ช่องโหว่ zero-day ใน Task Scheduler บน Windows ถูกใช้โจมตีด้วยมัลแวร์แล้ว

หลังจากที่มีผู้เผยแพร่ช่องโหว่ zero-day ใน Task Scheduler บน Windows ในช่วงเช้าวันอังคารที่ 28 สิงหาคม ตามเวลาในประเทศไทย นักวิจัยจาก ESET ได้ค้นพบมัลแวร์ที่ใช้ประโยชน์จากช่องโหว่ดังกล่าวแล้วสร้างโดยกลุ่ม PowerPool ในสองวันต่อมา

กลุ่ม PowerPool ถูกตั้งชื่อตามวิธีในการโจมตี ซึ่งเป็นการโจมตีด้วยสคริปต์ PowerShell กลุ่ม PowerPool ทำการโจมตีไปทั่วโลกผ่านทาง spam อีเมลโดยพบเหยื่อจากหลายประเทศ ได้แก่ ชิลี เยอรมัน อินเดีย ยูเครน เป็นต้น อีเมลดังกล่าวประกอบด้วยไฟล์แนบอันตรายที่จะทำให้เครื่องของเหยื่อที่หลงเปิดติด backdoor หากกลุ่ม PowerPool คาดว่าเครื่องของเหยื่อมีข้อมูลสำคัญ จะทำการยกสิทธิ์ของ backdoor ด้วยช่องโหว่ zero-day ดังกล่าว

นักวิจัยจาก ESET กล่าวว่า ช่องโหว่นี้ถูกใช้โจมตีได้อย่างรวดเร็วเนื่องจากผู้เผยแพร่ช่องโหว่ได้เปิดเผย source code ที่ใช้ในการโจมตีด้วย ทำให้ง่ายต่อการนำไปใช้ต่อ ทั้งนี้มีการคาดการว่าไมโครซอฟต์จะทำการแพตช์ช่องโหว่ดังกล่าวในแพตช์ประจำเดือนกันยายน 2018

ที่มา : ZDNet

Group-IB เปิดโปงกลุ่มแฮกเกอร์กลุ่มใหม่ มุ่งโจมตีสถาบันทางการเงิน

นักวิจัยจาก Group-IB ออกรายงานชื่อ Silence: Moving into the darkside เปิดเผยกลุ่มแฮกเกอร์กลุ่มใหม่ชื่อ Silence เชื่อมโยงกับการขโมยเงินจากธนาคารในรัสเซีย, ธนาคารในยุโรปตะวันออก และสถาบันทางการเงิน

Group-IB ค้นพบการเคลื่อนไหวของกลุ่ม Silence ตั้งแต่เดือนกรกฏาคมปี 2016 โดยกลุ่ม Silence พยายามทำการถอนเงินผ่านระบบกลางที่เชื่อมระหว่างแต่ละธนาคารในรัสเซีย (AWS CBR: Automated Work Station Client of the Russian Central Bank) แต่ไม่ประสบความสำเร็จ จากนั้นกลุ่ม Silence มีการพัฒนาเทคนิคการโจมตีและทดลองอีกหลายครั้งจนกระทั่งทำการโจมตีสำเร็จในเดือนตุลาคมปี 2017 และทำการโจมตีต่อมาอีกหลายครั้งในปี 2018 รวมเป็นเงินกว่า 800,000 ดอลลาร์สหรัฐฯ

Group-IB คาดว่ากลุ่ม Silence ประกอบด้วยบุคคลเพียงสองคน ทำให้ดำเนินการได้ช้ากว่ากลุ่มอื่นๆ อย่าง Cobalt หรือ MoneyTraper ที่สามารถขโมยเงินได้หลายล้านดอลลาร์สหรัฐ การโจมตีของกลุ่ม Silence จะเริ่มต้นจากการใช้ spear-phishing อีเมลที่โจมตีผ่านช่องโหว่ของ Windows และ Office อย่าง CVE-2017-0199, CVE-2017-11882+CVE-2018-0802, CVE-2017-0262, CVE-2017-0263 และ CVE-2018-8174 ตามด้วยการโจมตีด้วยมัลแวร์ โดย Group-IB ตั้งสมมติฐานว่ากลุ่ม Silence น่าจะมีสมาชิกเป็นอดีตพนักงานหรือพนักงานปัจจุบันที่ทำงานในบริษัทด้านการรักษาความปลอดภัยทางไซเบอร์เนื่องจากมีความสามารถในการดัดแปลงมัลแวร์อื่นๆ ที่ไม่ได้เขียนขึ้นเอง เช่น Kikothac backdoor, the Smoke downloader และ the Undernet DDoS bot มาใช้งาน

ในปัจจุบันกลุ่ม Silence ประสบความสำเร็จในการโจมตีจำกัดแค่ประเทศรัสเซียและประเทศในแถบยุโรปตะวันออก แต่ได้มีการพยายามส่ง spear-phishing อีเมลไปกว่า 25 ประเทศซึ่งรวมไปถึงเยอรมัน สหราชอาณาจักร มาเลเซีย และอิสราเอล โดยผู้ที่สนใจสามารถอ่านรายละเอียดในรายงานดังกล่าวได้จาก https://www.

ผู้ใช้ Avast พบปัญหาด้านการใช้งานอินเทอร์เน็ตและการใช้งานโปรแกรม Malwarebytes หลังจากทำการอัปเกรดแล้ว

ในสัปดาห์นี้ผู้ใช้ผลิตภัณฑ์ป้องกันไวรัสของ Avast ได้รายงานปัญหาอินเทอร์เน็ตหลังจากอัปเกรด หากผู้ใช้มีโปรแกรม Malwarebytes ติดตั้งอยู่อาจก่อให้เกิดความขัดข้องกับโปรแกรมเช่นกัน หากต้องการให้โปรแกรมทั้งสองทำงานได้อย่างปกติ จะต้องปิดโมดูลการป้องกันของโปรแกรมใดโปรแกรมหนึ่งเพื่อหลีกเลี่ยงปัญหาดังกล่าว

หลังจากอัปเกรดเป็น Avast 18.6.2349 ผู้ใช้จำนวนมากเริ่มร้องเรียนปัญหาที่ไม่สามารถเรียกดูเว็บไซต์ได้ พวกเขาได้ทดสอบ Ping ไปยังที่อยู่ IP ได้แต่ไม่สามารถเข้าถึงเว็บไซต์ผ่านเบราว์เซอร์ได้ แต่เมื่อปิดใช้งานคอมโพเนนต์ Avast WebShield ที่ช่วยปกป้องผู้ใช้จากการเรียกดูไซต์หรือสคริปต์ที่เป็นอันตราย จึงสามารถเรียกดูเว็บได้ตามปกติ

พนักงานของ Avast ชื่อ Filip Braun กล่าวว่าปัญหานี้อาจเกิดจากการอัปเดตที่ล้มเหลว จึงแนะนำให้ผู้ใช้ลองทำการติดตั้งใหม่ และผู้ใช้บางรายระบุว่าพบปัญหาแม้ว่าจะไม่มีการติดตั้ง Malwarebytes ก็ตาม

ทาง Malwarebytes กล่าวว่าถ้าต้องการใช้โมดูลการปกป้องเว็บต่อไป จะต้องปิดการใช้งาน "Real Site Protection" ของ Avast และทาง Malwarebytes กำลังทำงานร่วมกับ Avast / AVG ในการแก้ไขปัญหาเหล่านี้

ที่มา: bleepingcomputer

เมื่อสัปดาห์ที่ผ่านมานักวิจัยด้านความปลอดภัยจาก MalwareHunterTeam ค้นพบ ransomware ตัวใหม่ชื่อว่า CryptoNar จากการตรวจสอบพบว่ามีผู้ติด ransomware ดังกล่าวเกือบ 100 คน

CryptoNar หรือ Crypto Nar Ransomware จะเข้ารหัสไฟล์ของเหยื่อ โดยจะทำการเข้ารหัสไฟล์แตกต่างกันออกไปขึ้นอยู่กับชนิดของไฟล์ที่กำลังถูกเข้ารหัส โดยไฟล์ที่เป็น .txt หรือ .md จะทำการเข้ารหัสไฟล์ทั้งหมดและเปลี่ยนนามสกุลไฟล์เป็น .fully.

ตำรวจ Rostov กำลังตามจับแฮกเกอร์ที่ขโมยเงินจำนวน 1.264 ล้านรูเบิลจากตู้ ATM

สันนิษฐานว่าในวันที่ 14 สิงหาคม แฮกเกอร์เปิดแป้นพิมพ์ pin ของ ATM เพื่อเชื่อมต่อและดึงเงินจำนวนมากออกมา สิ่งที่น่าสนใจคือการทราบเรื่องในสองสัปดาห์ต่อมา เนื่องจากแฮกเกอร์ไม่ได้ทำให้อุปกรณ์ใดใดเสียหาย

เมื่อวันที่ 29 สิงหาคมหัวหน้าแผนกรักษาความปลอดภัยของธนาคารได้ร้องเรียนต่อเจ้าหน้าที่ตำรวจและรายงานการโจรกรรมเงินจำนวนมาก ซึ่งขณะนี้แฮกเกอร์ยังไม่ถูกจับกุม

ที่มา: ehackingnews

นักวิจัยด้านความปลอดภัยค้นพบมัลแวร์ ATM สายพันธุ์ใหม่ชื่อ ATMii โดยมีเป้าหมายเฉพาะเครื่อง ATM ที่ทำงานบน Windows 7 และ Windows Vista เท่านั้น
เมื่อช่วงต้นปีที่ผ่านมาพบธนาคารแห่งหนึ่งถูกโจมตีจากมัลแวร์ ATMii และได้เปิดเผยรายละเอียดทางด้านเทคนิคเกี่ยวกับความสามารถของมัลแวร์ โดยนักพัฒนาอาวุโสของ Kaspersky "Konstantin Zykov" กล่าวว่ามัลแวร์ดังกล่าวไม่ซับซ้อนเท่า ATM มัลแวร์สายพันธุ์ที่ผ่านมา
ATMii ใช้ไฟล์เพียงสองไฟล์เท่านั้นคือ exe.

Red Hat ได้ทำการอัพเดต MySQL 5.6(rh-mysql56-mysql) โดยได้ทำการแก้ไขช่องโหว่ตามรายงาน CVE ที่ได้มีการเปิดเผยออกมา, MySQL ซึ่งเป็น SQL Server Database ที่สามารถใช้งานแบบผู้ใช้หลายคน (Multi- user) และมีการประมวลผลหลายๆงานพร้อมกัน (multi-threaded) ประกอบด้วยเซิร์ฟเวอร์ MySQL daemon, mysqld และโปรแกรม Client จำนวนมาก ทั้งนี้ได้มีการอัพเกรดแพ็คเกจต่อไปนี้เป็น Version ที่ใหม่กว่าคือ rh-mysql56-mysql (5.6.37) เพื่อแก้ปัญหาข้อบกพร่องที่เกิดขึ้น ตัวอย่างช่องโหว่ที่ไดรับการปรับปรุงแล้ว มีดังนี้

1. ข้อบกพร่องเรื่อง Integer Overflow ที่จะนำไปสู่ Buffer Overflow ของ MySQL ทำให้ผู้โจมตีจากระยะไกล(Remote Attack) ใช้ข้อบกพร่องนี้เพื่อโจมตี และทำให้ MySQL เกิด crash ได้ (CVE-2017-3599)
2. พบว่าเครื่องมือ mysql และ mysqldump ไม่สามารถจัดการฐานข้อมูลและชื่อตารางที่มีอักขระเป็น Newline ได้อย่างถูกต้อง ผู้ใช้ฐานข้อมูลที่มีสิทธิ์สร้างฐานข้อมูล และตาราง สามารถรันคำสั่ง shell หรือ SQL ได้โดยพลการ ขณะที่มีการ Restore ข้อมูลจาก Backup ที่ถูกสร้างโดย mysqldump (CVE-2016-5483, CVE-2017-3600)
3. พบข้อบกพร่องหลายอย่างในสคริปต์ MySQL init ที่ใช้ในการจัดการค่าเริ่มต้นของ Data Directory ในฐานข้อมูล และการตั้งค่าสิทธิ์ใน Error Log File ทำให้ผู้ใช้ MySQL สามารถใช้ข้อบกพร่องนี้เพื่อเพิ่มสิทธิ์เป็น root ได้ (CVE-2017-3265)
4. พบว่าเครื่องมือ Command line ของ MySQL client จะมีการตรวจสอบก็ต่อเมื่อพบว่า Server รับรองการใช้งาน SSL เท่านั้น ทำให้สามารถใช้ man-in-the-middle attacker เพื่อแย่งชิงการตรวจสอบความถูกต้องของ Client ไปยัง Server แม้ว่า Client จะได้รับการกำหนดค่าให้ใช้งาน SSL ก็ตาม (CVE-2017-3305)
5. พบข้อบกพร่องใน mysqld_safe script ที่ใช้ในการสร้างไฟล์ error log ทำให้ผู้ใช้งาน MySQL สามารถเพิ่มสิทธิ์ของตนเองให้เป็น root ได้ (CVE-2017-3312)
6. พบข้อบกพร่องใน Client Library ของ MySQL(libmysqlclient) ที่ใช้จัดการเมื่อ Client หลุดจากการเชื่อมต่อกับ Server ทำให้ Server อื่นๆที่ไม่รู้จัก หรือใช้ man-in-the-middle attacker ทำให้ Application ที่มีการใช้ libmysqlclient เกิดการ Crash ได้ (CVE-2017-3302)

นอกจากนี้ยังครอบคลุมช่องโหว่อื่นๆอีกมากมาย ซึ่งส่งผลกระทบกับ MySQL โดยสามารถหารายละเอียดได้จากเวปไซต์ของ Oracle Critical Patch Update

ที่มา : redhat

นักวิจัยด้านความปลอดภัยและอดีตพนักงาน NSA ประกาศช่องโหว่ 0day บน macOS High Sierra

Patrick Wardle นักวิจัยด้านความปลอดภัยและอดีตพนักงาน (แฮกเกอร์) ของ NSA ได้มีการประกาศการค้นพบช่องโหว่แบบ local บน macOS ซึ่งส่งผลให้ผู้โจมตีสามารถเข้าถึงและขโมยข้อมูลจาก Keychain ซึ่งเป็นฟีเจอร์เก็บรหัสผ่านบน macOS โดยไม่ต้องอาศัยรหัสผ่านเพื่อเข้าถึงได้

Patrick ได้ทำการทดสอบช่องโหว่ดังกล่าวกับ macOS ในรุ่นล่าสุดที่พึ่งเปิดตัว "High Sierra" ซึ่งแสดงให้เห็นว่าช่องโหว่ดังกล่าวใช้ได้จริง Patrick ยังกล่าวเพิ่มเติมว่าช่องโหว่นี้สามารถใช้งานได้กับ macOS ในรุ่นเก่าๆ ได้อีกด้วย

Patrick กล่าวเพิ่มเติมว่า เขาได้ทำการแจ้งไปยังแอปเปิลเกี่ยวกับรายละเอียดของช่องโหว่ดังกล่าวแล้ว อย่างไรก็ตามแอปเปิลยังไม่ได้มีประกาศว่าจะมีการแพตช์หรือไม่แพตช์ช่องโหว่นี้ ซึ่งอาจเป็นไปได้ว่าแพตช์อาจมาในอัพเดตต่อไปๆ ของระบบปฏิบัติการ

ดูวีดิโอแสดงการทดสอบช่องโหว่ได้ที่ https://player.

แจ้งเตือน backdoor บนปลั๊กอินยอดนิยมของ WordPress "Display Widgets"

WordPress ออกมาประกาศและแจ้งเตือนกรณีที่ปลั๊กอินชื่อดังบนระบบภายใต้ชื่อ Display Widgets ถูกฝัง backdoor และส่งผลให้เว็บไซต์ที่มีการติดตั้งถูกแฮก เวอร์ชันที่ได้รับผลกระทบนั้นเป็นปลั๊กอินในเวอร์ชัน 2.6.1 (เปิดให้ดาวโหลดเมื่อ 30 มิถุนายน) และเวอร์ชัน 2.6.3 (เปิดให้ดาวโหลดเมื่อ 2 กันยายน)

แนะนำให้ผู้ใช้งานตรวจสอบว่ามีการใช้งานปลั๊กอินเหล่านี้อยู่หรือไม่ หากมีแนะนำให้นำออกหรืออัพเดตเป็นเวอร์ชันล่าสุดรวมไปถึงเปลี่ยนรหัสผ่านของระบบ WordPress ด้วย

ที่มา : BLEEPINGCOMPUTER

แจ้งเตือนการโจมตี Cryptojacking ขุดบิทคอยน์ผ่านเว็บไซต์

ESET แจ้งเตือนพฤติกรรมของนักพัฒนามัลแวร์ที่เริ่มมีการใช้งานไลบรารีจาวาสคริปต์เพื่อบังคับให้มีการขุดบิทคอยน์หรือสกุลเงินดิจิตัลอื่นๆ ทันทีที่ผู้ใช้งานเข้าชมเว็บไซต์ ส่งผลกระทบต่อประสิทธิภาพในการใช้งานระบบของผู้ใช้งานโดยตรง

หนึ่งในไลบรารีที่มีการใช้งานอย่างแพร่หลายคือไลบรารีที่ถูกพัฒนาต่อจาก MineCrunch ซึ่งถูกพัฒนามาตั้งแต่ปี 2014 นักพัฒนามัลแวร์มุ่งโจมตีเว็บไซต์ในแถบยูเครนและรัสเซียโดยเฉพาะอย่างยิ่งเว็บไซต์ที่ผู้ใช้งานมักจะใช้งานเป็นเวลานาน เช่น เว็บสตรีมมิ่งหนัง และทำการแฮกเพื่อฝังสคริปต์ดังกล่าวลงไป ESET กล่าวเพิ่มเติมว่าเป้าหมายของอาชญากรเหล่านี้มุ่งเน้นไปที่สกุลเงินที่ติดตามตัวได้ยาก อาทิ Monero หรือ Zcash

นอกเหนือจาก MinChrunch แล้ว ไลบรารีอีกชนิดหนึ่งที่มักมีการนิยมใช้คือ CoinHive นักพัฒนาด้านความปลอดภัย Jerome Dangu ค้นพบว่า ผู้พัฒนามัลแวร์ยังมีการฝังสคริปต์ดังกล่าวไว้ในเว็บไซต์ฟิชชิ่งหรือเว็บไซต์ที่สะกดชื่อผิด (typosquatiing) เพื่อหาประโยชน์ทางอ้อมอีกด้วย

ในขณะนี้ปลั๊กอินในเว็บเบราว์เซอร์หลายรายได้เพิ่มฟีเจอร์ในการบล็อคการโจมตีในลักษณะนี้แล้ว อาทิ AdBlock Plus และ AdGuard รวมไปถึงยังมีการพัฒนาปลั๊กอินในเว็บเบราว์เซอร์ที่ป้องกันการโจมตีในลักษณะนี้โดยเฉพาะอีกด้วย อาทิ AntiMiner, No Coin และ minerBlock แนะนำให้ผู้ใช้งานเพิ่มความระมัดระวังเมื่อเข้าเว็บไซต์ที่มีความเสี่ยงสูง รวมถึงเพิ่มมาตรการป้องกันการโจมตีในลักษณะนี้

ที่มา : BLEEPINGCOMPUTER