ช่องโหว่ทั้งหมดถูกพบใน WebKit browser หลายแพลตฟอร์ม และมีหมายเลข CVE-2023-32409, CVE-2023-28204 และ CVE-2023-32373

ช่องโหว่แรกคือ Sandbox Escape ที่ทำให้ผู้โจมตีจากภายนอกสามารถเจาะผ่าน Sandbox ได้ ส่วนอีก 2 รายการเป็นช่องโหว่ out-of-bounds read ที่ทำให้ผู้โจมตีเข้าถึงข้อมูลที่มีความสำคัญได้ และช่องโหว่ use-after-free ที่สามารถเรียกใช้โค้ดที่เป็นอันตรายบนเครื่องเหยื่อได้โดยไม่ได้รับอนุญาต ภายหลังจากเหยื่อเข้าถึงหน้าเว็บไซต์ที่ผู้ไม่หวังดีออกแบบมาเป็นพิเศษ

Apple แก้ไขช่องโหว่ Zero-day ทั้ง 3 รายการ ใน macOS Ventura 13.4, iOS และ iPadOS 16.5, tvOS 16.5, watchOS 9.5 และ Safari 16.5 ด้วยการปรับปรุงขั้นตอนการตรวจสอบต่าง ๆ เช่น input validation และ memory management (more…)

ช่องโหว่ทั้งหมดถูกพบใน WebKit browser หลายแพลตฟอร์ม และมีหมายเลข CVE-2023-32409, CVE-2023-28204 และ CVE-2023-32373

ช่องโหว่แรกคือ Sandbox Escape ที่ทำให้ผู้โจมตีจากภายนอกสามารถเจาะผ่าน Sandbox ได้ ส่วนอีก 2 รายการเป็นช่องโหว่ out-of-bounds read ที่ทำให้ผู้โจมตีเข้าถึงข้อมูลที่มีความสำคัญได้ และช่องโหว่ use-after-free ที่สามารถเรียกใช้โค้ดที่เป็นอันตรายบนเครื่องเหยื่อได้โดยไม่ได้รับอนุญาต ภายหลังจากเหยื่อเข้าถึงหน้าเว็บไซต์ที่ผู้ไม่หวังดีออกแบบมาเป็นพิเศษ

Apple แก้ไขช่องโหว่ Zero-day ทั้ง 3 รายการ ใน macOS Ventura 13.4, iOS และ iPadOS 16.5, tvOS 16.5, watchOS 9.5 และ Safari 16.5 ด้วยการปรับปรุงขั้นตอนการตรวจสอบต่าง ๆ เช่น input validation และ memory management (more…)

เมื่อวันอังคารที่ผ่านมา Google ได้ออกแพตซ์อัปเดตด้านความปลอดภัยเร่งด่วนสำหรับ Chrome เพื่อแก้ไขช่องโหว่ zero-day ครั้งที่สองที่กำลังถูกใช้ในการโจมตีในปีนี้

Google ได้แก้ไขช่องโหว่ที่มีระดับความรุนแรงสูง (CVE-2023-2136) ที่กำลังถูกนำไปใช้ในการโจมตี โดยการปล่อยแพตซ์อัปเดตด้านความปลอดภัยสำหรับเว็บเบราว์เซอร์ Chrome (เวอร์ชัน 112.0.5615.137) โดยอัปเดตนี้แก้ไขช่องโหว่ทั้งหมด 8 รายการ โดย Google ได้มีการออกแพตซ์อัปเดตสำหรับผู้ใช้งาน Windows และ Mac แต่ในส่วนของเวอร์ชัน Linux จะมีออกแพตซ์อัปเดตในภายหลัง (more…)

Nokoyawa Ransomware ใช้ประโยชน์จากช่องโหว่ของไดรเวอร์ Common Log File System (CLFS) บน Windows หมายเลข CVE-2023-28252 ซึ่งหากสามารถโจมตีผ่านช่องโหว่นี้ได้สำเร็จ จะสามารถยกระดับสิทธิ์ของผู้ใช้งานได้ โดยหลังจากช่องโหว่ถูกเผยแพร่ออกมา Microsoft ได้ออกแพตซ์อัปเดตเพื่อแก้ไขช่องโหว่ไปแล้วเมื่อวันที่ 11 เมษายน 2566 โดยมาพร้อมกับ Patch Tuesday ประจำเดือนเมษายน

ลักษณะการทำงาน

จากรายงานพบว่า กลุ่ม Nokoyawa Ransomware ซึ่งเป็นกลุ่มที่เชี่ยวชาญด้านการใช้ช่องโหว่ของไดรเวอร์ Common Log File System (CLFS) โดยตั้งแต่เดือนมิถุนายน 2565 เป็นต้นมาพบว่ามีการใช้ช่องโหว่ของ CLFS ที่ต่างกันถึง 5 รูปแบบ เป้าหมายของการโจมตีนี้คือบริษัทค้าปลีก และค้าส่ง บริษัทพลังงาน บริษัทการผลิต บริษัทการดูแลสุขภาพ และบริษัทการพัฒนาซอฟต์แวร์ เป็นต้น
การโจมตีด้วยช่องโหว่ CVE-2023-28252 จะสำเร็จได้ก็ต่อเมื่อ User ที่ดำเนินการมีสิทธิ์ในการรันโค้ดบนเครื่องเป้าหมายที่จะยกระดับสิทธิ์ได้
หลังจาก Nokoyawa Ransomware ถูกติดตั้ง จะมี Payload เพื่อดาวน์โหลด Cobal Strike มาติดตั้งบนเครื่องเป้าหมาย นอกจากนี้ยังมีการใช้งาน Mimikatz, Z0Miner และ Boxter บนเครื่องเป้าหมายอีกด้วยหากมีการติดตั้งไว้
ปัจจุบัน Microsoft ยังไม่ให้ข้อมูลรายละเอียดเกี่ยวกับการโจมตีด้วยช่องโหว่นี้ เพียงแต่แนะนำให้ผู้ใช้งานทำการอัปเดตแพตซ์
ผู้ใช้งานสามารถทำการตรวจสอบที่เครื่องได้เอง โดย Ransomware จะวางไฟล์บน Directory เหล่านี้
C:\Users\Public\.container*
C:\Users\Public\MyLog*.blf
C:\Users\Public\p_*

แนวทางการป้องกัน

Update Patch (Release 11 เมษายน 2566)
Update Endpoint ให้เป็นเวอร์ชันล่าสุดอยู่เสมอ
ควรพิจารณาใช้งาน Next-Gen AV และ EDR

IOC

ที่มา: kaspersky, trendmicro, securelist

Google ออกแพตซ์อัปเดตด้านความปลอดภัยเร่งด่วนสำหรับ Chrome เพื่อแก้ไขช่องโหว่ zero-day ที่กำลังถูกนำมาใช้ในการโจมตีเป็นครั้งแรกตั้งแต่ต้นปีนี้

โดย Google ระบุในคำแนะนำด้านความปลอดภัยที่เผยแพร่เมื่อวันศุกร์ที่ผ่านมาว่า (14 เมษายน 2566) ได้รับรายงานว่ากำลังมีการโจมตีโดยการใช้ประโยชน์จากช่องโหว่ CVE-2023-2033 อยู่ในปัจจุบัน

โดย Chrome เวอร์ชันใหม่ที่ออกมาจะทำให้ผู้ใช้งานทั้งหมดอัปเดตได้ครบถ้วนภายในอีกไม่กี่วัน หรือภายในสัปดาห์หน้า

ผู้ใช้งาน Chrome ควรอัปเดตเป็นเวอร์ชัน 112.0.5615.121 โดยเร็วที่สุด โดยช่องโหว่ CVE-2023-2033 กระทบกับทั้งระบบ Windows, Mac และ Linux

รายละเอียดของการโจมตียังไม่มีการเปิดเผย

มีการระบุข้อมูลของช่องโหว่ Zero-day CVE-2023-2033 ในเบื้องต้นว่าเกิดจากช่องโหว่ใน Chrome V8 JavaScript โดยช่องโหว่ได้รับการรายงานโดย Clement Lecigne จาก Google threat analysis group (TAG) ซึ่งเป้าหมายหลักของทีม TAG ของ Google คือการปกป้องผู้ใช้งานของ Google จากการโจมตีที่คาดว่าผู้โจมตีได้รับการสนับสนุนจากหน่วยงานรัฐบาล

Google Tags มักจะรายงานช่องโหว่ Zero-day ที่ผู้โจมตีที่ได้รับการสนับสนุนจากหน่วยงานรัฐบาลนำมาใช้ประโยชน์จากการโจมตีเป้าหมายที่เป็นบุคคลระดับสูง เพื่อติดตั้งสปายแวร์บนอุปกรณ์ รวมไปถึงนักข่าว นักการเมืองฝ่ายค้าน และผู้ไม่เห็นด้วยกับรัฐบาลเหล่านั้นจากทั่วโลก

แม้ว่าโดยทั่วไปช่องโหว่จะเกิดจากการทำให้เบราว์เซอร์หยุดการทำงานภายหลังจากการโจมตีได้สำเร็จผ่านทางการอ่าน หรือเขียนบนหน่วยความจำ แต่ผู้โจมตียังสามารถใช้ประโยชน์จากช่องโหว่เหล่านี้เพื่อเรียกใช้งานโค้ดที่เป็นอันตรายได้ตามที่ต้องการบนอุปกรณ์ที่ถูกโจมตี

โดย Google ระบุว่าได้รับรายงานว่ากำลังมีการโจมตีโดยการใช้ประโยชน์จากช่องโหว่ CVE-2023-2033 แล้ว แต่จะยังไม่มีการเปิดเผยข้อมูลเพิ่มเติมเกี่ยวกับเหตุการณ์การโจมตีจนกว่าผู้ใช้งานส่วนใหญ่จะได้รับการอัปเดตแพตช์

โดย Chrome จะทำการอัปเดตโดยอัตโนมัติ โดยที่ผู้ใช้งานไม่ต้องดำเนินการใด ๆ ส่วนหากต้องการอัปเดตด้วยตนเองสามารถเข้าไปที่ Chrome menu > Help > About Google Chrome เพื่ออัปเดตได้

ที่มา : bleepingcomputer

Hitachi Energy ยืนยันว่ามีการรั่วไหลของข้อมูล ภายหลังจากถูกโจมตี และขโมยข้อมูลออกไปจากกลุ่ม Clop ransomware ด้วยการใช้ช่องโหว่ zero-day ของ GoAnywhere

Hitachi Energy เป็นแผนกหนึ่งของบริษัท Hitachi ยักษ์ใหญ่ด้านโซลูชั่นพลังงาน และระบบพลังงาน โดยมีรายได้ประมาณ 1 หมื่นล้านเหรียญสหรัฐต่อปี (more…)

Google รายงานการพบช่องโหว่ด้านความปลอดภัยที่มีระดับความรุนแรงสูงในชิป Exynos ของ Samsung ซึ่งสามารถถูกนำไปใช้ในการโจมตีจากภายนอก เพื่อให้สามารถควบคุมเครื่องได้โดยสมบูรณ์ โดยไม่ต้องมีการดำเนินการใด ๆ จากผู้ใช้งาน

ช่องโหว่ zero-day ทั้ง 18 รายการมีผลกระทบต่อ Android หลายรุ่น เช่น Samsung, Vivo, Google, รวมถึงอุปกรณ์ และ smart watch ที่ใช้ชิปเซ็ต Exynos W920 รวมถึงรถยนต์ที่ใช้ชิปเซ็ต Exynos Auto T5123 ด้วยเช่นเดียวกัน

โดยช่องโหว่ 4 รายการ สามารถทำให้ผู้ไม่หวังดีสามารถเข้าถึงอุปกรณ์ Samsung, Vivo, และ Google ผ่านทางอินเทอร์เน็ตได้ รวมถึงอุปกรณ์ และ smart watch ที่ใช้ชิปเซ็ต Exynos W920 และรถยนต์ที่ใช้ชิปดังกล่าวในช่วงปลายปี 2022 ถึงต้นปี 2023 (more…)

Apple ออกแพตซ์อัปเดตเพื่อแก้ไขช่องโหว่ Zero-day ที่กำลังถูกนำมาใช้ในการโจมตี iPhones, iPads และ Macs

โดยช่องโหว่ที่ได้รับการแก้ไขมีหมายเลข CVE-2023-23529 ซึ่งเป็นช่องโหว่ที่ทำให้ผู้โจมตีสามารถทำให้ OS หยุดการทำงาน รวมถึงสั่งรันโค้ดที่เป็นอันตรายบนอุปกรณ์ที่ใช้ iOS, iPadOS และ macOS เวอร์ชันที่มีช่องโหว่ได้ หากมีการเปิดใช้งานเว็บไซต์ที่ถูกสร้างขึ้นมาเป็นพิเศษจากผู้โจมตี (ช่องโหว่ดังกล่าวยังส่งผลกระทบต่อ Safari 16.3.1 บน macOS Big Sur และ Monterey) (more…)

Fortinet เปิดเผยว่า พบ Hackers ที่ยังไม่ทราบชื่อ กำลังใช้ประโยชน์จากช่องโหว่ Zero-day ของ FortiOS SSL-VPN กำหนดเป้าหมายการโจมตีไปยังองค์กรของรัฐ และองค์กรที่เกี่ยวข้องกับรัฐบาล

ช่องโหว่ FortiOS SSL-VPN ( CVE-2022-42475 ) คือช่องโหว่ heap-based buffer overflow ที่พบใน FortiOS SSL-VPN ที่ทำให้ Hacker สามารถหลบเลี่ยงการตรวจสอบสิทธิ และโจมตีอุปกรณ์เป้าหมายจากระยะไกล หรือสั่งรันโค้ดที่เป็นอันตรายจากระยะไกลได้ (Remote Code Execution) ซึ่งช่องโหว่ถูกเผยแพร่ออกมาในกลางเดือนธันวาคมที่ผ่านมา เพื่อให้ผู้ใช้งานได้อัปเดตเพื่อแก้ไขช่องโหว่

การโจมตี

Fortinet ได้เผยแพร่รายงานการติดตามผลของกลุ่ม Hacker ที่ใช้ช่องโหว่ CVE-2022-42475 โจมตีอุปกรณ์ FortiOS SSL-VPN โดยพบว่า หลังจากที่สามารถโจมตีผ่านช่องโหว่ FortiOS SSL-VPN ได้สำเร็จ Hacker ก็จะทำการดาวน์โหลด และติดตั้งไฟล์อัปเดตอันตราย ซึ่งสามารถลบ Log ที่ใช้ตรวจจับการเข้าถึง และการโจมตีของ Hacker รวมทั้งปิดระบบ Intrusion Prevention System (IPS) ที่ทำหน้าที่ตรวจจับภัยคุกคาม ใน Firewall Fortigate ที่มีช่องโหว่

อีกทั้งยังพบหลักฐาน ที่ยืนยันได้ว่า Hacker ได้กำหนดเป้าหมายการโจมตีไปยังองค์กรของรัฐ และองค์กรที่เกี่ยวข้องกับรัฐบาลอีกด้วย

การป้องกัน

แนะนำให้ผู้ดูแลระบบอัปเดตเป็น FortiOS เวอร์ชันล่าสุดโดยด่วน เพื่อป้องกันการโจมตีจากช่องโหว่ดังกล่าว

ที่มา : bleepingcomputer

ช่องโหว่ Zero-Day บน Internet Explorer กำลังถูกใช้ในการโจมตีอย่างต่อเนื่องโดยกลุ่ม ScarCruft กลุ่มแฮ็กเกอร์จากเกาหลีเหนือ ซึ่งจะมุ่งเป้าไปยังผู้ใช้งานชาวเกาหลีใต้ โดยใช้เหตุการณ์โศกนาฏกรรมที่ Itaewon ในช่วงวันฮาโลวีนเพื่อดึงดูดความสนใจให้เหยื่อดาวน์โหลดไฟล์ที่เป็นอันตราย

การค้นพบครั้งนี้ถูกรายงานโดย Benoît Sevens และ Clément Lecigne นักวิจัยจาก Google Threat Analysis Group (TAG) ซึ่งถือเป็นการโจมตีล่าสุดที่ดำเนินการโดยกลุ่ม ScarCruft ซึ่งเป็นที่รู้จักในอีกหลายชื่อ เช่น APT37, InkySquid, Reaper และ Ricochet Chollima โดยส่วนใหญ่การโจมตีจะมุ่งเป้าไปที่ผู้ใช้งานชาวเกาหลีใต้ ผู้แปรพักตร์ชาวเกาหลีเหนือ ผู้กำหนดนโยบาย นักข่าว และนักเคลื่อนไหวด้านสิทธิมนุษยชน

ลักษณะการโจมตี

การโจมตีจะเกิดขึ้นหลังจากที่มีการเปิดไฟล์บน Microsoft Word และแสดงเนื้อหา HTML ที่เปิดขึ้นมาจาก Internet Explorer
มีการใช้ช่องโหว่ของ Internet Explorer เช่น CVE-2020-1380 และ CVE-2021-26411 เพื่อติดตั้ง Backdoor อย่าง BLUELIGHT และ Dolphin
มีการใช้ RokRat (Remote Access Trojan) บน Windows ที่มีฟังก์ชั่นที่ช่วยให้สามารถจับภาพหน้าจอ, บันทึกการกดแป้นพิมพ์ และการเก็บข้อมูลอุปกรณ์ Bluetooth
หลังจากที่โจมตีสำเร็จแล้ว มันจะทำการส่ง Shell Code ที่สามารถลบร่องรอยในการโจมตีทั้งหมด โดยการล้างแคช และประวัติของ Internet Explorer รวมถึง payload ของมัลแวร์

โดย Google TAG ลองอัปโหลดเอกสาร Microsoft Word ที่เป็นอันตรายนี้ไปยัง VirusTotal เมื่อวันที่ 31 ตุลาคม 2022 โดยพบว่าเป็นการโจมตีโดยใช้ช่องโหว่ Zero-day ของ Internet Explorer ที่เกี่ยวข้องกับ JScript9 JavaScript, CVE-2022-41128 ซึ่งได้รับการแก้ไขโดย Microsoft ไปแล้วเมื่อเดือนที่ผ่านมา

อีกทั้ง MalwareHunterTeam ยังพบไฟล์ Word ลักษณะเดียวกันนี้เคยถูกแชร์จากกลุ่ม Shadow Chaser Group เมื่อวันที่ 31 ตุลาคม 2022 ซึ่งเคยได้ระบุในรายงานไว้ว่าเป็น "DOCX injection template ที่น่าสนใจ" และมีต้นกำเนิดจากประเทศเกาหลีเช่นเดียวกัน

Google TAG ระบุว่าขณะนี้ยังไม่สามารถกู้คืนมัลแวร์ที่ถูกใช้ในแคมเปญนี้ได้ แม้ว่าจะทราบแล้วว่าเป็นมัลแวร์อย่างเช่น RokRat, BLUELIGHT หรือ Dolphin ก็ตาม

ที่มา : thehackernews