Trend Micro แก้ไขช่องโหว่เพิ่มเติม ใน Anti-Threat Toolkit
Trend Micro ออกแพตช์ให้ช่องโหว่สำหรับ Anti-Threat Toolkit (ATTK) ที่เริ่มต้นแก้ไขในเดือนตุลาคม 2019 ซึ่งมีนักวิจัยพบวิธีการโจมตีเพิ่มเติมจากช่องโหว่เดิม
Trend Micro ATTK ช่วยให้ผู้ใช้ทำการสแกนทาง forensic ของระบบของพวกเขาเเละทำการ clean rootkit, ransomware, MBR และการติดเชื้อมัลแวร์ประเภทอื่นๆ ATTK ยังถูกใช้โดยผลิตภัณฑ์อื่น ๆ ของ Trend Micro รวมถึง WCRY Patch Tool เเละ OfficeScan Toolbox
นักวิจัย John Page นางแฝง hyp3rlinx ค้นพบเมื่อปีที่แล้วว่า ATTK ได้รับผลกระทบโดยช่องโหว่ที่อาจถูกโจมตีได้จากระยะไกลเพื่อรันโค้ดต่างๆ ตามต้องการด้วยการยกระดับสิทธิ์ใช้งานโดยการสร้างไฟล์ที่เป็นอันตรายชื่อ cmd.

Trend Micro ได้พบมัลแวร์ตัวใหม่โดยตั้งชื่อว่า BlackSquid ซึ่งมีการใช้งานเครื่องมือโจมตีถึง 8 อย่างเพื่อโจมตีเป้าหมาย
นอกจากนั้น BlackSquid ยังมีความสามารถตรวจสอบว่าถูก Debug หรือตรวจสอบว่ารันอยู่ใน Sandbox โดยรูปแบบการติดมัลแวร์ตัวนี้ว่าเป็นไปได้ 3 ทางคือ web servers, network drives และ removable drives ปัจจุบัน BlackSquid มุ่งโจมตีเว็บเซิร์ฟเวอร์เพื่อขุดเหมือง Monero แต่ยังอยู่ในระหว่างการพัฒนาทำให้อาจมีการเปลี่ยนจุดมุ่งหมายในการโจมตีได้
เครื่องมือโจมตีถึง 8 อย่างใน BlackSquid ประกอบด้วยเครื่องมือแฮก EternalBlue และ DoublePulsar ของ NSA เครื่องมือโจมตีช่องโหว่ใน ThinkPHP สำหรับรุ่นที่แตกต่างกันสามรุ่น เครื่องมือโจมตีเพื่อใช้โค้ดจากระยะไกล (remote code execution) ผ่านทาง CVE-2014-6287 บน Rejetto HTTP File Server เครื่องมือโจมตีช่องโหว่ CVE-2017-12615 บน Apache Tomcat และเครื่องมือโจมตี CVE-1017-8464 บน Windows Shell
BlackSquid จะใช้ GetTickCount API เพื่อสุ่มหา live IP ของเว็บเซิร์ฟเวอร์จากนั้นจึงเริ่มการโจมตีผ่านการใช้ช่องโหว่หรือ Brute-force ซึ่ง BlackSquid จะทำการตรวจสอบเครื่องที่จะโจมตีก่อนโดยตรวจสอบปัจจัยต่างๆ อย่างเช่น Username, ไดร์ฟเวอร์ หรือ DLL เพื่อให้แน่ใจว่าไม่ในอยู่ใน sandbox, Virtual Machine หรือ Debugger มิฉะนั้นจะหยุดขั้นตอนการติดเชื้อและไม่แสดงพฤติกรรมน่าสงสัย
เมื่อ BlackSquid แน่ใจว่าตัวเองไม่ได้จากนั้นจึงเริ่มทำงาน ติดตั้ง XMRig เข้ามาเพื่อขุดเหมืองเงินดิจิทัล Monero และหากตรวจสอบพบว่าเครื่องเหยื่อใช้การ์ดจอ Nvidia หรือ AMD ก็จะมีส่วนประกอบเพิ่มเติมเพื่อใช้งาน GPU ร่วมขุดเหมืองด้วย นอกจากนี้ถ้า BlackSquid สามารถโจมตีช่องโหว่ CVE-1017-8464 บน Windows Shell ได้สำเร็จก็จะมีสิทธิ์ระดับเดียว local system user อีกด้วย ซึ่งอาจถูกใช้เพื่อเปิดช่องทางให้ผู้โจมตีเข้าควบคุมเครื่องเพื่อขโมยข้อมูลหรือใช้ประโยชน์อื่นๆ ได้

ที่มา :bleepingcomputer.

อ้างอิงจากบริษัทวิจัยด้านความปลอดภัย Trend Micro กลุ่ม Lazarus ซึ่งเป็น APT ที่เชื่อมโยงกับเกาหลีเหนือได้เล็งเป้าหมายไปที่กลุ่มธนาคารในละตินอเมริกา

กิจกรรมของกลุ่ม Lazarus เพิ่มขึ้นในปี 2014 และ 2015 ส่วนใหญ่สมาชิกของกลุ่มจะใช้มัลแวร์ที่ปรับแต่งเองในการโจมตี โดยกลุ่มนี้มีกิจกรรมย้อนกลับไปตั้งแต่ปี 2009 หรืออาจเป็นช่วงต้นปี 2007 และมีส่วนเกี่ยวข้องกับแคมเปญการสอดแนมทางไซเบอร์และกิจกรรมก่อวินาศกรรมที่มุ่งทำลายข้อมูลและทำลายระบบ กลุ่มนี้ถูกระบุว่าเป็นผู้รับผิดชอบการโจมตี WannaCry ransomware, การโจมตี SWIFT ในปี 2016 และการแฮกบริษัท Sony Pictures

เมื่อไม่นานมานี้กลุ่ม Lazarus เกี่ยวข้องกับการโจมตีตู้ ATM ในเอเชียและแอฟริกา โดยใช้โทรจันชื่อ FastCash โดยใช้มาอย่างน้อยตั้งแต่ปี 2016

ตอนนี้ผู้เชี่ยวชาญจากบริษัท Trend Micro ได้ค้นพบ backdoor ที่น่าจะเป็นของกลุ่ม Lazarus ในเครื่อง ATM ของสถาบันการเงินทั่วละตินอเมริกา โดยถูกติดตั้งตั้งแต่ 19 กันยายนที่ผ่านมา

ไฟล์ Backdoor ประกอบด้วย 3 ส่วน คือ
1 AuditCred.

ทีมนักวิจัย security เปิดเผยช่องโหว่ zero-day ที่ยังไม่ได้รับการแพตช์ของระบบปฏิบัติการ windows หลังจากที่ Microsoft ไม่สามารถออกแพตช์เพื่อแก้ไขได้ทันภายใน 120 วันที่ทีมนักวิจัยตั้งเส้นตายไว้

จากการค้นพบของ Lucas Leong ทีมวิจัยของ Trend Micro ช่องโหว่ zero-day ดังกล่าวอยู่ภายใน Microsoft Jet Database Engine มันสามารถทำให้ผู้โจมตีสามารถโจมตีแบบ Remote execution ได้ Microsoft JET Database Engine หรือที่เรียกง่ายๆ ว่า simply JET (Joint Engine Technology) คือเครื่องมือที่คอยจัดการฐานข้อมูลที่มีความซับซ้อนอยู่ภายในหลายผลิตภัณฑ์ของ Microsoft รวมไปถึง Microsoft Access และ Visual Basic จากคำแนะนำของ Zero Day Initiative (ZDI) ช่องโหว่ดังกล่าวเป็นปัญหาเกี่ยวกับการจัดการ index ภายใน Jet database engine ถ้าสามารถ exploit สำเร็จจะทำให้สามารถเขียน out-of-bounds memory ได้ ทำให้เกิดการ remote code execution ทั้งนี้ผู้โจมตีจะต้องโน้มน้าวเหยื่อให้เปิดไฟล์ JET database ที่ถูกสร้างมาเพื่อใช้โจมตีช่องโหว่

นักวิจัย ZDI อ้างว่าช่องโหว่มีอยู๋ใน Windows ทุกเวอร์ชันที่ยังได้รับการ support อยู่ นั่นคือ Windows 10, Windows 8.1, Windows 7 และ Windows Server Edition 2008 ถึง 2016 ทั้งนี้มีการเผยแพร่ Proof of concept โค้ดแล้วบน GitHub อย่างไรก็ตาม Microsoft กำลังพัฒนาแพตช์ของช่องโหว่ แต่เนื่องจากไม่ได้อยู่ในแพตช์เดือนกันยายน จึงคาดวาช่องโหว่จะถูกแก้ไขในแพตช์เดือนตุลาคมแทน ซึ่ง Trend Micro แนะนำให้ผู้ที่ได้รับผลกระทบทุกคนใช้งานเฉพาะไฟล์ที่เชื่อถือได้เท่านั้นจนกว่า Microsoft จะทำการออกแพตช์

ที่มา : thehackernews

Application หลายรายการที่พัฒนาโดย Trend Micro จะถูกนำออกไปจาก Mac App Store หลังจากที่นักวิจัยพบว่าแอพพลิเคชั่นเหล่านั้นทำการรวบรวมประวัติการเข้าชมเบราเซอร์และข้อมูลเกี่ยวกับคอมพิวเตอร์ของผู้ใช้งาน

Apple ได้นำ Adware Doctor ซึ่งเป็นแอพพลิเคชั่นด้านความปลอดภัยที่มีผู้ใช้งานมากจากการจัดอันดับในส่วนของ Application ที่ให้ดาวน์โหลดฟรีออกจาก App Store นอกจากนี้ยังมีแอพพลิเคชั่น Dr. Antivirus, Dr. Cleaner และ Dr. Unarchiver ซึ่งทั้งหมดถูกพัฒนาภายใต้บัญชีของ Trend Micro หลังจากที่มีการนำแอพพลิเคชั่นดังกล่าวออกไปแล้ว นักวิจัยด้านความปลอดภัย Privacy_1st ได้เผยแพร่วิดีโอที่แสดงว่า Dr. Cleaner และ Dr. Antivirus (Adware Doctor) รวบรวมประวัติการเข้าชมเบราว์เซอร์จาก Safari, Chrome และ Firefox รวมถึงข้อมูลอื่นๆ โดยข้อมูลต่างๆที่ส่งออกไปสามารถใช้ยืนยันและระบุตัวตนของผู้ใช้งานได้

เมื่อวันที่ 10 ก.ย. 19:13: บริษัท เทรนด์ไมโคร ได้ออกมาแถลงการณ์ปฏิเสธว่าแอพพลิเคชั่นดังกล่าวไม่ได้ขโมยข้อมูลของผู้ใช้งาน แต่เป็นการเก็บรวมรวบข้อมูลเพื่อไปพัฒนาแอพพลิเคชั่นให้ดียิ่งขึ้น และข้อมูลดังกล่าวจะถูกอัพโหลดไปยังเซิร์ฟเวอร์ในสหรัฐอเมริกาที่เป็น Amazon Web Services ไม่ใช่ในประเทศจีน แต่ Apple เห็นถึงความไม่ปลอดภัยของผู้ใช้งาน จึงได้ทำการลบแอพพลิเคชั่นดังกล่าวออกจาก App store และเตือนให้ผู้ใช้งานถอนการติดตั้งแอพดังกล่าว

ที่มา : bleepingcomputer

ผู้เชี่ยวชาญด้านความปลอดภัยจาก Trend Micro ได้พบมัลแวร์ Android รุ่นใหม่ชื่อว่า ZNIU ที่ใช้ประโยชน์จากช่องโหว่ Dirty COW ซึ่งเป็นช่องโหว่บน Linux kernel โดยช่องโหว่นี้จะทำให้ผู้ใช้ที่มีสิทธิ์อ่านไฟล์ สามารถมีสิทธิ์เขียนไฟล์ด้วย ถึงแม้ว่าไฟล์นั้นต้องการสิทธิ์ของ root ในการเขียนก็ตาม รวมถึงสามารถสั่ง setuid ไฟล์นั้นเพื่อให้ถูกรันด้วยสิทธิ์ของ root ได้ด้วย

มัลแวร์ ZNIU ถูกตรวจพบแล้วในกว่า 40 ประเทศทั่วโลกเมื่อเดือนที่แล้ว และพบว่ามี Application มากกว่า 1200 รายการ ที่มีการติดต่อไปยังเวปไซต์ที่คาดว่าเกี่ยวข้องกับมัลแวร์ตัวนี้ โดยจะพบใน Application สำหรับผู้ใหญ่(Porn Application) มากที่สุด Application เหล่านี้จะมีการใช้งาน rootkit เพื่อใช้ในการโจมตีผ่านช่องโหว่ Dirty COW ผู้เชี่ยวชาญกล่าวว่า Code ที่ใช้ในการโจมตีจะทำงานได้เฉพาะกับอุปกรณ์แอนดรอยด์ที่ใช้สถาปัตยกรรม ARM/X86 64 บิตเท่านั้น และสามารถเจาะเข้าไปเพื่อทำการสร้าง backdoor บน SELinux ได้ เมื่อมีการติดตั้ง Application เรียบร้อยแล้ว จะมีการเรียกไปยังเวปไซต์ที่เป็นอันตราย เพื่อทำการดาวน์โหลด rootkit มาลงบนเครื่อง จากนั้นจึงทำการเพิ่มสิทธิ์ตัวเองให้เป็น root และจะมีการสร้าง backdoor ขึ้นมา ทั้งนี้พบว่า Domain และ Server ในการส่งคำสั่งและการควบคุมมัลแวร์อยู่ในประเทศจีน นอกเหนือจากนี้ยังพบว่ามัลแวร์มีพฤติกรรมหลอกลวงเพื่อหาเงินผ่านการใช้ SMS-enabled payment service ซึ่งเป็นบริการที่สามารถใช้ได้ในประเทศจีนเท่านั้น

ทั้งนี้ผู้ใช้งานควรเลือกติดตั้ง Application ที่มาจาก Google Play หรือ third-party ที่น่าเชื่อถือเท่านั้น หรือลง Application ที่ช่วยเรื่องความปลอดภัยบนมือถือที่ใช้งาน

ที่มา:securityaffairs

บริษัท Trend Micro แจ้งเตือนมัลแวร์สายพันธุ์ใหม่ชื่อ “BKDR_MANGIT.SM” ที่มีเป้าหมายขโมยรหัสผ่านผู้ใช้บัญชีธนาคารออนไลน์ของธนาคาร 9 แห่งในประเทศบราซิล แฮกเกอร์ที่สร้างมัลแวร์นี้ขาย source code ของมัลแวร์ในราคา 8,800 ดอลล่าร์ และให้บริการเช่าระบบสำหรับควบคุมมัลแวร์ในราคา 600 ดอลล่าร์ต่อระยะเวลา 10 วัน

มัลแวร์ดังกล่าวสามารถโจมตีบัญชีที่ป้องกันด้วยการยืนยันตัวตนแบบ 2 ขั้นตอน โดยมีวิธีดังนี้ เริ่มจากแฮกเกอร์เผยแพร่มัลแวร์เพื่อควบคุมเครื่องของเหยื่อ เมื่อเหยื่อเข้าเว็บไซต์ของธนาคาร มัลแวร์จะแจ้งเตือนแฮกเกอร์ผ่าน SMS แล้วรอให้เหยื่อเข้าเว็บไซต์ธนาคารและล็อกอิน เพื่อสวมรอยสั่งทำรายการขอโอนเงิน เมื่อถึงขั้นตอนที่ต้องใช้ OTP มัลแวร์จะแสดงข้อความหลอกให้เหยื่อใส่ OTP ที่ได้รับ และแฮกเกอร์นำ OTP ไปใช้ยืนยันตัวตนเพื่อโอนเงินเข้าบัญชีที่ต้องการ

สำหรับแนวทางการป้องกันและตรวจสอบ ผู้ใช้ควรอัปเดตซอฟต์แวร์ ติดตั้งแอนติไวรัส ระวังการคลิกลิงก์หรือไฟล์ที่แนบมากับอีเมล ติดตั้งแอพพลิเคชั่นบนมือถือที่มาจากแหล่งที่น่าเชื่อถือ เช่น Google Play Store หรือ Apple Store พร้อมทั้งตรวจสอบสิทธิที่ขอและคะแนนรีวิว และตรวจสอบการประวัติการโอนเงินเป็นประจำ

ที่มา: trendmicro

บริษัทความปลอดภัย Trend Micro ค้นพบช่องโหว่ร้ายแรงของ QuickTime for Windows สองช่องโหว่ ได้แก่ ZDI-16-241 และ ZDI-16-242 โดยช่องโหว่ดังกล่าวทำให้แฮกเกอร์อาศัยประโยชน์จากช่องโหว่ เมื่อเหยื่อเข้าชมหน้าเว็บไซต์หรือเปิดไฟล์ที่เป็นอันตราย และสามารถ remote Code Execution เพื่อติดตั้งโปรแกรมอันตรายที่เครื่องเหยื่อ ซึ่งทางแอปเปิ้ลได้หยุดการสนับสนุนการอัพเดตของ QuickTime for Windows ส่งผลให้ผู้ใช้ไม่สามารถอัพเดท QuickTime for Windows ได้

Trend Micro แนะนำให้ผู้ใช้ QuickTime for Windows ทุกคนถอนการติดตั้งโปรแกรมในทันที เนื่องจากแอปเปิ้ลหยุดการพัฒนา QuickTime for Windows มาได้สักระยะแล้ว และรองรับสูงสุดแค่ Windows 7 เท่านั้น (เวอร์ชั่นล่าสุดคือ QuickTime 7.7.9)

ที่มา : trendmicro

บั๊ก StageFright ของ Android ที่โด่งดังเป็นข่าวใหญ่ทั่วโลกเพราะส่งผลกระทบต่อฮาร์ดแวร์ Android เป็นจำนวนมาก
ล่าสุด Trend Micro ค้นพบช่องโหว่ใหม่ในโค้ดของ MediaServer ตัวเดียวกับที่เกิดปัญหา StageFright โดย Android ที่ได้รับผลกระทบมีตั้งแต่เวอร์ชัน 2.3-5.1.1
รายละเอียดของช่องโหว่เกิดจากคอมโพเนนต์ชื่อ “AudioEffect” ใน MediaServer รับค่าจากแอพแล้วไม่ตรวจสอบตัวแปรอีกรอบ ดังนั้นผู้ประสงค์ร้ายที่หลอกให้ผู้ใช้ติดตั้งแอพได้สำเร็จ สามารถเจาะผ่านช่องทางนี้ได้ ทีมงาน Trend Micro ลองสร้างมัลแวร์ต้นแบบ (proof of concept) และสามารถแครช MediaServer ได้
Trend Micro แจ้งปัญหานี้ให้กูเกิลตั้งแต่เดือน มิ.ย. และกูเกิลออกแพตช์แก้ไขในโค้ดของ AOSP เรียบร้อยแล้วตั้งแต่วันที่ 1 ส.ค. ที่เหลือก็รอบรรดาผู้ผลิตฮาร์ดแวร์อัพเดตแพตช์ให้ต่อไป

ที่มา : TRENDMICRO

บริษัทรักษาความปลอดภัย Trend Micro รายงานว่า พบมัลแวร์ แฝงตัวอยู่ในโปรแกรม Autocad ที่มีลิขสิทธิ์ถูกต้องตามกฏหมาย โดยมัลแวร์ดังกล่าวจะฝังตัวอยู่ในไฟล์ที่ใช้นามสกุล .FAS

หากเป้าหมายมีการใช้งานพอร์ต 137 to 139 และ 445 ซึ่งเป็นพอร์ตที่เกี่ยวกับ NETBIOS ที่จะอนุญาตให้ผู้ใช้ที่อยู่บนเครื่องหนึ่งสามารถใช้ไฟล์ที่อยู่ในอีกเครื่องหนึ่งโดยเปรียบเสมือนว่าไฟล์นั้นอยู่ในเครื่องของผู้ใช้เองได้ (Share)

ดังนั้น มัลแวร์ดังกล่าวจะทำการแพร่กระจายไปยังเครื่องคอมพิวเตอร์ต่างๆที่มีการแชร์ข้อมูลร่วมกันได้ และผู้โจมตีสามารถที่จะเข้าถึง หรือขโมยข้อมูลที่สำคัญของเป้าหมายได้โดยง่าย

ที่มา : ehackingnews