Mandiant บริษัทด้านความปลอดภัยทางไซเบอร์เปิดเผยการพบกลุ่ม Hacker ที่มีแรงจูงใจทางด้านการเงินในชื่อ 'UNC3944' ใช้การโจมตี แบบ phishing และ SIM swapping เพื่อขโมยบัญชีผู้ดูแลระบบ Microsoft Azure และเข้าถึง VM ของเป้าหมาย

จากนั้น Hacker จะใช้ Azure Serial Console ในการติดตั้งซอฟต์แวร์ Remote Management Software เพื่อฝังตัวในระบบ และใช้ Azure Extensions เพื่อเฝ้าระวังการตรวจจับ (more…)

Mandiant บริษัทด้านความปลอดภัยทางไซเบอร์เปิดเผยการพบกลุ่ม Hacker ที่มีแรงจูงใจทางด้านการเงินในชื่อ 'UNC3944' ใช้การโจมตี แบบ phishing และ SIM swapping เพื่อขโมยบัญชีผู้ดูแลระบบ Microsoft Azure และเข้าถึง VM ของเป้าหมาย

จากนั้น Hacker จะใช้ Azure Serial Console ในการติดตั้งซอฟต์แวร์ Remote Management Software เพื่อฝังตัวในระบบ และใช้ Azure Extensions เพื่อเฝ้าระวังการตรวจจับ (more…)

VMware ออกแพตช์แก้ไขช่องโหว่ของ vRealize Log Insight ซึ่งทำให้ผู้โจมตีเรียกใช้คำสั่งที่เป็นอันตรายจากระยะไกล (Remote Code Execution) ไปยังเครื่องเป้าหมายที่ยังไม่ได้ทำการแพตช์ได้

vRealize Log Insight หรือปัจจุบันรู้จักกันในชื่อ VMware Aria Operations for Logs เป็นเครื่องมือ log analysis ที่ช่วยวิเคราะห์ application และ infrastructure log environment

(more…)

CISA หน่วยงานด้านความมั่นคงทางไซเบอร์ของสหรัฐ ได้เพิ่มช่องโหว่ระดับ critical ใน Cloud Foundation ของ VMware ลงในแคตตาล็อกของช่องโหว่ที่กำลังถูกใช้ในการโจมตี Known Exploited Vulnerabilities (KEV)

VMware Cloud Foundation เป็น hybrid cloud platform ของ VMware สำหรับการใช้งานแอปพลิเคชันขององค์กรในรูปแบบ Private หรือ Public (more…)

นักวิจัยด้านความปลอดภัยของ Horizon3 ได้เผยแพร่ Proof-of-Concept (PoC) สำหรับการโจมตีช่องโหว่ VMware vRealize Log Insight ที่ทำให้สามารถเรียกใช้โค้ดที่เป็นอันตรายจากระยะไกลบนอุปกรณ์ที่ไม่ได้อัปเดตเพื่อปิดช่องโหว่ได้

VMware ได้ออกอัปเดตเพื่อปิดช่องโหว่ด้านความปลอดภัย 4 รายการใน VMware vRealize Log Insight เมื่อสัปดาห์ที่ผ่านมา โดย 2 รายการเป็นช่องโหว่ที่สำคัญ และอนุญาตให้ผู้โจมตีเรียกใช้โค้ดที่เป็นอันตรายบนอุปกรณ์ที่ถูกโจมตีได้ (Remote Code Execution) โดยมีความรุนแรงอยู่ในระดับ Critical (คะแนน CVSS 9.8/10)

CVE-2022-31706 เป็นช่องโหว่ใน directory traversal bug
CVE-2022-31704 เป็นช่องโหว่ broken access control ที่สามารถหลบเลี่ยงการตรวจสอบสิทธิ เพื่อแทรกไฟล์อันตรายในระบบปฏิบัติการของอุปกรณ์ที่มีช่องโหว่
CVE-2022-31710 เป็นช่องโหว่ที่ทำให้เกิด Denial of service (DoS) และ information disclosure บนอุปกรณ์ที่มีช่องโหว่
CVE-2022-31711 เป็นช่องโหว่ที่ทำให้สามารถเข้าถึง Session หรือข้อมูล application ที่มีความสำคัญของอุปกรณ์ที่มีช่องโหว่

จากการตรวจสอบของ Shodan พบว่า มีอินสแตนซ์ 45 รายการที่สามารถเข้าถึงได้บนอินเทอร์เน็ต เนื่องจากอุปกรณ์ VMware vRealize Log Insight ได้รับการออกแบบให้เข้าถึงได้จากภายในเครือข่ายขององค์กรเป็นหลัก รวมถึงยังพบ VMware vRealize Log Insight ที่มีช่องโหว่ จำนวน 5 รายการอยู่ที่ประเทศไทยอีกด้วย

แม้ปัจจุบันไม่มีรายงานการโจมตีที่ใช้ช่องโหว่ VMware vRealize ในการโจมตี แต่ทาง VMware ก็ได้ออกประกาศเตือนให้ผู้ใช้งานเร่งทำการอัปเดตช่องโหว่โดยด่วน เพื่อป้องกันการถูกโจมตี เนื่องจากในปีที่ผ่านมาก็มีการพบช่องโหว่ CVE-2022-22972 ที่ส่งผลกระทบต่อผลิตภัณฑ์ VMware หลายรายการ ซึ่งสามารถหลบเลี่ยงการตรวจสอบสิทธิ์และยกระดับสิทธิเป็นผู้ดูแลระบบในอุปกรณ์ที่มีช่องโหว่เช่นกัน

การป้องกัน :

ดำเนินการอัปเดตเพื่อปิดช่องโหว่โดยด่วน

ที่มา : bleepingcomputer

นักวิจัยด้านความปลอดภัยของ Horizon3’s ได้มีการปล่อยรายละเอียดของช่องโหว่ที่มีรูปแบบเกี่ยวเนื่องกัน ที่จะส่งผลกระทบต่อไปเรื่อย ๆ บน VMware vRealize Log Insight ที่ยังไม่ได้ทำการอัปเดต Patch ซึ่งหากสามารถโจมตีได้สำเร็จ จะทำให้ผู้โจมตีสามารถเรียกใช้โค้ดที่เป็นอันตรายจากระยะไกลด้วยสิทธิ์ของ root ได้ (more…)

เมื่อวันที่ 24 มกราคมที่ผ่านมา VMware ได้ออกแพตช์เพื่อแก้ไขช่องโหว่ของ Insight Log ที่ทำให้ผู้โจมตีสามารถสั่งรันโค้ดที่เป็นอันตรายจากระยะไกล ไปยังเครื่องเป้าหมายที่ยังไม่ได้ทำการแพตช์ ซึ่ง vRealize Log Insight (หรืออีกชื่อคือ VMware Aria Operations for Logs) เป็นเครื่องมือสำหรับ Log Management และ Log Analysis ซึ่งช่วยวิเคราะห์ infrastructure และ application log environment ของ VMware (more…)

เมื่อวันอังคารที่ 25 ตุลาคมที่ผ่านมา ทาง VMware ได้ออกแพตซ์เพื่อแก้ไขช่องโหว่ของผลิตภัณฑ์ VMware Cloud Foundation ซึ่งถูกพบโดยนักวิจัยด้านความปลอดภัย Sina Kheirkah และ Stevenen Seeley จาก Source Incite

โดยช่องโหว่ดังกล่าวมีหมายเลข CVE-2021-29144 ซึ่งเป็นช่องโหว่เกี่ยวกับการเรียกใช้โค้ดที่เป็นอันตรายจากระยะไกลโดยไม่ต้องผ่านการตรวจสอบสิทธิ ผ่านทาง XStream open source library และมี CVSS อยู่ที่ 9.8/10 และช่องโหว่หมายเลข CVE-2022-31678 ซึ่งเป็นช่องโหว่ XML Eternal Entity (XXE) ที่อาจถูกนำไปใช้ทำให้เกิดการปฎิเสธบริการ (DoS) หรือเปิดเผยข้อมูลที่ไม่ได้รับอนุญาต

แนวทางการแก้ไข

แนะนำให้ทำการอัปเดต Patch VMware Cloud Foundation เป็นเวอร์ชั่นที่ได้รับการแก้ไขล่าสุด
ในส่วนของลูกค้าที่ได้ทำการอัปเดตเป็น vCenter Server 8.0 ไปแล้ว จะต้องรอแพตซ์อัปเดตการแก้ไขดังกล่าวไปก่อน

วิธีลดผลกระทบเบื้องต้นหากยังไม่สามารถทำการแพตซ์ได้

ผู้ดูแลระบบเข้าสู่ระบบ SDDC manager บน VMware Cloud Foundation
เมื่อเข้าไปแล้ว ให้ใช้ Hot patch NSX สำหรับ vSphere (NSX-V) ที่จะอัปเกรด XStream เป็น เวอร์ชั่น 1.4.19 เพื่อปิดช่องทางการโจมตี
วิธีการแก้ไขนี้ ผู้ดูแลระบบจะต้องมาทำขั้นตอนเหล่านี้ทุกครั้งที่มีการสร้าง VI workload domain

Ref: https://thehackernews.

ช่องโหว่ VMware Workspace ONE Access ที่ปัจจุบันได้รับการแก้ไขไปแล้ว พบว่ากำลังถูกใช้ในการโจมตีเพื่อติดตั้ง cryptocurrency miners และ Ransomware บนเครื่องที่ถูกโจมตี

Cara Lin นักวิจัยของ Fortinet FortiGuard Labs ระบุในรายงานว่า ผู้โจมตีตั้งใจที่จะใช้ทรัพยากรของเหยื่อให้มากที่สุดไม่เพียงแค่ติดตั้ง RAR1Ransom เท่านั้น แต่ยังเพื่อแพร่กระจาย GuardMiner เพื่อทำการขุดเหรียญคริปโตเคอเรนซี

ช่องโหว่นี้มีหมายเลข CVE-2022-22954 (คะแนน CVSS: 9.8) ซึ่งเป็นช่องโหว่ในการเรียกใช้โค้ดที่เป็นอันตรายจากระยะไกล ซึ่งเกิดจาก server-side template injection แม้ว่าช่องโหว่ดังกล่าวจะได้รับการแก้ไขไปแล้วโดย VMware ในเดือนเมษายน พ.ศ. 2565 แต่ก็ยังมีการพยายามโจมตีอยู่อย่างต่อเนื่อง

Fortinet ระบุว่าตรวจพบการโจมตีในเดือนสิงหาคม พ.ศ. 2565 ที่เป็นการพยายามโจมตีเพื่อติดตั้ง Mirai botnet บน Linux รวมถึง RAR1Ransom และ GuardMiner ซึ่งเป็นเวอร์ชันหนึ่งของ XMRig Monero miner

Mirai ถูกออกแบบมาเพื่อเปิดใช้การโจมตีแบบ DoS และ brute-force attacks โดยมุ่งเป้าไปที่อุปกรณ์ประเภท IoT

การแพร่กระจายของ RAR1Ransom และ GuardMiner โดยใช้ PowerShell หรือเชลล์สคริปต์ขึ้นอยู่กับระบบปฏิบัติการ RAR1ransom จะใช้ประโยชน์จาก WinRAR เพื่อล็อคไฟล์โดยการใส่รหัสผ่าน

นอกจากนี้ GuardMiner ยังมีความสามารถในการเผยแพร่ไปยังโฮสต์อื่น ๆ โดยใช้ช่องโหว่ในการเรียกใช้โค้ดจากระยะไกลในซอฟต์แวร์อื่น ๆ รวมถึงช่องโหว่ใน Apache Struts, Atlassian Confluence และ Spring Cloud Gateway

ที่มา: thehackernews

VMware และ Microsoft ออกมาแจ้งเตือนถึงแคมเปญมัลแวร์ Chromeloader ที่กำลังถูกใช้เพื่อแพร่กระจายมัลแวร์

ChromeLoader เป็น extension ของ Chrome browser ที่เป็นอันตราย ซึ่งจัดอยู่ในประเภท pervasive browser hijacker ที่จะปรับเปลี่ยนการตั้งค่าของเบราว์เซอร์เพื่อเปลี่ยนเส้นทางการรับส่งข้อมูลของผู้ใช้

มัลแวร์สามารถเปลี่ยนเส้นทางการรับส่งข้อมูลของผู้ใช้ และดักจับคำค้นหาของผู้ใช้ใน search engines ยอดนิยม ไม่ว่าจะเป็น Google, Yahoo และ Bing โดยโค้ดที่เป็นอันตรายนั้นยังสามารถใช้ PowerShell เพื่อแทรกตัวเองลงในเบราว์เซอร์ และเพิ่ม extension ลงในเบราว์เซอร์ได้ด้วย

ในเดือนพฤษภาคม นักวิจัยจาก Red Canary สังเกตเห็นแคมเปญโฆษณาที่ใช้แพร่กระจายมัลแวร์ ChromeLoader ที่จะทำการดักจับเบราว์เซอร์ของเหยื่อ โดยในสัปดาห์นี้ VMware และ Microsoft ได้ออกมาเตือนถึงแคมเปญมัลแวร์ Chromeloader ที่กำลังถูกใช้ในการโจมตี ซึ่งจะติดตั้ง extension บนเบราว์เซอร์ที่เป็นอันตราย, มัลแวร์ node-WebKit และแรนซัมแวร์

Microsoft มองว่าแคมเปญนี้มาจากผู้โจมตีที่ชื่อว่า DEV-0796 ซึ่งผู้โจมตีนั้นพยายามสร้างรายได้จากการคลิกที่สร้างโดย browser node-webkit หรือ extension บนเบราว์เซอร์ที่เป็นอันตราย ซึ่งจะแอบติดตั้งไว้บนอุปกรณ์ของเหยื่อ

แคมเปญนี้จะเริ่มต้นการโจมตีด้วยไฟล์ ISO ที่จะถูกดาวน์โหลดเมื่อผู้ใช้คลิกโฆษณาที่เป็นอันตรายหรือ YouTube comments เมื่อทำการเปิดไฟล์ ISO เบราว์เซอร์ node-webkit (NW.js) หรือ extension ของเบราว์เซอร์จะถูกติดตั้ง ซึ่งผู้เชี่ยวชาญยังสังเกตเห็นว่าผู้โจมตีใช้ไฟล์ DMG เพื่อกำหนดเป้าหมายบนระบบ macOS อีกด้วย

VMware ได้เผยแพร่รายงานที่ให้รายละเอียดทางเทคนิคเกี่ยวกับ Chromeloader หลายตัวที่บริษัทสังเกตเห็นตั้งแต่เดือนสิงหาคม และล่าสุดเมื่อปลายเดือนสิงหาคม ChromeLoader ถูกใช้เพื่อติดตั้ง ZipBombs ลงบนระบบที่ถูกโจมตี มัลแวร์นี้ถูกใช้เพื่อทำลายระบบของผู้ใช้ด้วยการโหลดข้อมูลที่มากจนเกินไป

ผู้เชี่ยวชาญยังสังเกตเห็นการใช้ ChromeLoader เพื่อดาวน์โหลด Enigma Ransomware ซึ่งส่งออกเป็นไฟล์แนบ HTML ที่พบในไฟล์ ISO โดยเมื่อเปิดไฟล์แนบ ก็จะมีการเปิดเบราว์เซอร์ และเรียกใช้จาวาสคริปต์ที่ฝังอยู่

เทคนิคการโจมตีอื่น ๆ ที่โดดเด่น คือ OpenSubtitles ในเวอร์ชันปลอม ซึ่งเป็นโปรแกรมที่ช่วยให้ผู้ใช้ค้นหาคำบรรยายสำหรับภาพยนตร์ และรายการทีวีที่เป็นที่นิยม และ Flbmusic.