สถาบันวิจัยพลังงานปรมาณูเกาหลี (KAERI) ของรัฐบาลเกาหลีใต้เปิดเผยเมื่อวันศุกร์ว่าเครือข่ายภายในของบริษัทถูกบุกรุกโดยผู้ต้องสงสัยที่คาดว่ามาจากเกาหลีเหนือ

การบุกรุกเกิดขึ้นเมื่อวันที่ 14 พฤษภาคม ผ่านช่องโหว่ของ VPN (โดยยังไม่มีการระบุว่าเป็นของผู้ให้บริการรายใด) และมี IP Address ของผู้โจมตีที่เกี่ยวข้องกับเหตุการณ์นี้ทั้งหมด 13 IP โดยหนึ่งในนั้นคือ IP "27.102.114[.]89" ซึ่งมีประวัติการเชื่อมโยงกับกลุ่มแฮกเกอร์ที่คาดว่าได้รับการสนับสนุนโดยรัฐบาลเกาหลีเหนือชื่อว่า Kimsuky

KAERI ก่อตั้งขึ้นในปี 2502 ในเมืองแดจอน เป็นสถาบันวิจัยที่ได้รับทุนสนับสนุนจากรัฐบาลซึ่งออกแบบ และพัฒนาเทคโนโลยีนิวเคลียร์ที่เกี่ยวข้องกับเครื่องปฏิกรณ์ แท่งเชื้อเพลิง การหลอมรวมของรังสี และความปลอดภัยของนิวเคลียร์

หลังจากการบุกรุก KAERI กล่าวว่าได้ดำเนินการตามขั้นตอนเพื่อบล็อก IP Address ของผู้โจมตี และอัพเดทแพตซ์ของ VPN ที่มีช่องโหว่เรียบร้อยแล้ว โดยสถาบันฯกำลังสืบสวนรายละเอียดผลกระทบจากการบุกรุก และมูลค่าความเสียหายที่เกิดขึ้น

จากรายงานของสำนักข่าว SISA ของเกาหลีใต้ซึ่งเปิดเผยถึงเหตุการณ์การบุกรุกในครั้งนี้ โดยสำนักข่าวอ้างว่า KAERI พยายามปกปิดการโจมตี โดยพยายามปฏิเสธการโจมตีที่เกิดขึ้น ซึ่ง KAERI อ้างว่าเป็นเพียงความผิดพลาดจากพนักงานระดับปฏิบัติการเท่านั้น

ตั้งแต่ปี 2012 Kimsuky (หรือที่รู้จักในชื่อ Velvet Chollima, Black Banshee หรือ Thallium) เป็นกลุ่มแฮกเกอร์ชาวเกาหลีเหนือที่รู้จักในแคมเปญจารกรรมทางอินเทอร์เน็ตที่กำหนดเป้าหมายไปยังสถาบันวิจัย และปฏิบัติการพลังงานนิวเคลียร์ในเกาหลีใต้

เมื่อช่วงต้นเดือนที่ผ่านมา บริษัทผู้เชี่ยวชาญทางด้าน Cyber Security อย่าง Malwarebytes ได้เปิดเผยถึงการโจมตีไปยังเจ้าหน้าที่ระดับสูงของรัฐบาลเกาหลีใต้ โดยใช้วิธีการติดตั้ง Backdoor บนระบบปฏิบัติการ Android และ Windows ที่ชื่อว่า AppleSeed โดยมีเป้าหมายเพื่อรวบรวมข้อมูลที่มีความสำคัญ

โดยมีเป้าหมายคือหน่วยงานที่เกี่ยวข้องกับกระทรวงการต่างประเทศ เอกอัครราชทูตศรีลังกาประจำประเทศ เจ้าหน้าที่ความมั่นคงทางนิวเคลียร์ของสำนักงานพลังงานปรมาณูระหว่างประเทศ (IAEA) และรองกงสุลใหญ่ประจำสถานกงสุลเกาหลีใต้ในฮ่องกง โดยมี IP Address ของ command-and-control (C2) ที่ตรงกัน

ยังไม่มีข้อมูลว่าช่องโหว่ VPN ที่ถูกใช้ในการโจมตีที่เกิดขึ้นเป็นของผู้ให้บริการรายใด แต่ที่ผ่านมามีหลายองค์กรที่ถูกโจมตีด้วยช่องโหว่ของ VPN จากผู้ให้บริการต่างๆเช่น Pulse Secure, SonicWall, Fortinet FortiOS และ Citrix หลายครั้งในช่วงไม่กี่ปีที่ผ่านมา

ที่มา : thehackernews

Cisco ออกประกาศแจ้งเตือนช่องโหว่ Remote code execution (RCE) ซึ่งส่งผลกระทบต่อโซลูชันเราท์เตอร์ VPN หลายรายการ ช่องโหว่นี้อยู่ในระดับวิกฤติเนื่องจากผู้โจมตีสามารถรันคำสั่งอันตรายผ่านช่องโหว่ได้ด้วยสิทธิ์สูงสุดของระบบ

อ้างอิงจาก Security advisory ของ Cisco ช่องโหว่โดยส่วนใหญ่ซึ่งถูกแพตช์ในรอบนี้นั้นเกิดจากการตรวจสอบ HTTP request ที่ไม่เหมาะสม ส่งผลให้ผู้โจมตีสามารถส่งข้อมูลแบบพิเศษมาเพื่อโจมตีอุปกรณ์ได้ รายการอุปกรณ์ส่วนใหญ่อยู่ในกลุ่ม Small business router ที่มีรุ่นของเฟิร์มแวร์ก่อนหน้า 1.0.01.02 อาทิ

RV160 VPN Router
RV160W Wireless-AC VPN Router
RV260 VPN Router
RV260P VPN Router POE
RV260W Wireless-AC VPN Router

แพตช์ของช่องโหว่ได้ถูกกระจายแล้ว โดยผู้ใช้งานสามารถทำการอัปเดตแพตช์ได้ทันทีด้วยฟีเจอร์ของอุปกรณ์ เราขอแนะนำให้ทำการอัปเดตแพตช์โดยด่วนก่อนจะมีการใช้ช่องโหว่ในการโจมตีจริง

ที่มา:

bleepingcomputer.

SonicWall ผู้ให้บริการความปลอดภัยทางอินเทอร์เน็ตยอดนิยม เช่น ผลิตภัณฑ์ไฟร์วอลล์และ VPN ได้ออกเเถลงถึงเหตุการณ์ที่บริษัทตกเป็นเหยื่อของการโจมตีระบบภายใน

บริษัทระบุว่าแฮกเกอร์ได้ใช้ช่องโหว่ Zero-day บนอุปกรณ์ VPN Secure Mobile Access (SMA) เวอร์ชัน 10.x และ NetExtender VPN เวอร์ชัน 10.x ในการโจมตีระบบเพื่อเข้าถึงเครือข่ายจากระยะไกล ซึ่งขณะนี้ SonicWall กำลังตรวจสอบอย่างละเอียดว่าอุปกรณ์หรือระบบใดบ้างที่ได้รับผลกระทบจากโจมตีจากการใช้ช่องโหว่นี้ โดยเบื้องต้นผลิตภัณฑ์ที่ได้รับผลกระทบคือ

Secure Mobile Access (SMA) เวอร์ชัน 10.x ที่รันบนอุปกรณ์ SMA 200, SMA 210, SMA 400, SMA 410 ซึ่งเป็น Physical Appliances และอุปกรณ์ Virtual SMA 500v Appliances
NetExtender ซึ่งเป็น VPN Client เวอร์ชัน 10.x ถูกใช้เพื่อเชื่อมต่อกับอุปกรณ์ SMA 100 Series และไฟร์วอลล์ SonicWall
ทาง SonicWall ได้ออกมาแนะนำให้ทางผู้ดูแลระบบของเเต่และองค์กรและบริษัททำการสร้าง Firewall Rule, เปิดใช้งาน Multi-Factor Authentication (MFA) สำหรับ VPN Client ที่ทำการเข้าถูกระบบ, ปิดการใช้ NetExtender ในการเข้าถึงไฟร์วอลล์และอนุญาตให้เข้าถึงผ่าน SSL-VPN Connection จาก Whitelist IP เท่านั้นสำหรับการเชื่อมต่อ ทั้งนี้ทาง SonicWall ยังคงอยู่ในส่วนของการตรวจสอบผลกระทบที่เกิดขึ้น ผู้ดุแลระบบควรทำการติดตามข่าวสารอย่างต่อเนื่องและเมื่อทาง SonicWall ออกแพตช์การแก้ไขช่องโหว่แล้วผู้ดูแลระบบควรรีบทำการแพตช์ความปลอดภัยเป็นการด่วน

ที่มา: thehackernews | bleepingcomputer

NCC Group และบริษัทในเครือ Fox-IT ได้ออกรายงานถึงกลุ่มแฮกเกอร์ชาวจีนที่ต้องสงสัยที่มีชื่อกลุ่มว่า “Chimera” ได้โจมตีอุตสาหกรรมสายการบินในช่วงไม่กี่ปีที่ผ่านมา โดยมีเป้าหมายเพื่อการขโมยข้อมูลผู้โดยสารและเพื่อติดตามการเคลื่อนไหวของบุคคลที่น่าสนใจ

ตามรายงานของ NCC Group และ Fox-IT ที่ได้สังเกตเห็นกลุ่มแฮกเกอร์ต้องสงสัยนี้ในระหว่างการรับมือกับเหตุการณ์การโจมตีต่าง ๆ (incident response) ระหว่างเดือนตุลาคม 2019 ถึงเมษายน 2020 โดยเป้าหมายของการโจมตีเหล่านี้จะพุ่งเป้าไปที่บริษัทเซมิคอนดักเตอร์และบริษัทในอุตสาหกรรมสายการบินในหลายประเทศและไม่ใช่เฉพาะในเอเชีย

NCC และ Fox-IT กล่าวต่อว่าได้พบไฟล์ DLL ที่ออกแบบมาเป็นพิเศษถูกใช้ในการดึงข้อมูล Passenger Name Records (PNR) ในระหว่างที่ทางบริษัทเข้าไปรับมือกับสถานะการการโจมตีในบริษัทในอุตสาหกรรมสายการบิน

กลุ่ม Chimera โจมตีโดยเริ่มต้นด้วยการรวบรวมข้อมูล Credentials เพื่อเข้าสู่ระบบของเป้าหมาย โดยการใช้ข้อมูลที่ถูกซื้อขายในฟอรัมแฮกเกอร์หรือข้อมูลที่ถูกรั่วไหลจากฟอรัมต่างๆ จากนั้นจะใช้เทคนิค Credential stuffing หรือ Password spraying ในเข้าสู่บัญชีของพนักงานที่อยู่ภายในบริษัทที่ตกเป้าหมาย เช่น บัญชีอีเมล และเมื่อสำเร็จแล้วจะทำการค้นหารายละเอียดของการเข้าสู่ระบบสำหรับขององค์กรเช่นระบบ Citrix และอุปกรณ์ VPN เป็นต้น เมื่อสามารถอยู่ในเครือข่ายภายในได้ผู้บุกรุกมักจะติดตั้ง Cobalt Strike ซึ่งเป็นเครื่องมือในการทดสอบการเจาะระบบ จากนั้นจะทำการเคลื่อนย้ายไปยังระบบต่าง ๆ ให้ได้มากที่สุดโดยค้นหาทรัพย์สินทางปัญญา (Intellectual Property) และรายละเอียดผู้โดยสาร ซึ่งเมื่อพบและรวบรวมข้อมูลแล้ว ข้อมูลเหล่านี้ได้จะถูกอัปโหลดไปยังบริการคลาวด์สาธารณะเช่น OneDrive, Dropbox หรือ Google Drive เพื่อป้องกันการตรวจสอบหรือบล็อกภายในเครือข่ายที่ถูกละเมิด

ทั้งนี้ผู้ดูแลระบบควรทำการตรวจสอบระบบของท่านอยู่เป็นประจำ ทำการอัปเดตแพตช์ความปลอดภัยให้เป็นเวอร์ชันล่าสุดและควรใช้อุปกรณ์ในการตรวจจับเหตุการ์ต่างๆ เพื่อเป็นการป้องกันการตกเป็นเป้าหมายของผุ้ประสงค์ร้าย

ที่มา: zdnet

SoniclWall ออกประกาศแพตช์อุด 11 ช่องโหว่ความปลอดภัย โดยหนึ่งในช่องโหว่ความปลอดภัยรหัส CVE-2020-5135 เป็นช่องโหว่ stack-based buffer overflow ซึ่งทำให้ผู้โจมตีสามารถรันโค้ดที่เป็นอันตรายกับอุปกรณ์ที่มีช่องโหว่ด้านโดยไม่ต้องมีการพิสูจน์ตัวตน

Nikita Abramov จาก Positive Technologies และ Craig Young จาก TripWrie ซึ่งมีส่วนร่วมในการค้นพบช่องโหว่นี้ให้ข้อมูลเพิ่มเติมว่า ช่องโหว่ดังกล่าวอยู่ในเซอร์วิส product management และ SSL VPN remote access ที่สามารถถูกสแกนเจอได้จากบริการอย่าง Shodan

นอกเหนือจาก CVE-2020-5135 แล้ว ช่องโหว่ที่น่าสนใจอีกช่องโหว่หนึ่งคือ CVE-2020-5142 ซึ่งผู้โจมตีสามารถสร้างโค้ดจาวาสคริปต์ไปที่หน้า SSL-VPN portal เพื่อทำ DoS อุปกรณ์ได้โดยไม่ต้องมีการพิสูจน์ตัวตน

ในขณะนี้อุปกรณ์ที่ได้รับผลกระทบคือ SonicOS 6.5.4.7-79n และรุ่นก่อนหน้า, SonicOS 6.5.1.11-4n และรุ่นก่อนหน้า, SonicOS 6.0.5.3-93o และรุ่นก่อนหน้า, SonicOS 6.5.4.4-44v-21-794 และรุ่นก่อนหน้า และ SonicOS 7.0.0.0-1 ขอให้ทำการอัปเดตอุปกรณ์เพื่อจัดการความเสี่ยงที่เกิดขึ้นจากช่องโหว่โดยด่วน

ที่มา: threatpost.

กลุ่ม APT อิหร่าน "Pioneer Kitten" เร่ขายข้อมูลการเเฮกเครือข่ายให้กับแฮกเกอร์รายอื่นใน Dark Web

Crowdstrike ได้ออกรายงานถึงกลุ่ม APT อิหร่านที่ชื่อว่า Pioneer Kitten หรือที่รู้จักกันในชื่อ Fox Kitten และ Parisite ได้กำลังพยายามขายข้อมูลการเข้าถึงเครือข่ายขององค์กรต่างๆ ที่ทางกลุ่มได้ทำการบุกรุกแล้วให้กับแฮกเกอร์รายอื่นใน Dark Web

ตามรายงานที่เผยแพร่โดย Crowdstrike ระบุว่ากลุ่มแฮกเกอร์ชาวอิหร่านได้ทำการโจมตี VPN ขององค์กรต่างๆ ในช่วงหลายเดือนที่ผ่านมา โดยทำการกำหนดเป้าหมายการโจมตีและหาประโยชน์จากช่องโหว่ต่างๆ ที่เกี่ยวข้องกับ VPN เช่น CVE-2018-13379 Fortinet VPN servers, CVE-2019-1579 (Palo Alto Network), CVE-2019-11510 (Pulse Secure), CVE-2019-19781 (Citrix) และ CVE-2020-5902 (F5 Networks) เมื่อสามารถบุกรุกเครือข่ายที่เป็นเป้าหมายได้แล้วกลุ่มแฮกเกอร์จะใช้ประโยชน์จาก SSH tunneling ผ่านเครื่องมือโอเพ่นซอร์สเช่น Ngrok และ SSHMinion เพื่อใช้ในการเชื่อมต่อกับมัลแวร์ที่ติดตั้งในเครือข่ายเป้าหมาย

Crowdstrike ที่ได้ติดตามกิจกรรมของกลุ่ม Pioneer Kitten พบว่าในขณะนี้กลุ่มเเฮกเกอร์ได้เริ่มทำการโฆษณาที่ทำการขายข้อมูลใน Dark Web

ทั้งนี้ผู้ดูแลระบบควรทำการตรวจสอบอัปเดตเเพตซ์ของซอฟต์แวร์บนอุปกรณ์ VPN ให้เป็นเวอร์ชันล่าสุดเพื่อป้องกันผู้ประสงค์ร้ายทำการใช้ประโยชน์จากช่องโหว่ทำการโจมตีระบบ

ที่มา : securityaffairs

บริษัท Coveware, Emsisoft และ Recorded Future ได้ออกรายงานการจัดอันดับภัยคุกคามและช่องทางที่ถูกใช้โจมตีจากกลุ่ม Ransomware ซึ่งรายงานครึ่งปี 2020 ที่ผ่านมานั้นพบว่าช่องทางการโจมตีด้วย Remote Desktop Protocol (RDP), VPN และ Email phishing ยังได้รับความนิยมและถูกใช้อย่างเเพร่หลายและเป็นจุดเริ่มต้นของปฏิบัติการ Ransomware เพื่อใช้ในการโจมตีและหาประโยชน์ต่างๆ จากองค์กรที่ถูกบุกรุก

จากรายงานและการเก็บสถิติจาก Coveware และ Emsisoft พบว่า Remote Desktop Protocol (RDP) ถูกจัดให้เป็นอันดับหนึ่งในการใช้เป็นช่องทางการบุกรุกของกลุ่มปฏิบัติการ Ransomware เนื่องจากการใช้งาน RDP นั้นถูกใช้งานอย่างกว้างขวางและเป็นช่องทางในการเข้าถึงคอมพิวเตอร์ของผู้ใช้โดยตรงและยังสามารถติดตั้ง Ransomware และมัลแวร์อื่น ๆ ได้อีกด้วย

อันดับที่สองที่พบว่าถูกใช้ในการบุกรุกนั้นคือการใช้งานช่องโหว่ต่างๆ ของ VPN นับตั้งแต่กลางปี 2019 ที่ผ่านมาพบว่ามีการเปิดเผยช่องโหว่ที่รุนแรงหลายอย่างในอุปกรณ์ VPN จากบริษัทชั้นนำในปัจจุบัน ได้แก่ Pulse Secure, Palo Alto Networks, Fortinet, Citrix, Secureworks และ F5 ซึ่งการที่ช่องโหว่ถูกทำการเปิดเผยและผู้ใช้งานไม่ทำการเเพตซ์ช่องโหว่ในอุปกรณ์ VPN นั้นทำให้กลุ่มปฏิบัติการ Ransomware ที่ตั้งเป้าหมายเพื่อทำการบุกรุกองค์กรต่างๆ เช่นกลุ่ม REvil (Sodinokibi), Black Kingdom, Ragnarok, DoppelPaymer, Maze, CLOP และ Nefilim นั้นได้ใช้มองว่าช่องโหว่เช่น CVE-2019-19781 (Citrix), CVE-2019-11510 (Pulse Secure VPN) ที่ไม่ได้รับการเเพตซ์เป็นจุดเริ่มต้นในการบุกรุกองค์กรต่างๆ เมื่อสามารถเข้าถึงภายในเครือข่ายที่บุกรุกแล้วกลุ่มปฏิบัติการ Ransomware จะทำการติดตั้ง Ransomware และมัลแวร์อื่น ๆ ที่ใช้ในการเข้ารหัสไฟล์ เพื่อใช้ในการข่มขู่องค์กรที่ตกเป็นเหยื่อต่อไป

ทั้งนี้ผู้เชี่ยวชาญด้านความปลอดภัยทางไซเบอร์ได้เเนะนำให้ผู้ดูแลระบบตรวจเช็คการใช้งานเชื่อมต่อด้วย RDP และอุปกรณ์ VPN ว่าทำการเเพตซ์ซอฟต์แวร์เป็นเวอร์ชันล่าสุดหรือยังหรือถ้าต้องการใช้งาน RDP ควรใช้งานผ่าน VPN หรือหาซอฟต์แวร์ third party มาใช้งานเชื่อมต่อเเทนการเชื่อมต่อด้วย RDP โดยตรงผ่านระบบอินเตอร์เน็ตและเพื่อเป็นการป้องกันผู้ประสงค์ร้ายทำการโจมตีระบบซึ่งจะเป็นการป้องกันความเสียหายจากการโจมตีและทรัพย์สินขององค์กร

ที่มา: zdnet.

รัฐบาลสหรัฐแบ่งปันเคล็ดลับในการรักษาความปลอดภัย VPN สำหรับทำงานจากระยะไกล

หน่วยงานความมั่นคงปลอดภัยไซเบอร์ของกระทรวงความมั่นคงแห่งมาตุภูมิสหรัฐอเมริกา (CISA) ได้แบ่งปันเคล็ดลับเกี่ยวกับวิธีการรักษาความปลอดภัยเครือข่ายส่วนตัวเสมือน (VPN) ขององค์กรอย่างถูกต้อง หลังจากที่เห็นว่าองค์กรจำนวนมากกำลังเปลี่ยนไปเป็นการทำงานจากที่บ้าน เพื่อตอบสนองต่อการระบาดของ COVID-19

คาดว่าผู้โจมตีจะให้ความสำคัญกับการโจมตีการทำงานจากระยะไกล เนื่องจากพนักงานจำนวนมากได้เปลี่ยนไปใช้ VPN ขององค์กรเพื่อการทำงานทางไกล ผู้โจมตีเองก็จะเน้นการโจมตีข้อบกพร่องด้านความปลอดภัย VPN มากขึ้น ซึ่งมีโอกาสน้อยมากที่ VPN จะถูกแพตช์ทันเวลาโดยเฉพาะองค์กรที่มีการทำงานทั้งกลางวันและเเละกลางคืน

CISA ยังเน้นถึงความจริงที่ว่าผู้โจมตีอาจเพิ่มการโจมตีแบบ Phishing เพื่อขโมยข้อมูลประจำตัวของพนักงานที่ทำงานจากที่บ้าน ซึ่งองค์กรที่ยังไม่ได้ใช้การพิสูจน์ตัวตนด้วยหลายปัจจัย (MFA) สำหรับการเข้าถึงระยะไกลจะมีความเสี่ยงมากที่สุด

เมื่อถูกโจมตี องค์กรอาจมีการเชื่อมต่อ VPN จำนวนจำกัด หลังจากนั้นจะไม่มีพนักงานคนใดสามารถทำงาน จากระยะไกลได้อีก CISA กล่าว เมื่อความพร้อมใช้งาน VPN ลดลง การดำเนินธุรกิจที่สำคัญอาจประสบปัญหา เจ้าหน้าที่รักษาความปลอดภัยด้านไอทีอาจปฏิบัติงานด้านความปลอดภัยทางไซเบอร์ได้จำกัด

CISA เสนอให้ดำเนินการต่อไปนี้เพื่อเพิ่มความปลอดภัยให้ VPN ขององค์กร

– ดูเเลรักษา VPN อุปกรณ์โครงสร้างพื้นฐานเครือข่ายและอุปกรณ์ที่ใช้สำหรับการทำงานระยะไกลให้เป็นปัจจุบัน (ใช้เเพตช์แก้ไขล่าสุด และตั้งค่าให้ปลอดภัย)
– แจ้งให้พนักงานทราบถึงความพยายาม Phishing ที่เพิ่มขึ้น
– ตรวจสอบให้แน่ใจว่าพนักงานรักษาความปลอดภัยไอทีมีความพร้อมสำหรับการตรวจสอบ Log การรีโมทระยะไกล การตรวจจับการโจมตี และการตอบสนองและกู้คืนเหตุการณ์
– นำ MFA ไปใช้กับการเชื่อมต่อ VPN ทั้งหมด หรือต้องการให้พนักงานใช้รหัสผ่านที่คาดเดายากเพื่อป้องกันการโจมตีในอนาคต
– ทดสอบข้อจำกัดโครงสร้างพื้นฐาน VPN ในการเตรียมพร้อมสำหรับการใช้งานจำนวนมาก และใช้มาตรการต่างๆ เช่น Rate-limiting เพื่อจัดลำดับความสำคัญของผู้ใช้ที่ต้องการแบนด์วิดท์ที่สูงขึ้น

ที่มา: bleepingcomputer

ช่องโหว่บน Pulse Secure VPN (CVE-2019-1150)

Kevin Beaumont ผู้เชี่ยวชาญด้าน Cybersecurity เปิดเผยว่า 'Revil' เป็น Ransomware ที่ Hac Hacker พยายามเจาะเข้าหาระบบผ่านช่องโหว่ของ Pulse Secure VPN ด้วย Ransomware ชนิดนี้ จากข้อมูลล่าสุด บริษัทที่ได้รับผลกระทบจากช่องโหว่เหล่านี้ คือบริษัททางด้านการแลกเปลี่ยนเงินตรา และ ประกันภัยการท่องเที่ยวที่ชื่อว่า Travelex และทำให้ทางบริษัทTravelex ต้องปิดช่องทางการออนไลน์ทั้งหมดเพื่อหยุดยั้งการโจมตีที่เกิดขึ้น และกลับมาใช้ระบบ Manual แทนในสาขาต่างๆทั่วประเทศ

Kevin Beaumont ได้ยอมรับว่าช่องโหว่ CVE-2019-1150 มีความรุนแรงมาก โดยช่องโหว่ที่เกิดขึ้นนี้อยู่ในซอฟต์แวร์ Pulse Secure VPN หลายประเภท เช่น Pulse Connect Secure และ Pulse Policy Secure ซึ่งการช่องโหว่นี้ จะทำให้ Hacker เจาะผ่านเข้ามาทาง HTTPS Protocal และต่อเข้า Network ของบริษัทหรือองค์กรได้โดยไม่ต้องใช้ User Password ในการยืนยันตัวตน ซึ่ง Hacker สามารถมองเห็น File ที่เป็นความลับ (Confidential Files) หรือสามารถ Download Files ต่างๆ ออกมาได้ หรือแม้กระทั่งทำให้ Network ขององค์กรไม่สามารถใช้งานได้ ช่องโหว่ได้ถูก Patch แล้วในเดือนเมษายน 2019 ที่ผ่านมา ทาง Pulse Secure VPN ได้ออก Patch ให้บริษัทหรือองค์กรต่างๆ ได้เข้ามา Update เพื่อปิดช่องโหว่ดังกล่าวเรียบร้อยแล้ว

ช่องโหว่บน Android Devices (CVE-2019-2215)

ผู้เชี่ยวชาญทางด้าน Cyber Security ของ Tend Micro กล่าวว่า กลุ่ม Hacker ที่ใช้ชื่อว่า “SideWinder APT” ได้ใช้ช่องโหว่บนอุปกรณ์ที่รันบน Android และยังไม่ได้ update patch ผ่านทาง Application 3 ตัวที่อยู่บน Google Play Store คือ แอปพลิเคชัน ที่ชื่อว่า Camera, FileCrypt, และ CallCam ซึ่งทั้ง 3 แอปพลิเคชันนี้ถูกยืนยันว่าอาจจะเป็น แอปพลิเคชันที่ไว้สำหรับเจาะอุปกรณ์ Smartphone Android เนื่องจาก แอปพลิเคชันเหล่านี้ยกระดับสิทธิ root แล้วและส่งข้อมู Location, Battery, ไฟล์บนเครื่อง, แอปพลิเคชันที่ใช้, ข้อมูลเครี่อง, กล้อง, Screenshot, Account, WeChat, Outlook, Twitter, Yahoo Mail, Facebook, Gmail และ Chrome กลับไปหา Server ของกลุ่ม Hacker “SideWinder APT” ต่อไป

ที่มา  ehackingnews.

แฮกเกอร์ชาวอิหร่านแฮกเซิร์ฟเวอร์ VPN เพื่อฝัง backdoors ในบริษัทต่างๆ ทั่วโลก
แฮกเกอร์ชาวอิหร่านมุ่งโจมตี VPN จาก Pulse Secure, Fortinet, Palo Alto Networks และ Citrix เพื่อแฮ็คเข้าสู่บริษัทขนาดใหญ่
ClearSky บริษัทรักษาความปลอดภัยไซเบอร์ของอิสราเอลออกรายงานใหม่ที่เผยให้เห็นว่ากลุ่มแฮกเกอร์ที่มีรัฐบาลอิหร่านหนุนหลังในปีที่เเล้วได้มุ่งเน้นให้ความสำคัญสูงในการเจาะช่องโหว่ VPN ทันทีที่มีข่าวช่องโหว่สู่สาธารณะเพื่อแทรกซึมและฝัง backdoors ในบริษัทต่างๆ ทั่วโลก โดยมุ่งเป้าหมายเป็นองค์กรด้านไอที, โทรคมนาคม, น้ำมันและก๊าซ, การบิน, รัฐบาล, และ Security
โดยบางการโจมตีเกิดขึ้น 1 ชั่วโมงหลังจากมีการเปิดเผยข้อมูลช่องโหว่ต่อสาธารณะ ซึ่งรายงานนี้ได้หักล้างแนวคิดที่ว่าแฮกเกอร์อิหร่านไม่ซับซ้อน และมีความสามารถน้อยกว่าประเทศคู่แข่งอย่างรัสเซีย จีน หรือเกาหลีเหนือ โดย ClearSky กล่าวว่ากลุ่ม APT ของอิหร่านได้พัฒนาขีดความสามารถด้านเทคนิคจนสามารถ exploit ช่องโหว่ 1-day (ช่องโหว่ที่ได้รับการแพตช์แล้วแต่องค์กรยังอัปเดตแพตช์ไม่ทั่วถึง) ในระยะเวลาอันสั้น ในบางกรณี ClearSky กล่าวว่าพบแฮกเกอร์อิหร่านทำการ exploit จากข้อบกพร่องของ VPN ภายในไม่กี่ชั่วโมงหลังจากข้อบกพร่องถูกเปิดเผยสู่สาธารณะ
ตามรายงานของ ClearSky ระบุวัตถุประสงค์ของการโจมตีเหล่านี้คือการละเมิดเครือข่ายองค์กร จากนั้นกระจายไปทั่วทั้งระบบภายในขององค์กรเเละฝัง backdoors เพื่อ exploit ในเวลาต่อมา
ในขั้นตอนที่ย้ายจากเครื่องหนึ่งไปจากอีกเครื่องหนึ่งในองค์กร (lateral movement) มีการใช้เครื่องมือแฮก open-sourced เช่น Juicy Potato เเละ Invoke the Hash รวมไปถึงการใช้ซอฟต์แวร์ดูแลระบบที่เหมือนกับผู้ดูแลระบบใช้งานปกติอย่าง Putty, Plink, Ngrok, Serveo หรือ FRP
นอกจากนี้ในกรณีที่แฮกเกอร์ไม่พบเครื่องมือ open-sourced หรือ local utilities ที่ช่วยสนับสนุนการโจมตีของพวกเขา พวกเขายังมีความรู้ในการพัฒนามัลเเวร์เองด้วย
อีกหนึ่งการเปิดเผยจากรายงานของ ClearSky คือกลุ่มอิหร่านก็ดูเหมือนจะทำงานร่วมกันเเละทำหน้าที่เป็นหนึ่งเดียวกันที่ไม่เคยเห็นมาก่อน ซึ่งในรายงานก่อนหน้านี้เกี่ยวกับกลุ่มอิหร่านมักจะมีลักษณะการทำงานที่ไม่เหมือนกันและแต่ละครั้งที่มีการโจมตีจะเป็นการทำงานเพียงกลุ่มเดียว
แต่การโจมตีเซิร์ฟเวอร์ VPN ทั่วโลกนั้นดูเหมือนจะเป็นผลงานการร่วมมือของกลุ่มอิหร่านอย่างน้อยสามกลุ่ม ได้แก่ APT33 (Elfin, Shamoon), APT34 (Oilrig) และ APT39 (Chafer)
ปัจจุบันวัตถุประสงค์ของการโจมตีเหล่านี้ดูเหมือนจะทำการ reconnaissance เเละ ฝัง backdoors สำหรับสอดแนม อย่างไรก็ตาม ClearSky กลัวว่าในอนาคตอาจมีการใช้ backdoor เหล่านี้เพื่อวางมัลแวร์ทำลายข้อมูลที่สามารถก่อวินาศกรรมต่อบริษัทได้ ทำลายเครือข่ายและการดำเนินธุรกิจ โดยสถานการณ์ดังกล่าวมีความเป็นไปได้มากหลักจากที่มีการพบมัลแวร์ทำลายข้อมูล ZeroCleare เเละ Dustman ซึ่งเป็น 2 สายพันธุ์ใหม่ในเดือนกันยายน 2019 และเชื่อมโยงกลับไปยังแฮกเกอร์ชาวอิหร่าน นอกจากนี้ ClearSky ก็ไม่ได้ปฏิเสธว่าแฮกเกอร์อิหร่านอาจ Exploit การเข้าถึงบริษัทเหล่านี้เพื่อโจมตีของลูกค้าพวกเขา
ClearSky เตือนว่าถึงแม้บริษัทจะอัปเดตเเพตช์เเก้ไขช่องโหว่เซิร์ฟเวอร์ VPN ไปแล้ว ก็ควรสแกนเครือข่ายภายในของพวกเขาสำหรับตรวจเช็คสัญญาณอันตรายต่างๆ ที่อาจบ่งบอกว่าได้ถูกแฮกไปแล้วด้วย
โดยสามารถตรวจสอบ indicators of compromise (IOCs) ได้จากรายงานฉบับดังกล่าวที่ https://www.