มัลแวร์ Bumblebee กลับมาอีกครั้งหลังจากถูกขัดขวางจากการบังคับใช้กฎหมายเมื่อไม่นานมานี้

มีการตรวจพบมัลแวร์ Bumblebee ในการโจมตีเมื่อไม่นานมานี้ หลังจากผ่านไปกว่าสี่เดือนที่ Europol ได้มีการขัดขวางการทำงานในปฏิบัติการ Operation Endgame เมื่อเดือนพฤษภาคม (more…)

นักวิจัยค้นพบช่องโหว่ด้านความปลอดภัยที่ร้ายแรงในผู้ให้บริการ Cloud Storage รายใหญ่ที่ใช้การเข้ารหัสแบบ End-to-End (E2EE)

นักวิจัยด้านความปลอดภัยทางไซเบอร์ได้ค้นพบปัญหาด้านการเข้ารหัสที่ร้ายแรงในแพลตฟอร์ม cloud storage ที่ใช้การเข้ารหัสแบบ End-to-End (E2EE) หลายราย ซึ่งอาจถูกโจมตีเพื่อขโมยข้อมูลที่สำคัญได้ (more…)

Errors ใน Google Meet ปลอม ถูกใช้เพื่อแพร่กระจายมัลแวร์ขโมยข้อมูล

แคมเปญใหม่ที่ชื่อว่า ClickFix กำลังหลอกล่อผู้ใช้งานให้ไปที่หน้าการประชุม Google Meet ปลอม ที่แสดงข้อความ Errors ปลอมเกี่ยวกับการเชื่อมต่อ ทำให้มีการติดตั้งมัลแวร์สำหรับขโมยข้อมูลบนระบบปฏิบัติการ Windows และ macOS

ClickFix เป็นเทคนิค social-engineering ที่ถูกพบในเดือนพฤษภาคม โดยถูกรายงานครั้งแรกจากบริษัทด้านความปลอดภัยทางไซเบอร์ Proofpoint ซึ่งมาจากผู้โจมตีกลุ่ม (TA571) ที่ใช้ข้อความในการปลอมแปลงเป็น Errors สำหรับ Google Chrome, Microsoft Word และ OneDrive

ข้อผิดพลาดเหล่านี้จะกระตุ้นให้ผู้ใช้งานทำการคัดลอกโค้ด PowerShell ลงในคลิปบอร์ด โดยอ้างว่าจะช่วยแก้ปัญหาเมื่อรันโค้ดใน Windows Command Prompt

โดยจะส่งผลให้เกิดการแพร่กระจายมัลแวร์ไปยังระบบอื่น ๆ โดยมัลแวร์ที่มีการแแพร่กระจาย เช่น DarkGate, Matanbuchus, NetSupport, Amadey Loader, XMRig, a clipboard hijacker และ Lumma Stealer

ในเดือนกรกฎาคม McAfee รายงานว่าแคมเปญ ClickFix เริ่มเป็นที่นิยมมากขึ้น โดยเฉพาะในสหรัฐอเมริกา และญี่ปุ่น

รายงานฉบับใหม่จาก Sekoia ซึ่งเป็นผู้ให้บริการความปลอดภัยทางไซเบอร์แบบ SaaS ระบุว่าแคมเปญ ClickFix ได้ถูกพัฒนาขึ้นอย่างมาก โดยปัจจุบันใช้การล่อลวงผ่าน Google Meet และยังมีการใช้อีเมลฟิชชิงที่กำหนดเป้าหมายไปยังบริษัทขนส่ง และโลจิสติกส์ รวมถึงมีการทำหน้า Facebook ปลอม และมีการหลอกลวงบน GitHub อีกด้วย

ตามรายงานจากบริษัทความปลอดภัยทางไซเบอร์ของฝรั่งเศสระบุว่า แคมเปญล่าสุดบางส่วนดำเนินการโดยกลุ่มผู้โจมตี 2 กลุ่ม ได้แก่ Slavic Nation Empire (SNE) และ Scamquerteo ซึ่งถือเป็นทีมย่อยของแก๊งหลอกลวงสกุลเงินดิจิทัล Marko Polo และ CryptoLove

หลอกลวงผ่าน Google Meet

ผู้โจมตีกำลังใช้หน้าเว็บไซต์ปลอมสำหรับ Google Meet ซึ่งเป็นบริการการสื่อสารผ่านวิดีโอที่เป็นส่วนหนึ่งของ Google Workspace ที่ได้รับความนิยมในสภาพแวดล้อมขององค์กรสำหรับการประชุมทางไกล และการสัมมนาผ่านเว็บ รวมถึงการทำงานร่วมกันทางออนไลน์

ผู้โจมตีจะส่งอีเมลถึงผู้ใช้ที่มีลักษณะเหมือนคำเชิญของ Google Meet ที่ดูเหมือนเป็นของจริง ซึ่งจะเกี่ยวข้องกับการประชุม การสัมมนา หรือเหตุการณ์สำคัญอื่น ๆ

URL เหล่านี้มีความคล้ายคลึงกับลิงก์ Google Meet ที่เป็นของจริง โดยมีรายละเอียดดังนี้

meet[.]google[.]us-join[.]com
meet[.]google[.]web-join[.]com
meet[.]googie[.]com-join[.]us
meet[.]google[.]cdm-join[.]us

เมื่อผู้ใช้เข้าสู่หน้าเว็บไซต์ปลอมแล้ว ผู้ใช้จะได้รับข้อความแจ้งให้ทราบถึงปัญหาทางเทคนิค เช่น ปัญหาของไมโครโฟน หรือหูฟัง

หากผู้ใช้คลิกปุ่ม Try Fix ที่แสดงขึ้นมาจะมีการติดตั้งมัลแวร์ ClickFix โดยจะมีการ Copyโค้ด PowerShell จากเว็บไซต์ลงไปยังพรอมต์ของ Windows ภายในเครื่อง ส่งผลทำให้คอมพิวเตอร์ของผู้ใช้ติดมัลแวร์ และดึงเพย์โหลดจากโดเมน googiedrivers[.]com

เพย์โหลดในขั้นสุดท้ายคือมัลแวร์ขโมยข้อมูล Stealc หรือ Rhadamanthys บน Windows ส่วนในเครื่อง macOS ผู้โจมตีจะติดตั้ง AMOS Stealer ในรูปแบบไฟล์ .DMG (อิมเมจดิสก์ของ Apple) ที่มีชื่อว่า 'Launcher_v194'

Sekoia ได้ระบุว่า มัลแวร์ยังสามารถกระจายไปยังกลุ่มอื่นที่นอกเหนือจาก Google Meet ได้อีก เช่น โปรแกรม Zoom, โปรแกรมอ่านไฟล์ PDF, วิดีโอเกมปลอม (Lunacy, Calipso, Battleforge, Ragon), เว็บเบราว์เซอร์ และโครงการ web3 (NGT Studio) รวมไปถึงแอปส่งข้อความ (Nortex)

ที่มา : https://www.

กลุ่มแฮ็กเกอร์ FIN7 เปิดตัวเว็บไซต์สร้างภาพเปลือยแบบ Deepfake เพื่อแพร่กระจาย Malware

กลุ่มแฮ็กเกอร์ที่มีชื่อเสียงอย่าง FIN7 ได้เปิดตัวเครือข่ายเว็บไซต์ปลอมที่ใช้เทคโนโลยี AI ในการสร้างภาพนู้ดปลอม เพื่อใช้ในการแพร่กระจายมัลแวร์ที่ขโมยข้อมูลให้กับผู้เข้าใช้งานเว็บไซต์

FIN7 เป็นกลุ่มแฮ็กเกอร์ชาวรัสเซียที่ได้ดำเนินการฉ้อโกงทางการเงิน และอาชญากรรมทางไซเบอร์มาตั้งแต่ปี 2013 โดยมีความเชื่อมโยงกับกลุ่มแรนซัมแวร์ เช่น DarkSide, BlackMatter และ BlackCat ซึ่งเมื่อไม่นานมานี้ได้ทำการหลอกลวงเครือข่ายพันธมิตร ด้วยการขโมยเงินค่าไถ่จำนวน 20 ล้านดอลลาร์ที่ได้มาจาก UnitedHealth

FIN7 เป็นที่รู้จักในด้านการโจมตีแบบฟิชชิ่ง และการใช้เทคนิค social engineering ที่ซับซ้อน เช่น การปลอมตัวเป็น BestBuy เพื่อส่ง USB keys ที่มีมัลแวร์ หรือการสร้างบริษัทความปลอดภัยปลอมเพื่อจ้างนักทดสอบระบบความปลอดภัย (pentesters) และนักพัฒนาซอฟต์แวร์มาทำการโจมตีด้วยแรนซัมแวร์โดยที่พวกเขาไม่รู้ตัว

ดังนั้นจึงไม่น่าแปลกใจที่พบว่าพวกเขาได้ถูกเชื่อมโยงกับเครือข่ายเว็บไซต์ ที่อ้างว่ามีโปรแกรมสร้างภาพเปลือยที่ขับเคลื่อนด้วย AI โดยอ้างว่าสามารถสร้างภาพเปลือยปลอมจากภาพถ่ายของบุคคลที่สวมใส่เสื้อผ้าได้

เทคโนโลยีนี้เป็นที่ถกเถียงกันอย่างมากเนื่องจากอาจสร้างความเสียหายให้กับผู้ถูกกระทำโดยการสร้างภาพที่ไม่เหมาะสมโดยไม่ได้รับความยินยอม และในหลายประเทศทั่วโลกเทคโนโลยีนี้ถูกห้ามใช้อย่างเด็ดขาด อย่างไรก็ตาม ความสนใจในเทคโนโลยีนี้ยังคงมีอยู่มาก

เครือข่ายของ deepnude generators

เว็บไซต์ deepnude ปลอมของ FIN7 ทำหน้าที่เป็นกับดักสำหรับผู้ที่สนใจในการสร้างภาพเปลือยปลอมของคนดังหรือบุคคลอื่น ๆ ในปี 2019 ผู้โจมตีได้ใช้เว็บไซต์คล้ายกันนี้ในการแพร่กระจายมัลแวร์ขโมยข้อมูล แม้จะเป็นช่วงก่อนที่ AI จะมีการเติบโตอย่างรวดเร็ว

เครือข่าย deepnude generators นี้ดำเนินการภายใต้แบรนด์เดียวกันที่ชื่อว่า "AI Nude" และถูกโปรโมตผ่านเทคนิค black hat SEO เพื่อดันให้เว็บไซต์เหล่านี้ติดอันดับสูงในการค้นหา

ตามรายงานของ Silent Push กลุ่ม FIN7 อยู่เบื้องหลังการดำเนินการเว็บไซต์ต่าง ๆ เช่น "aiNude[.]ai", "easynude[.]website" และ nude-ai[.]pro" โดยตรง ซึ่งเสนอ "การทดลองใช้ฟรี" หรือ "ดาวน์โหลดฟรี" แต่ในความเป็นจริงแล้ว FIN7 เพียงใช้เว็บไซต์เพื่อแพร่กระจายมัลแวร์

เว็บไซต์ทั้งหมดใช้การออกแบบที่คล้ายกันซึ่งรับประกันว่าสามารถสร้างภาพเปลือย AI ได้ฟรีจากรูปถ่ายที่อัปโหลดขึ้นไป

เว็บไซต์ปลอมเหล่านี้อนุญาตให้ผู้ใช้สามารถอัปโหลดรูปถ่ายที่ต้องการสร้างเป็นภาพ deepfake นู้ดได้ อย่างไรก็ตาม หลังจากที่อ้างว่าภาพ "deepnude" ได้ถูกสร้างขึ้นแล้ว ภาพนั้นจะไม่แสดงบนหน้าจอ แต่ผู้ใช้จะได้รับแจ้งให้คลิกลิงก์เพื่อดาวน์โหลดภาพที่สร้างขึ้น

เมื่อคลิกลิงก์ดังกล่าว ผู้ใช้จะถูกพาไปยังอีกเว็บไซต์หนึ่งที่แสดงรหัสผ่าน และลิงก์สำหรับไฟล์ที่ถูกป้องกันด้วยรหัสผ่านซึ่งถูกโฮสต์บน Dropbox แม้ว่าปัจจุบันเว็บไซต์นี้ยังคงทำงานอยู่ แต่ลิงก์ Dropbox นั้นไม่สามารถใช้งานได้แล้ว

อย่างไรก็ตาม แทนที่จะเป็นภาพ deepnude ไฟล์ที่ถูกเก็บอยู่ในไฟล์ archive นั้น แท้จริงแล้วคือมัลแวร์ขโมยข้อมูลที่ชื่อ Lumma Stealer เมื่อถูกเรียกใช้งาน มัลแวร์นี้จะขโมยข้อมูล credentials และคุกกี้ที่ถูกบันทึกในเว็บเบราว์เซอร์, กระเป๋าเงินคริปโต และข้อมูลอื่น ๆ จากคอมพิวเตอร์

Silent Push ยังพบว่าเว็บไซต์บางแห่งโปรโมตโปรแกรมสร้าง deepnude สำหรับระบบ Windows ซึ่งจะติดตั้งมัลแวร์ Redline Stealer และ D3F@ck Loader แทน โดยมัลแวร์เหล่านี้ก็ใช้ในการขโมยข้อมูลจากอุปกรณ์ที่ถูกโจมตีเช่นกัน

เว็บไซต์ทั้งเจ็ดที่ Silent Push ตรวจพบได้ถูกปิดไปแล้ว แต่ผู้ใช้ที่อาจดาวน์โหลดไฟล์จากเว็บไซต์เหล่านี้ควรพิจารณาว่าตนเองอาจติดมัลแวร์แล้ว

แคมเปญ FIN7 อื่น ๆ

Silent Push ยังตรวจพบแคมเปญอื่น ๆ ของ FIN7 ที่ปล่อยมัลแวร์ NetSupport RAT ผ่านเว็บไซต์ที่หลอกให้ผู้เข้าชมติดตั้ง extension ของเบราว์เซอร์

ในกรณีอื่น ๆ FIN7 ใช้ payloads ที่ดูเหมือนจะปลอมแปลงเป็นแบรนด์ และแอปพลิเคชันที่เป็นที่รู้จัก เช่น Cannon, Zoom, Fortnite, Fortinet VPN, Razer Gaming, และ PuTTY

Payloads เหล่านี้อาจถูกแพร่กระจายไปยังเหยื่อโดยใช้กลยุทธ์ SEO และการโฆษณาที่มีมัลแวร์หลอกให้เหยื่อดาวน์โหลดโปรแกรมติดตั้งที่แฝงโทรจันไว้

FIN7 ถูกเปิดโปงเมื่อไม่นานมานี้จากการขายเครื่องมือ "AvNeutralizer" ที่พัฒนาขึ้นเพื่อปิดการทำงานของระบบ EDR ให้กับอาชญากรไซเบอร์อื่น ๆ โดยมุ่งเป้าไปที่พนักงานไอทีของผู้ผลิตรถยนต์ในการโจมตีแบบฟิชชิ่ง และได้ใช้แรนซัมแวร์ Cl0p ในการโจมตีองค์กรต่าง ๆ

ที่มา : https://www.

แรนซัมแวร์ BianLian อ้างว่าได้โจมตีเครือข่ายแพทย์ด้านสุขภาพเด็กที่บอสตัน

กลุ่มแรนซัมแวร์ BianLian อ้างว่า ได้ทำการโจมตี Boston Children's Health Physicians (BCHP) และขู่ว่าจะเปิดเผยข้อมูลที่ขโมยมา หากไม่มีการจ่ายค่าไถ่

BHCP เป็นเครือข่ายของแพทย์ และผู้เชี่ยวชาญด้านเด็กกว่า 300 คน ซึ่งเปิดให้บริการกว่า 60 แห่ง ในเขต Hudson Valley ของรัฐนิวยอร์ก และรัฐคอนเนตทิคัต โดยให้บริการดูแลผู้ป่วยในคลินิก โรงพยาบาลชุมชน และศูนย์สุขภาพที่ร่วมมือกับโรงพยาบาลเด็กบอสตัน

ตามประกาศที่ BHCP เผยแพร่บนเว็บไซต์ของตนเอง การโจมตีทางไซเบอร์เกิดขึ้นกับผู้ให้บริการทางด้าน IT ซึ่งถูกโจมตีเมื่อวันที่ 6 กันยายน 2024 และไม่กี่วันหลังจากนั้น BHCP ก็ตรวจพบพฤติกรรมที่ผิดปกติบนเครือข่าย

BHCP ระบุว่า ในวันที่ 6 กันยายน 2024 ผู้ให้บริการทางด้าน IT แจ้งให้ BHCP ทราบว่าพบพฤติกรรมที่ผิดปกติในระบบเครือข่าย และหลังจากนั้นในวันที่ 10 กันยายน 2024 BHCP ได้ตรวจพบพฤติกรรมที่ผิดปกติบนเครือข่ายของ BCHP บางส่วน และได้เริ่มใช้ incident response protocols ทันที รวมถึงทำการปิดระบบเพื่อเป็นมาตรการป้องกัน

การตรวจสอบ ซึ่งได้รับความช่วยเหลือจากผู้เชี่ยวชาญด้าน forensic expert ได้ยืนยันว่าผู้โจมตีสามารถเข้าถึงระบบเครือข่ายของ BHCP ได้บางส่วน และยังสามารถขโมยไฟล์ออกไปได้

ข้อมูลที่ถูกขโมยออกไปส่งผลกระทบต่อพนักงาน ผู้ป่วย และผู้ค้ำประกันทั้งในอดีต และปัจจุบัน โดยข้อมูลที่ถูกขโมยออกไปจะขึ้นอยู่กับข้อมูลที่ลูกค้าให้ไว้กับ BHCP เช่น

ชื่อ-นามสกุล
หมายเลขประกันสังคม
ที่อยู่
วันเกิด
หมายเลขใบขับขี่
เลขที่บันทึกทางการแพทย์
ข้อมูลประกันสุขภาพ
ข้อมูลการเรียกเก็บเงิน
ข้อมูลการรักษา (จำกัด)

BHCP ชี้แจงว่าการโจมตีทางไซเบอร์ไม่ได้ส่งผลกระทบต่อระบบอิเล็กทรอนิกส์บันทึกทางการแพทย์ เนื่องจากระบบเหล่านี้โฮสต์อยู่บนเครือข่ายที่แยกจากกัน

ผู้ที่ได้รับการยืนยันว่าได้รับผลกระทบจากเหตุการณ์ดังกล่าวจะได้รับจดหมายจาก BHCP ภายในวันที่ 25 ตุลาคม 2024 ผู้ที่มีหมายเลขประกันสังคม (SSN) และใบขับขี่ที่ถูกเปิดเผยจะได้รับการตรวจสอบ และป้องกันเครดิตด้วย

กลุ่ม BianLian อ้างการโจมตี

เมื่อต้นสัปดาห์นี้ กลุ่มแรนซัมแวร์ BianLian อ้างว่าได้โจมตี BHCP และได้เพิ่ม BHCP ลงในพอร์ทัลการเรียกค่าไถ่ของตนเอง

ผู้โจมตีอ้างว่า มีข้อมูลการเงิน, ข้อมูลทรัพยากรบุคคล, อีเมลการสนทนา, ฐานข้อมูล, ข้อมูลระบุตัวตน และข้อมูลทางด้านสุขภาพ รวมไปถึงข้อมูลที่เกี่ยวข้องกับเด็ก

ผู้โจมตียังไม่ได้เปิดเผยข้อมูลใดออกไป และยังไม่ได้กำหนดเวลาในการเปิดเผยข้อมูลที่ขโมยมา ซึ่งบ่งบอกว่าผู้โจมตีต้องการที่จะเจรจากับ BHCP อยู่

กลุ่มแรนซัมแวร์อ้างว่าพวกเขามักจะหลีกเลี่ยงการโจมตี และขโมยข้อมูลขององค์กรด้านการดูแลสุขภาพของเด็ก แต่ผู้โจมตีบางกลุ่มก็ไม่ได้สนใจในเรื่องของหลักจริยธรรมตรงส่วนนี้

เมื่อต้นปีนี้ กลุ่มแรนซัมแวร์ Rhysida เรียกร้องค่าไถ่จำนวน 3.6 ล้านดอลลาร์จากโรงพยาบาลเด็ก Lurie ในชิคาโก หลังจากขโมยข้อมูลสำคัญกว่า 600 GB จากระบบ และทำให้การปฏิบัติงานล่ม ซึ่งส่งผลให้การดูแลทางการแพทย์เกิดความล่าช้า

ที่มา : https://www.

F5 แจ้งเตือนช่องโหว่การยกระดับสิทธิ์บน BIG-IP

F5 เผยแพร่การพบช่องโหว่ในฟังก์ชัน BIG-IP monitor ที่อนุญาตให้ Hacker ที่ผ่านการยืนยันตัวตน ที่มีสิทธิ์เป็น Manager role เป็นอย่างน้อย สามารถยกระดับสิทธิ์ หรือแก้ไขการกำหนดค่าได้

CVE-2024-45844 (คะแนน CVSS 7.2/10 ความรุนแรงระดับ High) เป็นช่องโหว่การยกระดับสิทธิ์ (Privilege Escalation) ที่อนุญาตให้ Hacker ที่ผ่านการยืนยันตัวตน ซึ่งมีสิทธิ์ Manager role ขึ้นไป ที่มีสิทธิ์เข้าถึง Configuration utility หรือ TMOS Shell (tmsh) สามารถยกระดับสิทธิ์ของตน และโจมตีระบบ BIG-IP ได้ ทั้งนี้ช่องโหว่ดังกล่าวไม่เกี่ยวข้องกับ data plane แต่ส่งผลกระทบต่อ control plane เท่านั้น ถูกค้นพบโดย myst404 (@myst404_) นักวิจัยจาก Almond

CVE-2024-45844 ส่งผลกระทบต่อ BIG-IP เวอร์ชันดังต่อไปนี้ :

17.1.0 - 17.1.1 >> อัปเดตเป็นเวอร์ชัน 17.1.1.4

16.1.0 - 16.1.4 >>  อัปเดตเป็นเวอร์ชัน16.1.5

15.1.0 - 15.1.10 >> อัปเดตเป็นเวอร์ชัน15.1.10.5

การลดผลกระทบ

หากผู้ดูแลระบบยังไม่สามารถแก้ไขช่องโหว่ได้ในทันที ทาง F5 ได้แนะนำผู้ดูแลระบบทำการจำกัดสิทธิ์การเข้าถึง Configuration utility หรือ command line ผ่าน SSH เฉพาะผู้ที่ได้รับอนุญาติ หรือมีสิทธิ์เท่านั้น เพื่อป้องกันการถูกโจมตีจากช่องโหว่ จนกว่าจะสามารถทำการอัปเดตเพื่อแก้ไขช่องโหว่ได้

ที่มา : https://my.

Microsoft แจ้งเตือนข้อมูล Security logs ของลูกค้าบางส่วนสูญหายไปเป็นเวลา 1 เดือน

Microsoft ออกมาแจ้งเตือนลูกค้ากลุ่มองค์กรว่า บริษัทพบ bug ที่อยู่มาเป็นเวลานานเกือบหนึ่งเดือนที่อาจทำให้ข้อมูล critical logs บางส่วนสูญหาย ซึ่งส่งผลให้บริษัทที่ใช้ข้อมูลเหล่านี้เพื่อตรวจจับพฤติกรรมที่ผิดปกติตกอยู่ในความเสี่ยง

ปัญหานี้ถูกรายงานครั้งแรกโดย Business Insider เมื่อต้นเดือนตุลาคมนี้ โดยมีรายงานว่า Microsoft ได้เริ่มแจ้งลูกค้าว่าข้อมูล logging data ของพวกเขาไม่ได้ถูกเก็บอย่างต่อเนื่องระหว่างวันที่ 2 กันยายน ถึง 19 กันยายน 2024

Log data ที่สูญหายรวมถึงข้อมูลด้านความปลอดภัยที่มักใช้ในการตรวจสอบการรับส่งข้อมูล, การกระทำ และความพยายามในการเข้าสู่ระบบที่น่าสงสัยในเครือข่าย ซึ่งทำให้มีโอกาสมากขึ้นที่การโจมตีจะไม่ถูกตรวจพบ

การตรวจสอบเหตุการณ์เบื้องต้น (PIR) ที่ส่งถึงลูกค้า และแชร์โดย Microsoft MVP - Joao Ferreira ได้ชี้แจงถึงปัญหาเพิ่มเติม โดยระบุว่าปัญหาการ logging นั้นเกิดขึ้นกับบริการบางอย่าง และจะคงอยู่จนถึงวันที่ 3 ตุลาคม

การตรวจสอบของ Microsoft ระบุว่าบริการต่อไปนี้ได้รับผลกระทบ โดยแต่ละบริการมีระดับการหยุดชะงักของการ logging ข้อมูลที่แตกต่างกัน:

Microsoft Entra: sign-in logs และ activity logs อาจไม่สมบูรณ์ log data จาก Entra ที่ส่งผ่าน Azure Monitor ไปยังผลิตภัณฑ์ด้านความปลอดภัยของ Microsoft เช่น Microsoft Sentinel, Microsoft Purview และ Microsoft Defender for Cloud ก็ได้รับผลกระทบเช่นกัน
Azure Logic Apps: พบ gaps เป็นช่วง ๆ ใน telemetry data ใน Log Analytics, Resource Logs, และการตั้งค่าการวิเคราะห์จาก Logic Apps
Azure Healthcare APIs: log data การวิเคราะห์บางส่วนไม่สมบูรณ์
Microsoft Sentinel: มี gaps ที่อาจเกิดขึ้นใน logs หรือเหตุการณ์ที่เกี่ยวข้องด้านความปลอดภัย ส่งผลต่อความสามารถของลูกค้าในการวิเคราะห์ข้อมูล ตรวจจับภัยคุกคาม หรือสร้างการแจ้งเตือนด้านความปลอดภัย
Azure Monitor: พบ gaps หรือผลลัพธ์ที่ลดลงเมื่อทำการรันคำสั่งการค้นหาที่อ้างอิงจาก log data ของบริการที่ได้รับผลกระทบ ในกรณีที่ลูกค้าตั้งค่าการแจ้งเตือนโดยอ้างอิงจาก log data นี้ การแจ้งเตือนอาจได้รับผลกระทบ
Azure Trusted Signing: พบ log data SignTransaction และ SignHistory ไม่สมบูรณ์บางส่วน ทำให้ปริมาณ signing log ลดลง และการเรียกเก็บเงินต่ำกว่าความเป็นจริง
Azure Virtual Desktop: Application Insights ไม่สมบูรณ์บางส่วน การเชื่อมต่อ และฟังก์ชันหลักของ AVD ไม่ได้รับผลกระทบ
Power Platform: พบความคลาดเคลื่อนเล็กน้อยที่ส่งผลต่อข้อมูลในรายงานต่าง ๆ รวมถึงรายงาน Analytics ใน Portal Admin และ Maker, รายงานการอนุญาตให้ใช้สิทธิ์, การส่งออกข้อมูลไปยัง Data Lake, Application Insights และ Activity Logging

Microsoft ระบุว่า ความล้มเหลวในการ logging เกิดจาก bug ที่เกิดขึ้นจากการแก้ไขปัญหาอื่นใน log collection service ของบริษัท

"การเปลี่ยนแปลงครั้งแรกถูกออกแบบมาเพื่อแก้ไขข้อจำกัดใน logging service แต่เมื่อถูกนำไปใช้งาน กลับไไปทำให้เกิดสภาวะ deadlock โดยไม่ได้ตั้งใจเมื่อ agent ถูกสั่งให้เปลี่ยนปลายทางการอัปโหลดข้อมูลระยะไกลอย่างรวดเร็วในขณะที่มีการส่งข้อมูลไปยังปลายทางแรกอยู่ ซึ่งส่งผลให้เกิด deadlock ของเธรดในส่วนประกอบการส่งข้อมูลทีละน้อย ทำให้โปรแกรมตัวแทนไม่สามารถอัปโหลดข้อมูลระยะไกลได้ สภาวะ deadlock นี้ส่งผลกระทบเฉพาะกลไกการส่งข้อมูลภายใน agent เท่านั้น แต่ฟังก์ชันอื่น ๆ ยังคงทำงานได้ตามปกติ เช่น การเก็บรวบรวม และบันทึกข้อมูลไปยังที่เก็บข้อมูลถาวรภายในของ agent การรีสตาร์ท agent หรือระบบปฏิบัติการ สามารถแก้ไขสภาวะ deadlock ได้ และเมื่อ agent เริ่มทำงานอีกครั้ง โดยจะอัปโหลดข้อมูลที่เก็บอยู่ในหน่วยความจำถาวรภายใน อย่างไรก็ตาม มีบางสถานการณ์ที่ปริมาณ log data ที่ agent รวบรวมได้มีขนาดใหญ่เกินขีดจำกัดของที่เก็บข้อมูลภายในก่อนที่จะเกิดการรีสตาร์ท ในกรณีเหล่านี้ agent จะเขียนทับข้อมูลที่เก่าที่สุดในที่เก็บข้อมูล (เป็นการทำงานแบบ buffer retaining ที่เก็บข้อมูลล่าสุดจนถึงขนาดที่กำหนด) log data ที่เกินขีดจำกัดของหน่วยความจำไม่สามารถกู้คืนได้"

Microsoft ระบุว่า ถึงแม้ว่าจะแก้ไข bug ตามแนวทางที่ปลอดภัยแล้วก็ตาม แต่ก็ไม่สามารถระบุปัญหาใหม่ได้ และต้องใช้เวลาสองสามวันจึงจะตรวจพบ

John Sheehan รองประธานฝ่ายองค์กรของ Microsoft ได้แถลงต่อ TechCrunch ว่า ขณะนี้ bug ได้รับการแก้ไขแล้ว และได้แจ้งลูกค้าทุกคนให้ทราบแล้ว

อย่างไรก็ตาม Kevin Beaumont ผู้เชี่ยวชาญด้านความปลอดภัยทางไซเบอร์ ระบุว่า เขาทราบว่ามีอย่างน้อย 2 บริษัทที่มี log data ที่สูญหายแต่ไม่ได้รับการแจ้งเตือน

เหตุการณ์นี้เกิดขึ้นหนึ่งปีหลังจากที่ Microsoft ถูกวิจารณ์จาก CISA และฝ่ายนิติบัญญัติในสหรัฐฯ เนื่องจากไม่ให้ log data ที่เพียงพอเพื่อใช้ในการตรวจจับการละเมิดความปลอดภัยฟรี แต่กลับเรียกเก็บเงินจากลูกค้าเพื่อเข้าถึงข้อมูลเหล่านี้

ในเดือนกรกฎาคม 2023 แฮ็กเกอร์ชาวจีนได้ขโมย signing key ของ Microsoft ซึ่งทำให้พวกเขาสามารถเจาะบัญชีขององค์กร และรัฐบาลที่ใช้ Microsoft Exchange และ Microsoft 365 และขโมยข้อมูลอีเมลได้

แม้ว่า Microsoft ยังไม่สามารถระบุได้ว่า key นั้นถูกขโมยไปได้อย่างไร รัฐบาลสหรัฐฯ ตรวจพบการโจมตีครั้งนี้เป็นครั้งแรกโดยใช้ advanced logging data ของ Microsoft

อย่างไรก็ตาม ความสามารถของ advanced logging data นี้มีให้เฉพาะลูกค้าของ Microsoft ที่ชำระเงินสำหรับฟีเจอร์ Purview Audit (Premium) logging เท่านั้น

ด้วยเหตุนี้ Microsoft จึงถูกวิจารณ์อย่างหนักที่ไม่ให้บริการ log data เพิ่มเติมนี้ฟรี ซึ่งจะช่วยให้องค์กรตรวจจับการโจมตีระดับสูงได้อย่างรวดเร็ว

Microsoft ได้ขยายความสามารถในการ logging ข้อมูลฟรีให้กับลูกค้า Purview Audit ทั้งหมดในเดือนกุมภาพันธ์ 2024 โดยทำงานร่วมกับ CISA สำนักงานบริหารจัดการ และงบประมาณ (OMB) และสำนักงานผู้อำนวยการไซเบอร์แห่งชาติ (ONCD)

ที่มา : https://www.

Hybrid Analysis ได้รับการสนับสนุนด้วยข้อมูลเชิงลึกเกี่ยวกับโดเมนจาก Criminal IP

Criminal IP เป็นเครื่องมือค้นหาข้อมูลการโจมตีทางไซเบอร์ (CTI) ที่มีชื่อเสียง ซึ่งพัฒนาโดย AI SPERA และได้ร่วมมือกับ Hybrid Analysis ที่เป็นแพลตฟอร์มในการวิเคราะห์มัลแวร์ขั้นสูง และข้อมูลภัยคุกคาม เพื่อเพิ่มประสิทธิภาพในการวิเคราะห์การโจมตี (more…)

Cisco ตรวจสอบเหตุการณ์การละเมิดข้อมูลหลังพบข้อมูลถูกนำไปขายใน hacking forum

Cisco ได้ยืนยันกับ BleepingComputer ว่ากำลังตรวจสอบข้อกล่าวหาล่าสุดเกี่ยวกับการถูกละเมิดข้อมูล หลังจากมีผู้ไม่หวังดีเริ่มนำข้อมูลที่อ้างว่าขโมยมาไปขายในฟอรัมแฮ็ก (more…)

Cyble เรียกร้องให้แก้ไขช่องโหว่ของ ICS สำหรับ TEM, Mitsubishi และ Delta Electronics

นักวิจัยของ Cyble ได้ระบุช่องโหว่ในผลิตภัณฑ์สามรายการที่ใช้ในโครงสร้างพื้นฐานที่สำคัญ ซึ่งควรได้รับความสนใจอย่างเร่งด่วนจากทีมรักษาความปลอดภัย (more…)