กลุ่มผู้ไม่ประสงค์ดี ArcaneDoor ใช้ช่องโหว่ของ Cisco โจมตีเครือข่ายภาครัฐ

กลุ่มผู้ไม่ประสงค์ดี

ArcaneDoor  เป็นกลุ่มผู้ไม่ประสงค์ดีที่ได้รับการสนับสนุนจากรัฐบาล  ซึ่งเชื่อกันว่ามีฐานปฏิบัติการในเกาหลีเหนือ

กลุ่มนี้มีความเชี่ยวชาญ ในการโจมตีทางไซเบอร์ต่อเป้าหมาย  เช่น รัฐบาล องค์กร และบริษัทขนาดใหญ่

ArcaneDoor เคยใช้มัลแวร์และเทคนิคการโจมตีที่หลากหลาย รวมถึงการโจมตีแบบ phishing การโจมตีแบบ spear-phishing และการโจมตีแบบ zero-day

ช่องโหว่ที่ถูกใช้โจมตี

ช่องโหว่ CVE-2024-20353 ส่งผลกระทบต่อ Cisco ASA และ FTD firewalls และอนุญาตให้ผู้โจมตีรีสตาร์ทอุปกรณ์จากระยะไกล ซึ่งอาจนำไปสู่การโจมตีแบบปฏิเสธบริการ (DoS)

ช่องโหว่ CVE-2024-20359 ส่งผลกระทบต่อ Cisco ASA และ FTD firewalls และอนุญาตให้ผู้โจมตีรันโค้ดโดยพลการบนอุปกรณ์ ซึ่งอาจนำไปสู่การควบคุมอุปกรณ์โดยสมบูรณ์

เหยื่อ

เหยื่อของการโจมตีเหล่านี้เป็นเครือข่ายภาครัฐทั่วโลก

ยังไม่มีข้อมูลเกี่ยวกับจำนวนเหยื่อที่แน่นอน

เชื่อกันว่ากลุ่มแฮ็กเกอร์ได้โจมตีเครือข่ายภาครัฐหลายสิบแห่ง

แรงจูงใจในการโจมตี

แรงจูงใจของกลุ่มแฮ็กเกอร์ยังไม่เป็นที่ทราบแน่ชัด

เป็นไปได้ว่ากลุ่มแฮ็กเกอร์กำลังขโมยข้อมูลลับ เช่น ข้อมูลส่วนบุคคล ข้อมูลทางการเงิน หรือความลับทางการค้า

เป็นไปได้ว่ากลุ่มแฮ็กเกอร์กำลังก่อวินาศกรรมหรือขัดขวางการดำเนินงานของรัฐบาล

ผลกระทบ

            ผลกระทบของการโจมตีเหล่านี้ยังไม่เป็นที่ทราบแน่ชัด

            เป็นไปได้ว่ารัฐบาลที่ถูกโจมตีสูญเสียข้อมูลลับ หรือถูกก่อวินาศกรรมหรือขัดขวางการดำเนินงาน

            ยังไม่มีข้อมูลเกี่ยวกับความเสียหายทางการเงินที่เกิดขึ้น

การตอบสนอง

            Cisco  ได้ออกการแก้ไขสำหรับช่องโหว่  CVE-2024-20353  ในเดือนมีนาคม  2567  และสำหรับช่องโหว่  CVE-2024-20359  ในเดือนเมษายน 2567

            ผู้ดูแลระบบควรติดตั้งการแก้ไขโดยเร็วที่สุดเพื่อป้องกันเครือข่ายจากการโจมตี

            รัฐบาลที่ถูกโจมตีได้ขอความช่วยเหลือจากหน่วยงานด้านความปลอดภัยไซเบอร์

 

 

Ref : BleepingComputer

Microsoft แจ้งอัปเดต Hotfixes Exchange แก้ปัญหาการอัปเดตความปลอดภัย

ในเดือนเมษายน 2567 Microsoft ได้ออกการอัปเดต  Hotfixes  เพื่อแก้ไขปัญหาที่เกิดขึ้นจากการอัปเดตความปลอดภัย Exchange ในเดือนมีนาคม 2567

ปัญหาดังกล่าวรวมถึงโดเมนการดาวน์โหลดไม่ทำงานรูปภาพแบบอินไลน์ไม่แสดงผลและไฟล์แนบไม่สามารถดาวน์โหลดได้ใน  Outlook  on  the  Web  (OWA)

            การอัปเดต  Hotfixes เป็นแบบเลือก แต่แนะนำให้ติดตั้งสำหรับผู้ใช้งาน Exchange Server ทุกคน

            การอัปเดต  Hotfixes  ยังรวมถึงการปรับปรุงความปลอดภัยเพิ่มเติม  เช่น การรองรับใบรับรอง ECC และ HMA สำหรับ OWA/ECP

รายละเอียดเพิ่มเติม

            ปัญหา

                  ผู้ใช้งาน Exchange Server บางรายประสบปัญหาหลังจากติดตั้งการอัปเดตความปลอดภัยในเดือนมีนาคม 2567 ปัญหาดังกล่าวรวมถึง โดเมนการดาวน์โหลดไม่ทำงาน รูปภาพแบบอินไลน์ไม่แสดงผล และไฟล์แนบไม่สามารถดาวน์โหลดได้ใน OWA

            การแก้ไข

                    Microsoft  ได้ออกการอัปเดต  Hotfixes  เพื่อแก้ไขปัญหา การอัปเดต  Hotfixes  เป็นแบบเลือก แต่แนะนำให้ติดตั้งสำหรับผู้ใช้งาน Exchange Server ทุกคน

            การปรับปรุงความปลอดภัยเพิ่มเติม

                      การอัปเดต  Hotfixes  ยังรวมถึงการปรับปรุงความปลอดภัยเพิ่มเติม เช่น การรองรับใบรับรอง ECC และ HMA สำหรับ  OWA/ECP

            การติดตั้ง Hotfixes

                      ผู้ใช้งานและผู้ดูแลระบบสามารถดาวน์โหลดและติดตั้งการอัปเดต Hotfixes จากเว็บไซต์ Microsoft ได้

                      คู่มือการติดตั้งสามารถดูได้จากเว็บไซต์ Microsoft

 

Ref : BleepingComputer

ฟอร์มสร้างแบบฟอร์มยอดนิยม Forminator บน WordPress มีช่องโหว่ร้ายแรง กระทบกว่า 3 แสนเว็บไซต์

 

            ช่องโหว่ความปลอดภัยระดับวิกฤต  (CVE-2024-28890)  อยู่ใน  Forminator  ปลั๊กอิน  WordPress  ที่ใช้สร้างแบบฟอร์ม  ช่องโหว่นี้เปิดเผยโดยนักวิจัยด้านความปลอดภัยจาก Wordfence ทีมนักวิจัยค้นพบว่าช่องโหว่สามารถถูกใช้เพื่อ

                        -  อัปโหลดมัลแวร์ อาชญากรสามารถอัปโหลดมัลแวร์ไปยังเว็บไซต์ที่ใช้ปลั๊กอิน Forminator เวอร์ชันที่ไม่ปลอดภัย มัลแวร์นี้สามารถใช้เพื่อขโมยข้อมูลผู้ใช้ ควบคุมเว็บไซต์ หรือแม้กระทั่งแพร่กระจายไปยังเว็บไซต์อื่นๆ

                        -  ควบคุมเว็บไซต์ อาชญากรสามารถควบคุมเว็บไซต์ที่ใช้ปลั๊กอิน Forminator เวอร์ชันที่ไม่ปลอดภัยได้อย่างสมบูรณ์ ซึ่งหมายความว่าพวกเขาสามารถเข้าถึงข้อมูลทั้งหมดบนเว็บไซต์ เปลี่ยนแปลงเนื้อหา หรือดำเนินการอื่นๆ ได้ตามต้องการ

                        -  ขโมยข้อมูล อาชญากรสามารถขโมยข้อมูลผู้ใช้จากเว็บไซต์ที่ใช้ปลั๊กอิน Forminator เวอร์ชันที่ไม่ปลอดภัย ข้อมูลนี้อาจรวมถึงชื่อผู้ใช้ รหัสผ่าน ข้อมูลทางการเงิน หรือข้อมูลส่วนบุคคลอื่นๆ

                   -  สาเหตุ  ช่องโหว่นี้เกิดจากการตรวจสอบการป้อนข้อมูลที่ไม่เหมาะสมใน  Forminator เวอร์ชันก่อนหน้า อาชญากรสามารถใช้ข้อมูลป้อนข้อมูลที่ออกแบบมาเป็นพิเศษเพื่อหลอกระบบให้เชื่อว่าเป็นผู้ใช้ที่ถูกต้อง จากนั้นพวกเขาสามารถดำเนินการที่กล่าวมาข้างต้นได้

            เว็บไซต์ที่ได้รับผลกระทบประมาณการว่าเว็บไซต์  WordPress  กว่า  300,000  แห่งมีความเสี่ยงต่อช่องโหว่นี้  เนื่องจากใช้ปลั๊กอิน Forminator เว็บไซต์

                        -  การแก้ไข Forminator ได้ออกแพตช์ความปลอดภัย เวอร์ชัน 1.29.3 เพื่อแก้ไขช่องโหว่นี้ ผู้ใช้งานควรอัปเดตปลั๊กอินเป็นเวอร์ชันล่าสุด

แนวทางป้องกันเพิ่มเติม:

            ติดตั้งซอฟต์แวร์ป้องกันมัลแวร์ ซอฟต์แวร์ป้องกันมัลแวร์สามารถช่วยตรวจจับและบล็อกมัลแวร์ที่อาจถูกอัปโหลดไปยังเว็บไซต์

            ใช้รหัสผ่านที่รัดกุม ใช้รหัสผ่านที่คาดเดายากสำหรับบัญชีผู้ใช้งาน WordPress  และเปลี่ยนรหัสผ่านเป็นประจำ

            สำรองข้อมูลเว็บไซต์ สำรองข้อมูลเว็บไซต์เป็นประจำ เพื่อให้สามารถกู้คืนได้ในกรณีที่ถูกโจมตี

            ติดตามข่าวสารความปลอดภัย ติดตามข่าวสารเกี่ยวกับช่องโหว่ความปลอดภัยล่าสุดของ WordPress และปลั๊กอิน WordPress เพื่อให้คุณสามารถอัปเดตซอฟต์แวร์ได้ทันที

 

Ref : bleepingcomputer

CISA สั่งหน่วยงานที่ได้รับผลกระทบจากการถูกโจมตีของ Microsoft ทำการแก้ไขโดยด่วน

    หน่วยงานรักษาความปลอดภัยทางไซเบอร์ และโครงสร้างพื้นฐานของสหรัฐอเมริกา (CISA) ออกคำสั่งฉุกเฉินใหม่ เพื่อสั่งให้หน่วยงานรัฐบาลกลางของสหรัฐอเมริกาเร่งแก้ไข ความเสี่ยงที่เกิดขึ้นจากการโจมตี Microsoft corporate email หลายบัญชีโดยกลุ่ม APT29 ของรัสเซีย

   คำสั่งฉุกเฉิน 24-02 ได้ออกให้กับหน่วยงาน Federal Civilian Executive Branch (FCEB) เมื่อวันที่ 2 เมษายน 2024 โดยกำหนดให้หน่วยงานรัฐบาลกลางตรวจสอบอีเมลที่อาจได้รับผลกระทบจากการโจมตี ทำการรีเซ็ตข้อมูลบัญชีที่ถูกโจมตี และใช้มาตรการเพื่อรักษาความปลอดภัยบัญชี Microsoft Azure ที่ได้รับสิทธิ์สูง

  CISA ระบุว่า ขณะนี้หน่วยข่าวกรองต่างประเทศของรัสเซีย (SVR) ได้ใช้ข้อมูลที่ขโมยมาจากระบบ Microsoft corporate email รวมถึงรายละเอียดการตรวจสอบสิทธิ์ที่ใช้ร่วมกันระหว่าง Microsoft และลูกค้าทางอีเมล์ เพื่อเข้าถึงระบบลูกค้าบางระบบ

การโจมตีอีเมลของหน่วยงานรัฐบาลกลาง

    Microsoft และหน่วยงานรักษาความปลอดภัยทางไซเบอร์ของสหรัฐอเมริกา ได้แจ้งหน่วยงานรัฐบาลกลางทั้งหมดทันทีหลังจากตรวจพบว่า Microsoft Exchange ได้ถูก Hacker ชาวรัสเซียโจมตี และขโมยข้อมูล

   ซึ่งคำสั่งฉุกเฉินฉบับใหม่ของ CISA ถือว่าเป็นครั้งแรกที่รัฐบาลสหรัฐฯ ได้ออกมายืนยันว่าอีเมลของหน่วยงานรัฐบาลกลางถูกโจมตี และขโมยข้อมูลจาก Microsoft Exchange ในเดือนมกราคม 2024

ปัจจุบัน CISA ได้สั่งให้หน่วยงานที่ได้รับผลกระทบจากการโจมตี ทำการระบุเนื้อหาทั้งหมดของการติดต่อกับบัญชี Microsoft ที่ถูกโจมตี และดำเนินการวิเคราะห์ผลกระทบด้านความปลอดภัยทางไซเบอร์ภายในวันที่ 30 เมษายน 2024

หากตรวจพบสัญญาณของถูกโจมตีจะต้องดำเนินการตามขั้นตอนดังนี้ :

    ดำเนินการแก้ไขทันทีสำหรับ token, passwords, API keys หรือข้อมูลรับรองการตรวจสอบสิทธิ์อื่น ๆ ที่ทราบ หรือสงสัยว่าจะถูกบุกรุก

  สำหรับการละเมิดการรับรองความถูกต้องที่น่าสงสัยใด ๆ ที่ผ่านการดำเนินการที่ 1 ภายในวันที่ 30 เมษายน 2024

    Reset ข้อมูล credentials ในแอปพลิเคชันที่เกี่ยวข้อง และปิดใช้งานแอปพลิเคชันที่เกี่ยวข้องซึ่งไม่ได้มีการใช้งานอีกต่อไป

   ตรวจสอบการลงชื่อเข้าใช้ การออกโทเค็น และบันทึกพฤติกรรมบัญชีอื่น ๆ สำหรับผู้ใช้ และบริการที่สงสัยว่าข้อมูลประจำตัวถูกบุกรุก หรือพบว่าถูกบุกรุกจากพฤติกรรมที่อาจเป็นอันตราย

    แม้ว่าข้อกำหนด ED 24-02 จะมีผลกับหน่วยงาน FCEB โดยเฉพาะ แต่การขโมยข้อมูลของ Microsoft corporate account อาจส่งผลกระทบต่อองค์กรอื่น ๆ จึงแนะนำให้ทำการป้องกันการโจมตีตามคำแนะนำของ Microsoft account teams

    รวมถึงการนำมาตรการรักษาความปลอดภัยที่เข้มงวดมาใช้งาน เช่น การใช้รหัสผ่านที่รัดกุม, การเปิดใช้งานการยืนยันตัวตนหลายปัจจัย (MFA) ทุกครั้งที่เป็นไปได้ และยกเว้นจากการแบ่งปันข้อมูลที่ความสำคัญผ่านช่องทางที่ไม่ปลอดภัย

การโจมตี Microsoft ของกลุ่ม APT 29

    ในเดือนมกราคม 2024 ทาง Microsoft เปิดเผยว่ากลุ่ม APT 29 (หรือในชื่อ Midnight Blizzard และ NOBELIUM) ได้ทำการโจมตี corporate email server ด้วยวิธี password spray attack ทำให้สามารถเข้าถึงบัญชีสำหรับทดสอบที่เป็น non-production ได้ เนื่องจากบัญชีดังกล่าวไม่ได้เปิดใช้งาน MFA จึงทำให้ถูกโจมตีเข้าถึงระบบของ Microsoft ได้สำเร็จ

    หลังจากนั้นผู้ไม่ประสงค์ดีทำการเข้าถึงแอปพลิเคชัน OAuth พร้อมการเข้าถึงระบบอื่น ๆ ของ Microsoft ในระดับที่สูงขึ้น ซึ่งช่วยให้ผู้ Hacker สามารถเข้าถึง และขโมยข้อมูลจาก mailbox ขององค์กรได้ ซึ่งบัญชีอีเมลเหล่านี้เป็นของสมาชิกระดับสูงของ Microsoft และพนักงานในแผนกความปลอดภัยทางไซเบอร์ และกฎหมายของบริษัท

    กลุ่ม APT29 เป็นที่รู้จักหลังจากการโจมตีแบบ supply chain attack ของ SolarWinds ในปี 2020 ซึ่งส่งผลกระทบต่อเนื่องไปยังหน่วยงานรัฐบาลกลางของสหรัฐอเมริกา และบริษัทหลายแห่งรวมถึง Microsoft ทำให้สามารถขโมย source code บางส่วนของ Azure, Intune และ Exchange ต่อมาในปี 2021 กลุ่ม APT29 ได้โจมตี Microsoft อีกครั้ง ซึ่งการโจมตีดังกล่าวทำให้สามารถเข้าถึง customer support tool ได้

Ref : bleepingcomputer

CISA เปิดตัวระบบการวิเคราะห์ “Malware Next-Gen” ออกสู่สาธารณะ

    หน่วยงานรักษาความปลอดภัยทางไซเบอร์ และโครงสร้างพื้นฐานของสหรัฐอเมริกา (CISA) เปิดตัวระบบการวิเคราะห์ "Malware Next-Gen" เวอร์ชันใหม่ ให้บุคคลทั่วไปสามารถส่งตัวอย่าง Malware เพื่อรับการวิเคราะห์โดย CISA ได้

    Malware Next-Gen เป็นแพลตฟอร์มการวิเคราะห์ Malware ที่จะตรวจสอบตัวอย่าง Malware เพื่อหา Artifacts ที่น่าสงสัย ซึ่งเดิมทีได้รับการออกแบบมาเพื่อให้หน่วยงานรัฐบาลกลาง หน่วยงานรัฐ หน่วยงานท้องถิ่นของสหรัฐอเมริกา ส่งไฟล์ที่น่าสงสัยเพื่อนำมาวิเคราะห์ Malware ได้โดยอัตโนมัติผ่านเครื่องมือวิเคราะห์แบบ Static และ Dynamic

    Malware Next-Gen ได้ถูกออกแบบมาเพื่อจัดการกับปริมาณงานที่เพิ่มขึ้นของการวิเคราะห์ภัยคุกคามทางไซเบอร์ โดยนำเสนอการวิเคราะห์ขั้นสูงที่น่าเชื่อถือบนแพลตฟอร์มที่สามารถแต่งขนาดได้ รวมถึงมีความสามารถในการจัดการในหลายระดับ สำหรับการวิเคราะห์ไฟล์หรือ URL ที่อาจเป็นอันตรายโดยอัตโนมัติ

ความพร้อมใช้งาน

    Malware Next-Gen เริ่มเปิดให้บริการแก่องค์กรภาครัฐจำนวนจำกัดตั้งแต่เดือนพฤศจิกายน 2023 ซึ่งนำไปสู่การระบุไฟล์ และ URL ที่น่าสงสัย หรือเป็นอันตราย ได้มากกว่า 200 ไฟล์ จากการส่งไฟล์ไปวิเคราะห์ 1,600 รายการ

    CISA ได้สนับสนุนให้ทุกองค์กร, นักวิจัยด้านความปลอดภัย และบุคคลทั่วไป ลงทะเบียนส่งไฟล์ที่น่าสงสัยไปยังแพลตฟอร์มเพื่อทำการวิเคราะห์ ซึ่งต้องลงทะเบียนด้วยบัญชี login.gov ก่อน

โดยไฟล์ที่ส่งมาจะได้รับการวิเคราะห์ในสภาพแวดล้อมที่ปลอดภัย ผ่านเครื่องมือวิเคราะห์แบบ static และ dynamic และผลลัพธ์ของการวิเคราะห์จะแสดงในรูปแบบ PDF และ STIX 2.1

    สำหรับผู้ที่ต้องการไม่เปิดเผยชื่อ ยังมีตัวเลือกในการส่งตัวอย่าง Malware ผ่าน portal สำหรับผู้ใช้ที่ไม่ได้ลงทะเบียน แม้ว่าจะไม่สามารถเข้าถึงผลการวิเคราะห์ได้ก็ตาม โดยจะมีเฉพาะแค่นักวิเคราะห์ของ CISA และบุคคลที่ได้รับการตรวจสอบเท่านั้น ที่จะสามารถเข้าถึงรายงานการวิเคราะห์ Malware ที่สร้างโดยระบบ ดังนั้นหากผู้ใช้งานต้องการรับผลการวิเคราะห์ไฟล์ที่น่าสงสัยทันที VirusTotal ยังคงเป็นตัวเลือกที่น่าสนใจกว่า

    ทั้งนี้ CISA ได้เตือนผู้ใช้งานว่าอย่าพยายามใช้ระบบวิเคราะห์ไฟล์ในทางที่ผิด หลีกเลี่ยงการใช้ข้อมูลที่มีความเป็นส่วนตัว เพื่อให้แน่ใจว่าข้อมูลที่ส่งบนแพลตฟอร์มไม่มีข้อมูลที่เป็นความลับ

bleepingcomputer