มีการตรวจพบ Akira Ransomware ในระบบปฏิบัติการแบบ Linux

   มีการตรวจพบการโจมตีจากกลุ่มผู้ไม่ประสงค์ดี ด้วยการใช้ Akira Ransomware โดยที่เป้าหมายการโจมตีเป็นกลุ่มของผู้ใช้งาน VMware ESXi และใช้ระบบปฏิบัติการ Linux

    Akira Ransomware ถูกพบครั้งแรกเมื่อเดือน มีนาคม 2023 โดยเป็นกลุ่มเป้าหมายที่ใช้ระบบปฏิบัติการ Windows ในธุรกิจอุตสาหกรรมต่าง ๆ รวมถึงวงการการศึกษา การเงิน อสังหาริมทรัพย์ การผลิต และการให้คำปรึกษา โดยที่ผู้ไม่ประสงค์ดีก็ยังคงใช้รูปแบบการโจมตีด้วยการขโมย ข้อมูลจากเครือข่ายที่มีช่องโหว่ และเข้าทำการล็อกไฟล์บนเครื่องเป้าหมายและทำการเรียกค่าไถ่ เป็นมูลค่าถึง ล้านดอลลาร์

    มิถุนายน 2023 Akira กลับมาอีกครั้ง โดยถูกตรวจสอบพบโดย ผู้เชี่ยวชาญด้านความปลอดภัยและวิเคราะห์ Malwar Rivitna การตรวจสอบทดสอบด้วยการวิเคราะห์ตัวเข้ารหัสบน Linux ซึ่งมีการตรวจพบเป็นลักษณะของไฟล์ที่มีชื่อว่า 'Esxi_Build_Esxi6' ตัวอย่างเช่น หนึ่งใน ไฟล์ซอร์สโค้ดของโปรเจ็กต์คือ  /mnt/d/vcprojects/Esxi_Build_Esxi6/argh.h ซึ่งเป็นการกำหนดมาเพื่อเป้าหมายที่เป็น VMware ESXi โดยเฉพาะ

    ในช่วงที่ผ่านมา กลุ่มผู้ไม่ประสงค์ดีได้มีการโจมตีไปทางฝั่งเครื่อง VMware บ้างแล้วเนื่องจากกลุ่มผู้ใช้งานในองค์กร ส่วนมาก หันไปใช้เครื่องเสมือนเพราะใช้งานง่ายและกำหนดค่ามีประสิทธิภาพมากกว่าการใช้เครื่องจริง แต่การใช้งาน Akira Ransomware ด้วยการที่พึ่งถูกพัฒนามาไม่นาน เลยทำให้ยังไม่น่ากลัวมากนัก แต่รูปแบบพื้นฐานของการโจมตีนั้นเป็นเพียง

การเข้ายึดได้นั้นคือ

• -p --encryption_path (targeted file/folder paths)
• -s --share_file (targeted network drive path)
• - n --encryption_percent (percentage of encryption)
• --fork (create a child process for encryption)

    ผู้เชี่ยวชาญของ Cyble ได้ออกมาพูดถึง Akira Ransomware บน Linux ว่ามีตัวเข้ารหัส RSA สาธารณะและใช้ประโยชน์จากอัลกอริธึมคีย์สมมาตรหลายตัวสำหรับการเข้ารหัสไฟล์ รวมถึง AES, CAMELLIA, IDEA-CB และ DES

    คีย์สมมาตรใช้เพื่อเข้ารหัสไฟล์ของเหยื่อ จากนั้นจึงเข้ารหัสด้วยคีย์สาธารณะ RSA วิธีนี้จะป้องกันการเข้าถึงคีย์ถอดรหัส เว้นแต่คุณจะมีคีย์ถอดรหัสส่วนตัว RSA ที่ผู้โจมตีถือครองไว้เท่านั้น

    ไฟล์ที่เข้ารหัสซึ่งถูกเปลี่ยนชื่อให้มี  นามสกุล .akira  และบันทึกค่าไถ่แบบฮาร์ดโค้ดชื่อ  akira_readme.txt  จะถูกสร้างขึ้นในแต่ละโฟลเดอร์บนอุปกรณ์ที่เข้ารหัส

    และหลังจากที่ Akira Ransomware บน Linux ออกมานั้น ยังไม่มีแนวทางในการป้องกันหรือ ยังไม่พบ ตัวถอดรหัส ใด ๆ

Ref : bleepingcomputer

Fortinet ออกแพตซ์แก้ไขช่องโหว่ RCE ระดับ Critical ใน FortiNAC

    Fortinet ออกแพตซ์อัปเดตช่องโหว่ในโซลูชัน Zero-Trust Access ของตนเองที่ชื่อว่า FortiNAC เพื่อแก้ไขช่องโหว่ระดับ Critical ซึ่งผู้ไม่ประสงค์ดีสามารถใช้เพื่อสั่งรันโค้ด และคำสั่งที่เป็นอันตรายได้

    FortiNAC ช่วยให้องค์กรสามารถจัดการกับนโยบายการเข้าถึงเครือข่ายได้อย่างมีประสิทธิภาพ รวมถึงการควบคุมอุปกรณ์ และผู้ใช้งานภายในเครือข่าย และรักษาความปลอดภัยของเครือข่ายจากการเข้าถึงที่ไม่ได้รับอนุญาต

    โดยช่องโหว่ดังกล่าวมีหมายเลข CVE-2023-33299 และได้รับคะแนนระดับความรุนแรงของช่องโหว่ที่ 9.6 จาก 10 คะแนน โดยช่องโหว่ดังกล่าวเกิดจากการ deserialization of untrusted data ซึ่งอาจนำไปสู่การเรียกใช้โค้ดที่เป็นอันตรายจากระยะไกล (RCE) โดยไม่ต้องผ่านการตรวจสอบสิทธิ์ของผู้ใช้งาน

    โดย Fortinet ระบุว่า "ช่องโหว่ deserialization of untrusted data ใน FortiNAC อาจทำให้ผู้ไม่ประสงค์ดีที่ไม่ผ่านการตรวจสอบสิทธิ์ สามารถเรียกใช้โค้ด หรือคำสั่งที่ไม่ได้รับอนุญาตผ่าน request ที่ถูกสร้างขึ้นโดยเฉพาะไปยังบริการด้วยพอร์ต TCP/1050"

ผลิตภัณฑ์ที่ได้รับผลกระทบ มีดังนี้

• FortiNAC version 9.4.0 ถึง 9.4.2
• FortiNAC version 9.2.0 ถึง 9.2.7
• FortiNAC version 9.1.0 ถึง 9.1.9
• FortiNAC version 7.2.0 ถึง 7.2.1
• FortiNAC 8.8 ทุกรุ่น
• FortiNAC 8.7 ทุกรุ่น
• FortiNAC 8.6 ทุกรุ่น
• FortiNAC 8.5 ทุกรุ่น
• FortiNAC 8.3 ทุกรุ่น

เวอร์ชันที่แนะนำให้อัปเกรดเพื่อจัดการกับความเสี่ยงที่เกิดขึ้นจากช่องโหว่ มีดังนี้

• FortiNAC 9.4.3 ขึ้นไป
• FortiNAC 9.2.8 ขึ้นไป
• FortiNAC 9.1.10 ขึ้นไป
• FortiNAC 7.2.2 ขึ้นไป

    เนื่องจากทาง Fortinet ไม่ได้ให้คำแนะนำเกี่ยวกับการแก้ไขปัญหาแบบชั่วคราว ดังนั้นแนะนำให้รีบอัปเดตแพตซ์เพื่อป้องกันการถูกโจมตีจากช่องโหว่ดังกล่าว โดย CVE-2023-33299 ถูกค้นพบโดย Florian Hauser จากบริษัท Code White ซึ่งให้บริการ red team, penetration testing, และ threat intelligence

    Fortinet ยังได้แก้ไขช่องโหว่ระดับปานกลางที่มีหมายเลข CVE-2023-33300 เกี่ยวกับปัญหาควบคุมการเข้า ถึงที่ไม่ถูกต้อง ที่มีผลกระทบต่อ FortiNAC เวอร์ชัน 9.4.0 - 9.4.3 และ FortiNAC เวอร์ชัน 7.2.0 - 7.2.1 สาเหตที่ช่องโหว่นี้มีระดับความรุนแรงที่ต่ำกว่าเนื่องจาก CVE-2023-33300 จะถูกโจมตีได้ในรูปแบบ local เท่านั้น และผู้ไม่ประสงค์ดีต้องมีสิทธิ์สูงพอที่จะเข้าถึงข้อมูลที่ถูกคัดลอกไว้ เมื่อไม่กี่ปีที่ผ่านมาอุปกรณ์ Fortinet ตกเป็นเป้าหมายการโจมตีโดยใช้ช่องโหว่ Zero-day และการโจมตีอุปกรณ์ที่ไม่ได้รับการอัปเดตเป็นจำนวนมาก ตัวอย่างล่าสุดคือ CVE-2022-39952 ซึ่งเป็นช่องโหว่ RCE ที่ส่งผลกระทบต่อ FortiNAC ที่ได้รับการแก้ไขไปแล้วในช่วงกลางเดือนกุมภาพันธ์ ซึ่งผู้ไม่ประสงค์ดีเริ่มใช้ประโยชน์ช่องโหว่ในการโจมตีระบบ ไม่กี่วันหลังจากที่มีการเผยแพร่ POCs

    ในเดือนมกราคมที่ผ่านมา Fortinet แจ้งเตือนว่าผู้ไม่ประสงค์ดีได้ใช้ช่องโหว่ FortiOS SSL-VPN (CVE-2022-42475) ในการโจมตีองค์กรของรัฐ ก่อนที่จะได้รับการอัปเดตแพตซ์ในเวลาต่อมา

เดือนตุลาคมของปีที่แล้ว Fortinet ได้แจ้งเตือนให้ลูกค้าทำการอัปเดตอุปกรณ์เพื่อป้องกันช่องโหว่จากการ bypass authentication ใน FortiOS, FortiProxy, และ FortiSwitchManager (CVE-2022-40684) เนื่องจากผู้ไม่ประสงค์ดีได้เริ่มใช้ประโยชน์จากช่องโหว่ดังกล่าวแล้ว

Ref : bleepingcomputer

Microsoft แจ้งเตือนถึง USER ในการถูกผู้ไม่ประสงค์ดีขโมยข้อมูลแบบ Credential Stealing Attacks

    ทาง Microsoft ได้ออกมาเปิดเผยยอดของการโจมตีแบบ Credential Stealing Attacks ที่สูงมากขึ้น จากกลุ่มผู้ไม่ประสงค์ดีชาวรัสเซียโดยมีชื่อกลุ่มว่า Midnight Blizzard

    โดยที่การโจมตีอาศัยการใช้งาน IP Address แบบ Public ในการโจมตีแต่ละครั้งทำให้ทีมของผู้ตรวจสอบไม่สามารถระบุได้ว่าผู้ไม่ประสงค์ดีโจมตีจากจุดไหน โดยการโจมตีจะกำหนดเป้าหมาย เป็นกลุ่มของ กระทรวงการต่างประเทศ และ หน่วยงานทางการฑูต โดยที่กลุ่มนี้ มีอีกชื่อหนึ่งว่า APT29 ซึ่งเป็นกลุ่มที่ถูกกล่าวว่าน่ากลัวที่สุดใน กลุ่มของ ผู้ไม่ประสงค์ดีอีกหลาย ๆ กลุ่ม

    การโจมตี อาศัยช่องโหว่ของ การใช้งาน E-mail ที่มี File แนบโดยที่มีเลข  CVE-2020-12641 , CVE-2020-35730และCVE-2021-44026

    และเมื่อทำการโจมตีสำเร็จทำให้ผู้ไม่ประสงค์ดีสามารถเปลี่ยนเส้นทางอีเมล์ขาเข้าของเป้าหมายไปยังที่อยู่ภายใต้การควบคุมของทางผู้ไม่ประสงค์ดีแทน ทาง Microsoft ยังกล่าวอีกว่า การโจมตีรูปแบบนี้ยังเกี่ยวข้องกับการโจมตีแบบ Zero-Day ใน MS outlook CVE-2023-23397 ที่ Microsoft เป็นการโจมตีแบบกำหนดเป้าหมาย ทำให้ทาง Microsoft ได้รู้ถึงความพยายามของผู้ไม่ประสงค์ดีในการโจมตีที่มีความเกี่ยวข้องกับความขัดแย้งของระหว่างประเทศ ที่หันมาใช้การโจมตีทางไซเบอร์ที่แพร่ไปทั่วโลก

Ref : thehackernews

VMware แจ้งเตือนช่องโหว่ระดับ Critical ใน vRealize ที่กำลังถูกใช้ในการโจมตี

    เมื่อสองสัปดาห์ก่อน VMware ออกคำแนะนำด้านความปลอดภัย เพื่อเตือนผู้ใช้งาน VMware ถึงช่องโหว่ Remote Code Execution (RCE) ระดับ Critical ที่มีหมายเลข CVE-2023-20887 ซึ่งได้รับการอัปเดตแพตซ์แก้ไขไปแล้วก่อนหน้านี้ เนื่องจากผู้ไม่ประสงค์ดีกำลังใช้ประโยชน์จากช่องโหว่ดังกล่าวในการโจมตีอยู่ในปัจจุบัน

    ก่อนหน้านี้ GreyNoise บริษัทรักษาความปลอดภัยทางไซเบอร์ได้ออกคําเตือนหลายครั้ง โดยคําเตือนครั้งแรกเกิดขึ้นหนึ่งสัปดาห์หลังจาก VMware ออกแพตซ์แก้ไขช่องโหว่ด้านความปลอดภัยเมื่อ วันที่ 15 มิถุนายน และเพียงสองวันก่อนที่ Sina Kheirkah นักวิจัยด้านความปลอดภัยได้เปิดเผยรายงานเกียวกับรายละเอียดทางเทคนิค และ proof-of-concept ของช่องโหว่ โดยช่องโหว่นี้ส่งผลกระทบต่อ VMware Aria Operations for Networks (เดิมชื่อ vRealize Network Insight) ซึ่งเป็นเครื่องมือวิเคราะห์เครือข่าย

ที่ช่วยให้ผู้ดูแลระบบเพิ่มประสิทธิภาพการทำงานของเครือข่าย หรือจัดการการปรับใช้ VMware และ Kubernetes

    โดยผู้ไม่ประสงค์ดีที่ไม่ผ่านการตรวจสอบสิทธิ์สามารถใช้ประโยชน์จากช่องโหว่ในการทำ command injection ในการโจมตีได้โดยไม่ต้องมีการตอบโต้ จากผู้ใช้งาน

Kheirkhah อธิบายในการวิเคราะห์สาเหตุของช่องโหว่ด้านความปลอดภัยว่า VMWare Aria Operations for Networks (vRealize Network Insight) มีความเสี่ยงที่จะถูกแทรกคำสั่ง เมื่อรับอินพุตของผู้ใช้งานผ่านอินเทอร์เฟซ Apache Thrift RPC โดยช่องโหว่นี้ช่วยให้ผู้ไม่ประสงค์ดีจากภายนอกที่ไม่ผ่านการตรวจสอบสิทธิ์ สามารถเรียกใช้คําสั่งต่าง ๆ บนระบบด้วยสิทธิ์ Root ได้

ยังไม่มีวิธีการแก้ไขปัญหาชั่วคราวสำหรับช่องโหว่ CVE-2023-20887 ดังนั้นผู้ดูแลระบบจะต้องอัปเดตแพตซ์ VMware Aria Operations Networks 6.x ทั้งหมด เพื่อให้แน่ใจว่าจะไม่ถูกโจมตีจากช่องโหว่ดังกล่าว รายการแพตช์ความปลอดภัยทั้งหมด สำหรับเวอร์ชัน Aria Operations for Networks ที่พบช่องโหว่ทั้งหมดอยู่ในเว็บไซต์ VMware's Customer Connect website

Ref : bleepingcomputer

Microsoft มีการอัพเดท Patch ประจำเดือน มิถุนายน 2023 ด้วยการปิดช่องโหว่ 78 ช่องโหว่และแก้ไขช่องโหวาของ Remote Code Excution

    ทาง Microsoft ได้ทำการออก Update Patch ประจำเดือน มิถุนายน 2023 ที่ได้มีการอัพเดทด้านความปลอดภัยถึง 78 รายการ รวมถึงช่องโหว่ ในการเรียกใช้ Code จากระยะไกล RCE อีก 38 รายการ

 จากการที่มีการแก้ไขอัพเดทด้านความปลอดภัยทาง Microsoft ได้ออกมาชี้แจงถึงช่องโหว่ที่เป็นอันตรายสูงมากที่เป็นการโจมตีด้วยการหลีกเลี่ยงการตรวจสอบความปอลดภัยและสิทธิ์ในการเข้าถึง หลังจากนั้นสามารถเปลี่ยนแปลงสิทธิ์ของผู้ไม่ประสงค์ดีได้ในทันที

โดยการอัพเดทในครั้งนี้สามารถแบ่งออกเป็นรายการช่องโหว่ได้ดังนี้ :

• 17 Elevation of Privilege Vulnerabilities
• 3 Security Feature Bypass Vulnerabilities
• 32 Remote Code Execution Vulnerabilities
• 5 Information Disclosure Vulnerabilities
• 10 Denial of Service Vulnerabilities
• 10 Spoofing Vulnerabilities
• 1 Edge - Chromium Vulnerabilities

ใน Patch นี้การ Update ไม่ได้มีการแก้ไขช่องโหว่ที่เป็นการโ๗มตีแบบ  Zero-day แต่อย่างใดเนื่องจากไม่มีการโจมตี แบบ Zero-day จากรายการทั้งหมดนี้ทาง Microsoft ได้ยกตัวอย่างการโจมตีที่สำคัญหรือช่องโหว่ที่เป็นอันตรายสูงมาก

ดังรายการต่าง ๆ เช่น

• CVE-2023-29357 - Microsoft SharePoint Server Elevation of Privilege Vulnerability Ref: itfinities
• CVE-2023-32031 - Microsoft Exchange Server Remote Code Execution Vulnerability

และทาง Microsoft ยังได้มีการ Update ในฝั่งของ Office จำนวนหลายช่องโหว่ โดยมีเลข CVE ดังนี้

• CVE-2023-32029  (Excel)
• CVE-2023-33133  (Excel)
• CVE-2023-33137  (Excel)
• CVE-2023-33140  (OneNote)
• CVE-2023-33131  (Outlook)

และมีการ Update ที่ร่วมกับบริษัทหรือผู้ให้บริการรายอื่นใน Microsoft เช่น

• Cisco เปิดตัวการอัปเดตด้านความปลอดภัยสำหรับ Cisco AnyConnect และ ผลิตภัณฑ์ที่เกี่ยวข้อง
• Fortinet เปิดตัว Firmware Forti OS ใหม่ เพื่อแก้ไขปัญหา Fortigate RCE Zero-day Ref: itfinities
• VMware Update VMware ESXi เพื่อแก้ไขช่องโหว่ CVE-2023-20867 เป็นต้น

หากต้องการทราบรายละเอียดการ Update Patch ประจำเดือนทิถุนายน 2023 สามารถดุรายละะเอียดได้ที

microsoft patch tuesday

Ref : bleepingcomputer

ไฟล์ ISO ของ Windows 10 แบบละเมิดลิขสิทธิ์ แอบติดตั้งมัลแวร์ clipper ผ่าน EFI partitions

   ผู้ไม่ประสงค์ดีกำลังส่งไฟล์ Windows 10 ที่แอบซ่อน hijackers cryptocurrency ใน EFI (Extensible Firmware Interface) เพื่อหลีกเลี่ยงการตรวจจับ

    EFI partition เป็น system partition ขนาดเล็กที่มี bootloader และไฟล์ที่เกี่ยวข้อง ซึ่งเรียกทำงานก่อนที่จะเริ่มระบบปฏิบัติการ โดยจำเป็นสำหรับระบบ UEFI-powered systems แทนที่ BIOS ที่เลิกใช้แล้วในปัจจุบัน

   การโจมตีโดยใช้ EFI partition ที่ดัดแปลงเพื่อเปิดใช้งานมัลแวร์จากภายนอกของระบบปฏิบัติการ และเครื่องมือป้องกัน เช่น ในกรณีของ BlackLotus ที่ใช้ไฟล์ ISO ของ Windows 10 แบบละเมิดลิขสิทธิ์ ซึ่งถูกพบโดยนักวิจัยจาก Dr. Web ซึ่งใช้ EFI เป็นพื้นที่จัดเก็บสำหรับส่วนประกอบของมัลแวร์ clipper เนื่องจากอุปกรณ์ป้องกันมัลแวร์โดยทั่วไปมักไม่ตรวจสอบ EFI partition มัลแวร์จึงสามารถหลีกเลี่ยงการตรวจจับได้

Windows 10 builds ซ่อนแอปที่เป็นอันตรายไว้ในไดเร็กทอรีระบบต่อไปนี้ :

• \Windows\Installer\iscsicli.exe (dropper)
• \Windows\Installer\recovery.exe (injector)
• \Windows\Installer\kd_08_5e78.dll (clipper)

วิธีการทำงาน

    เมื่อติดตั้งระบบปฏิบัติการโดยใช้ไฟล์ ISO ดังกล่าว scheduled task จะถูกสร้างขึ้นเพื่อเรียกใช้งาน dropper ชื่อ iscsicli.exe ซึ่งจะ mounts EFI partition เป็นไดรฟ์ "M:\" เมื่อติดตั้งแล้ว dropper จะคัดลอกไฟล์อีกสองไฟล์คือ recovery.exe และ kd_08_5e78.dll ไปยังไดรฟ์ C:\

    จากนั้น Recovery.exe จะถูกเรียกใช้งาน ซึ่งมันจะ injects DLL ไฟล์ของมัลแวร์ clipper เข้าไปใน process %WINDIR%\System32\Lsaiso.exe

    หลังจากนั้น Clipper จะตรวจสอบว่ามีไฟล์ C:\Windows\INF\scunown.inf อยู่หรือไม่ หรือมีเครื่องมือวิเคราะห์การทำงาน เช่น Process Explorer, Task Manager, Process Monitor, ProcessHacker อยู่หรือไม่ เป็นต้น

    หากตรวจพบ Clipper จะไม่เปลี่ยนที่อยู่กระเป๋าเงินดิจิตอลเป็นของผู้โจมตี เพื่อหลบเลี่ยงการนำไปวิเคราะห์จากนักวิจัยด้านความปลอดภัย เมื่อ Clipper ทำงาน มันจะตรวจสอบคลิปบอร์ดของระบบ เพื่อหาที่อยู่กระเป๋าเงินดิจิตอล หากพบ ข้อมูลจะถูกแทนที่ในทันทีด้วยที่อยู่กระเป๋าเงินดิจิตอลของผู้โจมตี

    สาเหตุนี้จึงทำให้ผู้ไม่ประสงค์ดีสามารถเปลี่ยนเส้นทางการชำระเงินไปยังบัญชีของผู้โจมตีได้ ซึ่งตามรายงานของ Dr. Web มี cryptocurrency อย่างน้อย $19,000 ดอลลาร์ ที่อยู่ในกระเป๋าเงินของผู้โจมตีที่นักวิจัยสามารถระบุได้

ที่อยู่จาก ISO ของ Windows ที่แชร์บนเว็บไซต์ torrent แต่ Dr. Web ระบุว่าอาจมีมากกว่านี้ :

• Windows 10 Pro 22H2 19045.2728 + Office 2021 x64 by BoJlIIIebnik RU.iso
• Windows 10 Pro 22H2 19045.2846 + Office 2021 x64 by BoJlIIIebnik RU.iso
• Windows 10 Pro 22H2 19045.2846 x64 by BoJlIIIebnik RU.iso
• Windows 10 Pro 22H2 19045.2913 + Office 2021 x64 by BoJlIIIebnik [RU, EN].iso
• Windows 10 Pro 22H2 19045.2913 x64 by BoJlIIIebnik [RU, EN].iso

คำแนะนำ

• ควรหลีกเลี่ยงการดาวน์โหลด OS ที่ละเมิดลิขสิทธิ์ เพราะอาจเป็นอันตรายจากมัลแวร์ที่ถูกซ่อนไว้ได้
• แนะนำให้ดาวน์โหลด OS จาก เว็บไซต์ official หรือมีแหล่งที่มาที่น่าเชื่อถือเท่านั้น

Ref : bleepingcomputer

ผู้ไม่ประสงค์ดีชาวจีนใช้ประโยชน์จากช่องโหว่ VMware Zero-Day เพื่อเข้าถึงระบบ Windows และ Linux

    กลุ่มผู้ไม่ประสงค์ดีที่ได้รับการสนับสนุนจากรัฐบาลจีนที่รู้จักกันในชื่อ UNC3886 ถูกพบว่ากำลังใช้ช่องโหว่ zero-day ใน VMware ESXi เพื่อเข้าถึงระบบ Windows และ Linux โดย Mandiant ระบุว่า ช่องโหว่นี้สามารถ bypass การตรวจสอบของ VMware Tools Authentication ได้ และจากการตรวจสอบช่องโหว่หมายเลข CVE-2023-20867 (คะแนน CVSS : 3.9) ที่ทำให้สามารถเรียกใช้คําสั่งที่มีสิทธิ์สูงผ่าน Windows, Linux และ PhotonOS (vCenter) guest VMs โดยไม่ต้องผ่านการยืนยันตัวตนจาก ESXi และไม่มี Log เกิดขึ้นบนเครื่อง guest VMs

    UNC3886 ถูกพบครั้งแรกโดยบริษัทข่าวกรองด้านภัยคุกคามของ Google ในเดือนกันยายน 2022 ว่าเป็นกลุ่มผู้โจมตีที่มุ่งเป้าไปที่ VMware ESXi และเซิร์ฟเวอร์ vCenter โดยใช้ backdoor ชื่อ VIRTUALPITA และ VIRTUALPIE ก่อนหน้านี้ในเดือนมีนาคม พบว่ากลุ่มผู้ไม่ประสงค์ดีดังกล่าวมีความเชื่อมโยงกับการใช้ประโยชน์จากช่องโหว่ที่มีระดับความรุนแรงปานกลางในระบบปฏิบัติการของ Fortinet FortiOS เพื่อติดตั้งมัลแวร์บนเครือข่าย โดยกลุ่มดังกล่าวถูกระบุว่าเป็นกลุ่มที่มีความเชี่ยวชาญสูง และเป็นกลุ่มที่มีเป้าหมายการโจมตีไปที่องค์กรด้านเทคโนโลยี และองค์กรโทรคมนาคมในสหรัฐอเมริกา ญี่ปุ่น และภูมิภาคเอเชียแปซิฟิก

    นักวิจัยของ Mandiant ระบุว่ากลุ่มดังกล่าวสามารถเข้าถึงการวิจัย และการสนับสนุนเพื่อทำความเข้าใจเทคโนโลยีพื้นฐานของอุปกรณ์ที่เป็นเป้าหมาย เนื่องจากรูปแบบของเครื่องมือที่ใช้โจมตีช่องโหว่บน firewall และ virtualization software ที่ไม่รองรับโซลูชัน EDR ข้อมูลส่วนหนึ่งของการโจมตี ESXi พบว่า มีการพยายามรวบรวมข้อมูล credential จากเซิร์ฟเวอร์ vCenter และใช้ช่องโหว่ CVE-2023-20867 เพื่อรันคําสั่ง และถ่ายโอนไฟล์จาก guest VMs บน ESXi ของเหยื่อ

    จุดที่น่าสังเกตของกลุ่ม UNC3886 คือ การใช้ซ็อกเก็ต Virtual Machine Communication Interface (VMCI) สำหรับการโจมตีต่อไปยังระบบอื่น ๆ ในเครือข่าย รวมถึงความพยายามในการแฝงตัวบนระบบ ดังนั้นจึงทำให้ผู้โจมตีสามารถแอบสร้างช่องทางเชื่อมต่อระหว่างโฮสต์ ESXi และ guest VMs ได้

    นักวิจัยของ Mandiant ระบุว่า ช่องทางการเชื่อมต่อระหว่าง guest และโฮสต์ จะทำหน้าที่เป็น client หรือเซิร์ฟเวอร์ ซึ่งจะช่วยให้ผู้โจมตีสามารถเข้าถึงโฮสต์ ESXi แบบ backdoor ได้ ซึ่งก็จะทำให้ผู้โจมตีได้รับสิทธิ์ และสามารถเข้าถึงเครื่อง guest ต่าง ๆ ได้

    การโจมตีดังกล่าวเกิดขึ้นภายหลังจากที่ Sina Kheirkhah นักวิจัยจาก Summoning Team ได้เปิดเผยช่องโหว่ที่แตกต่างกัน 3 รายการใน VMware Aria Operations for Networks (CVE-2023-20887, CVE-2023-20888 และ CVE-2023-20889) ที่อาจส่งผลให้มีการเรียกใช้โค้ดที่เป็นอันตรายจากระยะไกลได้ (Remote Code Execution)

Ref : thehackernews

Ransomware โจมตี Sharepoint Online ได้โดยไม่ต้องเข้าควบคุมเครื่องผู้ใช้งาน

    Obsidian พบการโจมตีของ Ransomware ที่โจมตี Sharepoint Online (Microsoft 365) สำเร็จ ผ่านบัญชีผู้ดูแลระบบ Microsoft Global SaaS แทนที่จะโจมตีผ่านการเข้าควบคุมเครื่องผู้ใช้งานก่อน มีการวิเคราะห์การโจมตีหลังการถูกเข้าควบคุมระบบ ทีมวิจัย Obsidian ไม่ได้เปิดเผยชื่อของเป้าหมาย แต่เชื่อว่าผู้ไม่ประสงค์ดีคือกลุ่มที่รู้จักกันในชื่อ 0mega

    เมื่อผู้ไม่ประสงค์ดีเข้าระบบได้แล้วจะทำการสร้างผู้ใช้ Active Directory (AD) ใหม่ที่ชื่อว่า Omega พร้อมสิทธิ์ขั้นสูง รวมถึง Global Administrator, SharePoint Administrator, Exchange Administrator และ Teams Administrator และยังมีความสามารถเป็น Site collection administrator ไปยังไซต์ และคอลเลกชันของ Sharepoint หลายรายการ และลบผู้ดูแลระบบที่มีอยู่ (มากกว่า 200 คน) ภายใน 2 ชั่วโมง โดยการโจมตีเกี่ยวข้องกับการขโมยไฟล์ มากกว่าการการเข้ารหัส

    หลังจากสามารถขโมยไฟล์ออกไปหลายร้อยไฟล์แล้ว ผู้ไม่ประสงค์ดีก็จะทำการอัปโหลดไฟล์ PREVENT-LEAKAGE.txt เพื่อเตือนเป้าหมายถึงการโจมตี และแนะนำช่องทางติดต่อสื่อสารกับผู้ไม่ประสงค์ดี ในการเจรจาการชำระเงินเพื่อหลีกเลี่ยงการเผยแพร่ข้อมูลทางออนไลน์

    Obsidian สงสัยว่านี่อาจเป็นจุดเริ่มต้นว่าแนวโน้มการโจมตีในรูปแบบนี้จะเติบโตขึ้น นักวิจัยให้ข้อมูลกับ SecurityWeek ว่าผู้ไม่ประสงค์ดีได้ทุ่มเทเวลาเพื่อสร้างระบบอัตโนมัติสำหรับการโจมตีรูปแบบนี้ ซึ่งเป็นไปได้ว่าผู้ไม่ประสงค์ดีต้องการใช้ฟีเจอร์นี้ในอนาคต นอกจากนี้นักวิจัยยังคาดว่าการโจมตีจะมีปริมาณเพิ่มมากขึ้น เนื่องจากมีเพียงบริษัทไม่กี่แห่งที่มีโปรแกรมรักษาความปลอดภัยสำหรับ SaaS ในขณะที่บริษัทส่วนใหญ่จะลงทุนเพื่อรักษาความปลอดภัยบนอุปกรณ์ของผู้ใช้งานมากกว่า

    Obsidian เชื่อว่ากลุ่ม Omega (ซึ่งสามารถระบุได้ผ่านชื่อบัญชีที่สร้างขึ้น ข้อมูลอื่น ๆ ที่สังเกตได้ และโครงสร้างพื้นฐานที่ใช้) อยู่เบื้องหลังการโจมตี โดย Omega ถูกพบครั้งแรกในเดือนกรกฎาคม 2565 ซึ่งมีรายงานระบุว่า Omega มีการโจมตีสองแบบ (Ransomware และการโจรกรรมข้อมูล) และมีเว็บไซต์ที่เผยแพร่ข้อมูลรั่วไหลกว่า 152 GB ที่ขโมยมาจากบริษัทซ่อมอุปกรณ์อิเล็กทรอนิกส์ในเดือนพฤษภาคม 2565

สิ่งสำคัญเพื่อป้องกันการโจมตีนี้คือการใช้ MFA สําหรับทุกบัญชี โดยเฉพาะบัญชีที่มีสิทธิ์สูง ซึ่งผู้ไม่ประสงค์ดีอาจจะได้ข้อมูลผู้ใช้งานมาจากหลายแหล่ง เช่น จากแคมเปญฟิชชิ่งของพวกเขาเอง, จากการคาดเดา และจาก dark web credential databases การใช้งาน MFA จะทําให้การใช้ข้อมูลประจำตัวผู้ใช้งานที่ถูกขโมยมาทำได้ยากขึ้น

    Obsidian ระบุว่า ถึงแม้ Administrative account จะเปิดใช้งาน MFA แต่ผู้ไม่ประสงค์ดีก็อาจใช้วิธีการโจมตีแบบ MFA push fatigue เพื่อ bypass MFA ได้ แต่บริษัทต่าง ๆ สามารถเสริมความแข็งแกร่งให้กับระบบจากการโจมตีเหล่านี้ได้ ตัวอย่างเช่น การใช้เทคโนโลยี phishless เช่น WebAuthn

นักวิจัยแนะนำให้ทำให้การควบคุมการใช้งาน SaaS อย่างเข้มงวด รวมถึงการตรวจสอบสิทธิ์พิเศษที่มากเกินไป และยกเลิกรายการที่ไม่ได้รับอนุญาต หรือมีความเสี่ยงสูง ร่วมกับการรวบรวม และการวิเคราะห์บันทึกการตรวจสอบ/กิจกรรมของ SaaS ที่เกี่ยวข้อง เพื่อตรวจจับรูปแบบที่สอดคล้องกับการโจมตี, ภัยคุกคามจากภายใน หรือการโจมตีจาก third-party ที่ถูกโจมตี

securityweek

พบ PoC สำหรับ Windows Win32k ที่มีช่องโหว่ที่ถูกใช้เพื่อโจมตี !!

    ระบบย่อย Win32k หรือ ไดรเวอร์เคอร์เนล Win32k.sys มีหน้าที่เป็น Window Manager, Screen Output Input, และกราฟิกของระบบปฏิบัติการ และทำหน้าที่เป็นส่วนต่อประสานระหว่างฮาร์ดแวร์ Input ประเภทต่าง ๆ ดังนั้น การใช้ประโยชน์จากช่องโหว่ประเภทนี้จึงมีแนวโน้ม ที่จะให้สิทธิ์ขั้นสูงหรือการดำเนินการโค้ด

    ช่องโหว่ CVE-2023-29336 ถูกกำหนดระดับความรุนแรงของ CVSS v3.1 ที่ 7.8 เนื่องจากอนุญาตให้ผู้ใช้ที่มีสิทธิ์ต่ำ ได้รับสิทธิ์ระบบ Windows ซึ่งเป็นสิทธิ์โหมดผู้ใช้สูงสุดใน Windows

Avast เผยว่าค้นพบช่องโหว่นี้หลังจากถูกโจมตีแบบซีโร่เดย์ แต่ทางบริษัทได้ปฏิเสธที่จะเปิดเผยรายละเอียดเพิ่มเติมกับ BleepingComputer ดังนั้นจึงไม่มีความชัดเจนว่าถูกโจมตีอย่างไรเพื่อสร้างความตระหนักรู้เกี่ยวกับช่องโหว่ที่ถูกโจมตีอย่างต่อเนื่อง และความจำเป็นในการใช้การอัปเดตความปลอดภัยของ Windows CISA ยังได้เผยแพร่การแจ้งเตือนและเพิ่มลงในแคตตาล็อก “Known Exploited Vulnerabilities”

และต่อมา หนึ่งเดือนหลังจากอัปเดตแพตช์พร้อมใช้งาน นักวิเคราะห์ของบริษัท Numen ได้เปิดเผยรายละเอียดทางเทคนิคทั้งหมดเกี่ยวกับ ช่องโหว่ CVE-2023-29336 และช่องโหว่ PoC สำหรับ Windows Server 2016

 Microsoft เผยว่าช่องโหว่นี้จะส่งผลกระทบต่อ Windows รุ่นเก่าเท่านั้น รวมถึง Windows 10 รุ่นเก่า, Windows Server และ Windows 8 และไม่ส่งผลกระทบต่อ Windows 11 ซึ่งจากการวิเคราะห์ช่องโหว่บน Windows Server 2016 นักวิจัยของ Numen พบว่า Win32k ล็อกเฉพาะ Window Object แต่ไม่สามารถล็อก Menu Object ได้ เนื่องจากเป็นผลจากการคัดลอกโค้ดที่ล้าสมัยไปยัง Win32k เวอร์ชันใหม่ทำให้ Menu Object เสี่ยงต่อการถูกดัดแปลงหรือ Hijacks หากแฮกเกอร์แก้ไขที่อยู่เฉพาะในหน่วยความจำระบบ 

  การควบคุม Menu Object หมายถึงการได้รับสิทธิ์การเข้าถึงระดับเดียวกับโปรแกรมที่เปิดใช้งานแต่แม้ว่าขั้นตอนแรกจะไม่ได้รับสิทธิ์ระดับผู้ดูแลระบบของแฮกเกอร์ แต่ก็เป็น SpringBoard ที่มีประสิทธิภาพที่จะช่วยให้บรรลุเป้าหมายนี้ผ่านขั้นตอนต่อ  ๆ ไปนักวิจัยได้ทดลองด้วยวิธีการจัดการผังหน่วยความจำแบบต่าง ๆ, การใช้ Exploit Triggers และฟังก์ชัน Memory Read/Write และพัฒนา PoC ที่ใช้งานได้ซึ่งจะสร้างการยกระดับความน่าเชื่อถือให้กับสิทธิ์ SYSTEM ได้อย่างน่าเชื่อถือ แต่สำหรับช่องโหว่ประเภทนี้ต้องอาศัยการรั่วไหลของ desktop heap handle addresses […] และถ้าปัญหานี้ไม่ได้รับการแก้ไขอย่างละเอียด ก็ยังคงมีความเสี่ยงด้านความปลอดภัยสำหรับระบบเก่า Numen แนะนำว่าผู้ดูแลระบบควรมองหาการอ่านและเขียน Offset ที่ผิดปกติในหน่วยความจำหรือที่เกี่ยวข้องกับ Window Object ซึ่งอาจบ่งชี้ถึงการใช้ประโยชน์จาก CVE-2023-29336 สำหรับการยกระดับสิทธิ์เฉพาะที่ และ ขอแนะนำให้ผู้ใช้ Windows ทุกคนใช้แพตช์เดือนพฤษภาคม 2023 ซึ่งนอกเหนือจากช่องโหว่ดังกล่าวแล้ว ยังแก้ไขช่องโหว่ Zero-day อีก 2 รายการที่แฮกเกอร์ใช้โจมตี

Ref : bleepingcomputer

Cisco และ VMware ออกมาเตือนถึง 3 ช่องโหว่ที่มีความรุนแรง

    VMware ได้ออกการอัปเดตความปลอดภัยเพื่อแก้ไขช่องโหว่สามประการใน Aria Operations สำหรับเครือข่าย ซึ่งอาจส่งผลให้มีการเปิดเผยข้อมูลและการเรียกใช้ Remote Code Execution

    ช่องโหว่ที่สำคัญที่สุดจากทั้งสามนี้คือช่องโหว่ Command Inject คือ CVE-2023-20887 มีคะแนน CVSS อยู่ที่ 9.8 ซึ่งอาจทำให้ผู้ไม่ประสงค์ดีที่สามารถเข้าถึงเครือข่ายด้วยการเรียกใช้ Remote Code Execution ได้ 

    ช่องโหว่ที่สอง คือ CVE-2023-20888 ที่มีคะแนน CVSS อยู่ที่ 9.1 จากคะแนนสูงสุด 10 คะแนนจากระบบการให้คะแนน CVSS VMware เผยว่า ผู้ไม่ประสงค์ดีที่สามารถเข้าถึงเครือข่ายไปยัง VMware Aria Operations for Networks และบทบาท ‘Member’ ที่ถูกต้องอาจสามารถดำเนินการโจมตีแบบ deserialization attack ที่ส่งผลให้มีการเรียกใช้ Remote Code Execution

 ช่องโหว่ด้านความปลอดภัยที่สามคือข้อผิดพลาดในการเปิดเผยข้อมูลที่มีความรุนแรงสูง (CVE-2023-20889, คะแนน CVSS: 8.8) ที่อนุญาตให้ผู้ไม่ประสงค์ดีที่มีสิทธิ์เข้าถึงเครือข่ายและสามารถดำเนินการโจมตีด้วยการแทรกคำสั่ง และเข้าถึงข้อมูลที่สำคัญได้ โดยช่องโหว่สามประการซึ่งส่งผลต่อ VMware Aria Operations Networks เวอร์ชัน 6.x ได้รับการแก้ไขในเวอร์ชันต่อไปนี้: 6.2, 6.3, 6.4, 6.5.1, 6.6, 6.7, 6.8, 6.9 และ 6.10 ไม่มีวิธีแก้ไขปัญหาชั่วคราวที่ช่วยได้

    การแจ้งเตือนเกิดขึ้นในขณะที่ Cisco ดำเนินการแก้ไขช่องโหว่ที่สำคัญในซีรีส์ Expression Series และเซิร์ฟเวอร์สื่อสารผ่านวิดีโอ TelePresence (VCS) ที่สามารถอนุญาตให้ผู้ไม่ประสงค์ดีที่ได้รับการรับรอง

ความถูกต้องด้วยข้อมูลประจำตัวระดับผู้ดูแลระบบแบบอ่านอย่างเดียวเพื่อยกระดับสิทธิ์ให้กับผู้ดูแลระบบ

ด้วยข้อมูลประจำตัวแบบ Read-Write

    ช่องโหว่ที่มีความรุนแรงสูงในผลิตภัณฑ์เดียวกัน คือ CVE-2023-20192 ที่มีคะแนน CVSS อยู่ที่ 8.4 ที่อาจอนุญาตให้ผู้ไม่ประสงค์ดีเฉพาะที่ตรวจสอบสิทธิ์ดำเนินการคำสั่งและปรับเปลี่ยนพารามิเตอร์การกำหนดค่าระบบได้

    วิธีแก้ปัญหาเบื้องต้นสำหรับ CVE-2023-20192 Cisco ขอแนะนำให้ลูกค้าปิดใช้งานการเข้าถึง CLI สำหรับผู้ใช้แบบอ่านอย่างเดียว ทั้งสองปัญหาได้รับการแก้ไขใน VCS เวอร์ชัน 14.2.1 และ 14.3.0 ตามลำดับแม้ว่าจะไม่มีหลักฐานว่าช่องโหว่ใด ๆ ที่กล่าวมาข้างต้นถูกใช้ในทางที่ผิด

    แต่ข้อแนะนำให้ทำการแก้ไขช่องโหว่โดยเร็วที่สุดเพื่อลดความเสี่ยงที่อาจเกิดขึ้น นอกจากนี้ คำแนะนำยังติดตามการค้นพบช่องโหว่ด้านความปลอดภัย 3 รายการใน RenderDocได้แก่ CVE-2023-33863, CVE-2023-33864 และ CVE-2023-33865 ซึ่งเป็นดีบักเกอร์กราฟิกแบบโอเพ่นซอร์ส อาจทำให้ได้รับสิทธิ์ขั้นสูงและ รันรหัสโดยพลการได้

Ref : thehackernews

อัปเดตด่วน! Fortinet ออกแพตซ์อัปเดตแก้ไขช่องโหว่ RCE ระดับ Critical ใน Fortigate SSL-VPN

 

    Fortinet ออกแพตซ์อัปเดตด้านความปลอดภัยใหม่ที่แก้ไขช่องโหว่ในการเรียกใช้คำสั่งที่เป็นอันตรายจากระยะไกล RCE (Remote Code Execution) ซึ่งส่งผลกระทบต่ออุปกรณ์ Fortigate SSL-VPN

    โดยแพตซ์อัปเดตด้านความปลอดภัยได้รับการเผยแพร่เมื่อวันที่ 9 มิถุนายน 2023 ที่ผ่านมา ใน FortiOS firmware versions 6.0.17, 6.2.15, 6.4.13, 7.0.12 และ 7.2.5 แม้ว่าจะไม่ได้มีการประกาศโดยตรงว่าการอัปเดตครั้งนี้เป็นการแก้ไขช่องโหว่ของ SSL-VPN แต่นักวิจัยด้านความปลอดภัยยืนยันว่าแพตซ์ดังกล่าวออกมาเพื่อแก้ไขช่องโหว่ RCE ใน SSL-VPN ซึ่งจะมีการเปิดเผยรายละเอียดของช่องโหว่ดังกล่าวในวันที่ 13 มิถุนายนช่องโหว่ RCE ใน SSL-VPN ดังกล่าว เป็นช่องโหว่ที่ทำให้ Hacker สามารถโจมตีเข้ามาในระบบได้ผ่าน VPN ถึงแม้ว่าจะมีการเปิดใช้งาน MFA ก็ตาม ซึ่งช่องโหว่นี้ส่งผลกระทบต่อ Fortigate ทุกเวอร์ชันจากการค้นหาของ Shodan พบว่าสามารถเข้าถึงไฟร์วอลล์ของ Fortigate ได้มากกว่า 250,000 รายการจากอินเทอร์เน็ต ซึ่งทั้งหมดนี้มีความเสี่ยงในการถูกโจมตีจากช่องโหว่ดังกล่าว โดยพบว่าในอดีตช่องโหว่ที่เกี่ยวข้องกับ SSL-VPN ได้ถูกใช้โจมตีภายในไม่กี่วันหลังจากมีการปล่อยแพตซ์อัปเดตด้านความปลอดภัย ซึ่งมักถูกใช้เพื่อเข้าถึงเครือข่ายของเป้าหมาย และดำเนินการขโมยข้อมูล หรือโจมตีด้วยแรนซัมแวร์ต่อไปเนื่องจากอุปกรณ์ Fortigate เป็นอุปกรณ์ไฟร์วอลล์ และ VPN ที่ได้รับความนิยมมากในปัจจุบัน จึงทำให้มีความเสี่ยงในการเป็นเป้าหมายในการโจมตี ดังนั้นจึงแนะนำให้ผู้ดูแลระบบทำการอัปเดตแพตซ์เพื่อแก้ไขช่องโหว่ดังกล่าวโดยด่วน

Ref : bleepingcomputer

GitLab แจ้งเตือนให้รีบอัปเดตแพตซ์โดยเร็วที่สุด

    GitLab ได้เผยแพร่การอัปเดตแพตซ์ด้านความปลอดภัยเร่งด่วนให้เป็นเวอร์ชัน 16.0.1 เพื่อแก้ไขช่องโหว่ระดับ Critical (คะแนน CVSS v3.1: 10.0) หมายเลข CVE-2023-2825 (รายละเอียด https://nvd.nist.gov/vuln/detail/CVE-2023-2825) โดย GitLab เป็นที่เก็บ Git repository บนเว็บ สำหรับทีม Depvelopment ที่ต้องการจัดการโค้ดของตนมีผู้ใช้งานที่ลงทะเบียนประมาณ 30 ล้านราย และลูกค้าที่ใช้เวอร์ชันแบบเสียเงินกว่า 1 ล้านราย

    ช่องโหว่ที่พบล่าสุด ถูกพบโดยผู้เชี่ยวชาญด้านความปลอดภัยชื่อ 'pwnie' ซึ่งรายงานช่องโหว่ในช่วงโครงการ bug bounty ของ GitLab ที่ชื่อว่า HackOne โดยช่องโหว่นี้ส่งผลกระทบกับ Community Edition (CE) และ Enterprise Edition (EE) เวอร์ชัน 16.0.0 แต่เวอร์ชันที่เก่ากว่านี้จะไม่ได้รับผลกระทบ

โดยเป็นช่องโหว่ path traversal ที่ทำให้ผู้โจมตีสามารถอ่านไฟล์บนเซิร์ฟเวอร์ได้ตามที่ต้องการ ซึ่งอาจทำให้ผู้โจมตีสามารถเข้าถึงข้อมูลที่มีความสำคัญ รวมถึงซอฟต์แวร์โค้ด, ข้อมูลผู้ใช้งาน, โทเค็น, ไฟล์ และข้อมูลส่วนตัวอื่น ๆ ได้ อย่างไรก็ตาม เนื่องจากช่องโหว่นี้มีระดับ Critical และเพิ่งถูกค้นพบ GitLab จึงยังไม่ได้เปิดเผยรายละเอียดมากนัก แต่เน้นย้ำถึงความสำคัญของการอัปเดตแพตซ์ให้เป็นเวอร์ชันล่าสุดโดยด่วน

    GitLab แนะนำให้ผู้ใช้ GitLab 16.0.0 อัปเดตเป็นเวอร์ชัน 16.0.1 โดยเร็วที่สุด และปัจจุบันยังไม่มีวิธีแก้ไขปัญหาชั่วคราว หากต้องการอัปเดตการติดตั้ง GitLab ให้ทำตามคำแนะนำในหน้าอัปเดตของโปรเจ็กต์ สำหรับการอัปเดต GitLab Runner โปรดดูคู่มือนี้ hxxps[:]//docs[.]gitlab[.]com/runner/install/

Ref: bleepingcomputer

Terminator Tool ใหม่ของผู้ไม่ประสงค์ดีที่อ้างว่าหยุดการทำงานของ EDR ได้

    Tool ตัวใหม่ที่ชื่อว่า "Terminator" กำลังได้รับการแพร่โดยผู้ไม่หวังดีชื่อ 'Spyboy' บนฟอรัมผู้ไม่ประสงค์ดีของรัสเซีย โดย Tool นี้ถูกอ้างว่าสามารถปิดการทำงานของซอฟแวร์ป้องกันไวรัส, Endpoint Detection and Response (EDR) และ Extended Detection and Response (XDR) ได้

อย่างไรก็ตามบริษัทด้านความปลอดภัยทางไซเบอร์อย่าง CrowdStrike ได้ปฏิเสธคำกล่าวอ้างเหล่านี้ โดยระบุว่า Terminator เพียงใช้วิธีการโจมตีที่เรียกว่า Bring Your Own Vulnerable Driver (BYOVD) มาใช้เท่านั้น

รายละเอียดของ Terminator

ตามรายงาน Terminator มีความสามารถในการหลีกเลี่ยงการตรวจจับจากโซลูชันด้านความปลอดภัยได้ถึง 24 รายการ ซึ่งรวมถึงแอนตี้ไวรัส, EDR, XDR และ Windows Defender

    Spyboy ซึ่งเป็นผู้ที่อยู่เบื้องหลัง Terminator ได้นำเสนอซอฟต์แวร์นี้ในราคาที่แตกต่างกันตามรูปแบบ เช่น 'single bypass' หรือแบบครอบคลุม 'all-in-one bypass'

    Spyboy ระบุว่าการหลีกเลี่ยงการตรวจจับจาก EDR บางรายการ เช่น SentinelOne, Sophos, CrowdStrike, Carbon Black, Cortex และ Cylance ไม่สามารถขายแยกได้ นอกจากนี้ยังมีระบุว่าไม่รับผิดชอบต่อการกระทำใด ๆ ที่เกี่ยวข้องกับแรนซัมแวร์ หรือการเข้ารหัสอื่น ๆ

    โดยรายงานจากวิศวกรของ CrowdStrike ใน Reddit ระบุว่า Terminator นั้นแค่ดรอปไฟล์ไดรเวอร์ที่ผ่านการตรวจสอบ และลงทะเบียนอย่างถูกต้องจาก Zemana anti-malware kernel driver ซึ่งไฟล์ไดรเวอร์จะชื่อ zamguard64.sys หรือ zam64.sys และเก็บไว้ในไดเรกทอรี C:\Windows\System32\ โดยใช้ชื่อที่สุ่มมาตั้งแต่ 4 ถึง 10 ตัวอักษร

    เมื่อไดรเวอร์ที่เป็นมัลแวร์ถูกเขียนลงบนดิสก์แล้ว Terminator จะโหลดไดรเวอร์นั้นเพื่อใช้สิทธิ์ระดับเคอร์เนล เพื่อให้สามารถหยุดการทำงานของ processes ที่เกี่ยวข้องกับซอฟต์แวร์ AV และ EDR ที่ทำงานบนอุปกรณ์ที่ได้รับผลกระทบ

    เพื่อใช้งาน Terminator ต้องมีสิทธิ์ผู้ดูแลระบบในระบบปฏิบัติการ Windows เป้าหมาย และต้องหลอกให้เหยื่อให้ยอมรับข้อความ User Account Controls (UAC) ที่ปรากฏขึ้นเมื่อมีการเรียกใช้Tool

เทคนิคนี้คล้ายกับแคมเปญ BYOVD อื่น ๆ ที่พบเห็นก่อนหน้านี้

ปัจจุบันไดรเวอร์ที่มีช่องโหว่ที่ Terminator ใช้งานอยู่ ถูกระบุว่าเป็นอันตรายโดยToolสแกนมัลแวร์เพียงรายเดียว ตามผลสแกนของ VirusTotal

Ref: cyware

ผู้ไม่ประสงค์ดีสามารถดึงข้อมูลจาก Goolge Drive แบบไม่สามารถสืบหาตัวตนได้

   ผู้เชี่ยวชาญด้านความปลอดภัยจาก Mitiga ระบุว่า "Google Workspace หรือชื่อเดิม 'G Suite' มีช่องโหว่จากการป้องกันไม่ให้บุคคลภายนอก หรือคนในที่เป็นอันตรายสามารถขโมยข้อมูลออกจาก Google Drive ได้"

    Ariel Szarf และ Or Aspir จาก Mitiga อธิบายว่า "Google Workspace กำหนดให้การมองเห็นต่อข้อมูลบน Google Drive ของบริษัทโดยใช้ 'บันทึกการใช้งาน Drive' เพื่อติดตามการดำเนินการต่าง ๆ เช่น การลบ, การดาวน์โหลด, และการดูไฟล์ รวมถึงบันทึกเหตุการณ์ที่เกี่ยวข้องจากโดเมนภายนอกก็ได้รับการบันทึกไว้"

    โดยค่าเริ่มต้นของผู้ใช้ Google Drive จะได้รับสิทธิ์ 'Cloud Identity Free' และจะได้รับการกำหนดสิทธิ์แบบเสียค่าใช้จ่าย เช่น Goolge Workspace Enterprise Plus จากผู้ดูแลระบบ

 ผู้เชี่ยวชาญด้านความปลอดภัยพบว่าเมื่อไม่ได้มีการกำหนดสิทธิ์ให้กับสิทธิ์แบบที่เสียค่าใช้จ่าย จะไม่มีบันทึกการกระทำในไดรฟ์ส่วนตัวของผู้ใช้ ซึ่งอาจทำให้องค์กรไม่ทราบถึงการดำเนินการ และการจัดการข้อมูล และการนำข้อมูลออกไปโดยผู้ใช้งาน หรือผู้โจมตีภายนอก

    ตัวอย่างเช่น หากไม่ได้รับการกำหนดสิทธิ์แบบที่เสียค่าใช้จ่าย หรือสิทธิ์ถูกยกเลิกก่อนที่บัญชี Google จะถูกลบ พนักงานที่ออกจากบริษัทอาจใช้ช่องโหว่นี้เพื่อนำข้อมูลที่สำคัญออกไปโดยไม่ทิ้งหลักฐานใด ๆ

    ผู้ใช้สามารถคัดลอกไฟล์ทั้งหมดจากไดรฟ์ที่ถูกแชร์ขององค์กรไปยังไดรฟ์ส่วนตัว และดาวน์โหลดไฟล์ ซึ่งการดาวน์โหลดจะไม่ได้รับการบันทึกไว้ และการคัดลอกจะได้รับการบันทึกเพียงบางส่วนเท่านั้น (จะบันทึกใน 'source_copy' แต่ไม่ได้บันทึกใน 'copy')

    ผู้โจมตีภายนอกอาจดำเนินการด้วยวิธีเดียวกัน ถ้าหากสามารถโจมตีบัญชีของผู้ใช้งานที่ไม่มีสิทธิ์แบบที่เสียค่าใช้จ่าย หรือบัญชีของผู้ดูแลระบบ

    ผู้เชี่ยวชาญด้านความปลอดภัยได้อธิบายว่า "ผู้ไม่ประสงค์ดีที่สามารถเข้าถึงบัญชีผู้ดูแลระบบได้ สามารถเพิกถอนสิทธิ์ของผู้ใช้งาน, ดาวน์โหลดไฟล์ส่วนตัวทั้งหมด และกำหนดสิทธิ์ใหม่ บันทึกการกระทำที่ถูกสร้างขึ้น ในกรณีนี้เป็นบันทึกเพียงเท่าที่เกี่ยวข้องกับการเพิกถอน และกำหนดสิทธิ์ (ภายใต้ 'กิจกรรมบันทึกของผู้ดูแลระบบ')"

การตรวจสอบการนำข้อมูลออกจาก Goolge Drive

    คำแนะนำของผู้เชี่ยวชาญด้านความปลอดภัยสำหรับองค์กรคือ ควรดำเนินการตรวจสอบความเสี่ยงใน Google Workspace เป็นประจำ และค้นหาเหตุการณ์การกำหนด และเพิกถอนสิทธิ์ที่น่าสงสัย และตรวจสอบบันทึก 'source_copy' เพื่อตรวจสอบการคัดลอกไฟล์ของบริษัทที่น่าสงสัย

Ref:helpnetsecurity

การตั้งค่ากล้อง IMOU เพื่อใช้งานกับ NVR HIKVISION

พอดีวันนี้ได้กล้อง ไร้สายของ IMOU มาจากการจับฉลากที่ออฟฟิศ
และกล้อง POE ที่ใช้งาน กับ NVR HIK เสียพอดี ตรวจสอบเบื้องต้น พบว่าสายขาด จึงอยากใช้งานแบบไร้สาย

ค้นหาข้อมูลเพิ่งต้นพบว่าสามารถทำได้ โดย

1. เปิดใช้งาน กล้องตามปกติ
2. หา IP กล้องให้ได้
3. ทำการ Add กล้อง เข้า NVR  โดยเลือก Onvif, Port 80, admin, password ( SAFETY CODE: ที่ติดมากลับตัวกล้อง)
4. รอสักครู่ ก็จะสามารถใช้งานได้

เพียงเท่านี้ ก็จะสามารถใช้งานได้ครับ

พบ Malware Vidar Stealer, Laplas Clipper และ XMRig Miner บน YouTube Platform

เมื่อต้นเดือนที่ผ่านมา FortiGuard Labs พบการโจมตีที่ถูกใช้งานอยู่ซึ่งเป็นช่องทางก่อให้เกิดอันตรายต่อเป้าหมาย YouTube เนื่องจากพบช่อง YouTube ที่ได้รับการยืนยันว่ามีฐานสมาชิกจำนวนมาก ได้ใช้ประโยชน์จากช่องทางนี้เพื่ออัปโหลดวิดีโอที่ส่งเสริมการดาวน์โหลดSoftwareละเมิดลิขสิทธิ์ต่าง ๆ โดยผู้ที่ตกเป็นเหยื่อโดยไม่เจตนาจะถูกสร้าง ให้ติดตั้ง Malware หลายสายพันธุ์ซึ่งส่งผลให้เกิดการติดMalwareบนเครื่องของเหยื่อ รวมถึงการเก็บข้อมูล Credential , การทำ Cryptojacking และการขโมย Cryptocurrency

ผู้ไม่ประสงค์ดีอัปโหลดวิดีโอที่เป็นอันตราย มากกว่า 50 รายการภายในเวลา 8 ชั่วโมง โดยแต่ละรายการเป็นการชักชวนให้ใช้ Software ละเมิดลิขสิทธิ์หลายรายการ ซึ่งท้ายที่สุดแล้วจะนำเป้าหมายไปยัง URL เดียวกันดังรายละเอียดที่แสดงด้านล่างนี้

ผู้ไม่ประสงค์ดีจะใช้ URL และรหัสผ่าน ซึ่งโดยทั่วไปประกอบด้วยตัวเลข 4 หลัก จะวางไว้ในส่วนคำอธิบายและความคิดเห็นของวิดีโอเพื่อความสะดวก

เหยื่อจะถูกเปลี่ยนเส้นทางไปยังไฟล์ Archive ที่ป้องกันด้วยรหัสผ่าน เช่น “2O23-F1LES-S0ft.rar” ซึ่งโฮสต์บนแพลตฟอร์มบริการแชร์ไฟล์

ผู้ไม่ประสงค์ดีจะใช้ ไฟล์ RAR ที่ร้องขอผู้ที่อาจตกเป็นเหยื่อให้แยกข้อมูลโดยใช้รหัสผ่านที่ให้มาและเรียกใช้ไฟล์ .exe

Malware ที่เป็นอันตรายที่เกี่ยวข้องกับการโจมตีสรุปได้ดังนี้:

Launcher_S0FT-2O23.exe: นี่คือตัวขโมยข้อมูลของ Vidar ซึ่งใช้เทคนิคในรวมตัวเข้าไปกับไฟล์ที่ไม่มีขนาดมากกว่า 1GB วิธีนี้มีจุดประสงค์เพื่อหลีกเลี่ยงโปรแกรมป้องกันไวรัสและแซนด์บ็อกซ์ที่มีข้อจำกัดในการสแกนไฟล์ขนาดใหญ่เนื่องจากทรัพยากร CPU และ RAM ที่จำกัด

รูปแบบการโจมตีของ Vidar Stealer

• Laplas Clipper: ตรวจสอบคลิปบอร์ดของ Windows อย่างต่อเนื่องเพื่อหาเนื้อหาที่ตรงกับรูปแบบเฉพาะที่เรียกค้นจากเซิร์ฟเวอร์ C2 Laplas Clipper แทนที่ที่อยู่กระเป๋าเงินเดิมของผู้รับเงินด้วยที่อยู่ของผู้กระทำการคุกคาม เพื่อโอนเงินไปยังการควบคุมของผู้โจมตี
• Task32Main: นี่คือตัวติดตั้ง Monero Miner และสามารถคงความคงอยู่และหลีกเลี่ยงโปรแกรมป้องกันไวรัส
  
  รูปแบบการโจมตีนี้นำเสนอให้เห็นถึงอันตรายของการดาวน์โหลดสำเนาSoftwareละเมิดลิขสิทธิ์ เนื่องจากเป็นช่องทางสำหรับผู้ไม่ประสงค์ดีที่ใช้รวบรวมข้อมูลประจำตัว ข้อมูลที่สำคัญ และสกุลเงินดิจิตอล ยิ่งไปกว่านั้น เมื่อระบบถูกโจมตี ผู้ไม่ประสงค์ดีจะใช้มันเพื่อเข้ารหัสลับ ขอเตือนเป้าหมายว่าอย่าหลงเชื่อข้อเสนอSoftwareแคร็กบน YouTube หรือที่ใดก็ตาม

Ref : cyware

กลุ่ม Lazarus กำหนดเป้าหมายไปยัง Windows IIS web servers เพื่อการเข้าถึงระบบ

    Lazarus เป็นกลุ่ม Hacker จากเกาหลีเหนือที่ได้รับการสนับสนุนจากรัฐบาล โดยมีแรงจูงใจทางการเงินเป็นหลัก และมีส่วนร่วมในปฏิบัติการจารกรรมหลายครั้ง ล่าสุดพบว่ามีกลยุทธ์ในการกำหนดเป้าหมายไปยังเซิร์ฟเวอร์ Windows Internet Information Services (IIS) ที่มีช่องโหว่เพื่อเข้าถึงระบบเครือข่ายขององค์กร ซึ่งถูกค้นพบโดยนักวิจัยชาวเกาหลีใต้จาก AhnLab Security Emergency Response Center (ASEC)

    Lazarus เข้าถึงเซิร์ฟเวอร์ IIS โดยใช้ช่องโหว่ที่เป็นที่รู้จัก หรือการตั้งค่าที่ไม่เหมาะสม ซึ่งทำให้ผู้โจมตีสามารถสร้างไฟล์บนเซิร์ฟเวอร์ IIS โดยใช้ Process 'w3wp.exe' โดยผู้โจมตีจะวางไฟล์ 'Wordconv.exe' ซึ่งเป็นไฟล์ที่ถูกต้อง เป็นส่วนหนึ่งของ Microsoft Office และไฟล์ DLL ที่เป็นอันตราย 'msvcr100.dll' ในโฟลเดอร์เดียวกัน และไฟล์เข้ารหัสชื่อ 'msvcr100.dat'

    เมื่อเปิดใช้งาน 'Wordconv.exe' โค้ดที่เป็นอันตรายในไฟล์ DLL จะทำงานเพื่อถอดรหัสไฟล์ปฏิบัติการที่เข้ารหัส Salsa20 จาก 'msvcr100.dat' และทำงานในหน่วยความจำโดยที่อุปกรณ์ป้องกันมัลแวร์ไม่สามารถตรวจจับได้ นักวิจัยพบโค้ดที่คล้ายกันหลายจุดระหว่าง 'msvcr100.dll' และมัลแวร์ที่พบเมื่อปีที่แล้ว 'cylvc.dll' ซึ่ง Lazarus ใช้เพื่อหลีกเลี่ยงการตรวจจับจากโปรแกรมป้องกันมัลแวร์โดยใช้เทคนิค "bring your own vulnerable driver"

    ในขั้นที่สองของการโจมตี Lazarus สร้างมัลแวร์ตัวที่สอง 'diagn.dll' โดยใช้ปลั๊กอิน Notepad++ ในครั้งนี้มัลแวร์ได้รับเพย์โหลดใหม่ที่เข้ารหัสด้วยอัลกอริทึม RC6 ถอดรหัสโดยใช้คีย์แบบ Hard Code และทำงานในหน่วยความจำเพื่อหลบเลี่ยงการตรวจจับ นักวิจัยไม่สามารถระบุได้ว่าเพย์โหลดนี้ทำอะไรกับระบบที่ถูกโจมตี แต่เห็นพฤติกรรมของการ LSASS Dumping ซึ่งเป็นการพยายามขโมยข้อมูลประจำตัว

  ขั้นตอนสุดท้ายของการโจมตี Lazarus จะดำเนินการตรวจสอบเครือข่ายผ่าน Port 3389 (Remote Desktop) โดยใช้ข้อมูล Credential ของผู้ใช้งานที่ถูกต้อง ซึ่งสันนิษฐานว่าได้มาจากการขโมยในขั้นตอนก่อนหน้า อย่างไรก็ตามนักวิจัยไม่พบพฤติกรรมที่เป็นอันตรายใด ๆ อีกหลังจากที่ผู้โจมตีพยายามแพร่กระจายไปในเครือข่ายของเหยื่อ

    เนื่องจาก Lazarus ใช้เทคนิค DLL sideloading เป็นส่วนหนึ่งของการโจมตี นักวิจัยจึงแนะนำให้องค์กรต้องตรวจสอบ Process การทำงานที่ผิดปกติอย่างต่อเนื่อง

Ref : bleepingcomputer