กลุ่มผู้ไม่ประสงค์ดีใหม่ “GambleForce” กำลังโจมตีบริษัทในภูมิภาคเอเชียแปซิฟิก ด้วยการใช้งาน SQL Injection

    กลุ่มผู้ไม่ประสงค์ดีที่ปรากฏตัวขึ้นใหม่ภายใต้ชื่อ "GambleForce" กำลังโจมตีบริษัทต่างๆ เอเชียแปซิฟิก (APAC) ด้วยวิธี SQL Injection ตั้งแต่เดือนกันยายน 2023

    บริษัท Group-IB จากประเทศสิงคโปร์ ระบุไว้ในรายงานว่า "GambleForce ใช้ชุดการโจมตีแบบเทคนิคพื้นฐาน แต่มีประสิทธิภาพสูง รวมถึงการโจมตีแบบ SQL injection และการใช้ประโยชน์จากช่องโหว่ใน website content management systems (CMS) เพื่อขโมยข้อมูลสำคัญ เช่น ข้อมูล credentials ของผู้ใช้"

    คาดว่ากลุ่ม GambleForce โจมตีองค์กรต่าง ๆ ไปแล้วกว่า 24 องค์กร โดยมุ่งเป้าไปที่ บ่อนการพนัน, หน่วยงานรัฐบาล, บริษัทค้าปลีก และการท่องเที่ยว ในประเทศออสเตรเลีย บราซิล จีน อินเดีย อินโดนีเซีย ฟิลิปปินส์ เกาหลีใต้ และไทย ซึ่งการโจมตีเหล่านี้ประสบความสำเร็จถึง 6 ครั้ง

    กลุ่มผู้ไม่ประสงค์ดี GambleForce จะใช้เครื่องมือโอเพ่นซอร์สตลอดกระบวนการโจมตี เช่น dirsearch, sqlmap, tinyproxy, และ redis-rogue-getshell โดยมีเป้าหมายคือ การขโมยข้อมูลสำคัญจากเครือข่ายที่ถูกโจมตี นอกเหนือจากเครื่องมือโอเพ่นซอร์สแล้ว GambleForce ยังใช้ Cobalt Strike ซึ่งเป็นเฟรมเวิร์ก post-exploitation โดยใช้คำสั่งเป็นภาษาจีน แต่ยังไม่แน่ชัดว่าแหล่งกำเนิดของกลุ่มนี้มาจากที่ไหน

 กลุ่มผู้ไม่ประสงค์ดี GambleForce เกี่ยวข้องกับการใช้ช่องโหว่ของแอปพลิเคชันที่เปิดให้เข้าถึงจากอินเทอร์เน็ตของเป้าหมาย โดยใช้ SQL Injection และการใช้ประโยชน์จากช่องโหว่ CVE-2023-23752 ซึ่งเป็นช่องโหว่ระดับความรุนแรงปานกลางใน Joomla CMS เพื่อเข้าถึงข้อมูลของบริษัทในบราซิลโดยไม่ได้รับอนุญาต

    การโจมตีแบบ SQL Injection อาศัยเครื่องมือโอเพ่นซอร์สยอดนิยมอย่าง "sqlmap" ซึ่งออกแบบมาเพื่อช่วยในการทำ penetration testing โดยทำหน้าที่ระบุ database servers ที่อาจมีช่องโหว่ SQL Injection และทำการโจมตีเพื่อเข้าควบคุมระบบ ในการโจมตีดังกล่าว กลุ่มผู้ไม่ประสงค์ดีจะทำการ inject SQL code ที่เป็นอันตรายเข้าไปในเว็บไซต์เป้าหมาย ทำให้สามารถ Bypass ระบบยืนยันตัวตน และเข้าถึงข้อมูลที่สำคัญ เช่น ข้อมูล credentials ของผู้ใช้ที่เข้ารหัส และแบบ plaintext

    ปัจจุบันยังไม่ทราบแน่ชัดว่า GambleForce นำข้อมูลที่ขโมยมาไปใช้ประโยชน์อย่างไร โดย Group-IB ระบุว่า พวกเขาได้ปิดเซิร์ฟเวอร์ควบคุม และสั่งการ (C2) ของผู้โจมตีลงได้แล้ว และได้แจ้งเตือนไปยังผู้เสียหายที่สามารถระบุตัวตนได้

    Nikita Rostovcev นักวิเคราะห์ภัยคุกคามอาวุโสจาก Group-IB ระบุว่า "web injections เป็นวิธีการโจมตีที่ค่อนข้างเก่า แต่ก็ยังถือว่าถูกใช้ในการโจมตีมากที่สุด" สาเหตุก็คือ ในบางครั้งนักพัฒนามักจะมองข้ามความสำคัญของการรักษาความปลอดภัยของ input security และ data validation โดยการเขียนโค้ดที่ไม่ปลอดภัย, การตั้งค่า database ที่ไม่ถูกต้อง และซอฟต์แวร์ที่ล้าสมัย เป็นการเอื้อต่อการโจมตีด้วย SQL injection ในแอปพลิเคชัน

Ref : thehackernews

พบช่องโหว่ใน QNAP VioStor NVR ที่ถูก InfectedSlurs Botnet ใช้ในการโจมตี

   พบ Mirai-base Botnet ในชื่อ “InfectedSlurs” กำลังโจมตีโดยใช้ช่องโหว่การเรียกใช้โค้ดที่เป็นอันตรายจากระยะไกล Remote Code Execution (RCE) ในอุปกรณ์ QNAP VioStor NVR (Network Video Recorder) เพื่อยึดเครื่องเป้าหมาย และนำไปใช้ในการโจมตีแบบ DDoS (distributed denial of service) ต่อไป

   InfectedSlurs Botnet ถูกพบโดยทีม Security Intelligence Response Team (SIRT) ของ Akamai ในเดือนตุลาคม 2023 ซึ่งได้พบการโจมตีโดยใช้ช่องโหว่ Zero-day 2 รายการ ในเราเตอร์ และอุปกรณ์ NVR และคาดว่าได้เริ่มทำการโจมตีมาตั้งปลายปี 2022 โดยในตอนนั้นเนื่องจากเจ้าของผลิตภัณฑ์ไม่ได้ออกอัปเดตแก้ไขช่องโหว่ดังกล่าว ทาง Akamai จึงยังไม่ได้เปิดเผยข้อมูลใด ๆ เกี่ยวกับช่องโหว่ที่ InfectedSlurs ใช้ในการโจมตีเป้าหมาย ต่อมาหลังทางเจ้าของผลิตภัณฑ์ได้ออกแพตซ์อัปเดตเพื่อแก้ไขช่องโหว่แล้ว ทาง Akamai จึงได้เผยแพร่รายงานการค้นพบในเดือนพฤศจิกายน 2023

ช่องโหว่ Zero-day 2 รายการ

• CVE-2023-49897 (คะแนน CVSS 8.8/10 ความรุนแรงระดับสูง) รายการแรกเป็นช่องโหว่ที่ส่งผลกระทบต่อ FXC AE1021และ AE1021PE WiFi routers ซึ่งทางเจ้าของผลิตภัณฑ์ได้ออกแพตซ์อัปเดตความปลอดภัยในวันที่ 6 ธันวาคม 2023 พร้อมด้วย firmware version 2.0.10 และแนะนำให้ผู้ใช้สั่งทำ factory reset และเปลี่ยน default password
• CVE-2023-47565 (คะแนน CVSS 8.8/10 ความรุนแรงระดับสูง) รายการที่สองเป็นช่องโหว่ OS command injection ซึ่งส่งผลกระทบต่อรุ่น QNAP VioStor NVR ที่ใช้ QVR firmware 4.x. โดย QNAP ได้ออกแพตซ์อัปเดตเพื่อแก้ไขช่องโหว่เมื่อวันที่ 7 ธันวาคม 2023 เพื่อแก้ไขช่องโหว่ Zero-day ใน QVR firmware QVR 5.x และใหม่กว่า ซึ่งมีให้สำหรับทุกรุ่นที่รองรับ

   เนื่องจาก QVR firmware QVR 5.0 ได้มีการเปิดตัวมาแล้วนานกว่า 10 ปี จึงสรุปได้ว่า InfectedSlurs Botnet มุ่งเป้าหมายการโจมตีไปยัง VioStor NVR รุ่นเก่าที่ไม่เคยอัปเดตเฟิร์มแวร์หลังจากการตั้งค่าครั้งแรก

QNAP ได้ให้คำแนะนำสำหรับการแก้ไข NVR ที่มีช่องโหว่

• เข้าสู่ระบบ QVR ด้วยสิทธิผู้ดูแลระบบ ไปที่ 'Control Panel → System Settings → Firmware Update' และคลิก 'Browse' เพื่อค้นหาเวอร์ชันที่เหมาะสมสำหรับรุ่นที่ใช้งานอยู่ หลังจากนั้นคลิก 'Update System' และรอให้ QVR ติดตั้งการอัปเดต
• แนะนำให้เปลี่ยนรหัสผ่านผู้ใช้บน QVR ผ่าน 'Control Panel → Privilege → Users → Change Password'
• ทั้งนี้ VioStor NVR ที่ครบกำหนด EOL (หมดอายุการใช้งาน) อาจจะไม่มีแพตซ์อัปเดตใน QVR firmware QVR 5.x หรือใหม่กว่า วิธีการแก้ไขวิธีการเดียวคือการแทนที่ด้วยรุ่นที่ใหม่กว่า และยังได้รับการป้องกันด้านความปลอดภัย

Ref : bleepingcomputer

MongoDB ตรวจพบว่ามีการถูกขโมยข้อมูลลูกค้าและเปิดเผยจากการโจมตีทางไซเบอร์

MangoDB ออกมาเตือนลูกค้าของทางบริษัทว่าระบบของบริษัทถูกผู้ไม่ประสงค์ดี เจาะระบบและได้ขโมยข้อมูลลูกค้าออกไปใช้ในการโจมตีทางไซเบอร์เมื่อต้นสัปดาห์ที่ผ่านมา

มีการส่ง E-mail ไปแจ้งยังลูกค้าของทาง MangoDB จากทาง CISO Lena Smart ว่าพวกเขาตรวจพบการโจมตีตั้งแต่เย็นของวันพุธที่ 13 ธันวาคม 2566 ช่วงเย็นที่ผ่านมา

ทาง บริษัท ได้แจ้งว่ากำลังตรวจสอบถึงเหตุการณ์ที่เกิดขึ้นมีการเข้าถึงระบบของ MangoDB โดยไม่ได้รับอนุญาต ซึ่งรวมถึงการเปิดเผยข้อมูลของลูกค้าและข้อมูลในการติดต่อ และเราไม่ได้นิ่งนอนใจกับเหตุการณ์ครั้งนี้

ซึ่งเป็นส่วนหนึ่งของ E-Mail ที่ทาง MangoDB แจ้งไปยังลูกค้า

MangoDB ยังคงมั่นใจว่าผู้ไม่ประสงค์ดีไม่สามารถเข้าถึงข้อมูลที่จัดเก็บไว้ใน MangoDB Atlas และผู้ไม่ประสงค์ดีสามารถเข้าถึงระบบได้เพียงระยะหนึ่งก่อนที่จะมีการตรวจพบและทำการตัดการเชื่อมต่อได้ทัน

เมื่อมีการเปิดเผยข้อมูลของลูกค้า ทาง MangoDB ได้ให้คำแนะนำไปยังลูกค้าว่าให้ทำการเปิดระบบการตรวจสอบสิทธิแบบหลายขั้นตอนในการใช้งาน USER ACCOUNT ของลูกค้า และเปลี่ยนแปลงรหัสผ่าน และให้ระมัดระวัง

การโจมตีแบบฟิชชิ่งและมีการประกาศการแจ้งเตือนเป็นระยะสามารถติดตามได้ที่ mongodb/alerts

Ref : bleepingcomputer

Ransomware DJVU สายพันธุ์ใหม่ ‘Xaro’ แฝงตัวเป็นไฟล์ Crack ของซอฟแวร์ผิดลิขสิทธิ์

    พบการแพร่กระจายของแรนซัมแวร์สายพันธุ์หนึ่งที่รู้จักกันในชื่อ DJVU ในรูปแบบของไฟล์ Crack ที่ใช้สำหรับซอฟแวร์ที่ผิดลิขสิทธิ์

    Ralph Villanueva ผู้เชี่ยวชาญด้านความปลอดภัยของ ระบุว่า “แม้ว่ารูปแบบการโจมตีลักษณะนี้จะไม่ใช่เรื่องใหม่ แต่ DJVU สายพันธุ์นี้จะต่อท้ายนามสกุลไฟล์ด้วย .xaro ไปยังไฟล์ที่ถูกโจมตี เพื่อเรียกค่าไถ่สำหรับตัวถอดรหัส ถูกพบว่ากำลังแพร่กระจายในระบบควบคู่ไปกับมัลแวร์สำหรับขโมยข้อมูลต่าง ๆ”

โดยแรนซัมแวร์สายพันธุ์ใหม่นี้ได้รับรหัสชื่อ Xaro จาก Cybereason

   DJVU ซึ่งเป็นแรนซัมแวร์สายพันธุ์หนึ่งของ STOP ransomware โดยปกติจะมาในรูปแบบที่ปลอมเป็นบริการ หรือแอปพลิเคชันที่ดูถูกต้องตามปกติ นอกจากนี้ยังเคยถูกใช้เป็นเพย์โหลดของ SmokeLoader อีกด้วย

จุดสังเกตที่สำคัญของการโจมตีจาก DJVU 

    คือการใช้มัลแวร์อื่น ๆ ร่วมด้วยเพิ่มเติม เช่น มัลแวร์สำหรับขโมยข้อมูล (เช่น RedLine Stealer และ Vidar) ซึ่งมักจะทำให้เกิดความเสียหายมากขึ้น ในการโจมตีครั้งล่าสุดที่บันทึกไว้โดย Cybereason มัลแวร์ Xaro จะเป็นไฟล์ archive ที่ถูกดาวน์โหลดมาจากแหล่งที่น่าสงสัย ซึ่งเป็นเว็บไซต์ปลอมที่ให้สามารถดาวน์โหลดฟรีซอฟแวร์ที่ดูเหมือนถูกต้องตามกฎหมาย การเปิดไฟล์ archive จะนำไปสู่การรันไบนารีติดตั้งซอฟต์แวร์ PDF writing ที่ชื่อว่า CutePDF ซึ่งในความเป็นจริงเป็นการติดตั้งมัลแวร์ที่รู้จักกันในชื่อ PrivateLoader

    โดย PrivateLoader นอกเหนือจากการนำไปสู่การติดตั้ง Xaro แล้ว มันจะทำการเชื่อมต่อกับ C2 Server เพื่อดาวน์โหลดมัลแวร์อื่น ๆ อีกจำนวนมาก เช่น RedLine Stealer, Vidar, Lumma Stealer, Amadey, SmokeLoader, Nymaim, GCleaner, XMRig และ Fabookie ผู้เชี่ยวชาญด้านความปลอดภัยยังอธิบายเพิ่มเติมว่า "แนวทางการแพร่กระจายลักษณะนี้มักจะมาจากการดาวน์โหลด และติดตั้งมัลแวร์ PrivateLoader ที่เกิดจากเว็บไซต์ฟรีซอฟแวร์ หรือไฟล์ Crack ของซอฟแวร์ผิดลิขสิทธิ์"

    เป้าหมายของมัลแวร์ดูเหมือนจะเป็นการรวบรวมข้อมูลที่มีความสำคัญเพื่อการเรียกค่าไถ่ ตลอดจนเพื่อให้แน่ใจว่าการโจมตีจะประสบความสำเร็จ แม้ว่าจะมีเพย์โหลดใดเพย์โหลดหนึ่งถูกบล็อกโดยซอฟต์แวร์รักษาความปลอดภัย

    มัลแวร์ Xaro นอกเหนือจากการสร้างอินสแตนซ์ของ Vidar infostealer ยังสามารถเข้ารหัสไฟล์ในโฮสต์ที่ติดมัลแวร์ ก่อนที่จะทิ้งไฟล์เพื่อเรียกค่าไถ่ โดยจะขู่ให้เหยื่อติดต่อกลับในการจ่ายค่าไถ่เพื่อรับคีย์สำหรับถอดรหัสในราคา $980 ซึ่งจะลดลง 50% เป็น $490 หากติดต่อกลับภายใน 72 ชั่วโมง

    เหตุการณ์นี้แสดงให้เห็นถึงความเสี่ยงของการดาวน์โหลดฟรีซอฟแวร์จากแหล่งที่มาที่ไม่น่าเชื่อถือ เช่น แคมเปญของ FakeUpdateRU ที่ใช้การแจ้งเตือนการอัปเดตเบราว์เซอร์ปลอมเพื่อติดตั้ง RedLine Stealer

โดยผู้โจมตีมักใช้ฟรีซอฟแวร์ปลอม เพื่อเป็นช่องทางในการแพร่กระจายมัลแวร์อย่างลับ ๆ และองค์กรควรเข้าใจถึงผลกระทบที่อาจเกิดขึ้นอย่างรวดเร็ว และกว้างขวางจากการติดมัลแวร์ และการปกป้องข้อมูล

Ref : thehackernews

Microsoft ทำการปล่อย Patch Update ประจำเดือนธันวาคม December 2023

    ทาง Microsoft ได้ทำการปล่อย Patch Update ของเดือนธันวาคม 2023 โดยมีการแก้ไขช่องโหว่

จำนวน 34 รายการ และ 1 ช่องโหว่ที่เป็น Zero-Day

   โดยที่มีรายการช่องโหว่ที่ร้ายแรงที่เป็นการโจมตีจากระยะไกล (RCE) ถึง 8 ช่องโหว่ที่ได้รับการแก้ไขแล้วใน Patch นี้ แต่ยังเหลืออีก 3 ช่องโหว่ที่ยังคงไม่ได้รับการแก้ไขใด ๆ โดยรวมแล้ว

ช่องโหว่ที่ร้ายแรง 4 รายการที่ยังไม่ได้รับการแก้ไข ดังนี้:

1. Power Platform (Spoofing) จำนวน 1 รายการ
2. Internet Connection Sharing (RCE) จำนวน 2 รายการ
3. Windows MSHTML Platform (RCE) จำนวน 1 รายการ

รายการที่ได้รับการแก้ไขใน Patch นี้จำนวน 34 รายการแล้วนั้น มีรายการต่าง ๆ ดังนี้:

1. 10 Elevation of Privilege Vulnerabilities
2. 8 Remote Code Execution Vulnerabilities
3. 6 Information Disclosure Vulnerabilities
4. 5 Denial of Service Vulnerabilities
5. 5 Spoofing Vulnerabilities

Zero-day ที่ได้รับการแก้ไขใน Patch นี้:

    มีการเปิดเผยในข้อมูลของ Patch Tuesday ของเดือนธนัวาคม 2023 ที่แก้ไขช่องโหว่แบบ Zero-Day ของ AMD ที่ถูกพบเมื่อเดือนสิงหาคม 2023

    โดย CVE - 2023- 20588 - AMD:CVE-2023-20588 AMD Speculative Leaks vulnerability is a division-by-zero bug in specific AMD processors that could potentially return sensitive data.

ถ้าต้องการหาช่องทางในการแก้ไขสามารถศึกษารายละเอียดในการแก้ไขได้ที่ amd.com

ใน Patch ธันวาคม 2023 จากทางผู้ผลิตอื่น ๆ นอกจากทาง Microsoft ยกตัวอย่างเช่น

• Apple apple emergency updates fix recent zero-days on older iphones
• Cisco cisco sa asa ssl vpn
• Google december android updates fix critical zero click rce flaw
• VMware vmware fixes critical cloud director auth bypass unpatched for 2 weeks

December 2023 Patch Tuesday Security Updates

Tag	CVE ID	CVE Title	Severity
Azure Connected Machine Agent	CVE-2023-35624	Azure Connected Machine Agent Elevation of Privilege Vulnerability	Important
Azure Machine Learning	CVE-2023-35625	Azure Machine Learning Compute Instance for SDK Users Information Disclosure Vulnerability	Important
Chipsets	CVE-2023-20588	AMD: CVE-2023-20588 AMD Speculative Leaks Security Notice	Important
Microsoft Bluetooth Driver	CVE-2023-35634	Windows Bluetooth Driver Remote Code Execution Vulnerability	Important
Microsoft Dynamics	CVE-2023-35621	Microsoft Dynamics 365 Finance and Operations Denial of Service Vulnerability	Important
Microsoft Dynamics	CVE-2023-36020	Microsoft Dynamics 365 (on-premises) Cross-site Scripting Vulnerability	Important
Microsoft Edge (Chromium-based)	CVE-2023-35618	Microsoft Edge (Chromium-based) Elevation of Privilege Vulnerability	Moderate
Microsoft Edge (Chromium-based)	CVE-2023-36880	Microsoft Edge (Chromium-based) Information Disclosure Vulnerability	Low
Microsoft Edge (Chromium-based)	CVE-2023-38174	Microsoft Edge (Chromium-based) Information Disclosure Vulnerability	Low
Microsoft Edge (Chromium-based)	CVE-2023-6509	Chromium: CVE-2023-6509 Use after free in Side Panel Search	Unknown
Microsoft Edge (Chromium-based)	CVE-2023-6512	Chromium: CVE-2023-6512 Inappropriate implementation in Web Browser UI	Unknown
Microsoft Edge (Chromium-based)	CVE-2023-6508	Chromium: CVE-2023-6508 Use after free in Media Stream	Unknown
Microsoft Edge (Chromium-based)	CVE-2023-6511	Chromium: CVE-2023-6511 Inappropriate implementation in Autofill	Unknown
Microsoft Edge (Chromium-based)	CVE-2023-6510	Chromium: CVE-2023-6510 Use after free in Media Capture	Unknown
Microsoft Office Outlook	CVE-2023-35636	Microsoft Outlook Information Disclosure Vulnerability	Important
Microsoft Office Outlook	CVE-2023-35619	Microsoft Outlook for Mac Spoofing Vulnerability	Important
Microsoft Office Word	CVE-2023-36009	Microsoft Word Information Disclosure Vulnerability	Important
Microsoft Power Platform Connector	CVE-2023-36019	Microsoft Power Platform Connector Spoofing Vulnerability	Critical
Microsoft WDAC OLE DB provider for SQL	CVE-2023-36006	Microsoft WDAC OLE DB provider for SQL Server Remote Code Execution Vulnerability	Important
Microsoft Windows DNS	CVE-2023-35622	Windows DNS Spoofing Vulnerability	Important
Windows Cloud Files Mini Filter Driver	CVE-2023-36696	Windows Cloud Files Mini Filter Driver Elevation of Privilege Vulnerability	Important
Windows Defender	CVE-2023-36010	Microsoft Defender Denial of Service Vulnerability	Important
Windows DHCP Server	CVE-2023-35643	DHCP Server Service Information Disclosure Vulnerability	Important
Windows DHCP Server	CVE-2023-35638	DHCP Server Service Denial of Service Vulnerability	Important
Windows DHCP Server	CVE-2023-36012	DHCP Server Service Information Disclosure Vulnerability	Important
Windows DPAPI (Data Protection Application Programming Interface)	CVE-2023-36004	Windows DPAPI (Data Protection Application Programming Interface) Spoofing Vulnerability	Important
Windows Internet Connection Sharing (ICS)	CVE-2023-35642	Internet Connection Sharing (ICS) Denial of Service Vulnerability	Important
Windows Internet Connection Sharing (ICS)	CVE-2023-35630	Internet Connection Sharing (ICS) Remote Code Execution Vulnerability	Critical
Windows Internet Connection Sharing (ICS)	CVE-2023-35632	Windows Ancillary Function Driver for WinSock Elevation of Privilege Vulnerability	Important
Windows Internet Connection Sharing (ICS)	CVE-2023-35641	Internet Connection Sharing (ICS) Remote Code Execution Vulnerability	Critical
Windows Kernel	CVE-2023-35633	Windows Kernel Elevation of Privilege Vulnerability	Important
Windows Kernel	CVE-2023-35635	Windows Kernel Denial of Service Vulnerability	Important
Windows Kernel-Mode Drivers	CVE-2023-35644	Windows Sysmain Service Elevation of Privilege	Important
Windows Local Security Authority Subsystem Service (LSASS)	CVE-2023-36391	Local Security Authority Subsystem Service Elevation of Privilege Vulnerability	Important
Windows Media	CVE-2023-21740	Windows Media Remote Code Execution Vulnerability	Important
Windows MSHTML Platform	CVE-2023-35628	Windows MSHTML Platform Remote Code Execution Vulnerability	Critical
Windows ODBC Driver	CVE-2023-35639	Microsoft ODBC Driver Remote Code Execution Vulnerability	Important
Windows Telephony Server	CVE-2023-36005	Windows Telephony Server Elevation of Privilege Vulnerability	Important
Windows USB Mass Storage Class Driver	CVE-2023-35629	Microsoft USBHUB 3.0 Device Driver Remote Code Execution Vulnerability	Important
Windows Win32K	CVE-2023-36011	Win32k Elevation of Privilege Vulnerability	Important
Windows Win32K	CVE-2023-35631	Win32k Elevation of Privilege Vulnerability	Important
XAML Diagnostics	CVE-2023-36003	XAML Diagnostics Elevation of Privilege Vulnerability	Important

และสามารถดูข้อมูลเพิ่มเติมได้ที่ Microsoft Patch tuesday Reports December 2023

Ref : bleepingcomputer

Toyota Financial Services แจ้งเตือนไปยัง Toyota ทั่วโลก ถึงเหตุการณ์ข้อมูลลูกค้ารั่วไหล กระทบต่อข้อมูลส่วนบุคคล และข้อมูลทางการเงิน

    Toyota Financial Services เป็นบริษัทในเครือของ Toyota Motor Corporation ได้ออกมาประกาศแจ้งเตือนถึงลูกค้าเรื่องข้อมูลรั่วไหล ซึ่งส่งผลกระทบต่อข้อมูลส่วนบุคคล และข้อมูลทางการเงิน

    เหตุการณ์นี้เกิดขึ้นเมื่อเดือนที่ผ่านมา โดยบริษัทถูกเข้าถึงระบบบางส่วนในยุโรป และแอฟริกาโดยไม่ได้รับอนุญาต ภายหลังจากที่ Medusa ransomware อ้างว่าโจมตีแผนกผู้ผลิตรถยนต์ของญี่ปุ่นสําเร็จ โดยผู้โจมตีได้เรียกค่าไถ่จำนวน 8,000,000 ดอลลาร์ เพื่อลบข้อมูลที่ขโมยมา และให้เวลา Toyota 10 วันในการติดต่อกลับ

    โดย Toyota ให้ข้อมูลกับ BleepingComputer เพิ่มเติมว่า เมื่อทราบถึงเหตุการณ์ดังกล่าว บริษัทได้ทำการออฟไลน์ระบบบางระบบเพื่อปิดช่องโหว่ ทำให้ส่งผลกระทบต่อการบริการลูกค้า ทั้งนี้ สันนิษฐานว่า Toyota ยังไม่ได้มีการเจรจาการจ่ายค่าไถ่กับผู้โจมตี ทำให้ขณะนี้ข้อมูลทั้งหมดถูกปล่อยออกมาบนดาร์กเว็บ

    จากการที่ Toyota Kreditbank GmbH ในเยอรมนี ซึ่งเป็นหนึ่งในหน่วยงานที่ได้รับผลกระทบจากเหตุการณ์ในครั้งนี้ ได้ออกมายอมรับว่าผู้ไม่ประสงค์ดีสามารถเข้าถึงข้อมูลส่วนบุคคลของลูกค้า ส่งผลให้ข้อมูลของลูกค้าจำนวนหนึ่งถูกขโมยออกไป โดยสำนักข่าว Heise ของเยอรมนี ได้รับตัวอย่างแถลงการณ์ที่ Toyota ส่งถึงลูกค้าชาวเยอรมัน แจ้งว่าข้อมูลรั่วไหลประกอบด้วยข้อมูลดังต่อไปนี้

ข้อมูลที่รั่วไหลออกไป

• ชื่อ
• ที่อยู่
• ข้อมูลสัญญา
• รายละเอียดการเช่าซื้อ
• IBAN (หมายเลขบัญชีธนาคารระหว่างประเทศ)

    โดยข้อมูลที่ถูกขโมยไปเพียงพอสำหรับการนำมาใช้โจมตีแบบฟิชชิ่ง การหลอกลวง และการทำธุรกรรมทางการเงิน รวมถึงการขโมยข้อมูลส่วนบุคคล ดังนั้นจึงควรระมัดระวังความผิดปกติที่อาจจะเกิดขึ้น

    อย่างไรก็ตามการตรวจสอบยังไม่เสร็จสิ้น และยังมีความเป็นไปได้ที่ผู้โจมตีจะสามารถเข้าถึงข้อมูลเพิ่มเติม โดยทาง Toyota กำลังดำเนินการตรวจสอบอย่างละเอียด และหากพบว่ามีการเปิดเผยข้อมูลเพิ่มเติม คาดว่าบริษัทจะรีบแจ้งให้ผู้ที่ได้รับผลกระทบทราบโดยทันที

Ref : bleepingcomputer

Krasue RAT (กระสือ) ใช้ Rootkit โจมตีไปยัง Linux server ของบริษัทโทรคมนาคมในประเทศไทย

    Treath Hunter จากบริษัทความปลอดภัยทางไซเบอร์ Group-IB ค้นพบ Trojan ที่ใช้สำหรับเข้าถึงจากระยะไกล RAT (Remote Access Trojan) โดยตั้งชื่อว่า Krasue (กระสือ) ซึ่งมีการกำหนดเป้าหมายไปยังระบบ Linux ของบริษัทโทรคมนาคม ซึ่งพบว่ามีการซ่อนตัวมาตั้งแต่ปี 2021

    อีกทั้งยังพบว่าไบนารีของ Krasue RAT มี Rootkit ถึง 7 รูปแบบที่รองรับ Linux kernel หลายเวอร์ชัน และอิงตามโค้ดจาก Project open-source 3 Project

    Krasue RAT จะแฝงตัวในเครื่องเป้าหมาย ซึ่งอาจจะใช้วิธีการเข้าถึงระบบของเหยื่อผ่านทาง Botnet หรือจากข้อมูลที่ถูกขายมาจากผู้โจมตีรายอื่น ที่ใช้สำหรับเพื่อเข้าถึงเป้าหมายโดยเฉพาะ

    Group-IB ยังระบุเพิ่มเติมอีกว่า Krasue RAT อาจถูกใช้ภายหลังจากการโจมตีสำเร็จ เพื่อแฝงตัวในเครื่องเป้าหมาย แต่ยังไม่สามารถระบุได้ว่าใช้วิธีการใดในการแพร่กระจาย ซึ่งอาจจะผ่านทางช่องโหว่ต่าง ๆ หรือการดาวน์โหลดโปรแกรม หรือไบนารีที่ไม่ปลอดภัยซึ่งอาจปลอมเป็นโปรแกรมที่ดูเหมือนถูกต้องตามปกติ โดยเป้าหมายในการโจมตีคือบริษัทโทรคมนาคมในประเทศไทยเท่านั้น

Rootkit

    จากการวิเคราะห์ของ Group-IB พบว่า Rootkit ภายในไบนารีของ Krasue RAT คือ Linux Kernel Module (LKM) ที่ปลอมแปลงเป็นไดรเวอร์ VMware หลังจากถูกเรียกใช้งาน ซึ่ง rootkit ระดับ Kernel นั้นตรวจพบ และลบได้ยาก เนื่องจาก Rootkit ทำงานในระดับความปลอดภัยเดียวกันกับระบบปฏิบัติการ

    โดย rootkit ดังกล่าวรองรับ Linux Kernel เวอร์ชัน 2.6x/3.10.x ซึ่งช่วยให้ไม่ถูกตรวจจับ เนื่องจากเซิร์ฟเวอร์ Linux รุ่นเก่ามักมีการป้องกันด้านความปลอดภัยที่ต่ำ

    Treath Hunterของ Group-IB พบว่า Rootkit ทั้ง 7 เวอร์ชันมีความสามารถในการเรียกใช้ system call และ function call hooking ที่เหมือนกัน รวมถึงใช้ชื่อปลอม “VMware User Mode Helper” ชื่อเดียวกัน

    Treath Hunterได้ตรวจสอบโค้ด และพบว่า rootkit นั้นใช้ Rootkit LKM แบบ open-source สามแบบ โดยเฉพาะ Diamorphine, Suterusu และ Rooty ซึ่งทั้งหมดนี้มีให้บริการมาตั้งแต่ปี 2017 Krasue Rootkit สามารถซ่อน Port หรือยกเลิกการซ่อน Port ทำให้สามารถซ่อนตัว, ใช้สิทธิ์รูท และเรียกใช้คำสั่ง kill สำหรับ ID ของ Process ใด ๆ ก็ได้ นอกจากนี้ยังสามารถปกปิดร่องรอยด้วยการซ่อนไฟล์ และไดเร็กทอรีที่เกี่ยวข้องกับ Malware Krasue สามารถเชื่อมต่อกลับไปยัง

command and control (C2) server ด้วยคำสั่งต่อไปนี้ :

• ping - ตอบกลับด้วย `pong`
• master - ตั้งค่า master upstream C2
• info - รับข้อมูลเกี่ยวกับMalware: main pid, child pid และสถานะ เช่น “root : ได้รับสิทธิ์ root” “god : ไม่สามารถลบ process ได้” “hidden : ซ่อน process ” “module : โหลด Rootkit”
• restart - รีสตาร์ท child process
• respawn - รีสตาร์ท main process
• god die - ** ลบตัวเอง
• shell - รัน shell commands ด้วย `/bin/sh`

    Group-IB พบ IP addresses ของ C2 ที่แตกต่างกัน 9 รายการ ที่ hardcode ลงใน Malware โดยมี IP addresses หนึ่งรายการ ที่ใช้ Port : 554 ซึ่งเป็นการเชื่อมต่อ RTSP (Real Time Streaming Protocol) ทั้งนี้การเชื่อมต่อผ่าน Port : 554 RTSP ไม่ได้พบบ่อยนัก ทำให้เป็นอีกจุดสังเกตุในการตรวจสอบ Krasue Rootkit

    RTSP เป็น network control protocol ที่ออกแบบมาสำหรับ streaming media servers ซึ่งช่วยสร้าง และควบคุมเซสชันการเล่นสื่อสำหรับสตรีมวิดีโอ และเสียง การนำทางสื่อ การจัดการสตรีมการประชุม และอื่น ๆ แม้ว่า Treath Hunter จะยังไม่ทราบที่มาของ Malware Krasue แต่พบว่า Krasue Rootkit มีความคล้ายคลึงกับ Linux malware ที่เรียกว่า XorDdos อาจเป็นไปได้ว่าผู้พัฒนา Krasue ก็สามารถเข้าถึงโค้ด XorDdos ได้เช่นกัน ทั้งนี้ปัจจุบันบริษัทรักษาความปลอดภัยทางไซเบอร์ได้ให้ข้อมูล YARA rules เพื่อการตรวจจับ และสนับสนุนให้ Treath Hunter คนอื่นเผยแพร่สิ่งที่พวกเขารู้เกี่ยวกับMalwareตัวดังกล่าว

YARA rules

• auwd.bin - 902013bc59be545fb70407e8883717453fb423a7a7209e119f112ff6771e44cc
• auwd.bin - b6db6702ca85bc80599d7f1d8b1a9b6dd56a8e87c55fc831dc9c689e54b8205d
• auwd.bin (packed) - ed38a61a6b7af436120465d352baa4cdf4ed8f01a7db7245b6254353e52f818f
• auwd.bin (packed) - afbc79dfc4c7c4fd9b71b5fea23ef12adf0b84b1af22a993ecf91f3d829967a4

Rootkit

Rootkit v2.6.32-642:

97f08424b14594a5a39d214bb97823690f1086c78fd877558761afe0a032b772

Rootkit v2.6.32-220:

38ba7790697da0a736c80fd9a04731b8b0bac675cca065cfd42a56dde644e353

Rootkit v2.6.32-71:

e0748b32d0569dfafef6a8ffd3259edc6785902e73434e4b914e68fea86e6632

Rootkit v2.6.18:

4428d7bd7ae613ff68d3b1b8e80d564e2f69208695f7ab6e5fdb6946cc46b5e1

Rootkit v2.6.39:

c9552ba602d204571b9f98bd16f60b6f4534b3ad32b4fc8b3b4ab79f2bf371e5

Rootkit v3.10.0-514:

3e37c7b65c1e46b2eb132f98f65c711b4169c6caeeaecc799abbda122c0c4a59

Rootkit v3.10.0-327:

8a58dce7b57411441ac1fbff3062f5eb43a432304b2ba34ead60e9dd4dc94831

กลุ่ม APT28 ใช้ช่องโหว่ใน Outlook เพื่อขโมยบัญชี Microsoft Exchange

    Threat Intelligence ของ Microsoft ออกคำเตือนเมื่อวันที่ 4 ธันวาคม 2023 ที่ผ่านมา จากการพบกลุ่ม ผู้ไม่ประสงค์ดีที่ได้รับการสนับสนุนจากรัฐบาลรัสเซียในชื่อ APT28 ("Fancybear" หรือ "Strontium") ที่ได้ทำการโจมตีเป้าหมายโดยใช้ช่องโหว่ Outlook CVE-2023-23397 เพื่อขโมยบัญชี Microsoft Exchange และข้อมูลที่มีความสำคัญ โดยหน่วยงานที่ตกเป็นเป้าหมายในการโจมตีได้แก่ หน่วยงานรัฐบาล, หน่วยงานทางด้านพลังงาน, การขนส่ง และองค์กรสำคัญอื่น ๆ ในสหรัฐอเมริกา ยุโรป และตะวันออกกลาง รวมถึง Microsoft ยังพบการใช้ช่องโหว่อื่น ๆ ในการโจมตีด้วย เช่น CVE-2023-38831 ใน WinRAR และ CVE-2021-40444 ใน Windows MSHTML

การโจมตีช่องโหว่ Outlook

    CVE-2023-23397 (คะแนน CVSS 9.8/10 ความรุนแรงระดับ Critical) เป็นช่องโหว่การยกระดับสิทธิ์ Elevation of Privilege (EoP) ใน Outlook บน Windows ซึ่ง Microsoft ได้แก้ไขช่องโหว่ดังกล่าวแล้วใน Patch Tuesday เดือนมีนาคม 2023

    การโจมตีโดยใช้ช่องโหว่ Outlook ของกลุ่ม APT28 เริ่มขึ้นตั้งแต่เดือนเมษายน 2022 ผ่าน Outlook notes ที่สร้างขึ้นเป็นพิเศษซึ่งออกแบบมาเพื่อขโมย NTLM hashes โดยบังคับให้อุปกรณ์เป้าหมายตรวจสอบสิทธิ์การแชร์ SMB ที่ ผู้ไม่ประสงค์ดีควบคุม โดยไม่จำเป็นต้องมีการโต้ตอบจากผู้ใช้ หลังจากนั้นก็จะทำการแพร่กระจายไปในระบบของเป้าหมาย (lateral movement) และเปลี่ยนสิทธิ์กล่องจดหมายบน Outlook เพื่อดำเนินการขโมยอีเมลแบบกำหนดเป้าหมาย

    ถึงแม้ว่าจะมีการออกแพตซ์อัปเดตด้านความปลอดภัย และคำแนะนำในการป้องกัน แต่ช่องทางในการโจมตียังคงมีความอันตราย รวมถึงช่องโหว่ bypass of the fix (CVE-2023-29324) ที่ถูกเผยแพร่ในเดือนพฤษภาคม 2023 ก็ทำให้มีความเสี่ยงในการโจมตีเพิ่มยิ่งขึ้น

    Recorded Future ได้แจ้งเตือนในเดือนมิถุนายน 2023 ที่ผ่านมา จากการพบกลุ่ม APT28 ได้ใช้ช่องโหว่ของ Outlook ในการโจมตีไปยังองค์กรสำคัญของยูเครนในเดือนตุลาคม 2022 และหน่วยงานรักษาความปลอดภัยทางไซเบอร์ของฝรั่งเศส (ANSSI) ได้เปิดเผยว่ากลุ่ม APT28 ได้ใช้ช่องโหว่ Zero-Day ในการโจมตีหน่วยงานภาครัฐ, ธุรกิจ, มหาวิทยาลัย, สถาบันวิจัย และสถาบันวิจัยในฝรั่งเศส

คำแนะนำในการป้องกันตามลำดับความสำคัญ มีดังนี้ :

• อัปเดตแพตซ์ความปลอดภัยสำหรับช่องโหว่ CVE-2023-23397 และ CVE-2023-29324
• ใช้ script จาก Microsoft เพื่อตรวจสอบว่ามีการกำหนดเป้าหมายการโจมตีไปยังผู้ใช้ Exchange หรือไม่
• รีเซ็ตรหัสผ่านของผู้ใช้ที่ถูกโจมตี และเปิดใช้งาน MFA (multi-factor authentication) สำหรับผู้ใช้ทั้งหมด
• จำกัดการรับส่งข้อมูลผ่าน SMB โดยการบล็อกการเชื่อมต่อไปยังพอร์ต 135 และ 445 จากที่อยู่ IP ขาเข้าทั้งหมด
• ปิดการใช้งาน NTLM บนระบบ

    เนื่องจากกลุ่ม APT28 เป็นกลุ่ม ผู้ไม่ประสงค์ดีที่มีความสามารถสูง และสามารถปรับรูปแบบการโจมตีได้ตลอดเวลา วิธีการป้องกันการโจมตีที่ดีที่สุดคือการลดพื้นที่ที่มีความเสี่ยงในการถูกโจมตีให้ได้มากที่สุด รวมถึงหมั่นตรวจสอบซอฟต์แวร์ทั้งหมดในระบบ ว่าได้รับการอัปเดตอย่างสม่ำเสมอหรือไม่

Ref : bleepingcomputer