Sophos บริษัทรักษาความปลอดภัยทางไซเบอร์ได้เปิดเผยข้อมูลสถิติ โดยพบว่าการโจมตีจาก Ransomware ใช้เวลาในการโจมตีเพื่อเข้าถึงระบบ ก่อนที่จะถูกตรวจจับได้น้อยลงกว่าเดิม โดยเฉลี่ยจาก 9 วัน ในปี 2022 เหลือ 5 วันในปัจจุบัน จากการเก็บข้อมูลสถิติการโจมตี Ransomware ช่วงครึ่งปีแรกของปี 2023 (more…)

บริษัท Okta ประกาศยอมรับความผิดพลาด ของการล่าช้าในการเปิดเผยการถูกแฮ็กข้อมูลจากกลุ่มแฮ็กเกอร์ Lapsus$ ที่เกิดขึ้นในเดือนมกราคม นอกจากนี้บริษัทยังได้จัดทำ timeline ของเหตุการณ์ และรายละเอียดการสอบสวนโดยละเอียด

Okta: "ยอมรับความผิดพลาด" ของการ**ล่าช้าในการแจ้งเตือนข้อมูลรั่วไหล**

เมื่อวันศุกร์ที่ผ่านมา บริษัท Okta ได้แสดงความเสียใจที่ไม่ได้มีการเปิดเผยรายละเอียดเกี่ยวกับการถูกโจมตีจากกลุ่มแฮ็กเกอร์ Lapsus$ ให้เร็วกว่านี้ และได้มีการเปิดเผยข้อมูล timeline การถูกโจมตีโดยละเอียดดังนี้

การโจมตีจากกลุ่มแฮ็กเกอร์ Lapsus$ เกิดขึ้นที่บริษัท Sitel ซึ่งเป็น third-party ที่ให้บริการ Customer Support ให้กับ Okta

"ในวันที่ 20 มกราคม 2022 Security Team ของ Okta ได้รับการแจ้งเตือนว่ามีการเพิ่มข้อมูลใหม่บางอย่างใน Account ของ Okta ที่ถูกใช้โดย Engineer ของ Sitel ซึ่งพบว่าข้อมูลนี้คือ Password" Okta อธิบาย

"แม้ว่าจะทำไม่สำเร็จ แต่เราได้ reset account และแจ้งทาง Sitel ให้รับทราบ" ซึ่งทาง Sitel ได้ร่วมมือกับบริษัทผู้เชี่ยวชาญด้าน Forensic เพื่อดำเนินการ Investigate หาสาเหตุต่อไป

"ในวันที่ 21 มกราคม 2022 ทีม Security ของ Okta แจ้งเตือนเหตุการณ์ดังกล่าวเป็น Security Incident และ Okta Service Desk ทำการ Terminated account ที่เกี่ยวข้องไปก่อนจนกว่าจะได้ root cause จากผลการ Forensic และยังได้แชร์ข้อมูล IOC ที่พบกับ Sitel โดยทาง Sitel แจ้งว่าได้ให้บริษัทผู้เชี่ยวชาญด้าน Forensic ดำเนินการสืบสวนอยู่"

(more…)

บริษัท Coveware, Emsisoft และ Recorded Future ได้ออกรายงานการจัดอันดับภัยคุกคามและช่องทางที่ถูกใช้โจมตีจากกลุ่ม Ransomware ซึ่งรายงานครึ่งปี 2020 ที่ผ่านมานั้นพบว่าช่องทางการโจมตีด้วย Remote Desktop Protocol (RDP), VPN และ Email phishing ยังได้รับความนิยมและถูกใช้อย่างเเพร่หลายและเป็นจุดเริ่มต้นของปฏิบัติการ Ransomware เพื่อใช้ในการโจมตีและหาประโยชน์ต่างๆ จากองค์กรที่ถูกบุกรุก

จากรายงานและการเก็บสถิติจาก Coveware และ Emsisoft พบว่า Remote Desktop Protocol (RDP) ถูกจัดให้เป็นอันดับหนึ่งในการใช้เป็นช่องทางการบุกรุกของกลุ่มปฏิบัติการ Ransomware เนื่องจากการใช้งาน RDP นั้นถูกใช้งานอย่างกว้างขวางและเป็นช่องทางในการเข้าถึงคอมพิวเตอร์ของผู้ใช้โดยตรงและยังสามารถติดตั้ง Ransomware และมัลแวร์อื่น ๆ ได้อีกด้วย

อันดับที่สองที่พบว่าถูกใช้ในการบุกรุกนั้นคือการใช้งานช่องโหว่ต่างๆ ของ VPN นับตั้งแต่กลางปี 2019 ที่ผ่านมาพบว่ามีการเปิดเผยช่องโหว่ที่รุนแรงหลายอย่างในอุปกรณ์ VPN จากบริษัทชั้นนำในปัจจุบัน ได้แก่ Pulse Secure, Palo Alto Networks, Fortinet, Citrix, Secureworks และ F5 ซึ่งการที่ช่องโหว่ถูกทำการเปิดเผยและผู้ใช้งานไม่ทำการเเพตซ์ช่องโหว่ในอุปกรณ์ VPN นั้นทำให้กลุ่มปฏิบัติการ Ransomware ที่ตั้งเป้าหมายเพื่อทำการบุกรุกองค์กรต่างๆ เช่นกลุ่ม REvil (Sodinokibi), Black Kingdom, Ragnarok, DoppelPaymer, Maze, CLOP และ Nefilim นั้นได้ใช้มองว่าช่องโหว่เช่น CVE-2019-19781 (Citrix), CVE-2019-11510 (Pulse Secure VPN) ที่ไม่ได้รับการเเพตซ์เป็นจุดเริ่มต้นในการบุกรุกองค์กรต่างๆ เมื่อสามารถเข้าถึงภายในเครือข่ายที่บุกรุกแล้วกลุ่มปฏิบัติการ Ransomware จะทำการติดตั้ง Ransomware และมัลแวร์อื่น ๆ ที่ใช้ในการเข้ารหัสไฟล์ เพื่อใช้ในการข่มขู่องค์กรที่ตกเป็นเหยื่อต่อไป

ทั้งนี้ผู้เชี่ยวชาญด้านความปลอดภัยทางไซเบอร์ได้เเนะนำให้ผู้ดูแลระบบตรวจเช็คการใช้งานเชื่อมต่อด้วย RDP และอุปกรณ์ VPN ว่าทำการเเพตซ์ซอฟต์แวร์เป็นเวอร์ชันล่าสุดหรือยังหรือถ้าต้องการใช้งาน RDP ควรใช้งานผ่าน VPN หรือหาซอฟต์แวร์ third party มาใช้งานเชื่อมต่อเเทนการเชื่อมต่อด้วย RDP โดยตรงผ่านระบบอินเตอร์เน็ตและเพื่อเป็นการป้องกันผู้ประสงค์ร้ายทำการโจมตีระบบซึ่งจะเป็นการป้องกันความเสียหายจากการโจมตีและทรัพย์สินขององค์กร

ที่มา: zdnet.

Microsoft ยังทำการเเก้ไขเเพตซ์ CVE-2019-0887 (RCE RDP) ได้ไม่สมบูรณ์อาจเสี่ยงต่อผู้ไม่หวังดีใช้ช่องโหว่เพื่อทำการโจมตี

Microsoft ออกมายอมรับการแพตซ์แก้ไขช่องโหว่ CVE-2019-0887 ช่องโหว่การเรียกใช้โค้ดโจมตีจากระยะไกลบน Remote Desktop Services (RDP) ที่ได้ทำการปล่อยเเพตซ์การเเก้ไขไปเมื่อกรกฎาคม ปี 2019 นั้นไม่สมบูรณ์ เนื่องจากพบว่านักวิจัยได้ทำการค้นพบการ bypass แพตซ์ด้วยเครื่องหมาย “/” และ “\” หลังได้รับรายงาน Microsoft จึงได้ทำการอัพเดตเเพต์การเเก้ไขช่องโหว่ใหม่ในเดือนกุมภาพันธ์ 2020 ถูกติดตามเป็น CVE-2020-0655

นักวิจัยจาก Check Point เปิดเผยว่า Microsoft ได้ทำการแก้ไขปัญหาด้วยการเพิ่ม API ฟังก์ชั่น “PathCchCanonicalize” นักวิจัยยังค้นพบว่าการเเก้ไขช่องโหว่นั้นยังไม่สมบูรณ์และยังอาจมีความเสี่ยงจากผู้ไม่หวังดีใช้ช่องโหว่ Path Traversal Attack ซึ่งผู้ไม่หวังดีใช้ประโยชน์จาก Clipboard Redirection ในขณะที่เชื่อมต่อกับเซิร์ฟเวอร์ RDP ที่ถูกบุกรุกผู้ไม่หวังดีสามารถใช้ Clipboard RDP ที่ใช้ร่วมกันเพื่อส่งไฟล์ที่เป็นอันตรายไปยังคอมพิวเตอร์ของผู้ใช้

นักวิจัยจาก Check Point ยังกล่าวอีกว่าช่องโหว่ CVE-2019-0887 นี้มีผลกับการเชื่อมต่อ RDP เฉพาะบน Windows เท่านั้นไม่มีผลกับ macOS

ขณะนี้ยังไม่มีการอัพเดตการเเก้ไขช่องโหว่ดังกล่าวจาก Microsoft

ที่มา: thehackernews

ผู้เชี่ยวชาญด้านความปลอดภัยจาก Positive Technologie กล่าวว่าจำนวนโหนดเครือข่ายในสหพันธรัฐรัสเซียสามารถเข้าถึงได้ผ่าน RDP (RDP) เพิ่มขึ้น 9% และอาจสูงถึงกว่า 112,000 คน เหตุจากผู้ใช้งานทำงานจากที่บ้านมากขึ้นเนื่องจากระบาดของโรค Coronavirus หรือ COVID-19

นับตั้งเเต่ปี 2019 ถึงปัจจุบันมีช่องโหว่ที่เกี่ยวข้องกับ RDP มีจำนวนมาก ช่องโหว่ที่สำคัญ ได้เเก่ CVE-2019-0708 (BlueKeep) ผู้เชี่ยวชาญด้านความปลอดภัยยังกล่าวอีกว่าถ้าหากแฮกเกอร์ส่งคำสั่งรันโปรแกรมจากระยะไกลหรือคำร้องขอ RDP พิเศษไปยัง Remote Desktop Services (RDS) ที่มีช่องโหว่การโจมตี ผู้โจมตีสามารถ Bypass การตรวจสอบสิทธิ์ หากการโจมตีประสบความสำเร็จผู้โจมตีสามารถติดตั้งและลบโปรแกรมบนระบบที่ถูกบุกรุก และสร้างบัญชีที่มีระดับการเข้าถึงสูงสุดเพื่ออ่านและแก้ไขข้อมูลที่เป็นความลับ

คำเเนะนำจากผู้เชี่ยวชาญด้านความปลอดภัยกล่าวเตือนว่าควรอัพเดทแพตช์จาก Microsoft หรือแหล่งข้อมูลที่เชื่อถือได้อยู่เสมอเพื่อความปลอดภัยจากการโจมตีระบบและข้อมูล การเชื่อมต่อระยะไกลที่ปลอดภัยผู้ใช้จำเป็นต้องใช้ VPN Gateway เสมอเพื่อเชื่อมเข้าองค์กรและไม่แนะนำให้เชื่อมต่อโดยตรงกับที่ทำงาน

ที่มา: ehackingnews.

Windows Remote desktop service ถูกใช้เป็นส่วนหนึ่งในการโจมตีของมัลแวร์แบบ Fileless

พบการโจมตีด้วยมัลแวร์แบบ Fileless ผ่าน remote desktop protocol (RDP) โดยไม่มีการทิ้งร่องรอยบนอุปกรณ์ที่ถูกโจมตี Cryptocurrency miners, info-stealers และ ransomware มัลแวร์ทั้งสามจะทำงานบน RAM ผ่าน RDP

เนื่องจากมัลแวร์แบบ Fileless จะทำงานบน RAM ทำให้ไม่มีร่องรอยหลงเหลือหากปิดเครื่อง

ผู้โจมตีใช้ประโยชน์จากฟีเจอร์ใน Windows Remote Desktop Services ซึ่งอนุญาตให้ client แชร์ไดร์ฟไปยังระบบ server พร้อมสิทธิในการอ่านและเขียน โดยไดร์ฟที่ปรากฏบน server เรียกว่า tsclient ซึ่งจะสามารถเข้าถึงไดรฟ์ที่ถูกแชร์นี้ได้ผ่าน RDP และทำการรันโปรแกรมได้ ในกรณีที่รันโปรแกรมที่ทำงานเฉพาะใน RAM เมื่อยกเลิกการเชื่อมต่อ RDP ก็จะไม่ทิ้งร่องรอย เพราะเมื่อยกเลิกการเชื่อมต่อ หน่วยความจำที่ใช้จะทำการคืนให้กับระบบ

นักวิเคราะห์มัลแวร์จาก Bitdefender พบว่าผู้โจมตีใช้ประโยชน์จากคุณสมบัติการแชร์ไดร์ฟดังกล่าวแพร่กระจายมัลแวร์หลายประเภทพร้อมกับไฟล์ worker.

Microsoft เตือนช่องโหว่ RDP ตัวใหม่ อาจถูกนำไปแพร่มัลแวร์ ออกแพตช์พิเศษให้แม้แต่ Windows Server 2003, และ Windows XP

Microsoft อัปเดตแพตช์ล่าสุดเป็นการแก้ไขความปลอดภัยช่องโหว่ที่สำคัญ CVE-2019-0708 เกี่ยวข้องกันการใช้งาน Remote Desktop Services หรือ Terminal Services เป็นช่องโหว่ที่อนุญาตให้สามารถเรียกใช้คำสั่งได้จากระยะไกลโดยไม่ต้องมีการพิสูจน์ตัวตน ช่องโหว่ดังกล่าวไม่กระทบ Windows 8 และ Windows 10 แต่ส่งผลกระทบกับระบบปฎิบัติการรุ่นเก่าอย่าง Windows 7, Windows Server 2008 R2, Windows Server 2008, Windows Server 2003, และ Windows XP

ซึ่ง Microsoft ได้ออกแพตช์พิเศษให้กับ Windows XP และ Windows Server 2003 ซึ่งยกเลิกการสนับสนุนไปแล้วอีกด้วย โดยสามารถดูรายละเอียดได้จาก https://support.

ค้นพบ Matrix Ransomware รูปแบบใหม่ เปลี่ยนชื่อไฟล์ที่เข้ารหัสและแก้ไขนามสกุลเป็น .FOX สิ่งที่น่าสนใจสำหรับ ransomware ตัวนี้คือมีการตรวจสอบว่าไฟล์มีการใช้งานอยู่หรือไม่เพื่อทำการเข้ารหัส

Ransomware ตัวนี้ถูกค้นพบครั้งแรกโดยนักวิจัยด้านความปลอดภัยจาก MalwareHunterTeam โดยจะติดตั้งผ่านคอมพิวเตอร์ที่มีการเปิด Remote Desktop ผ่านการเชื่อมต่อกับอินเทอร์เน็ตจากภายนอก ผู้โจมตีจะสแกน ranges ของ IP เพื่อค้นหาเครื่องเป้าหมายและพยายามสุ่มรหัสผ่าน เมื่อสามารถเข้าถึงคอมพิวเตอร์ได้ จะทำการติดตั้ง ransomware

Fox Ransomware ถูกพัฒนามาจาก Matrix Ransomware ที่จะมีการติดต่อกับ C&C server และแสดงคอนโซลอัพเดตสถานะในการเข้ารหัส มีการวาง batch ไฟล์เพื่อปิดไฟล์ที่เปิดอยู่ทั้งหมดเพื่อทำการเข้ารหัส โดยเริ่มจากการลบ attributes ทั้งหมดออกจากไฟล์, เปลี่ยนแปลงสิทธิ์การเป็นเจ้าของและสุดท้ายใช้ Handle.

Nabeel Ahmed นักวิจัยด้านความปลอดภัยจาก Trend Micro Zero Day Initiative พบช่องโหว่ในฟีเจอร์ Windows Remote Assistance (Quick Assist) (CVE-2018-0878) บน Windows ที่มีผลกระทบต่อ Windows ทุกเวอร์ชันรวมถึง Windows 10, 8.1, RT 8.1 และ 7 ช่องโหว่ดังกล่าวช่วยให้ผู้โจมตีสามารถเข้าถึงเครื่องเป้าหมายจากระยะไกลเพื่อขโมยข้อมูลสำคัญได้

Windows Remote Assistance เป็นเครื่องมือที่ช่วยให้ผู้ใช้สามารถเข้าถึงเครื่องคอมพิวเตอร์ได้จากระยะไกล เพื่อให้ผู้ใช้สามารถแก้ไขปัญหาได้จากทั่วโลก
ฟีเจอร์ดังกล่าวใช้เซอร์วิช Remote Desktop Protocol (RDP) เพื่อสร้างการเชื่อมต่อที่ปลอดภัยระหว่างผู้ใช้

ช่องโหว่ดังกล่าวมีผลต่อ Microsoft Windows Server 2016, Windows Server 2012 และ R2, Windows Server 2008 SP2 และ R2 SP1, Windows 10 (ทั้ง 32 บิตและ 64 บิต), Windows 8.1 (ทั้ง 32 บิตและ 64 บิต) และ RT 8.1 และ Windows 7 (ทั้ง 32 บิตและ 64 บิต)

Recommendation
ทาง Windows ได้ทำการแก้ไขช่องโหว่ดังกล่าวในแพทช์ประจำเดือนมีนาคม แนะนำให้ผู้ใช้งานอัพเดทแพทช์เพื่อแก้ไขช่องโหว่ดังกล่าว

ที่มา : thehackernews

หลังจากเมื่อวันจันทร์ที่ผ่านมา มีข่าวว่าข้อมูลจาก Deloitte บริษัทตรวจสอบชื่อดังของโลกได้รั่วไหลออกมา ถัดมาอีกวัน ในวันอังคารได้มีการพบข้อมูล VPN password, user name และรายละเอียดการทำงานของ Deloitte บน GitHub ที่เปิดสู่สาธารณะ และได้ถูกลบออกในชั่วโมงถัดมา นอกจากนี้ยังพบว่าพนักงานของ Deloitte ได้อัพโหลดข้อมูล Proxy Login Credentials ขึ้นไปบน Google+ นานกว่า 6 เดือน และได้ถูกลบออกไปเมื่อไม่นานมานี้เอง ซึ่งจากข้อมูลที่หลุดออกมานี้ทำให้เชื่อได้ว่าบริษัทน่าจะมีการเปิดให้ Remote Desktop เข้ามาบนเครื่องผ่านเครือข่ายภายนอกได้ โดยนักวิจัยด้านความปลอดภัย Dan Tentler ผู้ก่อตั้ง Phobos Group ได้เปิดเผยว่าพบ Windows Server 2012 R2 ของ Deloitte ที่ทำหน้าที่เป็น Active Directory ซึ่งตั้งอยู่ที่แอฟริกาใต้ มีการเปิด RDP ให้สามารถเข้าถึงได้โดยตรง และพบว่าแผนก IT ใช้ซอฟต์แวร์ที่ยังไม่ได้รับการอัพเดท และน่าจะมีบางส่วนที่ยังไม่ได้ทำการ อัปเดต Security Patch ด้วย

ที่มา : theregister