Recent Andariel Group ActiveX Attacks Point to Future Targets

นักวิจัยจาก Trend Micro ค้นพบว่า Andariel กลุ่ม Hacker ที่มีความเชื่อมโยงกับเกาหลีเหนือ ได้มีการพัฒนา script ซึ่งเมื่อไม่กี่เดือนก่อนหน้านี้พบว่าถูกใช้ในการระบุเครื่องเป้าหมาย(Reconnaissance) ที่มีช่องโหว่ zero-day ของ ActiveX object เพื่อโจมตี

เมื่อปลายเดือนมิถุนายนที่ผ่านมา ได้พบว่ามีการฝัง script บนเว็ปไซต์ 4 แห่งในเกาหลีใต้ คาดว่าจุดมุ่งหมายน่าจะเป็นการระบุเครื่องเป้าหมายที่มีช่องโหว่เพื่อทำการโจมตี จากการตรวจสอบ script นักวิจัยพบว่ามีความคล้ายคลึงกับ script ที่เคยถูกใช้โดยกลุ่มที่มีชื่อ "Andariel" โดยถูกใช้เพื่อค้นหาเป้าหมายที่ใช้ Internet Explorer(IE) และมีช่องโหว่ของ ActiveX object แต่ script ที่พบล่าสุดนี้มีความแตกต่างออกไปจากของเดิม โดยนักวิจัยพบว่าได้มีการเพิ่ม ActiveX object เข้าไปอีก 2 รายการ ได้แก่ "DSDOWNCTRL.DSDownCtrlCtrl.

Hackers Exploit ‘Telegram Messenger’ Zero-Day Flaw to Spread Malware

นักวิจัยด้านความปลอดภัย Alexy Firsh จาก Kaspersky Lab ออกมาเปิดเผยถึงรายละเอียดช่องโหว่บนแอปแช็ต Telegram ในเวอร์ชันเดสทอปก์เฉพาะของวินโดวส์ซึ่งค้นพบตั้งแต่เดือนตุลาคม 2017 หลังจากตรวจพบการนำมาใช้ในการโจมตีเพื่อแพร่กระจายมัลแวร์สำหรับขุดในสกุลเงิน Monero และ Zcash
ช่องโหว่ดังกล่าวนั้นเกิดขึ้นจากวิธีการที่ Telegram แสดงผลตัวอักษรยูนิโค้ด U+202E โดยเป็นตัวอักษรที่ส่งผลให้เกิดการกลับของข้อความต่อจากนั้นแบบสลับขวาซ้ายซึ่งใช้กันมากในภาษาอารบิกและฮีบรู แฮกเกอร์ใช้ประโยชน์ของช่องโหว่นี้ในการ "ซ่อนนามสกุลของไฟล์อันตราย" เพื่อทำให้ไฟล์อันตรายนั้นเมื่อถูกแสดงผ่าน Telegram ในรุ่นที่มีช่องโหว่จะแสดงเป็นนามสกุลไฟล์ที่แฮกเกอร์ต้องการได้
ตัวอย่างการโจมตี เช่น หากตั้งชื่อไฟล์เป็น photo_high_re*U+202E*gnp.

Two Critical Zero-Day Flaws Disclosed in Foxit Reader

นักวิจัยด้านความปลอดภัยได้ค้นพบช่องโหว่ zero-day ที่สำคัญสองข้อในซอฟต์แวร์ Foxit Reader ซึ่งอาจทำให้ผู้โจมตีสามารถรันโค้ดที่ต้องการบนคอมพิวเตอร์เป้าหมายได้หากไม่ได้กำหนดค่าให้เปิดไฟล์ใน Safe Reading Mode

ช่องโหว่แรก (CVE-2017-10951) เป็นข้อผิดพลาดในการป้อนคำสั่งในฟังก์ชัน app.

Hacking WordPress Website with Just a Single Comment

นักวิจัยด้านความปลอดภัยจากประเทศฟินแลนด์ชื่อว่า Jouko Pynnönen ได้ค้นพบช่องโชว่ zero-day ของ WordPress เวอร์ชั่น 3.9.3, 4.1.1, 4.1.2 และ WordPress เวอร์ชั่นล่าสุด 4.2

Microsoft PowerPoint Vulnerable to Zero-Day Attack

ไมโครซอฟท์ออกแพทซ์สำหรับช่องโหว่ zero-day 3 ช่องโหว่ และตอนนี้ช่องโหว่ของ Zero-day ตัวใหม่ได้รับการเปิดเผยออกมาว่า มีผลกระทบต่อระบบปฏิบัติการ Windows ยกเว้น Windows Server 2003 ซึ่งจะโจมตีเป้าหมายที่ใช้เอกสาร PowerPoint ที่เป็นอันตรายส่งแนบมากับอีเมล์

Russian Hackers use Windows 0-Day exploit to hack NATO, Ukraine

กลุ่มแฮกเกอร์รัสเซียชื่อว่า “sandworm” ใช้ประโยชน์จากช่องโหว่ Zero-day ในระบบปฏิบัติการ Microsoft’s Windows แฮกเครื่องคอมพิวเตอร์ของ NATO, Ukraine Government, European Telecommunications firms, Energy sectors, US academic organization

Redmond won't fix IE 8 zero day, says 'harden up' instead

โครงการ Zero-Day Initiative (ZDI) ของเอชพีเปิดเผยบั๊ก CVE-2014-1770 หรือ ZDI-14-140 ที่เปิดเผยให้กับไมโครซอฟท์ตั้งแต่ช่วงเดือนตุลาคมปีที่แล้ว จนตอนนี้บั๊กนี้ครบระยะเวลารอแพตซ์จากผู้ผลิต 180 วัน ทาง ZDI ก็เปิดเผยบั๊กนี้ออกมา
บั๊กนี้อาศัยช่องโหว่ของออปเจกต์ CMarkup ทำให้แฮกเกอร์สามารถนำพอยเตอร์กลับมาใช้ใหม่ได้หลังคืนหน่วยความจำไปแล้ว (use-after-free) และแฮกเกอร์สามารถรันโค้ดภายใต้โปรเซสปัจจุบันได้
ไมโครซอฟท์ตอบกลับมายัง ZDI ยืนยันว่าพบบั๊กนี้จริงโดยผู้ใช้ต้องถูกล่อให้เปิดหน้าเว็บ หรือเปิดไฟล์ที่เจาะช่องโหว่นี้ การเปิดเว็บที่ถูกควบคุมเฉพาะเช่น การเปิดเว็บที่ฝังมาบนอีเมล์ใน Outlook หรือ Windows Mail ไม่สามารถเจาะช่องโหว่นี้ได้ และแนะนำให้ติดตั้ง Enhanced Mitigation Experience Toolkit (EMET) เพื่อลดความเสี่ยงจากบั๊กนี้
ทาง ZDI แจ้งไมโครซอฟท์ครั้งสุดท้ายเมื่อวันที่ 8 ที่ผ่านมาว่าครบกำหนดการเปิดเผยบั๊ก แล้วจึงเปิดเผยบั๊กออกมาในวันนี้

ที่มา : theregister

Flash update fixes bug unrelated to IE zero-day flaw

เมื่อวันจันทร์ที่ผ่านมา Adobe และ Microsoft ได้ส่งแพตช์ออกมาแก้ไขช่องโหว่ zero-day (กรณีฉุกเฉิน) ใน Flash Player ที่ถูกใช้ในการกำหนดเป้าหมายผู้ใช้ Windows แต่เป็นคนละตัวกับช่องโหว่ Internet Explorer ที่รายงานออกมาเมื่อวันก่อน โดยตัวปรับปรุงจะใช้ได้กับ Flash ทั้งบน Windows, Mac และ Linux แม้ว่าจะมีเพียงระบบปฏิบัติการ Windows เท่านั้นที่ได้รับผลกระทบ โดยช่องโหว่ดังกล่าว ถูกใช้ในการโจมตีแบบ 'watering hole' นั่นคือ มีเป้าหมายเป็นผู้ใช้งานที่เฉพาะกลุ่ม ซึ่งได้เข้าเยี่ยมชมเว็บไซต์ที่เป็นอันตราย

นักวิจัยจาก Kaspersky เป็นผู้ค้นพบช่องโหว่ดังกล่าว ซึ่งเขาได้รายงานว่า ในกรณีนี้มีการโจมตีโดยใช้ส่วนประกอบที่ออกแบบมาในการประมวลผลวีดีโอและภาพ โดยกำหนดเป้าหมายผู้คัดค้านซีเรีย ซึ่งจะมีการใช้โค้ด CVE-2014-0515 ที่มีความคล้ายคลึงกันมากกับ CVE-2014-1776 ที่พบในช่องโหว่ IE zero-day ล่าสุด แต่เป็นคนละตัวกัน
ทางทีมงานได้แนะนำให้ผู้ใช้ทำการอัพเดท Flash ใหม่ในทันที โดยผู้ใช้ Internet Explorer ที่มาพร้อมกับ Flash ภายใน จะได้รับการอัพเดทอัตโนมัติ

ที่มา : cnet

IE 0-day used in watering hole attack tied to previous campaigns

นักวิจัยของ FireEye ได้ออกมาเตือนเกี่ยวกับช่องโหว่ Zero-day ใหม่ของ Internet Explorer 10 โดยช่องโหว่นี้จะทำงานเมื่อผู้ใช้ทำการเข้าเว็บไซด์ที่มีการฝังช่องโหว่นี้เอาไว้ ถ้าโจมตีสำเร็จก็จะทำการดาวน์โหลด XOR encoded payload จาก Remote Server และเมื่อดาวน์โหลดมาเสร็จแล้วจะทำการ decode และ รันในเครื่องเป้าหมาย ปฎิบัติการโจมตีครั้งนี้ถูกตั้งชื่อว่า “Operation SnowMan” การโจมตีครั้งนี้มีเป้าหมายการโจมตีอยู่ที่ หน่วยงานของรัฐบาล, NGOs, บริษัทเกี่ยวกับ IT และกฎหมาย, บริษัททำเหมือง เป็นต้น ทางบริษัท Wensense ซึ่งเป็นอีกบริษัทที่ให้บริการการดูแลรักษาความปลอดภัยบนคอมพิวเตอร์ ได้ระบุว่าพวกเขาได้ตรวจพบการใช้ช่องโหว่นี้เช่นกัน โดยการโจมตีนี้เป้าหมายการโจมตีอยู่ที่ French aerospace association GIFAS ซึ่งรวมถึงบริษัทใน อุตสาหกรรมการบินทางทหารและพลเรือน

ที่มา : net-security

IE 0-day used in watering hole attack tied to previous campaigns

นักวิจัยของ FireEye ได้ออกมาเตือนเกี่ยวกับช่องโหว่ Zero-day ใหม่ของ Internet Explorer 10 โดยช่องโหว่นี้จะทำงานเมื่อผู้ใช้ทำการเข้าเว็บไซด์ที่มีการฝังช่องโหว่นี้เอาไว้ ถ้าโจมตีสำเร็จก็จะทำการดาวน์โหลด XOR encoded payload จาก Remote Server และเมื่อดาวน์โหลดมาเสร็จแล้วจะทำการ decode และ รันในเครื่องเป้าหมาย ปฎิบัติการโจมตีครั้งนี้ถูกตั้งชื่อว่า “Operation SnowMan” การโจมตีครั้งนี้มีเป้าหมายการโจมตีอยู่ที่ หน่วยงานของรัฐบาล, NGOs, บริษัทเกี่ยวกับ IT และกฎหมาย, บริษัททำเหมือง เป็นต้น ทางบริษัท Wensense ซึ่งเป็นอีกบริษัทที่ให้บริการการดูแลรักษาความปลอดภัยบนคอมพิวเตอร์ ได้ระบุว่าพวกเขาได้ตรวจพบการใช้ช่องโหว่นี้เช่นกัน โดยการโจมตีนี้เป้าหมายการโจมตีอยู่ที่ French aerospace association GIFAS ซึ่งรวมถึงบริษัทใน อุตสาหกรรมการบินทางทหารและพลเรือน

ที่มา : net-security