VMware ออกแพตซ์แก้ไขช่องโหว่ Zero-day ที่ถูกใช้ในงาน Pwn2Own

VMware ออกแพตซ์อัปเดตด้านความปลอดภัยเพื่อแก้ไขช่องโหว่ Zero-day ที่อาจถูกใช้ร่วมกันเพื่อเรียกใช้โค้ดที่เป็นอันตรายบน Workstation และ Fusion ที่มีช่องโหว่ ซึ่งทั้ง 2 ช่องโหว่เป็นส่วนหนึ่งของการโจมตีที่ถูกสาธิตโดยนักวิจัยด้านความปลอดภัยของทีม STAR Labs เมื่อเดือนที่ผ่านมาในวันที่ 2 ของงาน Pwn2Own Vancouver 2023 hacking contest

โดยปกติแล้วผู้ให้บริการแต่ละรายมีเวลา 90 วันในการแก้ไขช่องโหว่ Zero-day ที่ถูกโจมตี และ (more…)

Microsoft ได้ออกแพตซ์อัปเดตความปลอดภัยของ Windows สำหรับช่องโหว่ของ CPU Intel

Microsoft ได้เผยแพร่ out-of-band แพตซ์อัปเดตด้านความปลอดภัย สำหรับช่องโหว่ information disclosure บน 'Memory Mapped I/O Stale Data (MMIO)' ใน CPU Intel

Intel เปิดเผยช่องโหว่ใน Mapped I/O side-channel เมื่อวันที่ 14 มิถุนายน 2022 โดยแจ้งเตือนว่าช่องโหว่ดังกล่าวอาจทำให้ process ที่ทำงานใน virtual machine สามารถเข้าถึงข้อมูลบน virtual machine เครื่องอื่นได้

ช่องโหว่มีหมายเลข CVE ดังต่อไปนี้:

CVE-2022-21123 - Shared Buffer Data Read (SBDR)
CVE-2022-21125 - Shared Buffer Data Sampling (SBDS)
CVE-2022-21127 - Special Register Buffer Data Sampling Update (SRBDS Update)
CVE-2022-21166 - Device Register Partial Write (DRPW)

Microsoft ยังได้เผยแพร่ Security Update Guide ADV220002 พร้อมข้อมูลเกี่ยวกับประเภทของสถานการณ์ที่อาจส่งผลกระทบจากช่องโหว่ ซึงทำให้ผู้โจมตีอาจใช้ประโยชน์จากช่องโหว่สามารถเข้าถึงข้อมูลที่มีความสำคัญได้

ในระบบที่มีการแชร์ resource เช่น กำหนดค่าบริการคลาวด์บางอย่าง ช่องโหว่นี้อาจทำให้ virtual machine เครื่องหนึ่งสามารถเข้าถึงข้อมูลจากอีกเครื่องหนึ่งได้

โดยผู้โจมตีจะต้องเข้าถึงระบบให้ได้ก่อน หรือสามารถเรียกใช้แอปพลิเคชันที่สร้างขึ้นมาเป็นพิเศษบนระบบเป้าหมาย เพื่อใช้ประโยชน์จากช่องโหว่เหล่านี้

Microsoft ได้ออกแพตซ์อัปเดตด้านความปลอดภัยสำหรับ Windows 10, Windows 11 และ Windows Server เพื่อแก้ไขช่องโหว่เหล่านี้

การอัปเดตใน Microsoft Update Catalog ดังนี้ :

KB5019180 - Windows 10, version 20H2, 21H2, and 22H2
KB5019177 - Windows 11, version 21H2
KB5019178 - Windows 11, version 22H2
KB5019182 - Windows Server 2016
KB5019181 - Windows Server 2019
KB5019106 - Windows Server 2022

โดยมีแนวโน้มว่าแพตซ์เหล่านี้จะถูกปล่อยให้เป็นการอัปเดตด้วยตนเอง เนื่องจากการอัปเดตแพตซ์แก้ไขช่องโหว่เหล่านี้อาจทำให้เกิดปัญหาด้านประสิทธิภาพ และช่องโหว่อาจยังไม่ได้รับการแก้ไขอย่างสมบูรณ์หากไม่ปิดใช้งาน Intel Hyper-Threading Technology (Intel HT Technology) ในบางสถานการณ์

ดังนั้นแนะนำให้อ่านคำแนะนำของทั้ง Intel และ Microsoft ก่อนการอัปเดตแพตซ์เหล่านี้

 

ที่มา : bleepingcomputer

VMware ออกแพตช์ความปลอดภัยสำหรับช่องโหว่ที่มีระดับความรุนแรงสูง ซึ่งส่งผลกระทบต่อหลายผลิตภัณฑ์

เมื่อวันที่ 15 กุมภาพันธ์ ที่ผ่านมา VMware ได้ทำการออกแพตช์แก้ไขช่องโหว่ที่มีความรุนแรงสูงหลายช่องโหว่ ซึ่งส่งผลกระทบต่อ ESXi, Workstation, Fusion, Cloud Foundation และ NSX Data Center สำหรับ vSphere ที่อาจทำให้ผู้โจมตีสามารถใช้เพื่อสั่งรันโค้ดที่เป็นอันตรายโดยไม่ได้รับอนุญาตได้ และยังสามารถทำให้เป็นสาเหตุของเหตุการณ์ Denial-of-Service (DoS) ได้

(more…)

Qakbot Malware is Targeting the Users Via Malicious Email Campaign

โทรจัน Qakbot หรือที่เรียกว่า QBot หรือ Pinkslipbot เป็นโทรจันที่ถูกใช้กลุ่มผู้ไม่หวังดีที่มีเป้าหมายหลักในการโจมตีทางด้านธนาคารและการเงิน พบการใช้งานตั้งแต่ปี 2017 มีการแพร่กระจายผ่าน payload เชื่อมต่อ Server C&C และ ปัจจุบันเริ่มมีการใช้งานไปในวงกว้างมากขึ้น

นักวิจัยด้านความปลอดภัย Alien Labs สังเกตเห็นแคมเปญที่พึ่งเกิดขึ้นใหม่ซึ่งเหยื่อที่ตกเป็นเป้าหมายด้วยอีเมลล์ล่อลวงที่เป็นอันตราย จากผู้รับที่มีความน่าเชื่อถือ หรือมีการติดต่อสื่อสารระหว่างกันอยู่แล้ว

โดย email account และข้อมูลภายในเมล์ที่ถูกขโมยออกไป สามารถสร้างผลกระทบได้ตั้งแต่ขนาดเล็กไปจนถึงขนาดใหญ่ ซึ่งหลายๆองค์กรสามารถถูกกำหนดเป็นเป้าหมาย จาก email ของผู้ตกเป็นเหยื่อก่อนหน้า

เมื่อเปิดไฟล์ที่เป็นอันตราย โดยสถานะไฟล์จะถูกเรียกว่า DocuSign โดยซอฟต์แวร์ยอดนิยมที่ใช้ในการแพร่กระจาย malicious คือ Excel ใช้ประโยชน์จาก Macros Excel 4.0 (XML macros) ทำการซ่อน sheets ดาวน์โหลด QakBot และ payload จากอินเทอเน็ตเชื่อมต่อกับเซิร์ฟเวอร์ผู้โจมตี ก่อนที่จะเข้าสู่ Payload หลัก QakBot loader จะทำการทดสอบสิ่งที่เกิดขึ้นกับเครื่องที่ติดตั้งอยู่เพื่อเลือกว่าจะทำการดาวน์โหลดไฟล์อะไรมาติดตั้งบนเครื่องของเหยื่อต่อไป โดย Qakbot จะมีการเช็คสภาพแวดล้อมของเครื่องว่าเป็น Virtual Machine และหาว่าเครื่องดังกล่าวมีการลงโปรแกรม Antivirus หรือ common security researcher tools ไว้ภายในเครื่องหรือไม่

เพื่อให้การตรวจจับและวิเคราะห์ยากขึ้น QakBot จะเข้ารหัส String และถอดรหัสเมื่อมีการรันโปรเซส เมื่อดำเนินการเสร็จ จะดำเนินการลบข้อมูลออกจาก memory ทันที จุดเด่นของ โทรจัน QakBot ที่ใช้ในการ phishing ในอีเมล์ปลอมจะมีข้อมูล เช่นการจัดส่งใบสั่งงานคำขอเร่งด่วนใบแจ้งหนี้การอ้างสิทธิ์ ฯลฯ อีเมลฟิชชิ่งจะมีรูปแบบสลับกันระหว่าง ไฟล์แนบและลิงค์ QakBot มักใช้เป็นทางคล้ายกับ TrickBot หรือ Emotet ซึ่งนำไปสู่การใช้ประโยชน์ในการติดตั้ง Ransomware ต่อไป

ที่มา : ehackingnews

Phishing sites now detect virtual machines to bypass detection

นักวิจัยพบเทคนิคใหม่ของเว็บไซต์ฟิชชิงที่กำลังใช้ JavaScript เพื่อหลบเลี่ยงการตรวจจับ

นักวิจัยจากทีม MalwareHunter ตรวจพบเว็บไซต์ฟิชชิงกำลังใช้ JavaScript เพื่อหลบเลี่ยงการตรวจจับโดยใช้ JavaScript ดังกล่าวทำจะการตรวจสอบว่าผู้เยี่ยมชมกำลังเช้าชมเว็บไซต์จากเครื่อง Virtual machine (VM) หรืออุปกรณ์ headless device หรือไม่ ถ้าตรวจสอบว่าใช่จะแสดงหน้าเพจที่ว่างเปล่าให้กับผู้เยี่ยมชม

นักวิจัยกล่าวว่าเทคนิคที่ใช้ในการหลีกเลี่ยงการตรวจสอบเว็บไซต์ฟิชชิงจะใช้ JavaScript เพื่อตรวจสอบว่าเบราว์เซอร์ทำงานภายใต้เครื่อง VM หรือเข้าสู่เว็บไซต์โดย Command-line interface (CLI) หากพบสัญญาณของความพยายามในการวิเคราะห์ข้อมูลบนเว็บไซต์ฟิชชิงดังกล่าวจะแสดงหน้าเพจว่างแทนที่จะแสดงหน้าฟิชชิงปกติ

นักวิจัยกล่าวอีกว่าสคริปต์จะทำการตรวจสอบความกว้างและความสูงของหน้าจอของผู้เยี่ยมชมและใช้ WebGL API เพื่อสืบค้นเว็บเอ็นจิ้นสำหรับการแสดงผลที่เบราว์เซอร์ใช้ นอกจากนี้สคริปต์ยังตรวจสอบด้วยว่าหน้าจอของผู้เยี่ยมชมมีความลึกของสีน้อยกว่า 24 บิตหรือไม่ หรือความสูงและความกว้างของหน้าจอน้อยกว่า 100 พิกเซล ซึ่งหากตรวจพบเงื่อนไขใดๆ เหล่านี้หน้าเพจฟิชชิงจะแสดงหน้าเพจที่ว่างเปล่าให้กับผู้เยี่ยมชม อย่างไรก็ตามหากเบราว์เซอร์ใช้เครื่องมือและการแสดงผลฮาร์ดแวร์ปกติและขนาดหน้าจอมาตรฐานสคริปต์จะแสดงหน้า Landing Page ของฟิชชิ่ง

ทั้งนี้นักวิจัยคาดว่าผู้ประสงค์ร้ายได้นำโค้ดมาจากบทความปี 2019 ที่อธิบายถึงวิธีใช้ JavaScript เพื่อตรวจจับเครื่อง VM สำหรับผู้ที่สนใจบทความสามารถดูได้ที่นี่: https://bannedit.

Brazil’s court system under massive RansomExx ransomware attack

ศาลยุติธรรมในบราซิลถูก Ransomware "RansomExx" โจมตี

เมื่ออาทิตย์ที่ผ่านมาศาลยุติธรรมในประเทศบราซิลประกาศว่าระบบและเครือข่ายภายในได้รับผลกระทบจากการโจมตี และหลักฐานซึ่งบ่งชี้ว่าการโจมตีดังกล่าวเกิดขึ้นโดยกลุ่ม Ransomware "RansomExx" ซึ่งส่งผลให้ระบบต้องหยุดให้บริการเพื่อจำกัดความเสียหายและฟื้นฟูระบบ

ฝ่ายเทคนิคของศาลออกมาให้ข้อมูลเพิ่้มเติมในภายหลังว่า กลุ่ม Ransomware ประสบความสำเร็จในการยึดครองบัญชี Domain admin และใช้ปัญชีดังกล่าวในการเข้าถึงระบบ virtual environment ที่ทางศาลใช้งาน ก่อนจะเริ่มการเข้ารหัสระบบซึ่งเป็น virtual machine ทั้งหมด

Kaspersky ได้มีการเผยแพร่การวิเคราะห์ทางเทคนิคของ RansomExx และพบว่า Ransomware ดังกล่าวถูกตรวจพบว่ามีเวอร์ชันที่พุ่งเป้าโจมตีกลุ่มระบบที่ใช้ระบบปฏิบัติการลินุกซ์ด้วย มัลแวร์ไม่มีการติดต่อ C&C, ไม่มีการปิดตัวเองลงหลังจากทำงานเสร็จสิ้นและไม่มีส่วนโค้ดซึ่งต่อต้านการวิเคราะห์แต่อย่างใด ไฟล์ถูกเข้ารหัสด้วย AES-ECB และคีย์ AES ถูกเข้ารหัสด้วย RSA ขนาด 4096 บิตที่ฝังมากับมัลแวร์

ยังไม่มีการระบุอย่างชัดเจนถึงวิธีที่กลุ่มมัลแวร์ใช้ในการเข้าถึงเหยื่อและเป้าหมาย

ที่มา: theregister | bleepingcomputer | securelist | zdnet

New RegretLocker ransomware targets Windows virtual machines

RegretLocker มัลแวร์เรียกค่าไถ่ตัวใหม่จะเข้ารหัสไฟล์ในดิสก์ของ Hyper-V ด้วยผ่านการ Mount และเข้าไปเข้ารหัส

ตามทฤษฎี Cryptovirology ซึ่งระบุว่ามัลแวร์เรียกค่าไถ่มักจะมีจุดอ่อนอยู่ในระหว่างที่มันกำลังเข้ารหัส เนื่องจากหากมันถูกตรวจจับได้และถูกขัดจังหวะ มัลแวร์จะไม่สามารถทำตามภารกิจได้อย่างสมบูรณ์ การพัฒนามัลแวร์เรียกค่าไถ่โดยส่วนใหญ่จึงเน้นไปที่การพัฒนาให้มัลแวร์สามารถทำงานได้เงียบและเร็วที่สุด ซึ่งหนึ่งในแนวทางนั้นคือการไม่เข้ารหัสไฟล์ที่มีขนาดใหญ่เพื่อไม่ให้เสียเวลา

อย่างไรก็ตามนักวิจัยด้านความปลอดภัย Vitali Kremez ได้มีการพูดถึงมัลแวร์เรียกค่าไถ่ตัวใหม่ RegretLocker ซึ่งเขาได้ทำการวิเคราะห์ไปหลังจากมีการตรวจพบว่า RegretLocker จะไม่ข้ามไฟล์ตระกูล VHD และ VHDX ซึ่งเป็นไฟล์ดิสก์ของ virtual machine ในแพลตฟอร์ม Hyper-V แต่จะทำการ mount ไฟล์ดิสก์ดังกล่าวและเข้าไปเข้ารหัสไฟล์ใน virtual machine ด้วย

ในกระบวนการดังกล่าว RegretLocker มีการเรียกใช้ API ของระบบในกลุ่ม Windows Virtual Storage API อย่าง OpenVitualDIsk, AttachVirtualDisk และ GetVirturalDiskPhysicalPath ในการ mount ไฟล์ดิสก์ให้กลายเป็นพาร์ติชันจำลอง จากนั้นมัลแวร์จะเข้าถึงไฟล์ที่อยู่ภายในและทำการเข้ารหัสตามปกติ วิธีการในลักษณะนี้จะทำให้ความเร็วในการเข้ารหัสมีมากกว่าการเข้ารหัสไฟล์ฮาร์ดดิสก์ทั้งไฟล์ และสร้าง impact ได้มากกว่าการข้ามไฟล์เหล่านี้ไปด้วย

แม้ในขณะนี้มัลแวร์เรียกค่าไถ่ RegretLocker จะไม่ใช่กลุ่มที่มีความ active ในการแพร่กระจายสูง แต่เทคนิคในลักษณะนี้ก็อาจถูกนำไปใช้โดยมัลแวร์เรียกค่าไถ่สายพันธุ์อื่นเช่นเดียวกัน

ที่มา: bleepingcomputer

RagnarLocker Ransomware ใช้เทคนิคการติดตั้งมัลเเวร์บน Virtual Machine เพื่อซ่อนตัวจากซอฟต์แวร์ป้องกันไวรัส

ทีมวิจัยจากบริษัท Sophos ได้เผยเเพร่ข้อมูล RagnarLocker ransomware ซึ่งใช้เทคนิคในการหลบเลี่ยงการตรวจจับจากซอฟต์แวร์ป้องกันไวรัสโดยการติดตั้ง VirtualBox และทำการรันตัวเองบน Virtual Machine (VM) ในเครื่องที่ติดเชื้อของผู้ใช้

รูปแบบการใช้ RagnarLocker ransomware โจมตีนั้นผู้โจมตีได้ใช้ช่องโหว่การโจมตี Windows Remote Desktop Protocol (RDP) ในกลุ่มเป้าหมาย เมื่อสามารถเข้าถึงเป้าหมายได้ ผู้โจมตีที่ได้รับสิทธิ์การเข้าถึงระดับผู้ดูแลระบบจะใช้งาน GPO เพื่อเรียกใช้ Microsoft Installer (msiexec.

Parallels Desktop – Virtual Machine Escape

มีคนแจ้งช่องโหว่ว่าพบวิธีการหนีออกจาก Parallel Desktop ซึ่งเป็น Virtual Machine (คล้ายๆกับ VMWare, Virtualbox) ใน MacOS ซึ่งจากการตรวจสอบได้ผลดัง VDO ด้านล่าง
จาก VDO จะเห็นว่าน่าจะออกมาจาก Parallel Desktop ได้จริงๆ แต่เมื่อลองดูการทำงานแบบละเอียดของ Script แล้วพบการทำงานของ script จะเป็นดังนี้

1. script สร้างไฟล์ command ขึ้นมา
2. script ใช้การแชร์ application ของ Parallel Desktop กับ mac ให้เป็นประโยชน์ โดยการเปิดไฟล์ command ที่สร้างโดยใช้ application ที่ share ระหว่าง mac กับ guest ภายใน parallel desktop
3. จากนั้นจึงทำการเรียกใช้งาน application ปกติ

ซึ่งจากการทำงานดังกล่าวจะเห็นว่ามันไม่ใช่เป็นการโจมตีช่องโหว่แต่อย่างใด เป็นการเน้นลูกเล่นการใช้งาน Application Sharing ระหว่างเครื่อง Host กับ Guest เสียมากกว่า
วิธีป้องกันคือการหยุด share application ระหว่าง Windows กับ Mac

ที่มา: exploit-db

Duuzer Trojan: A New Backdoor Targeting South Korean Organizations

นักวิจัยด้านความปลอดภัยจาก Symantec ค้นพบ Trojan สายพันธุ์ใหม่ที่ทำให้แฮกเกอร์สามารถรีโมทควบคุมเครื่องที่ติด Trojan นี้ได้อย่างสมบูรณ์. นักวิจัยด้านความปลอดภัยตั้งชื่อ Trojan นี้ว่า Duuzer มีเป้าหมายเป็นองค์กรต่างๆ ในประเทศเกาหลีใต้
Duuzer ถูกออกแบบมาเพื่อระบบที่มีสถาปัตยกรรมแบบทั้ง 32bit และ 64bit ที่ทำงานอยู่บน Windows 7, Windows Vista และ Windows XP. ทั้งนี้เมื่อ Duuzer ติดที่เครื่องเหยื่อแล้วจะสามารถควบคุมเครื่องได้ รวมไปถึง สามารถเก็บข้อมูลของระบบและข้อมูลของไดร์ฟต่างๆ, สร้าง process และปิด process,
เข้าถึง แก้ไขและลบไฟล์ต่างๆ, อัพโหลดและดาวน์โหลดไฟล์ต่างๆ, เปลี่ยนเวลาในการแก้ไขไฟล์, สั่งรันคำสั่งที่เป็นอันตราย, ขโมยข้อมูลต่างๆ จากในเครื่อง รวมไปถึงเก็บข้อมูลต่างๆของระบบปฏิบัติการที่เหยื่อใช้ได้ด้วย

อย่างไรก็ตาม Duuzer มีการตรวจสอบก่อนจะทำงานว่า เครื่องที่รันสรุปย่อ นักวิจัยด้านความปลอดภัยจาก Symantec ค้นพบ Trojan สายพันธุ์ใหม่ที่ทำให้แฮกเกอร์สามารถรีโมทควบคุมเครื่องที่ติด Trojan นี้ได้อย่างสมบูรณ์. นักวิจัยด้านความปลอดภัยตั้งชื่อ Trojan นี้ว่า Duuzer มีเป้าหมายเป็นองค์กรต่างๆ ในประเทศเกาหลีใต้
Duuzer ถูกออกแบบมาเพื่อระบบที่มีสถาปัตยกรรมแบบทั้ง 32bit และ 64bit ที่ทำงานอยู่บน Windows 7, Windows Vista และ Windows XP. ทั้งนี้เมื่อ Duuzer ติดที่เครื่องเหยื่อแล้วจะสามารถควบคุมเครื่องได้ รวมไปถึง สามารถเก็บข้อมูลของระบบและข้อมูลของไดร์ฟต่างๆ, สร้าง process และปิด process,
เข้าถึง แก้ไขและลบไฟล์ต่างๆ, อัพโหลดและดาวน์โหลดไฟล์ต่างๆ, เปลี่ยนเวลาในการแก้ไขไฟล์, สั่งรันคำสั่งที่เป็นอันตราย, ขโมยข้อมูลต่างๆ จากในเครื่อง รวมไปถึงเก็บข้อมูลต่างๆของระบบปฏิบัติการที่เหยื่อใช้ได้ด้วย

อย่างไรก็ตาม Duuzer มีการตรวจสอบก่อนจะทำงานว่า เครื่องที่รันอยู่นั้นอยู่บน Virtual Machine เช่น VMWare หรือ VirtualBox หรือไม่ ถ้ารันอยู่บนโปรแกรมประเภท VM จะไม่ทำงานใดๆ ทำให้การวิเคราะห์นั้นทำได้ยากยิ่งขึ้น

นอกจากนี้ Duuzer ยังถูกตั้งค่าให้ทำงานทุกครั้งที่เปิดเครื่อง และแพร่กระจายตัวเองไปยังเครื่องคอมพิวเตอร์อื่นๆได้อีกด้วย Symantec แนะนำอีกว่า วิธีที่ดีที่สุดในการป้องกันคอมพิวเตอร์จาก Trojan คือ เปลี่ยนชื่อผู้ใช้และรหัสผ่าน, อย่าให้รหัสผ่านที่ง่ายต่อการคาดเดา, อัพเดทระบบปฏิบัติการหรือซอฟต์แวร์ต่างๆ อย่างสม่ำเสมอให้เป็นเวอร์ชั่นล่าสุด รวมไปถึงการไม่เปิดไฟล์ที่ต้องสงสัยจากไฟล์แนบ หรือคลิกลิงค์ที่น่าสงสัยในอีเมล์

ที่มา : Symantec