ช่องโหว่ใหม่ในระบบปฏิบัติการ Linux ที่ชื่อว่า 'Looney Tunables' และมีหมายเลข CVE-2023-4911 ทำให้ผู้โจมตีสามารถเข้าถึงสิทธิ์ root ได้โดยการใช้ประโยชน์จากช่องโหว่ buffer overflow ใน dynamic loader ของ GNU C Library

GNU C Library (glibc) คือไลบรารี C ของระบบ GNU และอยู่ในระบบที่ใช้เคอร์เนล Linux โดยส่วนใหญ่ โดยมีฟังก์ชันการทำงานที่จำเป็น รวมถึง system calls ของระบบ เช่น open, malloc, printf, exit และอื่น ๆ ที่จำเป็นสำหรับการทำงานของโปรแกรมทั่วไป

Dynamic loader ใน glibc มีความสำคัญ เนื่องจากทำหน้าที่ในการเตรียมในการเตรียม และการทำงานของโปรแกรมบนระบบ Linux ที่ใช้ glibc

ช่องโหว่นี้ถูกพบโดยนักวิจัยภัยคุกคามทางไซเบอร์จาก Qualys และถูกเปิดเผยออกมาในเดือนเมษายน 2021 ผ่านการเปิดตัว glibc 2.34 ผ่านคำสั่งที่ถูกอธิบายว่าเป็นการแก้ไขพฤติกรรม SXID_ERASE ในโปรแกรม setuid

Saeed Abbasi - Product Manager จาก Qualys ระบุว่า การโจมตีโดยใช้ช่องโหว่นี้ได้สำเร็จจะทำให้ผู้โจมตีได้สิทธิ์ root อย่างเต็มรูปแบบบน distro ที่สำคัญ เช่น Fedora, Ubuntu และ Debian ซึ่งแสดงให้เห็นถึงระดับความรุนแรง และลักษณะที่แพร่หลายของช่องโหว่นี้

แม้ว่าขณะนี้จะยังไม่มีการเปิดเผยโค้ดการโจมตี แต่ความง่ายจากการเปลี่ยน buffer overflow ให้เป็นการโจมตีแบบ data-only ทำให้มีความเป็นไปได้ที่ทีมวิจัยอื่น ๆ อาจจะสามารถสร้าง และเผยแพร่โค้ดของการโจมตีได้ในเร็ว ๆ นี้ จึงทำให้ระบบจำนวนมากตกอยู่ในความเสี่ยง โดยเฉพาะอย่างยิ่งเมื่อมีการใช้งาน glibc อย่างกว้างขวางบน Linux distributions ต่าง ๆ

ผู้ดูแลระบบควรให้ความสำคัญกับการอัปเดตแพตซ์

ช่องโหว่นี้เกิดขึ้นเมื่อมีการประมวลผล GLIBC_TUNABLES environment variable ในการติดตั้งเริ่มต้นของ Debian 12 และ 13, Ubuntu 22.04 และ 23.04 และ Fedora 37 และ 38 (Alpine Linux ซึ่งใช้ musl libc จะไม่ได้รับผลกระทบ)

Red Hat ระบุว่า พบ Buffer Overflow ใน dynamic loader ld.

นักวิจัยด้านความปลอดภัยพบ Malware-as-a-Service (MaaS) ตัวใหม่ชื่อ 'BunnyLoader' ซึ่งมีการโฆษณาขายบนฟอรัมของแฮ็กเกอร์หลายแห่ง โดยระบุว่าเป็น fileless loader ที่สามารถขโมย และแทนที่เนื้อหาของคลิปบอร์ดบนระบบได้

โดยมัลแวร์ตัวนี้กำลังอยู่ระหว่างการพัฒนาอย่างรวดเร็ว โดยมีการอัปเดตเพิ่มฟีเจอร์ใหม่ ๆ และแก้ไขข้อผิดพลาดอย่างต่อเนื่อง ซึ่งปัจจุบันสามารถดาวน์โหลด และเรียกใช้เพย์โหลด บันทึกคีย์ ขโมยข้อมูลสำคัญ และสกุลเงินดิจิทัล และรันคำสั่งจากระยะไกลได้

BunnyLoader เวอร์ชันแรกถูกพบเมื่อวันที่ 4 กันยายน หลังจากนั้นได้มีการเพิ่มฟังก์ชันใหม่ ๆ เช่น กลไกป้องกันการตรวจจับหลายแบบ และความสามารถในการขโมยข้อมูลเพิ่มเติม และมีการปล่อยเวอร์ชันที่สองในช่วงปลายเดือนนี้

นักวิจัยจากบริษัทรักษาความปลอดภัยบนคลาวด์ Zscaler ระบุว่า BunnyLoader กำลังได้รับความนิยมอย่างรวดเร็วในหมู่อาชญากรไซเบอร์ในฐานะมัลแวร์ที่มีฟีเจอร์ที่หลากหลาย และมีราคาถูก

ภาพรวมของ BunnyLoader

แผงควบคุมคำสั่งของ BunnyLoader ช่วยให้แม้แต่อาชญากรไซเบอร์ที่มีทักษะต่ำก็สามารถตั้งค่าเพย์โหลด second-stage เปิดใช้งานการบันทึกคีย์ ขโมยข้อมูล credential การจัดการข้อมูลบนคลิปบอร์ด (เพื่อขโมยสกุลเงินดิจิทัล) และรันคำสั่งระยะไกลบนอุปกรณ์ที่ถูกโจมตีได้

ในรายงานล่าสุด นักวิจัยระบุว่าหลังจากถูกเรียกใช้บนอุปกรณ์ที่ถูกโจมตี BunnyLoader จะสร้างค่าใหม่ใน Windows Registry เพื่อให้สามารถทำงานได้อย่างต่อเนื่อง ซ่อนหน้าต่างตัวเอง ตั้งค่า mutex เพื่อป้องกันการเข้าถึงข้อมูลพร้อมกัน และลงทะเบียนชื่อเหยื่อในแผงควบคุม

มัลแวร์ดำเนินการตรวจสอบหลายรายการเพื่อระบุว่ามันกำลังทำงานบน sandbox หรือ simulated environment อยู่หรือไม่ หากใช่ มัลแวร์จะแสดงข้อผิดพลาดเกี่ยวกับ incompatibility กับระบบ

นอกเหนือจากฟังก์ชันดังกล่าวแล้ว มัลแวร์ยังมีโมดูลสำหรับขโมยข้อมูลที่เก็บไว้ในเว็บเบราว์เซอร์ (รหัสผ่าน บัตรเครดิต ประวัติการเรียกดู) กระเป๋าสกุลเงินดิจิทัล VPNs แอปส่งข้อความ และอื่น ๆ ซึ่งทำหน้าที่เป็นโปรแกรมขโมยข้อมูลทั่วไป

ข้อมูลที่ขโมยมาทั้งหมดจะถูกบีบอัดเป็นไฟล์ ZIP ก่อนที่จะถูกส่งออกไปยังเซิร์ฟเวอร์สั่งการ และควบคุม (C2) ของผู้โจมตี

จากรายงานของนักวิจัย BunnyLoader รองรับการเขียนเพย์โหลดไปยังดิสก์ก่อนที่จะทำการเรียกใช้ และสามารถรันเพย์โหลดจากหน่วยความจำบนระบบ (fileless) โดยใช้เทคนิค process hollowing

การพัฒนาอย่างรวดเร็ว

Zscaler ได้ติดตามการพัฒนา และประกาศต่าง ๆ ของมัลแวร์บนฟอรัมแฮ็กเกอร์หลายแห่ง และพบว่ามัลแวร์นี้ได้รับการอัปเดตหลายครั้งตั้งแต่เปิดตัวครั้งแรก

ไทม์ไลน์ในการพัฒนาของ BunnyLoader

v1.0 (Sept 4): เปิดตัวครั้งแรก
v1.1 (Sept 5): แก้ไขข้อผิดพลาดของไคลเอนต์, เพิ่มการบีบอัดบันทึกข้อมูลก่อนอัปโหลด และเพิ่มคำสั่ง "pwd" สำหรับ reverse shell
v1.2 (Sept 6): ปรับปรุงความสามารถในการขโมยข้อมูลด้วยการกู้คืนประวัติเบราว์เซอร์, การกู้คืนโทเค็นการรับรองความถูกต้องของ NGRok และการรองรับเส้นทางเบราว์เซอร์ Chromium เพิ่มเติม
v1.3 (Sept 9): เพิ่มการกู้คืนข้อมูลบัตรเครดิตสำหรับ 16 ประเภทบัตร และแก้ไขข้อผิดพลาดบน C2
v1.4 (Sept 10): ดำเนินการหลบเลี่ยงโปรแกรมป้องกันไวรัส
v1.5 (Sept 11): เพิ่มความสามารถในการกู้คืน VPN ในการขโมยข้อมูล แก้ไขข้อผิดพลาดของตัวโหลด fileless และเพิ่มประสิทธิภาพในการโหลดบันทึกข้อมูล
v1.6 (Sept 12): เพิ่มเครื่องมือดูประวัติการดาวน์โหลด และเทคนิคป้องกันของ sandbox
v1.7 (Sept 15): ปรับปรุงการหลบเลี่ยงโปรแกรมป้องกันไวรัส
v1.8 (Sept 15): เพิ่มฟังก์ชันการทำงานของ keylogger และแก้ไขข้อผิดพลาดต่าง ๆ
v1.9 (Sept 17): ปรับปรุงโปรแกรมขโมยข้อมูลด้วยความสามารถในการกู้คืนข้อมูลเกม เส้นทางเบราว์เซอร์ Chromium เพิ่มเติม และการกู้คืนเดสก์ทอปวอลเล็ต
v2.0 (Sept 27): อัปเดต GUI ของ C2 แก้ไขช่องโหว่ที่สำคัญ รวมถึง SQL injection และ XSS เพิ่มการตรวจจับการพยายามโจมตีช่องโหว่ และเพิ่มประสิทธิภาพของโปรแกรมขโมยข้อมูล และตัวโหลด fileless ให้ดียิ่งขึ้น

ในปัจจุบัน BunnyLoader ขายในราคา $250 ในขณะที่รุ่น "private stub" ซึ่งมีฟีเจอร์ป้องกันการวิเคราะห์ที่แข็งแกร่งกว่า การฝังตัวในหน่วยความจำ การหลบเลี่ยงโปรแกรมป้องกันไวรัส และกลไกการคงอยู่เพิ่มเติม ขายในราคา $350

ในราคาที่ค่อนข้างต่ำนี้ เมื่อรวมกับการพัฒนาที่รวดเร็ว ทำให้ BunnyLoader เป็นตัวเลือกที่น่าสนใจสำหรับอาชญากรไซเบอร์ ที่กำลังมองหาข้อเสนอพิเศษในระยะแรกสำหรับมัลแวร์รุ่นใหม่ ๆ ก่อนที่จะเป็นที่รู้จัก และมีการเพิ่มราคา

ที่มา : bleepingcomputer.

นักวิจัยด้านความปลอดภัยทางไซเบอร์พบ Advanced Backdoor ที่ยังไม่เคยมีการบันทึกไว้มาก่อนที่ถูกเรียกว่า "Deadglyph" ซึ่งถูกใช้โดยผู้โจมตีที่รู้จักกันในชื่อ "Stealth Falcon"

ESET ระบุในรายงานใหม่ที่แชร์กับ The Hacker News ว่า "โครงสร้างของ Deadglyph เป็นโครงสร้างที่ค่อนข้างผิดปกติ เนื่องจากประกอบด้วยส่วนประกอบที่ทำงานร่วมกัน - ส่วนหนึ่งเป็น x64 binary และอีกส่วนหนึ่งคือ .NET assembly"

การรวมกันลักษณะนี้เป็นเรื่องผิดปกติ เนื่องจากมัลแวร์โดยทั่วไปจะใช้เพียงภาษาโปรแกรมเดียวสำหรับส่วนประกอบต่าง ๆ ความแตกต่างนี้อาจเป็นการบ่งชี้ถึงการพัฒนาส่วนประกอบทั้งสองนี้แยกกัน ในขณะเดียวกันก็ใช้ประโยชน์จากคุณสมบัติเฉพาะของภาษาโปรแกรมที่แตกต่างกัน

การใช้ภาษาโปรแกรมที่แตกต่างกันยังถูกสงสัยว่าเป็นกลยุทธ์ที่จงใจเพื่อป้องกันการวิเคราะห์ ทำให้มีความยากลำบากมากขึ้นในการตรวจสอบ และแก้ไขช่องโหว่

ต่างจาก Backdoor แบบดั้งเดิมที่มีลักษณะคล้ายกัน Backdoor Deadglyph จะรับคำสั่งจากเซิร์ฟเวอร์ที่ผู้โจมตีควบคุมในรูปแบบของโมดูลเพิ่มเติมที่ช่วยให้สร้าง process ใหม่ อ่านไฟล์ และรวบรวมข้อมูลจากระบบที่ถูกบุกรุก

Stealth Falcon (aka FruityArmor) เป็นกลุ่มอาชญากรทางไซเบอร์ที่เชื่อว่ามีรัฐบาลสนับสนุน กลุ่มนี้ถูกพบครั้งแรกโดย Citizen Lab ในปี 2016 โดยเชื่อมโยงกับสปายแวร์แบบที่มุ่งเป้าหมายไปยังประเทศในตะวันออกกลาง โดยมีเป้าหมายเป็นนักข่าว นักเคลื่อนไหว และผู้เห็นต่างในสหรัฐอาหรับเอมิเรตส์

การสืบสวนครั้งต่อมาที่ดำเนินการโดย Reuters ในปี 2019 ได้เปิดเผยการปฏิบัติการลับชื่อ Project Raven ซึ่งเกี่ยวข้องกับกลุ่มอดีตเจ้าหน้าที่ข่าวกรองสหรัฐฯ ที่ได้รับการว่าจ้างจากบริษัทด้านความปลอดภัยไซเบอร์ชื่อ DarkMatter เพื่อสอดแนมเป้าหมายที่วิจารณ์สถาบันกษัตริย์อาหรับ

Stealth Falcon และ Project Raven ถูกเชื่อว่าเป็นกลุ่มเดียวกัน เนื่องจากมีความเชื่อมโยงกันในด้านเทคนิคการโจมตี และเป้าหมาย

กลุ่ม Stealth Falcon ได้ถูกเชื่อมโยงกับการใช้ประโยชน์จากช่องโหว่แบบ zero-day ใน Windows เช่น CVE-2018-8611 และ CVE-2019-0797 โดย Mandiant ระบุในเดือนเมษายน 2020 ว่ากลุ่มผู้โจมตีนี้ "ใช้ช่องโหว่แบบ zero-day ในการโจมตีมากกว่ากลุ่มอื่น ๆ" ในช่วงปี 2016 ถึง 2019

ในช่วงเวลาเดียวกัน ESET ได้อธิบายถึงการใช้ Backdoor ที่มีชื่อว่า Win32/StealthFalcon ซึ่งพบว่าใช้ Windows Background Intelligent Transfer Service (BITS) สำหรับการสื่อสารกับ C2 server และเพื่อให้ได้สิทธิ์ควบคุมอุปกรณ์ปลายทางอย่างสมบูรณ์

ตามรายงานระบุว่า Deadglyph เป็น Backdoor ล่าสุดที่กลุ่ม Stealth Falcon ใช้ โดยได้วิเคราะห์จากการโจมตีหน่วยงานรัฐบาลที่ไม่ระบุชื่อในตะวันออกกลาง

วิธีที่ใช้ในการฝังมัลแวร์ไปยังเป้าหมาย ยังไม่เป็นที่ทราบแน่ชัด แต่ส่วนประกอบเริ่มต้นที่ใช้ในการเริ่มการดำเนินงานของมันคือโปรแกรม loader ของ shellcode ที่ถูกแยก และโหลด shellcode จาก Registry Windows ซึ่งจากนั้นจะเรียกใช้งาน Deadglyph's native x64 module ที่เรียกว่า Executor ของ Deadglyph

จากนั้น Executor จะดำเนินการโหลดส่วนประกอบ .NET ที่เรียกว่า Orchestrator ซึ่งจะสื่อสาร C2 server เพื่อรอรับคำสั่งเพิ่มเติม มัลแวร์ยังมีวิธีการเพื่อหลีกเลี่ยงการตรวจจับ ซึ่งรวมถึงความสามารถในการถอนการติดตั้งตัวเอง

คำสั่งที่ได้รับจากเซิร์ฟเวอร์จะถูกเรียงลำดับไว้เพื่อรอการดำเนินการ และสามารถแบ่งออกเป็นสามประเภท ได้แก่ Orchestrator tasks, Executor tasks และ Upload tasks

ESET รายงานว่า Executor tasks ช่วยให้สามารถจัดการกับ backdoor และเรียกใช้โมดูลเพิ่มเติมได้, Orchestrator tasks ช่วยให้สามารถจัดการการกำหนดค่าของโมดูล Network และ Timer และยังสามารถยกเลิก tasks ที่ค้างอยู่ได้

Executor tasks บางส่วนที่ระบุไว้ประกอบด้วยการสร้าง process การเข้าถึงไฟล์ และการรวบรวม metadata ของระบบ, โมดูล Timer ถูกใช้ในการตรวจสอบเซิร์ฟเวอร์ C2 โดยใช้ร่วมกับโมดูล Network ซึ่งใช้การสื่อสาร C2 โดยใช้การ request ผ่าน HTTPS POST

ส่วน Upload tasks คือการให้สิทธิ์ให้ backdoor สามารถอัปโหลดผลลัพธ์จากคำสั่ง และข้อผิดพลาดได้

ESET รายงานว่าสามารถระบุหน้าจอควบคุม (Control Panel, CPL) ที่ถูกอัปโหลดไปยัง VirusTotal จากประเทศกาตาร์ ซึ่งรายงานว่ามันเป็นจุดเริ่มต้นของการโจมตี multi-stage chain ซึ่งนำไปสู่การดาวน์โหลด shellcode ที่มีความคล้ายกับ Deadglyph

แม้ลักษณะของ shellcode ที่ดึงมาจากเซิร์ฟเวอร์ C2 ยังคงไม่ชัดเจน แต่มีการสรุปว่าอาจจะใช้เป็นตัวติดตั้งสำหรับมัลแวร์ Deadglyph

"Deadglyph ได้รับชื่อมาจากข้อมูลที่พบในตัว backdoor (hexadecimal IDs 0xDEADB001 และ 0xDEADB101 สำหรับโมดูล Timer และการกำหนดค่า) ร่วมกับการใช้การโจมตี homoglyph ที่ปลอมตัวเป็น Microsoft ("Microsoft Corporation") ใน Registry shellcode loader's VERSIONINFO resource.

แฮ็กเกอร์กำลังใช้เทคนิคใหม่ โดยการใช้ตัวอักษรฟอนต์ขนาดศูนย์ในอีเมล เพื่อทำให้อีเมลที่เป็นอันตรายดูเหมือนถูกสแกนอย่างปลอดภัยโดยเครื่องมือรักษาความปลอดภัยใน Microsoft Outlook

แม้ว่าเทคนิคการฟิชชิงแบบ ZeroFont จะเคยถูกใช้มาแล้วในอดีต แต่นี่เป็นครั้งแรกที่มีการบันทึกว่าถูกใช้ในรูปแบบนี้

ในรายงานใหม่ของนักวิเคราะห์จาก ISC Sans ชื่อ Jan Kopriva นักวิจัยเตือนว่าเทคนิคนี้อาจมีผลต่อประสิทธิภาพในการดำเนินการการโจมตีฟิชชิงอย่างมาก และผู้ใช้ควรรับรู้ถึงวิธีการดังกล่าว และการใช้งานในการโจมตีจริง

การโจมตีแบบ ZeroFont

วิธีการโจมตี ZeroFont ซึ่งจัดทำเอกสารโดย Avanan ในปี 2018 เป็นเทคนิคการฟิชชิงที่ใช้ประโยชน์จากช่องโหว่ที่ใช้ AI และnatural language processing (NLP) ในแพลตฟอร์มความปลอดภัยของอีเมล

วิธีการโจมตีนี้เกี่ยวข้องกับการแทรกคำ หรืออักขระที่ซ่อนอยู่ในอีเมลโดยการตั้งค่าขนาดฟอนต์เป็นศูนย์ ซึ่งทำให้เป้าหมายไม่สามารถมองเห็นข้อความนั้นได้ แต่ยังคงอ่านได้ด้วย NLP algorithms

การโจมตีนี้มุ่งเน้นการหลีกเลี่ยงอุปกรณ์ตรวจสอบด้านความปลอดภัยโดยการแทรกคำ หรือข้อความที่ไม่เป็นอันตราย แต่เป็นคำศัพท์ที่มองไม่เห็นลงในเนื้อหาที่เป็นข้อความที่มองเห็นได้ ซึ่งส่งผลให้ AI ตีความเนื้อหา และตรวจสอบความปลอดภัยผิดพลาด

ในรายงานปี 2018 Avanan เตือนว่า ZeroFont สามารถหลีกเลี่ยง Advanced Threat Protection (ATP) ของ Microsoft Office 365 ได้ แม้ว่าอีเมลจะมีคำที่เป็นอันตรายก็ตาม

การซ่อนการสแกนไวรัสปลอม

ในอีเมลฟิชชิ่งตัวใหม่ที่ Kopriva พบ ผู้โจมตีใช้การโจมตีแบบ ZeroFont เพื่อปรับแต่งการแสดงตัวอย่างข้อความบนโปรแกรมอีเมลที่ใช้กันอย่างแพร่หลาย เช่น Microsoft Outlook

อีเมลที่ระบุถึงนั้น แสดงข้อความที่เป็นอันตรายปรากฏขึ้นเป็นข้อความปกติในอีเมลของ Outlook แต่มีเนื้อหาที่แตกต่างกันเมื่อดูตัวอย่างอีเมล

หน้าต่างรายการอีเมลจะแสดงข้อความ 'Scanned and secured by Isc®Advanced Threat protection (APT): 9/22/2023T6:42 AM' ในขณะที่ส่วนเริ่มต้นของอีเมลในมุมมองการดูตัวอย่าง/อ่าน แสดงข้อความว่า 'Job Offer | Employment Opportunity.

ปัจจุบันกลุ่มผู้โจมตีฟิชชิ่งกำลังเปลี่ยนการกำหนดเป้าหมายการโจมตีอีเมลฟิชชิงเป็นกลุ่มพนักงานทั่วไปแทนกลุ่มผู้บริหารระดับสูง เพราะบุคคลกลุ่มนี้ก็ยังเป็นกลุ่มที่สามารถเข้าถึงระบบ หรือข้อมูลที่สำคัญภายในองค์กรได้

จากรายงานของนักวิจัยจาก Avanan พบว่าครึ่งหนึ่งของอีเมลฟิชชิ่งทั้งหมดที่ได้ทำการวิเคราะห์ในช่วงไม่กี่เดือนที่ผ่านมา มีการแอบอ้างเป็นพนักงานทั่วไปของบริษัทโดย 77% ของเป้าหมายในการส่งอีเมลฟิชชิ่ง จะเป็นการส่งไปยังพนักงานในระดับเดียวกัน ซึ่งก่อนหน้านี้ส่วนใหญ่อีเมลฟิชชิ่งจะถูกปลอมแปลงเป็นอีเมลที่ส่งจากผู้บริหารระดับสูง (Chief Executive Officer (CEO)) และ ผู้บริหารสูงสุดทางด้านการเงิน (Chief Financial Officer (CFO)) โดยมีเป้าหมายเพื่อหลอกให้พนักงานทั่วไปในบริษัทให้หลงเชื่อ เนื่องจากเป็นอีเมลที่มาจากผู้บริหารระดับสูง หรือผู้บังคับบัญชาจะยิ่งเพิ่มโอกาสให้ผู้รับหลงเชื่อข้อความในอีเมลเหล่านั้นได้ง่ายขึ้น แต่ปัจจุบันในกลุ่มผู้บริหารระดังสูงมีการเพิ่มความระมัดระวังมากขึ้น และองค์กรขนาดใหญ่มีการเพิ่มการป้องกันความปลอดภัยสำหรับบัญชีที่สำคัญเพิ่มขึ้นอีกด้วย จึงทำให้ผู้โจมตีเปลี่ยนเป้าหมายในการปลอมแปลงอีเมลเป็นกลุ่มของพนักงานทั่วไปแทน

จากรายงานของทาง Avanan ระบุว่าผู้โจมตีใช้เทคนิคในการโจมตีโดยอาศัย Docusign ซึ่งเป็นแพลตฟอร์มระบบจัดการลายมือชื่ออิเล็กทรอนิกส์ หรือ e-Signature ที่สามารถระบุตัวตนผู้ทำธุรกรรมกับเอกสารหรือข้อมูลอิเล็กทรอนิกส์บนคลาวด์ที่ถูกต้องตามกฎหมาย

ผู้โจมตีใช้ DocuSign เป็นทางเลือกเพื่อหลอกลวงให้ผู้รับลงลายมือชื่ออิเล็กทรอนิกส์สำหรับเอกสารจากอีเมลที่ทำการส่ง และขอให้ผู้รับป้อนข้อมูลประจำตัวเพื่อเปิดดูเอกสารและลงชื่อ

แม้ว่าอีเมลจะถูกสร้างมาเพื่อให้ดูเหมือนว่าเป็นข้อความที่ถูกต้องจาก Docusign แต่อีเมลเหล่านั้นไม่ได้ถูกส่งจากแพลตฟอร์ม เพราะหากเป็นอีเมลจริงของ DocuSign ผู้ใช้จะไม่ถูกขอให้ป้อนรหัสผ่าน แต่จะส่งอีเมลรหัสการตรวจสอบสิทธิ์ไปยังผู้รับแทน ด้วยความเร่งรีบในการทำงานประจำวัน มีแนวโน้มว่าพนักงานหลายคนอาจถูกหลอกโดยข้อความเหล่านี้ และเข้าใจว่าข้อความนี้เป็นคำขอจาก DocuSign จริง และทำการป้อนข้อมูลที่สำคัญลงไปทำให้ข้อมูลเหล่านั้นถูกส่งต่อให้กับผู้โจมตี

ดังนั้นเมื่อผู้ใช้ได้รับอีเมล สิ่งสำคัญคือต้องใช้เวลาและประเมินอีเมลเพื่อหาสัญญาณของการหลอกลวง รวมถึงไฟล์แนบที่ไม่พึงประสงค์ การสะกดคำผิด และการคำขอให้ทำการป้อนข้อมูลประจำตัวลงในอีเมลถือว่าเป็นสิ่งสำคัญในการพิจารณา

การโจมตีฟิชชิ่งโดยการอาศัย Docusign นั้นไม่ใช่เรื่องใหม่ และถูกใช้โดยผู้โจมตีจำนวนมากเพื่อขโมยข้อมูลสำหรับการเข้าสู่ระบบ และการแพร่กระจายมัลแวร์ โดยในช่วงเดือนสิงหาคม 2019 ผู้โจมตีใช้ DocuSign landing pages took พยายามหลอกล่อให้ผู้ใช้งานป้อนข้อมูลประจำตัวที่สำคัญสำหรับบริการอีเมลทั้งหมดของผู้ใช้

ที่มา : bleepingcomputer

Extension ที่ช่วยในการบล็อกโฆษณาชื่อ AllBlock Chromium มีการแอบแทรกลิงก์ที่สร้างรายได้ให้กับนักพัฒนาได้

Extension นี้ยังคงมีอยู่ในเว็บสโตร์ของ Chrome และมีการโฆษณาว่าสามารถบล็อกโฆษณาที่ YouTube และ Facebook เพื่อป้องกันป๊อปอัป และเพิ่มความเร็วในการเข้าใช้งานได้ดีขึ้นอีกด้วย

อย่างไรก็ตาม ตามที่นักวิจัยของ Imperva ระบุ Extension นี้แสดงโฆษณาที่หลอกลวง โดยมีการทำให้ URL ที่ถูกต้องเปลี่ยนเส้นทางไปยังลิงก์ที่สร้างรายได้ให้นักพัฒนา

การแทรกโฆษณา หรือลิงก์ลงในหน้าเว็บ ทำให้ผู้หลอกลวงสร้างรายได้จากโฆษณา หรือเปลี่ยนเส้นทางผู้คนไปยังเว็ปไซต์ในเครือข่ายพันธมิตรเพื่อรับค่าตอบแทน

ในเดือนสิงหาคม พ.ศ. 2564 นักวิจัยของ Imperva ค้นพบชุดโดเมนที่เป็นอันตรายที่ไม่เคยพบมาก่อนหน้านี้ถูกกระจายผ่านสคริปต์การแทรกโฆษณา

สคริปต์ที่เป็นอันตรายนี้จะส่ง URL ที่ถูกต้องไปยังเซิร์ฟเวอร์ที่ผู้ไม่หวังดีสร้างขึ้น เพื่อรับการตอบกลับด้วยโดเมนที่เมื่อผู้ใช้งานเผลอคลิกลิงก์ก็จะถูกนำไปสู่เว็ปไซต์อื่นๆ ซึ่งปกติแล้วจะเป็นลิงก์ในเครือข่ายพันธมิตรเพื่อให้นักพํฒนาได้รับค่าตอบแทน

สคริปต์นี้ยังมีเทคนิคการหลีกเลี่ยงการตรวจจับ เช่น ยกเว้นการทำงานใน Search Engine ของประเทศรัสเซีย, ล้างคอนโซลการดีบักทุกๆ 100 ms และตรวจจับตัวแปร Firebug ที่เริ่มต้นใช้งานอยู่

จากการศึกษาในรายละเอียดของ AllBlock ทีมงานของ Imperva พบสคริปต์ที่ชื่อว่า "bg.

หลังจากปล่อย iOS 12.1 ออกมาได้ไม่นาน ก็มีผู้ค้นพบช่องโหว่ที่สามารถผ่าน Passcode ของเครื่อง และสามารถเข้าถึงข้อมูลรายชื่อผู้ติดต่อที่อยู่บนเครื่องที่ถูกล๊อคอยู่ได้

Jose Rodriguez นักวิจัยด้านการรักษาความปลอดภัยของสเปนได้ให้ข้อมูล และยืนยันว่าค้นพบปัญหาที่ช่วยให้สามารถเข้าถึงข้อมูลของผู้ใช้งาน iPhone ในระบบปฏิบัติการ iOS 12.1 เวอร์ชันล่าสุด โดยปัญหานี้อาศัยช่องโหว่จากปัญหาของ Group FaceTime ซึ่งถูกเพิ่มขึ้นมาใหม่ใน iOS 12.1 ช่วยให้ผู้ใช้สามารถแชทวิดีโอกับคนอื่นได้มากกว่า 2 คน และมากสุดถึง 32 คน โดยสามารถผ่าน Passcode ได้แม้ไม่มีการเปิดใช้งาน Siri หรือ VoiceOver screen reader ไว้ ซึ่งแตกต่างและง่ายกว่าการค้นพบก่อนหน้านี้

โดยมีขั้นตอนทดสอบง่ายๆ ดังต่อไปนี้
1. โทรไปยังเครื่องเป้าหมาย หรือถ้าไม่รู้จริงๆ ก็ต้องถามผ่าน Siri หรือคุยผ่าน Siri ให้โทรไปหาเบอร์ของเรา
2. เมื่อโทรติดแล้ว ให้เลือกใช้งาน "Facetime"
3. กดเลือกไปที่ "Add Person"
4. กดเครื่องหมาย + เพื่อเข้าถึงรายชื่อผู้ติดต่อบนเครื่องเป้าหมาย และใช้ 3D Touch เพื่อเลือกดูข้อมูลของรายชื่อผู้ติดต่อแต่ละคน

หรือสามารถดูวิดีโอสาธิตได้จากลิงค์ที่มาด้านล่าง และในส่วนของปัญหานี้ยังไม่ได้รับการแก้ไขจาก Apple แต่อย่างไร

ที่มา : thehackernews

Ron Bowes และ Jeff McJunkin จาก Counter Hack ที่เป็นองค์กรที่จัดการแข่งขันแฮ็ก ได้ค้นพบช่องโหว่ใหม่ใน Cisco's WebEx ผู้โจมตีสามารถรันคำสั่งจากระยะไกลผ่าน WebEx client แม้ว่า WebEx ไม่ได้เปิดการเชื่อมต่อก็ตาม

ช่องโหว่ในการเรียกใช้โค้ดจากระยะไกลเป็นข้อผิดพลาดที่อนุญาตให้ผู้ใช้งานสามารถเชื่อมต่อและรันคำสั่งต่างๆกับแอพพลิเคชั่นที่มีช่องโหว่จากระยะไกลได้ นอกจากนี้ยังสามารถยกระดับสิทธิ์ในการรันคำสั่งได้อีกด้วย ช่องโหว่ดังกล่าวถูกค้นพบในขณะที่นักวิจัยด้านความปลอดภัยทั้งสองกำลังทำ pentest เพื่อหาทางยกสิทธิ์ของ local user โดยได้สังเกตเห็นว่า Cisco WebEx ใช้บริการที่เรียกว่า "WebexService" ที่สามารถถูก start และ stop ได้โดยใครก็ได้ และทำงานภายใต้สิทธิ์ system ทั้งสองได้ตั้งชื่อให้ช่องโหว่นี้ว่า "WebExec"

ทาง Cisco ได้ทำการแก้ไขช่องโหว่ดังกล่าวบน Cisco Webex Productivity Tools ในเวอร์ชัน 33.0.5 และใหม่กว่า และได้ให้รายละเอียดเพิ่มเติมว่า "Cisco Webex Productivity Tools จะได้รับการแทนที่ด้วย Cisco Webex Meetings Desktop App เมื่อมีการปล่อยเวอร์ชัน 33.2.0 ออกมา ผู้ใช้งานสามารถอัปเดตด้วยการเปิดแอปพลิเคชัน Cisco Webex Meetings และเลือกไปที่ "Settings" แล้วเลือก "Check for Updates" จาก drop-down list ซึ่งสามารถดูรายละเอียดเพิ่มเติมได้จากลิงก์ด้านล่าง

ลิงก์ --> [https://collaborationhelp.

Google ได้เปิดตัวเทคโนโลยี reCAPTCHA v3 เป็นเวอร์ชันที่มีการปรับปรุงใหม่ของเทคโนโลยี reCAPTCHA

ข่าวดีก็คือเวอร์ชั่นใหม่นี้ไม่จำเป็นต้องรอให้ผู้ใช้เลือกหรือพิมพ์อะไรเลย ต่างจากใน reCAPTCHA v1 ที่ผู้ใช้ต้องพยายามอ่านข้อความที่ถูกบิดเบือนจากภาพ และใน v2 ที่อาจรู้สึกรำคาญเมื่อต้องคลิกภาพที่ไม่มีที่สิ้นสุดของ "store fronts" "roads" และ "cars" แต่ reCAPTCHA v3 จะใช้เทคโนโลยีที่คิดค้นโดย Google ที่จะเรียนรู้ว่าอะไรคือการเข้าใช้งานเว็บไซต์ตามปกติ และอะไรเป็นพฤติกรรมปกติของผู้ใช้งาน จากการสังเกตว่าผู้ใช้ทั่วไปมีปฏิสัมพันธ์กับเว็บไซต์และส่วนต่างๆของเว็บไซต์อย่างไร Google จะสามารถตรวจพบความผิดปกติ และสามารถระบุได้ว่าเป็นบอทหรือการกระทำที่ผิดปกติหรือไม่

ผู้เข้าชมเว็บไซต์จะได้รับ "risk scores" ตามแหล่งที่มาหรือการกระทำที่พวกเขาทำบนเว็บไซต์ โดยมีคะแนนจาก 0.1 (แย่) ถึง 1 (ดี) ซึ่งผู้ดูแลระบบสามารถตัดสินใจว่าเว็บไซต์ของตนจะตอบสนองตาม risk scores อย่างไร โดยสิ่งที่ผู้ดูแลระบบต้องทำคือเพิ่มแท็ก "action" ใหม่ลงในหน้าเว็บที่ต้องการป้องกัน และจาก risk scores ที่กำหนดไว้จะช่วยให้ผู้ดูแลระบบสามารถตัดสินใจได้ว่าจะให้ทำอย่างไรเมื่อพบการใช้งานที่ต้องสงสัย เช่น ให้พิสูจน์ตัวตน (verification) ผ่านโทรศัพท์ก่อนที่จะอนุญาตให้ดำเนินการต่อไปได้ และ Google ยังได้ระบุว่าเวอร์ชั่นใหม่นี้สามารถถูกนำมาใช้เป็นทางเลือกสำหรับตรวจสอบการใช้งานของเว็บไซต์ที่เป็น local site ได้ด้วย

ทั้งนี้ระบบใหม่นี้จะมีความซับซ้อนมากขึ้นเมื่อเทียบกับ reCAPTCHA v2 แต่เจ้าของเว็บไซต์สามารถทดสอบการใช้งานตั้งแต่เดือนพฤษภาคมที่ผ่านมาแล้ว และประโยชน์ที่เห็นได้ชัดของ reCAPTCHA v3 คือเจ้าของเว็บไซต์สามารถควบคุมและตัดสินใจว่าเว็บไซต์ของตนจะตอบสนองยังไงต่อพฤติกรรมของบอทและการเข้าชมที่ไม่เหมาะสม โดยไม่ต้องให้ Google เป็นคนตัดสินใจให้

reCAPTCHA v3 จะปล่อยให้ใช้งานจริงในปลายสัปดาห์นี้ ผู้สนใจสามารถติดตามข้อมูลได้จากเว็บไซต์ของ Google ตามลิงค์ด้านล่าง

ลิงค์ --> https://webmasters.

นักวิจัยด้านความปลอดภัยจาก NewSky Security ได้ค้นพบบอทเน็ตตัวใหม่ที่ถูกเรียกว่า "DemonBot" บน Apache Hadoop เซิร์ฟเวอร์ที่มีช่องโหว่ เพื่อเตรียมไว้ใช้โจมตีด้วย DDoS ในอนาคต บอทเน็ตดังกล่าวมีความสามารถของ C&C ด้วย ซึ่งขณะนี้พบว่ามีการติดตั้งบนเซิร์ฟเวอร์มากกว่า 70 ตัว

ผู้โจมตีจะทำการสแกนเพื่อค้นหาเซิร์ฟเวอร์ที่มีการติดตั้ง Hadoop ที่มีการใช้งานโมดูลที่ชื่อว่า "YARN" ที่มีการตั้งค่าที่ไม่ถูกต้อง (misconfiguration) YARN ซึ่งย่อมาจาก Yet Another Resource Negotiator เป็นองค์ประกอบหลักของ Apache Hadoop ซึ่งมักถูกใช้ในเครือข่ายองค์กรขนาดใหญ่หรือระบบคลาวด์ เมื่อพบเครื่องเป้าหมายบอตเน็ทจะพยายามใช้ประโยชน์ของ YARN ในการติดตั้ง "บอทเน็ต" ลงในระบบ Hadoop ที่มีช่องโหว่

ทั้งนี้จากรายงานของ Radware ที่เป็นบริษัทด้านความปลอดภัยพบว่า DemonBot กำลังเติบโตขึ้นอย่างรวดเร็วในช่วงเดือนที่ผ่านมา และพบความพยายามเพื่อค้นหา Apache Hadoop ที่มาช่องโหว่ของ YARN มากกว่า 1 ล้านครั้งต่อวัน

ที่มา : zdnet