คลังเก็บป้ายกำกับ: THREATS_UPDATE

นักวิจัยพบ Malware ใหม่ Silver Sparrow เน้นโจมตี macOS ทำงานได้แม้บนเครื่องที่ใช้ชิป M1

นักวิจัยด้านความมั่นคงปลอดภัยจาก Red Canary ได้ค้นพบ Malware ใหม่ที่มีชื่อว่า Silver Sparrow ซึ่งเน้นโจมตี macOS เป็นหลัก และยังสามารถทำงานได้บนเครื่องที่ใช้ชิป M1 โดยปัจจุบันมีการตรวจพบเหยื่อที่ติด Malware นี้ไปแล้วเกือบ 30,000 เครื่อง

Credit: ShutterStock.com

นักวิจัยจาก Red Canary ได้ทำการวิเคราะห์ Malware ตัวนี้ร่วมกับทีมนักวิจัยจาก Malwarebytes และ VMware Carbon Black โดยปัจจุบันนี้มีการพบว่ามีเครื่อง macOS ที่ติด Malware นี้ไปแล้ว 29,139 เครื่องจากการสำรวจใน 153 ประเทศเมื่อวันที่ 17 กุมภาพันธ์ 2021 ที่ผ่านมา ซึ่งถือเป็นอัตราการแพร่ระบาดที่รวดเร็วจนน่าจับตามอง

ทีมนักวิจัยยังไม่มีการเปิดเผยรายละเอียดของวิธีการที่ใช้ในการแพร่ระบาดมากนัก และยังไม่แน่ใจว่าเป้าหมายของ Malware นี้คืออะไร โดยเมื่อ Silver Sparrow สามารถฝังตัวเข้าไปในเครื่องของเหยื่อได้แล้ว Malware นั้นจะรอรับคำสั่งจากผู้โจมตี ซึ่งปัจจุบันนี้ก็ยังไม่เคยมีการตรวจพบคำสั่งใดๆ ที่ถูกส่งมายังเครื่องของเหยื่อแต่อย่างใด

อย่างไรก็ดี ทีมนักวิจัยก็ยังไม่ฟันธงว่าการทำงานของ Malware ตัวนี้มีความผิดพลาด รวมถึงยังมีความเป็นไปได้ว่า Malware ตัวนี้ยังอาจตรวจจับได้ว่ากำลังถูกวิเคราะห์พฤติกรรมอยู่ จึงไม่ได้ดำเนินการโจมตีใดๆ ต่อก็เป็นได้

นอกจากนี้อีกหนึ่งประเด็นที่น่าสนใจก็คือ Malware นี้สามารถทำงานได้บนสถาปัตยกรรมชิปล่าสุดอย่าง M1 ด้วย ซึ่งถือว่าเป็น Malware ชนิดที่สองที่สามารถทำงานได้บนชิปสถาปัตยกรรมดังกล่าว

หลังจากนี้ก็คงต้องติดตามข่าวสารกันต่อไปว่าเป้าหมายและวิธีการของ Silver Sparrow นี้คืออะไร โดยปัจจุบันผู้ที่สนใจรายละเอียดเพิ่มเติมสามารถศึกษาข้อมูลได้ที่ https://redcanary.com/blog/clipping-silver-sparrows-wings/ ครับ

ที่มา: https://www.zdnet.com/article/30000-macs-infected-with-new-silver-sparrow-malware/

from:https://www.techtalkthai.com/silver-sparrow-malware-can-infect-macos-on-m1-chip/

Microsoft รายงานสรุปการถูกโจมตีจากแฮ็กเกอร์ SolarWinds

Microsoft ได้ประกาศสรุปการสืบสวนขอบเขตการโจมตีของกลุ่มคนร้ายที่เข้ามาทางผลิตภัณฑ์ของ SolarWinds ในเดือนธันวาคมปีก่อน

เมื่อเดือนธันวาคมปีก่อน SolarWinds ได้ประกาศเหตุถูกแทรกแซงซอฟต์แวร์ Orion ในบางเวอร์ชัน ทำให้ส่งผลกระทบกับลูกค้ามากมาย ซึ่งหนึ่งในเหยื่อที่คนร้ายเจาะจงก็คือ Microsoft (อ่านข่าวเก่าจาก TechTalkthai ได้ที่ https://www.techtalkthai.com/solarwinds-supply-chain-was-compromised-by-russian-hacker/ และ https://www.techtalkthai.com/solarwinds-orion-security-breach-effects-18000-customers/)

โดยล่าสุดทีมงานได้สรุปขอบเขตของผลกระทบไว้ว่า คนร้ายอาจจะสามารถดาวน์โหลดโค้ดบางส่วนใน Repository ของ Azure, Intune และ Exchange ออกไปได้ อย่างไรก็ดีคนร้ายได้พยายามค้นหาข้อมูลอันเป็นประโยชน์เช่น API Keys, Credential และ Security Token ที่หวังว่าจะถูกเก็บอยู่ใน Source Code ทั้งนี้ Microsoft ชี้ว่าตนมีนโยบายการทำงานอย่างรัดกุมไม่ให้เก็บ Secret ไว้ในโค้ดอยู่แล้ว รวมถึงมีการใช้เครื่องมืออัตโนมัติตรวจสอบดูด้วย จึงยืนยันว่า Repository ไม่ข้อมูล Credential ที่ใช้อยู่ในระบบจริงแน่นอน

ที่มา : https://www.bleepingcomputer.com/news/microsoft/microsoft-solarwinds-hackers-downloaded-some-azure-exchange-source-code/

from:https://www.techtalkthai.com/microsoft-concludes-the-internal-impact-of-solarwinds-hacker/

แฮ็กเกอร์ลอบเข้าไปสั่งปรับสารเคมีในโรงงานบำบัดน้ำในฟลอริดา

ถือเป็นอีกหนึ่งเหตุการณ์ที่แสดงให้เห็นว่า Infrastructure ของประเทศ ที่เชื่อมต่อระบบไอทีกำลังกลายเป็นเป้าหมายของเหล่าแฮ็กเกอร์เพิ่มขึ้นเรื่อยๆ โดยครั้งนี้เหยื่อเป็นโรงงานบำบัดน้ำในเมือง Oldsmar ของฟลอริดา

การรุกรานของแฮ็กเกอร์เกิดขึ้นเมื่อวันที่ 5 กุมภาพันธ์ที่ผ่านมา โดยการเข้าถึงครั้งแรกเกิดขึ้นช่วงประมาณ 8 โมงเช้า (US Time) และอีกครั้งในช่วงบ่ายของวันเดียวกัน สิ่งที่แฮ็กเกอร์ทำคือการเข้าถึงเครื่องควบคุมแบบรีโมตของระบบ และไปสั่งเพิ่มระดับสารเคมีโซเดียมไฮดรอกไซต์จาก 100 ต่อล้านส่วนเป็น 11,000 ต่อล้านส่วน ซึ่งแน่นอนว่าอยู่ในระดับอันตราย เคราะห์ดีที่เหตุการณ์ครั้งนี้ถูกพบได้เพราะคนที่ควบคุมระบบตัวจริงเห็นเม้าส์เลื่อนไปมาบนหน้าจอ จึงแก้ไขระบบกลับสู่ปกติได้ทันก่อนจะมีการปล่อยสารออกมาไปสู่ประชาชน

ถือเป็นอีกหนึ่งข่าวที่สะท้อนให้เห็นความสำคัญของ OT ที่เชื่อมต่อกับ IT ในโรงงานนะครับ เพราะนี่เป็นครั้งที่สองแล้วกับข่าวโจมตีโรงงานน้ำและพยายามปรับระดับสารเคมี เพียงแต่ทั้งสองครั้งยังไม่ประสบความสำเร็จถึงการสร้างความเสียหายจริง

ที่มา : https://www.zdnet.com/article/hacker-modified-drinking-water-chemical-levels-in-a-us-city/

from:https://www.techtalkthai.com/hacker-attack-water-infrastructure-in-florida/

พบแคมเปญ Phishing ซ่อนลิงก์อันตรายด้วยรหัสมอร์ส

มีการแจ้งเตือนความพยายามทำ Phishing ใหม่ๆ ผ่านผู้ใช้งาน Reddit ว่าพบการแฝงลิงก์อันตรายด้วยรหัสมอร์ส

HTML in text Editor – credit : BleepingComputer

ผู้เชี่ยวชาญได้ศึกษาตัวอย่างของแคมเปญนี้พบว่าคนร้ายหวังผลกับเป้าหมายองค์กรใหญ่หลายแห่งเช่น SGS, Dimensional, Metrohm, SBI (Mauritius) Ltd, NUOVO IMAIE, Bridgestone, Cargeas, ODDO BHF Asset Management, Dea Capital และ Equinti ทั้งนี้มีการเขียนหัวเรื่องอีเมลให้น่าดึงดูดด้วยคำว่า ‘invoice’ อย่างไรก็ดีไฟล์แนบอันไม่ปกตินี้จะมีรูปแบบคือ ‘ชื่อบริษัท-invoice-[หมายเลข].xlsx.hTML’

หากเปิด HTML นี้ด้วย Text Editor จะพบกับสคิร์ปต์ JSP ที่มีฟังก์ชันเข้าและถอดรหัสมอร์ส โดยในแคมเปญเป็นการใช้เพื่อเรียกไปยัง URL หลายแห่ง ด้วยจุดประสงค์สุดท้ายคือแสดงหน้าล็อกอินเพื่อจะเปิดเอกสารและบอกว่าการล็อกอินหมดเวลา ซึ่งตรงนี้เองหากเหยื่อหลงเชื่อคนร้ายก็จะได้รับรหัสผ่านของเหยื่อไป นอกจากนี้คนร้ายยังได้ใช้บริการ  logo.clearbit.comservice เพื่อแปะโลโก้บริษัทเข้ามาด้วย แต่หากหาโลโก้ไม่เจอก็จะปรากฎรูป Office 365 มาแทน (สามารถดูภาพประกอบได้ตามด้านล่าง) ด้วยเหตุนี้เองเราก็ขอนำกลเม็ดใหม่ๆ ของคนร้ายมาให้ผู้อ่านติดตามกันเพื่อจะได้รู้เท่าทันครับ

credit : BleepingComputer

ที่มา : https://www.bleepingcomputer.com/news/security/new-phishing-attack-uses-morse-code-to-hide-malicious-urls/

from:https://www.techtalkthai.com/phishing-campaign-encoded-malicious-url-by-morse-code/

ActiveMedia Webinar: Cybersecurity Trends 2021 – องค์กรควรปรับตัวอย่างไรให้ทันภัยไซเบอร์ปี 2021

ขอเชิญเข้าร่วมการสัมมนาออนไลน์ภายใต้หัวข้อ “Cybersecurity Trends 2021: องค์กรควรปรับตัวอย่างไรให้ทันภัยไซเบอร์ปี 2021” ติดตามแนวโน้มอาชญากรรมทางไซเบอร์ที่ควรจับตามองในอนาคต เพื่อให้ทุกองค์กรสามารถปรับตัวและหาแนวทางการรับมือกับภัยคุกคามสำหรับปี 2021 ได้อย่างปลอดภัย

รายละเอียดการบรรยาย

หัวข้อ: Cybersecurity Trends 2021 : องค์กรควรปรับตัวอย่างไรให้ทันภัยไซเบอร์ปี 2021
ผู้บรรยาย: คุณพงศ์อินทร์ ชูสุวรรณ์ (Technical Educator) จากบริษัท ActiveMedia (Thailand)
วันเวลา: วันอังคารที่ 23 กุมภาพันธ์ 2021 เวลา 14.00 – 15.00 น.
ลงทะเบียนเข้าร่วมงาน: https://attendee.gotowebinar.com/register/3254736250239641356

จากสถานการณ์ในช่วงที่ผ่านมาส่งผลให้เกิดการเปลี่ยนแปลงต่อโลกธุรกิจเป็นอย่างมาก ไม่ว่าจะเป็น เศรษฐกิจที่ผันผวน หรือ การระบาดของ COVID-19 ทำให้หลายๆองค์กรจำเป็นต้องปรับตัว เพื่อให้ธุรกิจสามารถดำเนินต่อไปได้ ในขณะที่หลายๆอย่างกำลังเปลี่ยนไป แต่ภัยคุกคามทางไซเบอร์ยังคงอยู่ และมีแนวโน้มเพิ่มมากขึ้นเรื่อยๆ เห็นได้จากปีที่ผ่านมาองค์กรส่วนใหญ่ต่างโดนโจมตีจาก Ransomware และภัยคุกคามอื่นๆ การสัมมนาออนไลน์ในครั้งนี้ เราจะพูดคุยกันในหัวข้อ “Cybersecurity Trends 2021: องค์กรควรปรับตัวอย่างไรให้ทันภัยไซเบอร์ปี 2021” เพื่อให้ทุกองค์กรสามารถวางกลยุทธ์และปรับตัวเข้าสู่ปี 2021 ได้อย่างมั่นคงปลอดภัย

โดยหัวข้อสำหรับการบรรยายในครั้งนี้ ได้แก่

  1. ทิศทางการปรับตัวขององค์กรในปี 2021
  2. Ransomware ปี 2021 มาพร้อมกับความร้ายกาจแบบใหม่
  3. รับมือกับ “ภัยคุกคามขั้นสูง” ด้วยเทคโนโลยีการตรวจจับและตอบสนอง
  4. แนะนำโซลูชันความปลอดภัยจาก ESET

สามารถสอบถามข้อมูลเพิ่มเติม ได้ที่ ActiveMedia (Thailand) Co., Ltd. แผนกการตลาด โทร 02-683-5100 ต่อ 2133 หรือ Email: marketing@activemedia.co.th

from:https://www.techtalkthai.com/activemedia-webinar-cybersecurity-trends-2021/

พบมัลแวร์ใหม่บน Linux มุ่งฝังตัวในระบบ Supercomputer

ESET ได้รายงานพบมัลแวร์ใหม่บน Linux ซึ่งพุ่งเป้าไปยังเครื่อง Supercomputer เป็นส่วนใหญ่ และมีพฤติกรรมที่ซับซ้อน ด้วยโค้ดขนาดเล็ก

credit : ESET , Bleepingcomputer

Kobalos เป็นมัลแวร์ที่เน้นโจมตีระบบปฏิบัติการ Unix อย่าง FreeBSD และ Solaris ซึ่งบาง Variant มีการค้นพบว่าใช้บน AIX และ Windows ได้ด้วย โดยเมื่อ ESET ได้จัดทำ Fingerprint เพื่อสแกนหาการมีอยู่ของมัลแวร์ในโลกอินเทอร์เน็ตก็พบว่าเหยื่อมักเป็นพวกระบบประมวลผลขนาดใหญ่ทั้ง Supercomputer หรือเครื่องเซิร์ฟเวอร์ที่ใช้ในงานวิจัย การศึกษา หรือแม้กระทั่ง ISP รายใหญ่ในเอเซีย บริษัทให้บริการ Hosting และอื่นๆ โดยผู้เชี่ยวชาญยังไม่สรุปวิธีการเข้าถึงเครื่องเหยื่อแต่คาดว่าอาจเป็นเพราะเหยื่อส่วนใหญ่ไม่อัปแพตช์ป้องกัน OS หรือกล่าวคือยังใช้ OS เวอร์ชันเก่าๆ อย่างไรก็ดีความโดดเด่นของ Kobalos ที่ทำให้แตกต่างจากมัลแวร์ตัวอื่นมีดังนี้

  • โค้ดขนาดเล็กมากเพียงแค่ 24 KB เท่านั้น แต่ภายในมีความซับซ้อนสูง โดยถูกเรียกเพียงครั้งเดียว จากนั้นจะทำ Recursive เพื่อรันการปฏิบัติการอีก 37 กิจกรรม หนึ่งในนั้งคือการแปลงเครื่องเหยื่อเป็นเซิร์ฟเวอร์ C&C
  • มีการทำ Obfuscation ให้โค้ด
  • มีการเข้ารหัสการสื่อสาร
  • อายุการฝังตัวของมัลแวร์ไม่แน่ชัดแต่มี String บางส่วนเชื่อมโยงได้กับ Windows 3.11 และ Windows 95 และที่แน่ๆคืออยู่ก่อนการค้นพบมัลแวร์ที่โจมตี Supercomputer ตัวแรกๆ ในปี 2019
  • แม้จะเล็งเครื่องที่มีทรัพยากรมากมาย แต่มัลแวร์ไม่มีการขุดเหมืองแต่อย่างใด
  • ปัจจุบันยังไม่มีการฟังธงถึงเป้าหมายที่แน่ชัด เพราะผู้เชี่ยวชาญยังไม่พบ Payload ที่เจาะจง แต่ที่มั่นใจคือมีการแก้ไขเปลี่ยนแปลง OpenSSH Client

นอกจากนี้ผู้เชี่ยวชาญยังพบวิธีการเข้าเชื่อมต่อระหว่างคนร้ายกับมัลแวร์ว่าเป็นไปได้ 3 ทางคือ 1.) เปิด TCP Listening รอการเชื่อมต่อ 2.) คุยผ่านเครื่องเหยื่ออื่นที่เป็น C&C Server 3.) แฝงตัวกับ OpenSSH ที่เปิดอยู่แล้ว การศึกษาครั้งนี้ผู้เชี่ยวชาญยังไม่สามารถสรุปอะไรอีกหลายอย่าง ทั้งเรื่องอายุและวิธีการเข้าโจมตี อย่างไรก็ดีหากท่านใดสนใจเบื้องหลังเชิงเทคนิคสามารถเข้าไปอ่านได้ที่บล็อกของ ESET ที่ https://www.welivesecurity.com/2021/02/02/kobalos-complex-linux-threat-high-performance-computing-infrastructure/ 

ที่มา : https://www.bleepingcomputer.com/news/security/new-linux-malware-steals-ssh-credentials-from-supercomputers/

from:https://www.techtalkthai.com/kobalos-linux-malware-targets-massive-supercomputer/

ผู้เชี่ยวชาญเตือนคนร้ายใช้ช่องโหว่เก่าบน ESXi เข้ามาปล่อยแรนซัมแวร์ แนะผู้ใช้ควรอัปเดต

มีการค้นพบความพยายามใช้ช่องโหว่เก่าบน VMware ESXi เข้ามาปล่อยแรนซัมแวร์ ด้วยเหตุนี้จึงขอแจ้งเตือนให้ผู้ใช้ได้ทำการอัปเดต

Credit: Pavel Ignatov/ShutterStock

ช่องโหว่ที่ถูกใช้งานคือ CVE-2019-5544 และ CVE-2020-3992 เกิดขึ้นกับโปรโตคอล Service Location Protocol (SLP) ที่อุปกรณ์ภายในเครือข่ายใช้คุยระหว่างกัน รวมถึงตัว ESXi ด้วย โดยคนร้ายจะสามารถส่ง SLP Request ไปยังอุปกรณ์ ESXi และนำไปสู่การเข้ายึดเครื่องได้โดยไม่ต้องไปแทรกแซง vCenter เลย 

ทั้งนี้ความพยายามลักษณะนี้ไม่ใช้ครั้งแรกเพราะเมื่อตุลาคมปีก่อนก็ถูกใช้โจมตีแล้วในผู้ใช้แรนซัมแวร์สายพันธุ์ RansomExx เพื่อมาเข้ารหัส VHD ในองค์กร ซึ่งล่าสุดเมื่อเดือนที่ผ่านมาก็มีรายงานพบการโจมตีลักษณะเช่นนี้อีกในกลุ่มผู้ใช้แรนซัมแวร์ Babuk Locker ดังนั้นก่อนที่เหตุการณ์จะรุนแรงไปกว่านี้ จึงเตือนให้ผู้ใช้งาน ESXi ทุกท่านเข้าไปอัปเดตแพตช์หรือปิดการใช้งาน SLP หากไม่จำเป็นต้องใช้ โดยศึกษาวิธีการป้องกันเพิ่มเติมได้ https://kb.vmware.com/s/article/76372 

ที่มา : https://www.zdnet.com/article/ransomware-gangs-are-abusing-vmware-esxi-exploits-to-encrypt-virtual-hard-disks/

from:https://www.techtalkthai.com/esxi-vulnerabilities-abuse-by-ransomware-operators/

[Guest Post] สำคัญมาก! แคสเปอร์สกี้เตือนผู้ใช้ iOS ให้อัปเดตเป็นเวอร์ชั่น 14.4 ด่วน!

เมื่อวันที่ 26 มกราคม Apple เปิดตัวการอัปเดตความปลอดภัยเพื่อปิดช่องโหว่ซีโร่เดย์ 3 รายการ ได้แก่ CVE-2021-1780 CVE-2021-1781 และ CVE-2021-1782 เนื่องจาก Apple เชื่อว่ามีอาชญากรไซเบอร์กำลังใช้งานช่องโหว่ดังกล่าว จึงแนะนำให้ผู้ใช้ iOS และ iPadOS อัปเดตระบบปฏิบัติการของตน

 

จากข้อมูลที่มีในตอนนี้ คาดว่าผู้ก่อภัยคุกคามอาจใช้ช่องโหว่ทั้งสามรายการเป็นเอ็กซ์พลอยต์ เชน (exploit chain) ในการหาประโยชน์ ทั้งนี้ Apple ได้ชะลอการเปิดเผยรายละเอียดเพิ่มเติมด้วยยังอยู่ในขั้นตอนการสืบสวน และเพื่อการปกป้องผู้ใช้งาน

ผู้เชี่ยวชาญของแคสเปอร์สกี้ขอแนะนำให้ดำเนินการอัปเดตโดยเร็วที่สุดเพื่อความปลอดภัย โดยในเว็บไซต์ของ Apple ระบุว่าการอัปเดตมีให้สำหรับ iPhone 6 และรุ่นใหม่กว่า, iPad Air 2 และรุ่นใหม่กว่า, iPad mini 4 และรุ่นใหม่กว่าและ iPod touch รุ่นที่ 7

วิคเตอร์ เชบีเชฟ นักวิเคราะห์ด้านความปลอดภัยของแคสเปอร์สกี้ กล่าวว่า “เป็นที่ทราบกันดีอยู่แล้วว่าการทำให้ iPhone หรือ iPad ติดมัลแวร์และการรูทอุปกรณ์เพื่อดักข้อมูลจากอุปกรณ์นั้นเป็นงานที่ยากมาก อย่างไรก็ตาม ก็ยังมีวิธีการหนึ่งที่มีประสิทธิภาพในการติดมัลแวร์ นั่นคือการโจมตีแบบ Drive-By-Download เป้าหมายจะต้องไปที่หน้าเว็บที่ออกแบบมาเป็นพิเศษ ซึ่งมีเอ็กซ์พลอยต์ที่ใช้ช่องโหว่ในเบราว์เซอร์เพื่อเรียกใช้โค้ดของผู้โจมตี ซึ่งเป็นเรื่องที่อันตราย เนื่องจากผู้โจมตีสามารถเข้าถึงข้อมูลที่มีค่าในเบราว์เซอร์ได้ในภายหลัง อย่างไรก็ตาม การโจมตีนี้พัฒนาต่อไปโดยการส่งเพย์โหลดซึ่งเป็นเอ็กซ์พลอยต์อีกตัวให้จัดการช่องโหว่ในโอเอสเคอร์เนล ที่อาจทำให้ผู้โจมตีเข้าถึงระบบได้ลึกขึ้นและ  เข้าถึงข้อมูลทั้งหมด รวมถึงการแชทในแอปข้อความโซเชียลเน็ตเวิร์ก ข้อมูลตำแหน่งทางภูมิศาสตร์ ประวัติการโทร และอีเมลขององค์กร สถานการณ์ดังกล่าวเป็นอันตรายอย่างยิ่ง และการอัปเดตความปลอดภัยสำหรับระบบปฏิบัติการ 14.4 มีจุดประสงค์เพื่อป้องกันไม่ให้เกิดเหตุขึ้น”

“เหตุผลที่การอัปเดตให้เร็วที่สุดเป็นเรื่องสำคัญมาก เพราะความเป็นไปได้ที่จะตกอยู่ในสถานการณ์ข้างต้นนั้นสูงมาก เนื่องจากผู้โจมตีมักจะวางกับดักไว้ที่แพลตฟอร์มเว็บยอดนิยมที่มีผู้ชมจำนวนมากสำหรับการโจมตีประเภทนี้ และโอกาสที่คุณหรือคนใกล้ชิดจะได้รับผลกระทบก็จะยิ่งเพิ่มสูงมากขึ้น” วิคเตอร์กล่าวเสริม

 

สามารถดูข้อมูลเพิ่มเติมได้ที่ https://www.kaspersky.com/blog/update-ios-to-14-4-immediately/38599/

 

from:https://www.techtalkthai.com/guest-post-kaspersky-ios-14-4/

SonicWall ถูกแฮ็ก ด้วยช่องโหว่ Zero-day จากโซลูชัน VPN

SonicWall ได้ประกาศแจ้งเตือนต่อลูกค้าว่าพบการโจมตีของคนร้าย ด้วยช่องโหว่ Zero-day ในผลิตภัณฑ์ VPN

หลายท่านคงทราบกันดีแล้วว่า SonicWall เป็นผู้ให้บริการด้านโซลูชัน Security หลายตัวเช่น Firewall, VPN Gateway และ Network Security อื่นๆ อย่างไรก็ดีเมื่อวันศุกร์ที่ผ่านมาบริษัทได้ออกการแจ้งเตือนด่วนว่าพบการบุกรุกเครือข่ายของตนผ่านทางช่องโหว่ Zero-day ในโซลูชัน VPN ซึ่งล่าสุดมีการอัปเดตผลกระทบว่าเกี่ยวข้องกับผลิตภัณฑ์ดังนี้

  • NetExtender ซึ่งเป็น VPN Client เวอร์ชัน 10.x ที่ใช้กับ Appliance SMA ซีรีย์ 100 และ Firewall
  • SMA เวอร์ชัน 10.x ที่รันบน SMA Appliance 200, 210, 400 และ 410 และ Virtual Appliance 500v

นอกนั้นตัว Firewall เองไม่ได้รับผลกระทบ อย่างไรก็ดี SMA ซีรีย์ 100 ยังอยู่ในระหว่างสืบสวน สำหรับระหว่างที่ยังไม่มีแพตช์ออกมาทาง SonicWall แนะนำให้ลูกค้าปฏิบัติตัวโดยการสร้าง Firewall Rule หรือ SMA อนุญาตแค่ SSL-VPN Connection จาก Whitelist IP เท่านั้น ล่าสุดยังไม่มีการอัปเดตจาก SonicWall มากนัก แต่มีคนร้ายแอบอ้างกระจายข่าวให้นักข่าวหลายสำนักว่าแฮ็กเข้าไปได้ถึงไหน หรือปล่อยแรนซัมแวร์ พร้อมขโมยข้อมูลลูกค้าแล้ว ทั้งนี้ก่อนที่จะได้รับการแถลงจาก Vendor ทางผู้ดูแลก็สามารถป้องกันตัวไปพลางก่อนด้วยการเปิด MFA สำหรับ VPN Client นะครับ

ที่มา : https://www.bleepingcomputer.com/news/security/sonicwall-firewall-maker-hacked-using-zero-day-in-its-vpn-device/ และ https://www.securityweek.com/sonicwall-says-internal-systems-targeted-hackers-exploiting-zero-day-flaws

from:https://www.techtalkthai.com/sonicwall-hacked-via-zero-day-in-vpn-product/

Microsoft เปิดเผยความซับซ้อนของแฮ็กเกอร์ที่โจมตี SolarWinds

Microsoft เป็นอีกหนึ่งทีมงานที่ได้รับผลกระทบจากการที่ SolarWinds Orion ถูกแทรกแซง โดยหลังจากศึกษามาระยะหนึ่งทีมงานได้พบกับความจริงว่าทำไม คนร้ายระดับพระกาฬนี้จึงสามารถซ่อนตัวได้อย่างยาวนาน

credit : microsoft

Microsoft และ FireEye ได้ตรวจพบมัลแวร์ที่ชื่อ Sunburst หรือ Solorigate ซึ่งเป็น DLL ตัวหนึ่งที่ถูก Inject เข้ามาใน SolarWinds Orion เพื่อเป็น Backdoor หลังจากนั้นก็จะมีการโหลดเครื่องมืออื่นๆต่อไป อย่างไรก็ดี Microsoft ได้เปิดเผยเทคนิคต่างๆ ที่คนร้ายดำเนินการไว้ดังนี้

1.) หลังจากแฝงตัวในซอฟต์แวร์ Orion ซึ่งกระจายออกสู่ผู้ใช้งานในเดือนมีนาคม คนร้ายใช้เวลาคัดเลือกเป้าหมายที่สนใจนานนับเดือน และเมื่อเข้าไปปฏิบัติการที่ลูกค้าได้แล้วยังกลับมาลบมัลแวร์ใน Orion ออกไปในเดือนมิถุนายน

2.) ในแต่ละโฮสต์ที่คนร้ายเข้าแทรกแซงนั้น มีการ Customize Cobalt Strike DLL ไม่เหมือนกันเลย เพื่อหลีกเลี่ยงการตรวจจับ

3.) ก่อนที่จะพิมพ์อะไร จะปิด Log ก่อนด้วย AUDITPOL แล้วค่อยพิมพ์คำสั่ง

4.) สร้าง Firewall Rule เพื่อจำกัดให้มีแพ็กเก็ตขาออกน้อยที่สุดในแต่ละโปรโตคอล และลบ Rule ออกหลังจากทำการ Reconnaissance เครือข่ายเหยื่อสำเร็จ

5.) เปลี่ยนชื่อเครื่องมือ และไบนารี รวมถึงใส่ไว้ในโฟลเดอร์ที่ดูเหมือนไฟล์หรือโปรแกรมที่อยู่บนเครื่องอยู่แล้ว

6.) ก่อนเริ่มทำการสิ่งใดจะคอยปิดบริการด้านความมั่นคงปลอดภัยบนเครื่องเสียก่อน

7.) เชื่อว่ามีการแก้ไขค่า Timestamp และมีการลบบางอย่างออก

8.) แยกการ Execute ของ Cobalt Strike Loader ออกจากโปรเซสของ SolarWinds Binary ให้มากที่สุด เพราะกรณีที่ Loader ถูกพบก็ยังเหลือไบนารีที่ถูกแทรกแซงได้ของ SolarWinds ไว้ทำงานต่อได้

ผู้สนใจสามารถเข้าไปอ่านรายงานเต็มๆจาก Microsoft ได้ที่ https://www.microsoft.com/security/blog/2021/01/20/deep-dive-into-the-solorigate-second-stage-activation-from-sunburst-to-teardrop-and-raindrop/ 

ที่มา : https://www.bleepingcomputer.com/news/security/microsoft-shares-how-solarwinds-hackers-evaded-detection/ และ https://www.zdnet.com/article/microsoft-this-is-how-the-sneaky-solarwinds-hackers-hid-their-onward-attacks-for-so-long/

from:https://www.techtalkthai.com/microsoft-discloses-about-sophisticate-operation-in-solarwinds-incident/