PlugX malware ที่สามารถโจมตี Windows ผ่าน USB ได้

 

    PlugX พบโดย Palo Alto Network จากทีม Unit 42 ได้ค้นพบ PlugX บน Virus Total บนที่เก็บไฟล์เอกสารที่สำคัญ และคัดลอกตัวเองไปซ่อนตัวในโฟเดอร์บน USB drive ได้มีการวิเคราะห์การทำงานของ PlugX malware ที่สามารถซ่อนไฟล์อันตรายบน USB และแพร่ Malware ให้กับ Windows hosts ที่มีการเชื่อมต่อ

การซ่อนตัวของ PlugX ใน USB drive

    PlugX เป็น Malware ที่มีมานานแล้วตั้งแต่ 2008 เริ่มขึ้นโดยกลุ่ม Hacker ชาวจีน เมื่อเวลาผ่านไป ได้เป็นที่แพร่หลายให้มีคนจำนวนมากนำมาใช้ในการโจมตี ซึ่งการโจมตีล่าสุด ถูกพบโดย Unit 42 โดยผู้ไม่หวังดีใช้ Debugging tool ในชื่อ ‘x64dbg.exe’ ของ Windows 32-bit กับ ‘x32bridge.dll’ เวอร์ชั่นเป็นอันตรายไว้ ซึ่งจะทำให้ที่โหลด PlugX payload (x32bridge.dat)

    และยังมีอีกหลาย Antivirus engines บน VirusTotal ที่ยังไม่ได้ระบุว่าตัว PlugX เป็นอันตราย มีการตรวจพบเพียง 9 จาก 61 เจ้าเท่านั้น

    PlugX malware ถูกพบ โดย Antivirus engines น้อยมาก บน Virus Total หนึ่งในนั้น ได้เพิ่งพบเมื่อเดือนสิงหาคมปี 2565  ซึ่งแสดงให้เห็นว่า Security agent มักจะตรวจสอบหาไฟล์ที่เป็นอันตรายที่ถูกสร้างอยู่ไฟล์ในระบบเป็นส่วนมาก

    ผู้เชี่ยวชาญได้อธิบายว่า ได้พบการใช้ Unicode character บน PlugX เพื่อสร้าง Directory ใหม่บน USB drive เมื่อมีการตรวจพบการใช้งาน โดยสามารถทำให้ไม่สามารถถูกมองเห็นบน Windows Explorer และ Command shell ซึ่ง Directory เหล่านี้สามารถถูกมองเห็นบน Linux ได้ แต่ไม่สามารถมองเห็นบน Windows systems เพื่อที่จะซ่อนการเรียกใช้ Code ของ Malware จาก Directory ที่ซ่อนอยู่ โดยไฟล์ Windows shortcut (.Ink) จะถูกสร้างขึ้นบน Root folder ของ USB device

    Malware จะสร้างไฟล์ ‘desktop.ini’ บน Directory ที่ถูกซ่อนไว้ เพื่อระบุไฟล์ LNK icon บน Root folder และปรากฎให้เห็นบน USB drive เพื่อหลอกให้เหยื่อกด ในขณะเดียวกันจะมีการปลอม Subdirectory ในชื่อ ‘RECYCLER.BIN’ เพื่อคัดลอกตัว Malware เพื่อสำรองบน USB device

    เหยื่อที่คลิ๊กที่ไฟล์ Shotcut บน Root folder ของ USB device จะเป็นการเรียก x32.exe ผ่าน cmd.exe ซึ่งส่งผลให้เครื่องของเหยื่อได้รับ PlugX malware ในขณะเดียวกัน Window Explorer จะถูกเปิดขึ้นมาและแสดงไฟล์ทุกอย่างได้ดูปกติดี หลังจากที่ได้รับ PlugX ไปบนเครื่องแล้ว เมื่อมี USB ตัวใหม่เข้ามา PlugX จะพยายามนี่จะฝังตัวเองลงใน USB ตัวใหม่ด้วย

    ล่าสุดยังได้ค้นพบว่า PlugX สามารถที่จะขโมย Document ต่างๆ โดยจะคัดลอง PDF และ Microsoft Word ไปที่ Directory ที่ซ่อนอยู่ที่เรียกว่า da520e5

    ปัจจุบันยังไม่รู้ว่าผู้ไม่ประสงค์ดีจะนำข้อมูลที่ถูกขโมยออกมาอย่างไร นอกจากการมานำออกด้วยตัวเอง การพัฒนาแบบใหม่ของ PlugX ทำให้สามารถตรวจจับได้ยากขึ้น และสามารถแพร่กระจายบน Drive แบบถอดออกได้ ผู้เชียวชาญกล่าวว่า PlugX มีความเป็นไปได้ในการโจมตีผ่าน Air gapped network ได้ในอนาคต

Ref : www.bleepingcomputer.com

Mimic Ransomware ตัวใหม่ โจมตีผ่าน Search tool "Everything"

 

    Ransomware ตัวใหม่ในชื่อ Mimic ซึ่งใช้ประโชยน์จาก API ของไฟล์ ‘Everything’ Search tool สำหรับ Windows ซึ่งสามารถมองหาไฟล์เป้าหมายเพื่อ Encryption ข้อมูล  ซึ่งบาง Code ใน Mimic มีความคล้ายคลึง กับ Conti Ransomware  พบในเดือน มิถุนายน 2022 โดยผู้เชี่ยวชาญด้านความปลอดภัยของ Trend Micro เป็นผู้ค้นพบ

การโจมตีของ Mimic

    Mimic ransomware เริ่มการโจมตีกับเหยื่อที่ได้รับการไฟล์ดังกล่าว ซึ่งคาดว่าได้รับผ่าน Email โดยจะแตกไฟล์เป็น 4 ไฟล์ไปที่ระบบของเป้าหมาย ซึ่งรวมไปถึง Payload และตัวปิดการทำงานของ Windows Defender ด้วย ตัว Mimic เป็น Ransomware ที่มีความหลากหลายมาก รองรับ Command line arguments เพื่อทำให้ไฟล์เล็กลง แต่สามารถใช้งาน Multiple processor threads เพื่อให้ Encryption ข้อมูลได้เร็วขึ้น

ความสามารถต่าง ๆ ที่ Ransomware ตัวใหม่ที่ออกมาให้เห็นมีหลากหลาย เช่น

Collecting system information

Creating persistence via the RUN key

Bypassing User Account Control (UAC)

Disabling Windows Defender

Disabling Windows telemetry

Activating anti-shutdown measures

Activating anti-kill measures

Unmounting Virtual Drives

Terminating processes and services

Disabling sleep mode and shutdown of the system

Removing indicators

Inhibiting System Recovery

โดยเป้าหมายหลักจุมุ่งไปที่ การปิดการทำงานของระบบป้องกัน และพยายามทำให้ไฟล์ข้อมูลที่สำคัญ ถูก Encryption ได้

การโจมตีไปที่ Everything

    “Everything” คือชื่อของ Search engine ยอดนิยม สำหรับผู้พัฒนา Windows มาจาก Voidtools  โดยมีประโยชน์มากทั้ง ง่าย รวดเร็ว และใช้ Recources ของผู้ใช้น้อย อีกทั้งยังรองรับ Real-time update Mimic ransomware จึงใช้ความสามารถในการ Search ของ Everyting ในชื่อ ‘Everything32.dll’ ซึ่งจะฝังตัวในขั้นตอนการระบุชื่อเฉพาะ และส่วนขยายต่างๆ บนระบบที่ได้รับ Mimic ซึ่ง Everything จะช่วย Mimic ในการบอก Locate file ที่สามารถ Encryption ได้ และหลีกเลี่ยงไฟล์ System ที่จะทำให้ระบบไม่รีบูตหากถูกล๊อค

    ไฟล์ที่ถูก Encryption โดย Mimic จะได้รับ “.QUIETPLACE” เพิ่มขึ้นมา และข้อความเรียกค่าไถ่ให้ทำอย่างไร จึงจะได้ไฟล์คืน

    Mimic เป็น ransomware ตัวใหม่ ที่ยังไม่ได้รับการพิสูจน์แน่ชัด แต่เนื่องจากใช้โครงสร้างของ Conti และ Everything API ซึ่งบ่งชี้ว่าผู้พัฒนา Mimic มีความเข้าใจและรู้วิธีการในการทำให้เป้าหมายของพวกเข้าสำเร็จ จึงควรระวังการใช้งานอย่างใกล้ชิด

Ref : www.bleepingcomputer.com

VMware ได้แก้ไขข้อบกพร่องร้ายแรงของ vRealize log analysis tool

 

    vRealize Log Insight (หรือที่รู้จักในชื่อ VMware AriaOperations for Logs) คือตัว Log analysis และ Management tools ที่จะช่วยในการวิเคราะห์ Log ได้จำนวนมากจาก Infrastructure และ Application บน VMware ซึ่งล่าสุด VMware ได้ปล่อย Security Patch ออกมาสำหรับ vRealize เพื่อป้องกันไม่ให้ผู้โจมตีสามารถ Remote เข้ามายังเครื่องได้ 

• ข้อบกพร่องแรกที่ได้รับการแก้ไข คือ CVE-2022-31703 ซึ่งเป็นช่องโหว่ในการข้าม Directory ทำให้ผู้โจมตีสามารถฝังไฟล์เข้าไปใน Operating System และสามารถทำให้ Remote เข้ามาเรียกใช้ Code ซึ่งจะส่งผลกับ Application ได้

• ข้อบกพร่องที่สอง CVE-2022-31704 เป็นข้อบกพร่องของ Access control ที่สามารถถูก Remote เข้ามาเรียกใช้ Code เพื่อฝังไฟล์ผ่านช่องโหว่ของ Application

    ช่องโหว่ทั้ง 2 เป็นช่องโหว่ร้ายแรง ที่สามารถโจมตีโดยไม่จำเป็นต้องผ่านระบบยืนยันตัวตน ซึ่งเป็นการโจมตีที่ไม่ซับซ้อน และยังไม่ต้องการตอบกลับใดๆจากผู้ใช้ 

    VMware ให้รายละเอียดเกี่ยวกับการ Upgrading เวอร์ชันล่าสุดของ vRealize Log Insight หากต้องการแก้ไขปัญหาข้อมูล Log บน vRealize Log Insight แต่ละเครื่อง ใน Cluster ผ่าน SSH และเรียกใช้ script ตามขั้นตอนของ VMwere และผู้ดูแลควรตรวจสอบความถูกต้องในการแก้ไขปัญหา โดยการเก็บ Logg แต่ละ Node ว่าได้ดำเนินการแก้ไขจุดไหนบ้าง เมื่อดำเนินการแก้ไขถูกต้องจะได้รับ Message กว่าว่า “Workaround for VMSA-2023-0001 has been successfully implemented”

    ในเดือนธันวาคม 2022 ทาง VMware ได้ Patch แก้ไขปัญหาข้อบกพร่องใน EHCI controller (CVE-2022-31705) ที่มีผลกับ ESXi, Workstation ซึ่งสามารถทำให้สามารถเรียกใช้ Code และแอบฝัง Command ผ่านช่องโหว่ (CVE-2022-31702) ซึ่งจะเปิดการใช้งาน Command ได้โดยไม่ต้องผ่านระบบยืนยันตัวตนผ่าน vRNI REST API

Ref : www.bleepingcomputer.com

Git ออกแพตช์เพื่อแก้ไขช่องโหว่ Remote code execution ระดับ Critical

    Git ได้ออกแพตช์แก้ไขช่องโหว่ด้านความปลอดภัยระดับ critical 2 รายการ ซึ่งอาจทำให้ผู้โจมตีสามารถสั่งรันโค้ดที่เป็นอันตรายได้จากระยะไกลจากช่องโหว่ heap-based buffer overflow

    2 ช่องโหว่ที่ได้รับการแก้ไขคือ CVE-2022-41903 ใน Commit formatting mechanism และ CVE-2022-23521 ใน .gitattributes parser โดยได้รับการอัปเดตในช่วงวันพุธที่ผ่านมา

    ส่วนช่องโหว่บน Windows ที่ส่งผลกระทบต่อ Git GUI หมายเลข CVE-2022-41953 ซึ่งเกิดจาก untrusted search path ที่อาจทำให้ผู้โจมตีที่ไม่ผ่านการพิสูจน์ตัวตนสามารถสั่งรันโค้ดที่เป็นอันตรายได้ ยังคงต้องรอแพตช์อัปเดตต่อไป แต่ผู้ใช้งานสามารถแก้ไขปัญหาชั่วคราวได้โดยการไม่ใช้ซอฟต์แวร์ Git GUI เพื่อ clone repositories หรือหลีกเลี่ยงการ cloning จาก sources ที่ไม่น่าเชื่อถือ

    ช่องโหว่ที่มีผลกระทบรุนแรงที่สุดที่ค้นพบในครั้งนี้คือสามารถทำให้ผู้โจมตีสามารถ trigger a heap-based memory ระหว่างการ clone หรือ pull ข้อมูล ซึ่งอาจส่งผลให้เกิดการสั่งรันโค้ดที่เป็นอันตรายในระหว่างนั้นได้ และอีกกรณีหนึ่งคือการสั่งรันโค้ดระหว่างการ archive ซึ่งโดยปกติมักจะถูกดำเนินการโดย Git forges นอกจากนี้ช่องโหว่อาจนำไปสู่ผลกระทบในด้านอื่น ๆ เช่น denial-of-service , out-of-bound reads หรือ badly handled ในกรณีมี input ขนาดใหญ่

คำแนะนำ

1. ปิดใช้งาน 'git archive' ใน repositories ที่ไม่น่าเชื่อถือ หรือหลีกเลี่ยงการเรียกใช้คำสั่งบน repos ที่ไม่น่าเชื่อถือ
2. หาก 'git archive' ถูกเข้าถึงได้ผ่าน 'git daemon' ให้ปิดการใช้งานเมื่อทำงานกับ repositories ที่ไม่น่าเชื่อถือโดยเรียกใช้คำสั่ง 'git config --global daemon.uploadArch false'
3. แนะนำให้อัปเกรดเป็นเวอร์ชันล่าสุดโดยเร็วที่สุด

bleepingcomputer

ช่องโหว่บน Control Web Panel ถูกโจมตีเพื่อเรียกใช้ Reverse Shell พบมีประเทศไทยอยู่ในรายงาน

    นักวิจัยจาก Gais Cyber ​​Security ได้เผยแพร่รายงานที่พบว่า ขณะนี้กลุ่ม ผู้ไม่ประสงค์ดี ได้มุ่งเป้าหมายในการโจมตีไปยัง Control Web Panel (CWP) หรือที่รู้จักกันในชื่อ CentOS Web Panel ที่มีช่องโหว่หมายเลข CVE-2022-44877

    CVE-2022-44877 (คะแนน CVSS 9.8/10 ระดับความรุนแรงสูงมาก) เป็นช่องโหว่ของ Control Web Panel (CWP) หรือ CentOS Web Panel ที่สามารถถูกใช้เพื่อหลีกเลี่ยงการตรวจจับ และสั่งรันโค้ดที่เป็นอันตรายจากระยะไกล (Remote Code Execution RCE) โดยช่องโหว่ถูกพบครั้งแรกในช่วงเดือนตุลาคม 2022 หลังจากนั้น CWP ได้ออกแพตซ์อัปเดตเพื่อแก้ไขช่องโหว่ออกมาในเดือนธันวาคม 2022

    โดยหลังจากที่นักวิจัยได้มีการเผยแพร่ proof-of-concept (PoC) การสาธิตกระบวนการโจมตี และการทำงาน ภายหลังจากนั้นก็พบว่ามีกลุ่ม ผู้ไม่ประสงค์ดี ได้เริ่มค้นหาเครื่องที่ยังไม่ได้รับการอัปเดตเพื่อแก้ไขช่องโหว่ และมีการนำช่องโหว่ CWP มาใช้ในการโจมตีเหยื่อเพิ่มมากขึ้น โดย ผู้ไม่ประสงค์ดี จะใช้ช่องโหว่ CVE-2022-44877 เพื่อทำการติดตั้ง Reverse Shell และดาวน์โหลดเพย์โหลดที่เป็นอันตราย ซึ่งเป็นคำสั่ง Python pty ในการสร้าง terminal เพื่อสั่งการจากระยะไกล

    จากการค้นหา CWP ที่มีช่องโหว่จาก Shodan พบว่ามี CWP มากถึง 400,000 รายการที่สามารถเข้าถึงได้ทางอินเทอร์เน็ต รวมไปถึงจากการตรวจสอบของ Shadowserver Foundation หน่วยงานด้านความปลอดภัยซึ่งได้ตรวจสอบการโจมตีพบว่า จากการแสกนเพื่อตรวจสอบหา CWP ที่มีช่องโหว่ พบ CWP ประมาณ 38,000 รายการทุกวัน ซึ่งไม่ใช่เฉพาะ CWP ที่มีช่องโหว่ แต่เป็น CWP ทั้งหมดที่ค้นพบ รวมถึงในประเทศไทยจำนวน 166 รายการ

    นอกจากนี้ทาง GreyNoise ยังได้ติดตามการโจมตีระบบ CWP ที่มีช่องโหว่ พบว่าเป็น IP ที่อยู่ในสหรัฐอเมริกา เนเธอร์แลนด์ รวมถึงไทยอีกด้วย

CWP ที่ได้รับผลกระทบ

CWP ที่มีเวอร์ชันต่ำกว่า 0.9.8.1148

วิธีแก้ไข

ผู้ดูแลระบบควรทำการอัปเดต CWP เพื่อป้องกันความเสี่ยงจากการถูกโจมตีโดยเร็วที่สุด

Ref : bleepingcomputer

BOLDMOVE Malware สามารถลักลอบเข้าระบบของอุปกรณ์ Fortinet ได้

 

    Hacker ชาวจีนถูกสงสัยว่า ได้มีการคุกคามจากช่องโหว่ Zero day ของ FortiOS SSL VPN ซึ่งถูกเปิดเผยออกมาในเดือนธันวาคม โดยมีเป้าหมายไปที่ European government และ African MSP ด้วย Malware ในเชื่อ BOLDMOVE ซึ่งมีเวอร์ชั่นที่เป็นของ Linux และ Windows โดยใช้ช่องโหว่ CVE-2022-42475 แต่ถูกแก้ไขแล้วโดย Fortinet ในเดือนพฤศจิกายน และได้เปิดเผยในเดือนธันวาคม ให้ขอให้ลูกค้าทำการ patch อุปกรณ์ที่มีช่องโหว่ดังกล่าว

    โดยช่องโหว่นี้ จะอนุญาติให้ผู้โจมตีสามารถ Remote มาโจมตีได้ โดยไม่ต้องผ่านระบบยืนยันตัวตนใด ๆ โดยสามารถเข้ามาทำให้ อุปกรณ์ขัดข้อง หรือเรียกใช้ Code ต่าง ๆ ได้ ผู้โจมตีจะพยายามทำให้ malware คงอยู่ในเครื่องของเหยื่อนานที่สุด โดยใช้ Custom Malware เข้าไป Patch แก้การทำงานของ FortiOS logging ให้สามารถเลือก Log ที่จะลบได้ หรือปิดการ Logging ทั้งหมด

    โดยความสามารถ Backdoor ของ BOLDMOVE ถูกเขียนด้วยภาษา C โดย Hacker ชาวจีน เพื่อจะสามารถเข้าควบคุมอุปกรณ์ของเหยื่อได้ โดยเฉพาะเครื่องที่ใช้ FortiOS บน Linux ซึ่งทาง Mandiant ได้ระบุว่าหลายเวอร์ชันของ BOLDMOVE ที่ต่างกัน แต่แกนหลักของการทำงานหลักจะเหมือนกันดังนี้

        - Performing system surveying.

        - Receiving commands from the C2 (command and control) server.

        - Spawning a remote shell on the host.

        - Relaying traffic through the breached device

    โดย Command ของ BOLDMOVE จะอนุญาติให้ผู้ไม่หวังดี Remote เข้ามา Manage files, Execute Commands, Interactive shell creation, Backdoor Control ซึ่งตัวแปรต่างๆของ Linux และ Windows ส่วนใหญ่จะเหมือนกัน แต่แตกต่างกันที่การใช้ Libraries โดยเชื่อว่ามีเวอร์ชันของ Windows ออกมาตั้งแต่ 2021 ก่อนที่อีกหลายเดือนต่อมาจะออกของ Linux

    อย่างไรก็ตาม ข้อแตกต่างสำคัญระหว่าง Linux และ Windows คือ หนึ่งในฟังชั่นของ Linux มีการมุ่งเป้าหมายไปยัง FortiOS อย่างชัดเจน

    ตัวอย่างเช่น BOLDMOVE Linux จะอนุญาติให้ผู้โจมตี สามารถแก้ไข Log บนระบบของเหยื่อ และปิดการ Logging (miglogd และ syslogd) จึงทำให้ยากที่การป้องกันจะตรวจพบ มากไปกว่านั้น ยังสามารถ Requests ไปที่ Internal Fortinet service เพื่อให้ผู้โจมตีสามารถเชื่อมต่อ Network ได้ และกระจาย Malware นี้ไปยังเครื่องอื่นๆ โดย กลไกการป้องกันแบบเดิมไม่ดีนักสำหรับการป้องกันการบุกรุกนี้ เนื่องจาก BOLDMOVE อาศัยจุดบอดของ Network device สำหรับผู้ดูแล ซึ่งทำให้ผู้โจมตีสามารถซ่อนตัวอยู่เครื่องของเหยื่อได้นาน

    การที่ BOLDMOVE ทำเป็น Custom-made backdoor ออกมาทำให้เห็นว่า ผู้ไม่ประสงค์ดีมีความเข้าใจการจัดการระบบ Network เป็นอย่างดี จึงควรติดตามความเคลื่อนไหวของภัยเหล่านี้อย่างใกล้ชิด

Ref : www.bleepingcomputer.com

พบช่องทาง GitHub Codespaces ที่ Hacker สามารถใช้โจมตีได้

    ผู้เชี่ยวชาญจาก Trend Micro ได้ออกมาแสดงให้เห็นว่า ทำอย่างไรที่ผู้ไม่ประสงค์ดีสามารถใช้ GitHub Codespaces ทำ ‘Port forwarding’ ไปยัง Host และกระจาย Malware scripts ได้ โดย GitHub Codespaces จะอนุญาติให้ผู้พัฒนา ติดตั้ง Cloud-hosted IDE platform ใน Virtualized containers เพื่อ เขียน, แก้ไข, และ test/run code ได้โดยตรง บน web browser

    GitHub Codespaces ตั้งแต่เป็นที่แพร่หลายใน เดือนพฤศจิกายน 2022 ได้เป็นตัวเลือกที่นิยมของผู้พัฒนาในการใช้ Pre-configured, ทรัพยากร Container-base ที่พร้อมใช้ และ Tools ที่สำคัญสำหรับการทำ Project ของผู้พัฒนา

การใช้ Github Codespaces ในการแพร่ malware

    ผู้เชี่ยวชาญจาก Trend Micro ออกมาเผยว่า ทำอย่างไร GitHub Codespaces จะสามารถแก้ไข Web server ให้ใช้กระจาย เนื้อหาที่เป็นอันตรายได้ และอาจจะสามารถหลีกเลี่ยงการตรวจพบจากการป้องกันได้ เนื่องจากมาจาก Microsoft ที่มีความน่าเชื่อถือ

    GitHub Codespaces อนุญาติให้ผู้พัฒนา Forward TCP ports เพื่อให้ผู้ใช้ภายนอกสามารถเข้ามา Test หรือเข้าดู Applications ได้ เมื่อ Forwarding ports ใน Codespeces VM ตัว GitHub จะ generate URL เพื่อให้ App ใช้งานได้บน port นั้น ๆ ซึ่งสามารถเลือกได้ว่าจะตั้ง เป็นส่วนตัว หรือสาธารณะ ซึ้อถ้าเป็น Private port forward จะต้องการการยืนยันตัวตน ในรูปแบบของ Token หรือ Cookies เพื่อเข้า URL แต่ถ้าเป็น Public port ไม่ว่าใครก็สามารถเข้าถึงได้ เพียงแค่รู้ URL โดยไม่ต้องการการยืนยันตัวตนเลย

    GitHub พยายามให้ผู้พัฒนายืดหยุ่นในการเปิดเผย code แต่ Trend Micro กล่าวว่า ผู้โจมตี ก็สามารถนำมาใช้ในการที่ผิด เพื่อแพร่ malware ได้เช่นกัน

    ในทางทฤษฎีแล้ว ผู้โจมตีสามารถสามารถเปิดใช้ Python web server ได้โดยง่าย ด้วยการ upload scrip หรือ malware ที่เป็นอันตราย ไปยัง Codespece แล้วเปิด web server port บน VM จากนั้นเปลี่ยนการมองเห็นเป็น public และ generate URL ที่สามารถเข้าใช้ hosted files ไม่ว่าจะใช้เพื่อ Phishing หรือ เรียกใช้ malware อื่นๆ ซึ่งเป็นวิธีที่ผู้ไม่ประสงค์ดีใช้ในการโจมตี service ที่น่าเชื่อถือเช่น Google Cloud, Amazon AWS และ Microsoft Azure สำหรับแพร่ Malware

    ผู้เชี่ยวชาญได้กล่าวว่า ในขณะที่ใช้ HTTP เดิมใน Codespaces port-forwarding system ผู้พัฒนาสามารถตั้งค่า HTTPS หลอกระบบรักษาความปลอดภัยได้จาก URL เพราะ GitHub เป็นแหล่งที่เน่าเชื่อถือ จึงมีโอกาสน้อยที่ Antivirus จะแจ้งเตือน ทำให้ผู้ไม่ประสงค์ดีสามารถหลีกเลี่ยงการตรวจจับได้

    ผู้เชี่ยวชาญจาก Trend Micro สำรวจการใช้ Dev Containers ใน GitHub Codespaces ในการคุกคามด้วย Malware ซึ่งผู้โจมตีสามารถใช้ script forward port เพื่อเรียกใช้ Python HTTP server และดาวน์โหลด ไฟล์ที่เป็นอันตรายที่อยู่ใน Codespace จากนั้นตั้งเปิด port เป็นสาธารณะ และสร้าง webserver ที่สามารถส่งไฟล์ที่เป็นอันตรายไปยังเป้าหมายได้

    แม้ตอนนี้ยังไม่มีการใช้ GitHub Codespaces ในทางที่ผิด แต่รายงานเหล่านี้ก็แสดงให้เห็นถึงความเป็นไปได้ เนื่องจากผู้ไม่ประสงค์ดีมักมีเป้าหมายไปที่ platform ที่ใช้งานได้ฟรี และได้รับความเชื่อถือจากการรักษาความปลอดภัย ล่าสุดทาง GitHub ได้แนะนำให้ผู้ใช้ได้ปฏิบัติตามกฏการใช้งาน เพื่อความปลอดภัย

 

Ref : www.bleepingcomputer.com

พบช่องโหว่ระดับความรุนแรงสูงบน jsonwebtoken กระทบโครงการมากกว่า 22,000 โครงการ

    Unit 42 หน่วยงานวิจัยด้านความปลอดภัยของ Palo Alto Networks ได้ออกเผยแพร่รายงานการพบช่องโหว่บน jsonwebtoken (JWT) ที่มีหมายเลข CVE-2022-23529 ซึ่งส่งผลให้ Hackers ที่สามารถโจมตีได้สำเร็จสามารถสั่งรันโค้ดที่เป็นอันตรายจากระยะไกลได้

    CVE-2022-23529 (คะแนน CVSS: 7.6 ระดับความรุนแรงสูง) เป็นช่องโหว่ของ JSON web token (JWT)

ที่สามารถสั่งรันโค้ดที่เป็นอันตรายจากระยะไกล (Remote Code Execution RCE) บนเซิร์ฟเวอร์เป้าหมายได้

jsonwebtoken ถูกพัฒนาและดูแลโดย Auth0 ของ Okta โดยเป็นโมดูล JavaScript ที่ช่วยให้ผู้ใช้สามารถถอดรหัส ตรวจสอบ และสร้างโทเค็นเว็ป JSON เพื่อเป็นวิธีการส่งข้อมูลอย่างปลอดภัยระหว่างสองฝ่าย เพื่อการตรวจสอบสิทธิ์การใช้งาน และการตรวจสอบความถูกต้อง โดยมีการดาวน์โหลดไปแล้วมากกว่า 10 ล้านครั้งต่อสัปดาห์ใน npm software และมีการใช้งานมากกว่า 22,000 โครงการ

การโจมตี

    Hackers จะทำการโจมตีบนเซิร์ฟเวอร์เป้าหมายผ่านทาง jsonwebtoken ที่มีช่องโหว่ เพื่อสั่งรันโค้ดที่เป็นอันตรายจากระยะไกล รวมไปถึงการเขียนข้อมูลทับ หรือเข้ารหัสไฟล์บนเครื่องที่ถูกโจมตีผ่านทาง Secret management process โดยใช้ secretOrPublicKey value ที่มีช่องโหว่

jsonwebtoken เวอร์ชันที่ได้รับผลกระทบ

jsonwebtoken ตั้งแต่เวอร์ชัน 8.5.1 ลงไป

วิธีการป้องกัน

ดำเนินการอัปเดตเป็น jsonwebtoken เวอร์ชัน 9.0.0 เพื่อป้องกันความเสี่ยงจากการถูกโจมตี

Ref : hehackernews

Lolipop Malware ขโมยข้อมูลบน PyPI packages

    มีผู้ไม่ประสงค์ดีได้ Upload PyPI (Python Package Index) ที่บรรจุ 3 Packages ที่เป็นอันตราย โดยมี code ด้านในเพื่อฝัง Malware ขโมยข้อมูลบนระบบของผู้พัฒนา Packages อันตรายนี้ ถูกพบโดยทาง Fortinet ทั้งหมดถูก upload โดยใช้ชื่อผู้สร้างเดียวกันคือ Lolipop โดยจะมีชื่อ ‘colorslib’, ‘httpslib’, ‘libhttps’ ซึ่งทั้งหมดถูกลบออกจาก PyPI แล้ว

    แต่ด้วยความเป็นที่นิยม จึงยังคงเป็นเป้าหมายของผู้ไม่ประสงค์ดี โดยทั่วไปแล้ว Packages ที่เป็นอันตรายเหล่านี้จะปลอมให้ดูเป็นประโยชน์ที่สุด หรือเลียนแบบ Packages ที่มีชื่อเสียง โดยทาง PyPI ไม่สามารถตรวจสอบ Package ทั้งหมดที่ Upload ได้ แต่อาศัยการรายงานของผู้ใช้งาน เพื่อหาไฟล์ที่เป็นอันตรายแทน

ลักษณะการโจมตี

    โดยทั้ง 3 Packages ที่ Fortinet ค้นพบ มีการเขียนคำอธิบายต่างๆที่สมบูรณ์มาก จึงทำให้มีโอกาสที่ผู้พัฒนาจะหลงเชื่อ ในกรณีนี้ ชื่อของ Package ไม่ได้เลียนแบบจาก projects อื่น แต่จะดึงดูดด้วยความน่าเชื่อถือ

   มีการเก็บข้อมูล ทั้ง 3 Packages โดยการนับจำนวนครั้งในการ ดาวน์โหลด โดยนับจำนวนจนถึง วัน 14 มกราคม 2566 ดังนี้

        - Colorslib – 248 downloads

        - httpslib   – 233 downloads

        - libhttps   – 68 downloads
   

    โดยทั้ง 3 Packages จะมีไฟล์ที่เหมือนกันคือ ‘setup.py’ โดยไฟล์นี้จะพยายามเปิด Powershell เพื่อดึงไฟล์บางอย่างมาเรียกใช้ จาก URL ในชื่อ ‘Oxyz.exe’ ซึ่งเป็นส่วนหนึ่งของ Malware ขโมยข้อมูลของ Browser 

     และอีกหนึ่งไฟล์ที่ดึงมา ได้ถูกตั้งค่าบน VirusTotal ให้เป็นอันตรายในชื่อ ‘Update.exe’ จะส่งหลายไฟล์มายังเครื่อง host หนึ่งในนั้นคือ ‘SearchProtocalHost.exe’ ที่ถูกชี้ว่าเป็นตัวขโมยข้อมูล จากบริให้บริการ antivirus บางเจ้า

    อย่างไรก็ตาม หลังจากลบ Packages เหล่านี้จาก PyPI ผู้ไม่ประสงค์ดีก็สามารถกลับมา upload ขึ้นมาใหม่ด้วยการเปลี่ยนชื่อเท่านั้น เพื่อความปลอดภัย Software Developers ควรจะมีความรอบคอบ ในการดาวน์โหลด Packages ควรเช็คผู้เขียน code และคำวิจารณ์ ว่าเป็น Code อันตรายที่จงใจเขียนขึ้นมาหรือไม่

Ref: www.bleepingcomputer.com

IcedID Malware Strikes Again: Active Directory Domain Compromised in Under 24 Hours

IcedID Malware กลับมาโจมตีอีกครั้ง โดยสามารถเข้าถึง Active Directory Domain ได้ภายใน 24 ชั่วโมง

    Cybereason เผยข้อมูลการโจมตีของ IcedID Malware ที่สามารถเข้าถึง Active Directory Domain ได้ภายใน 24 ชั่วโมง หลักจากได้รับสิทธิ์การเข้าถึงในครั้งแรก รวมไปถึงตลอดการโจมตี Hacker ยังพยายามทำการค้นหาช่องโหว่อื่น ๆ, ขโมยข้อมูลประจำตัว, แพร่กระจายตัวโดยการใช้ Windows protocol และการใช้เครื่องมืออย่าง Cobalt Strike บนเครื่่องเหยื่อที่ถูกโจมตี

    IcedID หรือที่รู้จักในชื่อ BokBot เริ่มต้นด้วยการเป็น banking trojan ในปี 2017 ก่อนจะพัฒนาเป็น dropper malware แบบเดียวกันกับ Emotet, TrickBot, Qakbot, Bumblebee และ Raspberry Robin

วิธีการโจมตี

    นักวิจัยได้อธิบายการโจมตีของ IcedID ไว้ว่า มันจะเริ่มจากการส่งไฟล์อิมเมจ ISO ที่อยู่ในไฟล์ ZIP ซึ่งได้ฝัง payload อันตรายเอาไว้ไปหาเหยื่อ เมื่อสามารถโจมตีเข้าไปยังระบบของเหยื่อได้แล้ว ก็จะสร้าง Process เพื่อฝังตัวเองในเครื่อง (Persistence) และทำการติดต่อกับเซิร์ฟเวอร์ภายนอกของ Hacker เพื่อดาวน์โหลด payload เพิ่มเติม เช่น Cobalt Strike Beacon สำหรับหาช่องโหว่อื่น ๆ บนระบบสำหรับการ lateral movement รวมไปถึงเครื่องมือภาษา C# ที่ชื่อว่า Rubeus เพื่อขโมยข้อมูลประจำตัว เพื่อยกระดับสิทธิ์ตัวเอง และแพร่กระจายไปยัง Windows Server เครื่องอื่น ๆ รวมไปถึงเพื่อการโจมตีแบบ DCSync ซึ่งจะทำให้ Hacker สามารถจำลอง domain controller ( DC ) และดึงข้อมูลประจำตัวของผู้ใช้งานทั้งหมดบนระบบ domain controllers ออกมาได้

    รวมไปถึงการใช้เครื่องมืออื่น ๆ เป็นส่วนหนึ่งของการโจมตี ได้แก่ netscan.exe เพื่อสแกนเครือข่าย, Rclone ซอฟต์แวร์ซิงค์ไฟล์ เพื่อส่งข้อมูลที่ขโมยมาไปที่เก็บข้อมูลบนคลาวด์ MEGA และติดตั้ง Atera agent ซึ่งเป็น remote administration tool ที่ถูกต้องตามกฎหมาย ซึ่งสามารถใช้ในการสั่งการจากระยะไกลได้

    โดยการใช้เครื่องมือเหล่านี้เป็นการสร้าง backdoor เพื่อที่ทำให้ผู้โจมตีสามารถแฝงตัวอยู่ในระบบของเหยื่อต่อไปได้ ทำให้อุปกรณ์ตรวจจับด้านความปลอดภัย เช่น EDR มีโอกาสน้อยลงที่จะสามารถตรวจจับพฤติกรรมผิดปกติเหล่านี้ได้

Ref: thehackernews

Fortinet พบ Hackers กำหนดเป้าหมายการโจมตีไปยังกลุ่มองค์กรรัฐบาล ด้วยช่องโหว่ FortiOS SSL-VPN Zero-Day รีบอัปเดตโดยด่วน

    Fortinet เปิดเผยว่า พบ Hackers ที่ยังไม่ทราบชื่อ กำลังใช้ประโยชน์จากช่องโหว่ Zero-day ของ FortiOS SSL-VPN กำหนดเป้าหมายการโจมตีไปยังองค์กรของรัฐ และองค์กรที่เกี่ยวข้องกับรัฐบาล ช่องโหว่ FortiOS SSL-VPN ( CVE-2022-42475 ) คือช่องโหว่ heap-based buffer overflow ที่พบใน FortiOS SSL-VPN ที่ทำให้ Hacker สามารถหลบเลี่ยงการตรวจสอบสิทธิ และโจมตีอุปกรณ์เป้าหมายจากระยะไกล หรือสั่งรันโค้ดที่เป็นอันตรายจากระยะไกลได้ (Remote Code Execution) ซึ่งช่องโหว่ถูกเผยแพร่ออกมาในกลางเดือนธันวาคมที่ผ่านมา เพื่อให้ผู้ใช้งานได้อัปเดตเพื่อแก้ไขช่องโหว่

การโจมตี

    Fortinet ได้เผยแพร่รายงานการติดตามผลของกลุ่ม Hacker ที่ใช้ช่องโหว่ CVE-2022-42475 โจมตีอุปกรณ์ FortiOS SSL-VPN โดยพบว่า หลังจากที่สามารถโจมตีผ่านช่องโหว่ FortiOS SSL-VPN ได้สำเร็จ Hacker ก็จะทำการดาวน์โหลด และติดตั้งไฟล์อัปเดตอันตราย ซึ่งสามารถลบ Log ที่ใช้ตรวจจับการเข้าถึง และการโจมตีของ Hacker รวมทั้งปิดระบบ Intrusion Prevention System (IPS) ที่ทำหน้าที่ตรวจจับภัยคุกคาม ใน Firewall Fortigate ที่มีช่องโหว่ อีกทั้งยังพบหลักฐาน ที่ยืนยันได้ว่า Hacker ได้กำหนดเป้าหมายการโจมตีไปยังองค์กรของรัฐ และองค์กรที่เกี่ยวข้องกับรัฐบาลอีกด้วย

การป้องกัน

    แนะนำให้ผู้ดูแลระบบอัปเดตเป็น FortiOS เวอร์ชันล่าสุดโดยด่วน เพื่อป้องกันการโจมตีจากช่องโหว่ดังกล่าว

bleepingcomputer

พบช่องโหว่ Authentication bypass บน Routers Cisco

 

    Cisco ได้ออกเตือนลูกค้าเนื่องจากพบช่องโหว่ร้างแรง Authentication bypass ที่มีผลกับ VPN routers ที่ End-of-life (EoL) โดยมีรหัสคือ CVE-2023-20025 พบบนตัว Management interface ของ Routers RV016, RV042, RV042G, RV082 

    โดยเกิดจาก ผู้โจมตีสามารถ Remote เข้ามาส่ง HTTP request เพื่อให้ Management interface ของ Routers เกิดช่องโหว่ Authentication bypass เมื่อสามารถเข้ามาได้ ผู้โจมตีสามารถเข้าใช้แบบ Root access และยังส่งผลไปถึงช่องโหว่อื่นๆเช่น CVE-2023-2002 โดยสามารถเข้าไปเรียกใช้ Commands บน OS ได้ 

    ผู้พบช่องโหว่นี้คือ Product Security Incident Response Team (PSIRT) ของ Cisco กล่าวว่านี่เป็นเพียงช่องโหว่ที่คาดว่าอาจเกิดปัญหาขึ้นได้ และทาง Cisco กล่าวว่า จะไม่มีการออก Software update สำหรับช่องโหว่นี้ และทาง PSIRT ยังไม่พบว่ามีการใช้ช่องโหว่นี้ในการโจมตี

การป้องกันการโจมตี

แม้ยังไม่มีวิธีในการแก้ไขช่องโหว่นี้  ผู้ดูแลอาจจะใช้วิธี ปิดช่องโหว่ด้วยการปิดการใช้งาน Management interface และบล๊อก Port 443 และ60443  วิธีการในการแก้ไขตามรุ่นที่มีช่องโหว่นี้ > Cisco Small Business RV016, RV042, RV042G, and RV082 Routers Vulnerabilities  แต่เครื่องที่ได้ปิดการใช้งานข้างต้นแล้ว ยังคงสามารถเข้าใช้งานได้ผ่านทาง LAN interface

ทาง Cisco ได้แนะนำให้เจ้าของ Router ที่ไม่ได้รับ Patch เปลี่ยน Router เป็นรุ่นใหม่ หลังจากที่ช่องโหว่ CVE-2022-20825 ถูกเปิดเผยแล้ว Cisco says it won’t fix zero-day RCE in end-of-life VPN routers (bleepingcomputer.com)

Ref: www.bleepingcomputer.com

เว็บไซต์ AnyDesk ปลอม มากกกว่า 1,300 เว็บไซต์ พยายามใช้ Vidar malware เพื่อขโมยข้อมูล

 

เป็นวิธีการที่ใช้กันจำนวนมาก มากกว่า 1,300 Domain ที่แอบอ้างเป็น เว็บไซต์ AnyDesk อย่างเป็นทางการที่กำลังทำงานอยู่ โดยจะเปลี่ยนเส้นทางไปยัง Dropbox เพื่อให้ Vidar malware ขโมยข้อมูล

AnyDesk เป็นที่นิยม ในการใช้ควบคุมคอมพิวเตอร์จากระยะไกลสำหรับ Window, Linux, MacOS โดยผู้ใช้หลายล้านคนทั่วโลกที่ใช้ เพื่อการเชื่อมต่อระยะไกล หรือผู้ดูแลใช้ในการดูแลระบบ แต่เนื่องจากตัวช่วยนี้เป็นที่นิยม จึงมักจะถูกใช้เป็นแหล่งกระจาย Malware ด้วย ตัวอย่างเช่น ในเดือนตุลาคม 2022 ทาง Cyble ได้รายงานว่า มีตัว Mitsu Stealer ใช้เว็บ AnyDesk ในการ Phishing เพื่อพยายามใช้ Malware ตัวใหม่ของพวกเขา Cyble — Mitsu Stealer distributed via AnyDesk Phishing Site

สำหรับภัยคุกคามที่ยังคงดำเนินการอยู่นี้ ถูกพบโดยผู้เชี่ยวชาญ crep1x ของ SEKOIA ได้ออกมาเตือนเกี่ยวกับภัยคุกคามนี้บน Twitter และได้แชร์รายชื่อของ Hostname ที่เป็นอันตราย โดยรายชื่อทั้งหมดนี้ถูกแก้ไขไปที่ IP address : 185.149.120[.]9.  https://gist.githubusercontent.com/qbourgue/a81873df59004858a107a7c10b3a3fd7/raw/e731b15ee245bca08834c6da9a69fe8dd16f5f83/vidar_fqdn_impersonating_anydesk_website.txt โดยรายชื่อ Hostname ข้างต้นรวมไปถึง การพิมพ์ผิดเพื่อหา AnyDesk, MSI Afterburner, 7-ZIP, Blender, Dashlane, Slack, VLC, OBS, Application ซื้อขาย Cryptocurrency เป็นต้น อย่างไรก็ตาม แม้ว่าชื่อที่ว่ามาทั้งหมดจะนำไปที่เว็บไซต์ปลอมของ AnyDesk ดังรูปด้านล่าง

ซึ่ง Domain ที่เป็นอันตรายส่วนใหญ่ยังคงทำงานอยู่ ในขณะตัวอื่นๆ ได้ถูกรายงาน และถูกปิดการใช้งาน โดยเว็บไซต์หลัก หรือถูกบล๊อคโดย Antivirus ดังนั้นลิ้ง Dropbox ของพวกเขาจะไม่ทำงานอีก หลังจากได้รับรายงาน เรื่องไฟล์ที่เป็นอันตรายให้กับบริการ Cloud storage แต่อย่างไรก็ตาม ผู้ไม่ประสงค์ดีสามารถแก้ไขได้โดยง่าย ด้วยการอัพเดท URL ที่ใช้ดาวน์โหลด ไปยังเว็บไซต์อื่น

ทุกเว็บไซต์จะนำไปสู่ Vidar Stealer

            ในรูปแบบการบุกรุกแบบใหม่นี้ เว็บไซต์จะกระจาย ZIP file ในชื่อ ‘AnyDeskDownload.zip’ เป็นตัวติดตั้งปลอมของ AnyDesk software ซึ่งแทนที่จะติดตั้ง Remote access Software แต่จะติดตั้ง Vidar stealer แทนเพื่อใช้ Malware ขโมยข้อมูล ซึ่งใช้มาตั้งแต่ 2018 เมื่อได้ทำการติดตั้งแล้ว Malware จะขโมย Browser history, Account credentials, Saved passwords, Cryptocurrency wallet data, Banking information และข้อมูลที่สำคัญอื่นๆ โดยข้อมูลเหล่านี้จะถูกส่งกลับไปที่ผู้โจมตี ซึ่งจะถูกใช้ในหลายหลายวิธีที่อันตราย หรือขายข้อมูลนี้ต่อให้ ผู้ไม่ประสงค์ดี ซึ่งผู้ใช้ทั่วไปมักจะจบลงด้วยเว็บไซต์ที่เป็นอันตรายเหล่านี้ เมื่อทำการค้นหา Software เวอร์ชันละเมิดลิขสิทธิ์บน Google จากนั้นพวกเขาจะถูกนำไปสู่อีกหลาย Domains ที่สามารถเปลี่ยนเส้นทางไปจบที่ Domains ที่จะค่อยส่ง Payload ที่เป็นอันตราย ซึ่งแทนที่จะซ่อน Malware ไว้เบื้องหลังการเปลี่ยนเส้นทาง เพื่อหลบเลี่ยงการตรวบพบ และถูกลบ แต่ตัว Vidar ใช้ Dropbox file hosting service ที่ได้รับความเชื่อถือจาก Antivirus เพื่อส่ง Payload ที่เป็นอันตรายแทน

BleepingComputer ได้พบ Vidar เมื่อไม่นานมานี้ ได้เริ่มพยายามคุกคาม โดยผ่านทางการพิมพ์ชื่อ Domains ผิดโดยมีจำนวนกว่า 200 Domain เพื่อนำไปยังกับ Software แอบอ้างกว่า 27 Brands / SEKOIA ได้รายงานว่ามีตัวขโมยข้อมูลกระจายอยู่อีกมาก บนเว็บไซต์กว่า 128 แห่ง ที่เกี่ยวกับการ Cracked software ซึ่งยังไม่แน่ใจว่าส่วนนี้เกี่ยวข้องกับเว็บไซต์ AnyDesk ปลอมหรือไม่

โดยแนะนำให้ผู้ใช้ดาวน์โหลด Software จาก Bookmark สำหรับดาวน์โหลด Software โดยเฉพาะ และหลีกเลี่ยงการกดจากโฆษณาบน Google Search และใช้ URL จากเว็บทางการเท่านั้น บนหน้าเอกสาร Wikipedia หรือ OS’s package manager

Ref: https://www.bleepingcomputer.com/

Kubernetes clusters ถูกแฮกโดย Kinsing malware ผ่าน PostgreSQL

 

Kinsing malware กำลังบุกรุก Kubernetes cluster โดยใช้จุดอ่อนที่ใน Container images และการตั้งค่าผิดพลาด ที่ได้ถูกพบเห็นบน PostgreSQL containers แม้วิธีเหล่านี้จะไม่ใช่เรื่องแปลกใหม่ แต่ทีม Defender for Cloud ของ Microsoft ได้รายงานว่า เขาเพิ่งได้รู้ถึงวิธีการนี้เมื่อเร็ว ๆ นี้ ซึ่งเป็นข้อบ่งชี้ว่า ผู้ไม่ประสงค์ดียังคงมองหาช่องทางในการบุกรุกอยู่

Kinsing คือ Linux malware ที่มีประวัติในการกำหนดเป้าหมายเป็น ระบบ Containers เพื่อขุดเหรียญ Crypto โดยใช้ทรัพยากร Hardware ของเครื่องที่ถูกบุกรุก เพื่อสร้างรายได้ให้กับผู้ไม่ประสงค์ดี ซึ่งผู้ไม่ประสงค์ดี ที่อยู่เบื้องหลัง Kinsing ได้ใช้ช่องโหว่ที่รู้จักกัน เช่น Log4Shell และเมื่อเร็ว ๆ นี้ Atlassian Confluence RCE ได้เริ่มถูกบุกรุกแล้วเช่นกัน (ช่องโหว่ CVE-2022-26134)

การสแกนหาข้อบกพร่องสำหรับ Container image

Microsoft กล่าวว่า พวกเขาได้พบ 2 วิธีการที่ ผู้ใช้ Kinsing ใช้ในการเข้าสู่ Linux server โดยใช้ช่องโหว่ของ Container image หรือความผิดพลาดในการตั้งค่า PostgreSQL database server เมื่อสามารถผ่านเข้ามาได้ ผู้ไม่ประสงค์ดีจะหาทางในการเรียกใช้ Code เพื่อใช้งาน Payloads (การเรียกใช้งานต่างๆที่เป็นภัย)

Microsoft Defender สำหรับ Cloud ได้มีการระบุว่า ผู้ไม่ประสงค์ดีจะพยายามใช้ช่องโหว่เพื่อมาบุกรุกตาม Application ข้างต้นเพื่อผ่านเข้าระบบมา ได้แก่

-    PHPUnit

-    Liferay

-    Oracle WebLogic

-    WordPress

           ในกรณีของ WebLogic แฮกเกอ์จะสแกนหา CVE-2020-14882, CVE-2020-14750, CVE-2020-14883 ซึ่งทั้งหมดนี้เป็นช่องโหว่ของการเรียกใช้ Code ที่มีผลกับ Oracle โดยปัญหาเหล่านี้สามารถหลีกเลี่ยงได้โดยใช้ Images เวอร์ชั่นล่าสุดในการติดตั้ง และใช้ Images ที่มาจากแหล่งเก็บที่เป็นทางการ และที่น่าเชื่อถือ Microsoft ได้แนะนำให้ลดการเข้าใช้ Container ที่อนุญาตให้เห็นได้ผ่าน IP และการตั้งค่าสิทธิการเข้าใช้ต่ำ

การโจมตี PostgreSQL

            ทางที่ 2 ของการโจมตีที่ ผู้เชี่ยวชาญด้านความปลอดภัยของ Microsoft ได้เป็นผู้พบ คือการมุ่งเป้าไปที่ PostgreSQL server ที่มีการตั้งค่าผิดพลาดที่มีจำนวนมากขึ้น โดยหนึ่งในการตั้งค่าผิดพลาดมากที่สุด ที่ผู้ไม่ประสงค์ดีนำไปใช้ประโยชน์ได้คือ การตั้งค่า ‘Trust authentication’ ที่สั่งการให้ PostgreSQL ถือว่า “ใครก็ตามที่สามารถเข้ามาที่ Server ได้ คือคนที่ได้รับอนุญาตเข้าถึง Database” และความผิดพลาดอื่น ๆ เช่นการกำหนด IP address ที่กว้างเกินไป รวมไปถึงบาง IP address ที่ผู้ไม่ประสงค์ดีอาจจะใช้ในการเข้าถึง Server ได้

            สำหรับการแก้ไขปัญหาการตั้งค่า PostgreSQL เบื้องต้น สามารถเข้าดูที่เว็บเพจคำแนะนำด้านความปลอดภัย PostgreSQL: Documentation: 7.0: Security  และสุดท้าย Microsoft กล่าวว่าตัว Defender สำหรับ Cloud สามารถตรวจการให้สิทธิการตั้งค่า และการตั้งค่าผิดพลาดได้บน PostgreSQL containers และช่วยให้ผู้ดูแลลดความเสี่ยงก่อนที่แฮกเกอร์จะเข้ามาใช้ช่องโหว่เหล่านี้ สำหรับผู้ดูแล PostgreSQL ที่ Server ถูก Kinsing บุกรุกโดย Sreeram Venkitesh ของ BigBinary ได้เขียนบทความเกี่ยวกับการถูกบุกรุกของพวกเขา และวิธีที่ลบ Kinsing ออก How my server got infected with a crypto mining malware and how I fixed it - BigBinary Blog

Ref: www.bleepingcomputer.com