หน่วยงานรักษาความปลอดภัยทางไซเบอร์ และโครงสร้างพื้นฐานของสหรัฐอเมริกา (CISA) เปิดตัวระบบการวิเคราะห์ "Malware Next-Gen" เวอร์ชันใหม่ ให้บุคคลทั่วไปสามารถส่งตัวอย่างมัลแวร์เพื่อรับการวิเคราะห์โดย CISA ได้ (more…)

เมื่อวันศุกร์ที่ 21 กรกฎาคมที่ผ่านมา VirusTotal เว็ปไซต์ที่ให้บริการสแกนมัลแวร์แบบออนไลน์ ออกมาประกาศเรื่องข้อมูลของผู้ใช้งานกว่า 5,600 รายรั่วไหลออกสู่สาธารณะ

เหตุการณ์นี้เกิดขึ้นเมื่อวันพฤหัสบดีที่ 29 มิถุนายน 2023 โดยมีพนักงานคนหนึ่งของบริษัท อัปโหลดไฟล์ CSV ไปยังแพลตฟอร์ม VirusTotal ส่งผลให้ข้อมูลของผู้ใช้งานจำนวนหนึ่งรั่วไหลออกไป โดยภายในไฟล์ประกอบไปด้วยข้อมูลเกี่ยวกับลูกค้าบัญชีพรีเมี่ยม ชื่อบริษัท และอีเมลของผู้ดูแลระบบ

Emiliano Martines หัวหน้าฝ่ายการจัดการผลิตภัณฑ์ของบริการสแกนมัลแวร์ออนไลน์ ได้แจ้งให้ลูกค้าที่ได้รับผลกระทบทราบว่าเหตุการณ์ดังกล่าวเกิดจากความผิดพลาดของพนักงาน ไม่ใช่การโจมตีทางไซเบอร์หรือช่องโหว่ใด ๆ ของ VirusTotal นอกจากนี้ ไฟล์ที่รั่วไหลนั้นเข้าถึงได้เฉพาะ partners ของ VirusTotal และนักวิเคราะห์ความปลอดภัยทางไซเบอร์ที่มีบัญชีพรีเมียมเท่านั้น ผู้ที่ใช้บัญชีที่ไม่ระบุชื่อ หรือบัญชีฟรีไม่สามารถเข้าถึงแพลตฟอร์มพรีเมี่ยมได้ อย่างไรก็ตาม Martines ได้ลบไฟล์ดังกล่าวออกจากแพลตฟอร์มแล้วหลังจากประกาศภายในหนึ่งชั่วโมง

การรั่วไหลของข้อมูลที่เกี่ยวข้องกับหน่วยงานภาครัฐทั่วโลก
สำนักข่าวเยอรมัน Der Spiegel และ Der Standard เป็นคนแรกที่รายงานเหตุการณ์นี้ในวันจันทร์ที่ 17 กรกฎาคมที่ผ่านมา ตามรายงานข้อมูลที่รั่วไหลมีขนาด 313KB โดยในรายชื่อ 5,600 ชื่อ ประกอบไปด้วยข้อมูลที่เกี่ยวข้องกับหน่วยงานราชการของสหรัฐอเมริกา กองบัญชาการไซเบอร์ กระทรวงยุติธรรม สำนักงานสอบสวนกลาง (FBI) สำนักงานความมั่นคงแห่งชาติ (NSA) และหน่วยงานระดับชาติของเนเธอร์แลนด์ ไต้หวัน และอังกฤษ รวมถึงพนักงานของหน่วยงานรัฐบาลเยอรมัน นอกจากนี้ยังพบข้อมูลของพนักงานหลายสิบคนของ Federal Bank, German Railway, Allianz, BMW, Mercedes-Benz และ Deutsche Telekom ทั้งนี้ Der Spiegel ชี้ให้เห็นว่าข้อมูลที่รั่วไหลเผยให้เห็นว่ามีใครบ้างที่เกี่ยวข้องกับความปลอดภัยด้านไอที และมัลแวร์ในบริษัท และองค์กรของรัฐที่ได้รับผลกระทบ ซึ่งผู้ไม่หวังดีสามารถใช้ข้อมูลนี้เพื่อกำหนดเป้าหมายไปยังเจ้าหน้าที่เหล่านี้ ด้วยการโจมตีแบบสเปียร์ฟิชชิงได้

ที่มา : bleepingcomputer

นักวิจัยด้านความปลอดภัย Shai Alfasi และ Marlon Fabiano da Silva จาก Cysource ได้เปิดเผยช่องโหว่ที่อาจทำให้ผู้โจมตีใช้เครื่องมือของ VirusTotal ในการสั่งรันโค้ดที่เป็นอันตรายจากระยะไกล (RCE) บน Antivirus Engine ที่มีช่องโหว่

VirusTotal มีบริการสแกนมัลแวร์ที่สามารถวิเคราะห์ไฟล์ที่ต้องสงสัยว่าจะเป็นอันตราย และ URL ที่อาจทำให้ติดมัลแวร์ได้ โดย VirusTotal มี Third-Party ที่เป็น Antivirus Product จากทั่วโลกกว่า 70 บริษัท

การโจมตีเกิดขึ้นจากการอัพโหลดไฟล์ DjVu ขึ้นไปผ่านทางหน้าเว็ปไซต์ของ VirusTotal เพื่อโจมตีช่องโหว่บน ExifTool ซึ่งเป็น open-source ที่ใช้สำหรับอ่าน และแก้ไขข้อมูล EXIF metadata ในรูป และไฟล์ PDF

โดยช่องโหว่ดังกล่าวมีหมายเลข CVE-2021-22204 (CVSS score: 7.8) โดยเป็นช่องโหว่ที่สามารถทำให้สั่งรันโค้ดที่เป็นอันตรายได้ จากการจัดการไฟล์ DjVu ที่ผิดพลาดจาก ExifTool ซึ่งช่องโหว่ดังกล่าวได้รับการแก้ไขไปแล้วในวันที่ 13 เมษายน 2021

นักวิจัยตั้งข้อสังเกตว่าผลที่ตามมาจากการโจมตีช่องโหว่นี้สำเร็จจะทำให้ผู้โจมตีสามารถสร้าง reverse shell กลับไปยัง antivirus engine ที่ยังไม่ได้แพตซ์เพื่อสั่งรันโค้ดที่เป็นอันตรายจากระยะไกลได้

(more…)

นักวิจัยด้านความปลอดภัย Julien Voisin ประกาศการค้นพบโค้ดสำหรับโจมตีช่องโหว่ (Exploit) สำหรับช่องโหว่ Spectre ในเว็บไซต์ VirusTotal โดยการโจมตีช่องโหว่ Spectre นั้นสามารถทำให้ผู้โจมตีเข้าถึงข้อมูลที่อยู่ในหน่วยความจำได้อย่างอิสระ

ทีม Intelligent Response ได้เคยมีการพูดช่องโหว่ Spectre และ Meltdown เมื่อปี 2018 สามารถอ่านบทความของเราได้ที่นี่ i-secure

จากการตรวจสอบ Exploit ที่อยู่ใน VirusTotal นั้น Voision พบ Exploit สำหรับระบบ Linux และ Windows ซึ่งเมื่อทำการใช้งานแล้วโดยบัญชีผู้ใช้ที่มีสิทธิ์ต่ำ ผู้ใช้ที่มีสิทธิ์ต่ำดังกล่าวจะสามารถดึงค่าแฮช LM/NT และ Kerberos ticket ใน Windows และข้อมูลใน /etc/shadow สำหรับระบบ Linux ได้ทันที

การวิเคราะห์ยังบ่งชี้ถึงที่มาของทั้งสอง Exploit โดยทั้งสอง Exploit มีที่มาจากโปรแกรม Canvas ของ Immunity ซึ่งเป็นโปรแกรมรวม Exploit คล้ายกับ Metasploit แต่มี Private exploit ที่ทาง Immunity มีการพัฒนาขึ้นเองอยู่ด้วย ที่มาของ Exploit ทั้งสองนั้นมาจากการรั่วไหลของ Canvas 7.26 ซึ่งเกิดขึ้นในช่วงเดือนธันวามคมที่ผ่านมา ซึ่งก็สอดคล้องกับงานวิจัยของ Immunity ที่เคยสาธิตการใช้งาน Canvas เพื่อโจมตีช่องโหว่ Spectre และขโมยข้อมูล Kerberos ticket มาตามวีดิโอ vimeo

 

ที่มา: bleepingcomputer

โรงพยาบาลบางแห่งของ NHS Lanarkshire board ถูกโจมตีด้วย Bit Paymer ransomware โดยโรงพยาบาลที่เป็นส่วนหนึ่งของ NHS Lanarkshire board นั้น เช่น Hairmyres Hospital in East Kilbride, Monklands Hospital เป็นต้น การถูกโจมตีครั้งนี้เกิดขึ้นเมื่อวันศุกร์ที่ 25 สิงหาคม 2017 และทางเจ้าหน้าของทาง NHS Lanarkshire ทราบเรื่องทันทีในวันนั้น ในวันต่อมาทางบอร์ดบริหารได้ออกให้ข่าวว่าควบคุมสถานการณ์ไว้แล้ว และกำลังกู้ระบบต่างๆกลับขึ้นมาอยู่ ซึ่งคาดการณ์ว่าจะใช้เวลาจนถึงวันจันทร์ที่ 28 สิงหาคม 2017 มีเพียงข้อมูลเรื่องของกระบวนการและกำหนดการเพียงเล็กนอยที่ถูกยกเลิกไปเนื่องจากเหตุการณ์โจมตีครั้งนี้
Bit Paymer Ransomware เริ่มเป็นที่รู้จักครั้งแรกเมื่อวันที่ 21 มิถุนายน 2017 เมื่อมีนักวิจัยทวีตข้อมูลตัวอย่างของมัลแวร์ที่เขาได้ upload ไปยัง VirusTotal (web-based file scanning service) หรือบริการการสแกนไฟล์แบบเว็บ สิ่งที่ทำให้ต่างจาก ransomware ตัวอื่นๆ ในปัจจุบันคือ Bit Paymer มีการเขียนโค้ดที่ดีมากทำให้ดูเหมือนว่าเป็นการเขียนของ programmer ที่มีประสบการณ์สูง
เจ้าหน้าที่ด้านความปลอดภัยของทาง Emsisoft เชื่อว่า ransomware ถูกลงลงไว้ในเครื่องหลังจากผู้โจมตีทำการโจมตีแบบ brute-force ไปยัง RDP endpoints ที่ไม่ได้รับการป้องกัน เมื่อผู้โจมตีเข้ามาในระบบหนึ่งได้แล้ว จะย้ายไปยังระบบอื่นเรื่อยๆ เพื่อลงตัว Bit Paymer ransomware ไว้ที่ทุกๆระบบที่สามารถเข้าไปได้ การเข้ารหัสไฟล์จะเป็นการรวมกันของ RC4 และ RSA-1024 ซึ่งทางนักวิจัยบอกว่ายังไม่มีวิธีในการถอดรหัสไฟล์ดังกล่าวได้ ไฟล์ที่ถูกเข้ารหัสจะมี ".locked" ต่อท้ายที่ชื่อไฟล์เดิม และมีการสร้างไฟล์ text ทิ้งไว้ทุกๆ จุดที่ไปเข้ารหัสไฟล์ โดยในไฟล์ text จะบอกรายละเอียดเรื่องของการจ่ายเงิน รูปแบบของการจ่ายเงินจะแปลกกว่า ransomware ตัวอื่นๆ ตรงที่จะให้ส่ง 1 Bitcoin confirmation มาสามครั้งก่อนการจ่ายเงินจริงเพื่อป้องกันการส่งเงินไปผิดที่อยู่

bleepingcomputer