuky (a.k.a APT43) กลุ่ม Hacker ชาวเกาหลีเหนือที่ได้รับการสนับสนุนจากรัฐ ได้ปลอมตัวเป็นนักข่าว และนักวิชาการ แล้วใช้การโจมตีแบบ spear-phishing เพื่อรวบรวมข้อมูลข่าวกรองจากองค์กรด้านนวัตกรรม ศูนย์วิจัย สถาบันการศึกษา และองค์กรสื่อต่าง ๆ

โดยการแจ้งเตือนดังกล่าวมาจากการที่หน่วยงานรัฐบาลหลายแห่งในสหรัฐอเมริกา และเกาหลีใต้ ซึ่งกำลังติดตามปฏิบัติการของ Hacker กลุ่มดังกล่าว รวมถึงวิเคราะห์รูปแบบการโจมตีของกลุ่ม ทั้งนี้หน่วยงานต่าง ๆ ที่ออกมาแจ้งเตือนประกอบไปด้วย ที่ปรึกษาร่วมจากสำนักงานสืบสวนกลางแห่งสหรัฐอเมริกา (FBI) กระทรวงการต่างประเทศสหรัฐฯ สำนักงานความมั่นคงแห่งชาติ (NSA) ร่วมกับหน่วยข่าวกรองแห่งชาติของเกาหลีใต้ (NIS) สำนักงานตำรวจแห่งชาติ (NPA) และกระทรวงการต่างประเทศ (MOFA)

Kimsuky นอกจากมีชื่อ APT43 แล้ว ยังเป็นที่รู้จักในชื่อ Thallium และ Velvet Chollima ได้ดำเนินแคมเปญจารกรรมขนาดใหญ่ ที่ได้รับการสนับสนุนจากหน่วยงานข่าวกรอง และสำนักงานลาดตระเวนทั่วไป (RGB) ของเกาหลีเหนือมาตั้งแต่ปี 2012 เป็นอย่างน้อย

การโจมตีด้วย Spear-phishing ที่ปลอมตัวเป็นนักข่าว

Kimsuky ได้เริ่มต้นการโจมตีด้วย spear-phishing โดยใช้ที่อยู่อีเมลที่ใกล้เคียงกับบุคคลจริง และสร้างเนื้อหาที่น่าเชื่อถือ และสมจริงสำหรับการสื่อสารกับเป้าหมาย ในหัวข้อต่าง ๆ ที่สังเกตได้ ได้แก่ การสอบถาม, การเชิญสัมภาษณ์, การสำรวจที่กำลังดำเนินอยู่ และการขอรายงาน หรือการตรวจสอบเอกสาร ซึ่งใน phishing Email จะเริ่มต้นโดยไม่มีมัลแวร์ หรือไฟล์แนบใด ๆ เนื่องจากต้องการได้รับความไว้วางใจจากเป้าหมาย หากเป้าหมายไม่ตอบกลับอีเมลเหล่านี้ Kimsuky จะกลับมาพร้อมข้อความติดตามหลังจากผ่านไปสองสามวัน

ทาง FBI พบว่าในอีเมลภาษาอังกฤษก็มีโครงสร้างประโยค และอาจมีข้อความที่ตัดตอนมาจากการสื่อสารครั้งก่อนของเหยื่อกับผู้ติดต่อที่ถูกต้องซึ่งถูกขโมยไป รวมถึงเมื่อเป้าหมายเป็นชาวเกาหลีใต้ ข้อความฟิชชิ่งอาจมีภาษาถิ่นของเกาหลีเหนือที่แตกต่างกัน นอกจากนี้ยังพบว่าที่อยู่ที่ใช้ในการส่งอีเมลฟิชชิ่งจะปลอมแปลงเป็นของบุคคล หรือหน่วยงานที่ถูกต้องตามกฎหมาย แต่มักจะมีการสะกดผิดเล็กน้อย

การป้องกัน Kimsuky

ทั้งนี้หน่วยงานต่างๆ ที่ออกมาแจ้งเตือน ได้ให้คำแนะนำในการป้องกันการโจมตีจาก Kimsuky ไว้ว่า

ควรมีชุดมาตรการลดผลกระทบ ซึ่งรวมถึงการใช้รหัสผ่านที่รัดกุมเพื่อป้องกันบัญชี และเปิดใช้งาน multi-factor authentication (MFA)
ผู้ใช้ไม่ควรเปิดใช้งาน Macro ในเอกสารในอีเมลที่ส่งโดยบุคคลที่ไม่รู้จัก
ตรวจสอบเอกสารที่ส่งจากบริการ cloud hosting services ที่รู้จักเท่านั้น
เมื่อมีข้อสงสัยเกี่ยวกับข้อความที่อ้างว่ามาจากกลุ่มสื่อหรือนักข่าว โปรดไปที่เว็บไซต์อย่างเป็นทางการขององค์กรนั้น และยืนยันความถูกต้องของข้อมูลติดต่อ

 

ที่มา : bleepingcomputer

คำแนะนำด้านความปลอดภัยโดยหน่วยงานความปลอดภัยทางไซเบอร์ระดับชาติหลายแห่ง ซึ่งเปิดเผยรายงาน 10 อันดับ attack vectors ที่ผู้โจมตีนำไปใช้มากที่สุด

คำแนะที่ร่วมกันเผยแพร่โดยหน่วยงานจากประเทศสหรัฐอเมริกา แคนาดา นิวซีแลนด์ เนเธอร์แลนด์ และสหราชอาณาจักร รวมถึงคำแนะนำในการบรรเทาผลกระทบ, การตั้งค่าความปลอดภัยที่ไม่เข้มงวด และแนวทางปฏิบัติที่ไม่เหมาะสม

ผู้โจมตีมักใช้ประโยชน์จากการตั้งค่าความปลอดภัยที่ไม่เข้มงวด (ไม่ว่าจะกำหนดค่าผิด หรือไม่ปลอดภัย) และแนวทางปฏิบัติทางไซเบอร์ที่ไม่เหมาะสมอื่นๆ ผู้โจมตียังมีเทคนิคที่ใช้เป็นประจำเพื่อเข้าถึงเครือข่ายของเหยื่อในเบื้องต้น รวมถึงการใช้ประโยชน์จากแอปพลิเคชั่นที่เข้าถึงได้โดยตรงจากอินเทอร์เน็ต การใช้ประโยชน์จากการเปิดให้ remote ได้โดยตรงจากภายนอก ฟิชชิ่ง การไว้วางใจบริษัท partners หรือ third party มากจนเกินไป รวมไปถึงการใช้ข้อมูล credentials ที่ถูกขโมยมา

(more…)

ช่องโหว่ทั้งหมดเป็นช่องโหว่การรันคำสั่งอันตราย (RCE) ประกอบด้วย CVE-2021-28480 (CVSS 9.8/10), CVE-2021-28481 (CVSS 9.8/10), CVE-2021-28482 (CVSS 8.8/10) และ CVE-2021-28483 (CVSS 9/10) โดยมีเพียงช่องโหว่เดียว (CVE-2021-28483) ที่สามารถโจมตีได้เฉพาะภายในระบบเครือข่ายที่อยู่ในวงเดียวกัน (Attack Vector: Adjacent) นอกจากนั้นอีก 3 รายการ สามารถโจมตีโดยตรงจากระบบเครือข่ายภายนอกได้ (Attack Vector: Network)

อย่างไรก็ตามในเวลาเดียวกัน Microsoft ก็ได้ปล่อยแพทช์สำหรับแก้ไขช่องโหว่ดังกล่าวออกมาใน Tuesday Patch รอบนี้ด้วย องค์กรไหนที่มีการใช้งาน Exchange Server ที่ยังเป็น On-premise หรือ Hybrid อยู่ ควรทำการอัพเดตเครื่องให้เป็นเวอร์ชั่นล่าสุดทันที โดยสามารถศึกษาวิธีการอัพเดต และ script สำหรับใช้ตรวจสอบการแพทช์ได้จากลิงก์ด้านล่าง

https://techcommunity.

กลุ่ม Cyber Unified Coordination Group (UCG) ซึ่งเป็นการจัดตั้งขึ้นโดยการรวม FBI, CISA, ODNI และ NSA เฉพาะกิจได้มีการออกแถลงการณ์ยืนยันว่าการโจมตีที่เกิดขึ้นนั้นอาจมีชาวรัสเซียหรือผู้ที่ใช้ภาษารัสเซียเป็นหลักอยู่เบื้องหลัง

นอกเหนือจากการเปิดเผยข้อยืนยันในส่วนของผู้อยู่เบื้องหลังการโจมตีแล้ว UCG ยังออกมาเปิดเผยถึงหน่วยงานรัฐฯ ที่ได้รับผลกระทบว่ามีน้อยกว่า 10 ราย แม้จะมีการระบุจาก SolarWinds แก่ SEC ว่ามีองค์กรที่ดาวโหลดอัปเดตที่มีมัลแวร์ไปกว่า 18,000 ราย ข้อเท็จจริงนี้มีความเป็นไปได้สูงด้วยกลไกการทำงานของมัลแวร์ SUNBURST ที่ทำให้ผู้โจมตีสามารถเลือกเป้าหมายที่ติดมัลแวร์เพื่อโจมตีต่อไปได้

UCG เชื่อว่าเป้าหมายของการโจมตีนั้นมีจุดประสงค์เพื่อการรวบรวมข้อมูลข่าวกรอง ซึ่งอาจทำให้เราสามารถอนุมานได้ว่าผู้ที่อยู่เบื้องหลังการโจมตีจะสามารถใช้ประโยชน์จากข้อมูลข่าวกรองได้ ซึ่งก็หมายถึงหน่วยความข่าวกรองซึ่งเป็นปฏิปักษ์ต่อสหรัฐอเมริกานั่นเอง

ที่มา: www.

เปิดประเทศก็พอ ไม่ต้องเปิดระบบให้เขาเข้ามา! NSA ออกรายงานช่องโหว่ซึ่งมักถูกใช้โดยกลุ่มแฮกเกอร์จีนในการโจมตีระบบ

NSA ออก Cybersecurity Advisory เมื่อวันอังคารที่ผ่านมาโดยมีเนื้อหาเป็นการรวบรวมและแจ้งเตือนช่องโหว่ซึ่งมักถูกใช้โดยกลุ่มแฮกเกอร์ที่ถูกสนับสนุนโดยรัฐบาลจีนในการโจมตี พร้อมคำแนะนำในการรับมือและความเสี่ยงในการถูกโจมตีด้วย

ช่องโหว่ที่ถูกระบุในรายงานมีทั้งสิ้น 25 ช่องโหว่ โดยมีการระบุถึงช่องโหว่ชื่อดังอย่าง CVE-2019-19781 ใน Citrix ADC ซึ่งถูกใช้ทั้งจากกลุ่มแฮกเกอร์ที่รัฐบาลจีนสนับสนุนและกลุ่มแฮกเกอร์ที่รัฐบาลอิหร่านสนับสนุน แนะนำให้ตรวจสอบรายงานดังกล่าวและดำเนินการตามความเหมาะสมเพื่อลดผลกระทบจากการถูกโจมตีโดยช่องโหว่เหล่านี้

ที่มา : CISA

สำนักงานความมั่นคงแห่งชาติสหรัฐฯ (National Security Agency - NSA) ออกคู่มือใหม่ในการตั้งค่า UEFI Secure Boot เพื่อป้องกันการถูกโจมตีในระดับเฟิร์มแวร์ เช่น การฝังมัลแวร์ในส่วนเฟิร์มแวร์ก่อนที่ OS จะเริ่มทำงาน รวมไปถึงการโจมตีด้วยช่องโหว่ BootHole (CVE-2020-10713)

การโจมตีในระดับเฟิร์มแวร์ไม่ใช่เรื่องที่ไกลเกินจริง ด้วยลักษณะของเฟิร์มแวร์ที่จะต้องถูกเปิดทำงานก่อนระบบปฏิบัติการ และความยากที่ซอฟต์แวร์ Antivirus และ EDR บางประเภทจะตรวจสอบพบ มัลแวร์ในกลุ่ม Bootkit จึงกำลังได้รับความนิยมมากขึ้นในปฏิบัติการจริง ในปัจจุบันมีการตรวจพบมัลแวร์กลุ่ม Bootkit ชื่อ Lojax ซึ่งถูกใช้โดยกลุ่มแฮกเกอร์รัสเซีย Fancy Bear หรือ APT28 แล้ว

ในภาพรวม NSA แนะนำให้คอมพิวเตอร์ที่ต้องการความปลอดภัยต่อมัลแวร์ประเภทนี้จริงๆ ให้

หยุดใช้ BIOS หรือ UEFI-CSM ซึ่งเป็นรุ่นเก่า และเปลี่ยนไปใช้ UEFI native แทน
เปิด Secureboot เสมอและตั้งค่าให้บันทึกการเปลี่ยนแปลงระดับเฟิร์มแวร์
อัปเดตเฟิร์มแวร์ให้บ่อยเท่ากับที่อัปเดตระบบ
เปิดใช้ TPM เพื่อช่วยเช็คและยืนยันความถูกต้องของเฟิร์มแวร์และการตั้งค่า Secure Boot

หากใน Threat model ใครมีโอกาสจะเจอภัยคุกคามในลักษณะนี้ เช่น เป็นสายลับให้กับรัฐบาล หรือเป็นเป้าหมายของการโจมตีของแฮกเกอร์จากประเทศอื่น แนะนำให้อ่านคู่มือฉบับเต็มได้ที่ https://media.

เมื่ออาทิตย์ที่ผ่านมา FBI และ NSA ได้มีการเปิดเผยการแจ้งเตือนซึ่งเป็นผลมาจากการทำงานร่วมกันของทั้งสองหน่วยงาน โดยเป็นการแจ้งเตือนและผลการวิเคราะห์มัลแวร์ตัวใหม่บน Linux "Drovorub" อ้างอิงจากรายงานของทั้งสองหน่วยงาน มัลแวร์ Drovorub ถูกตรวจจับว่ามีการใช้งานในการโจมตีจริงแล้ว และเชื่อมโยงกลับไปยังกลุ่มแฮกเกอร์ APT28 หรือ Fancy Bear ที่มีรัฐบาลรัสเซียหนุนหลัง

การวิเคราะห์มัลแวร์ Drovorub บ่งชี้ให้เห็นศักยภาพที่หลากหลายของมัลแวร์ ตัวมัลแวร์เองถูกออกแบบมาให้เป็น kernel module rootkit แต่ยังมีฟังก์ชันการทำงานเช่นเดียวกับโทรจันโดยทั่วไป อาทิ การรับส่งไฟล์และการสร้างช่องทางลับเพื่อการ pivoting ด้วยลักษณะของการเป็น rootkit ระดับ kernel มัลแวร์ Drovorub จะมีการซ่อนตัวเองจากความพยายามในการค้นหาโปรเซส, ไฟล์, socket หรือพฤติกรรมการทำงานต่างๆ ผ่านการ hook หรือเป็นลอจิคการทำงานของโปรแกรม เช่น เมื่อผู้ใช้งานมีการใช้คำสั่ง ps เพื่อดูรายการโปรเซส มัลแวร์ Drovorub จะทำการแก้ไขผลลัพธ์อยู่เบื้องหลังเพื่อทำให้โปรเซสที่เกี่ยวข้องกับมัลแวร์ไม่แสดงในผลลัพธ์ของคำสั่ง

นอกเหนือจากการวิเคราะห์การทำงาน รายงานร่วมของ FBI และ NSA ยังพูดถึงวิธีในการตรวจจับการทำงานของมัลแวร์ทั้งในมุม network และ endpoint รวมไปถึงการทำ memory analysis เพื่อตรวจหาการมีอยู่ของมัลแวร์ รวมไปถึงคำแนะนำจากทั้งสองหน่วยงานในการป้องกันและลดผลกระทบ ผู้ที่สนใจสามารถอ่านเพิ่มเติมได้จากรายงานของ FBI และ NSA (media.

กลุ่มแฮกเกอร์รัสเซียกำหนดเป้าหมายมุ่งโจมตีสถาบันพัฒนาวัคซีนต้านไวรัส COVID-19 ด้วยมัลแวร์

ศูนย์รักษาความปลอดภัยไซเบอร์แห่งชาติของสหราชอาณาจักร หรือ National Cyber Security Centre (NCSC) ได้เปิดเผยถึงรายละเอียดของกลุ่มเเฮกเกอร์รัสเซียซึ่งได้ทำการโจมตีองค์กรที่เกี่ยวข้องในการวิจัยและพัฒนาวัคซีนต่อต้าน Coronavirus หรือ COVID-19 ซึ่งกิจกรรมการโจมตีดังกล่าวกำลังถูกดำเนินการด้วยกลุ่มภัยคุกคาม APT29

รายงานดังกล่าวประกอบด้วยข้อมูลจากหลายแหล่งซึ่งเป็นความพยายามร่วมมือกันของศูนย์รักษาความปลอดภัยไซเบอร์แห่งชาติของสหราชอาณาจักร (NCSC), สำนักงานความมั่นคงด้านการสื่อสารของแคนาดา (CSE), สำนักงานความมั่นคงแห่งชาติสหรัฐอเมริกา (NSA) และ หน่วยงานด้านความมั่นคงปลอดภัยและโครงสร้างพื้นฐานทางไซเบอร์ (CISA ) โดยรายละเอียดของรายงานพบว่ากลุ่ม Cozy Bear นั้นพยายามทำการ Spear Phishing รวมไปถึงการใช้ประโยชน์จากช่องโหว่ Citrix (CVE-2019-19781), Pulse Secure (CVE-2019-11510), Fortigate (CVE-2019-13379) และ Zimbra Collaboration Suite (CVE-2019-9670)

รายงานยังกล่าวอีกว่าหลังจากกลุ่มเเฮกเกอร์สามารถเข้าถึงเครือข่ายภายในองค์กรที่ตกเป็นเหยื่อแล้วพวกเขาจะทำการดาวน์โหลดและติดตั้งมัลแวร์ SoreFang, WellMess และ WellMail

ผู้ดูแลระบบควรทำการรีบอัพเดตเเพตซ์การเเก้ไขช่องโหว่ที่กล่าวมาข้างต้นเพื่อป้องกันการโจมตีและการหาประโยชน์จากช่องโหว่ โดยกลุ่มผู้ประสงค์ร้ายต่างๆ ทั้งนี้ผู้ที่สนใจ IOCs ของมัลแวร์ข้างต้นสามารถเข้าไปดูรายละเอียดได้ที่: ncsc.