แสดงบทความที่มีป้ายกำกับ c2 แสดงบทความทั้งหมด
แสดงบทความที่มีป้ายกำกับ c2 แสดงบทความทั้งหมด

13/02/2568

Cloudflare ล่ม เนื่องจากการบล็อก URL ฟิชชิ่งที่ผิดพลาด


    การพยายามบล็อก URL ฟิชชิ่งในแพลตฟอร์ม R2 object storage ของ Cloudflare เมื่อวานนี้ (6 กุมภาพันธ์ 2025) กลับเกิดข้อผิดพลาด ทำให้เกิดการหยุดการทำงานอย่างกว้างขวาง ซึ่งทำให้บริการหลาย ๆ รายการล่มไปเกือบหนึ่งชั่วโมง
    Cloudflare R2 เป็นบริการจัดเก็บข้อมูลแบบอ็อบเจกต์ที่คล้ายกับ Amazon S3 ซึ่งออกแบบมาเพื่อการจัดเก็บข้อมูลที่สามารถขยายขนาดได้, มีความทนทาน และมีค่าใช้จ่ายต่ำ โดยนำเสนอการดึงข้อมูลฟรี ไม่มีค่าใช้จ่าย, ความ compatibility กับ S3, data replication ในหลายสถานที่ และการ integration กับบริการอื่น ๆ ของ Cloudflare
    การหยุดการทำงานเกิดขึ้นเมื่อวานนี้ เมื่อเจ้าหน้าที่ของ Cloudflare ตอบสนองต่อรายงานการละเมิดเกี่ยวกับ URL ฟิชชิ่งในแพลตฟอร์ม R2 ของ Cloudflare อย่างไรก็ตาม แทนที่จะบล็อก specific endpoint เจ้าหน้าที่ของ Cloudflare กลับปิดบริการ R2 Gateway ทั้งหมดโดยไม่ตั้งใจ
    Cloudflare อธิบายในรายงานหลังเหตุการณ์ "ในระหว่างการแก้ไขการละเมิดตามปกติ ได้มีการดำเนินการตามการร้องเรียนที่ทำให้บริการ R2 Gateway ถูกปิดโดยไม่ได้ตั้งใจ แทนที่จะปิดเฉพาะ specific ndpoint/bucket ที่เกี่ยวข้องกับรายงานนั้น"
“นี่เป็นความล้มเหลวของ system level controls และการฝึกอบรมผู้ปฏิบัติงาน"
    เหตุการณ์นี้ใช้เวลานาน 59 นาที ระหว่างเวลา 08:10 ถึง 09:09 UTC และนอกจากการหยุดทำงานของ R2 Object Storage แล้ว ยังส่งผลกระทบต่อบริการอื่น ๆ เช่น
  • Stream – การอัปโหลดวิดีโอ และการส่งสตรีมมิ่ง ล้มเหลว 100%
  • Images – การอัปโหลด/ดาวน์โหลดภาพล้มเหลว 100%
  • Cache Reserve – การดำเนินการล้มเหลว 100% ทำให้มีการ request จากต้นทางเพิ่มขึ้น
  • Vectorize – ล้มเหลว 75% ในการ queries, ล้มเหลว 100% ในการ insert, upsert และ delete
  • Log Delivery – ความล่าช้า และการสูญหายของข้อมูล: การสูญหายของข้อมูลสูงสุด 13.6% สำหรับ Logs ที่เกี่ยวข้องกับ R2, การสูญหายของข้อมูลถึง 4.5% สำหรับ delivery jobs ที่ไม่ใช่ R2
  • Key Transparency Auditor – signature publishing และ read operations ล้มเหลว 100%
    นอกจากนี้ยังมีบริการที่ได้รับผลกระทบทางอ้อม ซึ่งประสบปัญหากับการใช้งานบางส่วน เช่น Durable Objects ที่มีอัตราการเกิดข้อผิดพลาดเพิ่มขึ้น 0.09% เนื่องจากการเชื่อมต่อใหม่หลังการกู้คืน, Cache Purge ที่มีข้อผิดพลาดเพิ่มขึ้น 1.8% (HTTP 5xx) และการหน่วงเวลาเพิ่มขึ้น 10 เท่า, และ Workers & Pages ที่มีข้อผิดพลาดในการ deployment 0.002% ซึ่งส่งผลกระทบเฉพาะโปรเจกต์ที่มีการเชื่อมต่อกับ R2 เท่านั้น


    Cloudflare ระบุว่าทั้ง human error และการขาดกลไกป้องกัน เช่น การตรวจสอบความถูกต้องสำหรับการดำเนินการที่ส่งผลกระทบร้ายแรง เป็นปัจจัยสำคัญที่ทำให้เกิดเหตุการณ์นี้
    Cloudflare ได้ดำเนินการแก้ไขเบื้องต้นแล้ว เช่น การนำความสามารถในการปิดระบบออกจากอินเทอร์เฟซตรวจสอบการละเมิด และเพิ่มข้อจำกัดใน Admin API เพื่อป้องกันการปิดบริการโดยไม่ได้ตั้งใจ
    มาตรการเพิ่มเติมที่จะนำมาใช้ในอนาคต ได้แก่ การปรับปรุงกระบวนการสร้างบัญชี, การควบคุมสิทธิ์การเข้าถึงที่เข้มงวดขึ้น และกระบวนการ two-party approval สำหรับการดำเนินการที่มีความเสี่ยงสูง
    ในเดือนพฤศจิกายน 2024 Cloudflare ประสบกับเหตุการณ์หยุดทำงานครั้งสำคัญอีกครั้งเป็นเวลานาน 3.5 ชั่วโมง ส่งผลให้ Logs ในบริการสูญหายอย่างถาวรถึง 55%
    เหตุการณ์ดังกล่าวเกิดจากความล้มเหลวต่อเนื่อง (cascading failures) ในระบบลดผลกระทบอัตโนมัติของ Cloudflare ซึ่งถูกทริกเกอร์โดยการตั้งค่าที่ไม่ถูกต้องไปยังส่วนประกอบสำคัญในระบบ Logging pipeline ของบริษัท

ที่ ไม่มีความคิดเห็น:
ป้ายกำกับ: , ,

24/07/2566

Microsoft แจ้งเตือน ผู้ไม่ประสงค์ดีใช้ Exchange server เป็นเซิร์ฟเวอร์แพร่กระจายมัลแวร์


    Microsoft และทีม CERT ของยูเครน แจ้งเตือนการพบกลุ่มผู้ไม่ประสงค์ดีในชื่อ Turla ซึ่งได้รับการสนับสนุนโดยรัฐบาลรัสเซีย ได้มุ่งเป้าหมายการโจมตีไปยังอุตสาหกรรมการป้องกันประเทศ โดยมุ่งเป้าโจมตีไปที่ Exchange server ด้วย malware backdoor ตัวใหม่ ในชื่อ 'DeliveryCheck' เพื่อเปลี่ยนให้เป็นเซิร์ฟเวอร์สำหรับแพร่กระจายมัลแวร์

   Turla หรือที่รู้จักในชื่อ Secret Blizzard, KRYPTON และ UAC-0003 เป็นกลุ่ม APT (Advanced Persistent Threat) ที่มีความเกี่ยวข้องกับ Federal Security Service (FSB) ของรัสเซีย ซึ่งมีความเกี่ยวข้องกับการโจมตีเพื่อต่อต้านชาติตะวันตกในช่วงหลายปีที่ผ่านมา รวมถึง Snake cyber-espionage malware botnet ที่เพิ่งถูกขัดขวางในปฏิบัติการบังคับใช้กฎหมายระหว่างประเทศที่ชื่อว่า Operation MEDUSA
การกำหนดเป้าหมายไปยัง Microsoft Exchange

ในที่เผยแพร่ของ CERT-UA และ Microsoft นักวิจัยได้สรุปขั้นตอนการโจมตีของ Turla ไว้ดังนี้
  1. ผู้โจมตีเริ่มต้นจากการส่ง phishing email ที่มีการแนบไฟล์ Excel XLSM และ XSLT stylesheet ซึ่งมี macro อันตรายฝังอยู่ 
  2. macro จะทำการเรียกคำสั่ง PowerShell เพื่อสร้าง scheduled task ที่เลียนแบบตัวอัปเดตเบราว์เซอร์ Firefox
  3. ทำการดาวน์โหลด DeliveryCheck backdoor (หรือรียกว่า CapiBar และ GAMEDAY) และทำงานในหน่วยความจำ
  4. เชื่อมต่อออกไปยัง command and control (C2) server ของ ผู้ไม่ประสงค์ดีและรอรับคำสั่งเพื่อดำเนินการ หรือติดตั้งเพย์โหลดมัลแวร์เพิ่มเติม
  5. DeliveryCheck ยังสามารถเปลี่ยนให้ Exchange server กลายเป็น C2 server เพื่อแพร่กระจายมัลแวร์ได้อีกด้วย
    โดยหลังจากที่สามารถเข้าควบคุมเครื่อง Exchange server ได้แล้ว ผู้โจมตีจะใช้ backdoor เพื่อขโมยมูลในเครื่องโดยใช้ Rclone tool


    Microsoft ระบุว่าส่วนประกอบดังกล่าวได้รับการติดตั้งโดยใช้ Desired State Configuration ซึ่งเป็นโมดูล PowerShell ที่ช่วยให้ผู้ดูแลระบบสามารถสร้างการกำหนดค่าเซิร์ฟเวอร์มาตรฐาน และนำไปใช้กับอุปกรณ์ได้ รวมถึงสามารถใช้เพื่อกำหนดค่าอุปกรณ์หลายเครื่องด้วยการตั้งค่าเดียวกันได้โดยอัตโนมัติ ซึ่ง ผู้ไม่ประสงค์ดีจะใช้ DSC เพื่อโหลดโปรแกรมปฏิบัติการ Windows ที่เข้ารหัส base64 โดยอัตโนมัติ เพื่อเปลี่ยนให้ Exchange server กลายเป็น C2 server


  รวมถึงในระหว่างการโจมตีของ Turla ทาง Microsoft และ CERT-UA ได้พบการติดตั้ง KAZUAR backdoor ที่เอาไว้ใช้ขโมยข้อมูล โดยมัลแวร์ตัวนี้เป็นเครื่องมือขโมยข้อมูลทางไซเบอร์ ที่ช่วยให้ ผู้ไม่ประสงค์ดีเปิดใช้ javascript บนอุปกรณ์ เพื่อขโมยข้อมูลจาก event log, ขโมยข้อมูลเกี่ยวกับ systems file, และขโมย authentication token ที่ใช้ในการพิสูจน์ตัวตน, cookie และ credentials จากโปรแกรมต่าง ๆ มากมาย รวมถึงเบราว์เซอร์, FTP client, VPN software, KeePass, Azure, AWS และ Outlook
    โดย CERT-UA ได้แบ่งปันตัวอย่างมัลแวร์ DeliveryCheck ให้กับบริษัทด้านความปลอดภัยทางไซเบอร์เพื่อช่วยในการตรวจจับ ซึ่งจากการตรวจสอบใน VirusTotal พบว่ามีผู้ให้บริการเพียง 14 ราย จาก 70 ราย เท่านั้นที่รายงานว่า DeliveryCheck เป็นอันตราย ซึ่งคาดว่าจะมีการรายงานเพิ่มมากขึ้นหลังจากนี้

ที่ ไม่มีความคิดเห็น:
ป้ายกำกับ: , ,

17/05/2566

พบ Malware BPFDOOR เวอร์ชั่นล่าสุด บนระบบปฏิบัติการ Linux


    พบ Malware BPFDOOR เวอร์ชั่นล่าสุด ซึ่งเป็น Malware ที่เข้ารหัสและทำลายข้อมูลบนระบบปฏิบัติการ Linux และพยายามหลีกเหลี่ยงการตรวจจับ BPFDoor เป็นMalwareที่มีการใช้งานมาตั้งแต่ปี 2017
แต่ถูกค้นพบโดยนักวิจัยด้านความปลอดภัยเมื่อประมาณ 12 เดือนก่อน BPFDoor ได้รับการออกแบบมา เพื่อให้ผู้ไม่ประสงค์ดีสามารถคงอยู่ในบนระบบ Linux
    และทำการเลี่ยงการจำกัดของไฟร์วอลบนการจราจรเข้าระบบ เมื่อเริ่มการทำงาน BPFDoor จะสร้างและล็อคไฟล์รันไทม์ที่ “/var/run/initd.lock” จากนั้นจะแยกตัวเองเพื่อทํางานเป็นกระบวนการย่อยและในที่สุดก็ตั้งค่าตัวเองให้ละเว้นสัญญาณระบบปฏิบัติการต่างๆที่อาจขัดจังหวะ


  Malware จะจัดสรรหน่วยความจำและสร้างตัวเก็บข้อมูลชนิดแพ็คเก็ตที่ใช้สำหรับการระบุการสแน็กข้อมูลจากการจราจรเข้าสู่ระบบ โดยมีลำดับบิตเริ่มต้นที่ต้องเข้ากันเป็นชุดข้อมูล (“magic” byte sequence) คือ (“\x44\x30\xCD\x9F\x5E\x14\x27\x66”)


    ในขั้นตอนนี้ BPFDoor จะแนบ Berkley Packet Filter เข้ากับซ็อกเก็ตเพื่ออ่านเฉพาะการรับส่งข้อมูล UDP, TCP และ SCTP ผ่านพอร์ต 22 (ssh), 80 (HTTP) และ 443 (HTTPS) การจำกัดข้อจำกัดของไฟร์วอลบนเครื่องที่ถูกแฮ็กไม่ส่งผลต่อกิจกรรมการสแน็กข้อมูลนี้ เนื่องจาก BPFDoor ทำงานในระดับที่ต่ำมากที่ไม่สามารถนำมาประยุกต์ใช้ได้


    เมื่อ BPFDoor พบแพ็คเก็ตที่มีไบต์ตัวเลข ‘magic’ (magic bytes) ในการกรองการจราจร ที่เป็นเป้าหมาย มันจะถือว่าเป็นข้อความจากผู้ดำเนินการและจะแยกวิเคราะห์ออกเป็นสองส่วนและทำการแยกตัวออกอีกครั้ง กระบวนการหลักจะดำเนินการต่อและตรวจสอบการจราจรที่ผ่านมาผ่านตัวกรองที่เชื่อมต่อ ในขณะที่กระบวนการลูกจะใช้ข้อมูลที่แยกวิเคราะห์ได้ก่อนหน้านี้เป็นความเป็นไปได้ของ IP-Port สำหรับ Command & Control และจะพยายามเชื่อมต่อไปยัง IP-Port ดังกล่าว” หลังจากสร้างการเชื่อมต่อกับ C2 (Command & Control) แล้ว Malware จะตั้งค่า Reverse Shell และรอคำสั่งจากเซิร์ฟเวอร์


    BPFDoor ยังคงไม่ถูกตรวจพบโดยซอฟต์แวร์รักษาความปลอดภัย ดังนั้นผู้ดูแลระบบอาจต้องพึ่งพาการตรวจสอบการจราจรเครือข่ายและบันทึกการทำงานด้วยการใช้ผลิตภัณฑ์การป้องกันที่ทันสมัยและตรวจสอบความสมบูรณ์ของไฟล์บน “/var/run/initd.lock” 
    รายงานของ CrowdStrike ในเดือนพฤษภาคม ปี 2022 ได้เน้นว่า BPFDoor ใช้ช่องโหว่ที่เกิดขึ้นใน 
ปี 2019 เพื่อทำให้ Malware ที่เข้าถึงระบบเป็นตัวต่ออย่างยาวนาน ดังนั้นการปรับใช้การอัปเดตความปลอดภัยที่มีอยู่เป็นกลยุทธ์สำคัญตลอดเวลาเพื่อป้องกันการเข้าระบบของ Malware ทุกชนิด
คำแนะนำ
  • ตรวจสอบไฟล์ที่เป็นเป้าหมายของ BPFDoor เช่น “/var/run/initd.lock” เพื่อตระหนักถึงการเข้าถึงไม่ยุติธรรม
  • ใช้โซลูชันการป้องกันปลายทางที่มีความทันสมัยเพื่อตรวจจับและป้องกันการเข้าระบบของMalware BPFDoor และอื่น ๆ ตามความเหมาะสม
  • ตรวจสอบและติดตั้งอัปเดตที่มีอยู่สำหรับระบบปฏิบัติการ Linux เพื่อปิดช่องโหว่ที่อาจถูกใช้โดย BPFDoor หรือMalwareอื่น ๆ
ที่ ไม่มีความคิดเห็น:
ป้ายกำกับ: , ,

11/04/2566

พบมัลแวร์ Rilide ใหม่ โจมตีผ่าน Chromium Web Browsers


พบ Hacker ปลอมแปลงเป็นส่วนขยายเพื่อเก็บเกี่ยวข้อมูลที่ละเอียดอ่อนและ Cryptocurrency

    Rilide แฝงตัวเป็นส่วนขยายของ Google Drive สามารถการบันทึกภาพของ Browsing History และซ่อน Script ที่เป็นอันตรายเพื่อถอนเงินจากการแลกเปลี่ยน Cryptocurrency ต่าง ๆ นอกจากนี้  Malware สามารถปลอมแปลงกล่องโต้ตอบ และ หลอกลวงให้ผู้ใช้งานป้อนรหัสยืนยันตัวตนแบบสองขั้นตอนเพื่อถอดถอน Digital Assets Trustwave กล่าวว่ามี Campaign สองตัวที่ต่างกัน ซึ่งเกี่ยวข้องกับ Ekipa RAT และ Aurora Stealer ที่นำไปสู่การติดตั้งส่วนขยายของเบราว์เซอร์ที่เป็นอันตราย
    Ekipa RAT แพร่กระจายผ่าน ไฟล์ Microsoft Publisher ที่ติดกับดัก, Google Ads ปลอม ที่เป็นตัวนำส่งของ Aurora Stealer เป็นเทคนิคทั่วไปที่พบได้มากขึ้นในช่วงหลายเดือนที่ผ่านมา การโจมตีทั้งสองแบบช่วยให้ทำ Rust-based Loader ได้ง่ายขึ้น นอกจากนี้ มีการแก้ไข ไฟล์ LNK ของเบราว์เซอร์ และสร้างการใช้คำสั่งของ Load Extension เพื่อปล่อย add-on


    หนึ่งในฟีเจอร์โดดเด่นที่มีการนำมาใช้จาก source code ที่หลุดออกมา คือ การสลับที่อยู่ใน Wallet ของ Cryptocurrency ด้วย Hard-Coded ของผู้ที่ทำการควบคุม
คำแนะนำ
  • ติดตั้งซอฟต์แวร์ป้องกันไวรัสและมัลแวร์ และทำการ Full-scan เป็นประจำ
  • หลีกเลี่ยงลิงก์แปลกปลอม และ ซอฟต์แวร์ละเมิดลิขสิทธิ์
  • อัปเดตเว็บเบราว์เซอร์ และ ลบปลั๊กอินที่ไม่จำเป็น
  • ตรวจสอบ ชื่อ Email, Link ชื่อ Domain ต้องตรงกับหน่วยงาน
  • สังเกตเว็บหน่วยงานต้องมี HTTPS

ที่ ไม่มีความคิดเห็น:
ป้ายกำกับ: , ,

27/02/2566

MyloBot Botnet แพร่กระจายอย่างรวดเร็วทั่วโลกมากกว่า 50,000 เครื่องต่อวัน


 BitSight บริษัทด้านความปลอดภัย ได้ค้นพบ Botnet ที่มีความน่าสนใจซึ่งมีการแพร่กระจายได้อย่างรวดเร็วในชื่อ MyloBot โดยเหยื่อส่วนใหญ่อยู่ในประเทศอินเดีย สหรัฐอเมริกา อินโดนีเซีย และอิหร่าน โดยพบว่ามีเครื่องที่ติด MyloBot เพิ่มเฉลี่ย 50,000 เครื่องต่อวัน ซึ่งพบว่าลดลงจากปี 2020 ที่มีติดเฉลี่ย 250,000 เครื่องต่อวัน

MyloBot Botnet
 MyloBot ถูกพบครั้งแรกในปี 2017 แต่ได้ถูกรายงานครั้งแรกโดย Deep Instinct ในปี 2018 โดยมันมีความสามารถในการหลบหลีกการตรวจจับ และทำหน้าที่เป็น downloader ในการดาวน์โหลดมัลแวร์ รวมไปถึงเพย์โหลดอันตรายอื่น ๆ เข้ามาติดตั้งในเครื่องอีกด้วย
 นอกจากนี้ยังพบว่า MyloBot มีขั้นตอนในการโจมตีที่ซับซ้อน เมื่อสามารถแพร่กระจายสู่เครื่องเป้าหมายได้แล้ว ตัวมันเองจะทำการหยุดการทำงานเป็นเวลา 14 วัน เพื่อหลบหลีกการตรวจจับจากระบบรักษาความปลอดภัย ก่อนที่จะพยายามติดต่อเซิร์ฟเวอร์ command-and-control (C2) โดยเปลี่ยนเครื่องที่ถูกโจมตีให้กลายเป็น ‘Proxy Server’ ในการรับคำสั่งควบคุม และสั่งการ จาก C2 server อีกที รวมไปถึงทำการดาวน์โหลด MyloBot payload ที่มีการเข้ารหัสเพื่อเลี่ยงการตรวจจับ


 โดยจากการตรวจสอบและวิเคราะห์เพิ่มเติม โดยการ reverse DNS lookup IP ที่ได้ทำการเรียกกลับไปยัง C2 server พบว่า MyloBot อาจมีความเกี่ยวข้องกับแคมเปญการโจมตีของกลุ่ม Hacker ขนาดใหญ่ ซึ่งพบว่า ในปี 2022 MyloBot ได้ทำการส่งจดหมายเรีกค่าไถ่จากเครื่องที่ถูกโจมตีไปในระบบของเหยื่อ โดยเรียกค่าไถ่เป็นมูลค่ากว่า 2,700 ดอลลาร์ ซึ่งต้องจ่ายเป็น Bitcoin

IOC
 จากการตรวจสอบและวิเคราะห์ ค้นพบว่า MyloBot Botnet มีการเชื่อมต่อไปยัง proxy service ที่มีชื่อว่า BHProxies
"clients.bhproxies[.]com"

ที่ ไม่มีความคิดเห็น:
ป้ายกำกับ: ,
สมัครสมาชิก: บทความ (Atom)