กลุ่มแฮกเกอร์ FIN7 ใช้เอกสารอันตรายที่หลอกว่าเป็น ‘Windows 11 Alpha’ เพื่อวาง JavaScript Backdoor

การโจมตีจะเริ่มต้นด้วยฟิชชิ่งอีเมล หรือแคมเปญสเปียร์ฟิชชิ่งที่มีเอกสาร Microsoft Word ที่เป็นอันตราย (.doc) พร้อมด้วยรูปภาพหลอกลวงที่ระบุว่าเป็น Windows 11 Alpha

เมื่อเหยื่อเปิดใช้งานฟังก์ชันการแก้ไขเนื้อหา (Enable Editing and Content) ก็จะเข้าสู่กระบวนการติดตั้ง โดยไฟล์ที่ฝังอยู่กับรูปภาพนั้นคือ VBA macro เมื่อเหยื่อเปิดใช้งานเนื้อหา VBA macro ก็จะทำงานทันที

VBA macro ประกอบไปด้วยข้อมูลขยะมากมาย เป็นกลยุทธ์ทั่วไปที่แฮกเกอร์ใช้เพื่อขัดขวางการวิเคราะห์ข้อมูล เมื่อดึงข้อมูลขยะออกแล้วจะเหลือเพียง VBA macro เมื่อวิเคราะห์ JavaScript เพิ่มเติมนักวิจัยได้พบว่ามี Strings ที่ซับซ้อนควบคู่ไปกับฟังก์ชันการถอดรหัสที่ซับซ้อน

นักวิจัยพบว่าแฮกเกอร์ที่อยู่เบื้องหลังแคมเปญนี้ สั่งให้การโจมตีนี้ไม่ทำงานสำหรับบางประเทศ ได้แก่ รัสเซีย ยูเครน ซอร์เบีย สโลวีเนีย เอสโตเนีย ซึ่งหากตรวจพบภาษาเหล่านี้ จะเรียกใช้ฟังก์ชัน me2XKr เพื่อหยุดการทำงาน

กลุ่ม FIN7 จะมุ่งเป้าการโจมตีไปที่ ภาคโทรคมนาคม การศึกษา การค้าปลีก การเงิน และการบริการในสหรัฐฯ ผ่านการโจมตีที่สร้างขึ้นอย่างตั้งใจ

นอกจากนี้ FIN7 ยังหาวิธีการหลีกเลี่ยงการตรวจจับ และบังคับใช้กฎหมายเพื่อเอาผิดพวกเขา โดยการใช้เทคนิคขั้นสูง และแปลกใหม่เพื่อขัดขวางการตรวจจับอยู่ตลอดเวลา

ในบางครั้งพบว่ากลุ่มนี้เป็นที่รู้จักกันในอีกชื่อว่า Carbanak และมีการเพิ่มกลยุทธ์การสร้างรายได้ที่หลากหลายมากขึ้น ซึ่งทำให้กลุ่มของ FIN7 สามารถขยายผลกระทบของการโจมตีได้ ส่งผลให้แฮกเกอร์กลุ่มนี้มีความได้เปรียบในการแข่งขันกับกลุ่มอื่น ๆ และยังสามารถกำหนดเป้าหมายไปยังอุตสาหกรรมที่หลากหลายได้

แม้ว่า FIN7 จะมีเทคนิคที่โดดเด่นในการขโมยข้อมูลบัตรเครดิตจำนวนมาก แต่ความทะเยอทะยานของพวกเขาไม่ได้จำกัดอยู่เพียงการขโมยข้อมูลบัตรเครดิต เพราะในขณะที่ปัจจุบันมีการเข้ารหัสแบบ end-to-end encryption (E2EE) เพื่อป้องกันไม่ให้ผู้โจมตี หรือแฮกเกอร์ได้ข้อมูลบัตรเครดิตไปได้โดยง่าย พวกเขาจึงหันไปโจมตีแผนกการเงินขององค์กรเป้าหมายแทน

จากการวิเคราะห์ของ Anomali Threat Research ที่ลงไว้เมื่อ 2 กันยายน พ.ศ. 2564 กล่าวว่า "การกำหนดเป้าหมายเฉพาะของโดเมน Clearmind ดูจะเป็นวิธีการทำงานที่ FIN7 ต้องการ" "เป้าหมายของกลุ่มคือการใช้แบ็คดอร์ในรูปแบบ JavaScript ที่คาดว่า FIN7 น่าจะใช้มาตั้งแต่ปี 2561

ที่มา : ehackingnews

43% ของมัลแวร์ถูกดาวน์โหลดผ่าน Malicious ไฟล์ของ Microsoft Office

ในไตรมาสที่ 3 ของปี 2020 พบว่าประมาณ 38% ของมัลแวร์ที่ดาวน์โหลดได้ทั้งหมดถูกซ่อนอยู่ในไฟล์ Microsoft Office – ในไตรมาสแรกของปี 2021 อัตรานี้ลดลงเล็กน้อยเป็น 34% แต่คาดว่าจะกลับมาสร้างสถิติใหม่อีกครั้งในระดับ 43% ในไตรมาสถัดไป

Microsoft Office มีผู้ใช้งานออนไลน์หลายสิบล้านคนต่อวันทั่วโลก ในขณะเดียวกันไฟล์เหล่านี้ก็ถูกใช้โดยอาชญากรไซเบอร์เพื่อกระจายมัลแวร์ และเป็นวิธีที่สามารถทำกำไรให้กับอาชญากรได้

ดังนั้นเพื่อหลอกล่อผู้ใช้งานให้ดาวน์โหลดมัลแวร์ แฮ็กเกอร์จะสร้าง malicious macros ในไฟล์เอกสารของ Office และส่งไฟล์เหล่านี้ไปยังผู้ใช้งานผ่านอีเมล ซึ่งโดยปกติแล้วเมื่อมีการเปิดไฟล์ ผู้ใช้งานมักจะถูกหลอกให้เปิดการใช้งาน macros ที่ Microsoft Office จึงทำให้เมื่อผู้ใช้งานเปิดไฟล์เอกสารที่ผู้โจมตีสร้างขึ้นจึงทำให้ malicious macros ที่อยู่ในเอกสารสามารถทำงานได้ทันที

นักวิจัยของ Atlas VPN ระบุว่าเกือบ 43% ของการดาวน์โหลดมัลแวร์ทั้งหมดถูกซ่อนอยู่ในไฟล์ของ MS Office ไฟล์แบบนี้ค่อนข้างเป็นที่นิยมในหมู่ไม่หวังดี เนื่องจากสามารถหาวิธีหลบเลี่ยงการตรวจจับจากซอฟต์แวร์ antivirus ส่วนใหญ่ได้อย่างง่ายดาย

เป็นที่น่าสังเกตว่าการค้นพบของ Atlas VPN เป็นการอิงจากรายงานอื่นที่ชื่อว่า Netskope Threat Lab Cloud and Threat Report: July 2021 Edition ซึ่งครอบคลุมถึงวิธีที่อาชญากรไซเบอร์ใช้ประโยชน์จาก Office docs

ในงานวิจัยของ Netskope Threat Lab ได้ประเมินเอกสารจากแพลตฟอร์มที่แตกต่างกัน ได้แก่ Google Docs และ ไฟล์ PDF ไม่ใช่แค่จาก Microsoft Office 365

ตามรายงานในไตรมาสที่สองของปี 2020 ประมาณ 14% ของมัลแวร์ที่สามารถดาวน์โหลดได้ ทั้งหมดถูกพบซ่อนอยู่ในที่ Office documents และไตรมาสที่สามของปี 2020 ร้อยละนี้เพิ่มขึ้นถึง 38% ส่วนใหญ่เกิดจากการเพิ่มขึ้นของผู้ใช้งานที่ต้องทำงานจากที่บ้าน

ในไตรมาสแรกของปี 2021 อัตรานี้ลดลงเล็กน้อยอยู่ที่ 34% แต่คาดว่าจะกลับมาสร้างสถิติใหม่อีกครั้งในระดับ 43% ในไตรมาสถัดไป

นักวิจัยระบุว่า EMOTET เป็นหนึ่งในมัลแวร์ที่อันตรายที่สุดที่พบในไฟล์ Microsoft Word และด้วยความพยายามร่วมกันของหน่วยงานบังคับใช้กฎหมายทั่วโลก และบริษัทรักษาความปลอดภัยทางไซเบอร์ได้จัดการ EMOTET ได้ในปี 2021

แต่ EMOTET ไม่ได้หายไป เพราะตัวมันเป็นมัลแวร์ที่สามารถนำไปสู่ติดตั้งมัลแวร์ที่เป็นอันตรายชนิดอื่น เช่น ransomware, information stealers, trojans

อย่างไรก็ตามการวิจัยของ Trend Micro ยืนยันว่า EMOTET ยังคงถูกแพร่กระจายโดยเครื่องที่ยึดครองโดยผู้โจมตี (compromised) ตัวอย่างเช่น EMOTET มีความเกี่ยวข้องกับการโจมตีของ Trickbot และ Ryuk ซึ่งเป็นหนึ่งในตระกูล ransomware ที่โด่งดังที่สุด

ที่มา : hackread.

Ramsomware Group REvil จากรัสเซียกลับมาออนไลน์อีกครั้งหลังจากหายไป 2 เดือน

 

 

 

 

 

 

 

 

แฮ็กเกอร์ผู้พัฒนา REvil ransomware-as-a-service (RaaS) กลับมามีปฏิบัติการอีกครั้งหลังจากหายไปถึง 2 เดือน จากครั้งล่าสุดที่มีการโจมตีผู้ให้บริการทางด้านเทคโนโลยีรายใหญ่อย่างบริษัท Kaseya เมื่อวันที่ 4 กรกฎาคมที่ผ่านมา

Portals ของ Dark Web สองแห่ง รวมถึง "Happy Blog" เว็ปไซต์ที่ใช้สำหรับแจ้งข้อมูลที่รั่วไหลออกมา เว็ปไซต์การชำระเงิน และเจรจาค่าไถ่ได้กลับมาออนไลน์อีกครั้ง โดยมีข้อมูลผู้เคราะห์ร้ายรายล่าสุดเมื่อวันที่ 8 กรกฎาคม ซึ่งเป็น 5 วันก่อนที่ไซต์ดังกล่าวจะปิดตัวลงอย่างลึกลับในวันที่ 13 กรกฎาคม และยังไม่แน่ชัดว่า REvil กลับมาในปฏิบัติการ หรือว่าจะเปิดตัวการโจมตีครั้งใหม่

"โชคไม่ดีเลยที่ Happy Blog กลับมาออนไลน์แล้ว" นักวิจัยด้านภัยคุกคามของ Emsisoft นาม Erett Callow ทวีตไว้เมื่อวันอังคารที่ผ่านมา

ความเคลื่อนไหวล่าสุดเกิดขึ้นในช่วง 2 เดือนต่อมาหลังจากการโจมตีด้วย Ransomware ด้วยวิธีการ Supply Chain Attack โดยมุ่งเป้าไปที่ Kaseya ซึ่งเห็นกลุ่มผู้โจมตีเข้ารหัสผู้ให้บริการ (MSPs) ราว 60 ราย และธุรกิจที่เกี่ยวข้องอีกกว่า 1500 แห่งโดยใช้ช่องโหว่ zero-day ในซอฟต์แวร์การจัดการระยะไกล Kaseya VSA

ในปลายเดือนพฤษาคม REvil ยังเป็นผู้นำในการโจมตี JBS ผู้ผลิตเนื้อสัตว์รายใหญ่ที่สุดของโลกด้วย ทำให้บริษัทต้องจ่ายเงินค่าไถ่ 11 ล้านดอลลาร์ให้กับผู้โจมตีเพื่อฟื้นฟูความเสียหายจากเหตุการณ์ดังกล่าว

หลังเหตุการณ์การถูกโจมตี มีการตรวจสอบ และกดดันอย่างหนักจากหลายๆหน่วยงานทั่วโลกเพื่อจัดการกับวิกฤต ramsomware กลุ่มแฮ็กเกอร์ได้ปิดตัว Dark Web ลง ซึ่งคาดว่าอาจจะหยุดดำเนินการชั่วคราวโดยมีเป้าหมายเพื่อรีแบรนด์ภายใต้ตัวตนใหม่เพื่อทำให้เป็นที่สนใจน้อยลง

REvil หรือที่รู้จักกันในนาม Sodinokibi กลายเป็น ransomware สายพันธุ์ที่พบการรายงานบ่อยที่สุดอันดับ 5 ในไตรมาสที่ 1 ปี 2564 ซึ่งคิดเป็น 4.60% ของการโจมตีทั้งหมดในไตรมาสนี้ ตามสถิติที่รวบรวมโดย Emsisoft

ทีมา : thehackernews.

พบช่องโหว่ระดับร้ายแรงบน Azure App ที่ Microsoft แอบติดตั้งไว้บน Linux VMs

 

 

 

 

 

 

 

 

 

เมื่อวันอังคารที่ผ่านมา Microsoft ได้กล่าวถึงช่องโหว่ด้านความปลอดภัย 4 รายการซึ่งเป็นส่วนหนึ่งของการอัปเดต Patch Tuesday
ที่อาจจะถูกนำไปใช้ในการโจมตีโดยผู้ไม่หวังดี เพื่อกำหนดเป้าหมายไปยังลูกค้าที่ใช้บริการ Azure cloud และยกระดับสิทธิ์จนเข้ายึดระบบที่มีช่องโหว่เหล่านั้นได้จากระยะไกล

นักวิจัยจาก Wiz เรียกช่องโหว่พวกนี้รวมกันว่า OMIGOD ซึ่งช่องโหว่เหล่านี้จะส่งผลกระทบต่อ software agent ที่ชื่อว่า Open Management Infrastructure ซึ่ง Software Agent จะถูกติดตั้ง และเรียกใช้งานอัตโนมัติ โดยผู้ใช้งานไม่รู้ตัว

CVE-2021-38647 (CVSS score: 9.8) - Open Management Infrastructure Remote Code Execution Vulnerability
CVE-2021-38648 (CVSS score: 7.8) - Open Management Infrastructure Elevation of Privilege Vulnerability

CVE-2021-38645 (CVSS score: 7.8) - Open Management Infrastructure Elevation of Privilege Vulnerability

CVE-2021-38649 (CVSS score: 7.0) - Open Management Infrastructure Elevation of Privilege Vulnerability

Open Management Infrastructure (OMI) เป็นโอเพ่นซอร์สที่เทียบเท่ากับ Windows Management Infrastructure (WMI) แต่ออกแบบมาสำหรับระบบ Linux และ UNIX เช่น CentOS, Debian, Oracle Linux, Red Hat Enterprise Linux Server, SUSE Linux และ Ubuntu

ลูกค้า Azure บนเครื่อง Linux รวมถึงผู้ใช้บริการเหล่านี้มีความเสี่ยงที่จะถูกโจมตี

Azure Automation
Azure Automatic Update
Azure Operations Management Suite (OMS)
Azure Log Analytics
Azure Configuration Management
Azure Diagnostics

 

 

 

 

 

 

 

 

 

"เมื่อผู้ใช้เปิดใช้งานบริการดังกล่าว OMI จะถูกติดตั้งอย่างเงียบๆ บนเครื่อง VM (Virtual Machine) ของพวกเขา โดยทำงานด้วยสิทธิพิเศษสูงสุดเท่าที่เป็นไปได้" Nir Ohfeld นักวิจัยด้านความปลอดภัยของ Wiz กล่าว

"นอกเหนือจากลูกค้า Azure cloud แล้ว ลูกค้า Microsoft รายอื่นๆ จะได้รับผลกระทบ เนื่องจากสามารถติดตั้ง OMI บนเครื่อง Linux ได้ และมักใช้ในองค์กร" Ohfeld กล่าวเสริม

เนื่องจาก OMI ทำงานเป็น Root ที่มีสิทธิ์สูงสุด ช่องโหว่ดังกล่าวอาจถูกโจมตีโดยผู้ไม่หวังดีจากภายนอก หรือผู้ใช้ที่มีสิทธิ์ต่ำเพื่อรันโค้ดที่เป็นอันตรายจากระยะไกลบนเครื่องเป้าหมาย และยกระดับสิทธิ์ของตนเอง และทำให้ผู้ไม่หวังดีสามารถใช้ประโยชน์จากการยกระดับสิทธิ์ในการติดตั้งการโจมตีอื่นๆอีกต่อไป

ช่องโหว่ 4 รายการที่สำคัญที่สุดคือช่องโหว่เรียกใช้โค้ดที่เป็นอันตรายจากระยะไกลที่เกิดจากพอร์ต HTTPS ที่ถูกเปิดไว้ เช่น 5986, 5985 หรือ 1270 ทำให้ผู้ไม่หวังดีสามารถที่จะเข้าถึง Azure ของเป้าหมายได้ และเริ่มเคลื่อนย้ายตนเองเข้าสู่เครือข่ายของเหยื่อ

"ด้วยแพ็กเก็ตเดียว ผู้ไม่หวังดีสามารถเป็น Root บนเครื่องจากระยะไกลได้โดยเพียงแค่ลบ Authentication Header มันง่ายมาก" "นี่เป็นช่องโหว่เรียกใช้โค้ดที่เป็นอันตรายจากระยะไกลที่เราสามารถเห็นได้ในตำราเรียนตั้งแต่ในยุค 90 เป็นเรื่องผิดปกติอย่างมากที่ยังสามารถเห็นมันเกิดขึ้นกับ Endpoints นับล้าน ในปี 2021" Ohfeld กล่าว

OMI เป็นเพียงตัวอย่างหนึ่งของ Software Agent ที่แอบติดตั้งโดยผู้ใช้งานไม่รู้ตัว สิ่งสำคัญคือต้องทราบว่า Software Agent เหล่านี้ไม่ได้มีเพียงใน Azure แต่ใน Amazon Web Services และ Google Cloud Platform ก็อาจมีเช่นเดียวกัน

คำแนะนำ

ในตอนนี้ Azure ไม่สามารถ Update OMI ให้ผู้ใช้งานที่ติดตั้ง Version ที่มีช่องโหว่ได้ แต่ผู้ใช้งานสามารถแก้ไขได้โดยดาวน์โหลด Package Repository ของ Microsoft และดำเนินการ Update OMI โดย การติดตั้ง OMI Version ใหม่ รายละเอียดสามารถเข้าไปอ่านเพิ่มเติมได้ใน

ที่มา : msrc.

New PIN Verification Bypass Flaw Affects Visa Contactless Payments

นักวิจัยค้นพบช่องโหว่ใหม่ที่สามารถ Bypass การตรวจสอบ PIN บนบัตรเครดิตแบบ Contactless ของ Visa

นักวิจัย ETH จากซูริคได้เปิดเผยถึงช่องโหว่การ Bypass การตรวจสอบ PIN ของบัตรเครดิตแบบระบบ Contactless ของ Visa ที่ช่วยให้ผู้ประสงค์ร้ายสามารถใช้บัตรเครดิตของเหยื่อที่ถูกขโมยหรือหายทำการซื้อสินค้าโดยปราศจากรหัส PIN ของบัตรบัตรเครดิต ณ จุด Point of sale (PoS)

จากการเปิดเผยของนักวิจัย ETH ช่องโหว่ที่พบนั้นอยู่ในโปรโตคอล EMV (ย่อมาจาก Europay, Mastercard, และ Visa) ซึ่งเป็นมาตรฐานโปรโตคอลสากลที่ใช้กันอย่างแพร่หลายสำหรับการชำระเงินด้วยสมาร์ทการ์ด โดยผู้ประสงค์ร้ายสามารถทำการโจมตีแบบ man-in-the-middle (MitM) ผ่านแอป Android ด้วยการสั่งให้เทอร์มินัลไม่ต้องทำการตรวจสอบ PIN เนื่องจากมีการตรวจสอบผู้ถือบัตรด้วยการดำเนินการบนอุปกรณ์ของผู้ถือบัตร เนื่องจากได้รับการยืนยันแล้วจากอุปกรณ์ของผู้ใช้และจะดำเนินการหักเงินในบัตรของผู้ใช้ในขึ้นต่อไป

นอกจากช่องโหว่ที่ถูกเปิดเผยนี้นักวิจัย ETH ยังพบช่องโหว่ที่เกี่ยวข้องกับระบบ Contactless ของ Visa และบัตร Mastercard อีกช่องโหว่หนึ่งคือผู้ประสงค์ร้ายสามารถแก้ไขข้อมูลเฉพาะที่เรียกว่า "Application Cryptogram" (AC) ก่อนที่จะส่งไปยังเทอร์มินัล PoS โดยทั่วไปบัตรที่ทำธุรกรรมแบบออฟไลน์จะใช้เพื่อชำระค่าสินค้าและบริการโดยตรงจากบัญชีธนาคารของผู้ถือบัตรโดยไม่ต้องใช้หมายเลข PIN แต่เนื่องจากธุรกรรมเหล่านี้ไม่ได้เชื่อมต่อกับระบบออนไลน์จึงมีความล่าช้า 24 ถึง 72 ชั่วโมงก่อนที่ธนาคารจะยืนยันความถูกต้องของธุรกรรมโดยใช้การใช้ Cryptogram และจำนวนเงินที่ซื้อจะถูกหักออกจากบัญชี ผู้ประสงค์ร้ายสามารถใช้กลไกการประมวลผลที่ล่าช้านี้เพื่อใช้บัตรที่ทำการปลอมเเปลงทำธุรกรรมที่มีมูลค่าต่ำ ซึ่งกว่าธนาคารผู้ออกบัตรจะปฏิเสธธุรกรรมที่ใช้ Cryptogram ผิดพลาดผู้ประสงค์ร้ายก็ออกจากจุดที่ทำธุรกรรมแล้ว

นักวิจัย ETH กล่าวว่าช่องโหว่ที่ถุกค้นพบนั้นมีผลกระทบกับบัตรเครดิตแบบระบบ Contactless ของ Visa เช่น Visa Credit, Visa Debit, Visa Electron และ V Pay card ทั้งนี้ช่องโหว่ยังสามารถใช้กับบัตรที่ใช้โปรโตคอล EMV อย่าง Discover และ UnionPay ได้ด้วยอย่างไรก็ตามช่องโหว่ดังกล่าวจะไม่ส่งผลกระทบต่อ Mastercard, American Express และ JCB ปัจจุบันนักวิจัยได้ทำการเเจ้ง Visa ให้ได้รับทราบถึงปัญหาแล้ว ส่วนรายละเอียดของช่องโหว่นั้นจะถูกนำเสนอในงาน IEEE Symposium on Security and Privacy ครั้งที่ 42 ที่จะจัดขึ้นในซานฟรานซิสโกในเดือนพฤษภาคมปีหน้า

ที่มา: thehackernews.

Check Point Patches Privilege Escalation Flaw in Endpoint Client

Check Point Software แก้ช่องโหว่ยกระดับสิทธิ์ใน Endpoint Client

Check Point Software แก้ช่องโหว่ที่พบในซอฟต์แวร์ Check Point Endpoint Security Initial Client สำหรับวินโดว์ที่ยอมให้ผู้โจมตียกระดับสิทธิ์และรันโค้ดโดยใช้สิทธิ์ SYSTEM

ช่องโหว่ดังกล่าวได้รับ CVE-2019-8461 ทำให้ผู้โจมตีสามารถรันเพย์โหลดที่เป็นอันตรายโดยใช้สิทธิ์ system-level เช่นเดียวรวมทั้งหลีกเลี่ยงการตรวจจับมัลแวร์โดยเลี่ยง application whitelisting ซึ่งเป็นเทคนิคที่ใช้กันโดยไปทั่วไปเพื่อป้องกันการเรียกใช้แอปที่ไม่รู้จักหรืออาจเป็นอันตราย

Peleg Hadar นักวิจัยผู้ค้นพบช่องโหว่ดังกล่าวระบุว่าช่องโหว่นี้อาจถูกใช้เพื่อยกระดับสิทธิ์และคงอยู่บนเครื่องถาวรโดยการเรียกใช้ DLL เป็นอันตรายด้วย Windows services ที่ถูกใช้โดย Check Point Endpoint Security

ที่มา : bleepingcomputer

Indian Healthcare Website Hacked, stolen data for sale

FireEye บริษัทความมั่งคงทางไซเบอร์ในสหรัฐฯ พบการแฮกบนเว็บไซต์ด้านสุขภาพจากประเทศอินเดีย โดยทำการขโมยข้อมูลไปมากกว่า 6.8 ล้านข้อมูลของทั้งแพทย์และคนไข้
FireEye ไม่ได้ระบุชื่อเว็บไซต์ แต่ได้กล่าวว่านี่เป็นอาชญากรไซเบอร์ที่ส่วนใหญ่มาจากจีน โดยจะขายข้อมูลที่ขโมยมาจากเว็บไซต์ทั่วโลก

“ในเดือนกุมภาพันธ์ ผู้ไม่หวังดีนามแฝงว่า “fallensky519” ได้ขโมย 6.8 ล้านข้อมูลที่เกี่ยวกับข้อมูลด้านสุขภาพชาวอินเดียบนเว็บไซต์ ที่มีข้อมูลทั้งคนไข้และแพทย์ที่สามารถระบุตัวตนได้ รวมถึงรหัสผ่าน” FireEye แถลงรายงานร่วมกับ IANS
ตามที่ FireEye กล่าวในระหว่างวันที่ 1 ตุลาคม 2018 ถึง 31 มีนาคม 2019 ทีมข่าวกรองพบข้อมูลหลายตัวที่มีประวัติสุขภาพได้ถูกขายในราคา $2,000 ซึ่งข้อมูลที่ขายเกี่ยวข้องกับงานวิจัยเกี่ยวกับมะเร็ง ซึ่งสะท้อนให้เห็นถึงความกังวลของจีนต่อการเพิ่มอัตราการเกิดโรคมะเร็งและการเสียชีวิต รวมถึงค่าใช้จ่ายด้านการดูแลสุขภาพระดับชาติ

ที่มา : ehackingnews

Android September 2018 Patches Fix Critical Flaws

Google ได้ปล่อยแพทช์รักษาความปลอดภัยเดือนกันยายนปี 2018 สำหรับ Android ซึ่งแก้ไขปัญหาได้มากกว่า 50 ช่องโหว่

แพทช์รักษาความปลอดภัย Android ในเดือนกันยายน 2018 แบ่งออกเป็นสองส่วนคือระดับแพทช์การรักษาความปลอดภัย 2018-09-01 ซึ่งสามารถแก้ไขข้อบกพร่องได้ 24 ข้อและแพทช์ความปลอดภัย 2018-09-05 ซึ่งมีข้อบกพร่องทั้งหมด 35 ข้อ

มี 5 ช่องโหว่ในแพทช์รักษาความปลอดภัย 2018-09-01 ได้รับการจัดอันดับความรุนแรง Critical 3 ช่องโหว่เป็นปัญหาเรื่องการยกระดับสิทธิพิเศษที่มีผลต่อระบบ ในขณะที่ส่วนที่เหลืออีก 2 ข้อเป็นช่องโหว่ในการเรียกใช้โค้ดจากระยะไกลใน Media framework

Google ยังกล่าวถึงช่องโหว่ที่มีความเสี่ยงสูงใน Android runtime, Framework, Library, Media framework และ System รวมถึงปัญหาความรุนแรงระดับปานกลาง 2 เรื่องใน Media framework and System ซึ่งช่องโหว่ดังกล่าวส่วนใหญ่จะส่งผลกระทบต่อ Android เวอร์ชัน 7.0, 7.1.1, 7.1.2, 8.0, 8.1 และ 9.0 แต่มีเพียงบางส่วนเท่านั้นที่พบว่ามีผลต่อ Android 8.0 และแพลตฟอร์มใหม่ ๆ

35 ช่องโหว่ในแพทช์รักษาความปลอดภัย 2018-09-05 ซึ่ง 6 ช่องโหว่อยู่ในระดับความรุนแรง Critical, 27 ช่องโหว่อยู่ในระดับความรุนแรง High และ 2 ช่องโหว่ถือว่าเป็นความรุนแรงปานกลาง ซึ่งเป็นช่องโหว่ใน Framework, Kernel components, และ Qualcomm components

ที่มา : securityweek

Trend Micro Apps Leak User Data, Removed from Mac App Store

Application หลายรายการที่พัฒนาโดย Trend Micro จะถูกนำออกไปจาก Mac App Store หลังจากที่นักวิจัยพบว่าแอพพลิเคชั่นเหล่านั้นทำการรวบรวมประวัติการเข้าชมเบราเซอร์และข้อมูลเกี่ยวกับคอมพิวเตอร์ของผู้ใช้งาน

Apple ได้นำ Adware Doctor ซึ่งเป็นแอพพลิเคชั่นด้านความปลอดภัยที่มีผู้ใช้งานมากจากการจัดอันดับในส่วนของ Application ที่ให้ดาวน์โหลดฟรีออกจาก App Store นอกจากนี้ยังมีแอพพลิเคชั่น Dr. Antivirus, Dr. Cleaner และ Dr. Unarchiver ซึ่งทั้งหมดถูกพัฒนาภายใต้บัญชีของ Trend Micro หลังจากที่มีการนำแอพพลิเคชั่นดังกล่าวออกไปแล้ว นักวิจัยด้านความปลอดภัย Privacy_1st ได้เผยแพร่วิดีโอที่แสดงว่า Dr. Cleaner และ Dr. Antivirus (Adware Doctor) รวบรวมประวัติการเข้าชมเบราว์เซอร์จาก Safari, Chrome และ Firefox รวมถึงข้อมูลอื่นๆ โดยข้อมูลต่างๆที่ส่งออกไปสามารถใช้ยืนยันและระบุตัวตนของผู้ใช้งานได้

เมื่อวันที่ 10 ก.ย. 19:13: บริษัท เทรนด์ไมโคร ได้ออกมาแถลงการณ์ปฏิเสธว่าแอพพลิเคชั่นดังกล่าวไม่ได้ขโมยข้อมูลของผู้ใช้งาน แต่เป็นการเก็บรวมรวบข้อมูลเพื่อไปพัฒนาแอพพลิเคชั่นให้ดียิ่งขึ้น และข้อมูลดังกล่าวจะถูกอัพโหลดไปยังเซิร์ฟเวอร์ในสหรัฐอเมริกาที่เป็น Amazon Web Services ไม่ใช่ในประเทศจีน แต่ Apple เห็นถึงความไม่ปลอดภัยของผู้ใช้งาน จึงได้ทำการลบแอพพลิเคชั่นดังกล่าวออกจาก App store และเตือนให้ผู้ใช้งานถอนการติดตั้งแอพดังกล่าว

ที่มา : bleepingcomputer

Microsoft patches recent ALPC zero-day in September 2018 Patch Tuesday updates

ไมโครซอฟต์แก้ไขช่องโหว่ zero-day ใน Task Scheduler และช่องโหว่ร้ายแรงมากอื่นๆ ในแพตช์ประจำเดือนกันยายน 2018

ไมโครซอฟต์ออกแพตช์ประจำเดือนกันยายน 2018 เพื่อแก้ไขช่องโหว่รวมทั้งหมด 61 ช่องโหว่ แบ่งออกเป็นช่องโหว่รายแรงมาก (Critical) จำนวน 17 ช่องโหว่ ช่องโหว่ร้ายแรง (Important) 43 ช่องโหว่ และช่องโหว่ร้ายแรงปานกลางจำนวน 1 ช่องโหว่

ในช่องโหว่ทั้ง 61 ช่องโหว่นี้มีช่องโหว่ที่่ได้รับการเปิดเผยต่อสาธารณะแล้ว 4 ช่องโหว่ ได้แก่ CVE-2018-8440, CVE-2018-8475, CVE-2018-8457 และ CVE-2018-8457

ช่องโหว่ CVE-2018-8440 คือช่องโหว่ zero-day ใน Task Scheduler ที่มีผู้เผยแพร่วิธีการโจมตี รวมถึงมีมัลแวร์ใช้ในการโจมตีแล้ว โดยสามารถอ่านรายละเอียดของช่องโหว่ดังกล่าวได้จาก [https://www.