กลุ่มผู้ไม่ประสงค์ดีใหม่ “GambleForce” กำลังโจมตีบริษัทในภูมิภาคเอเชียแปซิฟิก ด้วยการใช้งาน SQL Injection

    กลุ่มผู้ไม่ประสงค์ดีที่ปรากฏตัวขึ้นใหม่ภายใต้ชื่อ "GambleForce" กำลังโจมตีบริษัทต่างๆ เอเชียแปซิฟิก (APAC) ด้วยวิธี SQL Injection ตั้งแต่เดือนกันยายน 2023

    บริษัท Group-IB จากประเทศสิงคโปร์ ระบุไว้ในรายงานว่า "GambleForce ใช้ชุดการโจมตีแบบเทคนิคพื้นฐาน แต่มีประสิทธิภาพสูง รวมถึงการโจมตีแบบ SQL injection และการใช้ประโยชน์จากช่องโหว่ใน website content management systems (CMS) เพื่อขโมยข้อมูลสำคัญ เช่น ข้อมูล credentials ของผู้ใช้"

    คาดว่ากลุ่ม GambleForce โจมตีองค์กรต่าง ๆ ไปแล้วกว่า 24 องค์กร โดยมุ่งเป้าไปที่ บ่อนการพนัน, หน่วยงานรัฐบาล, บริษัทค้าปลีก และการท่องเที่ยว ในประเทศออสเตรเลีย บราซิล จีน อินเดีย อินโดนีเซีย ฟิลิปปินส์ เกาหลีใต้ และไทย ซึ่งการโจมตีเหล่านี้ประสบความสำเร็จถึง 6 ครั้ง

    กลุ่มผู้ไม่ประสงค์ดี GambleForce จะใช้เครื่องมือโอเพ่นซอร์สตลอดกระบวนการโจมตี เช่น dirsearch, sqlmap, tinyproxy, และ redis-rogue-getshell โดยมีเป้าหมายคือ การขโมยข้อมูลสำคัญจากเครือข่ายที่ถูกโจมตี นอกเหนือจากเครื่องมือโอเพ่นซอร์สแล้ว GambleForce ยังใช้ Cobalt Strike ซึ่งเป็นเฟรมเวิร์ก post-exploitation โดยใช้คำสั่งเป็นภาษาจีน แต่ยังไม่แน่ชัดว่าแหล่งกำเนิดของกลุ่มนี้มาจากที่ไหน

 กลุ่มผู้ไม่ประสงค์ดี GambleForce เกี่ยวข้องกับการใช้ช่องโหว่ของแอปพลิเคชันที่เปิดให้เข้าถึงจากอินเทอร์เน็ตของเป้าหมาย โดยใช้ SQL Injection และการใช้ประโยชน์จากช่องโหว่ CVE-2023-23752 ซึ่งเป็นช่องโหว่ระดับความรุนแรงปานกลางใน Joomla CMS เพื่อเข้าถึงข้อมูลของบริษัทในบราซิลโดยไม่ได้รับอนุญาต

    การโจมตีแบบ SQL Injection อาศัยเครื่องมือโอเพ่นซอร์สยอดนิยมอย่าง "sqlmap" ซึ่งออกแบบมาเพื่อช่วยในการทำ penetration testing โดยทำหน้าที่ระบุ database servers ที่อาจมีช่องโหว่ SQL Injection และทำการโจมตีเพื่อเข้าควบคุมระบบ ในการโจมตีดังกล่าว กลุ่มผู้ไม่ประสงค์ดีจะทำการ inject SQL code ที่เป็นอันตรายเข้าไปในเว็บไซต์เป้าหมาย ทำให้สามารถ Bypass ระบบยืนยันตัวตน และเข้าถึงข้อมูลที่สำคัญ เช่น ข้อมูล credentials ของผู้ใช้ที่เข้ารหัส และแบบ plaintext

    ปัจจุบันยังไม่ทราบแน่ชัดว่า GambleForce นำข้อมูลที่ขโมยมาไปใช้ประโยชน์อย่างไร โดย Group-IB ระบุว่า พวกเขาได้ปิดเซิร์ฟเวอร์ควบคุม และสั่งการ (C2) ของผู้โจมตีลงได้แล้ว และได้แจ้งเตือนไปยังผู้เสียหายที่สามารถระบุตัวตนได้

    Nikita Rostovcev นักวิเคราะห์ภัยคุกคามอาวุโสจาก Group-IB ระบุว่า "web injections เป็นวิธีการโจมตีที่ค่อนข้างเก่า แต่ก็ยังถือว่าถูกใช้ในการโจมตีมากที่สุด" สาเหตุก็คือ ในบางครั้งนักพัฒนามักจะมองข้ามความสำคัญของการรักษาความปลอดภัยของ input security และ data validation โดยการเขียนโค้ดที่ไม่ปลอดภัย, การตั้งค่า database ที่ไม่ถูกต้อง และซอฟต์แวร์ที่ล้าสมัย เป็นการเอื้อต่อการโจมตีด้วย SQL injection ในแอปพลิเคชัน

Ref : thehackernews

พบช่องโหว่ใน QNAP VioStor NVR ที่ถูก InfectedSlurs Botnet ใช้ในการโจมตี

   พบ Mirai-base Botnet ในชื่อ “InfectedSlurs” กำลังโจมตีโดยใช้ช่องโหว่การเรียกใช้โค้ดที่เป็นอันตรายจากระยะไกล Remote Code Execution (RCE) ในอุปกรณ์ QNAP VioStor NVR (Network Video Recorder) เพื่อยึดเครื่องเป้าหมาย และนำไปใช้ในการโจมตีแบบ DDoS (distributed denial of service) ต่อไป

   InfectedSlurs Botnet ถูกพบโดยทีม Security Intelligence Response Team (SIRT) ของ Akamai ในเดือนตุลาคม 2023 ซึ่งได้พบการโจมตีโดยใช้ช่องโหว่ Zero-day 2 รายการ ในเราเตอร์ และอุปกรณ์ NVR และคาดว่าได้เริ่มทำการโจมตีมาตั้งปลายปี 2022 โดยในตอนนั้นเนื่องจากเจ้าของผลิตภัณฑ์ไม่ได้ออกอัปเดตแก้ไขช่องโหว่ดังกล่าว ทาง Akamai จึงยังไม่ได้เปิดเผยข้อมูลใด ๆ เกี่ยวกับช่องโหว่ที่ InfectedSlurs ใช้ในการโจมตีเป้าหมาย ต่อมาหลังทางเจ้าของผลิตภัณฑ์ได้ออกแพตซ์อัปเดตเพื่อแก้ไขช่องโหว่แล้ว ทาง Akamai จึงได้เผยแพร่รายงานการค้นพบในเดือนพฤศจิกายน 2023

ช่องโหว่ Zero-day 2 รายการ

• CVE-2023-49897 (คะแนน CVSS 8.8/10 ความรุนแรงระดับสูง) รายการแรกเป็นช่องโหว่ที่ส่งผลกระทบต่อ FXC AE1021และ AE1021PE WiFi routers ซึ่งทางเจ้าของผลิตภัณฑ์ได้ออกแพตซ์อัปเดตความปลอดภัยในวันที่ 6 ธันวาคม 2023 พร้อมด้วย firmware version 2.0.10 และแนะนำให้ผู้ใช้สั่งทำ factory reset และเปลี่ยน default password
• CVE-2023-47565 (คะแนน CVSS 8.8/10 ความรุนแรงระดับสูง) รายการที่สองเป็นช่องโหว่ OS command injection ซึ่งส่งผลกระทบต่อรุ่น QNAP VioStor NVR ที่ใช้ QVR firmware 4.x. โดย QNAP ได้ออกแพตซ์อัปเดตเพื่อแก้ไขช่องโหว่เมื่อวันที่ 7 ธันวาคม 2023 เพื่อแก้ไขช่องโหว่ Zero-day ใน QVR firmware QVR 5.x และใหม่กว่า ซึ่งมีให้สำหรับทุกรุ่นที่รองรับ

   เนื่องจาก QVR firmware QVR 5.0 ได้มีการเปิดตัวมาแล้วนานกว่า 10 ปี จึงสรุปได้ว่า InfectedSlurs Botnet มุ่งเป้าหมายการโจมตีไปยัง VioStor NVR รุ่นเก่าที่ไม่เคยอัปเดตเฟิร์มแวร์หลังจากการตั้งค่าครั้งแรก

QNAP ได้ให้คำแนะนำสำหรับการแก้ไข NVR ที่มีช่องโหว่

• เข้าสู่ระบบ QVR ด้วยสิทธิผู้ดูแลระบบ ไปที่ 'Control Panel → System Settings → Firmware Update' และคลิก 'Browse' เพื่อค้นหาเวอร์ชันที่เหมาะสมสำหรับรุ่นที่ใช้งานอยู่ หลังจากนั้นคลิก 'Update System' และรอให้ QVR ติดตั้งการอัปเดต
• แนะนำให้เปลี่ยนรหัสผ่านผู้ใช้บน QVR ผ่าน 'Control Panel → Privilege → Users → Change Password'
• ทั้งนี้ VioStor NVR ที่ครบกำหนด EOL (หมดอายุการใช้งาน) อาจจะไม่มีแพตซ์อัปเดตใน QVR firmware QVR 5.x หรือใหม่กว่า วิธีการแก้ไขวิธีการเดียวคือการแทนที่ด้วยรุ่นที่ใหม่กว่า และยังได้รับการป้องกันด้านความปลอดภัย

Ref : bleepingcomputer

MongoDB ตรวจพบว่ามีการถูกขโมยข้อมูลลูกค้าและเปิดเผยจากการโจมตีทางไซเบอร์

MangoDB ออกมาเตือนลูกค้าของทางบริษัทว่าระบบของบริษัทถูกผู้ไม่ประสงค์ดี เจาะระบบและได้ขโมยข้อมูลลูกค้าออกไปใช้ในการโจมตีทางไซเบอร์เมื่อต้นสัปดาห์ที่ผ่านมา

มีการส่ง E-mail ไปแจ้งยังลูกค้าของทาง MangoDB จากทาง CISO Lena Smart ว่าพวกเขาตรวจพบการโจมตีตั้งแต่เย็นของวันพุธที่ 13 ธันวาคม 2566 ช่วงเย็นที่ผ่านมา

ทาง บริษัท ได้แจ้งว่ากำลังตรวจสอบถึงเหตุการณ์ที่เกิดขึ้นมีการเข้าถึงระบบของ MangoDB โดยไม่ได้รับอนุญาต ซึ่งรวมถึงการเปิดเผยข้อมูลของลูกค้าและข้อมูลในการติดต่อ และเราไม่ได้นิ่งนอนใจกับเหตุการณ์ครั้งนี้

ซึ่งเป็นส่วนหนึ่งของ E-Mail ที่ทาง MangoDB แจ้งไปยังลูกค้า

MangoDB ยังคงมั่นใจว่าผู้ไม่ประสงค์ดีไม่สามารถเข้าถึงข้อมูลที่จัดเก็บไว้ใน MangoDB Atlas และผู้ไม่ประสงค์ดีสามารถเข้าถึงระบบได้เพียงระยะหนึ่งก่อนที่จะมีการตรวจพบและทำการตัดการเชื่อมต่อได้ทัน

เมื่อมีการเปิดเผยข้อมูลของลูกค้า ทาง MangoDB ได้ให้คำแนะนำไปยังลูกค้าว่าให้ทำการเปิดระบบการตรวจสอบสิทธิแบบหลายขั้นตอนในการใช้งาน USER ACCOUNT ของลูกค้า และเปลี่ยนแปลงรหัสผ่าน และให้ระมัดระวัง

การโจมตีแบบฟิชชิ่งและมีการประกาศการแจ้งเตือนเป็นระยะสามารถติดตามได้ที่ mongodb/alerts

Ref : bleepingcomputer

Ransomware DJVU สายพันธุ์ใหม่ ‘Xaro’ แฝงตัวเป็นไฟล์ Crack ของซอฟแวร์ผิดลิขสิทธิ์

    พบการแพร่กระจายของแรนซัมแวร์สายพันธุ์หนึ่งที่รู้จักกันในชื่อ DJVU ในรูปแบบของไฟล์ Crack ที่ใช้สำหรับซอฟแวร์ที่ผิดลิขสิทธิ์

    Ralph Villanueva ผู้เชี่ยวชาญด้านความปลอดภัยของ ระบุว่า “แม้ว่ารูปแบบการโจมตีลักษณะนี้จะไม่ใช่เรื่องใหม่ แต่ DJVU สายพันธุ์นี้จะต่อท้ายนามสกุลไฟล์ด้วย .xaro ไปยังไฟล์ที่ถูกโจมตี เพื่อเรียกค่าไถ่สำหรับตัวถอดรหัส ถูกพบว่ากำลังแพร่กระจายในระบบควบคู่ไปกับมัลแวร์สำหรับขโมยข้อมูลต่าง ๆ”

โดยแรนซัมแวร์สายพันธุ์ใหม่นี้ได้รับรหัสชื่อ Xaro จาก Cybereason

   DJVU ซึ่งเป็นแรนซัมแวร์สายพันธุ์หนึ่งของ STOP ransomware โดยปกติจะมาในรูปแบบที่ปลอมเป็นบริการ หรือแอปพลิเคชันที่ดูถูกต้องตามปกติ นอกจากนี้ยังเคยถูกใช้เป็นเพย์โหลดของ SmokeLoader อีกด้วย

จุดสังเกตที่สำคัญของการโจมตีจาก DJVU 

    คือการใช้มัลแวร์อื่น ๆ ร่วมด้วยเพิ่มเติม เช่น มัลแวร์สำหรับขโมยข้อมูล (เช่น RedLine Stealer และ Vidar) ซึ่งมักจะทำให้เกิดความเสียหายมากขึ้น ในการโจมตีครั้งล่าสุดที่บันทึกไว้โดย Cybereason มัลแวร์ Xaro จะเป็นไฟล์ archive ที่ถูกดาวน์โหลดมาจากแหล่งที่น่าสงสัย ซึ่งเป็นเว็บไซต์ปลอมที่ให้สามารถดาวน์โหลดฟรีซอฟแวร์ที่ดูเหมือนถูกต้องตามกฎหมาย การเปิดไฟล์ archive จะนำไปสู่การรันไบนารีติดตั้งซอฟต์แวร์ PDF writing ที่ชื่อว่า CutePDF ซึ่งในความเป็นจริงเป็นการติดตั้งมัลแวร์ที่รู้จักกันในชื่อ PrivateLoader

    โดย PrivateLoader นอกเหนือจากการนำไปสู่การติดตั้ง Xaro แล้ว มันจะทำการเชื่อมต่อกับ C2 Server เพื่อดาวน์โหลดมัลแวร์อื่น ๆ อีกจำนวนมาก เช่น RedLine Stealer, Vidar, Lumma Stealer, Amadey, SmokeLoader, Nymaim, GCleaner, XMRig และ Fabookie ผู้เชี่ยวชาญด้านความปลอดภัยยังอธิบายเพิ่มเติมว่า "แนวทางการแพร่กระจายลักษณะนี้มักจะมาจากการดาวน์โหลด และติดตั้งมัลแวร์ PrivateLoader ที่เกิดจากเว็บไซต์ฟรีซอฟแวร์ หรือไฟล์ Crack ของซอฟแวร์ผิดลิขสิทธิ์"

    เป้าหมายของมัลแวร์ดูเหมือนจะเป็นการรวบรวมข้อมูลที่มีความสำคัญเพื่อการเรียกค่าไถ่ ตลอดจนเพื่อให้แน่ใจว่าการโจมตีจะประสบความสำเร็จ แม้ว่าจะมีเพย์โหลดใดเพย์โหลดหนึ่งถูกบล็อกโดยซอฟต์แวร์รักษาความปลอดภัย

    มัลแวร์ Xaro นอกเหนือจากการสร้างอินสแตนซ์ของ Vidar infostealer ยังสามารถเข้ารหัสไฟล์ในโฮสต์ที่ติดมัลแวร์ ก่อนที่จะทิ้งไฟล์เพื่อเรียกค่าไถ่ โดยจะขู่ให้เหยื่อติดต่อกลับในการจ่ายค่าไถ่เพื่อรับคีย์สำหรับถอดรหัสในราคา $980 ซึ่งจะลดลง 50% เป็น $490 หากติดต่อกลับภายใน 72 ชั่วโมง

    เหตุการณ์นี้แสดงให้เห็นถึงความเสี่ยงของการดาวน์โหลดฟรีซอฟแวร์จากแหล่งที่มาที่ไม่น่าเชื่อถือ เช่น แคมเปญของ FakeUpdateRU ที่ใช้การแจ้งเตือนการอัปเดตเบราว์เซอร์ปลอมเพื่อติดตั้ง RedLine Stealer

โดยผู้โจมตีมักใช้ฟรีซอฟแวร์ปลอม เพื่อเป็นช่องทางในการแพร่กระจายมัลแวร์อย่างลับ ๆ และองค์กรควรเข้าใจถึงผลกระทบที่อาจเกิดขึ้นอย่างรวดเร็ว และกว้างขวางจากการติดมัลแวร์ และการปกป้องข้อมูล

Ref : thehackernews

Microsoft ทำการปล่อย Patch Update ประจำเดือนธันวาคม December 2023

    ทาง Microsoft ได้ทำการปล่อย Patch Update ของเดือนธันวาคม 2023 โดยมีการแก้ไขช่องโหว่

จำนวน 34 รายการ และ 1 ช่องโหว่ที่เป็น Zero-Day

   โดยที่มีรายการช่องโหว่ที่ร้ายแรงที่เป็นการโจมตีจากระยะไกล (RCE) ถึง 8 ช่องโหว่ที่ได้รับการแก้ไขแล้วใน Patch นี้ แต่ยังเหลืออีก 3 ช่องโหว่ที่ยังคงไม่ได้รับการแก้ไขใด ๆ โดยรวมแล้ว

ช่องโหว่ที่ร้ายแรง 4 รายการที่ยังไม่ได้รับการแก้ไข ดังนี้:

1. Power Platform (Spoofing) จำนวน 1 รายการ
2. Internet Connection Sharing (RCE) จำนวน 2 รายการ
3. Windows MSHTML Platform (RCE) จำนวน 1 รายการ

รายการที่ได้รับการแก้ไขใน Patch นี้จำนวน 34 รายการแล้วนั้น มีรายการต่าง ๆ ดังนี้:

1. 10 Elevation of Privilege Vulnerabilities
2. 8 Remote Code Execution Vulnerabilities
3. 6 Information Disclosure Vulnerabilities
4. 5 Denial of Service Vulnerabilities
5. 5 Spoofing Vulnerabilities

Zero-day ที่ได้รับการแก้ไขใน Patch นี้:

    มีการเปิดเผยในข้อมูลของ Patch Tuesday ของเดือนธนัวาคม 2023 ที่แก้ไขช่องโหว่แบบ Zero-Day ของ AMD ที่ถูกพบเมื่อเดือนสิงหาคม 2023

    โดย CVE - 2023- 20588 - AMD:CVE-2023-20588 AMD Speculative Leaks vulnerability is a division-by-zero bug in specific AMD processors that could potentially return sensitive data.

ถ้าต้องการหาช่องทางในการแก้ไขสามารถศึกษารายละเอียดในการแก้ไขได้ที่ amd.com

ใน Patch ธันวาคม 2023 จากทางผู้ผลิตอื่น ๆ นอกจากทาง Microsoft ยกตัวอย่างเช่น

• Apple apple emergency updates fix recent zero-days on older iphones
• Cisco cisco sa asa ssl vpn
• Google december android updates fix critical zero click rce flaw
• VMware vmware fixes critical cloud director auth bypass unpatched for 2 weeks

December 2023 Patch Tuesday Security Updates

Tag	CVE ID	CVE Title	Severity
Azure Connected Machine Agent	CVE-2023-35624	Azure Connected Machine Agent Elevation of Privilege Vulnerability	Important
Azure Machine Learning	CVE-2023-35625	Azure Machine Learning Compute Instance for SDK Users Information Disclosure Vulnerability	Important
Chipsets	CVE-2023-20588	AMD: CVE-2023-20588 AMD Speculative Leaks Security Notice	Important
Microsoft Bluetooth Driver	CVE-2023-35634	Windows Bluetooth Driver Remote Code Execution Vulnerability	Important
Microsoft Dynamics	CVE-2023-35621	Microsoft Dynamics 365 Finance and Operations Denial of Service Vulnerability	Important
Microsoft Dynamics	CVE-2023-36020	Microsoft Dynamics 365 (on-premises) Cross-site Scripting Vulnerability	Important
Microsoft Edge (Chromium-based)	CVE-2023-35618	Microsoft Edge (Chromium-based) Elevation of Privilege Vulnerability	Moderate
Microsoft Edge (Chromium-based)	CVE-2023-36880	Microsoft Edge (Chromium-based) Information Disclosure Vulnerability	Low
Microsoft Edge (Chromium-based)	CVE-2023-38174	Microsoft Edge (Chromium-based) Information Disclosure Vulnerability	Low
Microsoft Edge (Chromium-based)	CVE-2023-6509	Chromium: CVE-2023-6509 Use after free in Side Panel Search	Unknown
Microsoft Edge (Chromium-based)	CVE-2023-6512	Chromium: CVE-2023-6512 Inappropriate implementation in Web Browser UI	Unknown
Microsoft Edge (Chromium-based)	CVE-2023-6508	Chromium: CVE-2023-6508 Use after free in Media Stream	Unknown
Microsoft Edge (Chromium-based)	CVE-2023-6511	Chromium: CVE-2023-6511 Inappropriate implementation in Autofill	Unknown
Microsoft Edge (Chromium-based)	CVE-2023-6510	Chromium: CVE-2023-6510 Use after free in Media Capture	Unknown
Microsoft Office Outlook	CVE-2023-35636	Microsoft Outlook Information Disclosure Vulnerability	Important
Microsoft Office Outlook	CVE-2023-35619	Microsoft Outlook for Mac Spoofing Vulnerability	Important
Microsoft Office Word	CVE-2023-36009	Microsoft Word Information Disclosure Vulnerability	Important
Microsoft Power Platform Connector	CVE-2023-36019	Microsoft Power Platform Connector Spoofing Vulnerability	Critical
Microsoft WDAC OLE DB provider for SQL	CVE-2023-36006	Microsoft WDAC OLE DB provider for SQL Server Remote Code Execution Vulnerability	Important
Microsoft Windows DNS	CVE-2023-35622	Windows DNS Spoofing Vulnerability	Important
Windows Cloud Files Mini Filter Driver	CVE-2023-36696	Windows Cloud Files Mini Filter Driver Elevation of Privilege Vulnerability	Important
Windows Defender	CVE-2023-36010	Microsoft Defender Denial of Service Vulnerability	Important
Windows DHCP Server	CVE-2023-35643	DHCP Server Service Information Disclosure Vulnerability	Important
Windows DHCP Server	CVE-2023-35638	DHCP Server Service Denial of Service Vulnerability	Important
Windows DHCP Server	CVE-2023-36012	DHCP Server Service Information Disclosure Vulnerability	Important
Windows DPAPI (Data Protection Application Programming Interface)	CVE-2023-36004	Windows DPAPI (Data Protection Application Programming Interface) Spoofing Vulnerability	Important
Windows Internet Connection Sharing (ICS)	CVE-2023-35642	Internet Connection Sharing (ICS) Denial of Service Vulnerability	Important
Windows Internet Connection Sharing (ICS)	CVE-2023-35630	Internet Connection Sharing (ICS) Remote Code Execution Vulnerability	Critical
Windows Internet Connection Sharing (ICS)	CVE-2023-35632	Windows Ancillary Function Driver for WinSock Elevation of Privilege Vulnerability	Important
Windows Internet Connection Sharing (ICS)	CVE-2023-35641	Internet Connection Sharing (ICS) Remote Code Execution Vulnerability	Critical
Windows Kernel	CVE-2023-35633	Windows Kernel Elevation of Privilege Vulnerability	Important
Windows Kernel	CVE-2023-35635	Windows Kernel Denial of Service Vulnerability	Important
Windows Kernel-Mode Drivers	CVE-2023-35644	Windows Sysmain Service Elevation of Privilege	Important
Windows Local Security Authority Subsystem Service (LSASS)	CVE-2023-36391	Local Security Authority Subsystem Service Elevation of Privilege Vulnerability	Important
Windows Media	CVE-2023-21740	Windows Media Remote Code Execution Vulnerability	Important
Windows MSHTML Platform	CVE-2023-35628	Windows MSHTML Platform Remote Code Execution Vulnerability	Critical
Windows ODBC Driver	CVE-2023-35639	Microsoft ODBC Driver Remote Code Execution Vulnerability	Important
Windows Telephony Server	CVE-2023-36005	Windows Telephony Server Elevation of Privilege Vulnerability	Important
Windows USB Mass Storage Class Driver	CVE-2023-35629	Microsoft USBHUB 3.0 Device Driver Remote Code Execution Vulnerability	Important
Windows Win32K	CVE-2023-36011	Win32k Elevation of Privilege Vulnerability	Important
Windows Win32K	CVE-2023-35631	Win32k Elevation of Privilege Vulnerability	Important
XAML Diagnostics	CVE-2023-36003	XAML Diagnostics Elevation of Privilege Vulnerability	Important

และสามารถดูข้อมูลเพิ่มเติมได้ที่ Microsoft Patch tuesday Reports December 2023

Ref : bleepingcomputer

Toyota Financial Services แจ้งเตือนไปยัง Toyota ทั่วโลก ถึงเหตุการณ์ข้อมูลลูกค้ารั่วไหล กระทบต่อข้อมูลส่วนบุคคล และข้อมูลทางการเงิน

    Toyota Financial Services เป็นบริษัทในเครือของ Toyota Motor Corporation ได้ออกมาประกาศแจ้งเตือนถึงลูกค้าเรื่องข้อมูลรั่วไหล ซึ่งส่งผลกระทบต่อข้อมูลส่วนบุคคล และข้อมูลทางการเงิน

    เหตุการณ์นี้เกิดขึ้นเมื่อเดือนที่ผ่านมา โดยบริษัทถูกเข้าถึงระบบบางส่วนในยุโรป และแอฟริกาโดยไม่ได้รับอนุญาต ภายหลังจากที่ Medusa ransomware อ้างว่าโจมตีแผนกผู้ผลิตรถยนต์ของญี่ปุ่นสําเร็จ โดยผู้โจมตีได้เรียกค่าไถ่จำนวน 8,000,000 ดอลลาร์ เพื่อลบข้อมูลที่ขโมยมา และให้เวลา Toyota 10 วันในการติดต่อกลับ

    โดย Toyota ให้ข้อมูลกับ BleepingComputer เพิ่มเติมว่า เมื่อทราบถึงเหตุการณ์ดังกล่าว บริษัทได้ทำการออฟไลน์ระบบบางระบบเพื่อปิดช่องโหว่ ทำให้ส่งผลกระทบต่อการบริการลูกค้า ทั้งนี้ สันนิษฐานว่า Toyota ยังไม่ได้มีการเจรจาการจ่ายค่าไถ่กับผู้โจมตี ทำให้ขณะนี้ข้อมูลทั้งหมดถูกปล่อยออกมาบนดาร์กเว็บ

    จากการที่ Toyota Kreditbank GmbH ในเยอรมนี ซึ่งเป็นหนึ่งในหน่วยงานที่ได้รับผลกระทบจากเหตุการณ์ในครั้งนี้ ได้ออกมายอมรับว่าผู้ไม่ประสงค์ดีสามารถเข้าถึงข้อมูลส่วนบุคคลของลูกค้า ส่งผลให้ข้อมูลของลูกค้าจำนวนหนึ่งถูกขโมยออกไป โดยสำนักข่าว Heise ของเยอรมนี ได้รับตัวอย่างแถลงการณ์ที่ Toyota ส่งถึงลูกค้าชาวเยอรมัน แจ้งว่าข้อมูลรั่วไหลประกอบด้วยข้อมูลดังต่อไปนี้

ข้อมูลที่รั่วไหลออกไป

• ชื่อ
• ที่อยู่
• ข้อมูลสัญญา
• รายละเอียดการเช่าซื้อ
• IBAN (หมายเลขบัญชีธนาคารระหว่างประเทศ)

    โดยข้อมูลที่ถูกขโมยไปเพียงพอสำหรับการนำมาใช้โจมตีแบบฟิชชิ่ง การหลอกลวง และการทำธุรกรรมทางการเงิน รวมถึงการขโมยข้อมูลส่วนบุคคล ดังนั้นจึงควรระมัดระวังความผิดปกติที่อาจจะเกิดขึ้น

    อย่างไรก็ตามการตรวจสอบยังไม่เสร็จสิ้น และยังมีความเป็นไปได้ที่ผู้โจมตีจะสามารถเข้าถึงข้อมูลเพิ่มเติม โดยทาง Toyota กำลังดำเนินการตรวจสอบอย่างละเอียด และหากพบว่ามีการเปิดเผยข้อมูลเพิ่มเติม คาดว่าบริษัทจะรีบแจ้งให้ผู้ที่ได้รับผลกระทบทราบโดยทันที

Ref : bleepingcomputer

Krasue RAT (กระสือ) ใช้ Rootkit โจมตีไปยัง Linux server ของบริษัทโทรคมนาคมในประเทศไทย

    Treath Hunter จากบริษัทความปลอดภัยทางไซเบอร์ Group-IB ค้นพบ Trojan ที่ใช้สำหรับเข้าถึงจากระยะไกล RAT (Remote Access Trojan) โดยตั้งชื่อว่า Krasue (กระสือ) ซึ่งมีการกำหนดเป้าหมายไปยังระบบ Linux ของบริษัทโทรคมนาคม ซึ่งพบว่ามีการซ่อนตัวมาตั้งแต่ปี 2021

    อีกทั้งยังพบว่าไบนารีของ Krasue RAT มี Rootkit ถึง 7 รูปแบบที่รองรับ Linux kernel หลายเวอร์ชัน และอิงตามโค้ดจาก Project open-source 3 Project

    Krasue RAT จะแฝงตัวในเครื่องเป้าหมาย ซึ่งอาจจะใช้วิธีการเข้าถึงระบบของเหยื่อผ่านทาง Botnet หรือจากข้อมูลที่ถูกขายมาจากผู้โจมตีรายอื่น ที่ใช้สำหรับเพื่อเข้าถึงเป้าหมายโดยเฉพาะ

    Group-IB ยังระบุเพิ่มเติมอีกว่า Krasue RAT อาจถูกใช้ภายหลังจากการโจมตีสำเร็จ เพื่อแฝงตัวในเครื่องเป้าหมาย แต่ยังไม่สามารถระบุได้ว่าใช้วิธีการใดในการแพร่กระจาย ซึ่งอาจจะผ่านทางช่องโหว่ต่าง ๆ หรือการดาวน์โหลดโปรแกรม หรือไบนารีที่ไม่ปลอดภัยซึ่งอาจปลอมเป็นโปรแกรมที่ดูเหมือนถูกต้องตามปกติ โดยเป้าหมายในการโจมตีคือบริษัทโทรคมนาคมในประเทศไทยเท่านั้น

Rootkit

    จากการวิเคราะห์ของ Group-IB พบว่า Rootkit ภายในไบนารีของ Krasue RAT คือ Linux Kernel Module (LKM) ที่ปลอมแปลงเป็นไดรเวอร์ VMware หลังจากถูกเรียกใช้งาน ซึ่ง rootkit ระดับ Kernel นั้นตรวจพบ และลบได้ยาก เนื่องจาก Rootkit ทำงานในระดับความปลอดภัยเดียวกันกับระบบปฏิบัติการ

    โดย rootkit ดังกล่าวรองรับ Linux Kernel เวอร์ชัน 2.6x/3.10.x ซึ่งช่วยให้ไม่ถูกตรวจจับ เนื่องจากเซิร์ฟเวอร์ Linux รุ่นเก่ามักมีการป้องกันด้านความปลอดภัยที่ต่ำ

    Treath Hunterของ Group-IB พบว่า Rootkit ทั้ง 7 เวอร์ชันมีความสามารถในการเรียกใช้ system call และ function call hooking ที่เหมือนกัน รวมถึงใช้ชื่อปลอม “VMware User Mode Helper” ชื่อเดียวกัน

    Treath Hunterได้ตรวจสอบโค้ด และพบว่า rootkit นั้นใช้ Rootkit LKM แบบ open-source สามแบบ โดยเฉพาะ Diamorphine, Suterusu และ Rooty ซึ่งทั้งหมดนี้มีให้บริการมาตั้งแต่ปี 2017 Krasue Rootkit สามารถซ่อน Port หรือยกเลิกการซ่อน Port ทำให้สามารถซ่อนตัว, ใช้สิทธิ์รูท และเรียกใช้คำสั่ง kill สำหรับ ID ของ Process ใด ๆ ก็ได้ นอกจากนี้ยังสามารถปกปิดร่องรอยด้วยการซ่อนไฟล์ และไดเร็กทอรีที่เกี่ยวข้องกับ Malware Krasue สามารถเชื่อมต่อกลับไปยัง

command and control (C2) server ด้วยคำสั่งต่อไปนี้ :

• ping - ตอบกลับด้วย `pong`
• master - ตั้งค่า master upstream C2
• info - รับข้อมูลเกี่ยวกับMalware: main pid, child pid และสถานะ เช่น “root : ได้รับสิทธิ์ root” “god : ไม่สามารถลบ process ได้” “hidden : ซ่อน process ” “module : โหลด Rootkit”
• restart - รีสตาร์ท child process
• respawn - รีสตาร์ท main process
• god die - ** ลบตัวเอง
• shell - รัน shell commands ด้วย `/bin/sh`

    Group-IB พบ IP addresses ของ C2 ที่แตกต่างกัน 9 รายการ ที่ hardcode ลงใน Malware โดยมี IP addresses หนึ่งรายการ ที่ใช้ Port : 554 ซึ่งเป็นการเชื่อมต่อ RTSP (Real Time Streaming Protocol) ทั้งนี้การเชื่อมต่อผ่าน Port : 554 RTSP ไม่ได้พบบ่อยนัก ทำให้เป็นอีกจุดสังเกตุในการตรวจสอบ Krasue Rootkit

    RTSP เป็น network control protocol ที่ออกแบบมาสำหรับ streaming media servers ซึ่งช่วยสร้าง และควบคุมเซสชันการเล่นสื่อสำหรับสตรีมวิดีโอ และเสียง การนำทางสื่อ การจัดการสตรีมการประชุม และอื่น ๆ แม้ว่า Treath Hunter จะยังไม่ทราบที่มาของ Malware Krasue แต่พบว่า Krasue Rootkit มีความคล้ายคลึงกับ Linux malware ที่เรียกว่า XorDdos อาจเป็นไปได้ว่าผู้พัฒนา Krasue ก็สามารถเข้าถึงโค้ด XorDdos ได้เช่นกัน ทั้งนี้ปัจจุบันบริษัทรักษาความปลอดภัยทางไซเบอร์ได้ให้ข้อมูล YARA rules เพื่อการตรวจจับ และสนับสนุนให้ Treath Hunter คนอื่นเผยแพร่สิ่งที่พวกเขารู้เกี่ยวกับMalwareตัวดังกล่าว

YARA rules

• auwd.bin - 902013bc59be545fb70407e8883717453fb423a7a7209e119f112ff6771e44cc
• auwd.bin - b6db6702ca85bc80599d7f1d8b1a9b6dd56a8e87c55fc831dc9c689e54b8205d
• auwd.bin (packed) - ed38a61a6b7af436120465d352baa4cdf4ed8f01a7db7245b6254353e52f818f
• auwd.bin (packed) - afbc79dfc4c7c4fd9b71b5fea23ef12adf0b84b1af22a993ecf91f3d829967a4

Rootkit

Rootkit v2.6.32-642:

97f08424b14594a5a39d214bb97823690f1086c78fd877558761afe0a032b772

Rootkit v2.6.32-220:

38ba7790697da0a736c80fd9a04731b8b0bac675cca065cfd42a56dde644e353

Rootkit v2.6.32-71:

e0748b32d0569dfafef6a8ffd3259edc6785902e73434e4b914e68fea86e6632

Rootkit v2.6.18:

4428d7bd7ae613ff68d3b1b8e80d564e2f69208695f7ab6e5fdb6946cc46b5e1

Rootkit v2.6.39:

c9552ba602d204571b9f98bd16f60b6f4534b3ad32b4fc8b3b4ab79f2bf371e5

Rootkit v3.10.0-514:

3e37c7b65c1e46b2eb132f98f65c711b4169c6caeeaecc799abbda122c0c4a59

Rootkit v3.10.0-327:

8a58dce7b57411441ac1fbff3062f5eb43a432304b2ba34ead60e9dd4dc94831

กลุ่ม APT28 ใช้ช่องโหว่ใน Outlook เพื่อขโมยบัญชี Microsoft Exchange

    Threat Intelligence ของ Microsoft ออกคำเตือนเมื่อวันที่ 4 ธันวาคม 2023 ที่ผ่านมา จากการพบกลุ่ม ผู้ไม่ประสงค์ดีที่ได้รับการสนับสนุนจากรัฐบาลรัสเซียในชื่อ APT28 ("Fancybear" หรือ "Strontium") ที่ได้ทำการโจมตีเป้าหมายโดยใช้ช่องโหว่ Outlook CVE-2023-23397 เพื่อขโมยบัญชี Microsoft Exchange และข้อมูลที่มีความสำคัญ โดยหน่วยงานที่ตกเป็นเป้าหมายในการโจมตีได้แก่ หน่วยงานรัฐบาล, หน่วยงานทางด้านพลังงาน, การขนส่ง และองค์กรสำคัญอื่น ๆ ในสหรัฐอเมริกา ยุโรป และตะวันออกกลาง รวมถึง Microsoft ยังพบการใช้ช่องโหว่อื่น ๆ ในการโจมตีด้วย เช่น CVE-2023-38831 ใน WinRAR และ CVE-2021-40444 ใน Windows MSHTML

การโจมตีช่องโหว่ Outlook

    CVE-2023-23397 (คะแนน CVSS 9.8/10 ความรุนแรงระดับ Critical) เป็นช่องโหว่การยกระดับสิทธิ์ Elevation of Privilege (EoP) ใน Outlook บน Windows ซึ่ง Microsoft ได้แก้ไขช่องโหว่ดังกล่าวแล้วใน Patch Tuesday เดือนมีนาคม 2023

    การโจมตีโดยใช้ช่องโหว่ Outlook ของกลุ่ม APT28 เริ่มขึ้นตั้งแต่เดือนเมษายน 2022 ผ่าน Outlook notes ที่สร้างขึ้นเป็นพิเศษซึ่งออกแบบมาเพื่อขโมย NTLM hashes โดยบังคับให้อุปกรณ์เป้าหมายตรวจสอบสิทธิ์การแชร์ SMB ที่ ผู้ไม่ประสงค์ดีควบคุม โดยไม่จำเป็นต้องมีการโต้ตอบจากผู้ใช้ หลังจากนั้นก็จะทำการแพร่กระจายไปในระบบของเป้าหมาย (lateral movement) และเปลี่ยนสิทธิ์กล่องจดหมายบน Outlook เพื่อดำเนินการขโมยอีเมลแบบกำหนดเป้าหมาย

    ถึงแม้ว่าจะมีการออกแพตซ์อัปเดตด้านความปลอดภัย และคำแนะนำในการป้องกัน แต่ช่องทางในการโจมตียังคงมีความอันตราย รวมถึงช่องโหว่ bypass of the fix (CVE-2023-29324) ที่ถูกเผยแพร่ในเดือนพฤษภาคม 2023 ก็ทำให้มีความเสี่ยงในการโจมตีเพิ่มยิ่งขึ้น

    Recorded Future ได้แจ้งเตือนในเดือนมิถุนายน 2023 ที่ผ่านมา จากการพบกลุ่ม APT28 ได้ใช้ช่องโหว่ของ Outlook ในการโจมตีไปยังองค์กรสำคัญของยูเครนในเดือนตุลาคม 2022 และหน่วยงานรักษาความปลอดภัยทางไซเบอร์ของฝรั่งเศส (ANSSI) ได้เปิดเผยว่ากลุ่ม APT28 ได้ใช้ช่องโหว่ Zero-Day ในการโจมตีหน่วยงานภาครัฐ, ธุรกิจ, มหาวิทยาลัย, สถาบันวิจัย และสถาบันวิจัยในฝรั่งเศส

คำแนะนำในการป้องกันตามลำดับความสำคัญ มีดังนี้ :

• อัปเดตแพตซ์ความปลอดภัยสำหรับช่องโหว่ CVE-2023-23397 และ CVE-2023-29324
• ใช้ script จาก Microsoft เพื่อตรวจสอบว่ามีการกำหนดเป้าหมายการโจมตีไปยังผู้ใช้ Exchange หรือไม่
• รีเซ็ตรหัสผ่านของผู้ใช้ที่ถูกโจมตี และเปิดใช้งาน MFA (multi-factor authentication) สำหรับผู้ใช้ทั้งหมด
• จำกัดการรับส่งข้อมูลผ่าน SMB โดยการบล็อกการเชื่อมต่อไปยังพอร์ต 135 และ 445 จากที่อยู่ IP ขาเข้าทั้งหมด
• ปิดการใช้งาน NTLM บนระบบ

    เนื่องจากกลุ่ม APT28 เป็นกลุ่ม ผู้ไม่ประสงค์ดีที่มีความสามารถสูง และสามารถปรับรูปแบบการโจมตีได้ตลอดเวลา วิธีการป้องกันการโจมตีที่ดีที่สุดคือการลดพื้นที่ที่มีความเสี่ยงในการถูกโจมตีให้ได้มากที่สุด รวมถึงหมั่นตรวจสอบซอฟต์แวร์ทั้งหมดในระบบ ว่าได้รับการอัปเดตอย่างสม่ำเสมอหรือไม่

Ref : bleepingcomputer

Google แจ้งเตือนผู้ไม่ประสงค์ดีกำลังใช้ประโยชน์จากช่องโหว่ของ Zimbra ในการโจมตีองค์กรภาครัฐ

   ผู้ไม่ประสงค์ดีใช้ประโยชน์จากช่องโหว่ CVE-2023-37580 ที่มีระดับความรุนแรงปานกลาง ซึ่งถูกพบเมื่อวันที่ 29 มิถุนายน 2023 เกือบหนึ่งเดือนก่อนที่ผู้ให้บริการจะออกแพตซ์แก้ไขช่องโหว่ดังกล่าวในเวอร์ชัน 8.8.15 Patch 41 เมื่อวันที่ 25 กรกฎาคม 2023 โดยเป็นช่องโหว่ XSS (cross-site scripting) ที่อยู่ใน Zimbra Classic Web Client

Timeline การโจมตี และการตอบสนองต่อการโจมตี

    นักวิจัยระบุว่า ผู้ไม่ประสงค์ดีใช้ประโยชน์จากช่องโหว่โจมตีระบบของรัฐบาลหลาย ๆ ประเทศ เพื่อขโมยข้อมูลอีเมล ข้อมูล credentials ของผู้ใช้งาน และ authentication tokens เพื่อดำเนินการส่งต่ออีเมล และนำเหยื่อไปยังหน้าฟิชชิ่ง

    Google พบว่ามีผู้ไม่ประสงค์ดี 4 ราย ใช้ช่องโหว่ที่ยังไม่เป็นที่รู้จักเมื่อปลายเดือนมิถุนายน 2023 เพื่อโจมตีองค์กรของรัฐบาลในประเทศกรีซ

    ผู้ไม่ประสงค์ดีได้ส่งอีเมลที่มี URL ที่เป็นอันตรายที่ทำให้สามารถขโมยข้อมูลอีเมล และดำเนินการส่งต่ออีเมลได้โดยอัตโนมัติไปยังที่อยู่ที่ควบคุมโดยผู้โจมตี

   โดย Zimbra ออก Hot Fix สำหรับแก้ไขช่องโหว่ฉุกเฉินบน GitHub ภายหลังจากที่นักวิเคราะห์ของ Google แจ้งเตือนถึงเหตุการณ์การโจมตีดังกล่าว

การโจมตีครั้งที่ 2 ถูกพบเมื่อวันที่ 11 กรกฎาคม 2023 โดยผู้ไม่ประสงค์ดีที่เป็นที่รู้จักในชื่อ "Winter Vivern" ซึ่งกำหนดเป้าหมายไปที่องค์กรภาครัฐในมอลโดวา และตูนิเซีย โดย URL ที่ใช้ในการโจมตีครั้งนี้จะโหลด JavaScript ที่เป็นอันตรายบนระบบเป้าหมาย

    วันที่ 13 กรกฎาคม Zimbra ได้เผยแพร่คำแนะนำด้านความปลอดภัยที่แนะนำการลดผลกระทบจากช่องโหว่ แต่ไม่มีรายละเอียดเกี่ยวกับผู้ไม่ประสงค์ดีที่ใช้ประโยชน์จากช่องโหว่ดังกล่าว

การโจมตีครั้งที่ 3 ถูกพบเมื่อวันที่ 20 กรกฎาคม 2023 จากกลุ่มผู้ไม่ประสงค์ดีที่ไม่ปรากฏชื่อ ซึ่งมุ่งเป้าไปที่องค์กรรัฐบาลเวียดนาม โดยการโจมตีเหล่านี้ใช้ URL เพื่อนำเหยื่อไปยังหน้าฟิชชิ่ง

ห้าวันต่อมา Zimbra ก็ได้ออกแพตซ์อย่างเป็นทางการสำหรับ CVE-2023-37580 แต่ยังคงไม่ได้ให้ข้อมูลเกี่ยวกับการโจมตีที่กำลังดำเนินการอยู่

    การโจมตีครั้งที่ 4 ถูกพบเมื่อวันที่ 25 สิงหาคม โดยผู้ไม่ประสงค์ดีได้ศึกษาช่องโหว่เพิ่มเติม หลังจากที่ผู้ให้บริการทำการออกแพตซ์เพื่อแก้ไข โดยช่องโหว่นี้ถูกใช้ประโยชน์เพื่อโจมตีระบบขององค์กรรัฐบาลปากีสถานเพื่อขโมย authentication tokens ของ Zimbra

    รายงานของ Google ไม่ได้เปิดเผยรายละเอียดเกี่ยวกับผู้โจมตี แต่ยังคงแจ้งเตือนให้ผู้ใช้งานทราบถึงความสําคัญของการอัปเดตแพตซ์ด้านความปลอดภัย แม้ว่าจะเป็นช่องโหว่ระดับความรุนแรงปานกลาง เนื่องจากมีการพบการใช้ประโยชน์จากช่องโหว่ในการโจมตีอยู่ในปัจจุบัน

    การโจมตีโดยใช้ช่องโหว่ CVE-2023-37580 เป็นหนึ่งในหลายตัวอย่างของช่องโหว่ XXS ที่ใช้ในการโจมตีอีเมลเซิร์ฟเวอร์ เช่น CVE-2022-24682 และ CVE-2023-5631 ซึ่งส่งผลกระทบต่อ Zimbra และ Roundcube

Ref: bleepingcomputer

Randstorm Exploit ทำให้ Bitcoin Wallets ระหว่างปี 2011-2015 เสี่ยงต่อการถูกขโมยโดยผู้ไม่ประสงค์ดี

    Bitcoin wallets ที่ถูกสร้างขึ้นระหว่างปี 2011-2015 มีความเสี่ยงต่อการถูกโจมตีรูปแบบใหม่ที่เรียกว่า Randstorm ซึ่งทำให้สามารถกู้คืนรหัสผ่าน และเข้าถึงข้อมูลใน wallets ได้บนแพลตฟอร์ม blockchain หลายแห่ง

    ตามรายงานของ Unciphered ที่เผยแพร่เมื่อสัปดาห์ที่แล้ว Randstorm() ถูกสร้างขึ้นเพื่ออธิบายชุดของช่องโหว่, design decisions และการเปลี่ยนแปลง API เมื่อนำมารวมกันแล้วจะลดคุณภาพของ random numbers ที่สร้างโดยเว็บเบราเซอร์ในช่วงปี 2011-2015

    จำนวนบิตคอยน์ประมาณ 1.4 ล้านบิตคอยน์ ที่ถูกจัดเก็บอยู่ใน wallets ที่สร้างด้วย cryptographic keys ที่คาดเดาได้ง่าย โดยผู้ใช้งานสามารถตรวจสอบว่า wallets ของตนมีความเสี่ยงหรือไม่ได้ที่ keybleed

บริษัทที่เกี่ยวข้องกับการกู้คืน cryptocurrency ระบุว่า ได้ค้นพบปัญหานี้อีกครั้งในเดือนมกราคม 2022 ขณะที่กำลังทำการตรวจสอบให้กับลูกค้าที่ไม่มีการเปิดเผยชื่อ ซึ่งถูกล็อคจาก Blockchain.com wallet ปัญหานี้ถูกหยิบยกขึ้นมาเป็นครั้งแรกในปี 2018 โดยนักวิจัยด้านความปลอดภัยที่ใช้ชื่อนามแฝงว่า "ketamine"

จุดสำคัญของช่องโหว่นี้เกิดจากการใช้ BitcoinJS ซึ่งเป็นแพ็คเกจ JavaScript โอเพนซอร์สที่ใช้สำหรับพัฒนาแอพพลิเคชัน cryptocurrency wallet บนเบราว์เซอร์

    โดยเฉพาะ Randstorm มีต้นต่อมาจากการใช้ฟังก์ชัน SecureRandom() ของแพ็คเกจในไลบรารี JSBN javascript พร้อมกับช่องโหว่ด้านการเข้ารหัสที่เกิดขึ้น ในการดำเนินการฟังก์ชัน Math.random() ของเว็บเบราว์เซอร์ ทำให้สามารถสร้าง Math.random() function ได้ โดย BitcoinJS ยกเลิกการใช้ JSBN ในเดือนมีนาคม 2014

    ดังนั้นปัญหานี้ อาจนำไปสู่การทำ brute-force attacks และกู้คืน private keys ของ wallet ที่สร้างขึ้นด้วยไลบรารี BitcoinJS ซึ่ง wallet ที่ง่ายที่สุดในการ crack คือ wallet ที่สร้างขึ้นก่อนเดือนมีนาคม 2012

การค้นพบครั้งนี้ทำให้เปิดเผยข้อมูลใหม่เกี่ยวกับพฤติกรรมของ open-source dependencies และวิธีการที่ช่องโหว่ในไลบรารีพื้นฐานเหล่านี้สามารถส่งผลกระทบต่อความเสี่ยงด้าน cascading supply chain ได้ เหมือนกับที่ได้เปิดเผยไว้ก่อนหน้านี้ในกรณีของ Apache Log4j ในช่วงปลายปี 2021

    Unciphered ระบุว่า ช่องโหว่นี้ถูกนำมาใส่ใน Wallet ที่สร้างด้วยซอฟต์แวร์อยู่แล้ว และจะอยู่ตลอดไปจนกว่าจะย้ายเงินไปยัง wallet ใหม่ที่สร้างขึ้นด้วยซอฟต์แวร์ตัวใหม่

Ref: thehackernews

Trap Stealer HAAS ใหม่สามารถขโมยข้อมูลในเวลาเพียง 6 วินาที

Trap Stealer เป็นโอเพนซอร์สที่ใช้ Python ในการดึงข้อมูลที่สำคัญจำนวนมากจากระบบที่ถูกโจมตีได้ภายในเวลาเพียง 6 วินาที โดยผู้ไม่ประสงค์ดีจะพยายามหลอกลวงเป้าหมายผ่านเครื่องมือสร้างบัตร Gift card, Webhook Spamming และ Fake Webhook Deletion ซึ่งกระบวนการทั้งหมดถูกออกแบบมาเพื่อดึงดูดความสนใจให้ผู้ใช้งานดาวน์โหลดเครื่องมือมาใช้งาน

โดยผู้ไม่ประสงค์ดีสามารถขโมยข้อมูลที่มีความสำคัญได้ เช่น ข้อมูลรายละเอียดของระบบ, ข้อมูลผู้ใช้จากเว็บเบราวเซอร์ต่าง ๆ, Discord tokens, ไฟล์จากแอปพลิเคชัน WhatsApp(Desktop) และอื่น ๆ และใช้ Discord webhook เป็นช่องทางในการส่งข้อมูล
ในวันที่ 25 ตุลาคม นักวิจัยจาก CRIL ได้พบ Trap Stealer โอเพนซอร์สตัวใหม่ผ่าน Virus Total และยังพบว่าผู้ไม่ประสงค์ดีมีความสามารถในการพัฒนาโปรแกรมมี code ต้นฉบับทั้งหมดบน GitHub ซึ่งโปรแกรมนี้สามารถใช้ขโมยข้อมูลของเป้าหมายได้ในเวลาเพียง 6 วินาทีเท่านั้น

ผู้พัฒนาโปรแกรมกำลังเพิ่มความสามารถของโปรแกรมตลอดเวลา โดยพบว่ามีการเพิ่มฟีเจอร์ใหม่ ๆ อย่างต่อเนื่อง

ข้อมูลที่ถูกเก็บรวบรวมจะถูกจัดรูปแบบ และส่งไปยัง Discord webhook ของผู้ไม่ประสงค์ดีในช่วงเวลาที่กำหนด

นอกจากนี้ ยังมีโมดูลสำหรับการบังคับให้ระบบล่มเมื่อส่งข้อมูลเสร็จสมบูรณ์อีกด้วย

Ref : cyble

Microsoft November 2023 Patch Tuesday มีการแก้ไข 5 Zero-Day และช่องโหว่อีก 58 รายการ

 แพทช์ประจำเดือนพฤศจิกายน 2566 ของ Microsoft ซึ่งรวมถึงการอัปเดตความปลอดภัยสำหรับข้อบกพร่องทั้งหมด 58 รายการและช่องโหว่แบบ Zero-day 5 รายการ ขณะที่ช่องโหว่การเรียกใช้โค้ดจากระยะไกล (RCE) 14 รายการได้รับการแก้ไขแล้ว Microsoft ได้ให้ 1 รายการว่าร้ายแรงจากทั้งหมด และช่องโหว่ร้ายแรง 3 รายการที่แก้ไขในรอบนี้

    ได้แก่ ช่องโหว่ในการเปิดเผยข้อมูล Azure, RCE ใน Windows Internet Connection Sharing (ICS) และช่องโหว่ Hyper-V Escape ที่อนุญาตให้เรียกใช้งานโปรแกรมบนโฮสต์ที่มีสิทธิ์ระบบ

จำนวนช่องโหว่ในแต่ละหมวดหมู่ช่องโหว่มีดังต่อไปนี้:

• 16 Elevation of Privilege Vulnerabilities
• 6 Security Feature Bypass Vulnerabilities
• 15 Remote Code Execution Vulnerabilities
• 6 Information Disclosure Vulnerabilities
• 5 Denial of Service Vulnerabilities
• 11 Spoofing Vulnerabilities

    จากจำนวนช่องโหว่ทั้งหมด 58 รายการ ยังไม่รวมการอัปเดตความปลอดภัยของ Mariner 5 รายการ และการอัปเดตความปลอดภัยของ Microsoft Edge 20 รายการที่เผยแพร่เมื่อต้นเดือน หากต้องการรายละเอียดในการอัปเดทของ Windows 11 และ Windows 10

รายการช่องโหว่ของ Zero-Day 5 รายการ

    Patch Update รอบนี้ได้ทำการแก้ไขช่องโหว่แบบ Zero-Day โดยที่ 3 รายการยังคงไม่แก้ไขได้ และ อีก 2 รายการถูกแก้ไขและเปิดเผยต่อสาธารณะแล้วดังนี้

3 ช่องโหว่ที่มีความรุนแรงสูง และยังคงไม่ได้รับการแก้ไข

1. CVE-2023-36036 - Windows Cloud Files Mini Filter Driver Elevation of Privilege Vulnerability
2. CVE-2023-36033 - Windows DWM Core Library Elevation of Privilege Vulnerability
3. CVE-2023-36025 - Windows SmartScreen Security Feature Bypass Vulnerability

2 ช่องโหว่ที่มีความรุนแรงสูง และได้รับการแก้ไขแล้วใน Patch นี้

1. CVE-2023-36413 - Microsoft Office Security Feature Bypass Vulnerability
2. CVE-2023-36038 -- ASP.NET Core Denial of Service Vulnerability

ยังมีการอัพเดทจากทางบริษัท อื่น ๆ อีก เช่น

• Cisco released security updates for various products, including Cisco ASA.
• Google released the Android November 2023 security updates
• Microsoft Exchange zero-day flaws were disclosed after Microsoft decided they did not meet the bar for immediate servicing.
• QNAP released fixes for two critical command injection vulnerabilities.

รายละเอียดเพิ่มเติ่มของการ Update patch ประจำเดือน พฤศจิกายน 2566 สามารเข้าดูได้ที่

The November 2023 Patch Tuesday Security Updates

Ref : bleepingcomputer

ผู้ไม่ประสงค์ดีใช้ MSIX App Packages โจมตี Windows PCs ด้วยมัลแวร์ GHOSTPULSE

   ตรวจพบการโจมตีทางไซเบอร์ครั้งใหม่ ด้วยการใช้ MSIX Windows App Packages ใน Application ยอดนิยม อย่าง Google Chrome, Microsoft Edge, Brave, Grammarly และ Cisco Webex เพื่อแพร่กระจายมัลแวร์ตัวใหม่ที่มีชื่อว่า GHOSTPULSE

    โดย Joe Desimone นักวิจัยของ Elastic Security Labs ระบุในรายงานทางเทคนิคที่เผยแพร่เมื่อสัปดาห์ที่ผ่านมาว่า MSIX เป็น Windows app package format ที่กลุ่มผู้ไม่ประสงค์ดีสามารถใช้ประโยชน์จากแพ็คเกจเพื่อแจกจ่าย และติดตั้งแอปพลิเคชันของตนให้กับผู้ใช้ Windows อย่างไรก็ตาม MSIX ต้องการการเข้าถึง signing certificates ที่ซื้อ หรือถูกขโมยมา ซึ่งทำให้สามารถใช้งานได้กับหลายกลุ่ม

วิธีการคือผู้ไม่ประสงค์ดีจะหลอกให้ผู้ใช้ติดตั้งโปรแกรมปลอม โดยหลอกว่าเป็นโปรแกรมที่ปลอดภัย ด้วยการทำให้เว็บไซต์ติดอันดับบน Search Engine หรือการฝังมัลแวร์ในลิงค์โฆษณา โดยเริ่มจากการให้ผู้ใช้รันไฟล์ MSIX บน Windows เพื่อติดตั้ง ซึ่งจะส่งผลให้มีการดาวน์โหลด GHOSTPULSE อย่างลับ ๆ บนโฮสต์จากเซิร์ฟเวอร์ภายนอก ("manojsinghnegi[.]com") ผ่านสคริปต์ PowerShell

    กระบวนการนี้มีหลายขั้นตอน โดยเพย์โหลดแรกจะเป็นไฟล์ TAR ที่มีไฟล์ที่ปลอมแปลงเป็น Oracle VM VirtualBox (VBoxSVC.exe) แต่ในความเป็นจริงแล้วเป็นไบนารีที่ถูกต้องที่มาพร้อมกับ Notepad++ (gup.exe) โดยภายในไฟล์ TAR ยังมี handoff.wav และ libcurl.dll เวอร์ชันโทรจันที่ถูกโหลดไว้ เพื่อนำไปสู่กระบวนการต่อไป โดยอาศัย gup.exe ซึ่งใช้ในการโจมตีแบบ DLL Side-Loading

Desimone ระบุว่า PowerShell จะแยก VBoxSVC.exe ที่โหลดจากไดเร็กทอรีปัจจุบันซึ่งเป็น DLL libcurl.dll ที่เป็นอันตราย ด้วยการลดขนาดของโค้ดมัลแวร์ ทำให้สามารถหลบเลี่ยงการสแกน AV และ ML แบบไฟล์ได้

  ต่อมาไฟล์ DLL จะมีการแยกวิเคราะห์ handoff.wav ซึ่งจะมีเพย์โหลดที่เข้ารหัส และดำเนินการผ่าน mshtml.dll ซึ่งเป็นวิธีการที่เรียกว่า module stomping เพื่อโหลด GHOSTPULSE ในท้ายที่สุด

GHOSTPULSE จะทำหน้าที่เป็น loader โดยใช้ process doppelgänging เพื่อเริ่มต้นการดำเนินการในขั้นสุดท้าย ซึ่งรวมถึง SectopRAT, Rhadamanthys, Vidar, Lumma และ NetSupport RAT

Ref : thehackernews

“Find My” ของ Apple อาจถูกนำไปใช้เพื่อขโมยข้อมูลจาก keylogged password

    ผู้เชี่ยวชาญด้านความปลอดภัยค้นพบเครือข่ายระบุตำแหน่ง "Find My" ของ Apple อาจถูกนำไปใช้โดยผู้ไม่หวังดี เพื่อส่งข้อมูลที่มีความสำคัญจาก keylogger ซึ่งติดตั้งใน keyboard ไว้อย่างลับ ๆ

    “Find My” คือเครือข่าย และแอปพลิเคชันที่ได้รับการออกแบบมาเพื่อช่วยให้ผู้ใช้ค้นหาอุปกรณ์ Apple ที่สูญหายหรือวางไว้ผิดที่ รวมถึง iPhone, iPad, Mac, Apple Watch, AirPods และ Apple Tags โดยบริการดังกล่าวจะใช้ข้อมูล GPS และ Bluetooth ที่รวบรวมมาจากอุปกรณ์ Apple หลายล้านเครื่องทั่วโลกเพื่อค้นหาอุปกรณ์ที่รายงานว่าสูญหายหรือถูกขโมย แม้ว่าอุปกรณ์นั้นจะ offline ก็ตาม โดยอุปกรณ์ที่สูญหายจะส่งสัญญาณ Bluetooth แบบวนซ้ำอย่างต่อเนื่องซึ่งอุปกรณ์ Apple ที่อยู่ใกล้เคียงตรวจพบ ซึ่งจะถ่ายทอดตำแหน่งของตนไปยังเจ้าของโดยไม่เปิดเผยตัวตนผ่าน “Find My” network

   ทั้งนี้ความสามารถของ Find My สามารถนำไปใช้การส่งข้อมูลนอกเหนือจากตำแหน่งของอุปกรณ์นั้น โดยช่องโหว่ดังกล่าวได้ถูกค้นพบครั้งแรกเมื่อ 2 ปีที่แล้วโดยผู้เชี่ยวชาญด้านความปลอดภัยด้านความปลอดภัย Fabian Bräunlein และทีมของเขา รวมถึงทาง Apple ยังได้แก้ไขช่องโหว่นี้แล้ว และผู้เชี่ยวชาญด้านความปลอดภัยได้เผยแพร่วิธีการของพวกเขาบน GitHub ที่เรียกว่า 'Send My' ซึ่งผู้อื่นสามารถใช้ประโยชน์จากการอัปโหลดข้อมูลที่กำหนดเองไปยังเครือข่าย Find My ของ Apple และดึงข้อมูลจากอุปกรณ์ที่เปิดใช้งานอินเทอร์เน็ตได้ทุกที่ในโลก

การถ่ายทอดข้อมูลโดยไม่ได้รับอนุญาต

    ตามรายงานครั้งแรกของผู้เชี่ยวชาญด้านความปลอดภัยได้สร้างอุปกรณ์ฮาร์ดแวร์ที่พิสูจน์แนวคิด Proof-of-Concept (PoC) เพื่อเน้นย้ำถึงความเสี่ยงต่อสาธารณะได้ดียิ่งขึ้น โดยผู้เชี่ยวชาญด้านความปลอดภัยได้ติดตั้ง keylogger เข้ากับเครื่องส่งสัญญาณบลูทูธ ESP32 และ USB keyboard เพื่อแสดงให้เห็นว่าสามารถส่งต่อรหัสผ่าน และข้อมูลที่มีความสำคัญอื่น ๆ ที่พิมพ์บนแป้นพิมพ์ผ่านเครือข่าย Find My ผ่านทางบลูทูธได้

    การส่งผ่านบลูทูธนั้นซับซ้อนกว่า WLAN keylogger หรืออุปกรณ์ Raspberry Pi ที่สามารถสังเกตเห็นได้ง่ายในสภาพแวดล้อมที่มีการป้องกันอย่างดี รวมถึงแพลตฟอร์ม Find My สามารถใช้ประโยชน์จากอุปกรณ์ Apple ที่มีอยู่ทั่วไปทุกหนทุกแห่งสำหรับการส่งข้อมูล

    รวมถึง keylogger ไม่จำเป็นต้องใช้ AirTag หรือชิปที่รองรับอย่างเป็นทางการ เนื่องจากอุปกรณ์ Apple ได้รับการปรับแต่งให้ตอบสนองต่อข้อความบลูทูธ หากข้อความนั้นมีรูปแบบที่เหมาะสม อุปกรณ์ Apple ที่รับจะสร้างรายงานตำแหน่ง และอัปโหลดไปยังเครือข่าย Find My

    ผู้ส่งจำเป็นต้องสร้าง public encryption keys ที่แตกต่างกันเล็กน้อย โดยจำลอง AirTags หลายรายการ และเข้ารหัสข้อมูลที่กำหนดเองลงในคีย์โดยการกำหนดบิตเฉพาะที่ตำแหน่งที่กำหนดไว้ล่วงหน้าในคีย์

  ด้วยวิธีนี้รายงานหลายฉบับที่ดึงมาจากระบบคลาวด์สามารถต่อ และถอดรหัสที่ส่วนรับเพื่อดึงข้อมูลที่กำหนดเองได้ ในกรณีนี้คือการบันทึกของ keylogger

 นักวิจัยกล่าวว่าค่าใช้จ่ายรวมของอุปกรณ์ที่ใช้ดูดข้อมูลอยู่ที่ประมาณ 50 เหรียญสหรัฐฯ โดยใช้ 'EvilCrow' keylogger เวอร์ชันที่ใช้ Bluetooth และแป้นพิมพ์ USB แบบมาตรฐาน

    โดยการสาธิตการโจมตี PoC มีอัตราการส่งข้อมูลอยู่ที่ 26 ตัวอักษร/วินาที และอัตราการรับ 7 ตัวอักษร/วินาที โดยมีเวลาแฝงระหว่าง 1 ถึง 60 นาทีขึ้นอยู่กับการมีอยู่ของอุปกรณ์ Apple ที่ระยะของ keylogger แม้ว่าจะส่งข้อมูลไม่เร็วนัก แต่หากเป็นเป้าหมายในการขโมยข้อมูลอันมีค่า เช่น รหัสผ่าน การรอหลายชั่วโมง หรือหลายวันก็ไม่มีผลต่อการตั้งเป้าหมายการโจมตีอยู่ดี

    ทาง Apple ก็ได้มีการป้องกันการติดตาม โดยได้มีการแจ้งเตือนผู้ใช้ว่า Air Tags อาจกำลังติดตามพวกเขาไม่ได้เปิดใช้งานโดย keylogger ที่อยู่กับที่ภายในแป้นพิมพ์ ดังนั้นอุปกรณ์ดังกล่าวจะยังคงซ่อนอยู่ และไม่ถูกค้นพบ

Ref : bleepingcomputer