จากการติดมัลแวร์สู่การเข้าถึงระบบ : ไทม์ไลน์ 24 ชั่วโมงของแคมเปญ Stealer ในปัจจุบัน

ปัจจุบันมัลแวร์ Stealer ไม่เพียงขโมยรหัสผ่านอีกต่อไป ปัจจุบันมัลแวร์สามารถขโมยเซสชันที่กำลังใช้งานอยู่ และผู้โจมตีสามารถดำเนินการได้อย่างรวดเร็ว และมีประสิทธิภาพมากขึ้น

การวิจัยล่าสุดของ Flare ที่ชื่อว่า The Account and Session Takeover Economy ได้วิเคราะห์ Log จากมัลแวร์ Stealer กว่า 20 ล้านรายการ และติดตามพฤติกรรมของผู้ไม่หวังดีผ่าน channels Telegram และบน Dark Web ผลการวิเคราะห์เปิดเผยว่าผู้ไม่หวังดีใช้เครื่องของพนักงานที่ติดมัลแวร์เป็นช่องทางเข้ายึดเซสชันขององค์กรได้ภายในไม่ถึง 24 ชั่วโมงหลังการติดมัลแวร์

(more…)

MITRE ยืนยันเหตุการณ์การถูกโจมตีผ่านช่องโหว่ Ivanti zero-days

MITRE Corporation ยืนยันว่าพบเหตุการณ์ที่คาดว่ามาจากกลุ่มแฮ็กเกอร์ที่ได้รับการสนับสนุนจากรัฐ ได้โจมตีระบบระบบของพวกเขาในเดือนมกราคม 2024 ผ่านทางช่องโหว่ zero-days สองรายการใน Ivanti VPN

เหตุการณ์ดังกล่าวถูกพบภายหลังจากการตรวจสอบพฤติกรรมที่น่าสงสัยใน Networked Experimentation, Research and Virtualization Environment (NERVE) ของ MITRE ซึ่งเป็นเครือข่ายความร่วมมือที่ไม่ได้ถูกจัดแบ่งประเภท ซึ่งใช้สำหรับการวิจัย และพัฒนา

MITRE ได้แจ้งฝ่ายที่ได้รับผลกระทบเกี่ยวกับการโจมตีดังกล่าว ทำการติดต่อหน่วยงานที่เกี่ยวข้อง และขณะนี้กำลังดำเนินการฟื้นฟูการทำงานของระบบ

หลักฐานที่รวบรวมได้ระหว่างการสอบสวนจนถึงตอนนี้แสดงให้เห็นว่าการโจมตีครั้งนี้ไม่ส่งผลกระทบต่อระบบเครือข่ายหลักขององค์กร หรือระบบของพันธมิตร

Jason Providakes ซีอีโอของ MITRE ระบุเมื่อวันศุกร์ที่ผ่านมาว่า “ไม่มีองค์กรใดสามารถรอดพ้นจากการโจมตีทางไซเบอร์ลักษณะนี้ ไม่แม้แต่องค์กรที่พยายามรักษาความปลอดภัยทางไซเบอร์ให้สูงที่สุดเท่าที่จะเป็นไปได้”

"MITRE จะเปิดเผยรายละเอียดของเหตุการณ์นี้ในช่วงเวลาที่เหมาะสม เนื่องจากความมุ่งมั่นที่จะดำเนินงานเพื่อประโยชน์สาธารณะ และเพื่อสนับสนุนแนวทางปฏิบัติที่ดีที่สุดที่ยกระดับความปลอดภัยขององค์กร ตลอดจนมาตรการที่จำเป็นเพื่อปรับปรุงแนวทางการป้องกันทางไซเบอร์ในปัจจุบันของอุตสาหกรรม"

MITRE CTO Charles Clancy และวิศวกรความปลอดภัยทางไซเบอร์ Lex Crumpton ยังได้อธิบายเพิ่มเติมว่า ผู้โจมตีได้โจมตีหนึ่งใน Virtual Private Networks (VPN) ของ MITRE ผ่านทางช่องโหว่ zero-days สองรายการใน Ivanti VPN

โดยผู้โจมตีสามารถ bypass การยืนยันตัวตนแบบหลายปัจจัย (MFA) ได้โดยใช้วิธีการ session hijacking ซึ่งทำให้ผู้โจมตีสามารถเข้าถึงโครงสร้างพื้นฐาน VMware ของเครือข่ายที่ถูกโจมตีโดยใช้บัญชีผู้ดูแลระบบที่ได้มา

ตลอดเหตุการณ์ที่เกิดขึ้น แฮ็กเกอร์ใช้การผสมผสานระหว่าง webshells และแบ็คดอร์ที่มีความซับซ้อนเพื่อรักษาการเข้าถึงระบบที่ถูกแฮ็ก และขโมยข้อมูล credentials

โดยตั้งแต่ต้นเดือนธันวาคม 2023 ช่องโหว่ด้านความปลอดภัยทั้งสองรายการ ได้แก่ auth bypass (CVE-2023-46805) และ command insert (CVE-2024-21887) ได้ถูกนำไปใช้กับมัลแวร์หลายตระกูลเพื่อวัตถุประสงค์ในการโจมตีทางไซเบอร์

Mandiant ได้เชื่อมโยงการโจมตีเหล่านี้กับกลุ่ม APT ที่ถูกติดตามในชื่อ UNC5221 ในขณะที่ Volexity รายงานว่าเห็นสัญญาณที่แสดงให้เห็นว่าผู้โจมตีที่ได้รับการสนับสนุนจากรัฐบาลจีนกำลังใช้ประโยชน์จาก zero-days ทั้งสองรายการ

Volexity ระบุว่าแฮ็กเกอร์ชาวจีนติดตั้งแบ็คดอร์บนอุปกรณ์ Ivanti ไปมากกว่า 2,100 เครื่อง เพื่อขโมยข้อมูลบัญชี และ session จากเครือข่ายที่ถูกโจมตี ซึ่งเหยื่อมีตั้งแต่ธุรกิจขนาดเล็กไปจนถึงองค์กรที่ใหญ่ที่สุดทั่วโลก รวมถึงบริษัทที่ติดอันดับ Fortune 500 จากกลุ่มอุตสาหกรรมต่าง ๆ

เนื่องจากการโจมตีจำนวนมาก และ attack surface ที่กว้างขวาง CISA จึงออกคำสั่งฉุกเฉินฉบับแรกของปีนี้เมื่อวันที่ 19 มกราคม 2024 โดยสั่งให้หน่วยงานรัฐบาลกลางดำเนินการเพื่อลดผลกระทบจากช่องโหว่ Zero-Day ใน Ivanti ทันที

ที่มา : bleepingcomputer.

Customer Support ของ Okta ถูกขโมยข้อมูลทำให้เกิดผลกระทบต่อลูกค้าจำนวน 134 ราย

บริษัท Okta ผู้ให้บริการด้านการจัดการตรวจสอบ และการรับรองตัวตนเปิดเผยเหตุการณ์การบุกรุกระบบ support case management system ซึ่งส่งผลกระทบต่อลูกค้าจำนวน 134 รายจากจำนวนลูกค้าทั้งหมด 18,400 ราย (more…)

WFH Alert: Critical Bug Found in Old D-Link Router Models

เตือนภัยสำหรับผู้ WFH: พบช่องโหว่ระดับ “Critical” ใน D-Link Router รุ่นเก่า

นักวิจัยจาก Palo Alto Networks Unit 42 ได้เปิดเผยถึงช่องโหว่ระดับ “Critical” ใน D-Link DIR-865L จำนวน 6 รายการ โดย  นั้นได้ End Of Support ไปแล้วในสหรัฐอเมริกาและกำลังจะหยุดการจำหน่ายในทวีปยุโรป โดยรายละเอียดของช่องโหว่มีดังนี้

CVE-2020-13782 (CVSS 9.8): เป็นช่องโหว่ที่ผู้โจมตีสามารถใช้ Command Injection ได้บนเราเตอร์ด้วยสิทธิ์ระดับผู้ดูแลระบบ ซึ่งถือว่าเป็นช่องโหว่ที่มีความอันตรายอย่างมาก
CVE-2020-13786 (CVSS 8.8): เป็นช่องโหว่ Cross-Site Request Forgery (CSRF)
CVE-2020-13785 (CVSS 7.5): ช่องโหว่เกิดจาการเข้ารหัสของอุปกรณ์ที่ไม่มีความเเข็งแกร่งเพียงพอ
CVE-2020-13784 (CVSS 7.5): ช่องโหว่สามารถทำให้ผู้โจมตีทำการสร้าง Session Cookie ได้ถ้ารู้เวลาการเข้าใช้ของผู้ใช้งาน
CVE-2020-13783 (CVSS 7.5): ช่องโหว่สามารถทำให้ผู้โจมตีสามารถค้นหารหัสผ่านและทราบรหัสผ่านได้ เนื่องจากอุปกรณ์ทำการจัดเก็บข้อมูลแบบ Plain text
CVE-2020-13787 (CVSS 7.5): ช่องโหว่เกิดจากการใช้งานโปรโตคอล WEP บนอุปกรณ์ ทำให้ผู้โจมตีสามารถดักจับข้อมูลได้แบบ plaintext
นักวิจัยจาก Palo Alto Networks Unit 42 ยังกล่าวอีกว่าหลังจากการรายงานช่องโหว่ D-Link ได้ทำการปล่อย Beta Firmware เพื่อเเก้ไขช่องโหว่เพียง 3 ช่องโหว่จากช่องโหว่ทั้งหมด ซึ่ง BleepingComputer ได้ทำการสอบถามถึงการเเก้ไขช่องโหว่ D-Link ได้เเจ้งกับ BleepingComputer ว่า D-Link DIR-865L นั้นได้ End Of Support ไปแล้วในประเทศสหรัฐอเมริกา ทาง D-Link จึงขอเเนะนำให้ผู้ใช้งานทำการเปลื่ยนเราเตอร์เป็นรุ่นใหม่ที่สามรถรองรับการอัพเดต Firmware ได้

ทั้งนี้นักวิจัยจาก Unit 42 นั้นได้ออกคำเเนะนำให้ผู้ใช้งาน D-Link DIR-865L ทำการตั้งค่าเราเตอร์ให้เปลื่ยนไปใช้งาน HTTPS เพื่อป้องกันการโจมตี Session Hijacking และทำการเปลื่ยน Time Zone บนเราเตอร์เพื่อป้องกันการโจมตีแบบสุ่มการสร้าง Session ID

ที่มา:bleepingcomputer  threatpost   hackread

Joomla SQL Injection Vulnerability Exploit Results in Full Administrative Access

Asaf Orpani นักวิจัยด้านความปลอดภัยจาก Trustwave SpiderLabs พบช่องโหว่ SQL Injection บน Joomla เวอร์ชั่น 3.2 ที่ปล่อยให้ดาวน์โหลดตั้งแต่เดือนพฤศจิกายนปี 2013 ถึงเวอร์ชั่น 3.4.4
ช่องโหว่ดังกล่าวอนุญาตให้ผู้ที่ไม่ประสงค์ดีสามารถยกระดับสิทธิ์ของตัวเองเป็นผู้ดูแลเว็บไซต์ได้อย่างเต็มรูปแบบ

ช่องโหว่นี้ถูกค้นพบในไฟล์ /administrator/components/com_contenthistory/models/history.