กระทรวงความมั่นคงแห่งมาตุภูมิ (DHS) ได้แจ้งเตือนถึงการโจมตีรูปแบบ ATP (Advanced Persistent Threat) จากกลุ่มแฮ็กเกอร์ที่คาดว่าเกี่ยวข้องกับรัฐบาลต่างประเทศ โดยเล็งเป้าหมายไปยังระบบ Cloud

DHS ยังกล่าวถึงภัยคุกคามในอดีตที่อาจเกี่ยวข้องกับเหตุการณ์โจมตีในปัจจุบัน เช่น "TA17-117A" ที่มีการใช้งาน Malware ที่ชื่อว่า RedLeaves โดยมีส่วนเกี่ยวข้องกับกลุ่ม APT10 ที่มาจากจีน รวมถึงอ้างอิงรายงานจาก 401TRG ว่าแฮกเกอร์จีนมีการเตรียมการโจมตีด้วย Supply Chain Attack ในช่วงเดือนพฤษภาคมที่ผ่านมา และรายงานในช่วงเดือนกรกฏาคมที่กล่าวถึงช่องโหว่ ERP (Enterprise Resource Planning) ที่อยู่บนระบบ Cloud

คำแนะนำจาก US-CERT คือให้ลดโอกาสที่จะถูกโจมตีโดยการใช้งาน Credential ที่เข้มงวด ร่วมกับ Privileged-Access Management (PAM) สามารถอ่านรายงานฉบับเต็มได้จากลิ้งก์ที่มา

ที่มา : zdnet

US-CERT ประกาศแจ้งเตือนล่าสุดเกี่ยวกับมัลแวร์ "Typeframe" ซึ่งเชื่อกันว่ามีส่วนเกี่ยวข้องกับกลุ่มแฮกเกอร์สัญชาติเกาหลีเหนือ HIDDEN COBRA หรือ Lazarus Group
ในประกาศของ US-CERT เกี่ยวกับมัลแวร์ Typeframe มีการเผยแพร่ตัวอย่างของมัลแวร์มาทั้งหมด 11 รายการ ซึ่งประกอบมัลแวร์ทั้งในรูปแบบ 32 บิตและ 64 บิต จากลักษณะเบื้องต้นของมัลแวร์นั้นทำให้สามารถสันนิษฐานว่าเป็นมัลแวร์ที่ช่วยให้ผู้โจมตีสามารถควบคุมเป้าหมายได้จากระยะไกลได้ พร้อมฟังก์ชัน backdoor

Recommendation
ผู้ดูแลระบบควรดำเนินการตรวจสอบทราฟิกรวมไปถึงบล็อคทราฟิกที่มีปลายทางไปยังหมายเลขไอพีแอดเดรสซึ่งเป็นเซิร์ฟเวอร์สำหรับออกคำสั่งและควบคุม ทั้งนี้แนะนำให้ผู้ดูแลระบบตรวจสอบประกาศของ US-CERT และดำเนินการเพิ่มเติมตามขั้นตอนที่มีระบุไว้ในประกาศด้วย
รายการเซิร์ฟเวอร์ที่ใช้ออกคำสั่งและควบคุม:
- 111.207.78[.]204
- 181.119.19[.]56
- 184.107.209[.]2
- 59.90.93[.]97
- 80.91.118[.]45
- 81.0.213[.]173
- 98.101.211[.]162
ที่มา: theregister

US-CERT แจ้งเตือนความเคลื่อนไหวของกลุ่มแฮกเกอร์จากเกาหลีเหนือ "Hidden Cobra" ล่าสุด พบ IOC ใหม่จากมัลแวร์เก่า

US-CERT ประกาศแจ้งเตือนล่าสุดรหัส TA18-149A หลังจากมีการตรวจพบความเคลื่อนไหวของกลุ่มแฮกเกอร์สัญชาติเกาหลีเหนือ "Hidden Cobra" ซึ่งมีความเกี่ยวข้องกับมัลแวร์ที่เคยมีการแพร่กระจายมาแล้วคือ "Joanap" และ "Brambul" ด้วย
มัลแวร์ Joanap ถูกระบุว่าเป็นมัลแวร์ที่จะถูกติดตั้งเมื่อผู้โจมตียึดครองระบบได้แล้ว โดยมีจุดประสงค์เพื่อสร้างการเชื่อมต่อแบบ peer-to-peer กับเซิร์ฟเวอร์ที่ใช้ออกคำสั่งและควบคุมซึ่งทำให้ผู้โจมตีสามารถสร้างกองทัพของบ็อตเน็ตจากเซิร์ฟเวอร์ที่เคยยึดครองแล้วได้ ส่วนมัลแวร์ "Brambul" นั้นเป็นมัลแวร์ที่แพร่กระจายผ่านทางโปรโตคอล SMB (TCP/139, TCP/445) ด้วยวิธีการเดารหัสผ่าน เพื่อให้ผู้โจมตีสามารถควบคุมระบบจากระยะไกลได้

ไอ-ซีเคียวแนะนำให้ผู้ดูแลระบบทำการตรวจสอบตัวบ่งชี้ภัยคุกคามจากแหล่งที่มากับระบบภายในเพื่อค้นหาการมีอยู่ของมัลแวร์ดังกล่าว รวมถึงตั้งค่าระบบให้ปลอดภัยเพื่อป้องกันการโจมตที่จะเกิดขึ้นควบคู่กันไปด้วย

ที่มา : us-cert

กระทรวงความมั่นคงแห่งมาตุภูมิสหรัฐฯ ร่วมกับ FBI และหน่วยงานความมั่นคงทางไซเบอร์ของอังกฤษได้ร่วมกันออกประกาศแจ้งเตือนแคมเปญซึ่งเชื่อกันว่าผู้โจมตีได้รับการสนับสนุนจากรัสเซีย โดยแคมเปญการโจมตีดังกล่าวนั้นพุ่งเป้าไปที่อุปกรณ์เครือข่ายประเทศต่างๆ ซึ่งมีเป้าหมายทั้งในกลุ่มผู้ให้บริการสาธารณูปโภค ผู้ให้บริการเครือข่ายและในภาคส่วนอื่นๆ เพื่อทำการตั้งค่าอุปกรณ์ใหม่ให้มีการส่งข้อมูลกลับมายังรัสเซีย

สำหรับรายละเอียดในการโจมตีนั้น แฮกเกอร์จะพุ่งเป้าไปที่อุปกรณ์ที่มีการตั้งค่าที่ไม่ปลอดภัยอยู่ก่อนแล้ว หรือหมดอายุการซัพพอร์ตทางด้านความปลอดภัยโดยเป็นการโจมตีที่ไม่ต้องอาศัยช่องโหว่ 0day หรือช่องโหว่ในรูปแบบพิเศษใดๆ โดยแฮกเกอร์จะทำการสแกนพอร์ตมาที่พอร์ต 3, 80, 8080, 161, 162 และ 4768 เพื่อทำการเก็บข้อมูลก่อนที่จะพยายามเข้าถึงระบบตามลักษณะของโปรโตคอลที่ไม่ปลอดภัยต่างๆ หลังจากการโจมตีเสร็จเรียบร้อยแล้วแฮกเกอร์มักจะสร้างแอคเคาท์ลับ (backdoor) เอาไว้รวมไปถึงตั้งค่าการเชื่อมต่อใหม่เพื่อให้อุปกรณ์แอบส่งข้อมูลกลับไปยังเซิร์ฟเวอร์ของแฮกเกอร์ได้

ทาง US-CERT ได้ประกาศขั้นตอนในการตรวจสอบว่าถูกโจมตีหรือไม่และการตั้งค่าด้านความปลอดภัยที่ควรปฏิบัติเอาไว้แล้ว แนะนำให้ตรวจสอบวิธีการรับมือพร้อมทั้ง IOC เพิ่มเติมได้จากแหล่งที่มา

ที่มา : us-cert

Cisco ได้มีการปล่อยอัพเดทเพื่ออุดช่องโหว่ที่ส่งผลกระทบแก่ Cisco IOS และ Cisco IOS XE ซึ่งผู้โจมตีสามารถใช้ช่องโหว่ดังกล่าวทำการโจมตี โดยจะทำให้บริการเกิดการขัดข้องหรือใช้งานไม่ได้ (DoS Attack) ช่องโหว่ทั้งสองช่องโหว่สามารถทำการโจมตีได้ง่ายและมีผลลัพธ์ที่สร้างความเสียหายได้ค่อนข้างสูง แนะนำให้ดำเนินการแพตช์โดยด่วนพร้อมทั้งติดตามประกาศด้านความปลอดภัยได้จาก Cisco Security Advisories and Alert (https://tools.

Google ได้มีการปล่อยอัพเดทของ Chrome เวอร์ชัน 60.0.3112.78 สำหรับทั้งสามแพลตฟอร์ม Windows, Mac, และ Linux โดยเวอร์ชันนี้จะอุดช่องโหว่ ที่ผู้โจมตี (attacker) สามารถใช้เข้ามาควบคุมระบบได้
US-CERT แนะนำให้ผู้ใช้งาน และผู้ดูแลระบบติดตามประกาศต่างๆ จาก Google และทำการอัพเดทอยู่เสมอ

ที่มา : us-cert

Apple ได้ปล่อยอัพเดทใหม่เพื่อใช้อุดช่องโหว่ที่พบในอุปกรณ์หลายอย่าง โดยผู้โจมตีสามารถอาศัยช่องโหว่นี้โจมตีจากระยะไกล (remote attack) เพื่อเข้าควบคุมอุปกรณ์ที่ได้รับผลกระทบได้ ทาง US-CERT แนะนำให้ผู้ใช้งาน และผู้ดูแลระบบติดตามเกี่ยวกับข้อมูลความปลอดภัยของผลิตภัณฑ์ดังกล่าว และทำการอัพเดทอยู่เสมอ

ที่มา : us-cert

Joomla ได้มีการปล่อยอัพเดทเวอร์ชัน 3.7.4 ของระบบจัดการเนื้อหา (CMS) เพื่ออุดช่องโหว่บางตัวที่พบ ซึ่งผู้โจมตีสามารถใช้ช่องโหว่ดังกล่าวทำการโจมตีจากระยะไกล (remote attack) เพื่อเข้าควบคุมเว็บไซต์ที่ได้รับผลกระทบได้ US-CERT แนะนำให้ผู้ใช้งาน และผู้ดูแลระบบติดตามประกาศต่างๆ จาก Joomla และการแจ้งเตือนของ US-CERT’s ที่เกี่ยวกับการจัดการระบบรักษาความปลอดภัยและความเสี่ยงที่เกี่ยวข้อง และทำการอัพเดทอยู่เสมอ

ที่มา : us-cert

IBM ได้มีการปล่อยอัพเดทเพื่อปิดช่องโหว่ที่พบในซอฟต์แวร์ IBM Cisco MDS Series Switches Data Center Network Manager (DCNM) หากถูกเจาะผ่านช่องโหว่ดังกล่าว จะทำให้ผู้ที่โจมตีสามารถเข้าควบคุมระบบที่ได้รับผลกระทบดังกล่าวได้ ทาง US-CERT กระตุ้นให้ทางผู้ใช้งาน และผู้ดูแลระบบทำการทบทวนรายละเอียดคำแนะนำเกี่ยวกับเรื่องของช่องโหว่ และรายละเอียดการบรรเทาผลกระทบ

ที่มา : us-cert

Samba Team ได้ปล่อย security update เพื่อปิดช่องโหว่ที่พบใน Samba เวอร์ชัน 4.0.0 เป็นต้นไปที่มีการใช้ embedded Heimdal Kerberos ซึ่งทำให้ผู้ที่โจมตีจากระยะไกล (remote attacker) สามารถใช้ประโยชน์จากช่องโหว่นี้ในการเข้ามาควบคุมระบบดังกล่าว
US-CERT กระตุ้นให้ทางผู้ใช้งาน และ ผู้ดูแลระบบทำการทบทวนประกาศเรื่องความปลอดภัยของทาง Samba และทำการ update ส่วนที่จำเป็น หรือให้ refer ไปยังผู้จำหน่ายระบบ Linux หรือ Unix-based OS สำหรับ การ update patches ที่จำเป็น
ที่มา : us-cert