!!!COVID-19 data put for sale on the Dark Web

    Resecurity ซึ่งเป็นบริษัทรักษาความปลอดภัยทางไซเบอร์ในแคลิฟอร์เนีย ได้ตรวจพบข้อมูลทางการแพทย์ที่รั่วไหลจากหน่วยงานทางการแพทย์ของประเทศไทยซึ่งเป็นข้อมูลที่เกี่ยวกับประชาชนที่มีอาการ COVID-19 ของไทย โดยข้อมูลดังกล่าวถูกนำไปขายในตลาดซื้อขายของบนDark Web หลายแห่ง และสามารถติดต่อซื้อเพิ่มเติมได้ผ่านช่องทาง Telegramที่สร้างโดยผู้ไม่หวังดี

จากตัวอย่างข้อมูลที่ได้มาและข้อมูลเชิงลึกเพิ่มเติมที่เกี่ยวข้องกับเหตุการณ์ด้านความปลอดภัย ผู้ไม่หวังดีสามารถเข้าใช้พอร์ทัลของรัฐบาลได้โดยไม่ได้รับอนุญาต ซึ่งการเข้าถึงที่เกิดขึ้นอาจเป็นไปได้เนื่องจากมีช่องโหว่ SQL injection ที่ใช้งานอยู่ในโมดูลการให้สิทธิ์ของเว็บแอปที่ใช้งาน ผู้ไม่หวังดีสามารถเข้าถึงข้อมูลได้อย่างน้อย 5,151 รายการ โดยอาจมีการเปิดเผยข้อมูลทั้งหมดถึง 15,000 รายการ

      ทั้งนี้ ประเทศไทยไม่ใช่ประเทศเดียวในภูมิภาค ที่อาชญากรไซเบอร์ตามล่าหาข้อมูลส่วนบุคคลและข้อมูลทางการแพทย์ บริการด้านสุขภาพ แต่เพราะบริการทางการแพทย์ส่วนใหญ่ในประเทศไทยมีให้แก่ประชาชนเป็นรูปแบบดิจิตอล นั่นเป็นเหตุผลว่าทำไมพวกเขาจึงเป็นเป้าหมายที่น่าดึงดูดสำหรับกลุ่มจารกรรมทางอินเทอร์เน็ตและ Dark Web อื่น ๆ ที่รวบรวมข้อมูลเพื่อจุดประสงค์ที่เป็นอันตราย

COVID-19 data put for sale on the Dark Web

Chrome extensions with 1.4 million installs steal browsing data(พบส่วนขยายของ Google Chrome โดนผู้ไม่ประสงค์ดีแฝงลิงค์ที่เป็นอันตราย)

 

    ผู้เชี่ยวชาญของ McAfee ตรวจพบ Extension ของ Google Chrome ห้าตัวที่สามารถติดตามการใช้งานเว็บไซต์ของเป้าหมายและยังพบอีกว่าถูก Download ไปติดตั้งบนเครื่องเป้าหมายกว่า 1.4 ล้าน ครั้ง

   โดยเป้าหมายของการที่ผู้ไม่ประสงค์ดีคือการติดตามการใช้งานของผู้ใช้และทำการเปลี่ยนแปลง Cookie ของผู้ใช้ไปยังลิงค์ที่เป็นอันตรายและเป็นลักษณะของการหลอกให้ผู้ใช้จ่ายเงินเพื่อติดตั้งส่วนขยายอื่น ๆ เพิ่มเติมจากเดิมที่อาจจะเป็นระดับสิทธิ์ทั่วไปแต่ถ้าจ่ายเพิ่มแล้วจะ ได้ สิทธิ์อีกระดับที่สูงกว่าในร้านค้าของผู้ผลิตแต่เป็นลิงค์ปลอมที่ผู้ไม่ประสงค์ดีสร้างขึ้นและแฝงมันลงบน Extension สำหรับส่วนขยายที่ทางผู้เชี่ยวชาญของ McAfee ตรวจพบนั้นมีดังนี้

• Netflix Party (mmnbenehknklpbendgmgngeaignppnbe) – 800,000 downloads
• Netflix Party 2 (flijfnhifgdcbhglkneplegafminjnhn) – 300,000 downloads
• Full Page Screenshot Capture – Screenshotting (pojgkmkfincpdkdgjepkmdekcahmckjp) – 200,000 downloads
• FlipShope – Price Tracker Extension (adikhbfjdbjkhelbdnffogkobkekkkej) – 80,000 downloads
• AutoBuy Flash Sales (gbnahglfafmhaehbdmjedfhdmimjcbed) – 20,000 downloads

    เป็นที่สังเกตว่าส่วนขยายข้างต้นยังคงมีฟังก์ชันการทำงานที่ถูกต้องจากทางผู้ผลิดและปลายทาง ทำให้เป้าหมายสังเกตเห็นเป็นอันตรายได้ยากขึ้นแม้ว่าการใช้งานจะไม่ส่งผลกระทบต่อผู้ใช้โดยตรง แต่ก็มีความเสี่ยงด้านความเป็นส่วนตัวอย่างร้ายแรงดังนั้น หากคุณใช้ส่วนขยายใด ๆ ในรายการแม้ว่าคุณจะพบว่าฟังก์ชันของส่วนขยายนั้นมีประโยชน์ ขอแนะนำให้ลบส่วนขยายออกจากเบราว์เซอร์ของคุณทันที

ส่วนขยายทำงานอย่างไร

    ส่วนขยายทั้งห้า ที่ ค้นพบโดย McAfee  มีลักษณะคล้ายกัน รายการเว็บแอป (ไฟล์ "manifest.json") ซึ่งกำหนดลักษณะการทำงานของส่วนขยายในระบบโหลดสคริปต์มัลติฟังก์ชั่น (B0.js) ที่ส่งข้อมูลการท่องเว็บไปยังโดเมนที่ผู้ไม่ประสงค์ดีควบคุม ("langhort[.] com”).ข้อมูลจะถูกส่งผ่านคำขอ POST ทุกครั้งที่ผู้ใช้เข้าชม URL ใหม่ ข้อมูลที่เข้าถึงผู้ฉ้อโกงรวมถึง URL ในรูปแบบ base64, ID ผู้ใช้, ตำแหน่งอุปกรณ์ (country, city, zip code) และ an encoded referral URL. หากเว็บไซต์ที่เข้าชมตรงกับรายการใด ๆ ในรายการเว็บไซต์ที่ผู้ผลิตส่วนขยายมีความเกี่ยวข้อง เซิร์ฟเวอร์จะตอบสนองต่อ B0.jsด้วยหนึ่งในสองฟังก์ชันที่เป็นไปได้

• ประการแรก “ผลลัพธ์['c'] – passf_url “ สั่งให้สคริปต์แทรก URL ที่ให้มา (referral link) เป็น iframe บนเว็บไซต์ที่เข้าชม
• ประการที่สอง “ผลลัพธ์['e'] setCookie” สั่งให้ B0.js แก้ไขคุกกี้หรือแทนที่ด้วยคุกกี้ที่ให้มา หากส่วนขยายได้รับสิทธิ์ที่เกี่ยวข้อง

    และเพื่อหลีกเลี่ยงการตรวจจับ วิเคราะห์ และสร้างความสับสนให้กับหย่วยงานป้องกันความปลอดภัไซเบอร์หรือผู้ใช้ที่ระมัดระวัง ส่วนขยายบางรายการอาจมีการหน่วงเวลา 15 วันนับจากเวลาที่ติดตั้งก่อนที่จะเริ่มส่งกิจกรรมเบราว์เซอร์ออกไป

Chrome extensions with 1.4 million installs steal browsing data

LockBit ransomware gang gets aggressive with triple-extortion tactic

 

LockBit Ransomware ประกาศเพิ่มการโจมตีแบบ DDoS Attack

    กลุ่ม LockBit Ransomware ได้ออกมาประกาศเรื่องการปรับปรุงเว็บไซต์ของทางกลุ่ม หลังจากที่ถูกโจมตีแบบปฏิเสธการให้บริการ (DDoS) และเตรียมยกระดับการโจมตีของกลุ่มให้เป็นแบบ Triple Extortion

รายละเอียดเหตุการณ์

    เหตุการณ์ครั้งนี้เกิดขึ้นจากเมื่อวันที่ 18 มิถุนายน 2565 ที่ผ่านมา LockBit ได้ขโมยข้อมูลจำนวนกว่า 300 GB ของ Entrust บริษัทด้านความปลอดภัยทางดิจิทัล โดยเหตุการณ์ครั้งนี้ Entrust ยืนยันที่จะไม่ยอมจ่ายค่าไถ่ ทำให้ LockBit เริ่มประกาศจะเผยแพร่ข้อมูลของ Entrust ออกมาในวันที่ 19 สิงหาคม 2565 แต่ก็ไม่สามารถเผยแพร่ข้อมูลได้อย่างต่อเนื่อง เนื่องจาก LockBit อ้างว่าเว็บไซต์ของทางกลุ่มถูกบริษัท Entrust โจมตีด้วย DDoS attack เพื่อป้องกันไม่ให้มีการเข้าถึงข้อมูลที่ LockBitอ้างว่าได้ขโมยออกมา จากเหตุการณ์ดังกล่าว LockBit ใช้บทเรียนครั้งนี้เป็นโอกาสที่จะเพิ่มผู้เชี่ยวชาญในการโจมตีด้วย DDoS เข้าสู่ทีม เพื่อยกระดับการโจมตีของตนให้เป็นแบบ Triple Extortion

ซึ่งประกอบไปด้วย

• การเข้ารหัสไฟล์บนเครื่องเป้าหมาย
• การเผยแพร่ข้อมูลของเป้าหมาย
• การโจมตีแบบปฏิเสธการให้บริการ (DDoS) ไปยังเป้าหมาย

    นอกจากนี้โฆษาของ LockBit ยังยืนยันว่าจะแชร์ข้อมูลกว่า 300GB ที่ขโมยมาจาก Entrust ให้ได้ โดยเริ่มจากการส่งข้อมูลไปให้กับผู้ที่สนใจที่ติดต่อเข้ามาทาง Direct Message ผ่านทางไฟล์ Torrent ส่วนวิธีที่ LockBit นำมาใช้เพื่อป้องกันการโจมตีจาก DDoS คือการใช้ลิงก์ที่แตกต่างกันในไฟล์บันทึกค่าไถ่ของเหยื่อแต่ละราย จากนั้นจะเพิ่มจำนวนมิเรอร์ และเซิร์ฟเวอร์สำหรับเผยแพร่ข้อมูลที่แฮ็กมา และในอนาคตมีแผนที่จะเพิ่มความพร้อมใช้งานของข้อมูลที่ถูกขโมยโดยทำให้สามารถเข้าถึงได้ผ่าน clearnet ผ่านบริการจัดเก็บข้อมูลแบบ bulletproof

ข้อมูลเพิ่มเติมเกี่ยวกับ LockBit

    การดำเนินการของ LockBit ถูกพบมาตั้งแต่เดือนกันยายน 2562 โดยมีผู้ตกเป็นเหยื่อมากกว่า 700 รายและ Entrust ก็ถือเป็นหนึ่งในนั้น

LockBit ransomware gang gets aggressive with triple-extortion tactic

วิธีแก้ (Fix) Ubuntu 20.04 ไม่สามารถสั่ง apt-get install ได้ ระบบแจ้งว่า 'apt --fix-broken install'

เปิดใช้งานเครื่อง แล้วสั่ง apt-get install ไปเรื่อย ๆ 
และมีให้เพิ่ม List Server ใน Source บ้างเล็กน้อย 

หลังจากนั้น ไม่สามารถ apt-get install ได้อีกเลย โดยระบบจะแจ้งว่า 
'apt --fix-broken install'

ลองหาข้อมูลแล้วทำตามนี้ พบว่าสามารถแก้ไขได้ครับ

sudo apt --fix-missing update

sudo apt update

sudo apt install -f

Ref. https://www.makeuseof.com/how-to-find-and-fix-broken-packages-on-linux/

Chinese Hackers Backdoored MiMi Chat App to Target Windows, Linux, macOS Users

 แฮ็กเกอร์จีนใช้ MiMi Chat App เป็น Backdoor โดยมุ่งเป้าไปยังผู้ใช้งานทั้งบน Windows, Linux และ macOS

    รายงานของบริษัท SEKOIA และ Trend Micro เกี่ยวกับรูปแบบการโจมตีใหม่ที่ถูกใช้โดยผู้ไม่ประสงค์ดีชาวจีนชื่อ Lucky Mouse พบการใช้แอปพลิเคชั่นสำหรับรับ-ส่งข้อความแชท เพื่อเป็น Backdoor บนเครื่องเป้าหมายโดยกลุ่มผู้ไม่ประสงค์ดีโจมตีแอปพลิเคชั่นแชทที่ชื่อว่า MiMi และปรับแต่งไฟล์ติดตั้งของโปรแกรม โดยไฟล์ติดตั้งที่ถูกปรับแต่งจะดาวน์โหลด และติดตั้งมัลแวร์ HyperBro บน Windows และ rshell บน Linux และ macOS มีหน่วยงานต่าง ๆ มากถึง 13 แห่งในไต้หวัน และฟิลิปปินส์ที่ถูกโจมตี ซึ่ง 8 แห่งถูกโจมตีด้วย rshell โดยถูกพบครั้งแรกในช่วงกลางเดือนกรกฎาคม พ.ศ. 2564

    Lucky Mouse หรือ APT27, Bronze Union, Emissary Panda และ Iron Tiger เป็นที่รู้จักตั้งแต่ปี 2556 และมีประวัติการโจมตีเครือข่ายเป้าหมายเพื่อหาข้อมูลข่าวกรองทางการเมือง และการทหารที่เกี่ยวข้องกับประเทศจีน แฮ็กเกอร์ยังเชี่ยวชาญในการขโมยข้อมูลที่สำคัญออกไป โดยใช้ SysUpdate HyperBro และ PlugX แต่จากพฤติกรรมล่าสุดเป็นครั้งแรกของกลุ่มที่กำหนดเป้าหมายไปยัง macOS

    การโจมตีล่าสุดนี้ถือว่าเป็นการโจมตีในรูปแบบ supply chain attack เนื่องจาก Lucky Mouse เข้าไปทำการควบคุม backend servers สำหรับดาวน์โหลดโปรแกรมติดตั้งของแอป MiMi จึงทำให้ผู้โจมตีสามารถปรับแต่งแอปเพื่อทำเป็น Backdoor ได้ โดยพบว่า MiMi เวอร์ชัน 2.3.0 บน macOS ถูกดัดแปลงเพื่อฝัง JavaScript ที่เป็นอันตรายตั้งแต่เมื่อ วันที่ 26 พฤษภาคม 2565 ส่วน MiMi เวอร์ชัน 2.2.0 และ 2.2.1 บน Windows ได้ถูกโจมตีในลักษณะที่คล้ายกันตั้งแต่เมื่อวันที่ 23 พฤศจิกายน พ.ศ. 2564 โดย rshell เป็น Backdoor ที่ใช้รับคำสั่งจาก command-and-control (C2) เพื่อดำเนินการต่าง ๆ บนเครื่องเหยื่อ และส่งผลลัพธ์ที่ได้จากการทำตามคำสั่งที่ได้รับมากลับไปยัง C2 Server

    สาเหตุที่การโจมตีครั้งนี้ถูกเชื่อมโยงกับกลุ่ม Lucky Mouse เนื่องจากการใช้งาน HyperBro เป็น Backdoor ที่กลุ่มผู้ไม่ประสงค์ดีกลุ่มนี้ใช้โดยเฉพาะ SEKOIA ชี้ให้เห็นว่า นี่ไม่ใช่ครั้งแรกที่ผู้ไม่ประสงค์ดีใช้แอปพลิเคชั่นส่งข้อความในการโจมตี ในปลายปี 2563 ESET เปิดเผยว่าซอฟต์แวร์แชทยอดนิยมที่ชื่อว่า Able Desktop ถูกใช้ในการโจมตีเพื่อส่ง HyperBro, PlugX และ Trojan ที่ชื่อว่า Tmanger ซึ่งมีการกำหนดเป้าหมายไปยังประเทศมองโกเลีย

Chinese Hackers Backdoored MiMi Chat App to Target Windows, Linux, macOS Users

Hackers target hotel and travel companies with fake reservations

แฮ็กเกอร์มุ่งเป้าโจมตีกลุ่มธุรกิจโรงแรม และท่องเที่ยวด้วยการจองที่พักปลอม

    กลุ่มผู้ไม่ประสงค์ดี TA558 เพิ่มวิธีการโจมตีรูปแบบใหม่ในปีนี้ โดยการใช้ฟิชชิ่งที่กำหนดเป้าหมายเป็นกลุ่มธุรกิจโรงแรม และบริษัทหลายแห่งในด้านการบริการ และการท่องเที่ยว ผู้ไม่ประสงค์ดีใช้ Remote access trojans (RATs) ในการเข้าถึงระบบเป้าหมาย เพื่อขโมยข้อมูลสำคัญ และขโมยเงินจากเป้าหมาย โดยกลุ่ม TA558 ถูกพบครั้งแรกตั้งแต่ปี 2018 แต่เมื่อเร็ว ๆ นี้ Proofpoint พบว่ากลุ่มดังกล่าวมีจำนวนการโจมตีที่สูงขึ้น ซึ่งอาจเชื่อมโยงกับการฟื้นตัวของการท่องเที่ยวหลังจาก COVID-19

วิธีการโจมตีของกลุ่ม TA558

    ในปี 2022 กลุ่ม TA558 ได้เปลี่ยนจากการใช้มาโครในไฟล์เอกสารอีเมลฟิชชิ่ง มาเป็นใช้ไฟล์แนบในรูปแบบ RAR และ ISO หรือ URL ที่แฝงอยู่ ผู้ไม่ประสงค์ดีรายอื่น ๆ ก็มีการเปลี่ยนมาใช้รูปแบบดังกล่าวมากขึ้นเช่นเดียวกัน เนื่องจาก Microsoft มีการบล็อก block VBA และ XL4 macros ใน Office เป็นค่าเริ่มต้น

อีเมลฟิชชิ่งที่ถูกใช้ในการโจมตีจะมีข้อความเป็นภาษาอังกฤษ, สเปน และ โปรตุเกส โดยจะกำหนดเป้าหมายไปยังบริษัทในอเมริกาเหนือ, ยุโรปตะวันตก และละตินอเมริกา

 หัวข้ออีเมลจะเกี่ยวกับการจองโรงแรม และบริการกับบริษัทท่องเที่ยว โดยอ้างว่ามาจากผู้จัดประชุม, ตัวแทนสำนักงานท่องเที่ยว และอื่น ๆ ที่ผู้รับอาจให้ความสนใจ เมื่อเป้าหมายคลิก URL ในเนื้อหาข้อความซึ่งระบุว่าเป็นลิงก์การจอง มันจะทำการดาวน์โหลดไฟล์ ISO มาจากเซิร์ฟเวอร์ภายนอกภายในไฟล์ ISO จะมีไฟล์ .Bat ที่จะเรียกใช้สคริปต์ PowerShell เพื่อโหลด RAT ลงมาติดตั้งบนคอมพิวเตอร์ของเหยื่อ และสร้าง scheduled task เพื่อให้มันสามารถแฝงตัวอยู่บนระบบได้อย่างต่อเนื่อง

    หลังจากติดตั้ง RAT แล้ว กลุ่ม TA558 จะเจาะเข้าไปในเครือข่ายของเหยื่อเพื่อขโมยข้อมูลลูกค้า, ข้อมูลบัตรเครดิต และเปลี่ยนแปลงเว็บไซต์ที่เกี่ยวข้องกับการชำระเงิน ในเดือนกรกฎาคม พ.ศ. 2565 The Marino Boutique Hotel ในเมืองลิสบอน ประเทศโปรตุเกส ถูกแฮ็กบัญชี Booking.com และขโมยเงิน 500,000 ยูโรภายในสี่วันจากลูกค้าที่จ่ายเงินเพื่อจองห้องพัก กลุ่ม TA558 ยังมีการขายข้อมูลรายละเอียดบัตรเครดิตที่ถูกขโมยออกมา, ข้อมูลประจำตัวของลูกค้า หรือข้อมูลสำหรับการเข้าถึงเครือข่ายของโรงแรมที่ถูกโจมตี

Hackers target hotel and travel companies with fake reservations

WordPress sites hacked with fake Cloudflare DDoS alerts pushing malware

 

ผู้ไม่ประสงค์ดีสร้าง Cloudflare DDoS Protection ปลอม เพื่อหลอกติดตั้ง NetSupport RAT และ Trojan RaccoonStealer

    ในการใช้งานอินเทอร์เน็ตทั่วไป ผู้ใช้งานมักพบกับหน้าจอ DDoS Protection ในการเข้าใช้งานเว็ปไซต์ ซึ่งมันมีหน้าที่สำหรับปกป้องเว็ปไซต์ปลายทางจากการโจมตี เช่น การส่ง Request ปลอมเป็นจำนวนมากที่ทำให้เซิฟเวอร์ล่ม แต่ในปัจจุบัน พบผู้ไม่ประสงค์ดีได้ใช้ประโยชน์จากหน้าจอแสดงผลเหล่านี้เพื่อติดตั้งมัลแวร์

ลักษณะการทำงาน

    เหตุการณ์นี้ค้นพบโดบผู้เชี่ยวชาญจาก Sucuri ซึ่งพบผู้โจมตีได้ทำการแฮ็กเว็ปไซต์ที่เขียนด้วย WordPress เมื่อทำการแฮ็กได้สำเร็จ ผู้โจมตีจะทำการเพิ่มเพย์โหลด JavaScript ลงไป เพื่อแสดงหน้าจอ Cloudflare DDoS Protection ปลอม

    เมื่อผู้ใช้งานเข้าสู่เว็ปไซต์ที่ถูกแฮ็ก จะพบ Pop-Up ขึ้นมาให้คลิกเพื่อข้ามหน้าจอ DDoS Protection เมื่อคลิกจะเป็นการดาวน์โหลดไฟล์ security_install.iso ซึ่ง Cloudflare ปลอมอ้างว่าเป็นโปรแกรมที่จำเป็นในการใช้งานเว็ปไซต์โดยจะมีหน้าต่างให้ใส่รหัส ซึ่งตรงนี้ผู้ใช้งานจำเป็นต้องติดตั้งโปรแกรมที่ดาวน์โหลดมาเพื่อรับรหัส

    ข้างในไฟล์ security_install.iso จะพบไฟล์ที่ชื่อ security_install.exe ซึ่งจริงๆแล้วเป็น Shortcut ที่เรียกใช้คำสั่ง PowerShell จากไฟล์ dbug.txt ที่แนบมาด้วย

    หลังจากผู้ใช้งานติดตั้งไฟล์ จะได้รับได้รหัสปลอมๆ มาสำหรับกรอกบนหน้าจอเพื่่อเข้าสู่เว็ปไซต์ แต่ในเบื้องหลังจะเป็นการติดตั้ง NetSupport RAT ซึ่งเป็นโทรจันสำหรับการเข้าถึงจากระยะไกลที่ใช้กันอย่างแพร่หลายในแคมเปญที่เป็นอันตรายในปัจจุบัน

Attack chain of the fake Cloudflare DDoS protection (Sucuri)

    นอกเหนือจากการติดตั้ง NetSupport RAT แล้ว สคริปต์ที่ทำงานจะดาวน์โหลดโทรจันสำหรับใช้ขโมยรหัสผ่าน Raccoon Stealer มาด้วย ซึ่งจะเปิดใช้งานทันทีหลังติดตั้งเสร็จในเดือนมิถุนายนที่ผ่านมา Raccoon Stealer ได้ทำการอัพเดทเป็น Verson 2.0 ทำให้มันสามารถขโมยข้อมูลที่เป็นรหัสผ่าน, คุกกี้ และบัตรเครดิตที่บันทึกไว้ในเว็ปเบราว์เซอร์ได้ นอกจากนี้ยังสามารถทำการบันทึกภาพหน้าจอของผู้ใช้งานได้อีกด้วย

แนวทางการป้องกัน

• ผู้ดูแลระบบควรตรวจสอบเว็ปไซต์ของตนอย่างสม่ำเสมอ ว่ามีสคริปต์แปลกปลอมถูกฝังไว้อยู่หรือไม่
• ผู้ใช้งานอินเทอร์เน็ตสามารถป้องกันได้โดยเปิดใช้งานการบล็อก JavaScript บนเบราว์เซอร์ แต่อย่างไรก็ตาม การเปิดใช้งานอาจส่งผลต่อการทำงานของเว็ปไซต์อื่น ๆ เช่นกัน
• ควรตรวจสอบไฟล์เสมอก่อนทำการดาวน์โหลดทุกครั้ง นอกจากนี้ยังไม่พบว่ามีไฟล์ ISO ชนิดใดที่เกี่ยวข้องกับขั้นตอนการตรวจสอบ DDoS Protection

WordPress sites hacked with fake Cloudflare DDoS alerts pushing malware

Google fixes fifth Chrome zero-day bug exploited this year

 

Google Chrome แก้ไขช่องโหว่ Zero-day เป็นครั้งที่ 5 ในรอบปี

    Google Chrome ได้เปิดตัวการอัปเดตความปลอดภัยสำหรับเบราว์เซอร์ เพื่อแก้ไขช่องโหว่จำนวน 10 รายการ รวมถึงช่องโหว่ Zero-day ที่กำลังถูกโจมตีอยู่ในขณะนี้ ซึ่งการอัปเดตความปลอดภัยได้เปิดตัวสำหรับระบบปฏิบัติการของ Windows, Mac และ Linux ผู้ใช้งานสามารถอัปเดตอัตโนมัติในอีกไม่กี่ วัน/สัปดาห์ ที่จะมาถึง 

รายละเอียดที่เกี่ยวกับช่องโหว่ Zero-day 

    โดยทั่วไป Google ไม่ได้ให้รายละเอียดทางเทคนิคมากมาย เกี่ยวกับช่องโหว่ Zero-day ที่แก้ไข จนกว่าผู้ใช้ Google Chrome จำนวนมากจะได้ใช้การอัปเดตความปลอดภัย ล่าสุดมีการติดตามภายใต้รหัส CVE-2022-2856 และได้รับการอธิบายว่าเป็นปัญหาด้านความปลอดภัยที่มีความรุนแรงสูง เนื่องจากการตรวจสอบอินพุตที่ไม่น่าเชื่อถือใน Intents ไม่เพียงพอ ซึ่งเป็นคุณลักษณะที่ช่วยให้สามารถเปิดแอปพลิเคชัน และบริการเว็บได้โดยตรงจากหน้าเว็บ 

    การอัปเดต Google Chrome ในปัจจุบัน เป็นการแก้ไขช่องโหว่ Zero-day ครั้งที่ 5 ในรอบปีนี้ ซึ่งถูกโจมตีโดยผู้ไม่ประสงค์ดี 4 ครั้งก่อนหน้านี้ ได้แก่ : 

•     ครั้งที่ 1 ภายใต้รหัส CVE-2022-0609 – เมื่อวันที่ 14 กุมภาพันธ์ 2565
•     ครั้งที่ 2 ภายใต้รหัส CVE-2022-1096 – เมื่อวันที่ 25 มีนาคม 2565 
•     ครั้งที่ 3 ภายใต้รหัส CVE-2022-1364 – เมื่อวันที่ 14 เมษายน 2565 
•     ครั้งที่ 4 ภายใต้รหัส CVE-2022-2294 – เมื่อวันที่ 4 กรกฎาคม 2565 

คำแนะนำ 

• หากต้องการอัปเดตทันที ให้ไปที่การตั้งค่าของเบราว์เซอร์ เลือก “About Chrome” และให้ตัวตรวจสอบภายในของเบราว์เซอร์สแกนหาการอัปเดตที่มี หลังจากดาวน์โหลดเสร็จสิ้น ให้เริ่มโปรแกรมใหม่เพื่อใช้การอัปเดตความปลอดภัย
• เนื่องจากการอัปเดตล่าสุดของ Google Chrome ได้แก้ไขช่องโหว่ที่ผู้ไม่ประสงค์ดีใช้อยู่แล้ว ขอแนะนำให้เปลี่ยนไปใช้เบราว์เซอร์เวอร์ชันล่าสุดโดยเร็วที่สุด
  
  

Google fixes fifth Chrome zero-day bug exploited this year

Microsoft: Exchange ‘Extended Protection’ needed to fully patch new bugs

 

แพตซ์ล่าสุดของ Microsoft Exchange ต้องเปิด Extended Protection เพิ่มเติม เพื่อแก้ไขช่องโหว่ได้อย่างสมบูรณ์

    Microsoft ระบุว่าช่องโหว่ของ Exchange Server ที่ได้รับการแก้ไขไปเมื่อเดือนสิงหาคม 2565 ยังต้องมีการให้ผู้ดูแลระบบเปิดใช้งาน Extended Protection ด้วยตนเองบนเซิร์ฟเวอร์ที่ได้รับผลกระทบ เพื่อให้สามารถบล็อกการโจมตีได้ทั้งหมด เมื่อวันที่ 9 สิงหาคม 2565 ทาง Microsoft ได้ออกแพตซ์แก้ไขช่องโหว่ 121 รายการ รวมถึงช่องโหว่ zero-day บน Windows ที่ชื่อว่า DogWalk ซึ่งกำลังถูกใช้โจมตีอยู่ในปัจจุบัน และช่องโหว่บน Exchange หลายรายการ (CVE-2022-21980, CVE-2022-24477 และ CVE-2022-24516) ซึ่งมีระดับความรุนแรง critical ที่ทำให้สามารถโจมตีในรูปแบบการยกระดับสิทธิ์ได้โดยผู้โจมตีสามารถโจมตีช่องโหว่ดังกล่าวเพื่อยกระดับสิทธิ์ได้ด้วยการหลอกให้ผู้ใช้งานเข้าถึงเว็ปไซต์ที่เป็นอันตรายผ่านทาง phishing อีเมลล์ หรือข้อความแชท

    อย่างไรก็ตาม Microsoft ระบุว่าผู้ดูแลระบบจำเป็นต้องมีการเปิดใช้งาน Extended Protection (EP) หลังจากการอัปเดตแพตซ์ล่าสุด เพื่อให้แน่ใจว่าผู้โจมตีจะไม่สามารถโจมตีเซิร์ฟเวอร์ที่มีช่องโหว่ได้ EP คือฟีเจอร์ที่มากับ Windows Server ที่ช่วยในการตรวจสอบสิทธิ์ เพื่อป้องกันการโจมตีในลักษณะ "man in the middle" Microsoft ยืนยันว่า “ระบบที่มีความเสี่ยงจะต้องเปิดใช้งาน Extended Protection เพื่อป้องกันการโจมตีนี้ได้อย่างสมบูรณ์”

    ปัจจุบัน Microsoft ปล่อยสคริปต์ที่ใช้สำหรับปิดการใช้งาน Extended Protection ให้ผู้ดูแลระบบสามารถนำไปใช้ได้เรียบร้อยแล้ว แต่แนะนำให้ตรวจสอบคู่มือการใช้งานสคริปต์อย่างรอบคอบก่อนดำเนินการ

• Exchange Server เวอร์ชันที่ได้รับการอัปเดต
• Exchange Server 2013 CU23
• Exchange Server 2016 CU22 และ CU23
• Exchange Server 2019 CU11 และ CU12

    Microsoft ระบุว่า exploit code จะถูกสร้างขึ้นเพื่อใช้ในการโจมตีช่องโหว่ดังกล่าวในเร็วๆนี้ เนื่องจากกรณีที่ผ่าน ๆ มาของช่องโหว่ลักษณะดังกล่าวดังนั้นผู้ใช้งานควรรีบดำเนินการอัปเดตแพตซ์โดยด่วน เพื่อป้องกันระบบจากการถูกโจมตี

Microsoft: Exchange ‘Extended Protection’ needed to fully patch new bugs

New GwisinLocker ransomware encrypts Windows and Linux ESXi servers

 

GwisinLocker Ransomware สามารถเข้ารหัสได้ทั้ง Windows, Linux และ ESXi Server

    ผู้เชี่ยวชาญจาก Ahnlab และ ReversingLabs ได้ค้นพบ Ransomware ตระกูลใหม่ที่ชื่อว่า 'GwisinLocker' ซึ่งในครั้งนี้เป้าหมายคือระบบปฏิบัติการ Windows, Linux และ ESXi Serverจากการตรวจสอบเพิ่มเติม พบว่ามัลแวร์ตัวใหม่นี้เป็นผลงานของกลุ่มแฮ็กเกอร์ที่มีชื่อว่าว่า Gwisin ซึ่งแปลว่า "ผี" ในภาษาเกาหลี โดยปัจจุบันยังไม่มีข้อมูลเกี่ยวกับแฮ็กเกอร์กลุ่มนี้มากนัก

ลักษณะการทำงาน

  บนระบบปฏิบัติการ Windows การทำงานของ GwisinLocker เริ่มจากไฟล์ MSI ที่ถูกติดตั้ง จะทำการดาวน์โหลดไฟล์ DLL ผ่าน Command Line ซึ่งสาเหตุที่เป็น Command Line เนื่องจากยากต่อการตรวจสอบ

และวิเคราะห์ข้อมูล ซึ่งภายหลัง ไฟล์ DLL ที่ดาวน์โหลดมาจะทำหน้าที่เป็นตัวเข้ารหัสของ Ransomware หลังจากระบุพารามิเตอร์บน Command Line เรียบร้อบ ไฟล์ DLL จะถูกติดตั้งเข้าไปใน Process

ของ Windows เพื่อหลบเลี่ยงการตรวจจับจาก AntiVirus และทำการเข้ารหัสเครื่องเป้าหมายในบางครั้ง GwisinLocker จะทำงานใน Safe Mode โดยจะคัดลอกตัวมันเองลงใน ProgramData และสร้าง Services

ขึ้นมาสำหรับ Reboot เครื่องเป้าหมายไปยัง Safe Mode สำหรับระบบปฏิบัติการ Linux การเข้ารหัสจะเน้นไปที่ระบบ VMware ESXi Server โดยมี Command Line ดังต่อไปนี้

Usage: Usage

-h, --help แสดงข้อความช่วยเหลือ

Options

-p, --vp Path ที่จะทำการเข้ารหัส

-m, --vm ใช้สำหรับหยุดการทำงานของ VM โดยมีตัวเลือกให้ STOP หรือ KILL ทิ้ง

-s, --vs กำหนดเวลาที่จะเข้าสู่โหมด Sleep ก่อนทำการเข้ารหัส

-z, --sf ข้ามการเข้ารหัสไฟล์ที่เกี่ยวข้องกับ ESXi

-d, --sd คำสั่งลบตัวเองหลังติดตั้งเสร็จ

-y, --pd สร้าง text message ลงบนไฟล์ที่เข้ารหัส

-t, --tb เข้าสู่ Loop การทำงานใหม่ หาก Unix Epoch Time น้อยกว่า 4 ชั่วโมง

   ซึ่งการเข้ารหัสจะเริ่มหลังจากมีการระบุพารามิเตอร์ต่าง ๆ บน Command Line สำเร็จเมื่อเข้ารหัสไฟล์ ตัวเข้ารหัสจะใช้การเข้ารหัสแบบ AES symmetric-key โดยค่า Hash คือ SHA256 อย่างไรก็ตาม ตัวเข้ารหัสทั้งหมดได้รับการปรับแต่งให้รวมกับชื่อบริษัทเป้าหมายในไฟล์เรียกค่าไถ่ และมีการใช้นามสกุลเฉพาะสำหรับไฟล์ที่เข้ารหัส ทำให้ผู้เชี่ยวชาญเข้าใจว่ากลุ่มแฮ็กเกอร์เองก็เป็นชาวเกาหลี หรือผู้ที่มีความรู้เกี่ยวกับบริษัทในเกาหลีเป็นอย่างมากไฟล์ที่ระบุสำหรับเรียกค่าไถ่ ใช้ชื่อว่า '!!Unable to render embedded object: File (_HOW_TO_UNLOCK_[company_name]_FILES_) not found.!!.TXT' มีการเขียนเป็นภาษาอังกฤษและมีคำเตือนให้เป้าหมายห้ามติดต่อหน่วยงานบังคับใช้กฎหมายของเกาหลีใต้หรือ KISA (Korea Internet and Security Agency) ซึ่งข้างในมี URL และบัญชีสำหรับเข้า Tor Browser เพื่อให้เป้าหมายปฏิบัติตามคำแนะนำในการจ่ายค่าไถ่ และกู้คืนไฟล์

New GwisinLocker ransomware encrypts Windows and Linux ESXi servers

Microsoft August 2022 Patch Tuesday fixes exploited zero-day, 121 flaws

 

Microsoft ออกแพตช์ประจำเดือนสิงหาคม 2022 อุดช่องโหว่กว่า 121 ตัว รวมถึงช่องโหว่ ‘DogWalk’ zero-day ที่กำลังมีการโจมตี

Credit: alexmillos/ShutterStock, techtalkthai

ในช่องโหว่กว่า 121 ตัวที่ได้รับการแพตช์ในรอบนี้ มีช่องโหว่กว่า 17 ตัวที่อยู่ในระดับ Critical โดยช่องโหว่ DogWalk ซึ่งเป็นช่องโหว่ชนิด Zero-day

ก็ได้รับการแพตช์ในรอบนี้ด้วย DogWalk มีรหัส CVE-2022-34713 เกิดขึ้นใน Microsoft Windows Support Diagnostic Tool (MSDT)

อยู่ในหมวดหมู่ Remote Code Execution Vulnerability ถูกค้นพบโดย Imre Rad ผู้เชี่ยวชาญทางด้านความมั่นคงปลอดภัยตั้งแต่เดือนมกราคม 2020

แต่ยังไม่ได้รับการแพตช์ เพราะขณะนั้นไม่จัดว่าเป็นช่องโหว่ทางด้านความปลอดภัยอย่างไรก็ตามหลังจากเกิดการโจมตีด้วยช่องโหว่ Follina บน MSDT 

ทำให้ DogWalk ได้รับการแพตช์ ส่วนช่องโหว่ Zero-day ในผลิตภัณฑ์อื่นๆนอกจาก Windows ก็ได้รับการแพตช์เช่นเดียวกัน เช่น ช่องโหว่ CVE-2022-30134

ที่เกิดขึ้นบน Microsoft Exchange ซึ่งทำให้ผู้โจมตีสามารถอ่านอีเมลของเป้าหมายได้

Microsoft CVE Summary

Microsoft August 2022 Patch Tuesday fixes exploited zero-day, 121 flaws

LockBit Ransomware Abuses Windows Defender to Deploy Cobalt Strike Payload

 

พบ LockBit Ransomware ใช้เครื่องมือบน Microsoft Defender ในการติดตั้ง Payload ที่เป็นอันตราย

ผู้เชี่ยวชาญจาก SentinelOne ได้ค้นพบข้อมูลใหม่เกี่ยวกับกลุ่ม ransomware-as-a-service (RaaS) อย่าง LockBit 3.0 ซึ่งพบว่ามีการใช้งาน Command-Line ของ Windows Defender

สำหรับการติดตั้ง Cobalt Strike หลังจากที่เข้าถึงเครื่อง VMware Horizon Server ของเป้าหมายโดยผ่านช่องโหว่ Log4Shell

รายละเอียดการโจมตี

เมื่อ LockBit 3.0 เข้าถึงเครื่องเป้าหมายได้แล้ว มันจะทำการรัน Tools ต่างๆ เพิ่มเติม เช่น Meterpreter, PowerShell Empire นอกจากนี้ยังใช้วิธีการใหม่ในการติดตั้ง Cobalt Strike

จริง ๆ แล้วเทคนิคนี้มีชื่อว่า living-off-the-land (LotL) คือการใช้ซอร์ฟแวร์ที่มีอยู่แล้วบนระบบมาใช้ประโยชน์ในการโจมตี ซึ่งก่อนหน้ามีการใช้ VMwareXferlogs.exe

ซึ่งเป็นซอร์ฟแวร์ของ VMware Horizon เพื่อติดตั้ง Cobalt Strike แต่ในครั้งนี้ จะใช้ MpCmdRun.exe ในการติดตั้งแทน ซึ่ง MpCmdRun.exe เป็นเครื่องมือรัน Command-Line

สำหรับใช้งานฟังก์ชันต่างๆ ใน ​​Microsoft Defender Antivirus นอกจากนี้ยังใช้สำหรับการสแกนหาไฟล์อันตราย, รวบรวมข้อมูลต่าง ๆ บนเครื่อง และยังสามารถ Restore Services ต่าง ๆ ไปยังเวอร์ชันก่อนหน้าได้

การทำงานเริ่มขึ้นหลังจากที่ LockBit 3.0 เข้าถึงเครื่องเหยื่อได้แล้ว มันจะทำการ ดาวน์โหลด Payload Cobalt Strike จากเซิร์ฟเวอร์ภายนอก จากนั้น payload ของ Cobalt Strike จะถูกถอดรหัส แล้วติดตั้งผ่านทาง Windows Defender utility ทันที

จะสังเกตได้ว่าผลิตภัณฑ์อย่าง VMware และ Windows Defender มีการใช้งานเป็นจำนวนมากในหลายองค์กร ซึ่งจะเป็นประโยชน์แก่ผู้ไม่หวังดี

หากผลิตภัณฑ์เหล่านี้สามารถทำงานได้เหนือกว่าการควบคุมของระบบ Security เช่นมีการ Exception VMwareXferlogs.exe หรือ MpCmdRun.exe ไว้ นอกจากนี้ ยังพบว่าผู้ให้บริการอย่าง

Initial access brokers (IABs) และ Managed service providers (MSPs) มักจะตกเป็นเป้าหมายหลักของ Ransomware เนื่องจากสามารถเข้าถึงอุปกรณ์ของลูกค้าอื่น ๆ ได้เป็นจำนวนมาก

LockBit Ransomware Abuses Windows Defender to Deploy Cobalt Strike Payload

New Linux malware brute-forces SSH servers to breach networks

 

มัลแวร์ตัวใหม่ภัยร้ายของผู้ใช้งาน Linux!!!

    มีการเผยถึง Malware ตัวใหม่ที่ถูกใช้งานตั้งแต่กลางเดือนมิถุนายน 2022 ด้วยวิธีการ brute-forces SSH servers to breach networksผู้เชี่ยวชาญพบว่ามันมีความคล้ายคลึงกับ Mirai Trojan แต่เปลี่ยนไปจากเดิมและไม่สามารถควบคุมการแพร่กระจายได้ Rapper Bot นั้นมีความสามารถในการใช้DDoS ที่จำกัดและการทำงานของมันดูเหมือนมุ่งไปที่การเข้าถึงเซิร์ฟเวอร์เริ่มต้นอย่างไรก็ตาม เป้าหมายของ RapperBot นั้นไม่ปรากฏชัดนอกจากนี้การลบการแพร่กระจายตนเองและการเพิ่มกลไกการคงอยู่และการหลีกเลี่ยงการตรวจจับบ่งชี้ว่าผู้ปฏิบัติงานของบ็อตเน็ตอาจสนใจในการเข้าถึงการขายเบื้องต้นสำหรับผู้เผยแพร่แรนซัมแวร์

New Linux malware brute-forces SSH servers to breach networks

Microsoft Exchange servers increasingly hacked with IIS backdoors

Exchange Server ถูกแฮ็กมากขึ้นด้วย IIS Backdoor

Microsoft ออกมาแจ้งเตือนเรื่องการพบผู้ไม่หวังดีได้หันมาใช้ Malicious IIS Extension สำหรับสร้าง Backdoor บน Exchange Server มากขึ้นเรื่อย ๆ เนื่องจากมีโอกาสในการถูกตรวจจับได้น้อยกว่าแบบ Web Shells สาเหตุหลัก ๆ คือ IIS เป็นฟีเจอร์ที่มีอยู่บน Server อยู่แล้วทำให้ผู้โจมตีสามารถแฝงตัวอยู่บนระบบได้อย่างสมบูรณ์แบบ

• ลักษณะการทำงาน

1. หลังจาก IIS Extension ถูกติดตั้งลงไปแล้ว ผู้โจมตีจะใช้มันเป็นช่องทางสำหรับการหาช่องโหว่ด้านความปลอดภัยต่าง ๆ บนระบบเครือข่ายของเหยื่อ
2. IIS Extension จะทำงานหลังจาก web shell ถูกใช้งานเป็นเพย์โหลดแรกในการโจมตี โมดูล IIS จะถูกปรับค่าให้สามารถเข้าควบคุมเซิร์ฟเวอร์ที่ถูกแฮ็กได้มากขึ้น และแฝงตัวอยู่บนระบบให้ผู้โจมตีสามารถกลับมาควบคุมเครื่องเหยื่อได้อย่างต่อเนื่อง
3. หลังจากโมดูล IIS ถูกปรับค่าใหม่ มันจะช่วยให้ผู้โจมตีสามารถเก็บรวบรวมข้อมูลสำคัญจากหน่วยความจำของระบบ รวบรวมข้อมูลจากเครือข่ายของเป้าหมาย และเซิร์ฟเวอร์ที่ถูกโจมตี
4. หลังจากรวบรวมข้อมูลส่วนตัว และเปิดช่องทางการเข้าถึงจากภายนอกแล้ว ผู้โจมตีจะทำการติดตั้ง Backdoor IIS ที่ชื่อว่า FinanceSvcModel.dll ในโฟลเดอร์ C:\inetpub\wwwroot\bin\ ซึ่ง Backdoor มีความสามารถในการจัดการ Exchange Server เช่น การจัดการ และ Export Mailbox ต่าง ๆ
   
   
   
   
   

• แนวทางการป้องกัน

1. อัปเดตแพตซ์เซิร์ฟเวอร์ Exchange ให้เป็นปัจจุบัน
2. เปิดใช้งาน Anti-Malware และ Security Solution
3. รีวิวสิทธิ์ของผู้ใช้งานอยู่เสมอ
4. จำกัดการเข้าถึงไดเรกทอรีของ IIS
   
   Microsoft Exchange servers increasingly hacked with IIS backdoors