บริษัทด้านความปลอดภัยทางไซเบอร์ Sophos ประกาศแจ้งเตือนเมื่อวันจันทร์ที่ 28 มีนาคมที่ผ่านมาว่าตรวจพบช่องโหว่ด้านความปลอดภัยที่เพิ่งได้รับการแก้ไขในผลิตภัณฑ์ firewall ของตน กำลังถูกใช้ในการโจมตีอยู่ในปัจจุบัน

ช่องโหว่ CVE-2022-1040 ที่ได้รับ CVSS 9.8 ส่งผลกระทบต่อ Sophos Firewall เวอร์ชัน 18.5 MR3 (18.5.3) และเวอร์ชันที่เก่ากว่า ผลกระทบจากช่องโหว่ดังกล่าวทำให้ผู้โจมตีสามารถ bypass การตรวจสอบการ authentication บน User Portal และ Webadmin interfaces ได้ ซึ่งหากโจมตีสำเร็จจะทำให้ผู้โจมตีสามารถสั่งรันโค้ดที่เป็นอันตรายได้

"Sophos พบว่าช่องโหว่เริ่มมีการถูกใช้ในการโจมตีไปยังองค์กรจำนวนหนึ่งในภูมิภาคเอเชียใต้ ซึ่งทาง Sophos ได้มีการแจ้งเตือนไปยังองค์กรเหล่านั้นโดยตรงแล้ว"

Sophos ระบุว่าช่องโหว่นี้ได้รับการแก้ไขด้วย hotfix ซึ่งจะติดตั้งอัตโนมัติสำหรับลูกค้าที่เปิดใช้งาน "Allow automatic installation of hotfixes" และเพื่อเป็นการแก้ปัญหาชั่วคราวสำหรับผู้ที่ยังไม่สามารถอัพเดทได้ Sophos แนะนำให้ผู้ใช้งานปิดการเข้าหน้า User Portal และ Webadmin interfaces จากภายนอกไปก่อน

นอกจากนี้ Sophos ได้แจ้งเวอร์ชันที่ end-of-life แล้ว ซึ่งจะไม่มีการ support การอัพเดทแพตซ์ เช่น 17.5 MR12 , MR15, 18.0 MR3 และ MR4 และ 18.5 GA จึงแนะนำให้ผู้ใช้งานรีบอัพเกรดเป็นเวอร์ชันใหม่เพื่อป้องกันผลกระทบที่อาจจะเกิดขึ้น

ที่มา : thehackernews

VMware Horizon Servers ที่หลายองค์กรใช้งานเพื่อทำให้เข้าถึง Apps ต่างๆ ขององค์กรได้อย่างปลอดภัยสำหรับผู้ใช้งานที่ต้องทำงานจากที่บ้าน หรือต้องใช้การ Remote เข้ามาในการทำงาน ซึ่งทำให้เป็นเป้าหมายยอดนิยมสำหรับผู้โจมตีที่ต้องการใช้ประโยชน์จากช่องโหว่ Apache Log4j Remote code execution ที่มีการเปิดเผยในเดือนธันวาคม พ.ศ. 2564

นักวิจัยจาก Sophos กล่าวในสัปดาห์นี้ว่าพวกเขาได้สังเกตเห็นว่าการโจมตีเซิร์ฟเวอร์ Horizon ที่มีช่องโหว่ซึ่งเริ่มตั้งแต่วันที่ 19 มกราคม พ.ศ. 2565 จนถึงปัจจุบัน ในการโจมตีหลายผู้โจมตีพยายามจะมีการพยายามติดตั้ง cryptocurrency miners เช่น JavaX miner, Jin, z0Miner, XMRig และเครื่องมืออื่นๆ ที่คล้ายคลึงกัน และในหลายกรณี Sophos สังเกตเห็นผู้โจมตีพยายามติดตั้ง backdoors เพื่อทำให้สามารถเข้าถึงระบบที่ควบคุมไว้ได้อย่างต่อเนื่อง

การวิเคราะห์ชี้ให้เห็นว่าการที่ผู้โจมตีใช้ backdoors ก็เพื่อเป็น Initial access brokers (IABs) ที่ทำให้ผู้โจมตีรายอื่นสามารถเข้าถึงเครือข่ายที่ถูกควบคุมไว้ โดยมีการเก็บค่าบริการ โดยกลุ่มผู้โจมตีด้วย Ransomware เป็นลูกค้ารายใหญ่ที่สุดของ Initial access brokers ดังนั้นจึงเป็นไปได้ว่าปัจจุบันการโจมตี VMware Horizon เป็นพฤติกรมขั้นต้นของการโจมตีด้วย ransomware ที่มุ่งเป้าไปที่ช่องโหว่ Log4j ใน VMware Horizon Servers เวอร์ชันที่ยังไม่ได้รับการแก้ไข Sophos กล่าว

UK National Health Service (NHS) เป็นหนึ่งในบริษัทแรกๆ ที่เตือนเกี่ยวกับการโจมตีที่มุ่งเป้าไปยัง VMware Horizon Servers ที่มีช่องโหว่ Log4j (CVE-2021-44228)

(more…)

Sophos บริษัทด้านความปลอดภัยทางไซเบอร์และฮาร์ดแวร์ของประเทศอังกฤษออกแจ้งลูกค้าทางอีเมลเกี่ยวกับการละเมิดความปลอดภัยของบริษัท

เมื่อวันที่ 24 พฤศจิกายน 2020 ที่ผ่านมา Sophos ได้รับแจ้งถึงปัญหาสิทธิ์ในการเข้าถึงเครื่องมือที่ใช้ในการเก็บข้อมูลเกี่ยวกับลูกค้าที่บริการติดต่อ Sophos Support โดยบุคคลที่ไม่ได้รับอนุญาตหลังจากบริษัทได้ทำการตั้งค่าคอนฟิกค่าผิดพลาด ซึ่งข้อมูลที่รั่วไหลจะส่งผลกระทบกับรายละเอียดต่างๆ เช่น ชื่อ, นามสกุลของลูกค้า, อีเมลและหมายเลขโทรศัพท์

อย่างไรก็ดีโฆษกของ Sophos ได้ออกมากล่าวถึงผลกระทบว่ามีลูกค้าของบริษัทมีเพียง "กลุ่มเล็ก ๆ" เท่านั้นที่ได้รับผลกระทบ ทั้งนี้ Sophos ได้ทำการแก้ไขปัญหาที่ถูกรายงานทันที

ลูกค้า Sophos ควรทำกาตรวจสอบอีเมลและควรระมัดระวังผู้ประสงค์ร้ายใช้ข้อมูลที่ถูกรั่วไหลทำการฟิชชิงข้อมูล

ที่มา: zdnet.

Sophos ออกรายงานการโจมตีทางไซเบอร์ในพม่า ใช้โปรแกรมของ Windows Defender ทำ "DLL side-loading" ในการโจมตี

Sophos ออกรายงานแจ้งเตือนพฤติกรรมการโจมตีโดยกลุ่ม APT จีนในพม่า พุ่งเป้าโจมตีบริษัทเอกชนและด้านการค้าในประเทศพม่า จุดน่าสนใจของการโจมตีอยู่ที่การใช้เทคนิคการโจมตีซึ่งถูกค้นพบในปี 2013 ในชื่อ DLL side-loading เพื่อหลอกให้ระบบเมื่อมีการเอ็กซีคิวต์โปรแกรมใดๆ แล้ว ให้เรียกใช้ DLL ปลอมซึ่งเป็นอันตรายแทน DLL จริง

ในกรณีของการโจมตีที่ตรวจพบ แฮกเกอร์จีนมีการใช้โปรแกรม MsMpEng.

นักวิจัยจาก Sophos ได้เปิดเผยว่าพบแคมเปญฟิชชิ่งรูปแบบใหม่ที่กำหนดเป้าหมายไปยังเจ้าของบล็อกเกอร์และเจ้าของเว็บไซต์ด้วยอีเมลที่ปลอมแปลงมาจากผู้ให้บริการโฮสต์ติ้ง ด้วยการเสนอการอัปเกรดโดเมนเพื่อใช้งาน DNSSEC

นักวิจัยกล่าวว่าผู้ประสงค์ร้ายนั้นจะใช้ข้อมูลจาก WHOIS เพื่อส่งอีเมลฟิชชิ่งไปหาเป้าหมายและจะทำการปลอมแปลงเป็นผู้ให้บริการ WordPress, NameCheap, HostGator, Microsoft Azure และบริษัทโฮสติ้งที่มีชื่อเสียงอื่นๆ โดยเนื้อหาอีเมลจะเสนอให้ทำการอัพเกรด DNS ของเว็บไซต์ให้ไปใช้โปรโตคอล DNS ที่ใหม่กว่าคือ DNSSEC เพียงเเค่ผู้ใช้ทำการคลิกที่ลิงก์เพื่อเปิดใช้งานฟีเจอร์นี้

นักวิจัยจาก Sophos อธิบายว่าโปรโตคอล DNSSEC นั้นไม่ใช่สิ่งที่เจ้าของเว็บไซต์จะทำการติดตั้งเอง โดยการติดตั้งและอัพเกรดนั้นจะต้องถูกทำการตั้งค่ามาจากผู้ให้บริการโฮสติ้ง ส่วนเป้าหมายของแคมเปญนั้นคือการขโมย credential ของผู้ใช้งานที่ไม่สงสัยหรือไม่มีความรู้เกี่ยวกับโปรโตคอล DNSSEC

ข้อเเนะนำ
ผู้ใช้งานควรทำการตรวจสอบอีเมลทุกครั้งที่ทำการเปิดอ่านและให้ทำการระมัดระวังในการคลิกลิ้งค์จากอีเมลหรือแม้เเต่การกรอกแบบฟอร์มจากเว็ปไซต์และระบบที่ไม่คุ้นเคย เพื่อป้องกันการถูกขโมยข้อมูลของผู้ใช้

ที่มา: bleepingcomputer

WHO เตือนการโจมตีฟิชชิงอ้างข้อมูลไวรัสโคโรน่า

อาชญากรปลอมตัวเป็นองค์กรอนามัยโลกเพื่อขโมยเงินหรือข้อมูลสำคัญด้วยการส่งเมลฟิชชิ่งเพื่อขอให้เป้าหมายส่งข้อมูลที่เป็นชื่อผู้ใช้งานหรือรหัสผ่านและอาจมีการขอให้เปิดไฟล์มัลแวร์ที่แนบมาเพื่อติดตั้ง payloads ยังอุปกรณ์ของเป้าหมาย
แนวทางป้องกันหากคุณได้รับเมลจากองค์กร WHO ควรตรวจสอบความถูกต้องก่อนตามขั้นตอนด้านล่าง
1 ตรวจสอบชื่อที่อยู่อีเมลที่ส่งว่าอยู่ในลักษณะ ชื่อบุคคล@who.

ตรวจพบสายพันธุ์ ransomware ใหม่ ชื่อ MegaCortex ที่กำหนดเป้าหมายไปยังภาคธุรกิจ

Sophos บริษัท รักษาความปลอดภัยไซเบอร์แห่งสหราชอาณาจักรรายงานว่ามีการตรวจพบการโจมตี ransomware ในปลายสัปดาห์ที่ผ่านมาจากสายพันธุ์ใหม่ที่ชื่อว่า MegaCortex และดูเหมือนจะได้รับการออกแบบมาเพื่อโจมตีองค์กรขนาดใหญ่คล้ายกับ Ryuk, Bitpaymer, Dharma, SamSam, LockerGoga และ Matrix

MegaCortex ได้ถูกพบครั้งแรกเมื่อปลายเดือนมกราคมเมื่อมีคนอัพโหลดตัวอย่างบนบริการสแกนมัลแวร์ VirusTotal นับตั้งแต่นั้นมาจำนวนการโจมตีเพิ่มขึ้น เมื่อกลางสัปดาห์ที่ผ่านมาได้ตรวจพบการโจมตี 47 ครั้ง

Sophos กล่าวว่าบล็อกการโจมตีที่ตรวจพบซึ่งมาจากเครือข่ายองค์กรหลายแห่งที่ตั้งอยู่ในสหรัฐอเมริกา แคนาดา เนเธอร์แลนด์ ไอร์แลนด์ อิตาลี และฝรั่งเศส อย่างไรก็ตามการโจมตีอื่น ๆ อาจเกิดขึ้นในที่อื่น ๆ ที่ Sophos ไม่ครอบคลุม

ที่มา:www.

ผู้ใช้งาน Google Maps ในช่วงนี้จะต้องระมัดระวัง เนื่องจากพบว่าสามารถถูกใช้ประโยชน์จากช่องโหว่ที่มีอยู่ในบริการแชร์ลิงก์(link-sharing) ของโปรแกรมเพื่อกระจายลิงก์จากเว็บไซต์ที่เป็นอันตราย

บริษัทด้านความปลอดภัย Sophos กล่าวว่า แม้ว่าแฮกเกอร์ไม่สามารถใช้ URLs ที่อยู่บน Google Maps ซึ่งถูกแชร์โดย Google เอง ในการเปลี่ยนเส้นทาง(redirect) ผู้ใช้ไปยังเว็บไซต์ที่ต้องการได้ แต่สามารถใช้ช่องโหว่จากบริการแชร์ลิงก์(maps[.]app[.]goo[.]gl/link=xxx) เพื่อ redirect ผู้ใช้งานไปยังฟิชชิ่งไซต์หรือมัลแวร์ไซต์ได้

นักวิจัยสังเกตเห็นว่า ผู้ไม่ประสงค์ดีบางกลุ่มกำลังมีการใช้ URL shortener เพื่อซ่อนลิงก์ของมัลแวร์หรือฟิชชิ่งไซต์ ในการเปลี่ยนเส้นทาง(redirect) เหยื่อไปยังเว็บไซต์ที่ไม่ปลอดภัย โดยส่วนใหญ่จะเป็นการเปลี่ยนเส้นทางเหยื่อไปยังเว็บไซต์รัสเซียก่อน หลังจากนั้นลิงก์ที่เป็นอันตรายดังกล่าวจะถูกแชร์ผ่าน Google Maps อีกที ซึ่งส่วนนี้เป็นปัญหาจากการที่ Google ไม่มีกระบวนการในการตรวจสอบว่าลิงก์ที่ถูกแชร์ดังกล่าวเป็นลิงก์ที่ปลอดภัยหรือไม่

ทั้งนี้ผู้ใช้งานสามารถระมัดระวังตนเองได้โดยการสังเกต URL ของ Google Maps ที่ถูกแชร์มา โดย URL ดังกล่าวไม่ควรจะมีพารามิเตอร์ในแท็ก link ที่เป็นลิงค์อื่นๆ เช่น maps[.]app[.]goo[.]gl/?link=https%3A%2F%2Fexample.