Gitpaste-12 บ็อตเน็ตชนิดใหม่ที่ใช้ GitHub และ Pastebin เป็นฐานในการเเพร่กระจาย

นักวิจัยด้านความปลอดภัยจาก Juniper Threat Labs ได้ทำการตรวจพบเวิร์มและบ็อตเน็ตชนิดใหม่ที่อาศัย GitHub และ Pastebin ในการสร้างโค้ดคอมโพเนนต์ที่เป็นอันตรายและมีโมดูลในการโจมตีที่แตกต่างกันอย่างน้อย 12 โมดูลและมัลแวร์ยังมีความสามารถในการแพร่กระจายในรูปแบบอัตโนมัติ โดยมัลแวร์อาจนำไปสู่การแพร่กระจายภายในเครือข่ายองค์กรหรือไปยังโฮสต์ของผู้ใช้ที่ทำการเชื่อมต่อ ซึ่งนักวิจัยได้มัลแวร์ชนิดนี้ว่า “Gitpaste-12”

มัลแวร์“Gitpaste-12” ถูกตรวจพบครั้งแรกประมาณวันที่ 15 ตุลาคม ที่ผ่านมา โดยมัลแวร์จะมีโมดูลที่ใช้ในการโจมตีซึ่งประกอบไปด้วยช่องโหว่จำนวน 11 ช่องโหว่คือ CVE-2017-14135 (Webadmin plugin for opendreambox), CVE-2020-24217 (HiSilicon video encoders), CVE-2017-5638 (Apache Struts), CVE-2020-10987 (Tenda router), CVE-2014-8361 (Realtek SDK), CVE-2020-15893 (Dlink routers), CVE-2013-5948 (Asus routers), EDB-ID: 48225 (Netlink GPON Router), EDB-ID: 40500 (AVTECH IP Camera), CVE-2019-10758 (CVE-2019-10758) และ CVE-2017-17215 (Huawei router)

นักวิจัยกล่าวว่าขึ้นตอนการโจมตีของ Gitpaste-12 จะเริ่มต้นโดยการดาวน์โหลดสคริปต์จาก Pastebin URL ซึ่งจะสั่งให้โฮสต์ที่ติดเชื้อเรียกใช้สคริปต์นี้ต่อไปทุกๆ นาที จากนี้มัลแวร์จะดาวน์โหลด Shell script หลักจาก GitHub ซึ่งก็คือ https: //raw.

กลุ่ม REvil ransomware อ้างว่าจำนวนเงินค่าไถ่ในหนึ่งปีที่ผ่านมามีมูลค่ามากกว่า 100 ล้านดอลลาร์

กลุ่ม REvil ransomware ได้อ้างว่าในช่วงหนึ่งปีที่ผ่านมาทางกลุ่มได้ทำเงินมากกว่า 100 ล้านดอลลาร์ ซึ่งเป็นเงินจากการเรียกค่าไถ่กับบริษัทที่มีธุรกิจขนาดใหญ่ทั่วโลกและจากภาคส่วนต่างๆ

อ้างอิงจากตัวเเทนของกลุ่ม REvil ที่ใช้นามเเฝงว่า “UNKN” และ “Unknown” ซึ่งได้กล่าวว่าเป้าหมายหลักของ REVil คือการโจมตีบริษัทที่มีธุรกิจขนาดใหญ่เช่น Travelex, Grubman Shire Meiselas & Sacks (GSMLaw) และ GEDIA Automotive Group โดยในการโจมตีบริษัทดังกล่าวพวกเขาได้ใช้เทคนิคการโจมตีแบบ Brute-force กับโพรโทคอล Remote Desktop Protocol (RDP) รวมถึงใช้ช่องโหว่ใหม่ๆ ได้เเก่ CVE-2020-0609 และ CVE-2020-0610 และช่องโหว่ใน Pulse Secure VPN ในการโจมตี

กลุ่ม REvil ทำกำไรจากเหยื่อที่จ่ายค่าไถ่เพื่อปลดล็อกไฟล์ที่ถูกเข้ารหัสและข่มขู่ว่าจะปล่อยข้อมูลที่มีความละเอียดอ่อนของบริษัทที่ถูกโจมตีหรือขายข้อมูลให้กับผู้ที่สนใจ ซึ่งข้อมูลเหล่านี้อาจมีทำให้เกิดการสูญเสียความข้อได้เปรียบในการแข่งขันทางธุรกิจและอาจก่อให้เกิดความเสียหายต่อชื่อเสียงของบริษัทและองค์กร ซึ่งวิธีนี้ทำให้กลุ่ม REvil สามารถทำเงินได้อย่างมากมายจากการไม่เผยแพร่ข้อมูลที่ถูกขโมยไปจากบริษัทที่ถูกบุกรุก

ปัจจุบันกลุ่ม REvil ใช้การดำเนินการ ransomware-as-a-service (RaaS) หรือบริการให้เช่าแรนซัมเเวร์ โดยกลุ่มที่ทำการเช่าบริการจะได้เงินส่วนเเบ่งค่าไถ่จำนวน 70% ถึง 80 % กลุ่มที่ทำการเช่าบริการจะทำหน้าที่โจมตีเป้าหมายและกลุ่ม REvil จะทำหน้าที่ในการเจรจาเรียกค่าไถ่, การพัฒนาซอฟต์แวร์, การอัปเดตการรับการชำระเงินและการส่งมอบตัวถอดรหัส ซึ่งด้วยวิธีการนี้ก็ทำให้กลุ่ม REvil สามารถทำเงินจากการเรียกค่าไถ่ได้เป็นจำนวนมาก นอกจากนี้กลุ่ม REvil ยังได้คิดจะใช้กลยุทธ์อื่นๆ ที่ออกแบบมาเพื่อเพิ่มโอกาสในการเรียกรับเงินค่าไถ่ ซึ่งก็คือการโจมตีเหยื่อด้วยการโจมตีแบบปฏิเสธการให้บริการ (distributed denial-of-service - DDoS) เพื่อบังคับให้เหยื่อทำการเจรจาการจ่ายเงินค่าไถ่

ที่มา:

bleepingcomputer.

Google ประกาศรายละเอียดช่องโหว่ Zero-day ใน Windows เร่งด่วน พบการโจมตีแล้ว ยังไม่มีการแพตช์ในขณะนี้

Google Project Zero ออกประกาศให้รายละเอียดเร่งด่วนเกี่ยวกับช่องโหว่ Zero-day ใน Windows รหัส CVE-2020-17087 ซึ่งช่วยให้ผู้โจมตีสามารถยกระดับสิทธิ์ในระบบได้ หลังจากมีการตรวจพบการใช้ช่องโหว่นี้ร่วมกับช่องโหว่ Zero-day ใน Google Chrome รหัส CVE-2020-15999 ในการโจมตีจริง

ประกาศของ Google Project Zero มีการให้รายละเอียดถึงที่มาของช่องโหว่เอาไว้รวมไปถึง PoC ของช่องโหว่ซึ่งกระทบ Windows 7 และ Windows 10 การประกาศสร้างการวิพากวิจารณ์ขึ้นมาอีกครั้งในเรื่องของการเปิดเผยช่องโหว่ เนื่องจากในบางมุมนั้นการเปิดเผยรายละเอียดของช่องโหว่โดยยังไม่มีแพตช์ออกมาอาจเป็นการสร้างผลกระทบที่มากยิ่งขึ้น อย่างไรก็ตามด้วยจุดยืน Google Project Zero การประกาศรายละเอียดอาจช่วยให้การตรวจจับและการพัฒนาทางเลือกในการป้องกันเกิดขึ้นได้ไวกว่าเดิมเช่นเดียวกัน

เนื่องจากเป็นการประกาศนอกรอบแพตช์และผลกระทบที่มีต่อช่องโหว่ อาจมีความเป็นไปได้สูงที่แพตช์ของช่องโหว่นี้จะออกในวันที่ 10 พฤศจิกายนในช่วง Patch Tuesday ประจำเดือนเลยทีเดียว ขอให้มีการติดตามและอัปเดตแพตช์กันต่อไป

ที่มา:

zdnet.

พบช่องโหว่ในเบราว์เซอร์ที่ใช้ในโทรศัพท์มือถือ 7 รายการมีความเสี่ยงต่อการใช้ช่องโหว่ “Address Bar Spoofing”

ในรายงานที่เผยแพร่โดยบริษัทรักษาความปลอดภัยทางไซเบอร์ Rapid7 และ Rafay Baloch นักวิจัยด้านความปลอดภัยจากปากีสถานได้เปิดเผยถึงช่องโหว่การปลอมแปลง address bar หรือ “Address bar spoofing” ในเว็บเบราว์เซอร์ที่จะอนุญาตให้เว็บไซต์ที่เป็นอันตรายสามารถแก้ไข URL ที่เเท้จริงและจะแสดง URL ของปลอมแทนได้

โดยรายงานที่ถูกเปิดเผยนั้นพบว่ามีช่องโหว่จำนวนสิบรายการและอยู่ในแอปพลิเคชันเบราว์เซอร์บนอุปกรณ์เคลื่อนที่เจ็ดรายการถูกติดตามด้วยรหัส CVE-2020-7363, CVE-2020-7364, CVE-TBD-Opera (3 รายการ), CVE-2020-7369, CVE-2020-7370, CVE-2020-7371, CVE-2020-9987 ซึ่งเว็บบราว์เซอร์ที่ได้รับผลกระทบในช่องโหว่นี้คือ Apple Safari , Opera Touch และ Opera Mini, Bolt, RITS, UC Browser และ Yandex Browser ทั้งนี้ช่องโหว่ทั้งหมดถูกรายงานไปยังผู้ผลิตเบราว์เซอร์แล้วในเดือนสิงหาคมที่ผ่านมาและผู้ผลิตเบราว์เซอร์บางส่วนได้ทำการเเก้ไขแล้ว

นักวิจัยด้านความปลอดภัยจาก Rapid7 กล่าวว่าช่องโหว่ทั้งหมดใช้ประโยชน์จากช่องโหว่ใน "JavaScript shenanigans” ทั้งนี้ผู้ใช้งานควรทำการอัปเดตแอปพลิเคชันเบราว์เซอร์ที่ใช้ให้เป็นเวอร์ชันล่าสุดเพื่อป้องกันการตกเป็นเหยื่อของผู้ประสงค์ร้าย

ที่มา: zdnet.

FireEye/Mandiant ออกรายงานความเคลื่อนไหวกลุ่ม APT “UNC1945” ใช้ Zero-day ใน Solaris ในการโจมตี

FireEye/Mandiant ออกรายงานเมื่อวานที่ผ่านมาถึงพฤติกรรมของกลุ่ม APT ใหม่ภายใต้ชื่อ UNC1945 กลุ่มนี้มีพฤติกรรมโจมตีบริษัทด้านโทรคมนาคม, สถาบันทางด้านการเงินและบริษัทให้คำปรึกษา ไฮไลท์สำคัญของพฤติกรรมอยู่ที่การใช้ช่องโหว่ Zero-day ใน Solaris ซึ่ง FireEye/Mandiant มีการแจ้งไปในรอบแพตช์เดือนตุลาคมในการโจมตี

จุดน่าสนใจในพฤติกรรมของภัยคุกคามจากข้อมูล Threat intelligence มีตามประเด็นดังนี้

กลุ่มผู้โจมตีมีการหลบหลีกการตรวจจับโดยการปฏิบัติการใน virtual machine กับซอฟต์แวร์ QEMU ซึ่งกลุ่มฯ พัฒนามาใช้สำหรับช่วยโจมตีโดยเฉพาะ
มีการใช้ช่องโหว่ CVE-2020-14871 ใน Solaris เพื่อเข้าถึงและติดตั้งมัลแวร์สำหรับสร้างช่องทางลับ
กลุ่มผู้โจมตีมีความเชี่ยวชาญในระบบตระกูล Unix สูง มีการใช้เทคนิค SSH port forwarding เพื่อสร้างช่องทางในการติดต่อ C&C และโอนถ่ายไฟล์
ยังไม่มีการตรวจพบการขโมยข้อมูลออกจากระบบที่ถูกโจมตี แต่มีการติดตั้ง Ransomware เมื่อเสร็จสิ้นปฏิบัติการด้วย
ผู้ที่สนใจสามารถดูข้อมูลเพิ่มเติมของกลุ่ม UNC1945 ได้ที่ https://www.

ฉุกเฉิน! แจ้งเตือนช่องโหว่ Zero-day ใน Cisco AnyConnect VPN มีโค้ดสำหรับโจมตีแล้ว

Cisco ออกแจ้งเตือนช่องโหว่ Zero-day รหัส CVE-2020-3556 ล่าสุดในซอฟต์แวร์ Cisco AnyConnect Secure Mobility Client การโจมตีช่องโหว่สามารถทำให้ผู้โจมตีรันโค้ดที่เป็นอันตรายใส่อุปกรณ์ที่มีช่องโหว่ได้จากระยะไกล โดย Cisco ได้มีการระบุว่าใน Advisory ว่าช่องโหว่ CVE-2020-3356 นี้มีโค้ดสำหรับโจมตีแล้ว แต่ยังไม่ตรวจพบการนำมาใช้โจมตีจริง

ช่องโหว่ CVE-2020-3356 เป็นช่องโหว่ซึ่งอยู่ในขั้นตอนการสื่อสารระหว่างโปรเซสในอุปกรณ์ซึ่งทำให้ผู้โจมตีที่มีการพิสูจน์ตัวตนเข้ามาในระบบแล้วรวมไปถึงผู้โจมตีที่ใช้งานอยู่ในเครือข่ายเดียวกันสามารถรันสคริปต์ที่เป็นอันตรายได้ อย่างไรก็ตามช่องโหว่นี้จะถูกโจมตีได้ก็ต่อเมื่อฟีเจอร์ Auto Update และ Enable Scripting ถูกเปิดใช้งานอยู่ ซึ่งโดยปกตินั้นจะมีเพียงฟีเจอร์ Auto Update ซึ่งถูกเปิดใช้งานเป็นค่าเริ่มต้น

เนื่องจากยังไม่มีแพตช์ออกมา Cisco ได้ให้คำแนะนำในการลดความเสี่ยงที่จะถูกโจมตีโดยการตรวจสอบและปิดการใช้งานฟีเจอร์ Auto Update และ Enable Scripting ออกไปก่อนจนกว่าจะมีการแพตช์อย่างเสร็จสิ้น ขอให้ผู้ใช้งานติดตามการอัปเดตแพตช์อย่างใกล้ชิดและดำเนินการตามมาตรการที่เหมาะสมเพื่อลดความเสี่ยงที่จะถูกโจมตีโดยช่องโหว่

ที่มา: bleepingcomputer.

KashmirBlack Botnet อยู่เบื้องหลังแคมเปญการโจมตีแพลตฟอร์ม CMS เช่น WordPress, Joomla, Drupal

นักวิจัยด้านความปลอดภัยจาก Imperva ได้เปิดเผยถึงการวิเคราะห์บ็อตเน็ตที่มีชื่อว่า “KashmirBlack” ซึ่งเป็นบ็อตเน็ตที่ใช้ประโยชน์จากช่องโหว่บนแพลตฟอร์ม Content Management System (CMS) ทำการโจมตีเว็บไซต์ CMS เช่น WordPress, Joomla!, PrestaShop, Magneto, Drupal, vBulletin, osCommerce, OpenCart และ Yeager จำนวนหลายแสนแห่งเพื่อทำการขยายจำนวนและใช้ในการสแปมข้อมูลและการขุดคริปโต

จากรายงานการวิเคราะห์บ็อตเน็ต KashmirBlack พบว่าบ็อตเน็ตมีการบริหารจัดการโดยเซิร์ฟเวอร์ C&C (Command and Control) เพียงหนึ่งเครื่องและใช้เซิร์ฟเวอร์มากกว่า 60 ตัวเป็นตัวแทนในการปฏิบัติการการโจมตี โดยการรับคำสั่งจากเซิร์ฟเวอร์ C&C ในการสแกนเว็บไซต์ผ่านทางอินเทอร์เน็ตและจะใช้ช่องโหว่บนแพลตฟอร์ม CMS ทำการโจมตีเว็บไซต์ที่ยังไม่ได้รับการแพตซ์ความปลอดภัยและเมื่อทำการบุกรุกสำเร็จบ็อตเน็ตจะทำการติดตั้งแบ็คดอร์และใช้เซิร์ฟเวอร์ที่ถูกบุกรุกเป็นฐานในการโจมตีต่อไป

ทั้งนี้ผู้ดูแลระบบและผู้ดูแลเว็บไซต์ควรติดตามข่าวสารเกี่ยวกับช่องโหว่อยู่เสมอและควรทำการอัปเดตเเพตซ์ความปลอดภัยให้เป็นเวอร์ชันปัจจุบันเพื่อเป็นการป้องกันการติดเป็นเหยื่อของบ็อตเน็ตและผู้ประสงค์ร้าย

ที่มา: zdnet.

รัฐบาลสหรัฐฯ แจ้งเตือนการโจมตีระบบรัฐบาลช่วงการเลือกตั้ง 2020 จากแฮกเกอร์รัสเซีย

FBI และ CISA ออกรายงานร่วม Joint Security Advisory โดยมีเนื้อหาแจ้งเตือนการโจมตีจากกลุ่มแฮกเกอร์ Energetic Bear ซึ่งเชื่อว่ารัฐบาลรัสเซียหนุนหลัง รายงานดังกล่าวระบุกลุ่ม Energetic Bear ประสบความสำเร็จในการโจมตีระบบของรัฐบาลไปแล้วอย่างน้อย 2 ระบบและมีการนำข้อมูลของผู้ใช้จากระบบดังกล่าวออกไปด้วย

ข้อมูลเบื้องต้นจากรายงานระบุว่า กลุ่ม Energetic Bear มีการโจมตีระบบผ่านทางช่องโหว่ใน Citrix access gateway (CVE-2019-19781), Microsoft Exchange (CVE-2020-0688), Exim (CVE-2019-10149), และ Fortinet SSL VPN (CVE-2018-13379) และยังมีการตรวจพบการใช้ช่องโหว่ Zerologon (CVE-2020-1472) ในการเข้ายึดครองและขโมยข้อมูลจากระบบ Active Directory อีกด้วย

รายงานร่วมมีการระบุถึง IOC และพฤติกรรมของผู้โจมตีเอาไว้แล้ว ผู้ที่ดูแลระบบสามารถเข้าถึงข้อมูลดังกล่าวได้จาก https://us-cert.

Adobe ออกเเพตซ์ฉุกเฉินเพื่อเเก้ไขช่องโหว่ใน Magento ที่อาจนำไปสู่การเรียกใช้โค้ดและการปลอมแปลงรายชื่อลูกค้า

Adobe ได้ออกเเพตซ์เเก้ไขความปลอดภัยฉุกเฉินเพื่อแก้ไขปัญหาร้ายแรงใน Magento แพลตฟอร์มจำนวน 9 รายการ โดยช่องโหว่ที่ทำการเเก้ไขนั้นจะกระทบกับ Magento Commerce และ Magento Open Source เวอร์ชัน 2.3.5-p1, 2.4.0 และรุ่นก่อนหน้า

ช่องโหว่ที่สำคัญใน Adobe Magento และได้รับการเเก้ไขแล้วถูกติดตามด้วยรหัส CVE-2020-24407 และ CVE-2020-24400 เป็นช่องโหว่การอัปโหลดไฟล์ที่จะอนุญาตให้มีการ bypass ลิตส์รายการและช่องโหว่ SQL injection ซึ่งช่องโหว่จะสามารถนำไปสู่การเรียกใช้โค้ดได้โดยไม่ได้รับอนุญาตหรือการเข้าถึงฐานข้อมูลแบบ read/write ได้โดยไม่ได้รับอนุญาต อย่างไรก็ตามช่องโหว่ทั้งสองผู้โจมตีต้องได้ได้รับสิทธิ์ระดับผู้ดูแลระบบอยู่ก่อนแล้วจึงจะสามารถใช้ประโยชน์จากช่องโหว่ได้

นอจากช่องโหว่ที่สำคัญทั้งสองแล้ว Adobe ยังได้ทำการเเก้ไขช่องโหว่ CVE-2020-24402 ซึ่งเป็นช่องโหว่ที่ทำให้ผู้โจมตีสามารถจัดการและแก้ไขรายชื่อลูกค้า, CVE-2020-24408 cross-site scripting (XSS), CVE-2020-24401 ช่องโหว่ในการใช้ session, CVE-2020-24404 ช่องโหว่ที่สามารถเเก้ไขหน้าเพจ Magento CMS โดยไม่ได้รับอนุญาต, CVE-2020-24405 และ CVE-2020-24403 ซึ่งเป็นข้อบกพร่องการเข้าถึง resource ที่ถูกจำกัด และช่องโหว่ CVE-2020-24406 ช่องโหว่การเปิดเผยข้อมูลที่ละเอียดอ่อน

ทั้งนี้ผู้ใช้และผู้ดูแลระบบที่ใช้งาน Magento Commerce และ Magento Open Source ควรทำการอัปเดตเเพตซ์ให้เป็นเวอร์ชันล่าสุดเพื่อเป็นการป้องกันผู้ประสงค์ร้ายใช้ประโยชน์จากช่องโหว่ทำการโจมตีระบบ

ที่มา: zdnet.

Juniper ออกเเพตซ์แก้ไขช่องโหว่ 40 รายการใน Junos OS

Juniper Network ได้เผยแพร่คำแนะนำด้านความปลอดภัยจำนวน 40 รายการเกี่ยวกับช่องโหว่ในระบบปฏิบัติการ Junos OS ซึ่งเป็นระบบปฏิบัติการที่ถูกใช้ในไฟร์วอลล์และ third-party component ต่างๆ

ช่องโหว่ที่มีสำคัญและถูกจัดอันดับความรุนแรงมากมีดังนี้ CVE-2020-1675 (CVSSv3: 8.3/10), CVE-2020-1676 (CVSSv3: 7.2/10) และ CVE-2020-1677 (CVSSv3: 7.2/10) เป็นช่องโหว่ที่อยู่ในผลิตภัณฑ์ Juniper Networks Mist Cloud UI ซึ่งเป็นช่องโหว่ที่เกี่ยวข้องกับการรับรองความถูกต้องของ Security Assertion Markup Language (SAML) ที่จะอนุญาตให้ผู้โจมตีระยะไกลสามารถ bypass การตรวจสอบสิทธิ์ SAML

นอกจากนี้ Juniper ยังได้ทำการเเก้ไขช่องโหว่ CVE-2020-10188 (CVSSv3: 9.8/10) ช่องโหว่การเรียกใช้โค้ดจากระยะไกลที่จะส่งผลกระทบต่อเซิร์ฟเวอร์ Telnet ที่ Junos OS ใช้

ทั้งนี้หน่วยงานรักษาความปลอดภัยทางไซเบอร์และโครงสร้างพื้นฐานของสหรัฐฯ (Cybersecurity and Infrastructure Security Agency - CISA) ได้ออกคำแนะนำให้ผู้ดูแลระบบขององค์กรต่างๆ ควรทำการตรวจสอบและทำการอัปเดตเเพตซ์ความปลอดภัยให้เป็นเวอร์ชันใหม่ล่าสุดเพื่อป้องกันผู้ประสงค์ร้ายใช้ประโยชน์จากช่องโหว่โจมตีระบบ

ที่มา: securityweek.