VMware ออกแพตช์แก้ไขช่องโหว่ของ vRealize ที่ทำให้ผู้โจมตีรันคำสั่งด้วยสิทธิ root ได้

    VMware ออกแพตช์แก้ไขช่องโหว่ของ vRealize Log Insight ซึ่งทำให้ผู้โจมตีเรียกใช้คำสั่งที่เป็นอันตรายจากระยะไกล (Remote Code Execution) ไปยังเครื่องเป้าหมายที่ยังไม่ได้ทำการแพตช์ได้ vRealize Log Insight หรือปัจจุบันรู้จักกันในชื่อ VMware Aria Operations for Logs เป็นเครื่องมือ log analysis ที่ช่วยวิเคราะห์ application และ infrastructure log environment

รายละเอียดช่องโหว่

• CVE-2023-20864 (คะแนน CVSS: 9.8/10 ระดับความรุนแรงสูง) เป็นช่องโหว่ deserialization ที่สามารถเรียกใช้งานคำสั่งที่เป็นอันตรายจากระยะไกล Remote Code Execution (RCE) ด้วยสิทธิระดับสูง (Root) ได้โดยไม่ต้องผ่านการตรวจสอบสิทธิ์
• CVE-2023-20865 (คะแนน CVSS: 7.2/10 ระดับความรุนแรงสูง) เป็นช่องโหว่ที่แทรกคำสั่งของระบบปฏิบัติการ (OS) ใน VMware Aria Operations for Logs ด้วยสิทธิระดับสูง (Root) ได้โดยไม่ต้องผ่านการตรวจสอบสิทธิ์
• VMware ระบุว่า ยังไม่มีรายงานการโจมตีจากทั้งสองช่องโหว่นี้แต่อย่างใด โดยช่องโหว่ CVE-2023-20864 นั้นจะมีผลกับ VMware Aria Operations for Logs 8.10.2 เท่านั้น

คำแนะนำ

    ปัจจุบันทาง VMware ได้มีการปล่อย Patch อัปเดตสำหรับ VMware Aria Operations for Logs 8.12 ออกมาแล้ว แนะนำให้ผู้ใช้งานทำการ Update โดยเร็วที่สุด

Ref : bleepingcomputer

พบผู้ไม่ประสงค์ดีใช้ประโยชน์ Kubernetes RBAC ในการใช้เพื่อขุด Cryptocurrency

    รูปแบบการโจมตีที่ถูกค้นพบล่าสุดนั้น เป็นการใช้ประโยชน์จากคลัสเตอร์ Kubernetes – Role-Based Access Control หรือ K8s RBAC เพื่อสร้างแบ็คดอร์และรัน Cryptocurrency โดยใช้ DaemonSets เข้ามาช่วยในการดำเนินการโจมตี

    การโจมตีเริ่มต้นโดยผู้ไม่ประสงค์ดีสามารถเข้าถึงเซิร์ฟเวอร์ API ที่กำหนดค่าไม่ถูกต้อง จากนั้นจะใช้ดำเนินการ Malware miner บนเซิร์ฟเวอร์ที่ถูกโจมตี และต่อมาจะใช้ RBAC เพื่อตั้งค่าการคงอยู่ในระบบของเหยื่อ ในการโจมตีนั้น ถูกตรวจพบจากฮันนี่พอตของ K8s ซึ่งผู้ไม่ประสงค์ดีพยายามสร้างคีย์การเข้าถึง AWS เพื่อเข้าไปในระบบ, ขโมยข้อมูล และพยายามหลุดออกจากขอบเขตของคลัสเตอร์ K8s

  ขั้นตอนสุดท้ายของการโจมตีผู้ไม่ประสงค์ดีจะสร้าง DaemonSet เพื่อปรับใช้อิมเมจ   คอนเทนเนอร์ที่โฮสต์อยู่บน Docker : (“kuberntesio/kube-controller:1.0.1”) บนโหนดทั้งหมด โดยคอนเทนเนอร์ที่ถูกดึงออกมา 14,399 ครั้ง นับตั้งแต่อัปโหลดเมื่อ 5 เดือนที่แล้ว จะมี Cryptocurrency อยู่ด้วย

อิมเมจคอนเทนเนอร์ชื่อ ‘kuberntesio/kube-controller’ จะถูกเขียนขึ้นเพื่อแอบอ้างเป็นบัญชี ‘kubernetesio’ และยังเลียนแบบอิมเมจคอนเทนเนอร์ ‘kube-controller-manager’ ซึ่งเป็นส่วนประกอบที่สำคัญของการควบคุมการทำงานภายใน Pod บนโหนดหลักทุกโหนด โดยมีหน้าที่ตรวจจับและตอบสนองต่อความผิดปกติของโหนด

   จุดสังเกตที่น่าสนใจของกลวิธีบางอย่างในรูปแบบมีความคล้ายคลึงกับการดำเนินการขุด cryptocurrency ที่ผิดกฎหมายอื่น ๆ ซึ่งใช้ประโยชน์จาก DaemonSets เพื่อขุด Dero และ Monero แต่ขณะนี้ยังไม่ชัดเจนว่าการโจมตีทั้ง 2 ชุดมีความเกี่ยวข้องกันหรือไม่

คำแนะนำ

• ควรกำหนดสิทธิ์และจำกัดการเข้าถึง Resources ของ Root User 
• ควรบล็อคโดเมนที่ทำ Coin Mining ในไฟล์โฮสต์ 
• ควรเปิดใช้งาน AWS MFA หรือ Multi Factor Authentication 
• ควรตรวจสอบ Policy ที่ใช้งานอย่างสม่ำเสมอ

Ref: bleepingcomputer

ARES data leak forums แหล่งซื้อขายข้อมูลรั่วไหลแห่งใหม่ ที่มาแทน Breached forum

   กลุ่มผู้ไม่ประสงค์ดีในชื่อ ARES Group กำลังถูกพูดถึงเป็นอย่างมาก เนื่องจากการเปิดตัวเว็บไซต์ ARES Leaks forums ซึ่งเป็นแหล่งในการซื้อขายข้อมูลที่ถูกขโมยมาจากบริษัท และหน่วยงานของรัฐ ARES Group ปรากฎตัวบน Telegram ในช่วงปลายปี 2021 และมีความเกี่ยวข้องกับการดำเนินการของแรนซัมแวร์ RansomHouse และ KelvinSecurity รวมไปถึงแพลตฟอร์มการซื้อขายข้อมูลรั่วไหล และกลุ่ม Adrastea

    โดยการที่ ARES Group ออกมาประกาศเปิดตัวเว็บไซต์ ARES Leaks forums ซึ่งเป็นแหล่งในการซื้อขายข้อมูลรั่วไหล ที่อาจจะมาแทนที่ Breached forum ที่ปิดตัวลงไป นอกจากนี้ Cyfirma บริษัทด้านความปลอดภัยทางไซเบอร์ได้รายงานว่า ARES Group ได้พยายามสร้างความร่วมมือ และเป็นพันธมิตรกับกลุ่มผู้ไม่ประสงค์ดีอื่น ๆ เพื่อเข้าถึงข้อมูลจากกลุ่มต่าง ๆ อีกด้วย

ARES Leaks

    ARES Leaks มีการประกาศซื้อขายข้อมูลรั่วไหลจากกว่า 65 ประเทศ เช่น สหรัฐอเมริกา ฝรั่งเศส สเปน ออสเตรเลีย และอิตาลี โดยมีข้อมูลทุกประเภท ตั้งแต่หมายเลขโทรศัพท์, ที่อยู่อีเมล, รายละเอียดลูกค้า, B2B, SSN และฐานข้อมูลของบริษัท ไปจนถึงข้อมูล forex, ข้อมูลรั่วไหลของรัฐบาล และหนังสือเดินทาง ซึ่งสมาชิกสามารถซื้อข้อมูลเหล่านี้ได้ โดยการชำระเงินเป็น cryptocurrency

    นอกจากนี้ ARES Leaks ยังมีการประกาศขายช่องโหว่ที่สามารถใช้ในการโจมตี, การทดสอบเจาะระบบ, มัลแวร์ที่ถูกพัฒนาขึ้น และการโจมตีแบบ distributed denial of service (DDoS) อีกด้วย ARES Leaks มีช่องทางในการติดต่อส่วนตัว และช่องทาง VIP เพื่อซื้อขายข้อมูลขององค์กรที่มีชื่อเสียงซึ่งมีมูลค่าที่สูงกว่า รวมถึงการมุ่งเป้าหมายไปยังข้อมูลทางทหาร และฐานข้อมูลที่มีความสำคัญ โดยได้มีการประกาศ และโฆษณาไปยังแพลตฟอร์มต่าง ๆ ของกลุ่ม Hacker

LeakBase

    LeakBase เปิดตัวในต้นปี 2022 โดยเป็นโครงการที่ได้รับการสนับสนุนจากกลุ่ม ARES Group ซึ่งเป็นเว็บไซต์สำหรับกลุ่มผู้ไม่ประสงค์ดีโดยเฉพาะ โดยเปิดให้สามารถสมัครเข้าเป็นสมาชิกได้ฟรี นำเสนอฐานข้อมูลฟรี โดยเป็นพื้นที่ตลาดสำหรับการขายการข้อมูลรั่วไหล การขายช่องโหว่ และบริการการโจมตีต่าง ๆ โดยใช้ระบบการชำระเงิน escrow เพื่อสร้างความไว้วางใจ นอกจากนี้ยังมีพื้นที่สำหรับการเขียนโปรแกรม การเรียนรู้เคล็ดลับการเป็นผู้ไม่ประสงค์ดีเช่น hacking tips, การทำ social engineering, การเจาะระบบ, การเข้ารหัส การไม่เปิดเผยตัวตน และการสนทนาเกี่ยวกับ opsec

    Cyfirma พบเห็นฟอรัมที่กำลังเพิ่มมากขึ้นใน ARES Leaks ภายหลังจากที่ Breached forum ได้ปิดตัวลง รวมไปถึงคาดว่า LeakBase ก็จะค่อย ๆ เติบโต และกลายเป็นเหมือน Breached forum ในเร็ว ๆ นี้

Ref : bleepingcomputer

Google Chrome ออกแพตซ์อัปเดตเร่งด่วน แก้ไขช่องโหว่ Zero-day แรกของปี 2023

    Google ออกแพตซ์อัปเดตด้านความปลอดภัยเร่งด่วนสำหรับ Chrome เพื่อแก้ไขช่องโหว่ zero-day ที่กำลังถูกนำมาใช้ในการโจมตีเป็นครั้งแรกตั้งแต่ต้นปีนี้ โดย Google ระบุในคำแนะนำด้านความปลอดภัยที่เผยแพร่เมื่อวันศุกร์ที่ผ่านมาว่า (14 เมษายน 2566) ได้รับรายงานว่ากำลังมีการโจมตีโดยการใช้ประโยชน์จากช่องโหว่ CVE-2023-2033 อยู่ในปัจจุบันโดย Chrome เวอร์ชันใหม่ที่ออกมาจะทำให้ผู้ใช้งานทั้งหมดอัปเดตได้ครบถ้วนภายในอีกไม่กี่วัน หรือภายในสัปดาห์หน้า

    ผู้ใช้งาน Chrome ควรอัปเดตเป็นเวอร์ชัน 112.0.5615.121 โดยเร็วที่สุด โดยช่องโหว่ CVE-2023-2033 กระทบกับทั้งระบบ Windows, Mac และ Linux

รายละเอียดของการโจมตียังไม่มีการเปิดเผย

    มีการระบุข้อมูลของช่องโหว่ Zero-day CVE-2023-2033 ในเบื้องต้นว่าเกิดจากช่องโหว่ใน Chrome V8 JavaScript โดยช่องโหว่ได้รับการรายงานโดย Clement Lecigne จาก Google threat analysis group (TAG) ซึ่งเป้าหมายหลักของทีม TAG ของ Google คือการปกป้องผู้ใช้งานของ Google จากการโจมตีที่คาดว่าผู้โจมตีได้รับการสนับสนุนจากหน่วยงานรัฐบาล

    Google Tags มักจะรายงานช่องโหว่ Zero-day ที่ผู้โจมตีที่ได้รับการสนับสนุนจากหน่วยงานรัฐบาลนำมาใช้ประโยชน์จากการโจมตีเป้าหมายที่เป็นบุคคลระดับสูง เพื่อติดตั้งสปายแวร์บนอุปกรณ์ รวมไปถึงนักข่าว นักการเมืองฝ่ายค้าน และผู้ไม่เห็นด้วยกับรัฐบาลเหล่านั้นจากทั่วโลก

    แม้ว่าโดยทั่วไปช่องโหว่จะเกิดจากการทำให้เบราว์เซอร์หยุดการทำงานภายหลังจากการโจมตีได้สำเร็จผ่านทางการอ่าน หรือเขียนบนหน่วยความจำ แต่ผู้โจมตียังสามารถใช้ประโยชน์จากช่องโหว่เหล่านี้เพื่อเรียกใช้งานโค้ดที่เป็นอันตรายได้ตามที่ต้องการบนอุปกรณ์ที่ถูกโจมตี

    โดย Google ระบุว่าได้รับรายงานว่ากำลังมีการโจมตีโดยการใช้ประโยชน์จากช่องโหว่ CVE-2023-2033 แล้ว แต่จะยังไม่มีการเปิดเผยข้อมูลเพิ่มเติมเกี่ยวกับเหตุการณ์การโจมตีจนกว่าผู้ใช้งานส่วนใหญ่จะได้รับการอัปเดตแพตช์

  โดย Chrome จะทำการอัปเดตโดยอัตโนมัติ โดยที่ผู้ใช้งานไม่ต้องดำเนินการใด ๆ ส่วนหากต้องการอัปเดตด้วยตนเองสามารถเข้าไปที่ Chrome menu > Help > About Google Chrome เพื่ออัปเดตได้

Ref : bleepingcomputer

พบแฮกเกอร์ใช้ประโยชน์จากซอฟต์แวร์ WinRAR เพื่อติดตั้งแบ็คดอร์บนเครื่องเหยื่อ

    ผู้ไม่ประสงค์ดีเพิ่มฟังก์ชันการทำงานที่เป็นอันตรายลงในซอฟต์แวร์ WinRAR ผ่านการฝังไฟล์ SFX ลงไปเพื่อทำการติดตั้งแบ็คดอร์บนระบบของเป้าหมาย ซึ่งวิธีการนี้ส่งผลให้ผู้ไม่ประสงค์ดีสามารถหลบเลี่ยงการตรวจจับได้ โดยไฟล์ SFX จะมีไฟล์สำหรับเรียกใช้ PowerShell และตัวจัดการสิทธิ์การเข้าถึงของระบบ

    การโจมตีเริ่มต้นจากผู้ไม่ประสงค์ดีจะทำการฝังไฟล์ SFX ที่เข้ารหัสไว้ผ่าน WinRAR หรือ 7-Zip จากนั้นผู้ไม่ประสงค์ดีจะเข้าถึงระบบของเป้าหมายโดยการ compromised credentials และการใช้ Utility Manager (utilman[.] exe) ที่ถูกตั้งค่าให้กำหนดค่า debugger ใน Windows Registry ที่เป็นโปรแกรมเฉพาะ โดยจะเริ่มทำการ debug อัตโนมัติทุกครั้งที่เปิดโปรแกรม ต่อมาที่ utilman[.] exe จะเรียกใช้ไฟล์ SFX ที่ได้รับการออกแบบมาเพื่อเรียกใช้ PowerShell เพิ่มหลายคำสั่ง และสร้างไฟล์ SFX Archive เพื่อเปิดแบ็คดอร์บนระบบของเป้าหมาย

    ภายในไฟล์ SFX จะดูเหมือนว่าว่างเปล่า ส่งผลให้สามารถหลบเลี่ยงการตรวจจับจากโปรแกรมตรวจจับและผู้ดูแลระบบได้อย่างง่ายดาย แต่เมื่อไฟล์ SFX ได้ทำการ Combined เข้ากับ Registry Key เฉพาะ แล้วนั้นอาจทำให้ผู้ไม่ประสงค์ดีสร้างแบ็คดอร์อย่างถาวรบนระบบของเป้าหมายได้

    เหตุผลที่ผู้ไม่ประสงค์ดีเลือกใช้ utilman[.] exe นั้น เนื่องจากการใช้ utilman[.] exe ทำให้ผู้ไม่ประสงค์ดีสามารถกำหนดค่าแบ็คดอร์ผ่านตัว Image File Execution Options (IFEO) debugger ใน Registry Key ของ Windows ผู้ไม่ประสงค์ดีจะใช้ประโยชน์จาก IFEO Registry Key เพื่อเรียกใช้ไบนารี่ได้โดยไม่มีการตรวจสอบสิทธิ์และผ่านมาตรการรักษาความปลอดภัยบนระบบได้ แม้ว่าเป้าหมายจะไม่มีซอฟต์แวร์ WinRAR หรือ 7-Zip แต่ไฟล์ SFX ก็ยังสามารถแตกไฟล์และแสดงเนื้อหาบนเครื่องของเป้าหมายได้

คำแนะนำ

• ควรอัปเดตระบบปฏิบัติการและซอฟต์แวร์ป้องกันไวรัสอย่างสม่ำเสมอ
• ควรให้ความสนใจเป็นพิเศษกับคลังข้อมูล SFX
• ควรสแกนไฟล์ SFX Archives เพื่อหาฟังก์ชันที่ซ่อนอยู่เพิ่มเติม
• ไม่ควรดาวน์โหลดไฟล์หรือซอฟต์แวร์จากแหล่งที่ไม่น่าเชื่อถือ

Ref : cyware

ทดลองใช้ swagger

 

        swagger คือเครื่องมือที่เอาไว้ช่วยในการสร้างเอกสารหรือคู่มือสำหรับ rest api สำหรับในบทความนี้เราจะมาลองใช้ swagger กัน

แต่ก่อนที่จะไปใช้กันจำเป็นต้องมี 2 สิ่งเพื่อที่จะใช้  

1. Swagger Editor 
2. api ที่เราจะนำมาทดสอบ 

       ซึ่งในการติดตั้ง swagger editor เราจะติดตั้งบน docker กันหรือหากไม่อยากติดตั้งสามารถเข้าไปใช้ ผ่านลิ้งค์นี้ได้เลย SwaggerEditor

        ก่อนอื่นก็มาติดตั้ง swagger editor กันก่อนให้ใช้คำสั่ง

 docker pull swaggerapi/swagger-editor

          ถัดมาก็ทำการ run docker image ด้วยคำสั่ง

 docker run -d -p 80:8000 swaggerapi/swagger-editor

           เมื่อเข้ามาหน้าแรกจะเป็นตามภาพด้านล่างเลย จะมี  api ตัวอย่างให้ทดลองใช้อยู่

            แต่ในบทความนี้เราได้เตรียม api มาทดสอบเองดังนั้นจะไม่ใช้ตัวอย่างของทาง swagger 

1. ขั้นแรกก็ทำการกำหนด version ของ swagger ก่อนซึ่งในบทความนี้จะใช้เป็น swagger 2.0 

2. เมื่อกำหนด version เสร็จก็มาใส่รายละเอียดของ rest api จากนั้นใส่ host ของ api ที่เราเตรียมมาไว้ทดสอบ และทำการใส่ protocal สามารถใส่ได้มากกว่าหนึ่งค่า

 3. จากนั้นมาสร้าง path เพื่อใช้ทดสอบ

4. เมื่อสร้าง path เสร็จแล้วก็มาที่หน้าจอฝั่งขวาเพื่อทำการทดสอบ ในการทดสอบให้กดที่ try it out แล้วกด execute ก็จะได้ผลลัพธ์ดังภาพ

พบมัลแวร์ Rilide ใหม่ โจมตีผ่าน Chromium Web Browsers

พบ Hacker ปลอมแปลงเป็นส่วนขยายเพื่อเก็บเกี่ยวข้อมูลที่ละเอียดอ่อนและ Cryptocurrency

    Rilide แฝงตัวเป็นส่วนขยายของ Google Drive สามารถการบันทึกภาพของ Browsing History และซ่อน Script ที่เป็นอันตรายเพื่อถอนเงินจากการแลกเปลี่ยน Cryptocurrency ต่าง ๆ นอกจากนี้  Malware สามารถปลอมแปลงกล่องโต้ตอบ และ หลอกลวงให้ผู้ใช้งานป้อนรหัสยืนยันตัวตนแบบสองขั้นตอนเพื่อถอดถอน Digital Assets Trustwave กล่าวว่ามี Campaign สองตัวที่ต่างกัน ซึ่งเกี่ยวข้องกับ Ekipa RAT และ Aurora Stealer ที่นำไปสู่การติดตั้งส่วนขยายของเบราว์เซอร์ที่เป็นอันตราย

    Ekipa RAT แพร่กระจายผ่าน ไฟล์ Microsoft Publisher ที่ติดกับดัก, Google Ads ปลอม ที่เป็นตัวนำส่งของ Aurora Stealer เป็นเทคนิคทั่วไปที่พบได้มากขึ้นในช่วงหลายเดือนที่ผ่านมา การโจมตีทั้งสองแบบช่วยให้ทำ Rust-based Loader ได้ง่ายขึ้น นอกจากนี้ มีการแก้ไข ไฟล์ LNK ของเบราว์เซอร์ และสร้างการใช้คำสั่งของ Load Extension เพื่อปล่อย add-on

    หนึ่งในฟีเจอร์โดดเด่นที่มีการนำมาใช้จาก source code ที่หลุดออกมา คือ การสลับที่อยู่ใน Wallet ของ Cryptocurrency ด้วย Hard-Coded ของผู้ที่ทำการควบคุม

คำแนะนำ

• ติดตั้งซอฟต์แวร์ป้องกันไวรัสและมัลแวร์ และทำการ Full-scan เป็นประจำ
• หลีกเลี่ยงลิงก์แปลกปลอม และ ซอฟต์แวร์ละเมิดลิขสิทธิ์
• อัปเดตเว็บเบราว์เซอร์ และ ลบปลั๊กอินที่ไม่จำเป็น
• ตรวจสอบ ชื่อ Email, Link ชื่อ Domain ต้องตรงกับหน่วยงาน
• สังเกตเว็บหน่วยงานต้องมี HTTPS

Ref : thehackernews

CISA แจ้งให้หน่วยงานต่าง ๆ รีบทำการอัปเดตแพตซ์ช่องโหว่เพื่อป้องกันการโจมตีจาก spyware

    Cybersecurity and Infrastructure Security Agency (CISA) หน่วยงานด้านความมั่นคงทางไซเบอร์สหรัฐ สั่งให้หน่วยงานของรัฐบาลกลาง ทำการอัปเดตแพตซ์เพื่อแก้ไขช่องโหว่ที่กำลังถูกนำมาใช้ในการโจมตีเพื่อติดตั้งสปายแวร์บนอุปกรณ์มือถือ

    โดยช่องโหว่ที่ CISA แนะนำให้รีบทำการอัปเดต ถูกพบว่าเป็นส่วนหนึ่งของการโจมตีที่มุ่งเป้าหมายไปที่ผู้ใช้งาน Android และ iOS ที่ถูกค้นพบโดยทีมนักวิจัย Threat Analysis Group (TAG) ของ Google ต่อมาได้พบการมุ่งเป้าการโจมตีไปยังผู้ใช้งาน Android ของ Samsung ที่ใช้ Samsung Internet Browser รวมไปถึงแคมเปญการโจมตีไปยัง Android เพื่อถอดรหัส และขโมยข้อมูลจากแอปแชท และเบราว์เซอร์

    โดยทาง CISA ได้เพิ่มช่องโหว่ห้าในสิบรายการที่ถูกใช้ในแคมเปญการโจมตีด้วยสปายแวร์สองรายการในแคตตาล็อก Known Exploited Vulnerabilities (KEV):

• CVE-2021-30900 ช่องโหว่ใน Apple iOS, iPadOS และ macOS
• CVE-2022-38181 ช่องโหว่ใน Arm Mali GPU Kernel Driver Use-After-Free
• CVE-2023-0266 ช่องโหว่ใน Linux Kernel Use-After-Free
• CVE-2022-3038 ช่องโหว่ใน Google Chrome Use-After-Free
• CVE-2022-22706 ช่องโหว่ในArm Mali GPU Kernel Driver

    ทั้งนี้ CISA ได้แนะนำให้ทำการอัปเดตเพื่อแก้ไขช่องโหว่ 5 รายการที่ได้เพิ่มไปใน KEV ตามคำสั่งการปฏิบัติงานที่ต้องรักษาความปลอดภัยเครือข่ายของตนจากช่องโหว่ทั้งหมดที่เพิ่มเข้าไปในรายการช่องโหว่ของ CISA ซึ่งเป็นช่องโหว่ที่กำลังถูกนำมาใช้ในการโจมตี รวมไปถึงประกาศขอความร่วมมือให้หน่วยงาน องค์กร และบริษัทต่าง ๆ รีบทำการอัปเดตช่องโหว่เพื่อป้องกันการถูกโจมตีด้วยเช่นกัน

Ref : bleepingcomputer

พบ MacStealer malware ตัวใหม่ใน macOS ที่สามารถขโมยรหัสผ่านจาก iCloud Keychain

    ผู้เชี่ยวชาญด้านความปลอดภัยไซเบอร์ของ Uptycs พบ MacStealer malware ใหม่ที่กำหนดเป้าหมายการโจมตีไปยัง macOS เพื่อขโมยข้อมูลส่วนบุคคล ที่จัดเก็บไว้ใน iCloud KeyChain และเว็บเบราว์เซอร์ cryptocurrency wallet และไฟล์ข้อมูลที่มีความสำคัญ

MacStealer มุ่งเป้าหมายการโจมตีไปยัง macOS

  ผู้เชี่ยวชาญพบ MacStealer ในเว็บไซต์ hacking forum แห่งหนึ่งในเดือนมีนาคม 2023 โดยมีผู้นำมาโปรโมต และวางแผนที่จะนำมาขายในราคา $100 พร้อมทั้งโฆษณาว่า MacStealer เป็น Malware-as-a-Srvice (MaaS) ที่สามารถนำไปใช้ร่วมกับแคมเปญการโจมตีของกลุ่ม Hacker ต่าง ๆ ได้อย่างสะดวก โดย malware นี้รองรับการโจมตีบน macOS ตั้งแต่ macOS Catalina (10.15) จนถึงเวอร์ชันล่าสุด Ventura (13.2) ซึ่งขณะนี้ MacStealer ยังอยู่ในขั้นตอนการพัฒนา และปรับปรุง แต่จะนำเพย์โหลด DMG ที่สร้างไว้แล้วมาขายก่อนล่วงหน้า

โดย MacStealer จะมาพร้อมกับความสามารถในการขโมยข้อมูลต่าง ๆ ดังนี้

• ข้อมูลรหัสผ่านบัญชี คุกกี้ และรายละเอียดบัตรเครดิตจาก Firefox, Chrome และ Brave
• ข้อมูลไฟล์ TXT, DOC, DOCX, PDF, XLS, XLSX, PPT, PPTX, JPG, PNG, CSV, BMP, MP3, ZIP, RAR, PY และ DB
• ข้อมูล Keychain database (login.keychain-db) ในรูปแบบเข้ารหัส base64
• การรวบรวมข้อมูลระบบ
• การรวบรวมข้อมูลรหัส Keychain
• ข้อมูล Coinomi, Exodus, MetaMask, Phantom, Tron, Martian Wallet, Trust wallet, Keplr Wallet และ Binance cryptocurrency wallet

    Keychain database เป็นระบบจัดเก็บข้อมูลที่ปลอดภัยใน macOS ซึ่งเก็บรหัสผ่าน คีย์ส่วนตัว และใบรับรองของผู้ใช้งาน โดยเข้ารหัสด้วยรหัสผ่านของผู้ใช้ ทำให้สามารถป้อนข้อมูลใบรับรองการเข้าสู่ระบบบนหน้าเว็บ และแอปได้โดยอัตโนมัติ

ขั้นตอนการโจมตีของ MacStealer

    โดย Hacker จะทำการหลอกล่อให้เป้าหมายทำการติดตั้ง MacStealer ที่เป็นไฟล์ DMG ไปยังเครื่อง macOS หลังจากนั้นระบบจะแสดงรหัสผ่านปลอมให้เป้าหมายทำการเรียกใช้คำสั่งอันตรายที่จะอนุญาตให้malwareทำการรวบรวมข้อมูลรหัสผ่านจากเครื่องเป้าหมายเก็บไว้ในไฟล์ ZIP และส่งข้อมูลที่ขโมยมาไปยัง Command and Control (C2) Server ของ Hacker ในภายหลัง

    นอกจากนี้ MacStealer จะส่งข้อมูลพื้นฐานบางอย่างไปยัง Telegram ที่มีการตั้งค่าไว้ล่วงหน้า ทำให้ Hacker ได้รับการแจ้งทันที เมื่อมีข้อมูลใหม่ที่ถูกขโมย และดาวน์โหลดไฟล์ ZIP

    แม้ว่าการโจมตีส่วนใหญ่ของบริการ MaaS จะมุ่งเป้าการโจมตีไปยัง Windows แต่ก็เริ่มมีการตั้งเป้าหมายไปที่ macOS ด้วยเช่นกัน ดังนั้นผู้ใช้งานควรระมัดระวัง และหลีกเลี่ยงการดาวน์โหลดไฟล์จากเว็บไซต์ที่ไม่น่าเชื่อถือ

Ref : bleepingcomputer

Microsoft เผยแพร่วิธีการตรวจจับการโจมตีจากช่องโหว่ใน Outlook

    Microsoft เผยแพร่คำแนะนำเพื่อช่วยให้ผู้ใช้งานสามารถตรวจจับ หรือค้นหาสัญญาณของการโจมตีจากช่องโหว่ใน Microsoft Outlook

   CVE-2023-23397 (คะแนน CVSS 9.8/10 ความรุนแรงระดับ Critical) เป็นช่องโหว่ที่ทำให้สามารถยกระดับสิทธิ์ใน Outlook client for Windows และนำ NTLM Hash ไปใช้โดยที่ผู้ใช้งานไม่รู้ตัว โดยการส่งข้อความที่มีคุณสมบัติ extended MAPI ที่มี UNC path ไปยัง SMB share (445) ที่ถูกควบคุมจากผู้ไม่ประสงค์ดี โดยช่องโหว่ดังกล่าวส่งผลกระต่อระบบ Windows เท่านั้น

รายงานการตรวจจับการโจมตีจากช่องโหว่ CVE-2023-23397

    Microsoft ได้เผยแพร่เทคนิคต่าง ๆ เพื่อค้นหาสัญญาณของการโจมตีช่องโหว่ใน Microsoft Outlook ดังกล่าว รวมไปถึงวิธีการป้องกันจากช่องโหว่ดังกล่าว ไม่ว่าจะเป็น Script ที่เอาไว้ตรวจสอบว่า Exchange Server ได้ถูกโจมตีอยู่หรือไม่ รวมถึง IOC ต่าง ๆ ในกรณีที่ ผู้ไม่ประสงค์ดี ได้ลบร่องรอยการโจมตีออกไปแล้ว

    โดยแหล่งที่มาของ Indicators of Compromise (IOC) ที่บ่งชี้ถึงสัญญาณของการถูกโจมตีจากช่องโหว่ Outlook มาจากหลากหลายแหล่งเช่น firewall, proxy, VPN, RDP Gateway logs รวมถึงบันทึก Azure Active Directory sign-in logs for Exchange Online users และ IIS Logs for Exchange Server

    นอกจากนี้ยังรวมไปถึงจาก security team เช่น Windows event log และ Alert จาก Endpoint Detection and Response (EDR) เนื่องจากในเหตุการณ์การโจมตีช่องโหว่ จะมี IOC ที่เชื่อมโยงกับการโจมตีผู้ใช้ Exchange EWS/OWA รวมถึงการเปลี่ยนแปลง permission ในโฟลเดอร์ mailbox ซึ่งจะทำให้ ผู้ไม่ประสงค์ดี สามารถเข้าถึงอีเมลของเป้าหมายได้อย่างต่อเนื่อง

คำแนะนำในการป้องกันช่องโหว่ CVE-2023-23397

    นอกจากนี้ Microsoft ได้ให้คำแนะนำเกี่ยวกับวิธีการป้องกันการโจมตีจากช่องโหว่ดังกล่าว โดยแนะนำให้รีบทำการ Update Patch ด้านความปลอดภัยของ Outlook ทั้งใน Exchange Online, Exchange Server และ platform และ มาตรการอื่น ๆ ที่บริษัทสามารถใช้เพื่อป้องกันการโจมตีจากช่องโหว่ CVE-2023-23397 ได้ ดังนี้ :

• หากในบริษัทมีการใช้งาน Microsoft Exchange Server ภายในบริษัท ควรทำการอัปเดตด้านความปลอดภัยโดยด่วนเพื่อป้องกันการโจมตีจากช่องโหว่ดังกล่าว
• เมื่อพบเห็นการแจ้งเตือนที่น่าสงสัยหรือเป็นอันตราย ให้ทำการตรวจสอบให้แน่ใจว่าได้มีการใช้ Script เพื่อลบข้อความ หรือคุณสมบัติบางอย่างหรือไม่ รวมไปถึงเตรียมแผนการตอบสนองต่อเหตุการณ์ ในกรณีที่พบการโจมตี
• ให้ทำการรีเซ็ตรหัสผ่านของบัญชีใด ๆ ที่สามารถเข้าสู่ระบบคอมพิวเตอร์ สำหรับผู้ใช้งานที่มีการใช้งานที่ผิดปกติ หรือมีการแจ้งเตือนด้านความปลอดภัยของบัญชีผู้ใช้งานรายนั้น
• ใช้การตรวจสอบสิทธิ์แบบ multifactor authentication เพื่อลดผลกระทบของการโจมตี Net-NTLMv2 Relay (ใช้ในการป้องการโจมตีทางออนไลน์)
• ปิดservice ที่ไม่จำเป็นใน Exchange
• จำกัดการรับส่งข้อมูล SMB โดยบล็อกการเชื่อมต่อบนพอร์ต 135 และ 445 จากที่อยู่ IP ขาเข้าทั้งหมด ยกเว้นที่อยู่ในรายการที่อนุญาตให้ใช้งาน
• ปิดใช้งาน NTLM บนเครือข่าย
  

วิธีการในการตรวจสอบ techcommunity.microsoft

Ref bleepingcomputer