Google พบกลุ่ม Hacker ชาวรัสเซีย และจีนเกี่ยวข้องกับการโจมตีช่องโหว่ของ WinRAR

Google เผยแพร่รายงานการพบกลุ่ม Hacker ที่ได้รับการสนับสนุนจากรัฐบาลหลายกลุ่ม ได้ทำการโจมตีโดยใช้ช่องโหว่ที่มีระดับความรุนแรงสูงใน WinRAR (CVE-2023-38831) อย่างต่อเนื่อง โดยมีเป้าหมายในการเรียกใช้คำสั่งที่เป็นอันตรายบนระบบของเป้าหมาย

WinRAR เป็นซอฟต์แวร์บีบอัด และจัดเก็บไฟล์ยอดนิยมสำหรับ Windows ที่มีผู้ใช้งานในปัจจุบันมากกว่า 500 ล้านคน (more…)

ช่องโหว่ Zero-Day ของ HTTP/2 Rapid Reset ถูกใช้เพื่อโจมตีแบบ DDoS เป็นสถิติใหม่

Amazon Web Services (AWS), Cloudflare และ Google ได้ประกาศในวันอังคารที่ผ่านมาว่า ได้ดำเนินการเพื่อลดผลกระทบของการโจมตีแบบ Distributed Denial-of-Service (DDoS) ที่ใหญ่ที่สุดเท่าที่เคยมีมา ซึ่งใช้เทคนิคใหม่ที่เรียกว่า HTTP/2 Rapid Reset

โดยบริษัทต่าง ๆ ได้เปิดเผยข้อมูลร่วมกันว่าการโจมตีใน Layer 7 ครั้งนี้ ถูกพบในช่วงปลายเดือนสิงหาคม 2023 โดยมีความเกี่ยวข้องกับช่องโหว่หมายเลข CVE-2023-44487 ซึ่งมีคะแนน CVSS สูงถึง 7.5 จากเต็ม 10 คะแนน

ในขณะที่การโจมตีที่มุ่งเป้าไปที่ระบบคลาวด์ของ Google มีปริมาณสูงสุดที่ 398 ล้าน requests ต่อวินาที (RPS) ส่วนการโจมตีที่มุ่งเป้าไปที่ AWS และ Cloudflare นั้นมีปริมาณสูงกว่า 155 ล้าน requests ต่อวินาที และ 201 ล้าน requests ต่อวินาทีตามลำดับ (more…)

Atlassian ออกแพตซ์อัปเดตแก้ไขช่องโหว่ Zero-Day ใน Confluence Data Center and Server ที่กำลังถูกใช้ในการโจมตี

Atlassian บริษัทซอฟต์แวร์ของออสเตรเลีย ได้ออกแพตซ์อัปเดตด้านความปลอดภัยฉุกเฉิน เพื่อแก้ไขช่องโหว่ Zero-day ใน Confluence Data Center and Server software ซึ่งกำลังถูกใช้ในการโจมตีอยู่ในปัจจุบัน โดยช่องโหว่ดังกล่าวมีคะแนน CVSS สูงสุดถึง 10/10

CVE-2023-22515 (คะแนน CVSS 10/10 ความรุนแรงระดับ Critical) เป็นช่องโหว่ในการยกระดับสิทธิ์บน Confluence Data Center and Server ซึ่งสามารถโจมตีได้จากภายนอก และไม่จำเป็น (more…)

Deadglyph: Advanced Backdoor มัลแวร์ที่มีเทคนิคแบบใหม่

นักวิจัยด้านความปลอดภัยทางไซเบอร์พบ Advanced Backdoor ที่ยังไม่เคยมีการบันทึกไว้มาก่อนที่ถูกเรียกว่า "Deadglyph" ซึ่งถูกใช้โดยผู้โจมตีที่รู้จักกันในชื่อ "Stealth Falcon"

ESET ระบุในรายงานใหม่ที่แชร์กับ The Hacker News ว่า "โครงสร้างของ Deadglyph เป็นโครงสร้างที่ค่อนข้างผิดปกติ เนื่องจากประกอบด้วยส่วนประกอบที่ทำงานร่วมกัน - ส่วนหนึ่งเป็น x64 binary และอีกส่วนหนึ่งคือ .NET assembly"

การรวมกันลักษณะนี้เป็นเรื่องผิดปกติ เนื่องจากมัลแวร์โดยทั่วไปจะใช้เพียงภาษาโปรแกรมเดียวสำหรับส่วนประกอบต่าง ๆ ความแตกต่างนี้อาจเป็นการบ่งชี้ถึงการพัฒนาส่วนประกอบทั้งสองนี้แยกกัน ในขณะเดียวกันก็ใช้ประโยชน์จากคุณสมบัติเฉพาะของภาษาโปรแกรมที่แตกต่างกัน

การใช้ภาษาโปรแกรมที่แตกต่างกันยังถูกสงสัยว่าเป็นกลยุทธ์ที่จงใจเพื่อป้องกันการวิเคราะห์ ทำให้มีความยากลำบากมากขึ้นในการตรวจสอบ และแก้ไขช่องโหว่

ต่างจาก Backdoor แบบดั้งเดิมที่มีลักษณะคล้ายกัน Backdoor Deadglyph จะรับคำสั่งจากเซิร์ฟเวอร์ที่ผู้โจมตีควบคุมในรูปแบบของโมดูลเพิ่มเติมที่ช่วยให้สร้าง process ใหม่ อ่านไฟล์ และรวบรวมข้อมูลจากระบบที่ถูกบุกรุก

Stealth Falcon (aka FruityArmor) เป็นกลุ่มอาชญากรทางไซเบอร์ที่เชื่อว่ามีรัฐบาลสนับสนุน กลุ่มนี้ถูกพบครั้งแรกโดย Citizen Lab ในปี 2016 โดยเชื่อมโยงกับสปายแวร์แบบที่มุ่งเป้าหมายไปยังประเทศในตะวันออกกลาง โดยมีเป้าหมายเป็นนักข่าว นักเคลื่อนไหว และผู้เห็นต่างในสหรัฐอาหรับเอมิเรตส์

การสืบสวนครั้งต่อมาที่ดำเนินการโดย Reuters ในปี 2019 ได้เปิดเผยการปฏิบัติการลับชื่อ Project Raven ซึ่งเกี่ยวข้องกับกลุ่มอดีตเจ้าหน้าที่ข่าวกรองสหรัฐฯ ที่ได้รับการว่าจ้างจากบริษัทด้านความปลอดภัยไซเบอร์ชื่อ DarkMatter เพื่อสอดแนมเป้าหมายที่วิจารณ์สถาบันกษัตริย์อาหรับ

Stealth Falcon และ Project Raven ถูกเชื่อว่าเป็นกลุ่มเดียวกัน เนื่องจากมีความเชื่อมโยงกันในด้านเทคนิคการโจมตี และเป้าหมาย

กลุ่ม Stealth Falcon ได้ถูกเชื่อมโยงกับการใช้ประโยชน์จากช่องโหว่แบบ zero-day ใน Windows เช่น CVE-2018-8611 และ CVE-2019-0797 โดย Mandiant ระบุในเดือนเมษายน 2020 ว่ากลุ่มผู้โจมตีนี้ "ใช้ช่องโหว่แบบ zero-day ในการโจมตีมากกว่ากลุ่มอื่น ๆ" ในช่วงปี 2016 ถึง 2019

ในช่วงเวลาเดียวกัน ESET ได้อธิบายถึงการใช้ Backdoor ที่มีชื่อว่า Win32/StealthFalcon ซึ่งพบว่าใช้ Windows Background Intelligent Transfer Service (BITS) สำหรับการสื่อสารกับ C2 server และเพื่อให้ได้สิทธิ์ควบคุมอุปกรณ์ปลายทางอย่างสมบูรณ์

ตามรายงานระบุว่า Deadglyph เป็น Backdoor ล่าสุดที่กลุ่ม Stealth Falcon ใช้ โดยได้วิเคราะห์จากการโจมตีหน่วยงานรัฐบาลที่ไม่ระบุชื่อในตะวันออกกลาง

วิธีที่ใช้ในการฝังมัลแวร์ไปยังเป้าหมาย ยังไม่เป็นที่ทราบแน่ชัด แต่ส่วนประกอบเริ่มต้นที่ใช้ในการเริ่มการดำเนินงานของมันคือโปรแกรม loader ของ shellcode ที่ถูกแยก และโหลด shellcode จาก Registry Windows ซึ่งจากนั้นจะเรียกใช้งาน Deadglyph's native x64 module ที่เรียกว่า Executor ของ Deadglyph

จากนั้น Executor จะดำเนินการโหลดส่วนประกอบ .NET ที่เรียกว่า Orchestrator ซึ่งจะสื่อสาร C2 server เพื่อรอรับคำสั่งเพิ่มเติม มัลแวร์ยังมีวิธีการเพื่อหลีกเลี่ยงการตรวจจับ ซึ่งรวมถึงความสามารถในการถอนการติดตั้งตัวเอง

คำสั่งที่ได้รับจากเซิร์ฟเวอร์จะถูกเรียงลำดับไว้เพื่อรอการดำเนินการ และสามารถแบ่งออกเป็นสามประเภท ได้แก่ Orchestrator tasks, Executor tasks และ Upload tasks

ESET รายงานว่า Executor tasks ช่วยให้สามารถจัดการกับ backdoor และเรียกใช้โมดูลเพิ่มเติมได้, Orchestrator tasks ช่วยให้สามารถจัดการการกำหนดค่าของโมดูล Network และ Timer และยังสามารถยกเลิก tasks ที่ค้างอยู่ได้

Executor tasks บางส่วนที่ระบุไว้ประกอบด้วยการสร้าง process การเข้าถึงไฟล์ และการรวบรวม metadata ของระบบ, โมดูล Timer ถูกใช้ในการตรวจสอบเซิร์ฟเวอร์ C2 โดยใช้ร่วมกับโมดูล Network ซึ่งใช้การสื่อสาร C2 โดยใช้การ request ผ่าน HTTPS POST

ส่วน Upload tasks คือการให้สิทธิ์ให้ backdoor สามารถอัปโหลดผลลัพธ์จากคำสั่ง และข้อผิดพลาดได้

ESET รายงานว่าสามารถระบุหน้าจอควบคุม (Control Panel, CPL) ที่ถูกอัปโหลดไปยัง VirusTotal จากประเทศกาตาร์ ซึ่งรายงานว่ามันเป็นจุดเริ่มต้นของการโจมตี multi-stage chain ซึ่งนำไปสู่การดาวน์โหลด shellcode ที่มีความคล้ายกับ Deadglyph

แม้ลักษณะของ shellcode ที่ดึงมาจากเซิร์ฟเวอร์ C2 ยังคงไม่ชัดเจน แต่มีการสรุปว่าอาจจะใช้เป็นตัวติดตั้งสำหรับมัลแวร์ Deadglyph

"Deadglyph ได้รับชื่อมาจากข้อมูลที่พบในตัว backdoor (hexadecimal IDs 0xDEADB001 และ 0xDEADB101 สำหรับโมดูล Timer และการกำหนดค่า) ร่วมกับการใช้การโจมตี homoglyph ที่ปลอมตัวเป็น Microsoft ("Microsoft Corporation") ใน Registry shellcode loader's VERSIONINFO resource.

Exim ออกแพตช์แก้ไขช่องโหว่ Zero-day 3 รายการ จาก 6 ช่องโหว่ที่ถูกเปิดเผยเมื่อสัปดาห์ที่แล้ว

ผู้พัฒนา Exim ได้เผยแพร่แพตช์แก้ไขช่องโหว่ Zero-day ที่ถูกเปิดเผยเมื่อสัปดาห์ที่ผ่านมาจาก Zero Day Initiative (ZDI) ของ Trend Micro ซึ่งหนึ่งในนั้นสามารถทำให้ผู้โจมตีที่ไม่ผ่านการตรวจสอบสิทธิ์สามารถเรียกใช้โค้ดที่เป็นอันตรายจากระยะไกลได้

ช่องโหว่ด้านความปลอดภัย (CVE-2023-42115) ถูกพบโดยนักวิจัยด้านความปลอดภัยที่ไม่ถูกระบุชื่อ โดยเป็นช่องโหว่ Out-of-bounds ที่พบใน SMTP service และสามารถถูกโจมตีโดยผู้โจมตีที่ไม่ผ่านการตรวจสอบสิทธิ์เพื่อสั่งรันโค้ดด้วยสิทธิ์ของ service account ได้

ZDI อธิบายเพิ่มเติมว่า "ช่องโหว่ภายใน SMTP service ซึ่งจะใช้พอร์ต TCP 25 โดยค่าเริ่มต้น เป็นผลมาจากการขาดการตรวจสอบความถูกต้องของข้อมูลที่ผู้ใช้ระบุ ซึ่งอาจส่งผลให้มีการ write past the end of a buffer"

ปัจจุบันทีมงาน Exim ยังได้ออกแพตซ์แก้ไขช่องโหว่ RCE (CVE-2023-42114) และช่องโหว่ information disclosure (CVE-2023-42116)

(more…)

BORN Ontario ถูกโจมตีโดนเข้าถึงข้อมูล กระทบผู้คน 3.4 ล้านคน

The Better Outcomes Registry & Network (BORN) องค์กรด้านการดูแลสุขภาพที่ได้รับทุนจากรัฐ Ontario ประเทศแคนาดา เป็นองค์กรที่รวบรวม ตีความ แบ่งปัน ปกป้องข้อมูลที่สำคัญเกี่ยวกับการตั้งครรภ์ การเกิดของเด็ก รวมถึงดูแลสุขภาพของผู้ตั้งครรภ์

ได้ประกาศว่าตนเป็นหนึ่งในผู้เสียหายจากการโดนโจมตีด้วยช่องโหว่ Zero-day MOVEit Transfer (CVE-2023-34362) จากกลุ่ม Clop ransomware ซึ่งเป็นช่องโหว่ SQL injection ที่สามารถยกระดับสิทธิ์ และทำให้สามารถเข้าถึงฐานข้อมูลโดยไม่ได้รับอนุญาตได้

BORN ทราบว่าโดนเข้าถึงข้อมูลเมื่อวันที่ 31 พฤษภาคม และได้โพสต์ประกาศสาธารณะบนเว็บไซต์ พร้อมทั้งแจ้งให้หน่วยงานที่เกี่ยวข้องทราบ (Privacy Commissioner of Ontario) และได้ร่วมกับผู้เชี่ยวชาญด้านความปลอดภัยเพื่อแยกเซิร์ฟเวอร์ที่ได้รับผลกระทบ และควบคุมความเสียหาย ทำให้องค์กรยังดำเนินงานต่อไปได้

จากการตรวจสอบพบว่าผู้โจมตีได้คัดลอกไฟล์ข้อมูลของคนประมาณ 3.4 ล้านคน ส่วนใหญ่เป็นทารกแรกเกิดและผู้ป่วยที่ได้รับการดูแลระหว่างตั้งครรภ์ ระหว่างเดือนมกราคม 2010 ถึงพฤษภาคม 2023

ข้อมูลที่ถูกคัดลอกออกไป ประกอบด้วย

ชื่อเต็ม
ที่อยู่
รหัสไปรษณีย์
วันเกิด
หมายเลขบัตรสุขภาพ
และอาจมีข้อมูลอื่นๆเพิ่มเติม ขึ้นอยู่กับบริการที่ได้รับจาก BORN

วันที่เข้ารับบริการ/ดูแล
ผลการทดสอบใน Lab
ปัจจัยเสี่ยงในการตั้งครรภ์
ประเภทการเกิด
ขั้นตอน
ผลการตั้งครรภ์และการคลอดบุตร
BORN กล่าวว่า แม้จะยืนยันการโจมตีแล้ว แต่ยังไม่มีหลักฐานว่าข้อมูลที่ถูกขโมยได้ถูกเผยแพร่บน Dark Web ถูกเสนอขาย หรือถูกใช้ในทางที่ผิด และจะยังตรวจสอบต่อไปสำหรับกิจกรรมใดๆ ที่อาจเกี่ยวข้องกับเหตุการณ์นี้ และไม่แนะนำให้บุคคลที่อาจได้รับผลกระทบดำเนินการใดๆในเวลานี้ นอกจากระวังการติดต่อเข้ามาที่น่าสงสัย โดยเฉพาะการขอข้อมูลส่วนตัว

ที่มา : bleepingcomputer

Cisco แจ้งเตือนช่องโหว่ Zero-day ใน VPN กำลังถูกใช้ในการโจมตีโดยกลุ่ม Ransomware

Cisco แจ้งเตือนช่องโหว่ CVE-2023-20269 ซึ่งเป็นช่องโหว่ Zero-day ใน Cisco Adaptive Security Appliance (ASA) และ Cisco Firepower Threat Defense (FTD) กำลังถูกกลุ่ม Ransomware ใช้ในการโจมตีเพื่อเข้าถึงระบบเครือข่ายของเป้าหมาย (more…)

Ivanti เตือนถึงช่องโหว่ Zero-Day ระดับ Critical ในซอฟต์แวร์ Sentry ที่กำลังถูกนำมาใช้ในการโจมตี

ผู้ให้บริการซอฟต์แวร์ Ivanti ออกมาแจ้งเตือนช่องโหว่ zero-day ระดับ Critical ที่ส่งผลกระทบต่อ Ivanti Sentry (เดิมคือ MobileIron Sentry) ซึ่งกำลังถูกนำมาใช้ในการโจมตีอยู่ในปัจจุบัน ซึ่งแสดงให้เห็นถึงความเสี่ยงด้านความปลอดภัยที่เพิ่มขึ้น (more…)

ข้อมูลหน่วยงานของรัฐ Colorado รั่วไหล หลัง IBM ถูกโจมตีจากช่องโหว่ MOVEit

Health Care Policy & Financing (HCPF) เป็นหน่วยงานของรัฐที่จัดการโครงการ Health First Colorado (Medicaid) และ Child Health Plan Plus รวมทั้งให้การสนับสนุนครอบครัวที่มีรายได้น้อย ผู้สูงอายุ และผู้ทุพพลภาพ ออกมาประกาศเตือนเรื่องข้อมูลของผู้ใช้งานกว่า 4 ล้านรายรั่วไหลออกสู่สาธารณะ ส่งผลกระทบต่อข้อมูลส่วนบุคคล และข้อมูลสุขภาพ

HCPF รายงานว่าระบบของพวกเขาไม่ได้ถูกโจมตีโดยตรง แต่ข้อมูลที่รั่วไหลเกิดขึ้นผ่าน IBM ซึ่งใช้ซอฟต์แวร์ MOVEit

โดยกลุ่มแรนซัมแวร์ Clop ใช้ประโยชน์จากช่องโหว่ของ MOVEit Transfer Zero Day (CVE-2023-34362) เพื่อขโมยข้อมูลจากองค์กรหลายร้อยแห่งทั่วโลก โดย IBM ได้แจ้งให้ HCPF ทราบถึงปัญหาดังกล่าวแล้ว และดำเนินการตรวจสอบอย่างทันทีว่าเหตุการณ์ดังกล่าว ส่งผลกระทบต่อระบบของตนหรือไม่ และข้อมูลด้านสุขภาพที่ได้รับการคุ้มครองของสมาชิก Health First Colorado และ CHP+ นั้นถูกเข้าถึงโดยไม่ได้รับอนุญาตหรือไม่

เหตุการณ์นี้เกิดขึ้นเมื่อวันพุธที่ 28 พฤษภาคม 2566 ที่ผ่านมา ซึ่ง IBM ถูกเข้าถึงระบบคอมพิวเตอร์โดยไม่ได้รับอนุญาต จากการตรวจสอบ HCPF พบว่ามีไฟล์ HCPF บางไฟล์บนแอปพลิเคชัน MOVEit ในวันพฤหัสบดีที่ 13 มิถุนายน 2566 ส่งผลให้ข้อมูลสมาชิก Health First Colorado และ CHP+ จำนวนทั้งหมด 4,091,794 รายถูกขโมยออกไป ประกอบด้วยข้อมูลดังต่อไปนี้

ชื่อเต็ม
หมายเลขประกันสังคม
หมายเลขประจำตัว Medicaid
หมายเลขบัตรประกันสุขภาพ
วันเดือนปีเกิด
ที่อยู่
รายละเอียดการติดต่อ
ข้อมูลรายได้
ข้อมูลประชากร
ข้อมูลทางคลินิก (การวินิจฉัย ผลการตรวจทางห้องปฏิบัติการ การรักษา การให้ยา)
ข้อมูลประกันสุขภาพ

สัปดาห์ที่ผ่านมา หน่วยงานของรัฐขนาดใหญ่อีกแห่งในโคโลราโด Department of Higher Education (CDHE) เปิดเผยว่าพบข้อมูลรั่วไหลจากการถูกโจมตีด้วยแรนซัมแวร์ ส่งผลกระทบต่อนักเรียน และครูจำนวนมาก โดยผู้โจมตีได้ขู่จะเผยแพร่ข้อมูล และเข้ารหัสเครือข่ายคอมพิวเตอร์ ทั้งนี้ยังไม่มีรายงานว่าแฮ็กเกอร์เข้าไปในเครือข่ายได้อย่างไร และในเดือนกรกฎาคม 2566 มหาวิทยาลัยแห่งรัฐโคโลราโด ก็ได้เผยว่าข้อมูลรั่วไหลที่เกิดจากการใช้ช่องโหว่ของ MOVEit Transfer ส่งผลกระทบต่อนักศึกษา และคณาจารย์หลายหมื่นคนเช่นกัน

นอกจากนี้ HPCF ได้แจ้งให้ผู้ใช้งานทราบถึงเหตุการณ์ดังกล่าวแล้ว และยังได้ให้บริการตรวจสอบการใช้งานบัตรเครดิตผ่าน Experian เป็นเวลาสองปี อย่างไรก็ตาม ข้อมูลที่ถูกขโมยไปเพียงพอสำหรับการนำมาใช้โจมตีแบบฟิชชิ่ง และสามารถระบุตัวตน รวมถึงการทำธุรกรรมกับธนาคาร ดังนั้นผู้ใช้งานจึงควรระมัดระวังความผิดปกติที่อาจจะเกิดขึ้น

ที่มา : bleepingcomputer

Google ยืนยันช่องว่างระหว่างแพตช์ของ Android ทำให้การโจมตีช่องโหว่แบบ n-day อันตรายเทียบเท่ากับ zero-days

Google ได้เผยแพร่รายงานช่องโหว่ zero-day ประจำปี โดยนำเสนอสถิติที่เกิดขึ้นจริงตั้งแต่ปี 2022 และเน้นปัญหาที่มีมาอย่างยาวนานในแพลตฟอร์ม Android และการโจมตีโดยใช้ช่องโหว่ที่ถูกเปิดเผยมาเป็นระยะเวลานาน

โดยเฉพาะอย่างยิ่ง รายงานของ Google เน้นไปที่ปัญหาของการโจมตีช่องโหว่แบบ n-days ใน Android ที่มีลักษณะเดียวกับ zero-day สำหรับผู้โจมตี (more…)