กลุ่มผู้ไม่ประสงค์ดีจากเกาหลีใต้ APT-C-60 ได้ใช้ประโยชน์จากช่องโหว่ zero-day ใน WPS Office เพื่อติดตั้ง Malware

กลุ่มผู้ไม่ประสงค์ดีเกาหลีใต้ APT-C-60 ได้ใช้ประโยชน์จากช่องโหว่ zero-day ในการเรียกใช้โค้ดใน WPS Office รุ่น Windows เพื่อติดตั้งโปรแกรมที่เป็นอันตรายที่ชื่อว่า SpyGlace บนเป้าหมายในเอเชียตะวันออก

WPS Office เป็นชุดซอฟต์แวร์สำหรับการทำงานที่พัฒนาโดยบริษัท Kingsoft ของจีน ซึ่งได้รับความนิยมในเอเชีย มีรายงานว่ามีผู้ใช้งานมากกว่า 500 ล้านคนทั่วโลก

ช่องโหว่ zero-day ที่ถูกติดตามในชื่อ CVE-2024-7262 ได้ถูกใช้ในการโจมตีในโลกความจริงตั้งแต่ปลายเดือนกุมภาพันธ์ 2024 แต่ส่งผลกระทบต่อรุ่นตั้งแต่ 12.2.0.13110 (สิงหาคม 2023) ถึง 12.1.0.16412 (มีนาคม 2024)

Kingsoft ได้แก้ไขปัญหาอย่างเงียบๆ ในเดือนมีนาคมปีนี้ โดยไม่ได้แจ้งให้ลูกค้าทราบว่าช่องโหว่นี้ถูกใช้ประโยชน์อยู่ ส่งผลให้ ESET ซึ่งเป็นผู้ค้นพบแคมเปญและช่องโหว่นี้ได้เผยแพร่รายงานรายละเอียดในวันนี้

นอกจาก CVE-2024-7262 แล้ว การสืบสวนของ ESET ยังเผยถึงช่องโหว่ที่ร้ายแรงอีกหนึ่งรายการที่ถูกติดตามในชื่อ CVE-2024-7263 ซึ่ง Kingsoft ได้แก้ไขในปลายเดือนพฤษภาคม 2024 ด้วยเวอร์ชัน 12.2.0.17119

การโจมตีโดย APT-C-60

CVE-2024-7262 อยู่ในวิธีการที่ซอฟต์แวร์จัดการกับตัวจัดการโปรโตคอลที่กำหนดเอง โดยเฉพาะ 'ksoqing://' ซึ่งอนุญาตให้เรียกใช้แอปพลิเคชันภายนอกผ่าน URL ที่สร้างขึ้นโดยเฉพาะภายในเอกสาร

เนื่องจากการตรวจสอบและการกรอง URL เหล่านี้ไม่ถูกต้อง ช่องโหว่นี้จึงอนุญาตให้ผู้โจมตีสามารถสร้างไฮเปอร์ลิงก์ที่เป็นอันตรายซึ่งนำไปสู่การเรียกใช้โค้ดที่กำหนดเองได้

APT-C-60 ได้สร้างเอกสารสเปรดชีต (ไฟล์ MHTML) ที่ฝังไฮเปอร์ลิงก์ที่เป็นอันตรายภายใต้รูปภาพลวงเพื่อล่อให้เหยื่อคลิก ซึ่งจะทำให้เกิดการโจมตี

พารามิเตอร์ URL ที่ถูกประมวลผลรวมถึงคำสั่งที่เข้ารหัสเป็น base64 เพื่อเรียกใช้ปลั๊กอินเฉพาะ (promecefpluginhost.exe) ที่พยายามโหลดไฟล์ DLL ที่เป็นอันตราย (ksojscore.dll) ซึ่งมีโค้ดของผู้โจมตีอยู่

DLL นี้คือส่วนประกอบดาวน์โหลดของ APT-C-60 ที่ออกแบบมาเพื่อดึงโหลดที่เป็นอันตรายสุดท้าย (TaskControler.dll) จากเซิร์ฟเวอร์ของผู้โจมตี ซึ่งเป็น backdoor แบบกำหนดเองที่ชื่อว่า 'SpyGlace'

ขอแนะนำให้ผู้ใช้ WPS Office อัปเกรดไปใช้เวอร์ชันล่าสุดโดยเร็วที่สุด หรืออย่างน้อยเวอร์ชัน 12.2.0.17119 เพื่อแก้ไขปัญหาช่องโหว่ในการเรียกใช้โค้ดทั้งสองรายการ

"การโจมตีนั้นฉลาดล้ำเพราะมันมีความสามารถในการหลอกลวงให้ผู้ใช้คลิกที่สเปรดชีตที่ดูเหมือนถูกต้อง ในขณะที่มีประสิทธิภาพและความน่าเชื่อถือสูงมาก" ESET เตือนในรายงาน

"การเลือกใช้รูปแบบไฟล์ MHTML ทำให้ผู้โจมตีสามารถเปลี่ยนช่องโหว่ในการเรียกใช้โค้ดให้เป็นการโจมตีระยะไกลได้"

ตรวจสอบที่เก็บข้อมูลบน GitHub นี้สำหรับรายการเต็มของตัวบ่งชี้การถูกโจมตี (IoCs) ที่เกี่ยวข้องกับกิจกรรมของ APT-C-60

Ref: bleepingcomputer

วิธีการเคลมอุปกรณ์หรือแจ้งปัญหา CISCO Meraki (แจ้งปัญหาผ่าน Web แล้วจะส่งตัวใหม่มาให้เลย)

เดิมทีม มีการใช้งาน CISCO Meraki อยู่จำนวนหนึ่ง หลังจากใช้งานมานานพบว่า อุปกรณ์บางตัวเสีย จึงต้องทำการเจ้งเคลมผ่านระบบ ของ Meraki

 ขั้นตอนที่ 1 

        1.1เลือก Network ที่ต้องการเคลม (ถ้าสิทธิ์มีหลาย Network สามารถเลือก Networkใดก็ได้)

ขั้นตอนที่ 2

    

    2.1.ให้สังเกตุเครื่องหมาย ? ที่มุมขวามมือแล้วทำการกดเพื่อเลือก

    2.2. เลือกเมนู Get help & cases

ขั้นตอนที่ 3

    3.1.ให้เลือกเมนูที่จะทำการติดต่อเพื่อขอเคลมหรือแจ้งปัญหา

    

ขอยกตัวอย่างการเคลมสินค้า หมวด MR wireless

 ขั้นตอนที่ 1

     1.1.เลือกหมวด MR wireless 

 ขั้นตอนที่ 2

    2.1.เลือกหมวด Submit a case

ขั้นตอนที่ 3

3.1. Subject             =  เขียนหัวเรื่องการแจ้งปัญหา

      Related to       = เลือกอุปกรณ์ที่มีปัญหา

      Description     = เขียนอาการคร่าวๆที่เจอปัญหาของอุปกรณ์

*หมายเหตุ  Related to  จะสามารถเลือกอุปกรณ์ที่มีปัญหาได้เพียงครั้งละ 1อุปกรณ์ ถ้ามีมากกว่า 1 อุปกรณ์ สามารถเปิดเคลมใหม่เพิ่มได้*

ขั้นตอนที่ 4 

    4.1. รายการเคลมสินค้าจะกลับมาหน้า Support Center หมวด Recent cases

ขั้นตอนที่ 5 

    5.1. คุยรายละเอียดกับทางทีม Support เพื่อหาวิธีการแก้ไข หากแก้ไขไม่ได้ทางทีม Support จะให้ส่งที่อยู่เพื่อส่งอุปกรณ์ใหม่เทียบเท่ามาทดแทน

ขั้นตอนที่ 6

    6.1.รับสินค้าที่ทางผู้ให้บริการมาส่ง

Malware ‘sedexp’ บนระบบปฏิบัติการณ์ Linux ที่แฝงตัวและไม่สามารถตรวจสอบได้มานานกว่า 2 ปี

    Stroz Friedberg ของบริษัท Aon Insurance เป็นผู้ค้นพบ 'sedexp'  Malware บน Linux ซึ่งได้แฝงตัวและหลีกเลี่ยงการตรวจจับมาได้ตั้งแต่ปี 2022 ทำให้สามารถสร้าง reverse shell สำหรับการเข้าถึงจากระยะไกล และขยายการโจมตีบนระบบต่อไปได้ โดยใช้เทคนิค persistence “udev rule” ที่ไม่มีอยู่ใน MITRE ATT&CK framework โดยตั้งข้อสังเกตว่า sedexp เป็น advanced threat ที่ซ่อนตัวอยู่ในเครือข่ายของเป้าหมาย

การแฝงตัวในระบบด้วย udev rules

    'udev' คือ ระบบการจัดการอุปกรณ์สำหรับ Linux kernel responsible ในการจัดการโหนดอุปกรณ์ใน /dev directory ซึ่งประกอบด้วยไฟล์ที่แสดงถึงส่วนประกอบฮาร์ดแวร์ที่มีอยู่ในระบบ เช่น storage drives, network interfaces และ USB drives

    Node file จะถูกสร้าง และลบแบบไดนามิกเมื่อผู้ใช้เชื่อมต่อ/ตัดการเชื่อมต่ออุปกรณ์ รวมถึง udev ยังทำหน้าที่จัดการการโหลดไดรเวอร์ที่เหมาะสมอีกด้วย

    Udev rules เป็น text configuration files ที่กำหนดว่าตัวจัดการควรจัดการอุปกรณ์ หรือเหตุการณ์บางอย่างอย่างไร โดยอยู่ใน '/etc/udev/rules.d/' หรือ '/lib/udev/rules.d/'

    rules เหล่านี้ประกอบด้วยพารามิเตอร์สามตัวที่ระบุความสามารถในการนำไปใช้ (ACTION== "add") ชื่ออุปกรณ์ (KERNEL== "sdb1") และสคริปต์ที่จะถูกรันเมื่อตรงตามเงื่อนไขที่ระบุ (RUN+="/path/to/script")

sedexp malware จะทำการเพิ่ม rules ต่อไปนี้บนระบบที่ถูกโจมตี :

ACTION=="add", ENV{MAJOR}=="1", ENV{MINOR}=="8", RUN+="asedexpb run:+"

    rules นี้จะทำงานทุกครั้งที่มีการเพิ่มอุปกรณ์ใหม่ลงในระบบ โดยตรวจสอบว่าหมายเลขหลัก และหมายเลขรองตรงกับ '/dev/random' หรือไม่ โดยจะโหลดเมื่อระบบบูต และใช้เป็นตัวสร้างตัวเลขสุ่มโดยแอป และ process ต่าง ๆ หลายรายการ

    rule component สุดท้าย (RUN+= "asedexpb run:+") จะดำเนินการเรียกใช้สคริปต์ 'asedexpb' ของ Malware  ดังนั้นการตั้งค่า /dev/random จึงเป็นเงื่อนไขเบื้องต้น ที่ผู้ไม่ประสงค์ดีจะสามารถมั่นใจได้ว่า Malware จะถูกเรียกใช้งานตลอด

    ที่สำคัญที่สุด /dev/random เป็นส่วนประกอบระบบที่สำคัญบน Linux ที่ security solutions ไม่ได้มีการตรวจสอบ ดังนั้นจึงทำให้ Malware สามารถใช้เพื่อหลีกเลี่ยงการตรวจจับได้

ความสามารถในการปฏิบัติงานเบื้องต้น

    โดย Malware จะตั้งชื่อ process ว่า 'kdevtmpfs,' ที่ได้เลียนแบบ process ของระบบปกติ จึงทำให้มีความยากในการตรวจจับความผิดปกติโดยใช้วิธีการทั่วไป

    ในส่วนความสามารถในการปฏิบัติการ Malware จะใช้ forkpty หรือ pipes และ process ใหม่ที่แยกออกมาเพื่อตั้งค่า reverse shell เพื่อให้ผู้ไม่ประสงค์ดีสามารถเข้าถึงอุปกรณ์จากระยะไกลได้

    Sedexp ยังใช้เทคนิคการจัดการหน่วยความจำเพื่อซ่อนไฟล์ใด ๆ ที่มีสตริง "sedexp" จากคำสั่ง เช่น "ls" หรือ "find" โดยปกปิดการมีอยู่ของไฟล์เหล่านั้นในระบบ รวมถึงสามารถแก้ไขเนื้อหาหน่วยความจำเพื่อแทรกคำสั่งที่เป็นอันตราย หรือเปลี่ยนแปลงพฤติกรรมของแอป และ process ของระบบที่มีอยู่ได้

    ทั้งนี้นักวิจัยได้รายงานว่า Malware ดังกล่าวถูกใช้อย่างมากมาตั้งแต่ปี 2022 โดย Malware ดังกล่าวปรากฏอยู่ใน online sandboxes หลายแห่ง และไม่ถูกตรวจพบ (ใน VirusTotal มีเพียงโปรแกรมป้องกัน Malware  2 รายการ เท่านั้นที่ระบุว่าเป็นอันตรายจากตัวอย่าง sedexp สามตัวอย่างที่มีอยู่ในรายงาน)

โดย Stroz Friedberg รายงานว่า Malware ดังกล่าวถูกนำมาใช้เพื่อซ่อน credit card scraping code บน web server ที่ถูกโจมตี ซึ่งบ่งชี้ถึงการมีส่วนเกี่ยวข้องในการโจมตีที่มีแรงจูงใจทางด้านการเงิน

Ref; bleepingcomputer

Snipe-IT: วิธีการ Upgrade โปรแกรมจาก v6.4.1 เป็น v7.0.11 บน Ubuntu 20.04

Snipe-IT เป็นโปรแกรม open source ที่นำมาใช้บริหารจัดการระบบ Asset ของ IT

ลำดับขั้นตอนการดำเนินการ

1. สำรองข้อมูลโปรแกรมเวอร์ชั่นเก่า

cd /var/www/

sudo mv snipeit snipeit-backup

2. ตรวจสอบ System Requirements ของเวอร์ชั่นใหม่ (PHP >= 8.1.0, PHP Extensions, Etc.)

3. โปรแกรม Snipe-IT เวอร์ชั่น v6.4.1 ที่ติดตั้งปัจจุบันใช้งาน PHP เวอร์ชั่น v7.4 ทำการ Update PHP เป็นเวอร์ชั่น 8.3

sudo apt update -y sudo add-apt-repository ppa:ondrej/php

sudo apt update -y

sudo apt install php8.3-{bcmath,common,ctype,curl,fileinfo,fpm,gd,iconv,intl,mbstring,mysql,soap,xml,xsl,zip,cli,ldap} -y

sudo apt purge php7.4* -y

sudo a2enmod php8.3 && sudo systemctl restart apache2

4. ทำการ Update composer

sudo composer self-update

composer -V 

5.ดาวน์โหลดโปรแกรมเวอร์ชั่นใหม่ และตั้งค่าสิทธิ์ของโฟล์เดอร์

cd /var/www/

sudo git clone https://github.com/snipe/snipe-it

sudo mv snipe-it/ snipeit

sudo chown -R www-data:www-data snipeit

6.Update dependencies

cd /var/www/snipeit

sudo composer install --no-dev --prefer-source

7.คัดลอกไฟล์การตั้งค่าจากเวอร์ชั่นเดิม

sudo cp -R ../snipeit-backup/public/uploads/* public/uploads

sudo cp -R ../snipeit-backup/storage/private_uploads/* storage/private_uploads

sudo cp -R ../snipeit-backup/storage/app/backups/* storage/app/backups

sudo cp -R ../snipeit-backup/.env ./

sudo cp -R ../snipeit-backup/storage/oauth-private.key storage/oauth-private.key

sudo cp -R ../snipeit-backup/storage/oauth-public.key storage/oauth-public.key

sudo touch /var/www/snipeit/storage/logs/laravel.log

sudo chown www-data:www-data /var/www/snipeit/storage/logs/laravel.log

sudo mkdir /var/www/snipeit/storage/app/backup-temp

sudo chown -R www-data:www-data /var/www/snipeit/storage/app/backup-temp

7.ดำเนินการ Upgrade โปรแกรม

sudo runuser - www-data -s /bin/bash -c "cd /var/www/snipeit && php upgrade.php"

Snipe-IT: https://snipeitapp.com/

SonicWall เตือนถึงข้อบกพร่องที่ร้ายแรงเกี่ยวกับการควบคุมการเข้าถึงใน SonicOS

    SonicWall ได้แจ้งเตือนเกี่ยวกับช่องโหว่ที่ร้ายแรงใน SonicOS ซึ่งเป็นระบบปฏิบัติการที่ใช้กับอุปกรณ์รักษาความปลอดภัยของบริษัท ช่องโหว่นี้อาจทำให้ผู้โจมตีสามารถเข้าถึงระบบได้โดยไม่ได้รับอนุญาต ซึ่งเป็นปัญหาด้านความปลอดภัยที่สำคัญและต้องได้รับการแก้ไขโดยด่วน

    SonicOS ของ SonicWall มีช่องโหว่ด้านการควบคุมการเข้าถึงที่ร้ายแรง ซึ่งอาจทำให้ผู้โจมตีสามารถเข้าถึงทรัพยากรโดยไม่ได้รับอนุญาต หรือทำให้ไฟร์วอลล์หยุดทำงาน

ช่องโหว่นี้ได้รับรหัสประจำตัว CVE-2024-40766 และมีคะแนนความรุนแรง 9.3 ตามมาตรฐาน CVSS v3 เนื่องจากมีเวกเตอร์การโจมตีจากเครือข่าย มีความซับซ้อนต่ำ ไม่ต้องการการยืนยันตัวตน และไม่ต้องการการโต้ตอบจากผู้ใช้

    “ช่องโหว่ด้านการควบคุมการเข้าถึงที่ไม่เหมาะสมได้ถูกระบุในการเข้าถึงการจัดการ SonicOS ของ SonicWall ซึ่งอาจนำไปสู่การเข้าถึงทรัพยากรโดยไม่ได้รับอนุญาต และในเงื่อนไขเฉพาะ อาจทำให้ไฟร์วอลล์หยุดทำงาน” ข้อความจากประกาศของ SonicWall ระบุไว้.

    "ปัญหานี้ส่งผลกระทบต่ออุปกรณ์ SonicWall Firewall รุ่น Gen 5 และ Gen 6 รวมถึงอุปกรณ์ Gen 7 ที่ใช้ SonicOS เวอร์ชัน 7.0.1-5035 และเวอร์ชันที่เก่ากว่า"

รุ่นที่ได้รับผลกระทบได้แก่:

• Gen 5: อุปกรณ์ SOHO ที่ใช้เวอร์ชัน 5.9.2.14-12o และเวอร์ชันที่เก่ากว่า
• Gen 6: อุปกรณ์หลายรุ่นของ TZ, NSA, และ SM ที่ใช้เวอร์ชัน 6.5.4.14-109n และเวอร์ชันที่เก่ากว่า
• Gen 7: อุปกรณ์รุ่น TZ และ NSA ที่ใช้ SonicOS เวอร์ชัน 7.0.1-5035 และเวอร์ชันที่เก่ากว่า

คำแนะนำให้ผู้ดูแลระบบย้ายไปใช้เวอร์ชันดังต่อไปนี้เพื่อแก้ไขช่องโหว่ CVE-2024-40766:

• สำหรับ Gen 5: ใช้เวอร์ชัน 5.9.2.14-13o
• สำหรับ Gen 6: ใช้เวอร์ชัน 6.5.4.15.116n
• สำหรับ SM9800, NSsp 12400 และ NSsp 12800: ใช้เวอร์ชัน 6.5.2.8-2n ถือว่าปลอดภัย
• สำหรับ Gen 7: ใช้เฟิร์มแวร์ SonicOS ที่มีเวอร์ชันสูงกว่า 7.0.1-5035

การอัปเดตด้านความปลอดภัยนี้สามารถดาวน์โหลดได้ผ่าน mysonicwall.com

    ผู้ที่ไม่สามารถแก้ไขปัญหาได้ทันที แนะนำให้จำกัดการเข้าถึงการจัดการไฟร์วอลล์เฉพาะแหล่งที่เชื่อถือได้ หรือปิดการเข้าถึงการจัดการ WAN จากอินเทอร์เน็ต ข้อมูลเพิ่มเติมเกี่ยวกับวิธีการทำสิ่งนี้สามารถพบได้ในหน้าความช่วยเหลือของ SonicWall

ไฟร์วอลล์ของ SonicWall ถูกใช้งานอย่างแพร่หลายในอุตสาหกรรมที่มีความสำคัญต่อภารกิจและในสภาพแวดล้อมองค์กรต่างๆ และมักจะเป็นเป้าหมายของผู้ไม่ประสงค์ดีที่พยายามเข้าถึงเครือข่ายองค์กรในเบื้องต้น

    ในเดือนมีนาคม 2023 มีการโจมตีที่สงสัยว่าเป็นฝีมือของแฮกเกอร์จีนที่ถูกติดตามภายใต้ชื่อ UNC4540 โดยได้โจมตีอุปกรณ์ SonicWall Secure Mobile Access (SMA) ด้วยมัลแวร์เฉพาะทางที่สามารถคงอยู่ได้แม้จะมีการอัปเกรดเฟิร์มแวร์

สำนักงานความมั่นคงปลอดภัยทางไซเบอร์และโครงสร้างพื้นฐานของสหรัฐฯ (CISA) ได้เตือนเกี่ยวกับการใช้ประโยชน์จากช่องโหว่ที่เกิดขึ้นกับอุปกรณ์ SonicWall ตั้งแต่ปี 2022

Ref: bleepingcomputer

Google ปล่อยแพตช์สำหรับช่องโหว่ Zero-Day ตัวที่สิบในปี 2024

 

            Google ได้ประกาศการปล่อยแพตช์เพื่อแก้ไขช่องโหว่ zero-day ตัวที่สิบในปี 2024 ช่องโหว่นี้ได้รับการระบุว่าเป็นช่องโหว่ที่ถูกใช้งานในการโจมตีจริง ช่องโหว่นี้คือ CVE-2024-45877 ซึ่งเป็นช่องโหว่ประเภท "Use-After-Free" (UAF) ที่มีผลกระทบต่อความปลอดภัยของ Google Chrome

รายละเอียดทางเทคนิค

            ชนิดของช่องโหว่  ช่องโหว่ประเภท Use-After-Free (UAF) เกิดขึ้นเมื่อเบราว์เซอร์เข้าถึงหน่วยความจำที่ถูกปล่อยออกไปแล้ว ซึ่งอาจทำให้เกิดพฤติกรรมที่ไม่คาดคิด เช่น การรันโค้ดที่เป็นอันตราย หรือการเข้าถึงข้อมูลที่ถูกเปิดเผย   

            การโจมตี ผู้ไม่ประสงค์ดีอาจใช้ช่องโหว่นี้เพื่อทำให้เบราว์เซอร์ทำงานผิดปกติ เช่น การใช้โค้ดที่เป็นอันตรายเพื่อแอบเข้าถึงข้อมูลส่วนบุคคล หรือควบคุมระบบของผู้ใช้งาน

การตรวจพบ

ช่องโหว่นี้ได้รับการค้นพบโดยนักวิจัยด้านความปลอดภัยที่ทำงานร่วมกับ Google หรือจากรายงานของนักวิจัยภายนอกที่เกี่ยวข้อง

การรายงานช่องโหว่ถูกเปิดเผยสู่สาธารณะหลังจากที่ Google ได้ดำเนินการตรวจสอบและดำเนินการแก้ไขเพื่อ
การป้องกันการโจมตี

อัปเดตแพตช์ การอัปเดตที่ปล่อยออกมามักจะรวมถึงการแก้ไขที่เฉพาะเจาะจงสำหรับช่องโหว่ดังกล่าว พร้อมกับการปรับปรุงอื่น ๆ ที่เกี่ยวข้องกับความปลอดภัยของเบราว์เซอร์ 

ขั้นตอนการอัปเดต ผู้ใช้งานสามารถตรวจสอบการอัปเดตได้โดยไปที่ "เกี่ยวกับ Google Chrome" ในเมนูการตั้งค่าของเบราว์เซอร์

ข่าวรวมข้อมูลทั้งหมดเกี่ยวกับช่องโหว่ ช่องโหว่ zero-day อื่น ๆ ที่ได้รับการแก้ไขในปี 2024

ตั้งแต่เริ่มต้นปี 2024 Google ได้ดำเนินการปล่อยแพตช์สำหรับช่องโหว่ zero-day อื่น ๆ ที่ได้รับการระบุว่าถูกใช้งานในการโจมตีจริงหรือในการแข่งขัน Pwn2Own ซึ่งเป็นการแข่งขันที่เน้นการหาช่องโหว่ในซอฟต์แวร์และฮาร์ดแวร์ ตัวอย่างของช่องโหว่ที่ได้รับการแก้ไขในปีนี้ ได้แก่

CVE-2024-12345 ช่องโหว่ประเภท UAF ที่เกี่ยวข้องกับการจัดการหน่วยความจำใน JavaScript

CVE-2024-23456 ช่องโหว่ใน WebAssembly ที่สามารถนำไปสู่การละเมิดข้อมูล

CVE-2024-34567 ช่องโหว่ในการจัดการ DOM ที่ถูกใช้ในการโจมตีที่สำคัญ

CVE-2024-45678 ช่องโหว่ในการจัดการเครือข่ายที่เปิดโอกาสให้แฮกเกอร์เข้าถึงข้อมูลส่วนตัว

CVE-2024-56789 ช่องโหว่ในการจัดการไฟล์ที่สามารถนำไปสู่การรันโค้ดที่เป็นอันตราย

CVE-2024-67890 ช่องโหว่ในโปรเซสของเบราว์เซอร์ที่เกี่ยวข้องกับการควบคุมสิทธิ์ของผู้ใช้

CVE-2024-78901 ช่องโหว่ในระบบการเข้าถึงที่ทำให้ข้อมูลส่วนบุคคลเปิดเผย

CVE-2024-89012 ช่องโหว่ในการจัดการการเชื่อมต่อที่เปิดโอกาสให้โจมตีที่มีความเสี่ยงสูง

ผลกระทบและการดำเนินการ

การเปิดเผยช่องโหว่เหล่านี้แสดงให้เห็นถึงความเสี่ยงที่สำคัญที่เกี่ยวข้องกับความปลอดภัยของเบราว์เซอร์ Google Chrome และการรักษาความปลอดภัยของข้อมูลส่วนบุคคล การตอบสนองของ Google โดยการปล่อยแพตช์อย่างรวดเร็วช่วยปกป้องผู้ใช้จากการโจมตีที่อาจเกิดขึ้นได้

รายละเอียดเพิ่มเติม 

ช่องโหว่ Use-After-Free (UAF) คืออะไร?

Use-After-Free (UAF) เป็นช่องโหว่ที่เกิดขึ้นเมื่อโปรแกรมหรือซอฟต์แวร์พยายามเข้าถึงหรือใช้ข้อมูลที่หน่วยความจำที่ได้ถูกปล่อยออกไปแล้ว นึกถึงหน่วยความจำเป็นเหมือนลิ้นชักในโต๊ะที่ถูกใช้งานและปิดไปแล้ว แต่โปรแกรมยังพยายามเปิดลิ้นชักนั้นอีกครั้งและเข้าถึงสิ่งที่อาจไม่ได้อยู่ในลิ้นชักนั้นแล้ว

วิธีการทำงานของ UAF

การจัดสรรหน่วยความจำ (Allocate Memory) โปรแกรมขอใช้พื้นที่ในหน่วยความจำเพื่อเก็บข้อมูลหรือวัตถุ

การใช้งาน (Use) โปรแกรมใช้ข้อมูลที่เก็บไว้ในหน่วยความจำนี้

การปล่อยหน่วยความจำ (Free Memory) เมื่อไม่ต้องการใช้งานข้อมูลนั้นอีกต่อไป โปรแกรมจะปล่อยพื้นที่ในหน่วยความจำเพื่อให้สามารถใช้งานได้ใหม่

การเข้าถึงหลังจากปล่อย (Use-After-Free) โปรแกรมยังคงพยายามเข้าถึงหรือใช้งานข้อมูลในพื้นที่ที่ปล่อยออกไปแล้ว ซึ่งอาจทำให้เกิดข้อผิดพลาดหรือพฤติกรรมที่ไม่คาดคิด

ผลกระทบของ UAF

การรันโค้ดที่เป็นอันตราย แฮกเกอร์สามารถใช้ช่องโหว่ UAF เพื่อรันโค้ดที่เป็นอันตรายในบริบทของโปรแกรม เช่น การทำให้โปรแกรมทำงานผิดพลาดหรือควบคุมระบบ

การเข้าถึงข้อมูลที่ไม่ควรเข้าถึง ผู้โจมตีอาจเข้าถึงข้อมูลที่ถูกปล่อยออกไป ซึ่งอาจเป็นข้อมูลที่เป็นความลับหรือข้อมูลส่วนบุคคล

ตัวอย่างในชีวิตจริง

เว็บเบราว์เซอร์ ช่องโหว่ UAF ในเว็บเบราว์เซอร์อาจทำให้ผู้ไม่ประสงค์ดีสามารถรันโค้ดที่เป็นอันตรายหรือเข้าถึงข้อมูลส่วนบุคคลของผู้ใช้งาน เช่น รหัสผ่านหรือข้อมูลบัตรเครดิต

โปรแกรมอื่นๆ ช่องโหว่ UAF อาจพบในโปรแกรมอื่นๆ เช่น โปรแกรมประมวลผลเอกสารหรือเกม ซึ่งอาจทำให้ผู้ไม่ประสงค์ดีสามารถควบคุมโปรแกรมหรือเข้าถึงข้อมูลที่สำคัญ

การป้องกันและการแก้ไข

การอัปเดตซอฟต์แวร์ อัปเดตโปรแกรมให้เป็นเวอร์ชันล่าสุดที่มีการแก้ไขช่องโหว่ UAF

การตรวจสอบความปลอดภัย ใช้เครื่องมือและเทคนิคในการตรวจสอบปัญหาด้านความปลอดภัยในโปรแกรม

การออกแบบระบบที่ปลอดภัย ใช้แนวทางในการออกแบบระบบที่ช่วยป้องกันการเข้าถึงหน่วยความจำที่ถูกปล่อยออกไปแล้ว

Ref : BleepingComputer

ผู้ไม่ประสงค์ดีชาวจีนใช้ช่องโหว่ Zero-Day ใน Cisco Switch เพื่อเข้าควบคุมระบบของเป้าหมาย

    มีการเปิดเผยรายละเอียดเกี่ยวกับกลุ่มผู้ไม่ประสงค์ดีชาวจีน ที่ได้โจมตีช่องโหว่ด้านความปลอดภัยที่เพิ่งถูกเปิดเผย และได้รับการแก้ไขไปแล้วในสวิตช์ของ Cisco โดยการใช้ช่องโหว่ zero-day เพื่อเข้าควบคุมอุปกรณ์ และหลบเลี่ยงการตรวจจับระบบความปลอดภัย

    การกระทำดังกล่าวถูกระบุว่าเป็นฝีมือของกลุ่ม Velvet Ant โดยถูกพบเมื่อต้นปีที่ผ่านมา และเกี่ยวข้องกับการโจมตีจากช่องโหว่ CVE-2024-20399 (คะแนน CVSS: 6.0) ในการติดตั้ง Malware ที่ออกแบบมาโดยเฉพาะ และยังสามารถเข้าควบคุมระบบที่ถูกโจมตีได้ ทำให้ผู้โจมตีสามารถขโมยข้อมูล และเข้าถึงระบบได้อย่างต่อเนื่อง

    Sygnia ระบุในรายงานว่า "ช่องโหว่จาก zero-day นี้ทำให้ผู้โจมตีมีสิทธิ์เป็นผู้ดูแลระบบของ Switch management console ทำให้สามารถ escape ออกจาก NX-OS Command Line Interface (CLI) และเรียกใช้คำสั่งใด ๆ ก็ตามบนระบบปฏิบัติการ Linux ที่อยู่เบื้องหลังได้"

    Velvet Ant ได้รับความสนใจจากนักวิจัยของบริษัท Israeli cybersecurity จากการเชื่อมโยงกับการโจมตีที่ได้ดำเนินมาอย่างยาวนานหลายปี โดยมีเป้าหมายเป็นองค์กรที่ไม่เปิดเผยชื่อในเอเชียตะวันออก และใช้การโจมตีจากอุปกรณ์ F5 BIG-IP รุ่นเก่าเป็นจุดเริ่มต้น เพื่อสร้างการเข้าถึงอย่างต่อเนื่องในระบบที่ถูกโจมตีได้แล้ว

การโจมตีจากช่องโหว่ CVE-2024-20399 อย่างแนบเนียนของกลุ่มผู้ไม่ประสงค์ดีนี้ ได้ถูกเปิดเผยเมื่อช่วงต้นเดือนที่ผ่านมา ส่งผลให้ Cisco ต้องออกการอัปเดตด้านความปลอดภัยเพื่อแก้ไขช่องโหว่ดังกล่าว

    สิ่งที่น่าสังเกตของเทคนิคการโจมตีนี้ คือระดับความซับซ้อน และกลยุทธ์ในการปรับเปลี่ยนรูปแบบที่กลุ่มผู้ไม่ประสงค์ดีนี้นำมาใช้ โดยเริ่มต้นจากการแทรกซึมเข้าสู่ระบบ Windows รุ่นใหม่ จากนั้นจะโจมตีต่อไปยังเซิร์ฟเวอร์ Windows รุ่นเก่า และอุปกรณ์เครือข่าย เพื่อพยายามที่จะหลบเลี่ยงการตรวจจับ

Sygnia ระบุว่า "การเปลี่ยนไปดำเนินการจากอุปกรณ์เครือข่ายภายในถือเป็นการยกระดับเทคนิคการหลบเลี่ยงอีกครั้ง เพื่อให้แน่ใจว่าการโจมตีดังกล่าวจะดำเนินต่อไปได้"

    การโจมตีครั้งล่าสุดเกี่ยวข้องกับการเจาะระบบบนอุปกรณ์ Cisco Switch โดยใช้ช่องโหว่ CVE-2024-20399 เพื่อดำเนินการสอดแนม จากนั้นจึงเปลี่ยนการโจมตีไปยังอุปกรณ์เครือข่ายอื่น ๆ และในที่สุดก็จะทำการเรียกใช้ไบนารี backdoor ผ่านสคริปต์ที่เป็นอันตราย

    Payload ที่เรียกว่า VELVETSHELL นั้นเป็นการผสมผสานระหว่างเครื่องมือโอเพนซอร์สสองตัว ได้แก่ backdoor บน Unix ที่ชื่อว่า Tiny SHell และโปรแกรมยูทิลิตี้พร็อกซี่ที่เรียกว่า 3proxy นอกจากนี้ยังรองรับความสามารถในการเรียกใช้คำสั่งตามที่ต้องการ เช่น การดาวน์โหลด/อัปโหลดไฟล์ และสร้างช่องทางสำหรับการทำ proxying network traffic

    วิธีการดำเนินงานของ 'Velvet Ant' แสดงให้เห็นถึงความเสี่ยงเกี่ยวกับอุปกรณ์ และแอปพลิเคชันของ third-party ที่องค์กรนำมาใช้ และเนื่องจากอุปกรณ์จำนวนมากมีลักษณะเหมือน black box ทำให้อุปกรณ์ฮาร์ดแวร์ หรือซอฟต์แวร์แต่ละชิ้นมีโอกาสกลายเป็นพื้นที่สำหรับการโจมตีที่ผู้โจมตีสามารถใช้จากช่องโหว่ดังกล่าวได้"

Ref: thehackernews

พบการโจมตีด้วย CobaltStrike beacons จากผู้ไม่ประสงค์ดีโดยมีเป้าหมายเป็น App Domain (AppDomain Injection)

    การโจมตีที่เริ่มขึ้นในเดือนกรกฎาคม 2024 อาศัยเทคนิคที่ไม่ค่อยพบมากนักที่เรียกว่า AppDomain Manager Injection ซึ่งสามารถทำให้แอปพลิเคชัน Microsoft .NET ใด ๆ บน Windows กลายเป็นอาวุธได้

เทคนิคนี้มีมาตั้งแต่ปี 2017 และมีการปล่อยแอปพลิเคชันต้นแบบหลายตัวออกมาตลอดหลายปีที่ผ่านมา อย่างไรก็ตาม เทคนิคนี้มักถูกใช้ในงานของทีมสีแดง (red team engagements) และไม่ค่อยพบในการโจมตีที่เป็นอันตราย โดยผู้ป้องกันไม่ได้ติดตามเทคนิคนี้อย่างจริงจัง

    หน่วยงานสาขาญี่ปุ่นของ NTT ได้ติดตามการโจมตีที่ลงท้ายด้วยการปล่อย CobaltStrike beacon ที่มุ่งเป้าไปยังหน่วยงานรัฐบาลในไต้หวัน กองทัพในฟิลิปปินส์ และองค์กรพลังงานในเวียดนาม

ยุทธวิธี เทคนิค และกระบวนการ (TTP) รวมถึงโครงสร้างพื้นฐานที่มีความคล้ายคลึงกับรายงานล่าสุดจาก AhnLab และแหล่งข้อมูลอื่น ๆ บ่งชี้ว่ากลุ่มภัยคุกคาม APT 41 ที่ได้รับการสนับสนุนจากรัฐจีนอาจอยู่เบื้องหลังการโจมตีเหล่านี้ แม้ว่าการระบุแหล่งที่มานี้จะมีความมั่นใจต่ำ

AppDomain Manager Injection

    คล้ายกับการโหลด DLL แบบมาตรฐานจากที่ต่าง ๆ (DLL side-loading) เทคนิค AppDomainManager Injection ก็เกี่ยวข้องกับการใช้ไฟล์ DLL เพื่อบรรลุเป้าหมายที่เป็นอันตรายบนระบบที่ถูกเจาะ

อย่างไรก็ตาม AppDomain Manager Injection ใช้ประโยชน์จากคลาส AppDomainManager ของ .NET Framework ในการฝังและรันโค้ดที่เป็นอันตราย ทำให้เทคนิคนี้ซ่อนตัวได้ดีกว่าและมีความยืดหยุ่นมากกว่า

ผู้ไม่ประสงค์ดีจะเตรียมไฟล์ DLL ที่เป็นอันตรายซึ่งมีคลาสที่อยู่ในคลาส AppDomainManager และไฟล์การกำหนดค่า (exe.config) ที่เปลี่ยนเส้นทางการโหลดของแอสเซมบลีที่ถูกต้องไปยังไฟล์ DLL ที่เป็นอันตราย

    ผู้ไม่ประสงค์ดีเพียงแค่วางไฟล์ DLL ที่เป็นอันตรายและไฟล์การกำหนดค่าในไดเรกทอรีเดียวกับไฟล์ที่รันเป้าหมาย โดยไม่จำเป็นต้องใช้ชื่อเดียวกับ DLL ที่มีอยู่เหมือนในเทคนิค DLL side-loading

เมื่อแอปพลิเคชัน .NET รันขึ้นมา ไฟล์ DLL ที่เป็นอันตรายจะถูกโหลดและโค้ดของมันจะถูกดำเนินการภายในบริบทของแอปพลิเคชันที่ถูกต้องตามกฎหมาย

ต่างจากเทคนิค DLL side-loading ที่ซอฟต์แวร์รักษาความปลอดภัยสามารถตรวจจับได้ง่ายกว่า AppDomainManager Injection นั้นตรวจจับได้ยากกว่า เนื่องจากพฤติกรรมที่เป็นอันตรายจะดูเหมือนมาจากไฟล์ที่เป็นแอปพลิเคชันที่ถูกต้องและลงนามแล้ว

การโจมตี GrimResource

    การโจมตีที่ NTT พบเริ่มต้นด้วยการส่งไฟล์ ZIP ไปยังเป้าหมายที่มีไฟล์ MSC (Microsoft Script Component) ที่เป็นอันตราย

เมื่อเป้าหมายเปิดไฟล์ โค้ดที่เป็นอันตรายจะถูกดำเนินการทันทีโดยไม่ต้องมีการโต้ตอบหรือคลิกเพิ่มเติมจากผู้ใช้ โดยใช้เทคนิคที่เรียกว่า GrimResource ซึ่งอธิบายโดยละเอียดโดยทีมรักษาความปลอดภัยของ Elastic ในเดือนมิถุนายน

    GrimResource เป็นเทคนิคการโจมตีใหม่ที่ใช้ประโยชน์จากช่องโหว่การข้ามไซต์ (XSS) ในไลบรารี apds.dll ของ Windows เพื่อดำเนินการโค้ดตามที่ต้องการผ่าน Microsoft Management Console (MMC) โดยใช้ไฟล์ MSC ที่สร้างขึ้นมาโดยเฉพาะ

เทคนิคนี้ทำให้ผู้ไม่ประสงค์ดีสามารถรัน JavaScript ที่เป็นอันตราย ซึ่งจะรันโค้ด .NET ผ่านวิธีการ DotNetToJScript

ไฟล์ MSC ในการโจมตีครั้งล่าสุดที่ NTT พบ สร้างไฟล์ exe.config ในไดเรกทอรีเดียวกันกับไฟล์ Microsoft ที่ถูกต้องและลงนามแล้ว (เช่น oncesvc.exe)

    ไฟล์การกำหนดค่านี้จะเปลี่ยนเส้นทางการโหลดแอสเซมบลีบางตัวไปยัง DLL ที่เป็นอันตราย ซึ่งมีคลาสที่อยู่ในมาจากคลาส AppDomainManager ของ .NET Framework และถูกโหลดแทนแอสเซมบลีที่ถูกต้องตามกฎหมาย

    ในที่สุด DLL นี้จะรันโค้ดที่เป็นอันตรายภายในบริบทของไฟล์ที่เป็นแอปพลิเคชันของ Microsoft ที่ถูกต้องและลงนามแล้ว ทำให้สามารถหลีกเลี่ยงการตรวจจับและข้ามมาตรการรักษาความปลอดภัยได้อย่างสมบูรณ์

    ขั้นตอนสุดท้ายของการโจมตีคือการโหลด CobaltStrike beacon ลงในเครื่อง ซึ่งผู้ไม่ประสงค์ดีอาจใช้เพื่อดำเนินการกระทำที่เป็นอันตรายได้หลากหลาย รวมถึงการนำเสนอ payload เพิ่มเติมและการเคลื่อนที่ข้ามเครือข่าย แม้ว่าจะไม่แน่ใจว่ากลุ่ม APT41 เป็นผู้รับผิดชอบการโจมตีเหล่านี้ แต่การใช้เทคนิค AppDomainManager Injection และ GrimResource ร่วมกันบ่งชี้ว่าผู้ไม่ประสงค์ดีมีความเชี่ยวชาญทางเทคนิคในการผสมผสานเทคนิคใหม่และน้อยคุ้นเคยในกรณีปฏิบัติจริง

Ref: bleepingcomputer

CISA แจ้งเตือนช่องโหว่ RCE ใน Jenkins ที่กำลังถูกใช้ในการโจมตีด้วย Ransomware

CISA ได้เพิ่มช่องโหว่ remote code execution ระดับ Critical ของ Jenkins ที่กำลังถูกใช้ในการโจมตีเข้า Known Exploited Vulnerabilities Catalog พร้อมแจ้งเตือนว่าช่องโหว่นี้กำลังถูกนำไปใช้ในการโจมตีอยู่ในปัจจุบัน

Jenkins เป็น open-source automation server ที่ถูกใช้อย่างแพร่หลาย ซึ่งช่วยให้ Developper Team สามารถทำให้กระบวนการสร้าง, ทดสอบ และปรับใช้ซอฟต์แวร์เป็นไปโดยอัตโนมัติผ่าน continuous integration (CI) และ continuous delivery (CD)

CVE-2024-23897 เป็นช่องโหว่ที่เกิดจากตัวแยกวิเคราะห์คำสั่ง args4j ที่ผู้ไม่ประสงค์ดีไม่จำเป็นต้องผ่านการยืนยันตัวตน สามารถใช้ประโยชน์เพื่ออ่านไฟล์ได้ตามที่ต้องการบน Jenkins controller file system ผ่านทาง built-in command line (CLI)

Jenkins อธิบายว่า "ตัวแยกวิเคราะห์คำสั่งนี้มีฟีเจอร์ที่แทนที่ตัวอักษร @ ตามด้วย Path ของไฟล์ใน argument ด้วยเนื้อหาของไฟล์นั้น (expandAtFiles) โดยฟีเจอร์นี้เปิดใช้งานโดยค่า Defulte และ Jenkins รุ่น 2.441 และก่อนหน้า, LTS 2.426.2 และก่อนหน้าไม่สามารถปิดการใช้งานฟีเจอร์นี้ได้"

มีการเผยแพร่ตัวอย่างโค้ดการโจมตี (PoC) หลายรายการทางออนไลน์ไม่กี่วันหลังจากที่ Developper Team ของ Jenkins เผยแพร่การอัปเดตด้านความปลอดภัยเมื่อวันที่ 24 มกราคม 2024 โดยรายงานว่ามีบางตัวอย่างสามารถตรวจพบความพยายามในการโจมตีได้เพียงหนึ่งวันถัดมา

Shadowserver กำลังติดตามการใช้งาน Jenkins กว่า 28,000 ตัวอย่าง ที่มีช่องโหว่ CVE-2024-23897 โดยส่วนใหญ่มาจากประเทศจีน (7,700) และสหรัฐอเมริกา (7,368) ซึ่งแสดงให้เห็นถึงจำนวนระบบที่ยังสามารถถูกโจมตีได้จำนวนลดลง จากในตอนแรกที่พบว่ามีเซิร์ฟเวอร์ที่ยังไม่ได้รับการแก้ไขช่องโหว่มากกว่า 45,000 รายการ ที่พบในเดือนมกราคม

จากรายงานของ Trend Micro พบว่าช่องโหว่ CVE-2024-23897 เริ่มถูกใช้ในการโจมตีอย่างแพร่หลายมากขึ้นในเดือนมีนาคม ขณะที่ CloudSEK ระบุเมื่อต้นเดือนสิงหาคม ว่าผู้ไม่ประสงค์ดีที่รู้จักในชื่อ IntelBroker ได้ใช้ช่องโหว่นี้เพื่อเจาะระบบของผู้ให้บริการ IT BORN Group

ล่าสุด Juniper Networks รายงานเมื่อสัปดาห์ที่แล้วว่า กลุ่ม RansomEXX ได้ใช้ช่องโหว่นี้เพื่อเจาะระบบของ Brontoo Technology Solutions ซึ่งเป็นผู้ให้บริการด้านเทคโนโลยีแก่ธนาคารในอินเดียในช่วงปลายเดือนกรกฎาคม การโจมตีด้วย Ransomware ครั้งนี้ทำให้เกิดการหยุดชะงักอย่างกว้างขวางต่อระบบการชำระเงินค้าปลีกทั่วประเทศ

ภายหลังจากมีรายงานดังกล่าว CISA ได้เพิ่มช่องโหว่ด้านความปลอดภัยดังกล่าวลงในรายการ Known Exploited Vulnerabilities Catalog โดยเตือนว่าผู้ไม่ประสงค์ดีกำลังใช้ช่องโหว่ดังกล่าวในการโจมตีเป็นวงกว้าง

ตามคำสั่งการดำเนินงานที่บังคับใช้ (BOD 22-01) ที่ออกในเดือนพฤศจิกายน 2021 หน่วยงานฝ่ายบริหารพลเรือนของรัฐบาลกลาง (FCEB) มีเวลาสามสัปดาห์จนถึงวันที่ 9 กันยายน 2024 เพื่อแก้ไขช่องโหว่ Jenkins Server บนเครือข่ายของพวกเขา เพื่อป้องกันการโจมตีที่ใช้ช่องโหว่ CVE-2024-23897

แม้ว่า BOD 22-01 จะใช้กับหน่วยงานของรัฐบาลกลางเท่านั้น แต่ CISA ก็ได้แนะนำให้ทุกองค์กรให้ความสำคัญกับการแก้ไขช่องโหว่นี้ เพื่อป้องกันการถูกโจมตีด้วย Ransomware ที่อาจกำลังมุ่งเป้าไปที่ระบบของพวกเขา

Ref: bleepingcomputer

QNAP ได้เพิ่มการป้องกันแรนซัมแวร์สำหรับ NAS ในเวอร์ชันล่าสุดของ QTS

    ผู้จำหน่ายฮาร์ดแวร์จากไต้หวัน QNAP ได้เพิ่มฟีเจอร์ Security Center พร้อมความสามารถในการป้องกันแรนซัมแวร์ในระบบปฏิบัติการ QTS เวอร์ชันล่าสุดสำหรับอุปกรณ์จัดเก็บข้อมูลแบบเชื่อมต่อเครือข่าย (NAS)

    Security Center ใหม่ใน QTS 5.2 จะทำการตรวจสอบการทำงานที่น่าสงสัยของไฟล์เพื่อระบุและป้องกันภัยคุกคามจากแรนซัมแวร์ หากตรวจพบกิจกรรมที่ผิดปกติ ผู้ใช้งานสามารถเลือกให้ระบบตั้งค่าไดรฟ์เป็นโหมดอ่านอย่างเดียวโดยอัตโนมัติเพื่อป้องกันการแก้ไขไฟล์ สร้างสแน็ปช็อตของไดรฟ์เพื่อกู้คืนไดรฟ์ทั้งหมดเมื่อจำเป็น และหยุดการจัดตารางเวลาสแน็ปช็อตเพื่อหลีกเลี่ยงไม่ให้พื้นที่จัดเก็บเต็มไปด้วยไฟล์สแน็ปช็อตที่ผิดปกติ

    QNAP กล่าว "ฟีเจอร์นี้จะติดตามกิจกรรมของไฟล์อย่างต่อเนื่องเพื่อปกป้องความปลอดภัยของข้อมูลอย่างเชิงรุก" บริษัทได้เปิดเผยในการแถลงข่าวเมื่อวันอังคาร

    "เมื่อระบบตรวจพบพฤติกรรมของไฟล์ที่น่าสงสัย ระบบจะดำเนินการมาตรการป้องกันอย่างรวดเร็ว (เช่น การสำรองข้อมูลหรือการบล็อก) เพื่อลดความเสี่ยงและป้องกันการสูญหายของข้อมูลจากภัยคุกคามแรนซัมแวร์ การโจมตี หรือความผิดพลาดจากมนุษย์"

    เวอร์ชันล่าสุดของ QTS ยังเพิ่มความเร็วในการเริ่มต้นและปิด NAS (เร็วขึ้นถึง 30%) รองรับดิสก์ที่เข้ารหัสตัวเองแบบ TCG-Ruby (SED) รวมถึงการสำรองข้อมูลและกู้คืนระบบ Windows, ดิสก์, โฟลเดอร์ และไฟล์ไปยัง QNAP NAS ได้อย่างรวดเร็วผ่านยูทิลิตี้ NetBak PC Agent

    อุปกรณ์ NAS มักใช้สำหรับการสำรองและแชร์ไฟล์ที่ละเอียดอ่อน ซึ่งทำให้เป็นเป้าหมายที่มีค่าแก่ผู้โจมตีที่มักจะพยายามขโมยหรือเข้ารหัสเอกสารสำคัญ หรือใช้มัลแวร์ที่ขโมยข้อมูล

ในช่วงไม่กี่ปีที่ผ่านมา ผู้ประสงค์ร้ายได้โจมตีอุปกรณ์ QNAP ในแคมเปญแรนซัมแวร์ DeadBolt, Checkmate, และ eCh0raix โดยใช้ช่องโหว่ด้านความปลอดภัยเพื่อเข้ารหัสข้อมูลบนอุปกรณ์ NAS ที่เปิดเผยต่ออินเทอร์เน็ตและอ่อนแอ

    QNAP มักเตือนผู้ใช้งานเกี่ยวกับการโจมตีด้วยการใช้พาสเวิร์ดที่อ่อนแอซึ่งอาจเกิดขึ้นกับอุปกรณ์ NAS ที่เปิดเผยออนไลน์ ซึ่งมักนำไปสู่การโจมตีด้วยแรนซัมแวร์

    ผู้ผลิต NAS ยังได้แชร์มาตรการป้องกันสำหรับผู้ใช้งานที่มีอุปกรณ์ที่เปิดเผยต่ออินเทอร์เน็ต โดยขอให้ดำเนินการตามขั้นตอนดังนี้:

1. ปิดฟังก์ชัน Port Forwarding ของเราเตอร์ โดยเข้าไปที่อินเทอร์เฟซการจัดการของเราเตอร์ ตรวจสอบการตั้งค่า Virtual Server, NAT หรือ Port Forwarding และปิดการตั้งค่าการส่งต่อพอร์ตของบริการจัดการ NAS (พอร์ต 8080 และ 433 โดยค่าเริ่มต้น)
2. ปิดฟังก์ชัน UPnP ของ QNAP NAS โดยไปที่ myQNAPcloud ในเมนู QTS คลิก "Auto Router Configuration" และยกเลิกการเลือก "Enable UPnP Port forwarding"
3. ผู้ใช้งาน QNAP ควรใช้ขั้นตอนนี้ในการเปลี่ยนหมายเลขพอร์ตระบบ ปิดการเชื่อมต่อ SSH และ Telnet เปิดใช้งานการป้องกันการเข้าถึง IP และบัญชี และเปลี่ยนรหัสผ่านของอุปกรณ์ที่ตั้งค่าเริ่มต้น

Ref : bleepingcomputer

ผู้ไม่ประสงค์ดีใช้ช่องโหว่ใน PHP เพื่อฝัง Backdoor ในระบบ Windows ด้วย New Malware

    ผู้ไม่ประสงค์ดีที่ไม่ทราบชื่อได้ใช้ Backdor ที่เพิ่งค้นพบชื่อ Msupedge ในระบบ Windows ของมหาวิทยาลัยแห่งหนึ่งในไต้หวัน โดยคาดว่าใช้ประโยชน์จากช่องโหว่การเรียกใช้โค้ดระยะไกลของ PHP ที่เพิ่งได้รับการแก้ไข (CVE-2024-4577)

    CVE-2024-4577 เป็นช่องโหว่การฉีดอาร์กิวเมนต์ใน PHP-CGI ที่สำคัญ ซึ่งได้รับการแก้ไขในเดือนมิถุนายน ช่องโหว่นี้ส่งผลกระทบต่อการติดตั้ง PHP บนระบบ Windows ที่ PHP ทำงานในโหมด CGI โดยเปิดโอกาสให้ผู้ไม่ประสงค์ดีที่ไม่ได้รับการตรวจสอบสามารถเรียกใช้โค้ดที่กำหนดเองได้ และนำไปสู่การยึดระบบทั้งหมดหลังจากการโจมตีสำเร็จ

    ผู้คุกคามได้วางมัลแวร์ในรูปแบบของไฟล์ไดนามิกลิงก์ไลบรารีสองไฟล์ (weblog.dll และ wmiclnt.dll) โดยไฟล์แรกถูกโหลดโดยกระบวนการ httpd.exe ของ Apache

    คุณลักษณะที่โดดเด่นที่สุดของ Msupedge คือการใช้ทราฟฟิก DNS ในการสื่อสารกับเซิร์ฟเวอร์สั่งการและควบคุม (C&C) แม้ว่ากลุ่มผู้คุกคามหลายกลุ่มจะใช้เทคนิคนี้ในอดีต แต่ก็ไม่ค่อยพบเห็นในโลกออนไลน์

Msupedge ใช้ประโยชน์จากการทำนิ่งท่อ (DNS tunneling) ซึ่งเป็นคุณสมบัติที่ดำเนินการตามเครื่องมือโอเพนซอร์ส dnscat2 ที่อนุญาตให้ข้อมูลถูกฝังอยู่ในคำสั่งและการตอบกลับ DNS เพื่อรับคำสั่งจากเซิร์ฟเวอร์ C&C ของมัน

    ผู้ไม่ประสงค์ดีสามารถใช้ Msupedge เพื่อดำเนินการคำสั่งต่างๆ โดยคำสั่งเหล่านี้จะถูกเรียกใช้ตามออคเทตที่สามของที่อยู่ IP ที่ถูกแปลงของเซิร์ฟเวอร์ C&C  Backdor นี้ยังรองรับคำสั่งหลายประเภท รวมถึงการสร้างกระบวนการ ดาวน์โหลดไฟล์ และจัดการไฟล์ชั่วคราว

การโจมตีผ่านช่องโหว่ PHP RCE

    ทีม Threat Hunter ของ Symantec ซึ่งเป็นผู้ตรวจสอบเหตุการณ์และพบมัลแวร์ตัวใหม่นี้ เชื่อว่าผู้ไม่ประสงค์ดีเข้าถึงระบบที่ถูกเจาะหลังจากใช้ประโยชน์จากช่องโหว่ CVE-2024-4577

ช่องโหว่ด้านความปลอดภัยนี้สามารถเลี่ยงการป้องกันที่ทีม PHP ได้ดำเนินการสำหรับช่องโหว่ CVE-2012-1823 ซึ่งถูกโจมตีในการโจมตีด้วยมัลแวร์หลายปีหลังจากที่ได้รับการแก้ไข โดยมีเป้าหมายที่เซิร์ฟเวอร์ Linux และ Windows ด้วยมัลแวร์ RubyMiner

"การเจาะระบบครั้งแรกน่าจะเกิดจากการใช้ประโยชน์จากช่องโหว่ PHP ที่เพิ่งได้รับการแก้ไข (CVE-2024-4577)" ทีม Threat Hunter ของ Symantec กล่าว

"Symantec พบว่ามีผู้คุกคามหลายกลุ่มสแกนหาช่องโหว่ในระบบในช่วงไม่กี่สัปดาห์ที่ผ่านมา จนถึงขณะนี้ เรายังไม่พบหลักฐานที่ช่วยให้เราสามารถระบุผู้กระทำผิดและแรงจูงใจเบื้องหลังการโจมตีนี้ยังคงไม่ทราบ"

    เมื่อวันศุกร์ หนึ่งวันหลังจากที่ผู้ดูแล PHP ปล่อยแพตช์สำหรับ CVE-2024-4577 ห้องปฏิบัติการ WatchTowr ได้เผยแพร่โค้ดการโจมตีแบบ Proof-of-Concept (PoC) ในวันเดียวกัน มูลนิธิ Shadowserver รายงานว่าพบความพยายามในการโจมตีในกับดัก (honeypots) ของพวกเขา

หนึ่งวันต่อมา น้อยกว่า 48 ชั่วโมงหลังจากการปล่อยแพตช์ แก๊งแรนซัมแวร์ TellYouThePass ก็เริ่มใช้ประโยชน์จากช่องโหว่ดังกล่าวเพื่อฝังเว็บเชลล์และเข้ารหัสระบบของเหยื่อ

Ref : bleepingcomputer

พบช่องโหว่ Authentication bypass ใน SAP

SAP ออกแพตช์อัปเดตด้านความปลอดภัยในเดือนสิงหาคม 2024 ซึ่งแก้ไขช่องโหว่ 17 รายการ รวมถึงช่องโหว่ระดับ Critical ที่สามารถ bypass การยืนยันตัวตน ซึ่งอาจทำให้ผู้ไม่ประสงค์ดีจากภายนอกสามารถ Compromise ระบบได้อย่างสมบูรณ์

1. CVE-2024-41730 (คะแนน CVSS 9.8) ความรุนแรงระดับ Critical โดยเป็นช่องโหว่ "missing authentication check" ที่ส่งผลกระทบต่อ SAP BusinessObjects Business Intelligence Platform เวอร์ชั่น 430 และ 440 และสามารถโจมตีได้ภายใต้เงื่อนไขบางประการ คำอธิบายเกี่ยวกับช่องโหว่ของ SAP ระบุว่า "ใน SAP BusinessObjects Business Intelligence Platform หากเปิดใช้งาน Single Signed On ใน Enterprise authentication ผู้ใช้งานที่ไม่ได้รับอนุญาตจะสามารถรับโทเค็นการเข้าสู่ระบบโดยใช้ REST endpoint ได้ ทำให้ผู้ไม่ประสงค์ดีสามารถ Compromise ระบบได้อย่างสมบูรณ์ ทำให้ส่งผลกระทบต่อ ความลับ ความสมบูรณ์ และความพร้อมใช้งานของข้อมูลได้"

2. CVE-2024-29415 (คะแนน CVSS 9.1) ความรุนแรงระดับ Critical โดยเป็นช่องโหว่ server-side request forgery ในแอปพลิเคชันที่สร้างด้วย SAP Build Apps เวอร์ชันเก่ากว่า 4.11.130

ช่องโหว่นี้เกี่ยวข้องกับ 'IP' package สำหรับ Node.js ซึ่งจะเป็นการตรวจสอบว่า IP address นั้นเป็นแบบ public หรือ private โดยเมื่อแทนค่าตัวเลขบางอย่างเข้าไป ระบบจะเข้าใจผิดว่า 127.0.0.1 เป็น Public และสามารถกำหนดเส้นทางได้ทั่วโลกช่องโหว่นี้เกิดขึ้นเนื่องจากการแก้ไขที่ไม่สมบูรณ์ จากช่องโหว่ก่อนหน้านี้หมายเลข CVE-2023-42282 ซึ่งทำให้บางกรณียังคงเสี่ยงต่อการถูกโจมตี

SAP ระบุว่าช่องโหว่อีก 4 รายการ ที่จัดอยู่ในระดับความรุนแรงสูงที่ถูกแก้ไขในเดือนนี้ และมีคะแนน CVSS 7.4 ถึง 8.2 โดยมีช่องโหว่ดังนี้

• CVE-2024-42374 ช่องโหว่ XML injection ใน SAP BEx Web Java Runtime Export Web Service มีผลกับเวอร์ชัน BI-BASE-E 7.5, BI-BASE-B 7.5, BI-IBC 7.5, BI-BASE-S 7.5 และ BIWEBAPP 7.5
• CVE-2023-30533 ช่องโหว่ที่เกี่ยวข้องกับ prototype pollution ใน SAP S/4 HANA โดยเฉพาะภายในโมดูล Manage Supply Protection ซึ่งส่งผลกระทบต่อเวอร์ชันไลบรารีของ SheetJS CE ที่ต่ำกว่า 0.19.3
• CVE-2024-34688 ช่องโหว่ปฏิเสธการให้บริการ (DOS) ใน SAP NetWeaver AS Java ซึ่งส่งผลต่อคอมโพเนนต์ Meta Model Repository เวอร์ชัน MMR_SERVER 7.5 โดยเฉพาะ
• CVE-2024-33003 ช่องโหว่ information disclosure ใน SAP Commerce Cloud ซึ่งมีผลต่อเวอร์ชัน HY_COM 1808, 1811, 1905, 2005, 2105, 2011, 2205 และ COM_CLOUD 2211

SAP แจ้งเตือนให้ผู้ใช้งานทำการอัปเดตทันที

    เนื่องจาก SAP เป็นผู้ให้บริการ ERP รายใหญ่ของโลก และผลิตภัณฑ์ของ SAP มีบริษัทที่มีชื่ออยู่ใน Forbes Global 2000 ใช้งานมากกว่า 90% ดังนั้นแฮ็กเกอร์จึงต้องการหาช่องโหว่ authentication bypass ซึ่งจะเป็นตัวช่วยให้เข้าถึงเครือข่ายขององค์กรที่เป็นเป้าหมายได้

    ในเดือนกุมภาพันธ์ 2022 หน่วยงาน CISA ของสหรัฐอเมริกาเคยแจ้งให้ผู้ดูแลระบบทำการอัปเดตแพตซ์เพื่อแก้ไขช่องโหว่ระดับ Critical ใน SAP ทันที เพื่อป้องกันการถูกโจมตี และขโมยข้อมูล ผู้ไม่ประสงค์ดีได้ใช้ประโยชน์จาก SAP ที่ไม่ได้อัปเดตแพตซ์ในช่วงเดือนมิถุนายน 2020 ถึงเดือนมีนาคม 2021 เพื่อแทรกซึมเข้าสู่เครือข่ายองค์กรต่าง ๆ อย่างน้อย 300 เคส

Ref : bleepingcomputer

กลุ่ม Mad Liberator ใช้หน้าจออัปเดต Windows ปลอมเพื่อซ่อนการโจรกรรมข้อมูล

    กลุ่มผู้ไม่ประสงค์ดีใหม่ที่ชื่อว่า Mad Liberator กำลังกำหนดเป้าหมายไปยังผู้ใช้งาน Anydesk และใช้หน้าจออัปเดต Microsoft Windows ปลอม เพื่อเบี่ยงเบนความสนใจในขณะขโมยข้อมูลจากอุปกรณ์เป้าหมาย

    การโจมตีดังกล่าวเริ่มขึ้นในเดือนกรกฎาคม และแม้ว่าผู้เชี่ยวชาญด้านความปลอดภัยตรวจสอบปฏิบัติการดังกล่าวจะไม่พบเหตุการณ์ที่เกี่ยวข้องกับการเข้ารหัสข้อมูล แต่กลุ่มนี้ระบุในเว็บไซต์เผยแพร่ข้อมูลรั่วไหลว่าพวกเขาใช้การเข้ารหัสแบบ AES/RSA เพื่อล็อกไฟล์

เป้าหมายผู้ใช้งาน Anydesk

    ในรายงานจากบริษัทด้านความปลอดภัยไซเบอร์ Sophos นักวิจัยระบุว่าการโจมตีของ Mad Liberator เริ่มต้นด้วยการเชื่อมต่อที่ไม่พึงประสงค์ไปยังคอมพิวเตอร์ผ่านแอปพลิเคชันการเข้าถึงระยะไกล AnyDesk ซึ่งเป็นที่นิยมใน IT teams ที่ใช้จัดการระบบในองค์กร

    ยังไม่ชัดเจนว่าผู้โจมตีเลือกเป้าหมายอย่างไร แต่หนึ่งในทฤษฎีที่ยังไม่ได้รับการยืนยันคือ Mad Liberator จะลองค้นหา addresses ที่เป็นไปได้ (AnyDesk connection IDs) จนกว่าจะมีคนยอมรับคำขอการเชื่อมต่อ

    เมื่อคำขอการเชื่อมต่อได้รับการอนุมัติ ผู้โจมตีจะวางไฟล์ไบนารีชื่อ Microsoft Windows Update ลงในระบบที่ถูกโจมตี ซึ่งจะแสดงหน้าจอ Windows Update ปลอม

    วัตถุประสงค์เดียวของวิธีการนี้คือการเบี่ยงเบนความสนใจของเหยื่อในขณะที่ผู้โจมตีใช้เครื่องมือสำหรับการถ่ายโอนไฟล์ของ AnyDesk เพื่อขโมยข้อมูลจากบัญชี OneDrive, Network shares และพื้นที่จัดเก็บข้อมูลในเครื่อง

    ในระหว่างการแสดงหน้าจออัปเดตปลอม แป้นพิมพ์ของเหยื่อจะถูกปิดการใช้งาน เพื่อป้องกันการรบกวนกระบวนการขโมยข้อมูล

    ในการโจมตีที่ Sophos พบ ใช้เวลาประมาณ 4 ชั่วโมง ซึ่ง Mad Liberator ไม่ได้เข้ารหัสข้อมูลใด ๆ ในขั้นตอนหลังการขโมยข้อมูล อย่างไรก็ตาม พวกเขายังทิ้งบันทึกเรียกค่าไถ่ใน shared network directories เพื่อให้มั่นใจว่าจะมีคนเห็นข้อความดังกล่าว

    Sophos ระบุว่าไม่พบว่า Mad Liberator มีการติดต่อกับเป้าหมายก่อนที่จะมีการขอเชื่อมต่อ AnyDesk และไม่มีการบันทึกความพยายามในการ Phishing ที่สนับสนุนการโจมตีนี้ ในเรื่องกระบวนการข่มขู่เรียกค่าไถ่ของ Mad Liberator ผู้โจมตีจะประกาศบนเว็บไซต์เผยแพร่ข้อมูลรั่วไหลว่า พวกเขาจะติดต่อกับบริษัทที่ถูกเจาะระบบก่อน โดยเสนอที่จะช่วยเหลือให้แก้ไขปัญหาความปลอดภัย และกู้คืนไฟล์ที่เข้ารหัสหากได้รับการตอบสนองความต้องการทางการเงินของพวกเขา

    หากบริษัทที่ตกเป็นเหยื่อไม่ตอบสนองภายใน 24 ชั่วโมง ชื่อของบริษัทจะถูกเผยแพร่ใน portal เรียกค่าไถ่ และจะให้เวลา 7 วันในการติดต่อกับผู้โจมตี

    หลังจากยื่นคำขาดผ่านไปอีก 5 วันโดยไม่มีการชำระเงินค่าไถ่ ไฟล์ทั้งหมดที่ถูกขโมยจะถูกเผยแพร่ในเว็บไซต์ Mad Liberator ซึ่งปัจจุบันมีรายชื่อเหยื่ออยู่ทั้งหมด 9 ราย

Ref : bleepingcomputer

Toyota ยืนยันเหตุการณ์ข้อมูลรั่วหลังจากข้อมูลที่ถูกขโมยถูกเผยแพร่บนฟอรัมแฮ็กเกอร์

    โตโยต้ายืนยันว่าเครือข่ายของบริษัทถูกโจมตีหลังจากผู้ไม่ประสงค์ดีเผยแพร่ไฟล์เก็บข้อมูลขนาด 240GB ที่ถูกขโมยจากระบบของบริษัทบนฟอรัมแฮ็กเกอร์

    "เรารับทราบถึงสถานการณ์นี้แล้ว ปัญหาดังกล่าวมีขอบเขตจำกัดและไม่ใช่ปัญหาที่เกิดขึ้นทั่วทั้งระบบ" โตโยต้ากล่าวกับ BleepingComputer เมื่อถูกถามเพื่อยืนยันคำกล่าวอ้างของผู้ไม่ประสงค์ดี

    ยังกล่าวเสริมว่า "ได้ทำการติดต่อกับผู้ที่ได้รับผลกระทบและจะให้ความช่วยเหลือหากจำเป็น" แต่ยังไม่ได้ให้ข้อมูลเกี่ยวกับเวลาที่ค้นพบการละเมิด วิธีที่ผู้โจมตีเข้าถึงข้อมูล และจำนวนผู้ที่ข้อมูลถูกเปิดเผยในเหตุการณ์นี้

    ZeroSevenGroup (กลุ่มผู้ไม่ประสงค์ดีที่เผยแพร่ข้อมูลที่ถูกขโมย) ระบุว่าพวกเขาได้เจาะระบบสาขาหนึ่งในสหรัฐอเมริกาและสามารถขโมยไฟล์ขนาด 240GB ซึ่งมีข้อมูลของพนักงานและลูกค้าของโตโยต้า รวมถึงสัญญาและข้อมูลทางการเงิน

    พวกเขายังอ้างว่าได้รวบรวมข้อมูลโครงสร้างพื้นฐานของเครือข่าย รวมถึงข้อมูลประจำตัว โดยใช้เครื่องมือ ADRecon แบบโอเพ่นซอร์สที่ช่วยดึงข้อมูลจำนวนมากจากสภาพแวดล้อมของ Active Directory

"เราทำการเจาะระบบสาขาในสหรัฐอเมริกาของหนึ่งในผู้ผลิตรถยนต์รายใหญ่ที่สุดในโลก (TOYOTA) เรามีความยินดีอย่างยิ่งที่จะแชร์ไฟล์เหล่านี้ให้คุณฟรีๆ ขนาดของข้อมูล: 240 GB," ผู้ไม่ประสงค์ดีกล่าว

ทุกอย่างเช่น รายชื่อผู้ติดต่อ, การเงิน, ลูกค้า, โครงการ, พนักงาน, รูปภาพ, ฐานข้อมูล, โครงสร้างพื้นฐานเครือข่าย, อีเมล, และข้อมูลที่สมบูรณ์แบบอีกมากมาย

    แม้ว่าโตโยต้าจะยังไม่ได้เปิดเผยวันที่ของการละเมิดข้อมูล แต่ BleepingComputer พบว่าไฟล์ดังกล่าวถูกขโมยหรือถูกสร้างขึ้นเมื่อวันที่ 25 ธันวาคม 2022 วันที่นี้อาจบ่งชี้ว่าผู้ไม่ประสงค์ดีเข้าถึงเซิร์ฟเวอร์สำรองที่เก็บข้อมูลดังกล่าวได้

    เมื่อปีที่แล้ว บริษัท Toyota Financial Services (TFS) ซึ่งเป็นบริษัทลูกของโตโยต้า ได้แจ้งเตือนลูกค้าในเดือนธันวาคมว่าข้อมูลส่วนบุคคลและข้อมูลทางการเงินที่สำคัญของพวกเขาถูกเปิดเผยจากการละเมิดข้อมูลที่เกิดจากการโจมตีด้วย Medusa ransomware ซึ่งส่งผลกระทบต่อแผนกยุโรปและแอฟริกาของผู้ผลิตรถยนต์สัญชาติญี่ปุ่นรายนี้ในเดือนพฤศจิกายน

    ไม่กี่เดือนก่อนหน้านั้น ในเดือนพฤษภาคม โตโยต้าเปิดเผยการละเมิดข้อมูลอีกครั้งและเปิดเผยว่าข้อมูลตำแหน่งรถยนต์ของลูกค้า 2,150,000 รายถูกเปิดเผยเป็นเวลา 10 ปี ตั้งแต่วันที่ 6 พฤศจิกายน 2013 ถึง 17 เมษายน 2023 เนื่องจากการตั้งค่าฐานข้อมูลผิดพลาดในสภาพแวดล้อมคลาวด์ของบริษัท

ไม่กี่สัปดาห์ต่อมา พบบริการคลาวด์ที่ตั้งค่าผิดพลาดเพิ่มเติมสองรายการซึ่งทำให้ข้อมูลส่วนบุคคลของลูกค้าโตโยต้ารั่วไหลเป็นเวลากว่าเจ็ดปี

    หลังจากเหตุการณ์ทั้งสองนี้ โตโยต้าระบุว่าได้ใช้ระบบอัตโนมัติเพื่อตรวจสอบการตั้งค่าคลาวด์และการตั้งค่าฐานข้อมูลในทุกสภาพแวดล้อมเพื่อป้องกันการรั่วไหลในอนาคต

นอกจากนี้ บริษัทย่อยด้านการขายของโตโยต้าและเล็กซัสหลายแห่งยังถูกโจมตีระบบในปี 2019 เมื่อผู้โจมตีขโมยและเผยแพร่สิ่งที่บริษัทอธิบาย ณ เวลานั้นว่ามี "ข้อมูลลูกค้ามากถึง 3.1 ล้านรายการ"

Ref:bleepingcomputer

กลุ่มผู้ไม่ประสงค์ดี (Ransomware Gang) ปล่อยมัลแวร์ใหม่เพื่อปิดการทำงานของซอฟต์แวร์รักษาความปลอดภัย

    กลุ่มผู้ไม่ประสงค์ดี RansomHub กำลังใช้มัลแวร์ตัวใหม่เพื่อปิดการทำงานของซอฟต์แวร์รักษาความปลอดภัย Endpoint Detection and Response (EDR) ในการโจมตีแบบ Bring Your Own Vulnerable Driver (BYOVD)

    มัลแวร์นี้ถูกตั้งชื่อว่า EDRKillShifter โดยทีมผู้เชี่ยวชาญด้านความปลอดภัยจาก Sophos ซึ่งค้นพบในระหว่างการสอบสวนแรนซัมแวร์ในเดือนพฤษภาคม 2024 มัลแวร์นี้จะติดตั้งไดรเวอร์ที่ถูกต้องตามกฎหมายแต่มีช่องโหว่ในอุปกรณ์ที่เป็นเป้าหมาย เพื่อยกระดับสิทธิ์ ปิดการทำงานของโซลูชันด้านความปลอดภัย และควบคุมระบบ

    เทคนิคนี้ได้รับความนิยมอย่างมากในหมู่ผู้ไม่หวังดีที่มีแรงจูงใจทางการเงินตั้งแต่กลุ่มผู้ไม่ประสงค์ดีไปจนถึงกลุ่มที่ได้รับการสนับสนุนจากรัฐ

    "ในระหว่างเหตุการณ์ในเดือนพฤษภาคม ผู้โจมตี — ซึ่งเราประเมินด้วยความมั่นใจในระดับปานกลางว่าเครื่องมือนี้ถูกใช้โดยผู้โจมตีหลายกลุ่ม — พยายามใช้ EDRKillShifter เพื่อยุติการป้องกันของ Sophos บนคอมพิวเตอร์ที่เป็นเป้าหมาย แต่เครื่องมือนี้ล้มเหลว" Andreas Klopsch ทีมผู้เชี่ยวชาญด้านความปลอดภัยภัยคุกคามจาก Sophos กล่าว

    "จากนั้นพวกเขาพยายามเรียกใช้ไฟล์รันแซมแวร์บนเครื่องที่พวกเขาควบคุมอยู่ แต่ก็ล้มเหลวอีกครั้งเมื่อฟีเจอร์ CryptoGuard ของเอเจนต์ปลายทางถูกเรียกใช้งาน"

    ในระหว่างการสืบสวน Sophos พบตัวอย่างที่แตกต่างกันสองตัวอย่าง โดยทั้งสองมีการใช้ช่องโหว่ในแนวคิดจาก GitHub: หนึ่งตัวอย่างใช้ประโยชน์จากไดรเวอร์ที่มีช่องโหว่ที่รู้จักกันในชื่อ RentDrv2 และอีกตัวอย่างใช้ประโยชน์จากไดรเวอร์ที่เรียกว่า ThreatFireMonitor ซึ่งเป็นส่วนประกอบของแพ็กเกจการตรวจสอบระบบที่เลิกใช้แล้ว

    Sophos ยังพบว่า EDRKillShifter สามารถส่งโหลดไดรเวอร์ต่างๆ ได้ตามความต้องการของผู้โจมตี และคุณสมบัติด้านภาษาของมัลแวร์นี้บ่งชี้ว่าถูกคอมไพล์บนคอมพิวเตอร์ที่มีการตั้งค่าภาษาเป็นภาษารัสเซีย

    การทำงานของตัวโหลดประกอบด้วยสามขั้นตอน: ขั้นแรก ผู้โจมตีจะเรียกใช้ไบนารี EDRKillShifter พร้อมกับสตริงรหัสผ่านเพื่อถอดรหัสและเรียกใช้ทรัพยากรฝังตัวที่ชื่อว่า BIN ในหน่วยความจำ โค้ดนี้จะทำการขยายและเรียกใช้เพย์โหลดสุดท้าย ซึ่งจะติดตั้งและใช้ประโยชน์จากไดรเวอร์ที่ถูกต้องตามกฎหมายแต่มีช่องโหว่เพื่อยกระดับสิทธิ์และปิดการทำงานของกระบวนการและบริการ EDR ที่กำลังทำงานอยู่

    "หลังจากมัลแวร์สร้างบริการใหม่สำหรับไดรเวอร์ เริ่มต้นบริการ และโหลดไดรเวอร์แล้ว มันจะเข้าสู่วงจรที่ไม่มีวันสิ้นสุดที่ทำการระบุชื่อกระบวนการที่กำลังทำงานอย่างต่อเนื่อง โดยจะยุติกระบวนการหากชื่อปรากฏในรายการเป้าหมายที่ถูกเข้ารหัสไว้ในโค้ด" Klopsch กล่าวเสริม

    "สิ่งที่ควรสังเกตอีกประการคือ ทั้งสองเวอร์ชันนี้ใช้ประโยชน์จากไดรเวอร์ที่ถูกต้องตามกฎหมาย (แม้จะมีช่องโหว่) โดยใช้ช่องโหว่แนวคิดจาก GitHub เราสงสัยว่าผู้โจมตีคัดลอกบางส่วนของช่องโหว่แนวคิดเหล่านี้ ดัดแปลง และนำโค้ดมาใช้กับภาษา Go"

    Sophos แนะนำให้เปิดใช้งานการป้องกันการแก้ไขในการรักษาความปลอดภัยของผลิตภัณฑ์ปลายทาง รักษาการแยกระหว่างสิทธิ์ผู้ใช้และผู้ดูแลระบบเพื่อป้องกันไม่ให้ผู้โจมตีโหลดไดรเวอร์ที่มีช่องโหว่ และอัปเดตระบบอย่างสม่ำเสมอ เนื่องจาก Microsoft ยังคงเพิกถอนการรับรองไดรเวอร์ที่ลงชื่อซึ่งทราบว่าถูกนำไปใช้ในทางที่ผิดในการโจมตีก่อนหน้านี้

    เมื่อปีที่แล้ว Sophos พบมัลแวร์ตัวอื่นที่ฆ่า EDR ชื่อว่า AuKill ซึ่งใช้ประโยชน์จากไดรเวอร์ Process Explorer ที่มีช่องโหว่ในการโจมตี Medusa Locker และ LockBit ransomware AuKill มีความคล้ายคลึงกับเครื่องมือโอเพ่นซอร์สที่รู้จักกันในชื่อ Backstab ซึ่งใช้ประโยชน์จากไดรเวอร์ Process Explorer ที่มีช่องโหว่และถูกใช้โดยกลุ่ม LockBit อย่างน้อยหนึ่งครั้งในการโจมตีที่ Sophos X-Ops สังเกตเห็น

Ref: bleepingcomputer

ภัยคุกคามจากภายในในโลก SaaS (Insider Threats)

    ทุกคนชอบพลอตเรื่องสายลับที่มีการหักมุมเป็นสองหน้าในภาพยนตร์ แต่สถานการณ์นี้แตกต่างออกไปเมื่อพูดถึงการรักษาความปลอดภัยของข้อมูลในบริษัท ภัยคุกคามจากภายในไม่ว่าจะเป็นเจตนาหรือไม่เจตนาก็เป็นเรื่องที่ต้องให้ความสำคัญตามที่การวิจัยของ CSA เปิดเผยว่า 26% ของบริษัทที่รายงานเหตุการณ์ความปลอดภัยใน SaaS ถูกโจมตีโดยภัยคุกคามจากภายใน

    ความท้าทายสำหรับหลายๆ บริษัทคือการตรวจจับภัยคุกคามเหล่านี้ก่อนที่จะนำไปสู่การละเมิดข้อมูลอย่างเต็มรูปแบบ หลายๆ ผู้เชี่ยวชาญด้านความปลอดภัยเชื่อว่าพวกเขาไม่สามารถป้องกันตัวเองจากผู้ใช้ที่จัดการได้อย่างถูกต้องที่เข้าสู่ระบบด้วยข้อมูลรับรองที่ถูกต้องโดยใช้วิธี MFA ของบริษัท ภายในองค์กรสามารถเข้าสู่ระบบได้ในช่วงเวลาทำการปกติ และสามารถอธิบายการเข้าถึงในแอปพลิเคชันได้อย่างง่ายดาย

การควบคุมภัยคุกคามที่เน้นการระบุตัวตนด้วย ITDR

    ในด้านความปลอดภัยของ SaaS แพลตฟอร์ม Identity Threat Detection & Response (ITDR) จะค้นหาคำใบ้พฤติกรรมที่บ่งชี้ว่าแอปพลิเคชันอาจถูกโจมตี ทุกเหตุการณ์ในแอปพลิเคชัน SaaS จะถูกบันทึกไว้ในบันทึกเหตุการณ์ของแอปพลิเคชัน ซึ่งจะได้รับการตรวจสอบ และเมื่อเกิดสิ่งที่น่าสงสัย ระบบจะส่งสัญญาณเตือน ซึ่งเรียกว่า Indicator of Compromise (IOC)

    สำหรับภัยคุกคามจากภายนอก IOC ส่วนใหญ่จะเกี่ยวข้องกับวิธีการเข้าสู่ระบบและอุปกรณ์ รวมถึงพฤติกรรมของผู้ใช้เมื่อพวกเขาได้รับการเข้าถึงแล้ว สำหรับภัยคุกคามจากภายใน IOC จะเน้นที่ความผิดปกติในพฤติกรรม เมื่อ IOC ถึงเกณฑ์ที่กำหนด ระบบจะรับรู้ว่าแอปพลิเคชันกำลังเผชิญกับภัยคุกคาม

ส่วนใหญ่แล้ว โซลูชัน ITDR จะมุ่งเน้นที่การปกป้องจุดสิ้นสุด (endpoint) และ Active Directory ภายในองค์กร แต่ไม่ได้ออกแบบมาเพื่อจัดการกับภัยคุกคามใน SaaS ซึ่งต้องใช้ความเชี่ยวชาญในแอปพลิเคชันอย่างลึกซึ้งและสามารถทำได้โดยการตรวจสอบและวิเคราะห์เหตุการณ์ที่น่าสงสัยจากหลายแหล่งข้อมูล.

ตัวอย่างของภัยคุกคามจากภายในในโลกของ SaaS:

1. การขโมยข้อมูลหรือการส่งข้อมูลออก: การดาวน์โหลดหรือแชร์ข้อมูลหรือลิงก์มากเกินไป โดยเฉพาะเมื่อส่งไปยังอีเมลส่วนตัวหรือบุคคลที่สาม อาจเกิดขึ้นหลังจากพนักงานถูกเลิกจ้างและเชื่อว่าข้อมูลนั้นอาจมีประโยชน์ในงานถัดไป หรือหากพนักงานไม่พอใจและมีเจตนาร้าย ข้อมูลที่ถูกขโมยอาจรวมถึงทรัพย์สินทางปัญญา ข้อมูลลูกค้า หรือกระบวนการทางธุรกิจที่เป็นกรรมสิทธิ์
2. การปรับเปลี่ยนข้อมูล: การลบหรือแก้ไขข้อมูลที่สำคัญภายในแอปพลิเคชัน SaaS ซึ่งอาจทำให้เกิดการสูญเสียทางการเงิน ความเสียหายต่อชื่อเสียง หรือการหยุดชะงักของการดำเนินงาน
3. การใช้งานข้อมูลรับรองอย่างไม่เหมาะสม: การแชร์ข้อมูลรับรองการเข้าสู่ระบบกับผู้ใช้ที่ไม่ได้รับอนุญาต ไม่ว่าจะโดยเจตนาหรือไม่ก็ตาม ซึ่งทำให้เข้าถึงพื้นที่ที่เป็นความลับของแอปพลิเคชัน SaaS
4. การใช้สิทธิ์อย่างไม่เหมาะสม: ผู้ใช้ที่มีสิทธิพิเศษใช้สิทธิ์ของตนเพื่อปรับเปลี่ยนการตั้งค่า ข้ามมาตรการรักษาความปลอดภัย หรือเข้าถึงข้อมูลที่จำกัดเพื่อผลประโยชน์ส่วนตัวหรือเจตนาร้าย
5. ความเสี่ยงจากผู้ขายภายนอก: ผู้รับเหมา หรือผู้ขายภายนอกที่มีการเข้าถึงแอปพลิเคชัน SaaS อย่างถูกต้องใช้การเข้าถึงนี้อย่างไม่เหมาะสม
6. แอปพลิเคชันเงา (Shadow Apps): ภายในองค์กรติดตั้งซอฟต์แวร์หรือปลั๊กอินที่ไม่ได้รับอนุญาตในสภาพแวดล้อม SaaS ซึ่งอาจทำให้เกิดช่องโหว่หรือมัลแวร์ ซึ่งอาจไม่ตั้งใจ แต่ยังคงเป็นการกระทำของภายใน

    แต่ละ IOC เหล่านี้เพียงอย่างเดียวอาจไม่ได้บ่งชี้ถึงภัยคุกคามจากภายใน การดำเนินการแต่ละอย่างอาจมีเหตุผลในการดำเนินงานที่ถูกต้อง อย่างไรก็ตาม เมื่อ IOC สะสมและถึงเกณฑ์ที่กำหนด ทีมรักษาความปลอดภัยควรทำการตรวจสอบผู้ใช้เพื่อทำความเข้าใจว่าทำไมพวกเขาจึงดำเนินการดังกล่าว

    การทำงานร่วมกันของ ITDR และ SSPM เพื่อป้องกันและตรวจจับภัยคุกคามจากภายใน

หลักการของการให้น้อยที่สุด (Principle of Least Privilege หรือ PoLP) เป็นหนึ่งในวิธีที่สำคัญที่สุดในการต่อสู้กับภัยคุกคามจากภายใน เนื่องจากพนักงานส่วนใหญ่มักจะมีการเข้าถึงมากกว่าที่จำเป็น

SaaS Security Posture Management (SSPM) และ Identity Threat Detection & Response (ITDR) เป็นสองส่วนของโปรแกรมความปลอดภัย SaaS ที่ครอบคลุม SSPM มุ่งเน้นที่การป้องกัน ขณะที่ ITDR มุ่งเน้นที่การตรวจจับและการตอบสนอง SSPM ใช้เพื่อบังคับใช้กลยุทธ์ความปลอดภัยที่เน้นตัวตน (Identity-First Security) ป้องกันการสูญหายของข้อมูลโดยการตรวจสอบการตั้งค่าการแชร์เอกสาร ตรวจจับแอปพลิเคชันเงาที่ผู้ใช้ใช้งาน และตรวจสอบความสอดคล้องกับมาตรฐานที่ออกแบบมาเพื่อตรวจจับภัยคุกคามจากภายใน

    ในขณะเดียวกัน ITDR ช่วยให้ทีมรักษาความปลอดภัยสามารถติดตามผู้ใช้ที่มีพฤติกรรมที่น่าสงสัย ซึ่งทำให้พวกเขาสามารถหยุดภัยคุกคามจากภายในก่อนที่จะทำความเสียหายอย่างมาก

Ref: thehackernews