คลังเก็บป้ายกำกับ: THREATS_UPDATE

ผู้เชี่ยวชาญพบมัลแวร์ ‘SystemBC’ ใช้ SOCKS5 Proxy อำพรางการเชื่อมต่อ

ทีมผู้เชี่ยวชาญจาก Proofpoint ได้ออกมาเปิดเผยถึงการค้นพบมัลแวร์ที่ชื่อ SystemBC ซึ่งได้อาศัยการใช้งาน SOCKS5 Proxy เพื่ออำพรางทราฟฟิคความเชื่อมโยงกับมัลแวร์อื่นๆ

Credit: ShutterStock.com

ไอเดียคือคนร้ายจะใช้เครื่องมือเจาะระบบ Fallout และ RIG เข้าไปยังเครื่องเหยื่อจากนั้นจึงนำส่งมัลแวร์ SystemBC และ Danabot Banking Trojan แต่ความน่าสนใจคือ SystemBC ที่ถูกเขียนด้วย C++ จะมีหน้าที่หลักเพื่อเข้าไปตั้ง SOCKS5 Proxy ในเครื่องเหยื่อ โดยมีจุดประสงค์เพื่ออำพรางทราฟฟิคที่เชื่อมโยงกับมัลแวร์อื่น ทั้งนี้จากการวิเคราะห์นักวิจัยพบว่ามัลแวร์ตัวนี้ถูกโปรโมตอยู่ในตลาดใต้ดินตั้งแต่ปลายเมษายน ซึ่งถึงแม้จะใช้ชื่อว่า ‘socks5 backconnect system’ แต่มีฟีเจอร์ตรงกับตัวอย่างที่ค้นพบ

สำหรับผู้สนใจเพิ่มเติมสามารถติดตามรายงานฉบับเต็มและค่า IOCs ได้ที่นี่

ที่มา :  https://www.bleepingcomputer.com/news/security/new-systembc-malware-uses-your-pc-to-hide-malicious-traffic/ และ  https://www.scmagazine.com/home/security-news/malware/rig-fallout-eks-used-to-deliver-new-systembc-malware/

from:https://www.techtalkthai.com/systembc-malware-hide-traffic-via-socks5-proxy/

โฆษณา

Honda เผลอตั้งค่า ElasticSearch Database พลาด ข้อมูลพนักงานกว่า 300,000 คนเสี่ยงหลุดสู่สาธารณะ

Justin Paine นักวิจัยด้านความมั่นคงปลอดภัยออกมาเปิดเผยถึงเหตุข้อมูลรั่วบน ElasticSearch Database ล่าสุด หลังพบว่า Honda เผลอเปิดให้ใครก็ตามสามารถเข้าถึง Database ได้จากอินเทอร์เน็ต ส่งผลให้ข้อมูลพนักงานกว่า 300,000 คนและเอกสารกว่า 40 GB เสี่ยงหลุดสู่สาธารณะ

Paine ระบุว่า ข้อมูลบน ElasticSearch Database ที่เขาค้นพบนั้น ประกอบด้วยข้อมูลลิสต์รายการของอุปกรณ์ภายใน Honda ได้แก่ Hostname, MAC Address, IP ภายใน, เวอร์ชันของระบบปฏิบัติการ, สถานะการแพตช์ และสถานะของซอฟต์แวร์ Endpoint Security รวมไปถึงข้อมูลชื่อและอีเมลของทั้งผู้บริหารและพนักงานทั่วโลกอีกกว่า 300,000 คน ถ้าข้อมูลเหล่านี้หลุดออกไปอาจเปิดช่องให้แฮ็กเกอร์ทราบถึงสถานการณ์ภายในของระบบเครือข่ายของ Honda และตั้งเป้าโจมตีได้ง่าย นอกจากนี้ยังพบข้อมูลเอกสารอีกประมาณ 134 ล้านฉบับ รวมแล้วขนาดประมาณ 40 GB

จากการตรวจสอบพบว่า ElasticSearch Database นี้มีจัดเก็บข้อมูลมาตั้งแต่วันที่ 13 มีนาคม 2019 และมีการอัปเดตข้อมูลใหม่เข้ามาเป็นประจำทุกวัน รวมๆ แล้วราวๆ 40,000 รายการในช่วง 30 วันที่ผ่านมา ซึ่งหลังจากใช้ Shadan ตรวจสอบดูพบว่าสามารถเข้าถึงได้จากสาธารณะตั้งแต่วันที่ 1 กรกฎาคม ก่อนที่จะถูก Paine ค้นพบในวันที่ 4 ของเดือนเดียวกัน เขาได้รายงานไปยัง Honda เกี่ยวกับปัญหาดังกล่าวซึ่ง Honda ก็ได้ทำการแก้ไขเรียบร้อยภายในเวลาเพียง 10 ชั่วโมงหลังจากนั้น

ที่มา: https://www.bleepingcomputer.com/news/security/unsecured-database-exposes-security-risks-in-hondas-network/

from:https://www.techtalkthai.com/honda-elasticsearch-database-exposed-online/

พบ Ransomware ตัวใหม่บนแอนดรอยด์ติดได้ผ่านทาง SMS

นักวิจัยจาก ESET ได้เผยการค้นพบ Ransomware ตัวใหม่ที่ชื่อ FileCoder ซึ่งสามารถติดกันได้ผ่าน SMS โดยคนร้ายมุ่งโจมตีกลุ่มผู้ใช้งานแอนดรอยด์เวอร์ชัน 5.1 ขึ้นไป

credit : welivesecurity

เมื่อวันที่ 12 ก.ค. ที่ผ่านมานักวิจัยจาก ESET ได้ค้นพบ Ransomware ตัวใหม่ที่ชื่อ FileCoder โดยคนร้ายได้ปล่อยมัลแวร์มา 2 รูปแบบคือโพสต์อันตรายบน Reddit และ Community ของนักพัฒนาซอฟต์แวร์มือถือที่ชื่อ XDA อีกรูปแบบคือการติดผ่าน SMS ซึ่งมัลแวร์จะส่งข้อความอันตรายไปหาทุกคนในรายชื่อติดต่อของเหยื่อ

credit : BleepingComputer

สำหรับรูปแบบการทำงาน FileCoder จะขอสิทธิ์ตามภาพด้านบน จากนั้นเมื่อติดมัลแวร์แล้วจะทำการเข้ารหัสไฟล์ทุกโฟลเดอร์ในหน่วยความจำยกเว้นไฟล์ของระบบให้ต่อท้ายด้วย .seven โดยทางนักวิจัยกล่าวถึงข้อยกเว้นว่า “Ransomware จะละเว้นไฟล์ลงท้ายด้วย .zip หรือ .rar ไฟล์ที่มีขนาดเกิน 50MB และไฟล์ .jpeg .jpg .png ที่มีขนาดน้อยกว่า 150 KB” นอกจากนี้ยังมีการตรวจเช็คเครื่องเหยื่อและสร้าง Template ไว้ให้รองรับได้ถึง 42 ภาษา โดยท้ายที่สุดจะเรียกเงินค่าไถ่ราว 94 ถึง 188 ดอลล่าร์สหรัฐฯ (ไม่เกิน 5 พันกว่าบาท)

อย่างไรก็ตามเคราะห์ดีที่ดูเหมือนว่านักวิจัยได้ค้นพบว่าคนร้ายได้ Hardcode ค่าที่ใช้เข้ารหัส Private Key เอาไว้ในโค้ดของมัลแวร์ด้วย ดังนั้นจึงกลายเป็นว่ามีทางถอดรหัสได้ นอกจากนี้จากการวิเคราะห์โค้ดภายในพบว่าคำขู่ลบไฟล์ภายใน 72 ชั่วโมงจะไม่เกิดขึ้นเพราะไม่พบหลักฐานบ่งชี้ดังกล่าว แต่ถึงปัจจุบันเซิร์ฟเวอร์ควบคุม 2 ตัวของคนร้ายยังคงทำงานได้อยู่

ผู้สนใจสามารถศึกษารายงานเชิงลึกจาก ESET ได้ที่นี่

ที่มา :  https://www.bleepingcomputer.com/news/security/new-android-ransomware-uses-sms-spam-to-infect-its-victims/

from:https://www.techtalkthai.com/android-ransomware-filecoder/

Capital One รายงานพบเหตุข้อมูลรั่วไหล คาดกระทบลูกค้ากว่า 100 ล้านราย

Capital One บริษัทผู้เชี่ยวชาญด้านเครดิตสินเชื่อได้ประกาศเหตุการณ์ถูกเข้าถึงข้อมูลผู้ใช้กว่า 106 ล้านรายโดยไม่ได้รับอนุญาติ เช่น Credit Score, ประวัติการจ่ายเงิน, ยอดเงิน, เลขบัญชีธนาคารและเลขประกันสังคมของลูกค้าบางส่วน

credit : Bleepingcomputer

หลังจากได้รับรายงานช่องโหว่จากแฮ็กเกอร์รายหนึ่งที่เปิดเผยช่องโหว่ของบริษัทออกมาเมื่อวันที่ 17 ก.ค. หลังจากนั้นบริษัทก็ได้สืบสวนจนพบว่ามีการเข้าถึงข้อมูลโดยไม่ได้รับอนุญาตในระหว่างวันที่ 22 – 23 มีนาคมที่ผ่านมา ซึ่งคาดว่าจะกระทบกับข้อมูลของลูกค้ากว่า 100 ล้ายราย โดยสาระสำคัญของผลกระทบต่อข้อมูลมีดังนี้

  • ข้อมูลส่วนใหญ่เป็นลูกค้ากลุ่ม Consumer และธุรกิจขนาดเล็กที่ได้ใช้ผลิตภัณฑ์บัตรเครดิตระหว่างปี 2005 ถึงต้นปี 2019 โดยเป็นข้อมูลส่วนตัวที่บริษัทจะได้รับเมื่อติดตั้งแอปพลิเคชันของบัตรเครดิต เช่น ชื่อ ที่อยู่ รหัสไปรษณีย์ เบอร์โทรศัพท์ อีเมล วันเกิด และรายรับ 
  • ข้อมูลเกี่ยวกับบัตรเครดิต เช่น Credit Score, ประวัติการจ่ายเงิน, ยอดเงิน, รายชื่อติดต่อ, วงเงินสูงสุด เป็นต้น
  • มีข้อมูลเลขประกันสังคมจำนวน 140,000 รายการของลูกค้าได้รับผลกระทบด้วย
  • ข้อมูลเลขบัญชีธนาคาร 80,000 รายการที่เชื่อมกับลูกค้าบัตรเครดิตได้รับผลกระทบ
  • เลขประกันสังคมของชาวแคนนาดาราว 1 ล้านรายได้รับผลกระทบ

สำหรับการเยียวยาเบื้องต้น Capital One ประกาศแจ้งลูกค้าทางอีเมลแล้ว พร้อมกับเสนอบริการติดตามเครดิต รวมถึงแนะนำให้ลูกค้าระงับ Credit Report ไปก่อนเพื่อทำให้การสวมรอยเป็นไปได้ยากขึ้น และหากพบเห็นความผิดปกติให้รีบแจ้งบริษัท ตำรวจ และตัวแทนที่ให้บริการ ทั้งนี้บริษัทเผยว่าตนมีประกันเหตุการณ์ดังกล่าวไว้แล้วที่มีวงเงินครอบคลุมสูงสุดถึง 400 ล้านเหรียญสหรัฐฯ และน่าจะพอกับการดูแลค่าใช้จ่ายหลังเหตุการณ์ราว 150 ล้านเหรียญสหรัฐฯ

อย่างไรก็ตามปัจจุบันทาง FBI ได้เข้ารวบตัวผู้ต้องสงสัยชื่อ Paige Thompson ไว้แล้วเมื่อวันที่ 19 ก.ค. เพราะได้เข้าไปแชร์บน GitHub ไว้ว่าตนได้เข้าถึงข้อมูลในเซิร์ฟเวอร์ของ Capital One เพราะตั้งค่า Web Application Firewall ไว้ไม่ดีพอในวันที่ 17 ก.ค. จนมีผู้ใช้รายอื่นแจ้งเบาะแสให้แก่เจ้าหน้าที่

ที่มา :  https://www.bleepingcomputer.com/news/security/capital-one-data-breach-affects-106-million-people-suspect-arrested/

from:https://www.techtalkthai.com/capital-one-annouced-data-breach-effect-over-100-millions-customer/

เตือนผู้ใช้ Android เสี่ยงถูกแฮ็กถ้าเล่นวิดีโอที่ดาวน์โหลดจากอินเทอร์เน็ต

Marcin Kozlowski นักพัฒนาแอปพลิเคชันบน Android ออกมาแจ้งเตือนถึงช่องโหว่บนระบบปฏิบัติการ Android ซึ่งช่วยให้แฮ็กเกอร์สามารถลอบรันโค้ดแปลกปลอมหรือเข้าควบคุมอุปกรณ์ได้เพียงแค่เปิดเล่นวิดีโอที่ดาวน์โหลดมาจากอินเทอร์เน็ต พร้อมแนบตัวอย่างวิดีโอพิสูจน์บน GitHub

ช่องโหว่ดังกล่าวมีรหัส CVE-2019-2107 เป็นช่องโหว่บน Android Media Framework บนระบบปฏิบัติการเวอร์ชัน 7.0 และ 9.0 (Nougat, Oreo หรือ Pie) ซึ่งส่งผลกระทบต่อผู้ใช้มากกว่า 1,000 ล้านรายทั่วโลก ช่องโหว่นี้ช่วยให้แฮ็กเกอร์สามารถโจมตีแบบ Arbitrary Code Execution บนเครื่องเป้าหมายได้จากระยะไกล ผ่านทางการหลอกให้เหยื่อเล่นวิดีโอที่สร้างขึ้นมาเป็นพิเศษผ่านทางแอปพลิเคชันเล่นวิดีโอที่ติดตั้งมาอยู่แล้วบนอุปกรณ์ Android

ล่าสุด Kozlowski ได้อัปโหลดรายละเอียดและวิดีโอสาธิตการเจาะช่องโหว่ขึ้นบน GitHub ซึ่งแสดงให้เห็นว่าเขาสามารถทำให้แอปพลิเคชันที่เล่นวิดีโอหยุดทำงานได้ นั่นหมายความว่า ผู้ไม่ประสงค์ดีรายอื่นๆ อาจนำไปต่อยอดเพื่อโจมตีแบบ Remote Code Execution กับผู้ใช้ Android รายอื่นๆ ได้เช่นกัน อย่างไรก็ตาม เคราะห์ดีที่ถ้าวิดีโอดังกล่าวถูกเล่นผ่านแอปพลิเคชัน Instant Messaging เช่น WhatsApp หรือ Facebook Messenger หรือถูกอัปโหลดและเล่นผ่าน YouTube การโจมตีนี้จะไม่เกิดผลแต่อย่างใด

ถึงแม้ว่าช่องโหว่นี้จะได้รับการ Patch จาก Google ไปตั้งแต่ต้นเดือนกรกฎาคมที่ผ่านมา แต่ยังคงมีอุปกรณ์ Android อีกว่าหลายล้านเครื่องที่ยังคงรอ Security Update จากเจ้าของผลิตภัณฑ์รายอื่นๆ ระหว่างนี้แนะนำให้ผู้ใช้ระมัดระวังเรื่องการเล่นวิดีโอที่ดาวน์โหลดมาจากอินเทอร์เน็ตหรือแหล่งที่มาที่ไม่น่าเชื่อถือ

รายละเอียดเชิงเทคนิค: https://github.com/marcinguy/CVE-2019-2107

ที่มา: https://thehackernews.com/2019/07/android-media-framework-hack.html

from:https://www.techtalkthai.com/android-devices-can-get-hacked-by-playing-video-from-the-internet/

[Guest Post] การล้วงข้อมูลหนึ่งครั้งสร้างความเสียหายให้องค์กรธุรกิจนานนับปี

การล้วงข้อมูลสร้างความเสียหายรุนแรงต่อองค์กร ณ เวลาที่เกิด แต่ความเสียหายนั้นจะยังคงอยู่ไปอีกนาน

Credit: ShutterStock.com

ผลสำรวจ Cost of a Data Breach ของ IBM ชี้ว่าความเสียหายโดยเฉลี่ยที่องค์กรได้รับจากการล้วงข้อมูลเพิ่มสูงขึ้น 12% ในช่วงระยะเวลา 5 ปีที่ผ่านมา โดย IBM รวบรวมข้อมูลมากกว่า 500 องค์กรที่เผชิญกับเหตุการณ์ล้วงข้อมูลในปีที่ผ่านมา

ผลกระทบทางการเงินที่เกิดขึ้นมีสาเหตุจากปัจจัย 3 อย่าง ได้แก่ ผลกระทบทางการเงินต่อเนื่องจากเหตุการณ์ล้วงข้อมูล การสร้างชื่อเสียงที่ยากยิ่งขึ้น และความซับซ้อนในการแก้ปัญหาหลังถูกโจมตี

หลายองค์กรต้องเผชิญกับค่าใช้จ่ายที่เกิดขึ้นหลังเกิดเหตุการณ์ อย่างเช่นองค์กรบัญชีรายใหญ่อย่าง Equifax ของสหรัฐฯ และสายการบิน British Airways กับเครือข่ายโรงแรม Marriott Starwood ของอังกฤษ

ทาง IBM และสถาบัน Ponemon Institute ตัดสินใจวิเคราะห์ผลกระทบระยะยาวจากการล้วงข้อมูล และพบว่าความเสียหายด้านการเงินที่เกิดขึ้นอย่างรุนแรงในปีแรก จะส่งผลกระทบต่อเนื่องในปีต่อๆไป

โดยเฉลี่ยแล้ว 67% ของความเสียหายเป็นตัวเงินจากการล้วงข้อมูลจะเกิดขึ้นในปีแรก ตามมาด้วย 22% ในปีต่อมา และ 11% ในปีที่สาม ยกเว้นองค์กรจำพวกสถานพยาบาล องค์กรการเงิน พลังงาน และเภสัชกรรม จะได้รับผลกระทบในปีที่สองและสามมากกว่า”

เกี่ยวกับ ESET

ESET เป็นผู้บุกเบิกการป้องกันไวรัส ด้วยเทคโนโลยี NOD32 ที่ได้รับการพัฒนามานานกว่า 30 ปี เป็นผู้นำในอุตสาหกรรมและบริการความปลอดภัย IT ทั้งแบบบุคคลและองค์กรทั่วโลก ด้วยโซลูชันที่ครอบคลุมการใช้งานที่หลากหลายและรองรับทุกแพลตฟอร์ม ผลิตภัณฑ์ของ ESET เป็นตัวแทนของประสิทธิภาพและการใช้งานที่ง่าย ทำให้ผู้ใช้และองค์กรสามารถใข้งานเทคโนโลยีได้อย่างเต็มประสิทธิภาพ ด้วยการป้องกันตลอด 24 ชั่วโมง และสำนักงานวิจัยและพัฒนาที่คอยตรวจสอบภัยคุกคามที่เกิดขึ้นใหม่ตลอดเวลา การันตีด้วยรางวัล VB100 จาก Virus Bulletin ต่อเนื่องมากกว่า 100 รางวัล

ESET ปกป้องผู้ใช้มากกว่า 110 ล้านเครื่อง ในพื้นที่มากกว่า 200 ประเทศ

ติดตาม ESET ได้ที่ ESET Thailand และข่าวสารความมั่นคงปลอดภัยที่ Blog ESET

from:https://www.techtalkthai.com/companies-can-get-long-term-damage-from-data-breach/

Synology เตือนระวัง Ransomware มาเยือน NAS! พร้อมแนะวิธีป้องกัน

Synology ได้ประกาศว่าพบเหตุการณ์ที่ลูกค้า NAS ของตนหลายรายถูก Ransomware โจมตีด้วยวิธีการ เช่น Brute-force login หรือถูกขโมย Credential ของแอดมิน ทั้งนี้การโจมตีไม่ได้เกิดขึ้นแบบเฉพาะกลุ่มเป้าหมายจึงได้ประกาศแจ้งเตือนให้ผู้ใช้งานทั่วไประมัดระวังพร้อมแนะวิธีป้องกันไว้ด้วย

Credit: Zephyr_p/ShutterStock.com

Synology ได้เริ่มสืบสวนถึงเหตุการณ์ของแฮ็กเกอร์ที่โจมตีด้วย Dictionary Attack ที่ไม่ได้เจาะจงใช้ช่องโหว่บนระบบ โดยคาดว่าเหตุการณ์เริ่มตั้งแต่ 19 กรกฎาคมที่ผ่านมาจากกลุ่ม Botnet ของผู้โจมตีอีกทีหนึ่งเพื่ออำพราง IP ต้นทาง ด้วยเหตุนี้เองทางบริษัทจึงได้ประกาศเตือนให้ผู้ใช้งานเฝ้าระวังพร้อมแนะนำการตั้งค่า Network และ Account Management ของผลิตภัณฑ์ไว้ดังนี้

  • ใช้รหัสผ่านที่แข็งแกร่งและบังคับใช้ Policy การตั้งค่ารหัสผ่านกับทุกคนอย่างไม่ละเว้น
  • สร้างกลุ่ม Administrator ขึ้นมาใหม่ รวมถึง Disable กลุ่ม Admin ที่มีอยู่แล้วโดย Default
  • เปิดการใช้งาน ‘Auto Block’ ในหน้า Control Panel กับ IP ที่ล็อกอินผิดบ่อยเกินไป
  • ใช้งาน Security Advisor เพื่อทำให้แน่ใจว่าไม่มีการใช้งานรหัสผ่านอ่อนแอหลงเหลืออยู่ในระบบ

นอกเหนือจากความสามารถของอุปกรณ์แล้วทางบริษัทยังได้แนะนำให้ผู้ใช้งานเปิดใช้ Firewall อย่างเหมาะสมและเปิดใช้ 2-step verification ด้วย และสุดท้ายอย่าลืมทำ Snapshot บน NAS เก็บไว้สม่ำเสมอด้วย

ที่มา :  https://www.storagereview.com/synology_urges_user_action_against_potential_ransomware_attacks

from:https://www.techtalkthai.com/synology-warns-user-about-ransomware-attack/