BlackCat Ransomware สร้างเว็ปไซต์เลียนแบบเว็ปของเหยื่อที่ถูกโจมตีเพื่อเผยแพร่ข้อมูลที่ขโมยออกมา

    BlackCat ransomware หรือในอีกชื่อที่เรียกว่า ALPHV ransomware ได้ปรับเปลี่ยนกลยุทธ์ในการขู่เรียกค่าไถ่เพื่อให้เหยื่อยอมที่จะจ่ายเงินเรียกค่าไถ่ โดยการสร้างเว็ปไซต์เลียนแบบเว็ปของเหยื่อที่ถูกโจมตีเพื่อเผยแพร่ข้อมูลที่ถูกขโมยออกมา ส่งผลให้ผู้ที่ตกเป็นเหยื่อของการโจมตีต้องหาวิธีในการยับยั้งการเผยแพร่ข้อมูล

    BlackCat ransomware หรือ ALPHV ransomware เป็นกลุ่ม Hackers ที่มีแรงจูงใจในการโจมตี คือ เงินเรียกค่าไถ่ โดยมุ่งเป้าหมายไปยังกลุ่มสถาบันทางการเงินฝั่งสหรัฐอเมริกา ยุโรป และเอเชีย อีกทั้งยังพบว่าประเทศไทยเป็นหนึ่งในประเทศที่ตกเป็นเป้าหมายของการโจมตีเช่นกัน

วิธีการเผยแพร่ข้อมูล

    เมื่อวันที่ 26 ธันวาคม 2022 กลุ่ม BlackCat ได้เผยแพร่ตัวอย่างข้อมูลที่ขโมยออกมาจากการโจมตีบริษัทที่ให้บริการทางการเงินรายหนึ่งบนเว็ปไซต์ที่อยู่บน Tor network เพื่อเรียกค่าไถ่ แต่เนื่องจากเหยื่อไม่ตอบสนองกลับมา กลุ่ม BlackCat จึงเผยแพร่ไฟล์ที่ถูกขโมยทั้งหมดเพื่อเป็นบทลงโทษสำหรับเหยื่อที่ไม่ยอมจ่ายค่าไถ่ ซึ่งเป็นขั้นตอนตามมาตรฐานสำหรับกลุ่มแรนซัมแวร์ แต่ด้วยวิธีการใหม่นั่นคือการสร้างเว็ปไซต์เลียนแบบเว็ปของเหยื่อเพื่อเผยแพร่ไฟล์ที่ขโมยมา

    โดยเว็บไซต์เลียนแบบนี้มีข้อมูลที่ถูกขโมยออกมาจำนวนมาก ตั้งแต่บันทึกพนักงาน, แบบฟอร์มการชำระเงิน, ข้อมูลพนักงาน, ข้อมูลเกี่ยวกับทรัพย์สินและค่าใช้จ่าย, ข้อมูลทางการเงินสำหรับคู่ค้าและการสแกนหนังสือเดินทาง โดยมีขนาดประมาณ 3.5 GB สามารถดาวน์โหลดได้จากบริการไฟล์แชร์ที่ไม่ระบุตัวตนและเว็ปไซต์บน Tor network

    โดยตอนนี้ยังไม่ทราบแน่ชัดว่าวิธีการนี้จะประสบความสำเร็จเพียงใด ซึ่งพบว่ามีจำนวนผู้เข้าถึงจำนวนมากขึ้นเรื่อย ๆ เนื่องจากข้อมูลไม่มีข้อจำกัดในการเข้าถึงใด ๆ ทั้งสิ้น แต่คาดว่าวิธีการและกลยุทธ์ในการขู่กรรโชกนี้ จะถูกนำไปใช้โดยกลุ่ม Hackers อื่น ๆ ต่อไปในอนาคต

Ref : bleepingcomputer

Fortinet และ Zoho ManageEngine ประกาศแจ้งเตือนช่องโหว่ใหม่ แนะนำให้รีบอัปเดตโดยด่วน

    Fortinet ประกาศการพบช่องโหว่ใหม่ใน FortiADC (Application Delivery Controller) หมายเลข CVE-2022-39947 (คะแนน CVSS: 8.6 ระดับความรุนแรงสูง) ซึ่งเป็นช่องโหว่ของคำสั่ง OS ใน FortiADC ที่ทำให้ผู้โจมตีที่สามารถเข้าถึง web GUI สามารถสั่งรันโค้ด หรือคำสั่งที่ไม่ได้รับอนุญาตผ่านทาง HTTP requests ที่ถูกสร้างขึ้นมาเป็นพิเศษได้โดยไม่ต้องผ่านการตรวจสอบสิทธิ

โดยมีผลกระทบต่อเวอร์ชันต่อไปนี้

• FortiADC เวอร์ชัน 7.0.0 ถึง 7.0.2
• FortiADC เวอร์ชัน 6.2.0 ถึง 6.2.3
• FortiADC เวอร์ชัน 6.1.0 ถึง 6.1.6
• FortiADC เวอร์ชัน 6.0.0 ถึง 6.0.4
• FortiADC เวอร์ชัน 5.4.0 ถึง 5.4.5

ทาง Fortinet แนะนำให้ผู้ใช้อัปเกรดเป็น FortiADC เวอร์ชัน 6.2.4 และ 7.0.2 เพื่อปิดช่องโหว่โดยด่วน

ช่องโหว่ ManageEngine

    Zoho ManageEngine ได้ประกาศการพบช่องโหว่ใหม่ใน Password Manager Pro, PAM360 และ Access Manager Plus หมายเลข CVE-2022-47523 (ระดับความรุนแรงสูง) ซึ่งเป็นช่องโหว่ SQL Injection ที่ทำให้ผู้โจมตีสามารถเข้าถึงฐานข้อมูลได้

โดยมีผลกระทบต่อเวอร์ชันต่อไปนี้

• ManageEngine Password Manager Pro เวอร์ชัน 12200 หรือต่ำกว่า
• ManageEngine PAM360 เวอร์ชัน 5800 หรือต่ำกว่า
• ManageEngine Access Manager Plus เวอร์ชัน 4308หรือต่ำกว่า

    โดยทาง Zoho ManageEngine แนะนำให้ผู้ใช้ซอฟต์แวร์เวอร์ชันที่มีช่องโหว่รีบอัปเดตเพื่อปิดช่องโหว่โดยด่วน

Ref : thehackernews

MS Exchange servers ที่มีช่องโหว่กว่า 60,000 เครื่อง เสี่ยงต่อการโจมตีจากช่องโหว่ ProxyNotShell พบมีประเทศไทยด้วย

    นักวิจัยด้านความปลอดภัยที่ Shadowserver Foundation ออกมาเปิดเผยว่า จากการสำรวจในวันที่ 2 มกราคม 2023 พบ MS Exchange servers ที่มีช่องโหว่ 60,865 เครื่อง ที่ยังไม่ได้รับการ Update โดยในรายงานพบ MS Exchange servers ที่มีช่องโหว่ตั้งอยู่ในประเทศไทยจำนวน 231 เครื่อง

    ซึ่งเสี่ยงต่อการโจมตีโดย ProxyNotShell โดยที่ปัจจุบันทาง Microsoft ได้ออก Update ด้านความปลอดภัยเพื่อปิดช่องโหว่ดังกล่าวไปก่อนหน้านี้แล้ว

    ProxyNotShell เป็นวิธีการโจมตีช่องโหว่ที่มีหมายเลข CVE-2022-41082 และ CVE-2022-41040 ซึ่งส่งผลกระทบต่อ Exchange Server 2013, 2016 และ 2019 หาก ผู้ไม่ประสงค์ดีสามารถโจมตีได้สำเร็จจะทำให้สามารถยกระดับสิทธิ์ (Privileges Escalate) และสั่งรันโค้ดที่เป็นอันตรายจากระยะไกล (Remote Code Execution) บนเครื่องที่ถูกโจมตีได้

การโจมตี ProxyShell และ ProxyLogon ที่เกิดขึ้นอย่างต่อเนื่อง

•     BleepingComputer พบข้อมูลว่าช่องโหว่ของ MS Exchange servers ได้ถูกกลุ่มผู้ไม่ประสงค์ดีนำมาใช้โจมตีอยู่เป็นประจำ เช่น
•     กลุ่ม Play ransomware ที่ใช้ ProxyNotShell ในการหลีกเลี่ยงการตรวจจับ และสั่งรันโค้ดที่เป็นอันตรายจากระยะไกลบน Outlook Web Access (OWA) ของ MS Exchange servers ที่มีช่องโหว่
•     กลุ่ม FIN7 ที่ได้สร้างแพลตฟอร์ม Checkmarks ที่สร้างขึ้นเพื่อใช้ในการโจมตี MS Exchange servers ที่มีช่องโหว่โดยเฉพาะ ซึ่งจะสแกนหา และใช้ประโยชน์จากช่องโหว่ในการยกระดับสิทธิ์ และสั่งรันโค้ดที่เป็นอันตรายจากระยะไกลบนเครื่องที่สามารถโจมตีได้สำเร็จ
•     รวมถึง Shodan search ยังได้รายงานว่าพบ MS Exchange servers จำนวนมากที่พบว่ายังออนไลน์อยู่ แต่ยังไม่ได้รับการ Update เพื่อปิดช่องโหว่ ProxyShell และ ProxyLogon ซึ่งเป็นช่องโหว่ที่ถูกโจมตีสูงสุดในปี 2021

วิธีแก้ไข

•     ทำการUpdateด้านความปลอดภัยบน MS Exchange servers 2013, 2016 และ 2019 ให้เป็นเวอร์ชันล่าสุด

Ref : bleepingcomputer

Play Ransomware ใช้ช่องโหว่บน Microsoft Exchange เพื่อเจาะเข้าถึงเซิร์ฟเวอร์

  CrowdStrike พบกลุ่ม Play Ransomware กำลังใช้เครื่องมือที่ใช้ในการโจมตีช่องโหว่บน Microsoft Exchange ที่ชื่อว่า ProxyNotShell ซึ่งเป็นช่องโหว่ที่ถูกพบในเดือนตุลาคมที่ผ่านมา เพื่อเรียกใช้งานคำสั่งที่เป็นอันตรายจากระยะไกล (RCE) บนเซิร์ฟเวอร์ที่มีช่องโหว่ผ่านทาง Outlook Web Access (OWA) และยังตรวจสอบ พบเครื่องมือที่ใช้ในการโจมตีช่องโหว่ดังกล่าวที่ชื่อว่า “OWASSRF” ขณะทำการวิเคราะห์วิธีการโจมตีของกลุ่ม Play Ransomware ซึ่งพบว่ามีการใช้เซิร์ฟเวอร์ Microsoft Exchange ที่ถูกควบคุมในการโจมตีไปยังระบบอื่น ๆ ของเป้าหมาย

วิธีการโจมตี

    เทคนิค OWASSRF คือการใช้ช่องโหว่ ProxyNotShell เพื่อเข้าถึง Remote PowerShell ของ Microsoft Exchange โดยใช้ช่องโหว่ CVE-2022-41082 รวมไปถึงใช้ช่องโหว่ CVE-2022-41040 ทำการปลอมแปลงค่า server-side request forgery (SSRF) ในการหลีกเลี่ยงการตรวจสอบ (Bypass) และใช้ช่องโหว่ CVE-2022-41080 Outlook Web Access (OWA) เพื่อยกระดับสิทธิ์ของผู้ใช้งาน (Privilege Escalation) บนเซิร์ฟเวอร์ Microsoft Exchange ของเป้าหมาย โดยสามารถโจมตีได้ทั้ง Exchange on-premises, Exchange Online และ Skype for Business Server เมื่อโจมตีได้สำเร็จ Hackers จะติดตั้งโปรแกรม Plink และ Any Desk เพื่อใช้ในการควบคุมจากระยะไกล รวมไปถึงการลบ Windows Event Logs ในเครื่องที่ถูกโจมตีเพื่อปกปิดร่องรอยการถูกโจมตี

• CVE-2022-41080 (คะแนน CVSS v3: 9.8 ระดับความรุนแรงสูงมาก) เป็นช่องโหว่ที่โจมตีผ่าน Outlook Web Access (OWA) ทำให้สามารถยกระดับสิทธิ์ผู้ใช้งานได้ (Privilege Escalation)
• CVE-2022-41040 (คะแนน CVSS v3: 8.8 ระดับความรุนแรงสูง) เป็นช่องโหว่ที่ใช้การปลอมแปลงค่า server-side request forgery (SSRF) ส่งผลให้สามารถหลีกเลี่ยงการยืนยันตัวตน และเรียกใช้คำสั่งที่เป็นอันตรายจากระยะไกลได้ (RCE)
• CVE-2022-41082 (คะแนน CVSS v3: 8.8 ระดับความรุนแรงสูง) เป็นช่องโหว่ที่ทำให้สามารถเรียกใช้คำสั่งที่เป็นอันตรายจากระยะไกล (RCE) ผ่าน Microsoft Exchange PowerShell

    รวมไปถึงทาง CrowdStrike ยังพบอีกว่า OWASSRF PoC ที่สามารถนำไปใช้ในการสร้าง payload การโจมตี ถูกปล่อยออกสู่สาธาณะแล้ว โดย Dray Agha นักวิจัยด้านภัยคุกคามจาก Huntress Labs เป็นผู้พบ PoC ดังกล่าวในวันที่ 14 ธันวาคมที่ผ่านมา ซึ่งทำให้เหล่า Hackers จะสามารถนำ OWASSRF PoC ไปใช้ในการโจมตีต่อได้

ผลิตภัณฑ์ที่ได้รับผลกระทบ

• Microsoft Exchange Server 2013
• Microsoft Exchange Server 2016
• Microsoft Exchange Server 2019

    โดยขณะนี้ทาง Microsoft ได้ออกอัปเดตเพื่อปิดช่องโหว่เหล่านี้แล้ว แนะนำผู้ดูระบบให้รีบอัปเดตทันที

วิธีการป้องกัน

• อัปเดต Microsoft Exchange Server ที่ได้รับผลกระทบเพื่อลดความเสี่ยงจากการถูกโจมตี

Ref : bleepingcomputer

การโจมตีแบบ Phishing ใช้โพสต์บน Facebook เพื่อหลีเลี่ยงการป้องกันจาก E-mail

    พบการใช้ Phishing รูปแบบใหม่ โดยการใช้โพสต์ Facebook เป็นส่วนหนึ่งของการโจมตีเพื่อหลอกให้ผู้ใช้ให้ข้อมูลของบัญชีประจำตัว และข้อมูลที่ระบุตัวบุคคลได้ Personally Identifiable Information (PII) E-mail ที่ส่งไปยังเป้าหมาย จะสร้างสถานะการณ์เป็นแจ้งปัญหาด้านลิขสิทธิ์ โพสต์ใดโพสต์หนึ่งของผู้รับโดยเตือนว่า บัญชีของพวกเขา จะถูกลบใน 48 ชั่วโมง ถ้าไม่ยื่นอุทธรณ์

    โดย Link ที่ให้กดเพื่อ ยื่นอุทธรณ์ในการลบบัญชี จะเป็นโพสต์จริงบน Facebook.com ซึ่งช่วยให้ผู้ไม่ประสงค์ดี สามารถผ่านระบบ การป้องกันของ E-mail และทำให้มั่นใจได้ว่า ข้อความได้ถูกส่งไปยัง กล่องจดหมายของเป้าหมาย โดย โพสต์บน Facebook จะปลอมเป็น “Page Support” โดยใช้ Facebook logo เพื่อให้เห็นราวกับว่าทาง Facebook เป็นผู้จัดการเรื่องจริง ๆ

    อย่างไรก็ตาม ในโพสต์นั้นจะมี Link ไปยังหน้าต่าง Phishing ภายนอกอีกครั้งหนึ่งในชื่อ Meta เป็นเจ้าของบริษัท Facebook เพื่อลดโอกาสที่ เป้าหมายจะตระหนักถึงการโจมตีครั้งนี้ ผู้เชี่ยวชาญ ของ Trustwave ค้นพบว่า การ Phishing นี้พบว่ามี 3 URLs ที่ยังคงออนไลน์อยู่

meta[.]forbusinessuser[.]xyz/?fbclid=123

meta[.]forbusinessuser[.]xyz/main[.]php

meta[.]forbusinessuser[.]xyz/checkpoint[.]php

    เว็ปไซต์ Phishing ที่ถูกสร้างขึ้นมาให้ดูเหมือนกับ Page Facebook แบบถูกลิขสิทธิ์ ซึ่งมีแบบฟอร์ม ที่ให้เหยื่อกรอกข้อมูลชื่อเต็ม, Email, เบอร์มือถือ, ชื่อผู้ใช้

    ขึ้นอยู่กับข้อมูลที่ส่ง และ Page นี้ยังเก็บ IP address ของเหยื่อ และข้อมูลตำแหน่ง และแอบนำเอาทุกอย่าง ไปที่ บัญชี Telegram ที่ผู้ไม่ประสงค์ดีควบคุมอยู่ ผู้ไม่ประสงค์ดี อาจจะเก็บข้อมูลเพิ่ม โดยผ่านการป้องกันแบบลายนิ้วมือ หรือคำถามความปลอดภัย ในขณะที่กำลังยึด บัญชี Facebook ของเหยื่ออยู่ ในขณะเดียวกัน ก็จะนำเหยื่อไปสู่หน้า Phishing หน้าต่อไป โดยจะแสดง ความต้องการรหัสปลอมแบบใช้ครั้งเดียว (OTP) จำนวน 6 หลัก พร้อมจำกัดเวลา

    เมื่อไรก็ตามที่เหยื่อใส่ Code มาจะแจ้งผลเป็น Error และถ้ามีการคลิ๊ก ‘Need another way to authenticate?’ ผู้เชี่ยวชาญ ของ Trustwave พบว่า ผู้ไม่ประสงค์ดีใช้ Goolgle Analytics บนหน้า Phishing เพื่อช่วยให้พวกเขาสามารถติดตาม ประสิทธิภาพการบุกรุกได้ดีขึ้น

เทคนิคที่ใช้เผยแพร่ 

Trustware รายงานว่า ได้พบหลาย บัญชี Facebook ที่กำลังสร้างโพสต์ปลอม เพื่อให้ดูเหมือน Support page ที่จะนำเหยื่อไปยัง Phishing website

    โพสต์เหล่านี้ ใช้ URL shorteners สำหรับ Link ที่เป็น Phishing website เพื่อหลบการตั้งค่าสถานะต่าง ๆ และถูกลบ โดย Social media platform นั้น ๆ เหยื่ออาจเข้าสู่โพสต์ จากทาง Phishing email เหมือนกับในรายงานก่อนหน้านี้หรือ ทางข้อความตอบรับบน Facebook 

วิธีการป้องกัน

• ตรวจสอบ URL ของลิงก์ทุกครั้งในการกรอกข้อมูล รวมถึงไม่กดเข้าลิงก์ที่ไม่น่าเชื่อถือ
• เข้าร่วมการ Training Cybersecurity Awareness เพื่อสร้างความตระหนักถึงภัยคุกคามทางไซเบอร์ และการใช้งาน Social Media

bleepingcomputer

Windows drivers ที่ถูก Signed โดย Microsoft ถูกนำมาใช้ในการโจมตีด้วย Ransomware

    Microsoft ได้เพิกถอนบัญชี Windows Hardware Developer หลายบัญชีหลังจากที่ไดรเวอร์ ที่ signed ผ่านโปรไฟล์ของพวกเขาถูกนำมาใช้ในการโจมตีทางไซเบอร์ รวมถึงการโจมตีจาก ransomware ข้อมูลดังกล่าวถูกเปิดเผยจากรายงานร่วมกันของ Mandiant, Sophos และ SentinelOne โดยนักวิจัยระบุว่าผู้โจมตีกำลังใช้ไดรเวอร์ hardware kernel-mode ที่เป็นอันตราย ซึ่งผ่านการตรวจสอบความน่าเชื่อถือด้วย Authenticode จากโปรแกรม Windows Hardware Developer ของ Microsoft

    Microsoft ระบุว่าได้รับแจ้งจากบริษัทด้านความปลอดภัยทางไซเบอร์ Mandiant, SentinelOne และ Sophos เมื่อวันที่ 19 ตุลาคม 2565 ว่าไดรเวอร์ที่ certified โดย Windows Hardware Developer ของ Microsoft ถูกนำไปใช้ในการโจมตี ซึ่งจากพฤติกรรมในการโจมตีครั้งนี้ ผู้โจมตีได้รับสิทธิ์ระดับผู้ดูแลระบบบนระบบที่ถูกโจมตีไปก่อนแล้วที่จะมีการใช้งานไดรเวอร์ดังกล่าว

    โดยจากการตรวจสอบเพิ่มเติมพบว่าบัญชีนักพัฒนาหลายบัญชีสำหรับ Microsoft Partner Center มีส่วนร่วมในการส่งไดรเวอร์ที่เป็นอันตรายเพื่อขอรับการรับรอง (signed) จาก Microsoft และความพยายามในการส่งไดรเวอร์ที่เป็นอันตรายเพื่อขอรับการรับรอง (signed) ล่าสุดเมื่อวันที่ 29 กันยายน 2565 จึงนำไปสู่การระงับบัญชีของนักพัฒนาหลายรายในช่วงต้นเดือนตุลาคม

    เมื่อมีการโหลดไดรเวอร์ hardware ใน kernel-mode บน Windows ไดรเวอร์จะได้รับสิทธิ์ระดับสูงสุดบนระบบปฏิบัติการ รวมถึงสิทธิ์ในการอนุญาตให้ไดรเวอร์สามารถดำเนินการที่เป็นอันตรายต่าง ๆ ได้ ซึ่งโดยปกติแล้วจะไม่อนุญาตในแอปพลิเคชันของ user-mode ซึ่งสิทธิ์ดังกล่าวรวมไปถึงการสามารถหยุดการทำงานของซอฟต์แวร์ด้านความปลอดภัย การลบไฟล์ที่ได้รับการป้องกัน และการทำตัวเป็น rootkits เพื่อซ่อนพฤติกรรมของ process อื่น ๆ

    โดยตั้งแต่ Windows 10 เป็นต้นมา Microsoft ได้กำหนดให้ไดรเวอร์ฮาร์ดแวร์ใน kernel-mode ต้อง signed ผ่านโปรแกรม Windows Hardware Developer ของ Microsoft เท่านั้น

    เนื่องจากนักพัฒนาจำเป็นต้องซื้อใบรับรองสำหรับ Extended Validation (EV) ซึ่งต้องผ่านกระบวนการระบุตัวตน และส่งไดรเวอร์มาผ่านการตรวจสอบจาก Microsoft ด้วย จึงทำให้ซอฟต์แวร์ด้านความปลอดภัยจำนวนมากจึงเชื่อถือไดรเวอร์ที่ signed โดย Microsoft ผ่านโปรแกรมนี้โดยอัตโนมัติ

    นักวิจัยระบุว่าพบเครื่องมือที่ชื่อว่า STONESTOP (loader) และ POORTRY (kernel-mode driver) ที่ถูกนำมาใช้ในการโจมตีแบบที่เรียกว่า "Bring your vulnerable ไดรเวอร์" (BYOVD) ในครั้งนี้

 STONESTOP เป็นแอพพลิเคชั่นแบบ user-mode ที่พยายามหยุดการทำงานซอฟต์แวร์รักษาความปลอดภัยบนอุปกรณ์ รวมถึงความสามารถในการเขียนทับ และลบไฟล์ และทำหน้าที่เป็นทั้งตัวโหลด/ตัวติดตั้งสำหรับ POORTRY

ransomware และ SIM swapper

    โดย Sophos พบพฤติกรรมที่ผู้โจมตีซึ่งมีความเกี่ยวข้องกับกลุ่ม Cuba ransomware ใช้ BURNTCIGAR loader utility เพื่อติดตั้งไดรเวอร์ที่เป็นอันตราย ซึ่งถูก signed โดย Microsoft ส่วน SentinelOne พบชุดเครื่องมือที่ signed โดย Microsoft ซึ่งถูกนำมาใช้ในการโจมตีธุรกิจโทรคมนาคม, BPO, MSSP และธุรกิจบริการทางการเงิน และถูกใช้โดยการดำเนินการของ Hive Ransomware กับบริษัทในอุตสาหกรรมการแพทย์ ซึ่งแฮ็กเกอร์หลายรายที่สามารถเข้าถึงเครื่องมือในลักษณะที่คล้ายกันได้ ทางด้าน Mandiant พบกลุ่ม UNC3944 ซึ่งเป็นกลุ่มผู้โจมตีที่มีแรงจูงใจทางด้านการเงิน มีการใช้มัลแวร์ที่ได้รับการ signed โดย Microsoft เช่นเดียวกัน โดย Mandiant ยังสามารถระบุรายชื่อองค์กรที่ถูกใช้ในการส่งไดรเวอร์ไปเพื่อขอรับการรับรอง (signed) จาก Microsoft ได้ดังนี้

• Qi Lijun
• Luck Bigger Technology Co., Ltd
• XinSing Network Service Co., Ltd
• Hangzhou Shunwang Technology Co.,Ltd
• Fuzhou Superman
• Beijing Hongdao Changxing International Trade Co., Ltd.
• Fujian Altron Interactive Entertainment Technology Co., Ltd.
• Xiamen Hengxin Excellence Network Technology Co., Ltd.
• Dalian Zongmeng Network Technology Co., Ltd.

Microsoft response

• Microsoft ได้เผยแพร่การอัปเดตความปลอดภัยเพื่อเพิกถอน certificates ที่ใช้ไฟล์ที่เป็นอันตราย และได้ระงับบัญชีที่ใช้ในการส่งไดรเวอร์
• Microsoft Defender เวอร์ชันใหม่ signatures (1.377.987.0) จะสามารถตรวจหาไดรเวอร์ที่ถึงแม้จะถูก signed อย่างถูกต้อง แต่มีส่วนเกี่ยวข้องกับการโจมตี
• Microsoft Partner Center กำลังทำโซลูชันระยะยาวเพื่อจัดการกับพฤติกรรมเหล่านี้ และป้องกันผลกระทบของผู้ใช้งานในอนาคต

bleepingcomputer

GitHub กำหนดให้ผู้ใช้งานทั้งหมดเปิดใช้งาน 2FA ภายในสิ้นปี 2023

  GitHub จะกำหนดให้ผู้ใช้งานทุกคนที่เผยแพร่ code บนแพลตฟอร์ม เปิดการใช้งาน Two-factor authentication (2FA) เป็นมาตรการป้องกันเพิ่มเติมบนบัญชีภายในสิ้นปี 2566 ซึ่ง Two-factor authentication จะช่วยเพิ่มความปลอดภัยให้กับบัญชีผู้ใช้ด้วยการเพิ่มขั้นตอนในกระบวนการเข้าสู่ระบบ สำหรับผู้ใช้งาน GitHub การถูกเข้าถึงบัญชีผู้ใช้งาน สามารถนำไปสู่การเผยแพร่โค้ดที่เป็นอันตรายสำหรับใช้ในการโจมตีในรูปแบบ supply chain attacks ซึ่งขึ้นอยู่กับความนิยมของแต่ละ project โดยบางกรณีอาจมีผลกระทบในวงกว้างได้

    การกำหนดให้มีการเปิดใช้งาน 2FA เป็นมาตรการที่จำเป็นสำหรับบัญชี GitHub ทุกบัญชี โดยจะทำให้แพลตฟอร์ม GitHub เป็นพื้นที่ที่ปลอดภัยมากขึ้น ซึ่งจะทำให้ผู้ใช้งานมั่นใจมากขึ้นเกี่ยวกับความปลอดภัยของโค้ดที่ดาวน์โหลดจากแพลตฟอร์ม เมื่อต้นปีทีผ่านมา GitHub เคยประกาศถึงการตัดสินใจให้ผู้พัฒนา Project ที่มีผลกระทบสูง และมีการดาวน์โหลดมากกว่าหนึ่งล้านครั้งต่อสัปดาห์ต้องมีการเปิดใช้งาน 2FA

ซึ่งการกำหนดให้มีการเปิด 2FA สำหรับผู้ใช้งานทั้งหมดจะครอบคลุมผู้ใช้ประมาณ 83 ล้านคน

การออกข้อกำหนด 2FA

    GitHub จะกำหนดให้มีการเปิด 2FA บนบัญชี GitHub ทุกบัญชีตั้งแต่เดือนมีนาคม 2566 โดยในตอนแรกจะผลักดันให้บัญชีผู้ใช้งานที่อยู่ในกลุ่มผู้เผยแพร่ข้อมูลเริ่มดำเนินการก่อน หลังจากนั้นจะทำการประเมินผลก่อนที่จะขยายไปสู่กลุ่มผู้ใช้งานที่ใหญ่ขึ้น GitHub กล่าวว่ากลุ่มของผู้ใช้งานที่จะเริ่มดำเนินการจะถูกแบ่งโดยใช้เกณฑ์ดังต่อไปนี้ :

• ผู้ใช้ที่เผยแพร่แอป หรือแพ็กเกจ GitHub หรือ OAuth
• ผู้ใช้ที่มีการสร้าง code เวอร์ชันใหม่ ๆ
• ผู้ใช้ที่เป็นผู้ดูแลองค์กร และองค์กร
• ผู้ใช้ที่ contributed code ไปยัง repositories สำคัญ ๆ เช่น npm, OpenSSF, PyPI, หรือ RubyGems
• ผู้ใช้ที่ contributed code ไปยัง repositories สาธารณะ และส่วนตัวประมาณสี่ล้านอันดับแรก

   โดยผู้ที่ได้รับแจ้งล่วงหน้าเพื่อเปิดการใช้งาน 2FA ผ่านทางอีเมล จะมีระยะเวลา 45 วันในการดำเนินการ เมื่อครบกำหนดเวลา ผู้ใช้งานจะเริ่มเห็นคำแนะนำในการเปิดใช้งาน 2FA บน GitHub อีก 1 สัปดาห์ และหากยังไม่ดำเนินการ ก็จะถูกบล็อกไม่ให้เข้าถึงฟีเจอร์ของ GitHub ได้

    โดย 28 วันหลังจากเปิดใช้งาน 2FA ผู้ใช้งานจะต้องผ่านการตรวจสอบเพื่อยืนยันการตั้งค่าความปลอดภัยใหม่ รวมถึงจะทำให้ผู้ใช้งานสามารถกำหนดการตั้งค่า 2FA ใหม่ และสามารถกู้คืนรหัสที่หายไปได้

bleepingcomputer

CISA ประกาศเตือนช่องโหว่ใหม่ใน Veeam Backup and Replication ที่กำลังถูกใช้ในการโจมตี

    Cybersecurity and Infrastructure Security Agency (CISA) หรือ หน่วยงานรักษาความปลอดภัยทางไซเบอร์ และโครงสร้างพื้นฐานของสหรัฐ ได้ออกประกาศเตือน 2 ช่องโหว่ใหม่ใน Veeam Backup and Replication โดยมีหมายเลข CVE-2022-26500 และ CVE-2022-26501 ซึ่งกำลังถูกกลุ่ม ผู้ไม่ประสงค์ดี นำมาใช้ในการโจมตีอยู่ในปัจจุบัน

    Veeam Backup and Replication คือซอฟต์แวร์สำรอง และกู้คืนข้อมูลในระบบเสมือน (Virtualization) ที่ทำงานบน Virtual Machine (VM) เช่น VMWare หรือ Microsoft Hyper-V

ผลกระทบ

    โดยช่องโหว่ CVE-2022-26500 และ CVE-2022-26501 กระทบโดยตรงต่อการตั้งค่า “Veeam Distribution Service (TCP 9380 by default)” ส่งผลให้ ผู้ไม่ประสงค์ดี สามารถเข้าถึงเครื่องเป้าหมายจากระยะไกล และสั่งการอัปโหลด หรือเรียกใช้งานคำสั่งที่เป็นอันตรายได้ (Remote Code Execution RCE)

• CVE-2022-26500 ได้คะแนน CVSS v3 ที่ 8.8 (ระดับความรุนแรงสูง)
• CVE-2022-26501 ได้คะแนน CVSS v3 ที่ 9.8 (ระดับความรุนแรงสูงมาก)

    Nikita Petrov นักวิจัยด้านความปลอดภัยของบริษัท Positive Technologies บริษัทด้านความปลอดภัยทางไซเบอร์ของรัสเซีย เป็นผู้ค้นพบ และรายงานช่องโหว่นี้ รวมไปถึง CloudSEK บริษัทด้านความปลอดภัยทางไซเบอร์ ยังได้พบว่าช่องโหว่นี้ได้ถูกรวมอยู่ในกลุ่มเครื่องมือของผู้โจมตีที่ใช้ในการเข้าถึง และสั่งการเป้าหมายจากระยะไกล (RCE) เมื่อ ผู้ไม่ประสงค์ดี สามารถเข้าถึงระบบของเหยื่อได้แล้ว จะนำไปสู่ขั้นตอนในการโจมตีเหยื่อในรูปแบบต่าง ๆ เช่น การติดตั้ง Ransomware, การโจรกรรมข้อมูล, การทำ denial-of-service(DoS) แนะนำให้ผู้ดูแลระบบทำการอัปเดตทันที

veeam

Version ที่ได้รับผลกระทบ

• Veeam Backup & Replication Version 9.5 10 และ 11

การแก้ไข

• ทำการอัปเดท Veeam Backup & Replication เป็น Version 11a (รุ่น 11.0.1.1261 P20220302) และ 10a (รุ่น 0.1.4854 P20220304)
• หากยังไม่สามารถทำการอัปเดตได้ในขณะนี้ แนะนำให้ปิดการใช้งาน Veeam Distribution Veeam Distribution Service ไปก่อนจนกว่าจะได้รับการอัปเดต

Ref: thehackernews

ข้อมูลผู้ใช้งาน WhatsApp เกือบ 500 ล้านราย ถูกประกาศขายใน Dark Web

WhatsApp data leaked - 500 million user records for sale online

    พบการประกาศขายข้อมูลของผู้ใช้งาน WhatsApp เกือบ 500 ล้านราย ในฟอรั่มของ Dark Web ชื่อดัง โดยในฟอรั่มได้อ้างว่าเป็นฐานข้อมูลของผู้ใช้งาน WhatsApp ในปี 2022 จำนวนกว่า 487 ล้านหมายเลข

    โดย WhatsApp ถือว่าเป็นหนึ่งในแอพพลิเคชัน Instant messaging และ VoIP ยอดนิยม ที่มีผู้ใช้งานมากกว่า 2,000 ล้านคนต่อเดือนทั่วโลก โดยในรายละเอียดของข้อมูลที่ถูกประกาศขาย ประกอบไปด้วยชุดข้อมูลของผู้ใช้ WhatsApp จากกว่า 84 ประเทศ เช่น

• ผู้ใช้ในประเทศสหรัฐอเมริกา จำนวน 32 ล้านรายชื่อ
• ผู้ใช้ในประเทศอียิปต์ จำนวน 45 ล้านรายชื่อ
• ผู้ใช้ในประเทศอิตาลี จำนวน 35 ล้านรายชื่อ
• ผู้ใช้ในประเทศซาอุดีอาระเบีย จำนวน 29 ล้านรายชื่อ
• ผู้ใช้ในประเทศฝรั่งเศส จำนวน 20 ล้านรายชื่อ
• ผู้ใช้ในประเทศตุรกี จำนวน 20 ล้านรายชื่อ
• ผู้ใช้ในประเทศรัสเซีย จำนวน 10 ล้านรายชื่อ
• ผู้ใช้ในประเทศอังกฤษ จำนวน 11 ล้านรายชื่อ

    โดย Hacker ได้เสนอขายชุดข้อมูลเหล่านี้ แยกเป็นรายประเทศ เช่น ข้อมูลผู้ใช้ในประเทศสหรัฐอเมริกา ขายในราคา 7,000 ดอลลาร์, ข้อมูลผู้ใช้ในประเทศอังกฤษ ขายในราคา 2,500 ดอลลาร์ และข้อมูลผู้ใช้ในประเทศเยอรมนี ขายในราคา 2,000 ดอลลาร์ รวมไปถึง Hacker ยังได้ปล่อยตัวอย่างชุดข้อมูลที่มีข้อมูลผู้ใช้งานของประเทศอังกฤษ 1,097 ราย และประเทศสหรัฐอเมริกา 817 ราย เพื่อพิสูจน์ว่าข้อมูลเหล่านี้เป็นของจริง และนำไปใช้งานได้

    จากการตรวจสอบของ Cybernews พบว่าชุดข้อมูลตัวอย่างที่ได้มานั้นเป็นข้อมูลของผู้ใช้งานจริง และสามารถติดต่อไปยังผู้ใช้งานได้ โดย Hacker ที่ขายข้อมูลไม่ได้บอกว่าได้ชุดข้อมูลเหล่านี้มาด้วยวิธีการใด โดยระบุเพียงว่าพวกเขามีวิธีการที่สามารถเข้าถึงฐานข้อมูล เพื่อให้ได้ข้อมูลดังกล่าวมา รวมทั้งยังยืนยันกับ Cybernews ว่าข้อมูลดังกล่าวทั้งหมดสามารถนำไปใช้ได้จริง

    ปัจจุบัน Cybernews ได้ติดต่อไปยังบริษัท Meta ซึ่งเป็นบริษัทแม่ของ WhatsApp เพื่อสอบถามถึงเหตุการณ์ที่เกิดขึ้น แต่ยังไม่ได้รับการตอบกลับ โดยเมื่อไม่กี่วันก่อนหน้านี้ก็จะพบว่ามีการรั่วไหลของข้อมูลภายในของ LinkedIn และ Facebook Business accounts ซึ่งอยู่ภายใต้บริษัท Meta ที่ถูกนำมาขายในฟอรั่มของ Dark Web ชื่อดังเช่นเดียวกัน

ผลกระทบ

• โดยชุดข้อมูลที่รั่วไหลเหล่านี้ อาจถูกเหล่า Hackers นำไปใช้ประโยชน์ในการโจมตีในรูปแบบ Social Engineering ได้ ไม่ว่าจะเป็นการหลอกลวงผ่านข้อความ หรือการโทร (Smishing and Vishing Attacks), การโจมตีผ่าน Email (Phishing Attack) รวมไปถึงการโจมตีในรูปแบบ Business Email Compromise

การป้องกัน

• ระมัดระวังการเปิดข้อความ SMS อีเมลล์ หรือไฟล์แนบที่ถูกส่งมา ถึงแม้ผู้ส่งจะเป็นบุคคลใกล้ชิด เพื่อนร่วมงาน หรือบุคคลที่มีชื่อเสียงก็ตาม

Ref : cybernews

Phishing attack uses Facebook posts to evade email security

พบการโจมตี Phishing รูปแบบใหม่ ใช้โพสต์บน Facebook เพื่อหลีกเลี่ยงการตรวจสอบจาก Email

    พบรูปแบบการโจมตี Phishing รูปแบบใหม่ที่ใช้โพสต์บน Facebook ในการโจมตี เพื่อขโมยข้อมูลบัญชีผู้ใช้งาน Facebook และข้อมูลที่สามารถระบุตัวบุคคลได้ Personally Identifiable Information (PII)

ขั้นตอนการโจมตี

    ภายในเนื้อหาของ Phishing Email ที่ใช้ในการโจมตีจะระบุว่า “พบปัญหาการละเมิดลิขสิทธิ์ในโพสต์บน Facebook หากไม่ยื่นอุทธรณ์ภายใน 48 ชั่วโมง บัญชีนี้จะถูกลบ” พร้อมทั้งแนบลิงก์เพื่ออุทธรณ์การลบบัญชี

    โดยลิงก์ดังกล่าวคือโพสต์ที่มีอยู่จริงบน Facebook.com โดยกระบวนการนี้จะสามารถทำให้หลีกเลี่ยงการตรวจสอบจาก E-mail และทำให้สามารถส่งไปถึงเหยื่อได้โดยตรง

    รูปแบบการโจมตี Phishing นี้ มีการสร้างความน่าเชื่อถือระหว่างกระบวนการโจมตี ไม่ว่าจะเป็นการปลอมแปลงเป็นโพสต์จาก “Facebook Page Support” และการสร้าง URL ที่น่าเชื่อถือจาก meta เพื่อไม่ให้เหยื่อรู้ตัวในระหว่างที่กรอกข้อมูล โดยในแบบฟอร์มขอข้อมูลจะประกอบไปด้วย ชื่อ-นามสกุล, ที่อยู่อีเมล, หมายเลขโทรศัพท์ และชื่อผู้ใช้ใน Facebook

จากการตรวจสอบของ Trustwave พบว่ามี Phishing URL 3 รายการที่ยังออนไลน์อยู่

• meta[.]forbusinessuser[.]xyz/?fbclid=123
• meta[.]forbusinessuser[.]xyz/main[.]php
• meta[.]forbusinessuser[.]xyz/checkpoint[.]php

    เมื่อกรอกข้อมูลลงไปยังลิงก์ Facebook Page Support ปลอมที่ถูกสร้างขึ้นแล้ว ข้อมูลของเหยื่อจะถูกส่งไปยังบัญชี Telegram ของ Hacker โดยที่ผู้โจมตีอาจมีการขอข้อมูลเพิ่มเติมเพื่อ bypass fingerprinting protections หรือคำถามด้านความปลอดภัยในขณะที่เข้าควบคุมบัญชี Facebook ของเหยื่อ จากนั้นก็จะมีการเปลี่ยนเส้นทางไปยังหน้าสำหรับกรอก One-Time Password (OTP) ปลอมเพื่อถ่วงเวลา ซึ่งไม่ว่าเหยื่อจะกรอกรหัสใดก็ตามก็จะขึ้นว่าไม่ถูกต้อง หากเหยื่อกด 'Need another way to Authenticate?' เพื่อออกจากหน้านี้ ก็จะถูกส่งกลับไปยังหน้า Facebook.com ตามปกติ

    Trustwave รายงานว่าพบรูปแบบการโจมตี Phishing ลักษณะเดียวกันนี้อีกมากมายบน Facebook รวมไปถึง Hacker ยังได้ใช้ Google Analytics ในการเพิ่มประสิทธิภาพในการเข้าถึงโพสต์ของรูปแบบการโจมตี Phishing อีกด้วย

วิธีการป้องกัน

• ตรวจสอบ URL ของลิงก์ทุกครั้งในการกรอกข้อมูล รวมถึงไม่กดเข้าลิงก์ที่ไม่น่าเชื่อถือ
• เข้าร่วมการ Training Cybersecurity Awareness เพื่อสร้างความตระหนักถึงภัยคุกคามทางไซเบอร์ และการใช้งาน Social Media

Ref : bleepingcomputer

Google เตือนช่องโหว่ Zero-Day บน Internet Explorer กำลังถูกใช้โจมตีโดยกลุ่ม ScarCruft Hackers

Google Warns of Internet Explorer Zero-Day Vulnerability Exploited by ScarCruft Hackers

    ช่องโหว่ Zero-Day บน Internet Explorer กำลังถูกใช้ในการโจมตีอย่างต่อเนื่องโดยกลุ่ม ScarCruft กลุ่มผู้ไม่ประสงค์ดีจากเกาหลีเหนือ ซึ่งจะมุ่งเป้าไปยังผู้ใช้งานชาวเกาหลีใต้ โดยใช้เหตุการณ์โศกนาฏกรรมที่ Itaewon ในช่วงวันฮาโลวีนเพื่อดึงดูดความสนใจให้เหยื่อดาวน์โหลดไฟล์ที่เป็นอันตราย

  การค้นพบครั้งนี้ถูกรายงานโดย Benoît Sevens และ Clément Lecigne นักวิจัยจาก Google Threat Analysis Group (TAG) ซึ่งถือเป็นการโจมตีล่าสุดที่ดำเนินการโดยกลุ่ม ScarCruft ซึ่งเป็นที่รู้จักในอีกหลายชื่อ เช่น APT37, InkySquid, Reaper และ Ricochet Chollima โดยส่วนใหญ่การโจมตีจะมุ่งเป้าไปที่ผู้ใช้งานชาวเกาหลีใต้ ผู้แปรพักตร์ชาวเกาหลีเหนือ ผู้กำหนดนโยบาย นักข่าว และนักเคลื่อนไหวด้านสิทธิมนุษย์ชน

ลักษณะการโจมตี

    การโจมตีจะเกิดขึ้นหลังจากที่มีการเปิดไฟล์บน Microsoft Word และแสดงเนื้อหา HTML ที่เปิดขึ้นมาจาก Internet Explorer มีการใช้ช่องโหว่ของ Internet Explorer เช่น CVE-2020-1380 และ CVE-2021-26411 เพื่อติดตั้ง Backdoor อย่าง BLUELIGHT และ Dolphin มีการใช้ RokRat (Remote Access Trojan) บน Windows ที่มีฟังก์ชั่นที่ช่วยให้สามารถจับภาพหน้าจอ, บันทึกการกดแป้นพิมพ์ และการเก็บข้อมูลอุปกรณ์ Bluetooth

    หลังจากที่โจมตีสำเร็จแล้ว มันจะทำการส่ง Shell Code ที่สามารถลบร่องรอยในการโจมตีทั้งหมด โดยการล้างแคช และประวัติของ Internet Explorer รวมถึง payload ของ Malware โดย Google TAG ลองอัปโหลดเอกสาร Microsoft Word ที่เป็นอันตรายนี้ไปยัง VirusTotal เมื่อวันที่ 31 ตุลาคม 2022 โดยพบว่าเป็นการโจมตีโดยใช้ช่องโหว่ Zero-day ของ Internet Explorer ที่เกี่ยวข้องกับ JScript9 JavaScript, CVE-2022-41128 ซึ่งได้รับการแก้ไขโดย Microsoft ไปแล้วเมื่อเดือนที่ผ่านมา

    อีกทั้ง MalwareHunterTeam ยังพบไฟล์ Word ลักษณะเดียวกันนี้เคยถูกแชร์จากกลุ่ม Shadow Chaser Group เมื่อวันที่ 31 ตุลาคม 2022 ซึ่งเคยได้ระบุในรายงานไว้ว่าเป็น "DOCX injection template ที่น่าสนใจ" และมีต้นกำเนิดจากประเทศเกาหลีเช่นเดียวกัน Google TAG ระบุว่าขณะนี้ยังไม่สามารถกู้คืน Malwareที่ถูกใช้ในแคมเปญนี้ได้ แม้ว่าจะทราบแล้วว่าเป็น Malwareอย่างเช่น RokRat, BLUELIGHT หรือ Dolphin ก็ตาม

Ref : thehackernews

Hackers Sign Android Malware Apps with Compromised Platform Certificates

แฮ็กเกอร์ใช้ Platform Certificate ที่แฮ็กมากับแอปพลิเคชันที่เป็นอันตรายบน Android

    Platform Certificate ที่ถูกใช้โดยผู้จำหน่ายสมาร์ทโฟน Android ต่าง ๆ เช่น Samsung, LG และ MediaTek พบว่ากำลังถูกนำมาใช้กับแอปพลิเคชันที่เป็นอันตราย

    เหตุการณ์นี้ถูกพบโดย Łukasz Siewierski ผู้เชี่ยวชาญทางด้าน Reverse engineer ของทาง Google

Platform certificate จะถูกใช้สำหรับ android application สำหรับ system image ซึ่งจะทำให้แอปพลิเคชันสามารถทำงานด้วยสิทธิ์สูงเป็นพิเศษ รวมถึงสิทธิ์ในการเข้าถึงข้อมูลของผู้ใช้งานด้วย

    ซึ่งหมายความว่าแอปพลิเคชันปลอมที่ใช้ Platform Certificate รูปแบบเดียวกันนี้จะได้รับสิทธิ์ในระดับสูงสุดเช่นเดียวกัน จึงทำให้สามารถรวบรวมข้อมูลที่มีความสำคัญได้ทุกประเภทจากอุปกรณ์ที่ถูกโจมตี

รายการแพ็คเกจแอปพลิเคชัน Android ที่เป็นอันตรายซึ่งมาจากการใช้งาน Certificate ที่ถูกแฮ็กมามีดังนี้

• com.russian.signato.renewis
• com.sledsdffsjkh.Search
• com.android.power
• com.management.propaganda
• com.sec.android.musicplayer
• com.houla.quicken
• com.attd.da
• com.arlo.fappx
• com.metasploit.stage
• com.vantage.ectronic.cornmuni

    จากผลการตรวจสอบโดย VirusTotal พบว่าส่วนใหญ่จะถูกระบุจากผู้ให้บริการต่าง ๆ ว่าเป็นอันตราย เช่น HiddenAds adware, Metasploit, Information stealers, Downloaders และมัลแวร์อื่น ๆ

    Google ได้แจ้งผู้ให้บริการต่าง ๆ ที่ได้รับผลกระทบให้ทำการสับเปลี่ยน Certificate และได้ทำการตรวจสอบแอปพลิเคชันที่เป็นอันตรายในลักษณะดังกล่าวบน Google Play Store ในส่วนของผู้ใช้งานทั่วไปจะได้รับการป้องกันโดยการดำเนินการจาก OEM partners

วิธีการแก้ไข

• แนะนำให้ผู้ใช้ อัพเดท Android ให้เป็นเวอร์ชันปัจจุบัน

Ref : thehackernews

New Zerobot malware has 21 exploits for BIG-IP, Zyxel, D-Link devices

    ผู้เชี่ยวชาญด้านความปลอดภัยจาก Fortinet พบ Malware ตัวใหม่ "Zerobot" มีการโจมตีโดยใช้ประโยชน์จากช่องโหว่บนอุปกรณ์ต่าง ๆ เช่น F5 BIG-IP, Zysel Firewall, Totolink, D-Link และ Hikvision

    โดยจุดประสงค์ของ Malware คือการเข้ายึดครองอุปกรณ์ที่ถูกโจมตี เพื่อนำมาใช้เป็น botnet สำหรับใช้ในการโจมตีแบบ Denial of Service (DDoS) โดยเมื่อ Malware ทำงานจะมีการดาวน์โหลดสคริปต์ที่ชื่อว่า Zero เพื่อใช้ในการแพร่กระจายไปยังอุปกรณ์ที่อยู่ใกล้เคียงกัน และมีการรันคำสั่งบน Windows หรือ Linux ด้วย

    รวมถึงมีการติดตั้ง WebSocket เพื่อใช้เชื่อมต่อกับ command and control (C2) server โดยคำสั่งที่ผู้เชี่ยวชาญพบคือ Ping, attack, stop, update, scan, command และ kill นอกจากนี้ Malware ยังถูกออกแบบมาเพื่อป้องกันการถูกสั่ง kill ตัวเองอีกด้วย

Zerobot จะโจมตีเป้าหมายโดยใช้ช่องโหว่ดังต่อไปนี้:

• CVE-2014-08361: miniigd SOAP service in Realtek SDK
• CVE-2017-17106: Zivif PR115-204-P-RS webcams
• CVE-2017-17215: Huawei HG523 router
• CVE-2018-12613: phpMyAdmin
• CVE-2020-10987: Tenda AC15 AC1900 router
• CVE-2020-25506: D-Link DNS-320 NAS
• CVE-2021-35395: Realtek Jungle SDK
• CVE-2021-36260: Hikvision product
• CVE-2021-46422: Telesquare SDT-CW3B1 router
• CVE-2022-01388: F5 BIG-IP
• CVE-2022-22965: Spring MVC and Spring WebFlux (Spring4Shell)
• CVE-2022-25075: TOTOLink A3000RU router
• CVE-2022-26186: TOTOLink N600R router
• CVE-2022-26210: TOTOLink A830R router
• CVE-2022-30525: Zyxel USG Flex 100(W) firewall
• CVE-2022-34538: MEGApix IP cameras
• CVE-2022-37061: FLIX AX8 thermal sensor cameras

Ref : bleepingcomputer

แก้ปัญหา Elastix รุ่นเก่า ไม่สามารถเข้าใช้งานผ่าน Web Browser ได้ (ERR_SSL_VERSION_OR_CIPHER_MISMATCH)

ใช้งาน Elastix มานาน จนวันหนึ่ง ไม่สามารถเข้าใช้งานผ่าน Web Browser ได้

ได้จะพบ Error (ERR_SSL_VERSION_OR_CIPHER_MISMATCH)

สามารถแก้ไขได้โดย 
1. แก้ไขไฟล์ /etc/httpd/conf.d/elastix.conf
#vi /etc/httpd/conf.d/elastix.conf

2. แก้ไข   'RewriteEngine On' เป็น  'RewriteEngine Off'

3. Restart http Service
#/etc/init.d/httpd restart

จะสามารถเข้าใช้งานได้ตามนี้ครับ

อ้างอิง
https://support.google.com/chrome/thread/150737786?hl=en&msgid=150874234 

พบผู้ไม่ประสงค์ดีใช้โดเมนเก่าเพื่อหลีกเลี่ยงระบบรักษาความปลอดภัย !!

 

    พบผู้ไม่ประสงค์ดีชื่อ “CashRewindo” ได้ใช้โดเมนเก่าเพื่อทำการโจมตีแบบ Malvertising ซึ่งเป็นการฝังลิงก์โฆษณาที่จะนำไปสู่เว็บไซต์เกี่ยวกับการลงทุนทางการเงิน Malvertising เกี่ยวข้องกับการแทรก JavaScript code ที่เป็นอันตรายในโฆษณาดิจิทัล ที่โปรโมตโดย Advertising Network เมื่อผู้ใช้เข้าเยี่ยมชมเว็บไซต์จะนำไปสู่หน้าเว็บที่เป็น Phishing เพื่อ Drop malware และเพื่อหลอกลวงผู้ที่ตกเป็นเหยื่อ การโจมตีดังกล่าวแพร่กระจายไปทั่วยุโรป อเมริกาเหนือ อเมริกาใต้ เอเชีย และแอฟริกา โดยใช้ภาษาและสกุลเงินเพื่อให้ผู้เข้าชมเว็บไซต์เห็นว่า เป็นเว็บไซต์ที่ถูกต้อง

    Domain aging คือการที่ผู้ไม่ประสงค์ดีได้ทำการลงทะเบียนโดเมนและรอหลายปีเพื่อใช้โดเมนนั้น โดยมีจุดประสงค์เพื่อที่จะทำการ Bypass ระบบรักษาความปลอดภัย ซึ่งเทคนิคนี้ทำงานเหมือนกับโดเมนเก่าที่ไม่ได้ใช้ทำการโจมตีมาเป็นเวลานาน อาจทำให้ถูกตั้งค่าสถานะโดยเครื่องมือรักษาความปลอดภัยว่าไม่น่าสงสัย หรือไม่เป็นอันตราย

    นักวิจัย ระบุว่า “CashRewindo” ได้ใช้โดเมนที่มีอายุอย่างน้อยสองปีก่อนที่จะเปิดใช้งานโดยมีการอัปเดต Certificate และกำหนด Virtual Server และยังพบโดเมนอย่างน้อย 487 โดเมน ที่ใช้โดยผู้ไม่ประสงค์ดี โดยบางโดเมนได้รับการจดทะเบียนย้อนหลังไปถึงปี 2008 และถูกใช้ครั้งแรกในปี 2022 เพื่อหลีกเลี่ยงการตรวจจับ Strong language บนเว็บไซต์นั้น ผู้ไม่ประสงค์ดีจะทำการสลับไปมาระหว่างถ้อยคำที่ไม่เป็นอันตราย และ ใช้ Call to Action เพื่อที่จะช่วยกระตุ้นให้ผู้เข้าชมเว็บไซต์ดำเนินการอะไรบางอย่างตามจุดประสงค์ที่ผู้ไม่ประสงค์ดีตั้งเอาไว้

    ในช่วงหนึ่งปีที่ผ่านมามีการโจมตีมากกว่า 1.5 ล้านครั้ง โดยกำหนดเป้าหมายไปที่อุปกรณ์ Windows เป็นหลัก และพบว่ามี 20 ประเทศที่ตกเป็นเป้าหมายสูงสุด

คำแนะนำ

• อัปเดตคอมพิวเตอร์และซอฟต์แวร์อยู่เสมอ
• ติดตั้งซอฟต์แวร์ป้องกันไวรัสและลบซอฟต์แวร์ที่คาดว่าเป็นอันตราย หรือไม่มีความจำเป็นที่จะต้องใช้ออกจากระบบ
• ใช้ซอฟต์แวร์ปิดกั้นโฆษณาเพื่อหลีกเลี่ยงการดาวน์โหลดมัลแวร์ที่มีอยู่ในโฆษณา
• ทำการบล็อก URL ของ Malicious Sites ดังกล่าวเพื่อหลีกเลี่ยงการถูกโจมตี
• ตระหนักและหมั่นศึกษาภัยคุกคามที่เกิดขึ้น เพื่อป้องกันการตกเป็นเหยื่อของการโจมตี

Ref : www.bleepingcomputer

วิธีติดตั้ง Joomla บน Ubuntu 20.04.1

            Joomla เป็น CMS ที่ได้รับความนิยมเป็นอันดับต้น ๆ  เพราะมีระบบการจัดการเนื้อหาที่มีรูปแบบสากล การปรับแต่งหน้าตาของเว็บไซต์ทำได้ง่าย เพราะถูกออกแบบมาให้รองรับกับเทคโนโลยีการ ออกแบบเว็บไซต์ สมัยใหม่ โดยจะมีขั้นตอนการติดตั้ง ดังนี้

1. ในการติดตั้ง Joomla นั้น เราจำเป็นต้องติดตั้ง LAMP เสียก่อน โดยจะประกอบไปด้วย
   - Apache2
   - MariaDB
   - PHP
   
   
2.  ให้อัพเดท OS ให้เป็นเวอร์ชั่นล่าสุด ด้วยคำสั่ง
   sudo apt-get update
   
   
3. สร้างฐานข้อมูลของ Joomla
   sudo mysql -u root -p
   
   
   
   สร้างฐานข้อมูลที่ชื่อว่า joomla_db
   CREATE DATABASE joomla_db;
   
   
   

   
   
   จากนั้น สร้างผู้ใช้ฐานข้อมูลสำหรับการตั้งค่า Joomla
   CREATE USER 'joomla_user'@'localhost' IDENTIFIED BY 'password123';
   
   
   

   

   
   

   ให้สิทธิ์แก่ผู้ใช้ joomla_user ในการเข้าถึงฐานข้อมูล joomla_db
   GRANT ALL ON joomla_db.* TO 'joomla_user'@'localhost' IDENTIFIED BY 'password123';
   
   

   

   
   

   จากนั้นใช้คำสั่ง 
   FLUSH PRIVILEGES;

   

   ออกจากฐานข้อมูล exit;
   
   
4. ไปที่ไดเรกทอรีชั่วคราวและดาวน์โหลดไฟล์ Joomla v4.2.5 โดยใช้คำสั่ง
   cd /tmp && wget https://downloads.joomla.org/th/cms/joomla4/4-2-5/Joomla_4.2.5-Stable-Full_Package.tar.gz
   
   

   
   
   

   สร้างไดเรกทอรีโดยตั้งชื่อว่า joomla
   mkdir joomla

   
   

   

   
   

   ย้ายไฟล์ติดตั้งไปไว้ที่ไดเรกทอรี joomla

   mv Joomla_4.2.5-Stable-Full_Package.tar.gz /tmp/joomla/
   
   

   

   
   แตกไฟล์ Joomla
   tar -xvf Joomla_4.2.5-Stable-Full_Package.tar.gz
   
   
   
   คัดลอกโฟลเดอร์ joomla ไปไว้ที่ /var/www/html/ โดยใช้คำสั่ง
   cp -R joomla /var/www/html/
   
   

   

   
   ตั้งค่าสิทธิ์การเข้าถึงเพื่อให้เว็บเซิร์ฟเวอร์สามารถเข้าถึงไฟล์และไดเรกทอรีของไซต์ได้อย่างเต็มที่โดยใช้คำสั่ง chown ต่อไปนี้:
   chown -R www-data:www-data /var/www/html/joomla/
   
   

   

   
   เปลี่ยนสิทธิ์การอนุญาตเข้าถึงไฟล์ของโฟลเดอร์ Joomla
   chomd -R 775 /var/www/html/joomla/
   
   

   

   
   
5. เปิดเบราว์เซอร์ขึ้นมาแล้ว แล้วพิมพ์ https://server-ip/joomla จะขึ้นหน้า Prepare ของ Joomla ตามรูป
   
   ใส่ชื่อ Website ที่ต้องการ
   
   

   

   
   ใส่ user admin ที่ต้องการ เพื่อเข้าใช้งาน Joomla
   
   

   

   
   ใส่ user ที่มีสิทธิ์เข้าถึงฐานข้อมูลของ joomla_db ที่ได้สร้างไว้ในข้อ 3 จากนั้นกด ติดตั้ง joomla
   
   

   

   
   เมื่อติดตั้งเสร็จ จะขึ้นหน้าตามรูป ให้เราลองกดไปที่ "เปิดผู้ดูแลระบบ"

            
            Login ด้วย user admin ที่เราได้สร้างไว้

            เป็นอันเสร็จเรียบร้อย ตอนนี้ Joomla พร้อมใช้งานแล้ว
            - url สำหรับเข้าหน้า Admin http://server-ip/joomla/administrator/