Hackers stealing GitHub accounts using fake CircleCI notifications

 

แฮ็กเกอร์ใช้การแจ้งเตือน CircleCI ปลอมเพื่อแฮ็กบัญชีผู้ใช้ GitHub

    บัญชี GitHub ถูกแฮ็กโดยผู้ไม่ประสงค์ดีที่อ้างตัวเป็น CircleCI DevOps ผ่านทางการโจมตีด้วยฟิชชิ่งที่กำหนดเป้าหมาย ไปยังผู้ใช้งาน GitHub เพื่อขโมย credentials และ two-factor authentication (2FA)

ลักษณะการโจมตีของผู้ไม่ประสงค์ดี

• ผู้ไม่ประสงค์ดีจะทำการส่ง email ที่ระบุว่า "ข้อกำหนดของผู้ใช้ และนโยบายความเป็นส่วนตัวมีการเปลี่ยนแปลง และพวกเขาจำเป็นต้องลงชื่อเข้าใช้บัญชี GitHub เพื่อยอมรับการแก้ไข และใช้บริการต่อไป"

• โดยเป้าหมายของผู้ไม่ประสงค์ดีเพื่อขโมยข้อมูล credentials ของบัญชี GitHub และ two-factor authentication (2FA)
• หลังจากผู้ไม่ประสงค์ดีสามารถขโมย credentials ได้สำเร็จ จะทำการสร้าง personal access tokens (PATs) เพื่ออนุญาตโปรแกรม OAuth
• และเพิ่มคีย์ SSH ให้สามารถได้รับการเข้าถึงบัญชีโดยไม่ได้รับอนุญาต

โดเมนจริงของ CircleCI คือ [circleci.com] แต่โดเมนที่ใช้ส่งข้อความฟิชชิ่งจะมีดังต่อไปนี้

• circle-ci[.]com
• emails-circleci[.]com
• circle-cl[.]com
• email-circleci[.]com

การแก้ไข และการป้องกันการโจมตี

• GitHub ได้ระงับบัญชีที่คาดว่าเกี่ยวข้องกับการโจมตี และรีเซ็ตรหัสผ่านสำหรับผู้ใช้งานที่ได้รับผลกระทบ
• GitHub ได้ดำเนินการแก้ไขความปลอดภัยของบัญชี ซึ่งรวมถึงการแจ้งเตือนผู้ใช้งานที่ได้รับผลกระทบ
  
  Hackers stealing GitHub accounts using fake CircleCI notifications
  
  

Microsoft SQL servers hacked in TargetCompany ransomware attacks

Microsoft SQL Server ตกเป็นเป้าการโจมตีจาก TargetCompany ransomware

    ผู้เชี่ยวชาญด้านความปลอดภัยแจ้งเตือน Microsoft SQL Server ที่มีช่องโหว่ กำลังตกเป็นเป้าหมายในการโจมตีจากกลุ่ม FARGO Ransomware MS-SQL เซิร์ฟเวอร์ เป็นระบบจัดการฐานข้อมูลที่เก็บข้อมูลสำหรับบริการบนอินเทอร์เน็ต และแอพ การถูกโจมตีจากผู้ไม่ประสงค์ดีอาจทำให้เกิดผลกระทบทางธุรกิจที่รุนแรงได้โดยที่การโจมตีนี้มีเป้าหมายเพื่อการแบล็คเมล์ของเจ้าของฐานข้อมูลเป็นหลัก FARGO ransomware หรือที่รู้จักในชื่อ TargetCompany

    ผู้เชี่ยวชาญด้านความปลอดภัยที่ AhnLab Security Emergency Response Center (ASEC) กล่าวว่า FARGO เป็นหนึ่งใน Ransomware ที่โดดเด่นที่สุดที่มุ่งเน้นการโจมตีไปที่เซิร์ฟเวอร์ MS-SQL เช่นเดียวกันกับ GlobeImposte Malware ประเภทนี้เคยถูกเรียกว่า “Mallox” เพราะมันจะต่อท้ายนามสกุลของไฟล์ที่เข้ารหัสด้วย “.mallox”

    นอกจากนี้ Malware ประเภทนี้ยังคือตัวเดียวกับที่นักวิจัยจาก Avast ตั้งชื่อว่า “TargetCompany” ในรายงานเมื่อเดือนกุมภาพันธ์ โดยพบว่าไฟล์ที่เข้ารหัสอาจกู้คืนได้เป็นบางกรณี ข้อมูลทางสถิติเกี่ยวกับการโจมตีของ ransomware บนแพลตฟอร์ม ID Ransomware บ่งชี้ว่า FARGO มีการตรวจจับได้จำนวนมาก

    ผู้เชี่ยวชาญระบุว่าการโจมตีของ Ransomware จะเริ่มจากการที่ MS-SQL process บนเครื่องที่ถูกโจมตี ทำการดาวน์โหลดไฟล์ .NET โดยใช้ cmd.exe และ powershell.exe ระหว่างการโจมตีอาจมีการใช้งาน Malware ที่เป็นอันตรายอื่น ๆ รวมถึงการเรียกใช้ไฟล์ BAT เพื่อหยุดการทำงานบาง process หรือ services จากนั้น Ransomware Payload จะถูกแทรกเข้าไปใน AppLaunch.exe ซึ่งเป็น process ของ Windows ที่ถูกต้อง และจะพยายามลบ registry key ของ open-source ที่ใช้ป้องกัน Ransomware ที่ชื่อว่า Raccine นอกจากนี้ยังสามารถรันคำสั่งปิดการใช้งานการ recovery และหยุดการทำงานที่เกี่ยวข้องกับฐานข้อมูล และยังทำการเข้ารหัสฐานข้อมูลได้

   ARGO จะแยกซอฟต์แวร์ และไดเร็กทอรีบางส่วนออกจากการเข้ารหัสเพื่อป้องกันไม่ให้ระบบที่ถูกโจมตีใช้งานไม่ได้ เช่น หลาย ๆ ไฟล์ใน Microsoft Windows system ไดเร็กทอรี, ไฟล์สำหรับบู๊ตระบบ, Tor Browser, Internet Explorer, การปรับแต่ง และการตั้งค่าของผู้ใช้, ไฟล์บันทึกการดีบัก หรือ thumbnail database หลังจากการเข้ารหัสเสร็จสิ้น ไฟล์ที่ถูกเข้ารหัสจะถูกเปลี่ยนชื่อโดยใช้นามสกุล ".Fargo3" และมัลแวร์จะสร้างไฟล์เรียกค่าไถ่ที่ชื่อว่า “RECOVERY FILES.txt”

  เป้าหมายจะถูกขู่ว่าจะเปิดเผยข้อมูลที่ถูกขโมยมา ยกเว้นแต่ว่าเหยื่อจะยอมจ่ายค่าไถ่ Database servers มักโจมตีในรูปแบบ brute-force และ dictionary attacks ซึ่งเกิดจากการตั้งค่าบัญชีผู้ใช้งานที่ไม่ปลอดภัย แต่ก็มีบางกรณีที่เกิดจากการโจมตีด้วยช่องโหว่ที่ยังไม่ได้รับการอัปเดตแพตซ์ ผู้ดูแลระบบ MS-SQL เซิร์ฟเวอร์ควรตรวจสอบว่ามีการใช้รหัสผ่านที่รัดกุมเพียงพอ และไม่ซ้ำกัน นอกจากนี้การอัปเดตแพตซ์ช่องโหว่อยู่อย่างสม่ำเสมอก็จะช่วยลดความเสี่ยงจากการถูกโจมตีได้

Microsoft SQL servers hacked in TargetCompany ransomware attacks

Microsoft: Exchange servers hacked via OAuth apps for phishing

Microsoft Exchange ถูกแฮ็กเพื่อส่ง Phishing Email ขโมยข้อมูลบัตรเครดิตของผู้ใช้งาน

    Microsoft ตรวจพบผู้ไม่หวังดีสามารถเข้าถึง Microsoft Exchange ของผู้ใช้งานที่อยู่บนระบบคลาวด์ได้สำเร็จด้วยการโจมตีแบบ Credential Stuffing Attacks เป้าหมายในการโจมตีครั้งนี้คือ Deploy OAuth Application ที่เป็นอันตราย และส่ง Phishing Email เพื่อขโมยข้อมูลบัตรเครดิตของผู้ใช้ สาเหตุหลักๆที่ทำให้เกิดเหตุการณ์นี้คือบัญชี High Privileged บนระบบคลาวด์ไม่ได้เปิดใช้งาน Multi-factor Authentication (MFA) ทำให้ผู้ไม่หวังดีสามารถเข้าถึงระบบได้ Credential Stuffing Attack เป็นการโจมตีในรูปแบบการใช้ข้อมูลต่าง ๆ ที่เคยรั่วไหลออกมาก่อนหน้าจากเว็ปไซต์ หรือบริการต่าง ๆ เช่น E-Mail และ Password นำไปลองใช้เข้าสู่ระบบบนเว็บไซต์อื่น ๆ โดยสาเหตุที่ทำให้สามารถเข้าถึงข้อมูลได้เป็นจำนวนมาก เนื่องจากผู้ใช้งานส่วนใหญ่ตั้งบัญชีผู้ใช้ และรหัสผ่านเดียวกันในเว็ปไซต์ และบริการต่าง ๆ

ลักษณะการโจมตี

 เมื่อผู้โจมตีเข้าถึง Microsoft Exchange Server บนคลาวด์ได้สำเร็จแล้ว จะทำการสร้าง OAuth Application สำหรับเปิดการเชื่อมต่อที่เป็นอันตรายมายัง Exchange Server เมื่อเปิดการเชื่อมต่อถึงระบบ ผู้โจมตีจะอาศัยช่องทางนี้สร้าง Transport Rule ในการส่งข้อมูลเพื่อหลบการตรวจจับจากอุปกรณ์ต่าง ๆ จากนั้นจะส่ง Phishing Email ไปยัง Exchange Server เมื่อนำข้อมูลเข้า Exchange Server เรียบร้อยแล้ว มันจะทำการปิด Connection จากภายนอกทั้งหมด รวมถึงลบ Transport Rule ในการส่งข้อมูล เพื่อป้องกันไม่ให้ถูกตรวจพบ ในระหว่างนี้OAuth Application จะไม่มีการทำงานจนกว่าจะมีการนำเข้าข้อมูลใหม่อีกครั้ง

    การโจมตีเหล่านี้มีโครงสร้างพื้นฐานของการโจมตีมาจาก Amazon SES และ Mail Chimp ที่ใช้กันทั่วไปในการส่ง E-Mailหลังจากตรวจพบการโจมตี Microsoft ได้ลบ Application ทั้งหมดที่เชื่อมโยงกับการโจมตีนี้ มีการส่งการแจ้งเตือน และแนะนำมาตรการแก้ไขให้กับลูกค้าที่ได้รับผลกระทบทั้งหมด นอกจากนี้ยังพบว่าผู้โจมตียังมีการส่ง E-Mail Spam จำนวนมากภายในระยะเวลาอันสั้นด้วยวิธีการอื่น ๆ เช่น การเชื่อมต่อ Mail Server กับ IP อันตราย หรือการส่งโดยตรงจากระบบคลาวด์ที่มีการใช้งานอย่างถูกต้อง

Microsoft: Exchange servers hacked via OAuth apps for phishing

VMware and Microsoft are warning of a widespread Chromeloader malware campaign that distributes several malware families

 

VMware และ Microsoft เตือนถึงมัลแวร์ Chromeloader ที่ถูกใช้งานในการโจมตี

    VMware และ Microsoft ออกมาแจ้งเตือนถึงการโจมตีด้วย Malware Chromeloader เป็น extension ของ Chrome browser ที่เป็นอันตราย ซึ่งจัดอยู่ในประเภท pervasive browser hijacker ที่จะปรับเปลี่ยนการตั้งค่าของเบราว์เซอร์เพื่อเปลี่ยนเส้นทางการรับส่งข้อมูลของผู้ใช้ และดักจับคำค้นหาของผู้ใช้ใน search engines ยอดนิยม ไม่ว่าจะเป็น Google, Yahoo และ Bing โดยโค้ดที่เป็นอันตรายนั้นยังสามารถใช้ PowerShell เพื่อแทรกตัวเองลงในเบราว์เซอร์ และเพิ่ม extension ลงในเบราว์เซอร์ได้
    นักวิจัยจาก Red Canary สังเกตเห็นโฆษณาที่ใช้เป็นช่องทางในการส่งMalware ChromeLoader ที่จะทำการดักจับเบราว์เซอร์ของเหยื่อ โดยในสัปดาห์นี้ VMware และ Microsoft ได้ออกมาเตือนซึ่งจะติดตั้ง node-WebKit และ RansomwareMicrosoft มองว่าการโจมตีนี้มาจากผู้ไม่ประสงค์ดีใช้ชื่อชื่อว่า DEV-0796 พยายามสร้างรายได้จากการคลิกที่สร้างโดย browser node-webkit หรือ extension บนเบราว์เซอร์ที่เป็นอันตราย ซึ่งจะแอบติดตั้งไว้บนอุปกรณ์ของเหยื่อ

    การโจมตีนี้จะเริ่มต้นการโจมตีด้วยไฟล์ ISO ที่จะถูกดาวน์โหลดเมื่อผู้ใช้คลิกโฆษณาที่เป็นอันตรายหรือ YouTube comments เมื่อทำการเปิดไฟล์ ISO เบราว์เซอร์ node-webkit (NW.js) หรือ extension ของเบราว์เซอร์จะถูกติดตั้ง

ซึ่งผู้เชี่ยวชาญยังสังเกตเห็นว่าผู้โจมตีใช้ไฟล์ DMG เพื่อกำหนดเป้าหมายบนระบบ macOS อีกด้วย

VMware ได้เผยแพร่รายงานที่ให้รายละเอียดทางเทคนิคเกี่ยวกับ Chromeloader หลายตัวที่สังเกตเห็นตั้งแต่เดือนสิงหาคม และล่าสุดเมื่อปลายเดือนสิงหาคม ChromeLoader ถูกใช้เพื่อติดตั้ง ZipBombs ลงบนระบบที่ถูกโจมตี

    Malware นี้ถูกใช้เพื่อทำลายระบบด้วยการโหลดข้อมูลที่มากจนเกินไป ผู้เชี่ยวชาญยังสังเกตเห็นการใช้ ChromeLoader ดาวน์โหลด Enigma Ransomware ซึ่งส่งออกเป็นไฟล์แนบ HTML ที่พบในไฟล์ ISO โดยเมื่อเปิดไฟล์แนบ ก็จะมีการเปิดเบราว์เซอร์ และเรียกใช้จาวาสคริปต์ที่ฝังอยู่

  เทคนิคการโจมตีอื่น ๆ ที่โดดเด่น คือ OpenSubtitles ในเวอร์ชันปลอม ซึ่งเป็นโปรแกรมที่ช่วยให้ผู้ใช้ค้นหาคำบรรยายสำหรับภาพยนตร์ และรายการทีวีที่เป็นที่นิยม และ Flbmusic.exe เวอร์ชันปลอม ซึ่งเป็นโปรแกรมที่ใช้สำหรับการเล่นเพลงข้ามแพลตฟอร์ม Adware เป็นหนึ่งในการโจมตีที่พบบ่อยที่สุด โดยในการโจมตีนี้ได้ถูกพัฒนาไปอย่างมากในช่วงไม่กี่เดือนที่ผ่านมาโดยใช้ประโยชน์จาก powershell.exe และมีแนวโน้มที่จะนำไปสู่การโจมตีที่ซับซ้อนมากขึ้น

VMware and Microsoft are warning of a widespread Chromeloader malware campaign that distributes several malware families

Cyberspies drop new infostealer malware on govt networks in Asia

พบผู้ไม่ประสงค์ดีโจมตีด้วยการติดตั้ง Malware เพื่อขโมยข้อมูล ชนิดใหม่บนระบบของหน่วยงานรัฐในเอเชีย

    ผู้เชี่ยวชาญจาก Symentec พบพฤติกรรมการโจมตีที่มุ่งเน้นไปที่หน่วยงานรัฐในแถบเอเชีย เป้าหมายในครั้งนี้มีทั้งบริษัทการบินอวกาศและการป้องกันประเทศ, บริษัทโทรคมนาคมและองค์กรไอที โดยแฮ็กเกอร์ที่อยู่เบื้องหลังเหตุการณ์ดังกล่าวเป็นกลุ่มเดียวกับกลุ่มที่ใช้ "ShadowPad" RAT ในแคมเปญก่อนหน้านี้ แต่ในครั้งนี้ผู้โจมตีมีการใช้ Tools ที่หลากหลายมากขึ้นและจากการวิเคราะห์ของผู้เชี่ยวชาญ พบว่าการโจมตีนี้เกิดขึ้นตั้งแต่ต้นปี 2564 และยังดำเนินการต่อเนื่องมาจนถึงปัจจุบัน เป้าหมายของการโจมตีมีหน่วยงานรัฐดังต่อไปนี้

• ส่วนงานราชการ/สำนักนายกรัฐมนตรี
• สถาบันของรัฐที่เชื่อมโยงกับการเงิน
• บริษัทการบินอวกาศและการป้องกันของรัฐ
• บริษัทโทรคมนาคมของรัฐ
• หน่วยงานด้านไอทีของรัฐ
• หน่วยงานสื่อของรัฐ
• ลักษณะการโจมตี

    การโจมตีเริ่มต้นด้วยการติดตั้งไฟล์ . DLL ที่เป็นอันตราย โดยใช้วิธีการ Execute จากโปรแกรมปกติที่ที่อยู่บนเครื่องเพื่อโหลดไฟล์ .dat จากนั้นไฟล์จะถูกส่งไปยังเครื่องเป้าหมายผ่านวิธีการ side-loaded ซึ่งในครั้งนี้ผู้โจมตีใช้ Bitdefender Crash Handler ที่มีอายุ 11 ปีในการโจมตีเมื่อไฟล์ .dat เข้ามาในเครื่องแล้ว ข้างในจะมีเพย์โหลดที่ประกอบไปด้วย Shellcode อยู่ ซึ่ง Shellcode นี้สามารถใช้คำสั่งเพื่อดึงเพย์โหลดอื่นๆ ที่เป็นอันตรายมาติดตั้งเพิ่มเติมได้ โดยเป็นการเรียกจาก Memory โดยตรงสามวันหลังจาก Backdoor ถูกติดตั้งบนเครื่องเป้าหมาย ผู้โจมตีได้ทำการติดตั้งโปรแกรม ProcDump ลงไปเพื่อขโมย Credential ของผู้ใช้งานจาก Local Security Authority Server Service (LSASS) ซึ่งในวันเดียวกัน ทีม Penetration Testing ของบริษัท LadonGo ได้ทดสอบเจาะระบบโดยใช้วิธี DLL hijacking เพื่อทำการ side-loaded ด้วยเช่นกันอีกสองสัปดาห์ต่อมา ผู้โจมตีได้ทำการติดตั้ง Mimikatz ซึ่งเป็นหนึ่งในเครื่องมือที่ใช้กันแพร่หลายในการขโมยข้อมูลประจำตัวต่อมา ผู้โจมตีเริ่มมีการใช้ PsExec ในการเรียกใช้งาน Crash Handler เพื่อทำการ DLL hijacking ติดตั้งโหลดเพย์โหลดบนคอมพิวเตอร์อื่น ๆ ในเครือข่ายหนึ่งเดือนหลังจากการโจมตีครั้งแรก ผู้โจมตีได้สิทธิ์ High Privileged บนระบบที่สามารถสร้าง Account ใหม่ได้ นอกจากนี้ยังได้รับสิทธิ์ในการเข้าสู่ User Credentials และ log files บน Active Direcory ได้อีกด้วยเหตุการณ์สุดท้าย พบว่าผู้โจมตีมีการใช้ Fscan ในการโจมตีผ่านช่องโหว่ CVE-2021-26855 (Proxylogon) บน Exchange Servers บนเครือข่ายจากเหตุการณ์ดังกล่าว ผู้เชี่ยวชาญพบหนึ่งใน Tools ที่ใช้ในการโจมตีครั้งนี้คือ (Infostealer.Logdatter) โดยผู้โจมตีได้ทำมาแทนที่ ShadowPad ที่พบในแคมเปญก่อนหน้า มีความสามารถดังต่อไปนี้

• Keylogging
• จับภาพหน้าจอบนเครื่องเป้าหมาย
• การเชื่อมต่อและ Query ข้อมูลบน SQL Database
• การอ่านไฟล์และแก้ไขโค้ดใน Process
• การดาวน์โหลดไฟล์
• ขโมยข้อมูลจากคลิปบอร์ด

    นอกจาก Infostealer.Logdatter แล้ว ผู้โจมตียังมีการใช้งาน QuasarRAT, Nirsoft PassView, FastReverseProxy, PlugX, Trochilus RAT และสคริปต์ PowerSploit ต่างๆร่วมกันอีกด้วย และจากการวิเคราะห์ข้อมูล พบว่าแคมเปญนี้เชื่อมโยงกับกลุ่มแฮกเกอร์ที่ชื่อว่า APT41 ที่ได้รับการสนับสนุนจากรัฐบาลจีน และ Mustang Panda โดยอิงจาก Tools ที่มีลักษณะคล้ายกัน

แนวทางการป้องกัน

• อัพเดทซอฟต์แวร์ทั้งหมดให้เป็นเวอร์ชันปัจจุบัน
• ผู้ดูแลระบบควรหมั่นตรวจสอบกระบวนการทำงานของคอมพิวเตอร์ทุกเครื่องอย่างละเอียด
• ติดตามข่าวสารอย่างสม่ำเสมอ
  
  Cyberspies drop new infostealer malware on govt networks in Asia
  

Hackers Exploit Zero-Day in WordPress BackupBuddy Plugin in ~5 Million Attempts

 

พบการพยายามโจมตีกว่า 5 ล้านครั้ง จากช่องโหว่ Zero-Day ของ Plugin บน WordPress

    WordPress Security (Wordfence) เปิดเผยว่า พบช่องโหว่ Zero-Day จาก Plugin ใน WordPress ที่มีชื่อว่า BackupBuddy ถูกนำมาใช้ในการโจมตีอย่างแพร่หลาย

โดยช่องโหว่ถูกพบครั้งแรกเมื่อวันที่ 26 สิงหาคม 2565 และมีการพยายามที่จะโจมตีกว่า 5 ล้านครั้งแต่ถูก Block ไว้ได้ทั้งหมด BackupBuddy เป็น Plugin ที่ช่วยให้ผู้ใช้งานสามารถสำรองข้อมูลทั้งหมดของตัวเองใน WordPress เช่นข้อมูลการติดตั้ง WordPress ธีม เพจ โพสต์ วิดเจ็ต ข้อมูลผู้ใช้ และไฟล์มีเดีย เป็นต้น

รายละเอียดของช่องโหว่

   ช่องโหว่ Zero-Day BackUpBuddy มีหมายเลข CVE-2022-31474 คะแนน CVSS: 7.5 ซึ่งคาดว่ามีเว็บไซต์ที่ใช้งาน Plugin ดังกล่าวอยู่ประมาณ 140,000 เว็บไซต์ โดยช่องโหว่นี้สามารถทำให้ผู้ไม่ประสงค์ดีสามารถดาวน์โหลดไฟล์ได้ตามที่ต้องการ โดยไม่ผ่านการตรวจสอบสิทธิ์จากเว็บไซต์ ซึ่งปัญหานี้เกิดจากฟังก์ชันที่เรียกว่า "Local Directory Copy" ที่ออกแบบมาเพื่อจัดเก็บสำเนาข้อมูลสำรองในเครื่อง

นอกจากนี้ยังมีการรวบรวม IP ที่มีการการโจมตีสูงสุด 10 อันดับแรกตามรายการดังนี้

• 195.178.120.89 with 1,960,065 attacks blocked
• 51.142.90.255 with 482,604 attacks blocked
• 51.142.185.212 with 366770 attacks blocked
• 52.229.102.181 with 344604 attacks blocked
• 20.10.168.93 with 341,309 attacks blocked
• 20.91.192.253 with 320,187 attacks blocked
• 23.100.57.101 with 303,844 attacks blocked
• 20.38.8.68 with 302,136 attacks blocked
• 20.229.10.195 with 277,545 attacks blocked
• 20.108.248.76 with 211,924 attacks blocked

  รายละเอียดเพิ่มเติมเกี่ยวกับช่องโหว่ยังไม่มีการเปิดเผย เนื่องจากการการโจมตีอาจจะเกิดขึ้นเป็นวงกว้างและเนื่องจากช่องโหว่ดังกล่าวอาจจะสามารถโจมตีได้ง่ายโดยช่องโหว่อาจทำให้ผู้ไม่ประสงค์ดีสามารถเข้าดูเนื้อหาของไฟล์ใด ๆ ก็ตามบนเซิร์ฟเวอร์ที่สามารถอ่านได้จาก WordPress รวมไปถึงไฟล์ที่มีความสำคัญ ซึ่งพบว่าข้อมูลจากการโจมตีส่วนใหญ่เป็นการพยายามเข้าถึงไฟล์ตามรายการด้านล่าง

• /etc/passwd
• /wp-config.php
• .my.cnf
• .accesshash

Version ที่ได้รับผลกระทบ

• BackUpBuddy version 8.5.8.0 - 8.7.4.1

คำแนะนำ

• ทำการอัปเดต BackupBuddy เป็น Version 8.7.5
• หากพบว่ามีการเข้าถึงข้อมูลของผู้ใช้งาน ให้ทำการ Reset Database Password
• เปลี่ยน WordPress Salts (รหัสที่ช่วยรักษาความปลอดภัยการเข้าสู่ระบบของไซต์ WordPress)
• เปลี่ยน API keys ที่เก็บไว้ใน wp-config.php

Hackers Exploit Zero-Day in WordPress BackupBuddy Plugin in ~5 Million Attempts

Apple fixes eighth zero-day used to hack iPhones and Macs this year

 

Apple ได้แก้ไข Zero-day เป็นครั้งที่แปดในรอบปี บนอุปกรณ์ iPhone และ Mac

    Apple ได้ออกเผยแพร่การ Update ปัญหาด้านความปลอดภัยล่าสุดที่ได้รับการแก้ไขเป็นครั้งที่ 8 ในรอบปีซึ่งปัญหาในการโจมตีดังกล่าวถูกพบบนอุปกรณ์ iPhone และ MAC

    ในการเปิดเผยของ Apple ว่าพวกเขาทราบรายงานที่ระบุว่ามีความบกพร่องด้านความปลอดภัยนี้ อาจจะถูกนำไปใช้งานอย่างแพร่หลาย โดยถูกใช้โดยกลุ่มผู้ไม่ประสงค์ดี

• ช่องโหว่แรกถูกติดตามเป็นเลข (CVE-2022-32917) ที่อนุญาตให้ Application ที่ผู้ไม่ประสงค์ดีสร้างขึ้นและสามารถรันคำสั่งที่แฝงไว้ได้โดยอัตโนมัติด้วย Kernel
• ช่องโหว่ที่สองถูกติดตามเป็นเลข (CVE-2022-32894) ที่เป็นช่องโหว่ที่ช่วยให้ผู้ไม่ประสงค์ดีสามารถรันคำสั่งจากระยะไกลโดยหลอกล่อให้เป้าหมายไปที่เว็บไซต์ที่ออกแบบมาเพื่อประสงค์ร้ายภายใต้การควบคุมของผู้ไม่ประสงค์ดี

    มีผู้เชี่ยวชาญด้านความปอลดภัยรายหนึ่ง(ไม่เอยนาม) ได้รายงานไปยัง Apple ถึงอุปกรณ์ที่อาจจะได้รับผลกระทบประกอบด้วย

• iPhone 6s และใหม่กว่า
• iPad Pro (ทุกรุ่น)
• iPad Air 2 และใหม่กว่า
• iPad รุ่นที่ 5 และใหม่กว่า
• iPad mini 4 และใหม่กว่า
• iPod touch (รุ่นที่ 7)
• Mac ที่ใช้ macOS Big Sur 11.7
• macOS Monterey 12.6

แนะนำให้ทำการอัพเดท Patch ล่าสุดจากทาง Apple ให้กลุ่มผู้ใช้ได้ดำเนินการแก้ไขอุปกรณ์ของตนให้ได้มากที่สุดก่อนที่ผู้ไม่ประสงค์ดีจะพัฒนาช่องโหว่ของตนเองและเริ่มปรับใช้ในการโจมตีที่กำหนดเป้าหมายไปยัง iPhone และ Mac ที่มีช่องโหว่

แพทซ์ที่แนะนำให้อัพเดทมีดังนี้

• iOS 15.7 (เพื่อแก้ไขช่องโหว่ที่พบ)

• iOS 16 (Ref: https://www.apple.com/newsroom/2022/09/ios-16-is-available-today/)

• iPadOS 15.7
• macOS Monterey 12.6
• macOS Big Sur 11.7

Apple fixes eighth zero-day used to hack iPhones and Macs this year

EvilProxy Phishing-As-A-Service With MFA Bypass Emerged In Dark Web

 

บริการใหม่ EvilProxy ช่วยให้แฮ็กเกอร์โจมตีด้วย Phishing ได้มีประสิทธิภาพมากขึ้น

   ผู้เชี่ยวชาญจาก Resecurity รายงานเกี่ยวกับการโจมตีด้วย Phishing-as-a-Service (PhaaS) ที่ใช้ชื่อว่า EvilProxy หรืออีกชื่อคือ Moloch โดยถูกพบครั้งแรกเมื่อต้นเดือนพฤษภาคม 2565 ซึ่งมีเป้าหมายคือการขโมย Token สำหรับ Bypass MFA (Multi-factor authentication) บนระบบ Apple, Google, Facebook, Microsoft, Twitter, GitHub, GoDaddy, และ PyPI โดยแคมเปญนี้ใช้วิธีการ Reverse Proxy เพื่อหลีกเลี่ยง MFA ซึ่ง Reverse proxy จะเป็น Server ที่อยู่ระหว่างผู้ใช้งานกับ Server ปลายทาง

ลักษณะการโจมตี

• เมื่อผู้ใช้งานเข้าสู่ไซต์ Phishing EvilProxy จะแสดงหน้า login ที่เป็นของเว็บไซต์ปลายทางจริง ซึ่งทำให้หากผู้ใช้งานมีการเรียกใช้งานเมนูต่าง ๆ บนไซต์ มันจะทำการส่งต่อ Request ที่ถูกเรียกไปยัง Server ปลายทางจริง และทำการ Return สิ่งที่ Server ปลายทางจริงตอบกลับไปยังผู้ใช้งาน
• เมื่อผู้ใช้งานกรอกข้อมูลประจำตัว และ MFA บนไซต์ Phishing แล้ว Request เหล่านี้ก็จะถูกส่งไปยัง Server ปลางทางตามปกติ เมื่อผู้ใช้งานเข้าสู่ระบบสำเร็จ Cookie Session นั้นจะถูกส่งกลับคืนมายังผู้ใช้งาน
• ระหว่างที่ Cookie Session ถูกส่งกลับคืนมายังผู้ใช้ EvilProxy จะทำการดักจับ Session ดังกล่าว และเปลี่ยนเส้นทางการใช้งานของผู้ใช้งานไปยังปลายทางอื่น โดยผู้โจมตีจะใช้ Cookie Session ที่ได้มานี้เพื่อลงชื่อเข้าใช้ไซต์ในฐานะผู้ใช้งานได้

    นอกจากนี้ EvilProxy ยังมีระบบ anti-analysis และ anti-bot เพื่อป้องกันผู้เชี่ยวชาญด้านความปลอดภัยทำการตรวจสอบช่องทางที่ใช้ในการโจมตีและวิธีการของผู้ไม่ประสงค์ดีอีกด้วยจากการตรวจสอบเพิ่มเติมจาก Resecurity พบว่า EvilProxy มี GUI ที่ใช้งานง่าย และมีหลายแพ็คเกจให้เลือกใช้งาน เช่น แพ็คเกจขโมย Cookie Session ราคาเริ่มต้นที่ 150 ดอลลาร์สำหรับ 10 วัน, 250 ดอลลาร์สำหรับ 20 วัน หรือ 400 ดอลลาร์สำหรับ 1 เดือน นอกจากนี้ยังมีฟังก์ชันอื่น ๆ เช่น ขโมยบัญชี Google โดยราคาจะเพิ่มขึ้นตามฟังก์ชันที่เลือก ล่าสุดยังมีรายงานว่า EvilProxy ได้อัพโหลดวิดิโอสอนการใช้งานอย่างละเอียดให้กับลูกค้า ทำให้ผู้ไม่หวังดีที่ไม่มีทักษะก็สามารถโจมตีผู้อื่นได้เช่นกัน

EvilProxy Phishing-As-A-Service With MFA Bypass Emerged In Dark Web

New Stealthy Shikitega Malware Targeting Linux Systems and IoT Devices

 

Stealthy Shikitega มัลแวร์ตัวใหม่มุ่งเป้าไปที่ระบบปฏิบัติการ Linux และอุปกรณ์ IoT

    Shikitega เป็นมัลแวร์บน Linux ตัวใหม่ ที่ถูกพบว่าใช้วิธีการโจมตีหลายขั้นตอนเพื่อเข้าควบคุมเครื่อง และอุปกรณ์ IoTAT&T Alien Labs ระบุในรายงานถึงผู้โจมตีที่สามารถเข้าควบคุมระบบได้อย่างสมบูรณ์ นอกจากนั้นยังมีการติดตั้งมัลแวร์สำหรับขุดเหรียญ cryptocurrency รวมไปถึงวิธีการอื่น ๆ ที่ทำให้สามารถแฝงตัวอยู่บนระบบได้

    ปัจจุบันเริ่มมีการพบ Linux malware มากขึ้นเรื่อย ๆ ในช่วงไม่กี่เดือนที่ผ่านมา เช่น BPFDoor, Symbiote, Syslogk, OrBit และ Lightning Frameworkเมื่อสามารถติดตั้งลงบนเครื่องเหยื่อที่เป็นเป้าหมาย ตัวมัลแวร์จะเริ่มทำการดาวน์โหลด และเรียกใช้งานเครื่องมือที่ชื่อว่า "Mettle" ของ Metasploit เพื่อเข้าควบคุมระบบ และใช้ประโยชน์จากช่องโหว่อื่น ๆ เพื่อทำการยกระดับสิทธิ์ เพิ่ม crontab เพื่อทำให้ตัวมันสามารถแฝงตัวทำงานอยู่บนเครื่องเหยื่อได้ และแอบติดตั้ง มัลแวร์สำหรับขุดเหรียญ cryptocurrency บนเครื่องเหยื่ออีกด้วยวิธีการที่ผู้โจมตีใช้ในการโจมตีเป็นขั้นตอนแรกนั้นยังไม่ทราบแน่ชัด แต่สิ่งที่ทำให้ Shikitega สามารถหลบเลี่ยงการตจรวจจับได้คือ ความสามารถในการดาวน์โหลดเพย์โหลดจากเซิร์ฟเวอร์ command-and-control (C2) และสั่งรันโดยตรงในหน่วยความจำ

    ส่วนการยกระดับสิทธิ์มักจะทำได้โดยใช้ประโยชน์จากช่องโหว่ CVE-2021-4034 (aka PwnKit) และ CVE-2021-3493 เพื่อทำให้ผู้โจมตีได้สิทธิ์ root ในการรัน shell scripts เพื่อแฝงตัวอยู่บนระบบต่อ และติดตั้ง Monero crypto miner ในการหลีกเลี่ยงการตรวจจับ ผู้โจมตีจะใช้ "Shikata ga nai" ซึ่งเป็นตัวเข้ารหัสแบบ polymorphic ซึ่งทำให้ยากต่อการตรวจจับโดย antivirus engines ส่วน command-and-control (C2) ก็จะใช้บริการคลาวด์ที่ได้รับความนิยมโดยทั่วไป

    มัลแวร์ Shiketega มีรูปแบบที่ค่อนข้างซับซ้อน นอกจากการใช้ตัวเข้ารหัสแบบ polymorphic และค่อย ๆ ส่งเพย์โหลดแล้ว ในแต่ละขั้นตอนก็จะเผยให้เห็นข้อมูลของเพย์โหลดเพียงแค่บางส่วนเท่านั้น

New Stealthy Shikitega Malware Targeting Linux Systems and IoT Devices

QNAP Warns of New DeadBolt Ransomware Attacks Exploiting Photo Station Flaw

 

QNAP เตือน DeadBolt ransomware ตัวใหม่ที่ใช้ประโยชน์จากช่องโหว่ของ Photo Station

    QNAP ได้ออกคำแนะนำใหม่ให้ผู้ใช้งานอุปกรณ์จัดเก็บข้อมูลที่เชื่อมต่อกับเครือข่าย (NAS) อัปเดตเป็น Photo Station เวอร์ชันล่าสุดหลังจากมีการโจมตีจาก DeadBolt ransomware อีกระลอกหนึ่งโดยใช้ช่องโหว่ Zero - day ในซอฟต์แวร์ บริษัทกล่าวว่าได้ตรวจพบการโจมตีเมื่อวันที่ 3 กันยายน โดยมุ่งเป้าไปที่อุปกรณ์ QNAP NAS ที่ใช้งาน Photo Station ซึ่งเวอร์ชันต่อไปนี้ได้รับการแก้ไขแล้ว

- QTS 5.0.1: Photo Station 6.1.2 and later

- QTS 5.0.0/4.5.x: Photo Station 6.0.22 and later

- QTS 4.3.6: Photo Station 5.7.18 and later

- QTS 4.3.3: Photo Station 5.4.15 and later

- QTS 4.2.6: Photo Station 5.2.14 and later

ณ ตอนนี้รายละเอียดของช่องโหว่ยังไม่ชัดเจน แต่บริษัทก็แนะนำให้ผู้ใช้งานปิดการใช้งานการส่งต่อพอร์ตบนเราเตอร์ เพื่อป้องกันไม่ให้อุปกรณ์ NAS เข้าถึงบนอินเทอร์เน็ต และอัพเกรดเฟิร์มแวร์ NAS โดยใช้รหัสผ่านที่รัดกุมสำหรับบัญชีผู้ใช้งาน และทำการสำรองข้อมูลเป็นประจำเพื่อป้องกันการสูญเสียข้อมูล

QNAP Warns of New DeadBolt Ransomware Attacks Exploiting Photo Station Flaw

New ransomware hits Windows, Linux servers of Chile govt agency

หน่วยงานรัฐของประเทศชิลีถูก Ransomware ชนิดใหม่โจมตี เป้าหมายคือ Microsoft Server และ VMware ESXi Server

    ทีม Cyber Security Incident Response (CSIRT) ของชิลีได้ออกมารายงานว่าถูกโจมตีด้วย Ransomware ส่งผลกระทบต่อการดำเนินงานและ Online Service ของหน่วยงานรัฐบาลในประเทศ

รายละเอียดการโจมตี

• การโจมตีเกิดขึ้นในวันพฤหัสบดีที่ 25 สิงหาคม 2565 โดยมีเป้าหมายคือ Microsoft Server และ VMware ESXi Server
• บน ESXi Server แรนซัมแวร์เริ่มต้นโดยหยุดการทำงานของระบบที่เป็น VM ทั้งหมด จากนั้นใช้อัลกอริทึม NTRUEncrypt public key ในการเข้ารหัส โดยเป้าหมายคือไฟล์ประเภท log files (.log), executable files (.exe), dynamic library files (.dll), swap files (.vswp), virtual disks (. vmdk), snapshot (.vmsn) files, และ virtual machine memory (.vmem) files
• เมื่อเข้ารหัสเรียบร้อยแล้ว ไฟล์นามสกุลจะถูกต่อท้ายด้วย ".crypt"
• จากนั้นผู้โจมตีได้เสนอช่องทางให้รัฐบาลชิลีเพื่อชำระเงินค่าไถ่ โดยกำหนดเวลาไว้ที่ 3 วัน ก่อนมีการขายข้อมูลสู่ DarkWeb
• ส่วนระบบปฏิบัติการ Windows มัลแวร์จะใช้ชื่อว่า SecurityUpdate โดยทำการเพิ่ม Reistry เพื่อให้ตัวมันทำงานทันทีหลังมีการเปิดเครื่อง

    จากเหตุการณ์ดังกล่าว CSIRT ไม่ได้ชี้แจงว่าถูกมัลแวร์ชนิดใดโจมตี เพียงระบุว่ามัลแวร์ที่พบครั้งนี้มีฟังก์ชันสำหรับขโมยข้อมูลประจำตัวจากเว็บเบราว์เซอร์, แสดงรายการ Removable devices ที่สามารถเข้ารหัส และหลบเลี่ยงการตรวจจับการป้องกันไวรัสโดยใช้การตั้ง Time Out ในการ Execute File

แต่จากพฤติกรรมของมัลแวร์ พบว่าตรงกับแรนซัมแวร์ 'RedAlert' (หรือที่รู้จักว่า "N13V") ที่เปิดตัวไปเมื่อเดือนกรกฎาคม พ.ศ. 2565 ซึ่งปกติ RedAlert จะใช้ extension ".crypt" ในการโจมตี เป้าหมายหลักๆของแรนซัมแวร์ชนิดนี้คือ Windows และ VMWare ESXi Server ส่วนลักษณะการทำงานก็ตรงกับที่รัฐบาลชิลีพบ คือจะหยุดการทำงานของระบบ VM ทั้งหมดก่อนที่จะเข้ารหัส นอกจากนี้ยังใช้อัลกอริทึม NTRUEncrypt public key ในการเข้ารหัสอย่างไรก็ตามผู้เชี่ยวชาญจาก BleepingComputer ได้ยืนยันจากข้อมูลที่ได้รับว่า Ransomware นี้ไม่มีการสร้างไฟล์เรียกค่าไถ่ขณะเข้ารหัส แต่ใช้การวางไฟล์ก่อนเข้ารหัสแทน คาดว่าเป็นวิธีการหนึ่งที่ใช้ในการปกปิดตัวตนของผู้โจมตี นอกจากนี้ยังใช้วิธีสร้างลิงก์ไปยังเว็บไซต์ที่ไม่ซ้ำกันในเครือข่าย Tor Browser และต้องระบุรหัสผ่านเพื่อเข้าสู่ระบบด้วย

แนวทางการป้องกัน

• ตั้งค่า Policy บน Firewall และ Antivirus ให้เหมาะสม
• Update Patch VMware และ Microsoft ให้เป็นเวอร์ชันล่าสุด
• Backup ข้อมูลอยู่สม่ำเสมอ
• สร้าง Awareness ให้กับพนักงาน
• จำกัดการเข้าถึงเครือข่าย และกำหนดสิทธิ์การเข้าถึงระบบต่าง ๆ

New ransomware hits Windows, Linux servers of Chile govt agency

Uptime Kuma ตรวจสอบ Uptime ของ Server ที่ต้องการ

 จากบทความเมื่อนานมาแล้ว ทดสอบติดตั้งใช้งาน Uptime Robot ไป

ตอนนี้ จะทดสอบติดตั้ง Software ประเภทเดียวกัน ซึ่งสามารถติดตั้งใช้งานได้ฟรี ไม่มีค่าใช้จ่าย (ต้องหา Host เอง)

สำหรับท่านที่ เข้าใจ Docker Concept แล้ว ก็จะง่ายหน่อยครับ 

เพียงแค่ 
docker run -d --restart=always -p 3001:3001 -v uptime-kuma:/app/data --name uptime-kuma louislam/uptime-kuma:1

เท่านี้ ก็สามารถใช้งานได้ แล้ว 

ลองดูตัวอย่างการใช้งาน 

หน้าแรกหลังจากเข้าระบบ 

หน้าเพิ่ม Host ที่ต้องการ Monitor

มีอื่น ๆ ที่น่าสนใจอีกมา ลองกันดูครับ 

ข้อมูลเพิ่มเติม
https://uptime.kuma.pet/
https://github.com/louislam/uptime-kuma

SharkBot malware sneaks back on Google Play to steal your logins

Malware Sharkbot ถูกพบอีกครั้งบน Google Play เพื่อขโมยข้อมูลการล็อกอินเข้าระบบ

    มีการพบ Malware ที่ใช้ชื่อว่า Sharkbot ที่เคยออกอาละวาดมาแล้วครั้งหนึ่งแต่มันกลับมาพร้อมกับความน่ากลัวกว่าเดิมด้วยการ Update คุณสมบัติต่าง ๆ ที่มากขึ้นและในรอบนี้มันกลับมาโจมตีที่ Play Store ของ Google กลุ่มเป้าหมายเป็นกลุ่มธนาคารและผู้ใช้ที่ใช้ Android

    Malware มีอยู่ในแอปที่ไม่มีโค้ดที่เป็นอันตรายก่อนส่งไปตรวจสอบอัตโนมัติของ Google และเริ่มกระบวนการติดตั้งSharkbot เข้ามาหลังจากที่ตรวจสอบเสร็จสิ้นและจะเริ่มทำงานเมื่อเปิด App Dropper โดย Fox IT ได้ออกมาเปิดเผยถึงชื่อของ Applicationทั้งสอง Mister Phone Cleaner และ Kylhavy Mobile Security ซึ่งถูกดาวน์โหลดไปแล้วกว่า 50,000 ครั้ง ทั้งสองแอปพลิเคชันถูกลบออกจาก Google Play แล้ว แต่ผู้ใช้ที่ติดตั้งยังคงมีความเสี่ยงและควรลบออกด้วยตนเอง

    ผู้เชี่ยวชาญด้านความปลอดภัยของบริษัท Cleafy บริษัทจัดการและป้องกันการโกงออนไลน์ของอิตาลี ค้นพบ SharkBotในเดือนตุลาคม 2564 ในเดือนมีนาคม 2565 กลุ่ม NCC พบแอปแรกที่ดำเนินการบน Google Playในขณะนั้น มัลแวร์สามารถทำการโจมตีแบบ Over-lay ขโมยข้อมูลผ่านการ Lock key สกัดกั้นข้อความ SMS หรือให้ผู้ไม่ประสงค์ดีสามารถควบคุมอุปกรณ์จากระยะไกลได้

ในเดือนพฤษภาคม พ.ศ. 2565 นักวิจัยที่ ThreatFabric พบ SharkBot 2  ที่มาพร้อมกับ Algrolithum การสร้างโดเมน (DGA) โปรโตคอลการสื่อสารที่อัปเดต และโค้ดที่ปรับโครงสร้างใหม่ทั้งหมด

นักวิจัยที่ Fox IT ค้นพบ Malware New Version (2.25) เมื่อวันที่ 22 สิงหาคม ซึ่งเพิ่มความสามารถในการขโมย Cookie จากการเข้าสู่ระบบบัญชีธนาคาร นอกจากนี้ App Dropper ใหม่จะไม่ละเมิดบริการการเข้าถึงเหมือนที่เคยทำมาก่อน dropper จะส่งคำขอไปยังเซิร์ฟเวอร์ C2 เพื่อรับไฟล์ APK ของ Sharkbot โดยตรง มันจะไม่ได้รับลิงค์ดาวน์โหลดพร้อมกับขั้นตอนในการติดตั้งมัลแวร์โดยใช้คุณสมบัติ

'ระบบถ่ายโอนอัตโนมัติ' (ATS)

Cookie-loving shark

    Over Lay Block SMS Remote Control และ Lock Key ยังคงมีอยู่ใน Sharkbot 2.25 แต่มีการเพิ่มตัวบันทึก Cookie ใว้ด้วย

    คุกกี้มีความจำเป็นในการเข้าควบคุมบัญชี เนื่องจากมีซอฟต์แวร์และพารามิเตอร์ตำแหน่งเลี่ยงต่อการตรวจสอบลายนิ้วมือ หรือ โทเค็นการตรวจสอบสิทธิ์ของผู้ใช้เองในระหว่างการสอบสวน Fox IT ได้สังเกตเห็นแคมเปญ SharkBot ใหม่ในยุโรป (สเปน ออสเตรีย เยอรมนี โปแลนด์ ออสเตรีย) และสหรัฐอเมริกา นักวิจัยสังเกตเห็นว่ามัลแวร์ใช้ในการโจมตีคุณลักษณะคีย์ล็อกกิ้งและขโมยข้อมูลที่ละเอียดอ่อนจากแอปอย่างเป็นทางการ เป้าหมายด้วยมัลแวร์เวอร์ชันปรับปรุงที่มีอยู่ Fox IT คาดว่าแคมเปญ SharkBot จะดำเนินต่อไปและวิวัฒนาการของมัลแวร์

SharkBot malware sneaks back on Google Play to steal your logins

Microsoft will disable Exchange Online basic auth next month

 

Microsoft ประกาศถึงผู้ใช้งาน Exchange จะทำการปิดการใช้งาน ระบบยืนยันตัวตนแบบพื้นฐาน ภายในเดือนหน้า

    Microsoft ออกประกาศแจ้งถึงผู้ใช้งาน Microsoft Exchange ว่าจะทำการปิดการใช้งานในส่วนของ ระบบการยืนยันบุคคลขั้นพื้นฐาน เพื่อปรับปรุงระบบให้มีความปลอดภัยมากยิ่งขึ้นโดยกำหนดการจะเริ่มตั้งแต่ 1 กันยายน 2022 และไม่ได้กำหนดวันในการเปิดให้บริการ

"ตั้งแต่วันที่ 1 ตุลาคม เราจะเริ่มสุ่มเลือกผู้เช่าและปิดใช้งานการเข้าถึงการตรวจสอบสิทธิ์ขั้นพื้นฐานสำหรับ MAPI, RPC, สมุดรายชื่อออฟไลน์ (OAB), Exchange Web Services (EWS), POP, IMAP, Exchange ActiveSync (EAS) และ Remote PowerShell " ทีม Exchange กล่าวในวันนี้

    Redmond กล่าวว่าข้อความที่ประกาศการย้ายนี้จะถูกโพสต์ไปยัง Windows Message Center เจ็ดวันก่อนการเปิดตัว ผู้ใช้งานจะได้รับแจ้งผ่านการแจ้งเตือน Service Health Dashboard เมื่อปิดใช้งานการตรวจสอบสิทธิ์พื้นฐาน สำหรับผู้ใช้ที่จะปิดใช้งานรูปแบบการรับรองความถูกต้องนี้ ผู้ใช้จะยังคงสามารถเปิดใช้งานได้อีกครั้งหนึ่งต่อ Protocol โดยใช้การวินิจฉัยแบบบริการตนเองจนถึงสิ้นเดือนธันวาคม 2022 อย่างไรก็ตาม Protocol "จะถูกปิดใช้งานสำหรับการตรวจสอบสิทธิ์ขั้นพื้นฐานอย่างถาวร" ในช่วงสัปดาห์แรกของเดือนมกราคม 2023 โดยจะไม่มีทางใช้การตรวจสอบสิทธิ์แบบพื้นฐานได้อีกจนถึงขณะนี้ Microsoft กล่าวว่าได้ปิดใช้งานการตรวจสอบสิทธิ์ขั้นพื้นฐานในผู้ใช้หลายล้านรายที่ไม่ได้ใช้งานและยังสลับโปรโตคอลที่ไม่ได้ใช้ภายในผู้ใช้ที่ยังคงใช้เพื่อป้องกันการโจมตีที่ใช้ประโยชน์จากรูปแบบการตรวจสอบสิทธิ์ที่ไม่ปลอดภัยนี้

เหตุใด Microsoft จึงปิดใช้งานการรับรองความถูกต้องพื้นฐาน

    การรับรองความถูกต้องพื้นฐาน (หรือที่เรียกว่าการตรวจสอบสิทธิ์แบบเดิมหรือการตรวจสอบพร็อกซี) เป็น Application รูปแบบการตรวจสอบสิทธิ์แบบ HTTP ที่ใช้สำหรับการส่งข้อมูลประจำตัวในรูปแบบข้อความธรรมดาไปยังเซิร์ฟเวอร์ปลายทาง หรือบริการต่าง ๆ ด้วยเหตุนี้ช่วยให้ผู้ไม่ประสงค์ดีสามารถขโมยข้อมูลประจำตัวในการโจมตีแบบผ่าน TLS หรือคาดเดาแบบ Password Spray พวกเขาสามารถขโมยข้อมูลที่ชัดเจนจากแอปโดยใช้การตรวจสอบสิทธิ์พื้นฐานผ่านวิธีต่าง ๆ รวมถึงวิศวกรรมสังคมและ Malware ที่ขโมยข้อมูลการรับรองความถูกต้องสมัยใหม่ (Multi-factor authentication) ใช้โทเค็นการเข้าถึง OAuth ที่ไม่สามารถนำกลับมาใช้ใหม่เพื่อตรวจสอบสิทธิ์ในทรัพยากรอื่นนอกเหนือจากที่ออกให้ซึ่งหมายความว่ามักจะไม่ได้ใช้เลย การสลับบน Modern Auth ทำให้การเปิดใช้งาน MFA ซับซ้อนน้อยลงมาก ซึ่งช่วยให้มีความปลอดภัย Exchange Online ดีขึ้นคุณสามารถหาข้อมูลเพิ่มเติมเกี่ยวกับการเตรียมพร้อมสำหรับการบังคับใช้การปฏิเสธการรับรองความถูกต้องขั้นพื้นฐานในเดือนตุลาคม และวิธีที่ดีที่สุดในการปิดใช้งานการตรวจสอบสิทธิ์พื้นฐานล่วงหน้าในบล็อกโพสต์ The Exchange Team ที่เผยแพร่

Microsoft will disable Exchange Online basic auth next month

Fake 'Cthulhu World' P2E project used to push info-stealing malware

‘Cthulhu World’ เกม Play-to-earn ปลอม ถูกใช้เพื่อแอบติดตั้งมัลแวร์สำหรับขโมยข้อมูลบนเครื่องเหยื่อ 

    แฮ็กเกอร์ได้สร้างกลุ่มพูดคุยสำหรับเกม Play-to-earn ปลอม ที่ชื่อว่า 'Cthulhu World' ซึ่งมีทั้งเว็บไซต์

กลุ่ม Discord บัญชีโซเชียลและเว็ปไซต์สำหรับนักพัฒนา เพื่อแพร่กระจายมัลแวร์ Raccoon Stealer, AsyncRAT และ RedLine เพื่อใช้ขโมยข้อมูลของเหยื่อที่หลงเชื่อเนื่องจากปัจจุบันเกมประเภท Play-to-earn กำลังเพิ่มสูงขึ้นเป็นจำนวนมาก กลุ่มผู้โจมตีจึงมุ่งเป้าไปยังกลุ่มผู้ที่สนใจแพลตฟอร์มประเภทนี้โดยนักวิจัยด้านความปลอดภัยทางไซเบอร์ที่ชื่อว่า iamdeadlyz เป็นผู้พบว่าทั้งโปรเจ็คของ 'Cthulhu World' ถูกสร้างขึ้นอย่างปลอม ๆ ทั้งหมดโดยผู้โจมตีจะส่งข้อความไปยังผู้ใช้งานบน Twitter โดยตรง เพื่อชักชวนให้ทำการทดสอบเกมใหม่ของพวกเขา โดยเพื่อเป็นการตอบแทนสำหรับการทดสอบ และช่วยโปรโมตเกม iamdeadlyz ระบุว่าผู้โจมตีสัญญาว่าจะให้รางวัลเป็น Ethereum จำนวนหนึ่ง

    เมื่อเข้าไปยังเว็บไซต์ cthulhu-world.com (ซึ่งขณะนี้ปิดให้บริการ) จะพบว่าเว็บไซต์ได้รับการอกแบบมาเป็นอย่างดีประกอบด้วยข้อมูลเกี่ยวกับโครงการ และแผนที่ของสภาพแวดล้อมของเกม

    ซึ่งจริง ๆ แล้วเว็ปไซต์ดังกล่าว เป็นการโคลนมาจากโปรเจ็ค Alchemic World ที่มีอยู่จริง ๆ ซึ่งทางนักพัฒนาได้เคยออกมาเตือนผู้ใช้งานให้ระมัดระวังเว็ปไซต์ปลอมมาแล้วก่อนหน้านี้ ซึ่งเว็บไซต์ Cthulhu World ปลอม เมื่อผู้ใช้งานคลิกที่ลูกศรที่มุมบนขวาของเว็ปไซต์ ผู้ใช้งานจะถูกนำไปยังหน้าเพจที่ต้องใส่รหัสเพื่อดาวน์โหลดการทดสอบในช่วง "อัลฟ่า" ของโปรเจ็ค ซึ่งรหัสเหล่านี้จะได้มาจากการที่ผู้โจมตีส่งให้กับผู้ที่มีแนวโน้มว่าอาจจะตกเป็นเหยื่อทาง DM บน Twitter

เมื่อมีการกรอกรหัสผ่าน หนึ่งในสามไฟล์เหล่านี้จะถูกดาวน์โหลดผ่านทาง DropBox

    ไฟล์ทั้งสามไฟล์จะทำการติดตั้งมัลแวร์ที่แตกต่างกัน ซึ่งผู้โจมตีจะเลือกว่าเป้าหมายว่าจะติดตั้งมัลแวร์ตัวใดสำหรับผู้ใช้งานรายไหน (คาดว่าเป็นข้อมูลที่ได้จากการพูดคุยทาง DM ใน Twitter) มัลแวร์ทั้งสามตัวได้แก่ AsyncRAT, RedLine Stealer และ Raccoon Stealer

    ปัจจุบันเว็ปไซต์ Cthulhu World ไม่สามารถเข้าใช้งานได้แล้ว แต่ Discord ยังคงเข้าใช้งานอยู่ ไม่ชัดเจนว่าผู้ใช้งานใน Discord นี้ ทราบหรือไม่ว่าโปรเจ็คนี้ถูกใช้เพื่อแพร่กระจายมัลแวร์ แต่ดูเหมือนว่าผู้ใช้งานบางคนยังเชื่อว่าโปรเจ็คดังกล่าวมีอยู่จริง เนื่องจาก RedLine Stealer และ Raccoon Stealer เป็นที่รู้กันดีว่าสามารถขโมยข้อมูล cryptocurrency wallets จึงไม่น่าแปลกใจที่พบว่าเหยื่อบางรายถูกขโมยเงินออกไปจนหมดหากผู้ใช้งานเคยเข้าใช้งานเว็ปไซต์ Cthulhu-world.com และได้มีการดาวน์โหลดซอฟต์แวร์ใด ๆ มา ควรรีบดำเนินการสแกนมัลแวร์บนเครื่องทันที และเนื่องจากมัลแวร์เหล่านี้สามารถขโมยรหัสผ่าน คุกกี้ และ cryptocurrency wallets ได้ ผู้ใช้งานควรรีเซ็ตรหัสผ่านทั้งหมด และสร้าง cryptocurrency wallets ใหม่สำหรับการใช้งาน

    แต่วิธีที่ดีที่สุดคือการฟอร์แมทเครื่องเพื่อติดตั้งระบบปฏิบัติการใหม่ เนื่องจากอาจมีมัลแวร์อื่น ๆ ที่ยังไม่ถูกตรวจพบติดตั้งอยู่

Fake 'Cthulhu World' P2E project used to push info-stealing malware