CISA ออกประกาศแจ้งเตือนกลุ่มแฮกเกอร์เกาหลีเหนือ Kimsuky พร้อมรายละเอียดพฤติกรรมและมัลแวร์

CISA ออกประกาศรหัส AA20-301A เมื่อวันที่ 27 ที่ผ่านมาโดยมีเนื้อหาสำคัญถึงการพูดถึงพฤติกรรมและความเคลื่อนไหวของกลุ่มแฮกเกอร์สัญชาติเกาหลีเหนือ Kimsuky ซึ่งมีเป้าหมายการโจมตีอยู่ทั่วโลก

จากรายงานที่เผยแพร่ออกมา กลุ่ม Kimsuky เริ่มการเคลื่อนไหวตั้งแต่ปี 2012 โดยถูกควบคุมและสั่งการจากรัฐบาลเกาหลีเพื่อการสืบหาข่าวกรอง เป้าหมายของการโจมตีโดยส่วนใหญ่เป็นบุคคลและองค์กรในเกาหลีใต้ ญี่ปุ่นและสหรัฐอเมริกา พฤติกรรมของกลุ่มไม่มีความแตกต่างเท่าใดนักหากเทียบกับแฮกเกอร์กลุ่มอื่น โดย Kimsuky จะโจมตีเป้าหมายโดยวิธีการแบบ Social engineering และ Watering hole ก่อนจะเข้าถึงและเคลื่อนย้ายตัวเองในเครือข่ายของเป้าหมาย เมื่อถึงจุดหนึ่ง กลุ่ม Kimsuky จะรวบรวมข้อมูลและลักลอบส่งออกมาทั้งทางอีเมลหรือติดต่อไปยัง C&C

CISA มีการระบุถึงพฤติกรรมเชิงลึกของกลุ่มพร้อมกับ TTP และ IOC ข้อมูลเพื่อช่วยในลดความเสี่ยงที่จะถูกโจมตีเหล่านี้สามารถดูเพิ่มเติมได้จากแหล่งที่มา

ที่มา: us-cert.

Database for Microsoft Careers mobile site was leaking data, vulnerable to attack

Chris Vickery นักวิจัยทางด้านความปลอดภัยได้ออกมาเปิดเผยถึงช่องโหว่บนเว็บไซต์ Microsoft Career ในส่วนที่เป็น Mobile Site ว่ามีการตั้งค่าของ MongoDB ที่ไม่ปลอดภัยเพียงพอ ทำให้ผู้โจมตีสามารถเข้าถึงฐานข้อมูลที่บันทึกอยู่ภายใน MongoDB ได้โดยไม่ต้องมีการยืนยันตัวตนแต่อย่างใด อีกทั้งยังสามารถเขียนข้อมูลลงไปเพื่อทำการแก้ไขได้อีกด้วย ส่งผลให้การส่งข้อมูล HTML ที่สร้างขึ้นมาเพื่อทำการโจมตีโดยเฉพาะ ประสบความสำเร็จได้ และนำไปสู่การโจมตีแบบ Watering Hole ต่อไป

ทาง Chris Vickery ได้ทำการแจ้งไปยังทีมงาน Punchkick ผู้รับผิดชอบงานดูแลระบบนี้ให้กับ Microsoft เพื่อทำการแก้ไขช่องโหว่ไปเรียบร้อยแล้ว และ Punchkick เองก็ไม่ได้ดูแลเพียงเว็บนี้เว็บเดียวเท่านั้น แต่มีเว็บอื่นๆ อีกจำนวนมากด้วย ในขณะเดียวกันงานวิจัยอื่นๆ ก็ชี้ว่าไม่ได้มีแต่ MongoDB เท่านั้นที่มีปัญหาเรื่องการตั้งค่าใช้งานอย่างไม่ปลอดภัย แต่ Redis, CouchDB, Cassandra และ Riak เองก็เช่นกัน

ที่มา : NetworkWorld