Google แก้ไขช่องโหว่ 2 รายการใน Vertex AI ที่อาจนำไปสู่การยกระดับสิทธิ์ และการรั่วไหลของ AI โมเดล

Google ได้แก้ไขช่องโหว่สองรายการในแพลตฟอร์ม Vertex AI ที่อาจนำไปสู่การยกระดับสิทธิ์ และการขโมยข้อมูลโมเดล Machine learning (ML) ที่ทำการ Fine-Tuned มาแล้ว และ Large Language Models (LLMs) ออกไปได้ ตามรายงานของ Unit 42 จาก Palo Alto Networks เมื่อวันอังคารที่ผ่านมา (12 พฤศจิกายน 2024) (more…)

Microsoft กำลังสอบสวนความเป็นไปได้ที่ POC ของช่องโหว่ Exchange จะรั่วไหล

ช่องโหว่ Microsoft Exchange ที่รู้จักในชื่อ ProxyLogon (https://proxylogon.com/) เป็นช่องโหว่ที่ถูกค้นพบโดยบริษัท DEVCORE ที่แจ้งไปยัง Microsoft และ Microsoft แก้ไขในแพตช์ด่วนไปเมื่อ 3 มีนาคม 2021 ที่ผ่านมา แต่จากการตรวจสอบของบริษัทด้านความปลอดภัยต่างๆ เช่น Volexity, Unit 42, Rapid 7 และ CrowdStrike พบว่ามีการโจมตีก่อนที่จะมีการออกแพตช์ในช่วงปลายเดือนกุมภาพันธ์ 2021 ซึ่งเมื่อวิเคราะห์ข้อมูลการโจมตีโดยละเอียดพบว่าการโจมตีมีความผิดปกติ คือใช้ POC ของบริษัท DEVCORE ที่ส่งให้ Microsoft เพื่อทำการออกแพตช์ จึงเป็นไปได้ที่จะมีการรั่วไหลของ POC ของช่องโหว่ Exchange เกิดขึ้นก่อนการแพตช์

ทางบริษัท DEVCORE ออกแถลงการณ์ระบุว่าทางบริษัทได้ทำการตรวจสอบแล้วและไม่พบว่ามีการรั่วไหลของ POC จากฝั่ง DEVCORE ในขณะที่ทาง Microsoft อยู่ระหว่างการทำการสืบสวน ซึ่งจะมุ่งไปที่โปรแกรม Microsoft Active Protections Program (Mapp) ที่ทาง Microsoft จะให้ข้อมูลบริษัทด้านความปลอดภัยต่างๆ อย่างบริษัทผลิตภัณฑ์ป้องกันมัลแวร์ทราบข้อมูลเกี่ยวกับภัยคุกคามก่อนล่วงหน้า โดยในกรณีช่องโหว่ ProxyLogon นี้ ทาง Microsoft ได้ส่ง POC ให้กับบริษัทในโครงการ Mapp เมื่อวันที่ 23 กุมภาพันธ์ 2021 ที่ผ่านมา

ที่มา : wsj | zdnet

Emotet campaign used parked domains to deliver malware payloads

Emotet ออกแคมเปญใหม่ใช้ Parked Domain ในการส่งเพย์โหลดมัลแวร์ไปยังเครื่องที่ตกเป็นเหยื่อ

นักวิจัยด้านความปลอดภัยทีม Unit 42 จาก Palo Alto Networks ได้เปิดเผยถึงแคมเปญฟิชชิ่งใหม่จาก Emotet botnet ที่ได้ใช้ Parked domain ที่เป็นอันตรายเป็นฐานในการส่งเพย์โหลดเพื่อการแพร่กระจายของมัลแวร์, การแพร่กระจายของโปรแกรมที่อาจไม่พึงประสงค์ (Potentially Unwanted Program - PUP) และการหลอกลวงแบบฟิชชิง

พฤติกรรมดังกล่าวเกิดจากทีมนักวิจัยจาก Unit 42 ได้ตรวจพบโดเมนที่ถูกใช้ในการโจมตีคือ valleymedicalandsurgicalclinic [.] com ซึ่งได้รับการจดทะเบียนครั้งแรกเมื่อวันที่ 8 กรกฎาคม 2020 และได้ถูกตั้งค่าให้เป็น Parked domain แต่หลังจากวันที่ 14 กันยายนที่ผ่านมาโดเมนดังกล่าวถูกพบอีกครั้งเพื่อใช้ในการแพร่กระจายของมัลแวร์ Emotet ผ่านเอกสารที่แนบมากับอีเมลฟิชชิ่งมีสคริปต์มาโครที่เรียกกลับไปยังเซิร์ฟเวอร์ C&C ของผู้ประสงค์ร้าย ซึ่งเมื่อผู้ใช้ตกเป็นเหยื่อแล้ว มัลแวร์จะนำไปสู่การขโมยข้อมูล Credential และรวมถึงการยึดครองอุปกรณ์ของผู้ที่ตกเป็นเหยื่ออีกด้วย

ทีมนักวิจัยจาก Unit 42 กล่าวอีกว่าจากการตรวจสอบ Parked domain ที่ในปัจจุบันมีจำนวนกว่า 6 ล้าน โดเมนและพบว่ามี 1 % ของ Parked domain ถูกใช้ในแคมเปญมัลแวร์หรือฟิชชิงและถูกกำหนดเป้าหมายไปยังเหยื่อที่อาจเกิดขึ้นจากหลายประเทศทั่วโลกเช่น สหรัฐอเมริกา, สหราชอาณาจักร, ฝรั่งเศส,ญี่ปุ่น, เกาหลีและอิตาลี นอกจากนี้แคมเปญของ Emotet จะมุ่งเน้นไปที่ภาคอุตสาหกรรมต่างๆ ตั้งแต่ภาครัฐการศึกษา, พลังงาน, การผลิต, การก่อสร้างและโทรคมนาคม

ทั้งนี้ผู้ใช้ควรทำการตรวจสอบเอกสารที่แนบมากับอีเมลทุกครั้งก่อนทำการเปิดเพื่อเป็นการป้องกันการตกเป็นเหยื่อของมัลแวร์

ที่มา: bleepingcomputer

“Black-T” มัลแวร์ Crypto-mining พัฒนาความสามารถในการขโมยรหัสผ่านบนระบบ Linux

ทีมนักวิจัย Unit 42 จาก Palo Alto Networks ได้เผยถึงการพบเวิร์ม cryptojacking ที่มีชื่อว่า “Black-T” จากกลุ่ม TeamTNT ซึ่งเป็นกลุ่มที่รู้จักกันในการกำหนดเป้าหมายเพื่อโจมตี AWS จากนั้นทำการใช้ Monero (XMR) cryptocurrency โดยเวิร์มที่ถูกค้นพบนั้นได้ถูกพัฒนาใหม่ทั้งการเพิ่มความสามารถในการขโมยรหัสผ่านและเครื่องสแกนเครือข่ายเพื่อให้ง่ายต่อการแพร่กระจายไปยังอุปกรณ์ที่มีช่องโหว่อื่นๆ

จากรายงานของทีมนักวิจัย Unit 42 พบว่า TeamTNT ได้เพิ่มความสามารถของมัลแวร์ในการใช้เครื่องมือ zgrab ซึ่งเป็นเครื่องมือสแกนเครือข่ายชนิดเดียวกับ pnscan และ masscan ที่อยู่ภายใน Black-T อยู่แล้วทำการสแกนเป้าหมาย ทั้งนี้เครื่องมือสแกน masscan ที่ใช้โดย Black-T ก็ได้รับการอัปเดตเพื่อกำหนดเป้าหมายเป็นพอร์ต TCP 5555 ซึ่งอาจบอกเป็นนัยว่า TeamTnT อาจกำหนดเป้าหมายไปที่อุปกรณ์ Android นอกจากนี้ Black-T ยังได้เพิ่ม Mimikatz แบบโอเพนซอร์สสองตัวคือ mimipy (รองรับ Windows / Linux / macOS) และ mimipenguin (รองรับ Linux) ทำการอ่านข้อมูลรหัสแบบ plaintext ภายในหน่วยความจำของระบบที่ถูกบุกรุกและส่งไปยังเซิร์ฟเวอร์ C&C ของ TeamTNT

ด้วยการรวมเทคนิคและขั้นตอนทั้งหมดเข้าด้วยกัน TeamTNT สามารถใช้บ็อตเน็ตของเซิร์ฟเวอร์ที่ถูกบุกรุกเพื่อทำการสแกนหา Docker daemon API เพิ่มเติม ภายในเครือข่ายโดยใช้เครื่องมือ masscan, pnscan และ zgrab และเมื่อมัลแวร์สามารถบุกรุกแล้วได้จะทำการติดตั้ง Kubernetes และ Docker และหลังจากนั้นจะปรับใช้ payload binary ใน container เพื่อทำการเริ่มต้น Monero (XMR) cryptocurrency ภายในเครื่องที่บุกรุก

ทั้งนี้ผู้ดูแลระบบควรทำการตรวจสอบให้แน่ใจว่า Docker daemon API บนระบบคลาวด์ของท่านไม่ถูกเปิดเผยและสามารถเข้าถึงได้จากอินเตอร์เน็ตและเพื่อเป็นการป้องกันการตกเป็นเหยือของมัลแวร์ ผู้ดูแลระบบควรใช้ทำการติดตั้งและใช้งาน Next-Generation Firewall ในระบบของท่าน

ที่มา : bleepingcomputer