Tor ได้ประกาศเปิดตัว Oniux ซึ่งเป็นเครื่องมือแบบ command-line tool ตัวใหม่สำหรับการกำหนดเส้นทางการเชื่อมต่อของแอปพลิเคชันบน Linux ให้ผ่านเครือข่าย Tor อย่างปลอดภัย เพื่อให้การเชื่อมต่อผ่านเครือข่ายแบบไม่ระบุตัวตน

แตกต่างจากวิธีคลาสสิกอย่างเช่น torsocks ซึ่งอาศัยเทคนิค user-space โดย Oniux จะใช้ namespaces ของ Linux เพื่อสร้าง isolated network ที่แยกออกมาสำหรับแต่ละแอปพลิเคชัน โดยจะช่วยป้องกันข้อมูลรั่วไหลได้ แม้ว่าแอปพลิเคชันนั้นเป็นอันตราย หรือกำหนดค่าไม่ถูกต้องก็ตาม

Linux namespaces เป็น kernel feature ที่ช่วยให้กระบวนการต่าง ๆ ทำงานในสภาพแวดล้อมที่แยกออกจากกันได้ โดยแต่ละกระบวนการจะมี specific system resources เช่น networking, processes หรือ file mounts

Oniux ใช้ Linux namespaces เพื่อแยกแอปพลิเคชันออกจากกันในระดับเคอร์เนล ทำให้ traffic ทั้งหมดของแอปถูกบังคับให้วิ่งผ่านเครือข่าย Tor เท่านั้น

Tor ระบุในบล็อกโพสต์ว่า "เรารู้สึกตื่นเต้นที่จะแนะนำ oniux เป็น command-line utility ที่ช่วยแยกเครือข่าย Tor สำหรับแอปพลิเคชันของบริษัทที่ใช้ Linux namespaces"

โดย oniux สร้างขึ้นบนพื้นฐานของ Arti และ onionmasq ซึ่งจะสามารถแยกโปรแกรม Linux ออกมาอยู่ใน namespace ของตัวเอง และบังคับให้ส่งข้อมูลผ่านเครือข่าย Tor และลดความเสี่ยงที่ข้อมูลอาจจะรั่วไหลออกไป

เครื่องมือนี้ทำงานโดยการวางแต่ละแอปไว้ใน network namespace ของตัวเอง ซึ่งจะไม่มีสิทธิ์เข้าถึงอินเทอร์เฟซของโฮสต์ และแทนที่ด้วยการเชื่อมต่อผ่านอินเทอร์เฟซเสมือนที่ชื่อว่า onion0 ซึ่งจะเชื่อมต่อผ่าน Tor โดยใช้ onionmasq

นอกจากนี้ยังใช้ namespaces เพื่อ inject ไฟล์ /etc/resolv.

เซิร์ฟเวอร์ของ REvil ransomware ในเครือข่าย TOR กลับมาออนไลน์อีกครั้ง หลังจากไม่พบความเคลื่อนไหวเป็นเวลาหลายเดือน ซึ่งมีการเปลี่ยนเส้นทางไปยังการดำเนินการครั้งใหม่ที่เพิ่งเปิดตัวไปเมื่อเร็วๆ นี้ ไม่ชัดเจนว่าใครอยู่เบื้องหลังการดำเนินการที่เชื่อมโยงกับ REvil ในครั้งนี้ แต่เว็ปไซต์ใหม่แสดงรายการเหยื่อจำนวนมากจากการโจมตีของ REvil ในอดีต

RaaS (Ransomware as a service) ตัวใหม่กำลังอยู่ในระหว่างการพัฒนา

อย่างไรก็ตามเมื่อไม่กี่วันก่อนนักวิจัยด้านความปลอดภัย pancak3 และ Soufiane Tahiri สังเกตเห็นว่าเว็ปไซต์ใหม่ของ REvil ถูกโปรโมทบน RuTOR ซึ่งเป็นตลาดฟอรัมที่เน้นภูมิภาคที่พูดภาษารัสเซีย

"เว็บไซต์ใหม่นี้มีโดเมนที่ต่างจากเดิม แต่เมื่อเปิดใช้งานจะพบว่ามีความเชื่อมโยงกับเว็บไซต์เดิมที่ REvil เคยใช้" BleepingComputer ได้รับการยืนยันในวันนี้ จากนักวิจัยทั้ง 2 คนที่ได้บันทึกการเปลี่ยนเส้นทางนี้ไว้

เว็บไซต์จะมีการแสดงรายละเอียดเกี่ยวกับเงื่อนไขสำหรับกลุ่มพันธมิตรที่ต้องการนำ REvil ransomware เวอร์ชันปรับปรุงไปใช้ และจะมีส่วนแบ่งที่ต้องจ่าย 80/20 สำหรับกลุ่มพันธมิตรที่นำไปใช้แล้วสามารถเรียกค่าไถ่มาได้

เว็ปไซต์ดังกล่าวแสดงรายการผู้ที่ตกเป็นเหยื่อไว้ 26 หน้า ส่วนใหญ่มาจากการโจมตีจาก REvil ในอดีต และสองรายการสุดท้ายดูเหมือนจะมาจากการปฏิบัติการครั้งใหม่ หนึ่งในนั้นคือ Oil India

ในเดือนมกราคม 2-3 สัปดาห์หลังจากสมาชิกกลุ่ม 14 คนถูกจับในรัสเซีย นักวิจัยจาก MalwareHunterTeam พบว่ามีความเคลื่อนไหวจากกลุ่ม Ransomware กลุ่มอื่น ที่เกี่ยวข้องกับการนำตัวเข้ารหัสของ REvil ไปใช้งาน แม้จะไม่มีหลักฐานที่แน่ชัดว่าเป็นสมาชิกเดิมของกลุ่ม REvil หรือไม่ (more…)

IObit ผู้พัฒนาซอฟต์แวร์ยูทิลิตี้ที่รู้จักกันดีในเรื่องการเพิ่มประสิทธิภาพของระบบ Windows และโปรแกรมป้องกันมัลแวร์เช่น Advanced SystemCare ถูกแฮกในช่วงสุดสัปดาห์ที่ผ่านมา ผู้ประสงค์ร้ายได้ใช้ประโยชน์จากการบุกรุกนี้เพื่อทำการโจมตีผู้ใช้อย่างกว้างขวางโดยการแจกจ่ายซอฟต์แวร์ที่แฝง DeroHE ransomware ไว้ให้กับสมาชิกฟอรัมทำการดาวน์โหลด

การแจกจ่ายซอฟต์แวร์ที่แฝง DeroHE ransomware ไว้ให้กับสมาชิกฟอรัมทำการดาวน์โหลดนั้นเกิดขึ้นในช่วงสุดสัปดาห์ที่ผ่านมา ซึ่งสมาชิกฟอรัม IObit จะได้รับอีเมลที่อ้างว่ามาจาก IObit โดยระบุว่าสมาชิกฟอรัม IObit มีสิทธิ์ได้รับการใช้งานซอฟต์แวร์ฟรี 1 ปี ซึ่งเป็นสิทธิพิเศษในการเป็นสมาชิกฟอรัมเท่านั้น โดยภายในอีเมลจะมีลิงก์คือ hxxps://forums.

Zerodium ได้เปิดเผยช่องโหว่ zero-day ใน Tor Browser ระดับความรุนแรงสูงให้ดำเนินการอัปเดต patch โดยด่วน

Zerodium แชร์ข้อมูลของช่องโหว่ที่อยู่ในปลั๊กอิน NoScript ภายใน Mozilla Firefox ที่มาพร้อมกับซอฟต์แวร์ Tor NoScript คือ ส่วนที่ทำหน้าที่บล็อกการทำงานของ JavaScript, Java, Flash และเนื้อหาอื่นๆ ที่เป็นอันตรายบนเว็บ ทั้งนี้ NoScript "Classic" รุ่น 5.0.4 ถึง 5.1.8.6 ที่มาพร้อมกับ Tor Browser รุ่น 7.5.6 มีช่องโหว่ทำให้แฮกเกอร์สามารถเรียกใช้ไฟล์ JavaScript เมื่อเปลี่ยน content-type header ของไฟล์ให้เป็นรูปแบบ JSON ทำให้สามารถระบุที่อยู่ IP จริงของผู้ใช้งานได้

อย่างไรก็ตาม Tor browser รุ่นล่าสุด หรือ Tor 8.0 จะไม่ได้รับความเสี่ยงจากข้อบกพร่องนี้เนื่องจากปลั๊กอิน NoScript ภายใน Mozilla Firefox ที่มาพร้อมกับ Tor browser รุ่นล่าสุดถูกปรับปรุงใหม่แล้ว จึงขอแนะนำให้ผู้ใช้ Tor รุ่น 7.x อัปเดตเบราว์เซอร์ของตนเป็น Tor 8.0

นอกจากนี้ NoScript ได้แก้ไขข้อบกพร่อง zero-day ดังกล่าวด้วยการเปิดตัว NoScript "Classic" version 5.1.8.7

ที่มา : The Hacker News

มีการค้นพบว่า โทรจัน Sefnit ซึ่งเป็นโทรจันที่ใช้ Tor ในการเชื่อมต่อกับ Command & Control Server เมื่อมีการลบโทรจัน Sefnit ตัวโทรจันจะถูกลบออกไปแต่โปรแกรม Tor ที่มากับโทรจันไม่ได้ถูกลบออกไปด้วย และโปรแกรม Tor ตัวนี้เป็นเวอร์ชั่นที่ไม่ได้มีการอัพเดทตัวเองแบบอัตโนมัติและมีช่องโหว่ที่ทำให้แฮกเกอร์สามารถนำมัลแวร์อื่นๆไปลงที่เครื่องเป้าหมายได้ ทางไมโครซอฟได้ทำการอัพเดทแพทช์ทางด้านความปลอดภัยเพื่อลบโปรแกรม Tor ที่มากับโทรจัน Sefnit ออก ซึ่งจากการอัพเดทนี้เองทำให้เครื่องที่อยู่ในสภาวะเสี่ยงต่อภัยคุกคามลดลงไปถึง 2 ล้านเครื่อง แต่ว่ายังมีเครื่องคอมพิวเตอร์อีกมากกว่า 2 ล้านเครื่องที่ยังอยู่ในสภาวะเสี่ยงอยู่

ที่มา : net-security

มีการค้นพบว่า โทรจัน Sefnit ซึ่งเป็นโทรจันที่ใช้ Tor ในการเชื่อมต่อกับ Command & Control Server เมื่อมีการลบโทรจัน Sefnit ตัวโทรจันจะถูกลบออกไปแต่โปรแกรม Tor ที่มากับโทรจันไม่ได้ถูกลบออกไปด้วย และโปรแกรม Tor ตัวนี้เป็นเวอร์ชั่นที่ไม่ได้มีการอัพเดทตัวเองแบบอัตโนมัติและมีช่องโหว่ที่ทำให้แฮกเกอร์สามารถนำมัลแวร์อื่นๆไปลงที่เครื่องเป้าหมายได้ ทางไมโครซอฟได้ทำการอัพเดทแพทช์ทางด้านความปลอดภัยเพื่อลบโปรแกรม Tor ที่มากับโทรจัน Sefnit ออก ซึ่งจากการอัพเดทนี้เองทำให้เครื่องที่อยู่ในสภาวะเสี่ยงต่อภัยคุกคามลดลงไปถึง 2 ล้านเครื่อง แต่ว่ายังมีเครื่องคอมพิวเตอร์อีกมากกว่า 2 ล้านเครื่องที่ยังอยู่ในสภาวะเสี่ยงอยู่

ที่มา : net-security

Tor มีช่องโหว่ที่สามารถทำให้ข้อมูลรั่วไหลได้และ bridge enumeration นั้นอ่อนเกินไป
โดยผู้โจมตีสามารถเข้าถึงข้อมูลสำคัญและส่งผลกระทบให้เกิดการโจมตีอื่นๆตามมา
Tor เวอร์ชั่นก่อนหน้าจนถึงเวอร์ชั่น 0.2.2.34 มีความเสี่ยง

ที่มา: securityfocus