Microsoft ระบุว่ากลุ่ม Lazarus ** กลุ่มแฮ็กเกอร์ชาวเกาหลีเหนือได้โจมตีบริษัท CyberLink บริษัทซอฟต์แวร์ของไต้หวัน และติดตั้งโทรจันเพื่อใช้ในการโจมตีแบบ supply chain attack กับเหยื่อรายใหญ่ ๆ ทั่วโลก จากข้อมูลของ Microsoft Threat Intelligence พฤติกรรมต้องสงสัยเกี่ยวข้องกับไฟล์ติดตั้งของ CyberLink ที่ถูกเปลี่ยนแปลงแก้ไข ซึ่งเกิดขึ้นตั้งแต่วันที่ 20 ตุลาคม 2023
(more…)
Kaspersky เปิดเผยรายงานการพบ Gopuram Malware ซึ่งเป็นมัลแวร์ที่ถูกใช้ในการโจมตี 3CX supply chain attack โดยพบว่า Hacker ได้มุ่งเป้าหมายการโจมตีไปที่บริษัททางด้าน cryptocurrency
การโจมตี 3CX supply chain attack เกิดขึ้นจากการที่ Hacker ได้โจมตีระบบของ 3CX และทำการฝัง DLL สองตัวที่เป็นอันตราย คือ ffmpeg.
พบช่องโหว่การแก้ไข 'opt-in' ใน Windows ที่มีอายุกว่า 10 ปี ถูกใช้ในการโจมตี 3CX เมื่อวันที่ 29 มีนาคม 2023 ที่ผ่านมา โดยช่องโหว่ดังกล่าวสามารถแก้ไขปลอมแปลง ไฟล์อันตรายให้กลายเป็นไฟล์ที่ได้รับการรับรองอย่างถูกต้อง และพบการแก้ไขเพื่อป้องกันช่องโหว่ดังกล่าวจะถูกลบออกเมื่อทำการอัปเดตเป็น Windows 11
โดยเมื่อวันที่ 29 มีนาคม 2023 ที่ผ่านมา เกิดเหตุการณ์การโจมตีในรูปแบบ supply chain attack โดยเริ่มต้นจากการโจมตีไปที่ 3CX บริษัทด้าน VoIP IPBX software หลังจากนั้นก็ทำการส่ง 3CX desktop client ที่ถูกฝังมัลแวร์ไปยังลูกค้าที่ใช้บริการ (more…)
Sophos และ CrowdStrike ได้ประกาศการพบการโจมตีใน 3CX Voice Over Internet Protocol (VOIP) desktop client ที่ถูกฝังโทรจัน เพื่อมุ่งเป้าหมายการโจมตีไปยังลูกค้าของ 3CX VOIP ในลักษณะ supply chain attack
3CX เป็นบริษัทพัฒนาซอฟต์แวร์ VoIP IPBX ซึ่งระบบโทรศัพท์ 3CX ถูกใช้งานโดยบริษัทมากกว่า 600,000 แห่งทั่วโลก และมีผู้ใช้มากกว่า 12 ล้านคนต่อวัน โดยมีลูกค้าที่ใช้บริการประกอบไปด้วยบริษัท และองค์กรชั้นนำมากมาย เช่น American Express, Coca-Cola, McDonald's, BMW, Honda, Air France, Toyota, Mercedes-Benz, IKEA และ National Health Service (more…)
สรุปรายละเอียดของช่องโหว่
ช่องโหว่เกิดขึ้นบน undocumented API ที่เกี่ยวข้องกับการเขียน Image
ช่องโหว่ทำให้สามารถแก้ไข้ Public ECR images ของ AWS account ใดก็ได้
ช่องโหว่ทำให้สามารถใช้โจมตี Image ที่เป็นนิยมเช่น Nginx, Amazon Linux, Ubuntu เพื่อใช้โจมตีแบบ Supply chain attack ได้
Amazon ECR Public Gallery เป็น public container repositories ให้บริษัทต่าง ๆ สามารถนำ Container Image มา Host เพื่อให้บริการกับลูกค้าเช่น NGINX, Ubuntu, Amazon Linux และ HashiCorp
นักวิจัยจาก Lightspin ค้นหา Internal API action ใน Amazon ECR Public Gallery JavaScript File พบว่ามี Action Name บางตัวที่ไม่ได้ถูก Document ไว้ และเป็น Action ที่เกียวข้องกับการเขียน Image 4 ตัวดังนี้
- DeleteImageForConvergentReplicationInternal
- DeleteTagForConvergentReplicationInternal
- PutImageForConvergentReplicationInternal
- PutLayerForConvergentReplicationInternal
แต่ว่า Internal API จำเป็นต้องมี identity credentials นักวิจัยจึงทำการ Intercept ECR Public Gallery request พบว่า ECR Public Gallery ใช้ credentials ที่ได้มาจาก API ของ Amazon Cognito
Amazon Cognito เป็น service ทีช่วยเรื่องการ authentication เพื่อให้ user สามารถเข้าใช้ resources บน AWS ได้ โดยที่ API ในการ Get Credentials เป็น Public API ทำให้นักวิจัยสามารถนำ Credentials นี้ไปใช้กับ ECR Internal API ได้
นักวิจัยจึงทำการทดลองส่ง Internal API 4 ตัวดังกล่าว ทำให้พบว่า Credentials ที่ได้มาจาก Cognito มีสิทธ์เขียน Public Image ใด ๆ ก็ได้ ชึ่งทำให้ช่องโหว่นี้อาจนำมาใช้โจมตีแบบ Supply chain attack กับ Public Image ที่มีผู้ใช้งานหลายล้านคนได้ ทาง Lightspin จึงได้รายงานช่องโหว่นี้กับทีม AWS Security
วิธีแก้ไข:
AWS ได้ทำการแก้ไขช่องโหว่ดังกล่าวเรียบร้อยแล้ว โดยที่ผู้ใช้งานไม่ต้องดำเนินการใด ๆ
ที่มา: blog.
GitHub จะกำหนดให้ผู้ใช้งานทุกคนที่เผยแพร่ code บนแพลตฟอร์ม เปิดการใช้งาน Two-factor authentication (2FA) เป็นมาตรการป้องกันเพิ่มเติมบนบัญชีภายในสิ้นปี 2566
ซึ่ง Two-factor authentication จะช่วยเพิ่มความปลอดภัยให้กับบัญชีผู้ใช้ด้วยการเพิ่มขั้นตอนในกระบวนการเข้าสู่ระบบ
สำหรับผู้ใช้งาน GitHub การถูกเข้าถึงบัญชีผู้ใช้งาน สามารถนำไปสู่การเผยแพร่โค้ดที่เป็นอันตรายสำหรับใช้ในการโจมตีในรูปแบบ supply chain attacks ซึ่งขึ้นอยู่กับความนิยมของแต่ละ project โดยบางกรณีอาจมีผลกระทบในวงกว้างได้
การกำหนดให้มีการเปิดใช้งาน 2FA เป็นมาตรการที่จำเป็นสำหรับบัญชี GitHub ทุกบัญชี โดยจะทำให้แพลตฟอร์ม GitHub เป็นพื้นที่ที่ปลอดภัยมากขึ้น ซึ่งจะทำให้ผู้ใช้งานมั่นใจมากขึ้นเกี่ยวกับความปลอดภัยของโค้ดที่ดาวน์โหลดจากแพลตฟอร์ม
เมื่อต้นปีทีผ่านมา GitHub เคยประกาศถึงการตัดสินใจให้ผู้พัฒนา Project ที่มีผลกระทบสูง และมีการดาวน์โหลดมากกว่าหนึ่งล้านครั้งต่อสัปดาห์ต้องมีการเปิดใช้งาน 2FA
ซึ่งการกำหนดให้มีการเปิด 2FA สำหรับผู้ใช้งานทั้งหมดจะครอบคลุมผู้ใช้ประมาณ 83 ล้านคน
การออกข้อกำหนด 2FA
GitHub จะกำหนดให้มีการเปิด 2FA บนบัญชี GitHub ทุกบัญชีตั้งแต่เดือนมีนาคม 2566 โดยในตอนแรกจะผลักดันให้บัญชีผู้ใช้งานที่อยู่ในกลุ่มผู้เผยแพร่ข้อมูลเริ่มดำเนินการก่อน
หลังจากนั้นจะทำการประเมินผลก่อนที่จะขยายไปสู่กลุ่มผู้ใช้งานที่ใหญ่ขึ้น
GitHub กล่าวว่ากลุ่มของผู้ใช้งานที่จะเริ่มดำเนินการจะถูกแบ่งโดยใช้เกณฑ์ดังต่อไปนี้ :
ผู้ใช้ที่เผยแพร่แอป หรือแพ็กเกจ GitHub หรือ OAuth
ผู้ใช้ที่มีการสร้าง code เวอร์ชันใหม่ ๆ
ผู้ใช้ที่เป็นผู้ดูแลองค์กร และองค์กร
ผู้ใช้ที่ contributed code ไปยัง repositories สำคัญ ๆ เช่น npm, OpenSSF, PyPI, หรือ RubyGems
ผู้ใช้ที่ contributed code ไปยัง repositories สาธารณะ และส่วนตัวประมาณสี่ล้านอันดับแรก
โดยผู้ที่ได้รับแจ้งล่วงหน้าเพื่อเปิดการใช้งาน 2FA ผ่านทางอีเมล จะมีระยะเวลา 45 วันในการดำเนินการ เมื่อครบกำหนดเวลา ผู้ใช้งานจะเริ่มเห็นคำแนะนำในการเปิดใช้งาน 2FA บน GitHub อีก 1 สัปดาห์ และหากยังไม่ดำเนินการ ก็จะถูกบล็อกไม่ให้เข้าถึงฟีเจอร์ของ GitHub ได้
โดย 28 วันหลังจากเปิดใช้งาน 2FA ผู้ใช้งานจะต้องผ่านการตรวจสอบเพื่อยืนยันการตั้งค่าความปลอดภัยใหม่ รวมถึงจะทำให้ผู้ใช้งานสามารถกำหนดการตั้งค่า 2FA ใหม่ และสามารถกู้คืนรหัสที่หายไปได้
ที่มา : bleepingcomputer
แฮ็กเกอร์ฝังมัลแวร์ลงใน FishPig ซึ่งเป็น extensions ยอดนิยมสำหรับใช้งานกับ Magento-WordPress โดยปัจจุบันมีการดาวน์โหลดไปแล้วมากกว่า 200,000 ครั้ง
Magento เป็น open-source สำหรับแพลตฟอร์ม eCommerce ยอดนิยม ที่ใช้สำหรับสร้างร้านค้าออนไลน์ ซึ่งสร้างยอดขายสินค้ามากกว่าหนึ่งหมื่นล้านดอลลาร์ต่อปี
โดยพบว่าแฮ็กเกอร์ได้เข้าควบคุม Server ของ FishPig และได้เพิ่มโค้ดที่เป็นอันตรายลงไปในซอฟต์แวร์ และสามารถเข้าถึงเว็บไซต์สำหรับใช้งานซอฟต์แวร์ดังกล่าว ทำให้เกิดการโจมตีกับผู้ใช้งานในลักษณะ supply-chain attack ได้
นักวิจัยด้านความปลอดภัยจาก Sansec บริษัทที่ให้บริการตรวจสอบช่องโหว่ และมัลแวร์บนระบบ eCommerce ได้ยืนยันว่า FishPig Magento Security Suite และ FishPig WordPress Multisite นั้นถูกฝังมัลแวร์ไว้โดยแฮ็กเกอร์แล้ว
พวกเขาคาดว่า extensions แบบเสียเงินตัวอื่น ๆ จากผู้จัดจำหน่ายรายเดียวกันนั้นก็อาจจะถูกฝังมัลแวร์ไว้เช่นเดียวกัน แต่ extensions แบบฟรีที่อยู่บน GitHub นั้นยังปลอดภัยอยู่
การทำงานของมัลแวร์
แฮ็กเกอร์ได้ฝังโค้ดที่เป็นอันตรายลงในไฟล์ License.
เมื่อเดือนที่แล้ว Cloudflare บริษัทผู้ให้บริการระบบเครือข่าย network และรักษาความปลอดภัยเว็บไซต์ ได้แก้ไขช่องโหว่ที่สำคัญในไลบรารี CDNJS ซึ่งมีการใช้งานอยู่ที่ 12.7% ของเว็บไซต์ทั้งหมดบนอินเทอร์เน็ต
CDNJS เป็นเครือข่ายการส่งเนื้อหา (Content Delivery Network) แบบโอเพ่นซอร์สที่ให้บริการฟรี ซึ่งให้บริการไลบรารี JavaScript และ CSS ประมาณ 4,041 รายการ ทำให้เป็น CDN ไลบรารี JavaScript ที่ได้รับความนิยมสูงสุดเป็นอันดับสองรองจาก Google Hosted Libraries
ข้อผิดพลาดเกี่ยวข้องกับปัญหาในเซิร์ฟเวอร์อัปเดตไลบรารี CDNJS ที่อาจอนุญาตให้ผู้โจมตีดำเนินการรันคำสั่งที่เป็นอันตรายได้ และนำไปสู่การเข้าถึงระบบโดยสมบูรณ์
ช่องโหว่ดังกล่าวถูกค้นพบและรายงานโดยนักวิจัยด้านความปลอดภัย RyotaK เมื่อวันที่ 6 เมษายน พ.ศ. 2564 ซึ่งยังไม่พบหลักฐานว่ามีการใช้ช่องโหว่นี้ในการโจมตีจริง
ช่องโหว่นี้ทำงานโดยการส่งแพ็คเกจไปยัง CDNJS ของ Cloudflare โดยใช้ GitHub และ npm ใช้เพื่อทริกเกอร์ช่องโหว่ path traversal และท้ายที่สุดคือทำให้เซิร์ฟเวอร์สามารถเรียกใช้โค้ดจากระยะไกลได้ น่าสังเกตว่าโครงสร้างพื้นฐานของ CDNJS มีการอัปเดตไลบรารีเป็นอัตโนมัติโดยเรียกใช้สคริปต์บนเซิร์ฟเวอร์เป็นระยะ เพื่อดาวน์โหลดไฟล์ที่เกี่ยวข้องจากที่เก็บ Git ซึ่งมีการจัดการโดยผู้ใช้หรือรีจิสตรีแพ็กเกจ npm
RyotaK พบว่า "สามารถเรียกใช้โค้ดได้ หลังจากดำเนินการ path traversal จากไฟล์ .tgz ไปยัง npm และเขียนทับสคริปต์ที่ทำงานเป็นประจำบนเซิร์ฟเวอร์" และ “ช่องโหว่นี้สามารถโจมตีได้โดยไม่ต้องใช้ทักษะพิเศษใดๆ แต่ก็สามารถส่งผลกระทบต่อเว็บไซต์จำนวนมากได้ ทำให้เป็นไปได้ว่าจะเกิดการโจมตีช่องโหว่นี้ในลักษณะ Supply-chain ได้"
เป้าหมายของการโจมตีคือการส่งแพ็คเกจที่สร้างขึ้นเป็นพิเศษไปยังที่เก็บ จากนั้นจะเลือกเซิร์ฟเวอร์อัปเดตไลบรารี CDNJS เพื่อเผยแพร่แพ็คเกจ กระบวนการคือการคัดลอกเนื้อหาของแพ็คเกจที่เป็นอันตรายไปยังโฮสต์ไฟล์สคริปต์ปกติที่เรียกใช้งานเป็นประจำบนเซิร์ฟเวอร์ ส่งผลให้มีการเรียกใช้โค้ดอันตรายได้
นี่ไม่ใช่ครั้งแรกที่นักวิจัยด้านความปลอดภัยค้นพบช่องโหว่ในลักษณะดังกล่าว โดยในเดือนเมษายน 2564 RyotaK ได้เปิดเผยช่องโหว่ที่สำคัญในที่เก็บ Homebrew Cask ซึ่งทำให้ผู้โจมตีสามารถรันโค้ดที่เป็นอันตรายได้บนเครื่องของผู้ใช้งาน
ที่มา : thehackernews
เมื่อเกือบ 3 สัปดาห์ที่ผ่านมา บริษัท KASEYA ได้ถูกโจมตีโดย REvil Ransomware ซึ่งทำให้เกิดผลกระทบกับบริษัทต่าง ๆ ที่เกี่ยวข้องเป็นจำนวนมาก
โดยเมื่อวันที่ 21 กรกฎาคมที่ผ่านมา ทางบริษัท KASEYA ได้กล่าวว่าพวกเขาได้รับตัวถอดรหัสจากการโจมตีของ REvil Ransomware จากบุคคลที่ 3 ที่ยังไม่สามารถระบุตัวตนของบุคคลดังกล่าวได้ และจะทำการกู้คืนข้อมูลของลูกค้าที่ได้รับผลกระทบจากการโจมตีในครั้งนี้ให้กลับมาเป็นปกติ (more…)
นักวิจัยจากบริษัท SentinelOne บริษัทรักษาความปลอดภัยทางไซเบอร์ได้ค้นพบมัลแวร์บนโปรเจกต์ Xcode ที่ถูกเรียกว่า “XcodeSpy” ซึ่งกำลังกำหนดเป้าหมายไปยังนักพัฒนาแอปพลิเคชัน iOS เพื่อทำการโจมตีในลักษณะ Supply-chain attack และเพื่อติดตั้งแบ็คดอร์บนระบบปฏิบัติการ macOS บนคอมพิวเตอร์ของผู้พัฒนา
Xcode เป็นเครื่องมือสำหรับการพัฒนาแอปพลิเคชัน (Integrated Development Environment - IDE) ที่สร้างโดย Apple ซึ่ง Xcode จะช่วยให้นักพัฒนาสามารถสร้างแอปพลิเคชันที่ทำงานบน macOS, iOS, tvOS และ watchOS
นักวิจัยจากบริษัท SentinelOne กล่าวว่าได้ค้นพบ iOS โปรเจกต์ที่มีชื่อว่า TabBarInteraction โดยโปรเจกต์ดังกล่าวเป็นโปรเจกต์ Xcode ที่ถูกต้องสำหรับผู้พัฒนาแอปพลิเคชัน จากการตรวจสอบโปรเจกต์โดยทีมนักวัยจัยพบว่าผู้ประสงค์ร้ายได้ทำการโคลนโปรเจกต์ TabBarInteraction ที่ถูกต้องและได้เพิ่มสคริปต์ 'Run Script' ที่เป็นอันตรายลงไปยังโปรเจกต์ เมื่อผู้พัฒนาแอปพลิเคชันสร้างโปรเจกต์ code จะเรียกใช้ Run Script โดยอัตโนมัติเพื่อทำการสร้างไฟล์ที่ชื่อว่าว่า .tag ใน /tmp และภายในไฟล์จะมีคำสั่ง mdbcmd เพื่อเปิด Reverse shell กลับไปที่เซิร์ฟเวอร์ของผู้ประสงค์ร้าย นอกจากนี้แบ็คดอร์ยังสามารถทำให้ผู้ประสงค์ร้ายเข้าถึงการอัปโหลดและดาวน์โหลดไฟล์, ดึงข้อมูลหรือดักฟังจากกล้อง, ไมโครโฟนและคีย์บอร์ดของผู้ที่ตกเหยื่อได้อีกด้วย
ทั้งนี้ผู้พัฒนาแอปพลิเคชันจากซอฟต์แวร์ Xcode ควรระมัดระวังในการใช้งานอย่างมาก และไม่ควรดึงโปรเจกต์จากผู้พัฒนาที่ไม่รู้จักหรือไม่รู้เเหล่งที่มา เพื่อป้องกันการตกเป็นเหยื่อของผู้ประสงค์ร้าย
ที่มา: bleepingcomputer, hackread