คลังเก็บป้ายกำกับ: THREATS_UPDATE

พบมัลแวร์ใช้เข้ารหัสแบบเก่าของ Excel หลบเลี่ยงการตรวจจับ

ผู้เชี่ยวชาญจาก Mimecast ได้ออกมาเตือนถึงการพบโทรจัน LimeRAT ที่ได้ใช้การเข้ารหัสใน Excel เวอร์ชันเก่ามาใช้ใหม่เพื่อหลบเลี่ยงการตรวจจับ

LimeRAT เป็นโทรจันที่ถูกพบมาตั้งแต่ปี 2013 แล้ว ซึ่งคนร้ายได้คิดวิธีการหลบเลี่ยงการตรวจจับโดยอาศัยการเข้ารหัสใน Excel เวอร์ชันเก่า ไอเดียคือเราจะคิดว่าไฟล์ Excel ที่เข้ารหัสจะต้องใส่รหัสเพื่อเปิดไฟล์ก่อน แต่อันที่จริงแล้วมีการ Hardcode รหัสผ่าน ‘VelvetSweatshop‘ ใน Excel เวอร์ชันเก่าซึ่ง Excel ยังรองรับอยู่ (ข้อมูลจากในลิงก์ปี 2018) ทั้งนี้นักวิจัยจาก Mimecast พบว่าคนร้ายได้นำไปใช้กับมัลแวร์ LimeRAT เพื่อให้ตอนเปิดไฟล์ไม่ติดรหัสผ่าน ประกอบกับเมื่อเป็นไฟล์ประเภท Read-only ตัว Excel จะถอดรหัสผ่านให้อัตโนมัติ  ขอเพียงแค่เหยื่อคลิกเปิดไฟล์เท่านั้น

อย่างไรก็ดีนักวิจัยยังพบฟีเจอร์อื่นๆ ของโทรจัน เช่น การแพร่ผ่านไดร์ฟ USB, ตรวจว่าอยู่ใน VM หรือไม่เพื่อไม่ให้ Reverse Engineering ได้โดยง่าย, ล็อกหน้าจอ และลอบขโมยข้อมูลเพื่อส่งไปกลับไปยังเซิร์ฟเวอร์ควบคุมเป็นต้น ทั้งนี้ไม่ว่าจะประดิษฐ์การโจมตีอย่างไรแต่ทางที่คนร้ายใช้ส่งไฟล์หาเหยื่อก็คืออีเมลนั่นเอง

ที่มา :  https://www.zdnet.com/article/limerat-malware-is-being-spread-through-velvetsweatshop-excel-encryption-technique/ และ  https://redmondmag.com/articles/2020/03/31/attackers-using-excel-read-only-files.aspx

from:https://www.techtalkthai.com/limerat-trojan-reuse-old-excel-encrypt-and-read-only-file-to-infect-user/

เครือ Marriot ถูกแฮ็ก อีกแล้ว!

Marriot ได้เปิดเผยข้อมูลว่าถูกแฮ็กอีกครั้ง โดยครั้งนี้คนร้ายได้เข้าถึงข้อมูลแอป Loyalty ของตนซึ่งกระทบกับข้อมูลลูกค้ากว่า 5,200,000 ราย

Credit: ShutterStock.com

Marriot ได้ประกาศผ่านหน้าเว็บไซต์ว่ารับทราบเหตุการณ์ถูกแฮ็กช่วงปลายกุมภาพันธ์ ซึ่งแฮ็กเกอร์ได้ใช้ Credentials ของพนักงาน 2 รายจากธุรกิจแบบแฟรนไชส์ เพื่อเข้าถึงข้อมูลระบบ Backend ของแอป Loyalty Marriot Bonvoy โดยการโจมตีเกิดขึ้นตั้งแต่ราวกลางเดือนมกราคมที่ผ่านมา 

สำหรับข้อมูลที่คาดว่าน่าจะได้รับผลกระทบมีดังนี้

  • ที่อยู่ติดต่อ เช่น ชื่อ-นามสกุล อีเมล เบอร์โทรศัพท์
  • บัญชีผู้ใช้แอป เช่น เลขของบัญชี คะแนนสะสม
  • ข้อมูลส่วนตัว เช่น เพศ บริษัท วันและเดือนเกิด
  • ข้อมูลที่เชื่อมโยงกับโครงการพันธมิตรเช่น ข้อมูลสายการบินที่ใช้

อย่างไรก็ดีปัจจุบัน Marriot ยังไม่มีหลักฐานแน่ชัดว่าแฮ็กเกอร์ได้เข้าถึงรหัสผ่านบัญชี รายละเอียดของบัตรจ่ายเงิน เลขพาสสปอร์ต เลขใบขับขี่ หรือเลขประจำตัวประชาชนด้วยหรือไม่ ถือเป็นครั้งที่ 2 แล้วในรอบเพียง 16 เดือนที่ Marriot ถูกแฮ็กแม้ว่าคราวนี้ผู้ได้รับผลกระทบจะมีน้อยกว่าเดิมก็ตาม สำหรับผู้ที่เคยเป็นลูกค้าของโรงแรมหรือกังวลว่าจะได้รับผลกระทบ สามารถตรวจสอบตัวเองได้ผ่านหน้าเว็บที่ Marriot เปิดให้ตรวจสอบข้อมูล

ที่มา :  https://www.zdnet.com/article/marriott-discloses-new-data-breach-impacting-5-2-million-hotel-guests/ และ  https://techcrunch.com/2020/03/31/marriott-hotels-breached-again/

from:https://www.techtalkthai.com/marriot-was-hacked-again/

Microsoft DART รายงานเหตุการณ์พบแฮ็กเกอร์ 6 กลุ่มในเครือข่ายของลูกค้ารายเดียว

Microsoft Detection and Respond Team (DART) ได้ออกรายงานเล่าประสบการณ์จากการเข้าไปแก้ปัญหาให้ลูกค้าที่พบแฮ็กเกอร์ถึง 6 กลุ่มในเครือข่ายของลูกค้ารายเดียว

credit : microsoft

Microsoft DART เป็นทีมงานที่จะเข้าช่วยลูกค้าในกรณีพบปัญหาทางไซเบอร์ในเชิงลึก โดยรายงานในครั้งนี้ได้พูดถึงลูกค้ารายใหญ่แห่งหนึ่งที่เครือข่ายถูกโจมตีโดยแฮ็กเกอร์ถึง 6 กลุ่ม ซึ่งแฮ็กเกอร์สามารถเข้าไปลอบขโมย Credentials ระดับผู้ดูแล ข้อมูลและอีเมล์ได้นานถึง 243 วัน

ปัญหาโดยสรุปคือ Microsoft พบว่าลูกค้ารายนี้ไม่ได้เปิดใช้ Multi-factor Authentication ซึ่งกว่า 243 วันที่ลูกค้าไม่สามารถไล่แฮ็กเกอร์ออกไปจากระบบได้จึงเชื้อเชิญให้ทีม DART เข้ามาดู แม้ว่าวันแรกที่เข้ามาทีมงานจะสามารถดีดแฮ็กเกอร์ออกไปได้หนึ่งกลุ่ม แต่ต้องตะลึงเมื่อพบกับแฮ็กเกอร์อีก 5 กลุ่มในเครือข่าย

แฮ็กเกอร์ได้ใช้เทคนิค Password Spraying (โจมตีหลายบัญชีพร้อมกันกับรหัสผ่านที่คาดว่าน่าจะถูกใช้บ่อย ซึ่งช่วยสู้มาตรการล็อกเอ้าต์เมื่อล็อกอินผิด ได้ดีกว่าวิธี Brute-forced ที่ทำทีละบัญชี) กับบัญชีผู้ดูแล Office 365 และจากนั้นก็ไปค้นหา Credentials ในอีเมลที่พนักงานแชร์กันมา โดยทีมพบว่าแฮ็กเกอร์มองหาทรัพย์สินทางปัญญาของบริษัท 

ทั้งนี้ Microsoft ได้แนะนำ 5 ขั้นตอนเพื่อช่วยองค์กรป้องกันการโจมตีของคนร้ายแบบ APT เช่นนี้ไว้ประกอบด้วย การใช้ MFA ยกเลิกการใช้วิธีการพิสูจน์ตัวตนแบบเก่าๆ สอนให้พนักงานตอบสนองเหตุการณ์ มี SIEM เพื่อเก็บ Log และจำไว้ว่าแฮ็กเกอร์อาจใช้เครื่องมือผู้ดูแลปกติเพื่อค้นหาเหยื่อได้

ผู้สนใจสามารถอ่านรายงานเต็มๆ ได้ที่นี่

ที่มา :  https://www.zdnet.com/article/microsoft-shares-nightmare-tale-6-sets-of-hackers-on-a-customers-network/

from:https://www.techtalkthai.com/microsoft-dart-report-experience-one-organize-with-six-hackers/

Trend Micro ประกาศแพตช์ 2 ช่องโหว่ Zero-day และ 3 ช่องโหว่ร้ายแรง แนะผู้ใช้เร่งอัปเดต

Trend Micro ได้พบการโจมตีช่องโหว่ Zero-day 2 รายการจากคนร้ายและยังพบช่องโหว่ร้ายแรงอีก 3 รายการ ซึ่งทั้งหมดกระทบกับผลิตภัณฑ์ Antivirus อย่าง Apex One และ OfficeScan

ช่องโหว่ Zero-day

รายละเอียดส่วนนี้ Trend Micro ไม่ได้เปิดเผยมากนัก เพียงแต่แน่ชัดว่ามีกลุ่มแฮ็กเกอร์ได้เริ่มพยายามใช้โจมตีแล้ว โดยรายละเอียดคือ

  • CVE-2020-8467 (CVSS 9.1) – เกิดขึ้นกับ Apex One และ OfficeScan โดยทำให้แฮ็กเกอร์สามารถลอบรันโค้ดจากทางไกล (RCE) บนเครื่องที่ติดตั้งผลิตภัณฑ์ได้
  • CVE-2020-8468 (CVSS 8.0) – เกิดขึ้นกับ Agent ของ Apex One และ OfficeScan โดยแฮ็กเกอร์สามารถเข้าไปแทรกแซง Agent บนเครื่องเหยื่อได้

อย่างไรก็ตามช่องโหว่ทั้งสองจำเป็นต้องผ่านการพิสูจน์ตัวตนก่อน (เข้าไปถึงเครื่องเหยื่อได้แล้ว) แต่ถึงอย่างนั้นความรุนแรงก็ยังน่ากังวล โดยเมื่อปีก่อนแฮ็กเกอร์จากจีนได้เข้าแฮ็ก Mitsubishi Electric ของญี่ปุ่นด้วยช่องโหว่ Zero-day บนผลิตภัณฑ์ OfficeScan มาแล้ว 

ช่องโหว่ร้ายแรง

  • CVE-2020-8470 – กระทบกับเซิร์ฟเวอร์ของ Apex One และ OfficeScan เกี่ยวกับไฟล์ DLL ที่อนุญาตให้แฮ็กเกอร์สามารถเข้าไปลบไฟล์บนเซิร์ฟเวอร์ในระดับสิทธิ์ของ SYSTEM โดยไม่ต้องผ่านการพิสูจน์ตัวตน
  • CVE-2020-8589 – กระทบกับเซิร์ฟเวอร์ของ Apex One และ OfficeScan เกี่ยวกับไฟล์ DLL ที่ทำให้แฮ็กเกอร์สามารถเข้าไปลอบรันโค้ดจากทางไกล (RCE) ในระดับสิทธิ์ของ SYSTEM โดยไม่ต้องผ่านการพิสูจน์ตัวตน
  • CVE-2020-8599 – เซิร์ฟเวอร์ของ Apex One และ OfficeScan มีช่องโหว่จากไฟล์ EXE ทำให้แฮ็กเกอร์จากทางไกลสามารถเข้าไปเขียนข้อมูลใน Path ที่ได้รับผลกระทบจากการติดตั้งและลัดผ่านการล็อกอินระดับ Root ทั้งนี้ไม่ต้องมีการพิสูจน์ตัวตน

ช่องโหว่ร้ายแรงทุกรายการครั้งนี้มีความรุนแรง CVSS ถึง 10/10 และแพตช์ได้ตามรูปด้านบน โดย Trend Micro ได้ให้เครดิตแก่ทีมงานภายในที่ค้นพบช่องโหว่ทั้ง 5 รายการ ดังนั้นผู้ใช้งานควรเร่งอัปเดตครับ

ที่มา :  https://www.zdnet.com/article/two-trend-micro-zero-days-exploited-in-the-wild-by-hackers/

from:https://www.techtalkthai.com/trend-micro-patches-2-zeo-day-and-3-critical-vulnerabilities-for-apexone-and-officescan/

Microsoft เข้าทลายเครือข่าย Necurs Botnet

Microsoft ได้ประกาศการเข้าจัดการเครือข่าย Botnet ครั้งใหญ่โดยมีพันธมิตรร่วมกันกว่า 35 ประเทศ

Necurs Botnet ถือเป็นเครือข่าย Botnet ที่ใหญ่ที่สุด ณ เวลานี้เลยก็ว่าได้ โดยเริ่มปฏิบัติการมาตั้งแต่ปี 2012 แล้ว ซึ่งมีเหยื่อกว่า 9 ล้านเครื่องทั่วโลก ทั้งนี้ Necurs Botnet ยังถูกใช้ให้เป็นฐานปฏิบัติการจากกลุ่มแฮ็กเกอร์อื่นๆ ด้วยเช่น Dridex Banking Trojan, RAT และ Ransomware เป็นต้น โดยจากการสืบสวนพบว่าเครื่อง Bot บางตัวได้ส่งอีเมลสแปมออกไปแล้วกว่า 3.8 ล้านฉบับไปยังเหยื่ออื่นกว่า 4.6 ล้านเครื่อง

ไอเดียการทลายเครือข่ายครั้งนี้คือ Microsoft สามารถแกะอัลกอริทึมการสร้างโดเมนของคนร้ายได้ โดยสามารถทำนายลิสต์รายชื่อกว่า 6 ล้านโดเมนที่อาจถูกสร้างขึ้นใน 25 เดือนข้างหน้า ดังนั้นจึงประสานงานกับพาร์ทเนอร์ (Domain Registry, CERT และหน่วยงานทางกฏหมาย) ให้ช่วยบล็อกการลงทะเบียนโดเมนใหม่ที่เป็นฐาน C&C เหล่านั้นได้ ส่วนโดเมนที่มีอยู่แล้วในฝั่งอเมริกา Microsoft ได้รับคำสั่งจากศาลให้เข้าจัดการได้ ส่วนประเทศอื่นๆ มีหน่วยงานทางกฏหมายมาช่วยกันจัดการ

ดังนั้นปัจจุบัน Microsoft สามารถป้องกันการสร้างโดเมนใหม่ของแฮ็กเกอร์ได้แล้ว พร้อมกับจัดการเซิร์ฟเวอร์ที่มีอยู่ได้เช่นกัน ในขั้นต่อไปทาง Microsoft จะประสานงานกับ ISP และ CERT เพื่อแจ้งเตือนเหยื่อให้จัดการมัลแวร์ต่อไป

ผู้สนใจสามารถศึกษารายละเอียดเพิ่มเติมได้จาก BitSight ผู้เชี่ยวชาญด้าน Cybersecurity ที่มีส่วนกับปฏิบัติการครั้งนี้ได้ที่นี่

ที่มา :  https://www.zdnet.com/article/microsoft-orchestrates-coordinated-takedown-of-necurs-botnet/

from:https://www.techtalkthai.com/microsoft-and-partners-seize-necurs-botnet/

เตือนระวังเว็บอัปเดตสถานการณ์ Covid-19 หลอกติดตั้งมัลแวร์

มุขใหม่ของแฮ็กเกอร์ในคราวนี้อาศัยความตื่นตระหนกในสถานการณ์ Covid-19 โดยไอเดียคือสร้างเว็บไซต์ที่อัปเดตสถานการณ์การแพร่ระบาดให้น่าดึงดูดแต่สุดท้ายก็หลอกเหยื่อที่เข้ามาชมให้ติดมัลแวร์

credit : thenextweb

มีการเตือนแคมเปญพบเว็บไซต์ปลอม (www.Corona-Virus-Map[.]com) ของแฮ็กเกอร์ที่ทำทีเป็นแผนที่อัปเดตการแพร่กระจายของไวรัสโคโรน่า (ตามภาพด้านบน) พร้อมข้อมูลต่างๆ เช่น สถิติการเสียชีวิต จำนวนผู้ที่รักหาหาย และจำนวนผู้ติดเชื้อ เป็นต้น ซึ่งมีการอ้างอิงข้อมูลจามหาวิทยาลัย John Hopkins

อย่างไรก็ตามผู้เชี่ยวชาญจาก Malwarebytes และ Reason Labs ได้ออกมาเตือนและเจาะลึกไปพบว่าแฮ็กเกอร์ได้ล่อลวงให้เหยื่อดาวน์โหลดแอปพลิเคชันเพื่อติดตามสถานการณ์ แต่อันที่จริงแล้วก็คือมัลแวร์ที่ชื่อ AZORult ที่มีฟีเจอร์เช่น ลอบขโมยเงินดิจิทัล เก็บภาพหน้าจอ ขโมยข้อมูล Cookies หรือประวัติการใช้งานบราวเซอร์และอื่นๆ ทั้งนี้จึงเตือนให้ผู้ใช้งานระมัดระวังการดาวน์โหลดหรือเข้าชมเว็บไซต์ที่เกี่ยวกับวิกฤตขณะนี้ โดยก่อนหน้านี้ทาง Check Point ก็เคยออกมาเตือนว่าพบโดเมนอันตรายที่บังหน้าด้วยเรื่องไวรัสโคโรน่าแล้วกว่า 50 โดเมน

ที่มา :  https://thenextweb.com/security/2020/03/11/hackers-are-using-coronavirus-maps-to-infect-your-computer/ และ  https://www.scmagazine.com/home/security-news/malicious-coronavirus-map-hides-azorult-info-stealing-malware/

from:https://www.techtalkthai.com/hacker-uses-coronavirus-update-map-lure-victim-to-infect-malware/

พบช่องโหว่ Zero-day บนผลิตภัณฑ์ Zoho ManageEngine

Steven Seeley นักวิจัยด้านความมั่นคงปลอดภัยได้เปิดเผยช่องโหว่ Zero-day บนผลิตภัณฑ์ ManageEngine Desktop Central ของบริษัท Zoho ซึ่งทำให้แฮ็กเกอร์สามารถลอบรันโค้ดจากทางไกลในสิทธิ์ระดับสูงได้

credit : zoho

Zoho Corporation เป็นบริษัทด้านซอฟต์แวร์สัญชาติอเมริกัน-อินเดีย โดยผลิตภัณฑ์ระดับองค์กรที่พบปัญหาในครั้งนี้คือ ManageEngine Desktop Central หรือโซลูชันด้าน Endpoint Mangement ที่ช่วยให้ผู้ดูแลขององค์กรสามารถควบคุมอุปกรณ์ต่างได้ เช่น การอัปเดต ควบคุมระบบจากทางไกล ล็อกอุปกรณ์ หรือจำกัดการเข้าถึง เป็นต้น 

โดยช่องโหว่เกิดขึ้นใน FileStorage ที่ตรวจสอบข้อมูลจากผู้ใช้ไม่ดีพอ ทำให้เกิดการ Deserialization และนำไปสู่การลอบรันโค้ดในบริบทของ SYSTEM ได้ ปัจจุบันนักวิจัยไม่ได้แจ้งต่อบริษัทแต่เปิดเผยโค้ด PoC ผ่านออนไลน์ ซึ่งล่าสุดทาง Zoho ออกแพตช์มาแล้วที่นี่ (CVE-2020-10189) โดยข้อมูลจาก Microsoft ระบุว่าการใช้งาน ManagedEngine Desktop Central กว่า 2,300 เครื่องที่เชื่อมต่อกับอินเทอร์เน็ต

ที่มา :  https://www.zdnet.com/article/zoho-zero-day-published-on-twitter/ และ  https://www.securityweek.com/zoho-working-patch-zero-day-vulnerability-manageengine-product

from:https://www.techtalkthai.com/zero-day-exposed-in-zoho-manageegine-desktop-central/