คลังเก็บป้ายกำกับ: THREATS_UPDATE

พบมัลแวร์ ตัวใหม่ ‘EvilGnome’ มุ่งโจมตีผู้ใช้งานลีนุกซ์

นักวิจัยด้านความมั่นคงปลอดภัยจาก Intezer ได้ออกมาเปิดเผยการค้นพบ Backdoor ตัวใหม่ชื่อว่า ‘EvilGnome’ ซึ่งปลอมตัวเป็น Gnome Extension ทั้งนี้ยังมีความสามารถหลากหลาย เช่น ถ่ายภาพหน้าจอ ขโมยไฟล์ แอบบันทึกเสียงจากไมโครโฟน หรือเรียกดาวน์โหลดโมดูลอื่นเพิ่มเติม

โดยจากหลักฐานชี้ว่ามัลแวร์น่าจะอยู่ในเวอร์ชันพัฒนาเพราะยังทิ้งคอมเม้นต์ประกอบไว้มากมายจึงคาดว่าตัวที่พบบน VirusTotal นั้นอาจถูกอัปโหลดขึ้นมาโดยไม่ได้ตั้งใจ ทั้งนี้เริ่มแรกมัลแวร์จะมาในรูปแบบของ Self-extracting Archive ที่ถูกสร้างด้วย makeself ซึ่งการติดมัลแวร์สามารถเกิดขึ้นได้อย่างอัตโนมัติจาก Argument ใน Payload ที่จะไปออกคำสั่งให้รัน setup.sh ซึ่งนำไปสู่การติดตั้งมัลแวร์ไว้ที่ Path ‘ ~/.cache/gnome-software/gnome-shell-extensions/’ นั่นเอง ดังนั้นจะเห็นได้ว่ามัลแวร์ปฏิบัติตัวเหมือนเป็น Gnome Extension นั่นเอง

ขั้นตอนถัดมามัลแวร์จะรันสคิร์ปต์ที่ชื่อ gnome-shell-ext.sh เพื่อเข้าแทรกซึม Crontab ให้เช็คทุกนาทีว่า Spyware Agent ยังรันอยู่หรือไม่ จากนั้นจะมีการเรียก Agent ตัวหลักที่ชื่อ gnome-shell-ext ที่ถูกพัฒนาขึ้นด้วย C++ สไตล์ Object Oriented ด้วย ซึ่งภายใน Agent จะประกอบด้วย 5 โมดูลที่มีความสามารถต่างๆ คือ แสกนระบบเพื่อหาไฟล์ใหม่ ดักจับเสียงของไมโครโฟน บันทึกภาพหน้าจอ รับคำสั่งจากเซิร์ฟเวอร์ควบคุม และดักจับการกดคีย์บอร์ด(ยังไม่สมบูรณ์) นอกจากนี้แต่ละโมดูลจะมีการรัน Thread แยกกันและป้องกัน Race condition ด้วย Mutex ยังไม่เพียงเท่านั้นยังมีการใช้การเข้ารหัสและถอดรหัสระหว่างสื่อสารกับเซิร์ฟเวอร์ควบคุมด้วย RC5 โดยใช้คีย์คือ ‘sdg62_AS.sa$die3’

ทั้งนี้นักวิจัยได้ตั้งข้อสันนิษฐานว่าพฤติกรรมของมัลแวร์นั้นดูคล้ายกับกลุ่มคนร้ายรัสเซียที่มีนามแฝงว่า ‘Gamaredon’ สาเหตุเพราะใช้บริการโฮสต์ที่เดียวกันและพอร์ต 3436 เหมือนกันด้วย รวมถึงเทคนิคและโมดูลที่ใช้ก็คล้ายกับประวัติการโจมตีในฝั่ง Windows ของกลุ่มนี้

ผู้สนใจสามารถศึกษารายละเอียดเพิ่มเติมได้จากบล็อกของ Intezer (มี IOCs แจกไว้ด้วย)

ที่มา :  https://www.securityweek.com/evilgnome-malware-helps-hackers-spy-linux-users และ  https://www.bleepingcomputer.com/news/security/new-evilgnome-backdoor-spies-on-linux-users-steals-their-files/

from:https://www.techtalkthai.com/found-evilgnome-backdoor-focus-on-spying-linux-user/

โฆษณา

พบ Ransomware ตัวใหม่ ‘eChoraix’ สามารถโจมตีอุปกรณ์ QNAP NAS ได้

ผู้เชี่ยวชาญจาก Anomali Threat Research ได้ออกมาแจ้งเตือนถึง Ransomware ตัวใหม่ที่ตั้งชื่อตาม String ที่ปรากฏในโค้ดภาษา Go ของมัลแวร์ว่า ‘eCh0raix’ โดยมีความสามารถที่น่าสนใจคือการ Brute-force โจมตีอุปกรณ์ NAS Storage ของค่าย QNAP ได้

สำหรับอุปกรณ์ที่ถูกรายงานเข้ามาจากผู้ใช้งานแล้วในขณะนี้ก็คือ QNAP รุ่น TS-251, TS-451, TS-459 Pro II และ TS 253B เป็นต้น ทั้งนี้ทาง QNAP เองก็มีคำแนะนำสำหรับกู้คืน Snapshot เผยแพร่ไว้อยู่แล้วที่นี่ นอกจากนี้จากหลักฐานที่พบคือ eCh0raixได้ใช้กุญแจแตกต่างกันในเหยื่อแต่ละราย รวมถึงใช้เซิร์ฟเวอร์ควบคุมผ่านเครือข่าย Tor แต่ใช้ SOCKS5 Proxy ส่งสารแทนการใช้ Tor Client ซึ่งความน่าสนใจคือคนร้ายได้เลือกละเว้นเหยื่อที่ใช้ภาษาของกลุ่มประเทศรัฐเอกราช (CIS Country) ด้วย

โดยหลังจากที่เชื่อมต่อกับเซิร์ฟเวอร์ได้แล้วจะมีการดาวน์โหลดไฟล์เรียกค่าไถ่และใช้ RSA Public Key เพื่อเข้ารหัส Key เข้ารหัสสำหรับเหยื่ออีกทีหนึ่ง รวมถึงมีการติดตามกิจกรรมของมัลแวร์ด้วย อย่างไรก็ตามนักวิจัยพบว่าคนร้ายจะไม่สามารถแยกแยะเหยื่อได้เนื่องจากไม่มีการส่งข้อมูลของระบบ ทั้งนี้คนร้ายยังได้พัฒนา API ขึ้นมาสำหรับร้องขอข้อมูลอื่นที่สันนิษฐานว่าอาจใช้ร้องขอ Public Key ตามเลขแคมเปญด้วย ตามรูปด้านล่าง

credit: Bleepingcomputer

eCh0raix ค้นหาและสั่ง Kill โปรเซสบน NAS ด้วยคำสั่ง service stop %s หรือ systemctl stop %s กับโปรเซส เช่น apache2, httpd, nginx, mysqld, mysqd และ php-fpm เป็นต้น รวมถึงยังละเว้น Path และไฟล์ตามรูปด้านล่างอย่างอัตโนมัติ โดยจะเข้ารหัสไฟล์เอกสารจำพวก Microsoft Office, Open Office, PDF, Text, Archive, Database, รูปภาพ, หนัง, เพลง และไฟล์อิมเมจต่างๆ ผ่านอัลกอริทึม AES ในโหมด Cipher Feedback (CFB)

credit: Bleepingcomputer

ในท้ายที่สุดแล้วคนร้ายจะร้องขอเงินค่าไถ่ราว 0.05 – 0.06 BTC เพื่อแลกกับตัวถอดรหัส อย่างไรก็ดีผู้เชี่ยวชาญกล่าวว่า “มัลแวร์ใช้แพ็กเกจทางคณิตศาสตร์เพื่อสร้าง Secret Key ซึ่งไม่ได้สุ่มขึ้น ดังนั้นเป็นไปได้ในทางปฏิบัติที่จะเขียน Decryptor ขึ้นมาได้” โดย QNAP NAS ไม่ได้มีโซลูชัน Anti-malware ติดมาและถึงแม้ว่ามีก็ยังยากที่จะป้องกัน เพราะจากการทดสอบด้วย 55 โซลูชันบน VirusTotal พบว่ามีเพียง 3 โซลูชันเท่านั้นที่สามารถตรวจจับ eCh0raix ได้ว่าเป็นมัลแวร์

ที่มา :  https://www.bleepingcomputer.com/news/security/new-ech0raix-ransomware-brute-forces-qnap-nas-devices/

from:https://www.techtalkthai.com/echoraix-ransomware-can-brute-force-attack-qnap-nas/

คนร้ายสแกนหา S3 ที่ตั้งค่าไม่ดีเข้าฝัง JavaScript ขโมยข้อมูล Payment พบเหยื่อกว่า 17,000 โดเมน

RiskIQ บริษัทด้าน Threat Intelligence ได้ออกรายงานพบแคมเปญของกลุ่มแฮ็กเกอร์ที่มีพฤติกรรมฝัง Script อันตรายเพื่อลอบขโมยข้อมูลบัตรเครดิต (Magecart) ที่แสกนหาเหยื่อบน S3 ที่ตั้งค่าไม่ดีเข้าไปฝัง Script อันตรายของตน โดยมีเหยื่อแล้วกว่า 17,000 โดเมนภายในระยะเวลาไม่กี่เดือน

Credit: BoBaa22/ShutterStock

ไอเดียคือคนร้ายได้อาศัยความเลินเล่อในการตั้งค่า S3 ไม่ดีพอ โดย นาย Yonathan Klijnsma หัวหน้าหน่วยวิจัยจาก RiskIQ กล่าวว่า “เมื่อคนร้ายพบ S3 ที่ตั้งค่าได้ไม่ดีแล้ว พวกเขาจะสแกนหาไฟล์ JavaScript (.js) และดาวน์โหลดมาเพื่อแก้ไขแนบท้ายไฟล์เหล่านั้นด้วยโค้ดสำหรับ Skimming จากนั้นจะเขียนทับ Script กลับไปใน Bucket” ทั้งนี้แคมเปญนี้เพิ่งจะถูกสังเกตพบในเวลาไม่กี่เดือนเท่านั้นแต่ RiskIQ เผยว่ามีเหยื่อแล้วถึง 17,000 โดเมน นอกจากนี้บางเว็บไซต์ยังติดหนึ่งในการจัดอันดับ Top 2000 ของ Alexa ด้วย

อย่างไรก็ตามผู้เชี่ยวชาญยังชี้ว่ากลุ่มคนร้ายเบื้องหลังเหตุการณ์ครั้งนี้ไม่ได้เป็นมือโปรเท่าไหร่นักเพราะเพียงอาศัย Script ที่ซื้อมาจากตลาดใต้ดินมาประกอบกับความเลินเล่อของผู้ใช้งาน S3 ถึงแม้ว่าไม่ใช่มือโปรที่เล็งเป้าหมายแบบเจาะจงแต่ก็ไม่ใช่ว่าอันตรายน้อยลงนะครับ ดังนั้นแนะนำให้ผู้ใช้งานตั้งค่า S3 ให้เหมาะสมกันด้วย

ที่มา :  https://www.zdnet.com/article/new-magecart-attacks-leverage-misconfigured-s3-buckets-to-infect-over-17k-sites/ และ  https://www.bleepingcomputer.com/news/security/over-17-000-domains-infected-with-code-that-steals-card-data/

from:https://www.techtalkthai.com/magecart-group-got-17000-domains-infected-by-misconfigured-s3/

British Airways ถูกปรับ 7,055 ล้านบาท สังเวย GDPR จากเหตุ Data Breach ในปี 2018

คณะกรรมาธิการสารสนเทศ (Information Commissioner’s Office – ICO) แห่งสหราชอาณาจักร สั่งปรับสายการบิน British Airways เป็นจำนวนเงินสูงถึง £183 ล้าน หรือประมาณ 7,055 ล้านบาท หลังละเมิด GDPR จากเหตุการณ์ Data Breach ในปี 2018

Credit: BritishAirways.com

ช่วงเดือนกันยายน 2018 ที่ผ่านมา British Airways ได้ออกมายอมรับว่าข้อมูลส่วนบุคคลและบัตรเครดิตของลูกค้าที่จองตั๋วผ่านเว็บไซต์และแอปพลิเคชันบนมือถือกว่า 380,000 รายรั่วไหลสู่ภายนอก ซึ่งภายหลังสืบทราบว่ากลุ่มแฮ็กเกอร์ Magecart เป็นผู้อยู่เบื้องหลังเหตุการณ์ Data Breach ที่เกิดขึ้น

จากเหตุการณ์ดังกล่าว ICO ได้ออกแถลงการณ์ ระบุว่า หลังจากทำการสืบสวนเพิ่มเติม พบว่าสาเหตุที่ข้อมูลเหล่านั้นถูกแฮ็กมาจากการที่ British Airways มี “การจัดการด้านความมั่นคงปลอดภัยไม่ดีเพียงพอ (Poor security arrangements)” อย่างไรก็ตาม ทางสายการบินได้ประสานงานกับ ICO เพื่อตรวจสอบปัญหาและเพิ่มประสิทธิภาพของการจัดการด้านความมั่นคงปลอดภัยเป็นที่เรียบร้อยแล้ว แต่เนื่องเหตุการณ์ Data Breach นี้เกิดขึ้นหลังจากที่กฎหมายคุ้มครองข้อมูลส่วนบุคคลของยุโรป (GDPR) ได้บังคับใช้แล้ว จึงต้องสั่งปรับเป็นจำนวนเงิน £189.39 ล้าน ซึ่งเทียบเท่า 1.5% ของรายได้จากทั่วโลกของสายการบินในปี 2017

หลังจากที่ ICO ออกแถลงการณ์ British Airways ก็แสดงความประหลาดใจและผิดหวัง เนื่องจากทางสายการบินได้พยายามตอบสนองต่อเหตุการณ์ดังกล่าวอย่างรวดเร็ว อย่างไรก็ดี ทางสายการบินยังมีเวลาอีก 28 วันในการยื่นอุทธรณ์คำตัดสิน

ที่มา: https://thehackernews.com/2019/07/british-airways-breach-gdpr-fine.html

from:https://www.techtalkthai.com/british-airways-fined-7055-million-under-gdpr/

เตือนช่องโหว่บนซอฟต์แวร์ Zoom Video Conference ผู้ใช้ Mac เสี่ยงถูกไฮแจ็ก Webcam

Jonathan Leitschuh นักวิจัยด้านความมั่นคงปลอดภัยได้ออกมาแจ้งเตือนถึงช่องโหว่บนซอฟต์แวร์ Zoom บน Mac เสี่ยงอาจถุูกละเมิดความเป็นส่วนบุคคลด้วยการถูกสั่งเปิดกล้อง Webcam เมื่อเข้าถึงเว็บไซต์ไม่พึงประสงค์ได้ ที่แย่กว่านั้นคือยังไม่มีแพตช์ที่เหมาะสมสำหรับอุดช่องโหว่ และการถอนการติดตั้งซอฟต์แวร์ก็ไม่สามารถแก้ปัญหาได้

ช่องโหว่ที่ค้นพบนี้ใช้ประโยชน์จากฟีเจอร์ Click-to-join ที่ถูกออกแบบมาเพื่อให้เริ่มการทำงานของแอปพลิเคชัน Zoom ที่ติดตั้งอยู่บนเครื่องโดยอัตโนมัติ ซึ่งช่วยให้ผู้ใช้ Zoom สามารถเข้าประชุมออนไลน์ผ่านทางเว็บเบราว์เซอร์ได้อย่างรวดเร็วเมื่อทำการคลิกลิงค์เชิญ เช่น https://zoom.us/j/492468757

อย่างไรก็ตาม Leitschuh พบว่า เพื่อที่จะให้ฟีเจอร์นี้สามารถใช้งานได้ Zoom ได้ทำการติดตั้ง Local Web Server ไว้บนเครื่องผู้ใช้ผ่านทางพอร์ต 19421 ซึ่งทำหน้าที่คอยรับคำสั่งผ่าน HTTPS GET แต่วิธีการดังกล่าวกลับไม่มั่นคงปลอดภัย เนื่องจากเว็บไซต์ใดๆ ที่ผู้ใช้เปิดอยู่บนเว็บเบราว์เซอร์ก็สามารถติดต่อกับ Local Web Server ที่รันบนเครื่องได้เช่นเดียวกัน

นั่นหมายความว่า แฮ็กเกอร์สามารถล็อกอินเข้าเว็บไซต์ Zoom แล้วทำการสร้างลิงค์เชิญโดยระบุ Option ให้เปิดวิดีโอของผู้เข้าร่วมประชุมโดยอัตโนมัติ จากนั้นฝังลิงค์ดังกล่าวลงบนเว็บไซต์อื่นๆ ผ่านแท็ก Image หรือใช้ iFrame เมื่อเหยื่อที่ใช้ Mac และติดตั้งแอปพลิเคชัน Zoom เผลอเข้าถึงเว็บไซต์ดังกล่าว ก็จะถูกบังคับให้รันแอปพลิเคชัน Zoom พร้อมเปิดกล้อง Webcam ทันที ส่งผลให้แฮ็กเกอร์สามารถมองเห็นเหยื่อจากอีกฝั่งได้ ก่อให้เกิดการล่วงละเมิดความเป็นส่วนบุคคล

ที่แย่กว่านั้น แม้ว่าจะถอนการติดตั้งแอปพลิเคชัน Zoom ออกจากเครื่องไปแล้ว ก็ไม่สามารถแก้ไขปัญหาที่เกิดขึ้นได้ เนื่องจากฟีเจอร์ Click-to-join ยังคงสามารถรับคำสั่งและทำการติดตั้ง Zoom ใหม่โดยที่ไม่ต้องขออนุญาตใดๆ จากเจ้าของเครื่อง

ช่องโหว่นี้ส่งผลกระทบบนแอปพลิเคชัน Zoom เวอร์ชัน 4.4.4 ล่าสุดที่รันบน Mac โดย Leitschuh ได้รายงานช่องโหว่ไปยังทีมนักพัฒนาของ Zoom แต่ถึงแม้่ว่าจะผ่านไป 90 วันแล้ว Zoom ก็ยังไม่ออกแพตช์เพื่อแก้ไขปัญหาดังกล่าวอย่างเหมาะสม Leitschuh จึงตัดสินใจเปิดเผยช่องโหว่นี้สู่สาธารณะเพื่อแจ้งเตือนให้ผู้ใช้ Zoom บน Mac ทราบและแนะนำให้ผู้ใช้ตั้งค่าปิดวิดีโอเมื่อเข้าร่วมประชุมบน Zoom Preferences > Video > Turn off my video when joining a meeting

รายละเอียดเชิงเทคนิค: https://medium.com/@jonathan.leitschuh/zoom-zero-day-4-million-webcams-maybe-an-rce-just-get-them-to-visit-your-website-ac75c83f4ef5

ที่มา: https://thehackernews.com/2019/07/webcam-hacking-video-conferencing.html

from:https://www.techtalkthai.com/zoom-video-conference-software-vulnerability-allows-hackers-to-hijack-mac-webcam/

พบ Backdoor ในไลบรารี่บน RubyGems

มีการค้นพบไลบรารี่ชื่อ strong_password บน RubyGems (Repository package ของ Ruby) ว่าถูกฝัง Backdoor ซึ่งสามารถทำให้แฮ็กเกอร์สามารถลอบรันโค้ดในแอปที่ใช้ไลบรารี่ดังกล่าวได้

ไอเดียก็คือจะมีโค้ดที่ใช้เช็คว่าไลบรารี่อยู่ในสภาวะแวดล้อมทดสอบหรือ Production ซึ่งหากเป็นระบบจริงมัลแวร์จะทำการดาวน์โหลด Payload เพิ่มจาก Pastebin.com ทั้งนี้ Backdoor จะทำการส่ง URL ของไซต์ที่ตกเป็นเหยื่อไปหาโดเมน ‘smiley.zzz.com.ua’ และรอคำสั่งกลับมาในรูปแบบของไฟล์ Cookie จากนั้นจะ Unpack และ Execute คำสั่งด้วยฟังก์ชัน Eval

อย่างไรก็ตามหลังจากนักพัฒนาได้พบ Backdoor โดยบังเอิญระหว่างการอัปเดตส่วนประกอบภายในแอปของตนก็ได้แจ้งให้เจ้าของโปรเจ็คบน RubyGems ทราบจึงพบว่าแฮ็กเกอร์ได้สวมรอยออกไลบรารี่ในเวอร์ชัน 0.0.7 ซึ่งมีผู้ดาวน์โหลดไปแล้วกว่า 537 ครั้ง แต่เคราะห์ดีที่ไม่พบการอัปโหลดมัลแวร์ไปยัง GitHub รวมถึงเจ้าของโปรเจ็คได้ทำการลบไลบรารี่เวอร์ชันของแฮ็กเกอร์ออกไปเรียบร้อยแล้ว ทั้งนี้ผู้ใช้งานไลบรารี่ strong_password มักเป็นกลุ่มที่ต้องมีการบริหารจัดการบัญชีของผู้ใช้ ดังนั้นแนะนำผู้เกี่ยวข้องว่าควรตรวจสอบเหตุการณ์รั่วไหลกันด้วยนะครับ

ที่มา :  https://www.zdnet.com/article/backdoor-found-in-ruby-library-for-checking-for-strong-passwords/

from:https://www.techtalkthai.com/found-backdoor-in-ruby-library-on-rubygems/

Microsoft เตือนการโจมตีจากมัลแวร์ Fileless ‘Astaroth’ ระลอกใหม่

ทีมงาน Windows Defender ATP ได้ออกมาแจ้งเตือนถึงแคมเปญการโจมตีของมัลแวร์ลอบขโมยข้อมูลที่ชื่อ ‘Astaroth’ โดยความน่าสนใจอยู่ที่วิธีการติดมัลแวร์ซึ่งการใช้เทคนิค Multi-stage อันซับซ้อนและใช้เทคนิค Fileless ควบคู่กับการใช้เครื่องมือที่มีอยู่แล้วในเครื่อง (live-off-the-land)

credit : microsoft

จากภาพประกอบของ Microsoft ด้านบนจะเห็นได้ว่าจุดเริ่มต้นของการนำส่งมัลแวร์ Astaroth ก็คืออีเมลเหมือนเช่นเคย โดยหากเหยื่อไม่ระมัดระวังเปิดลิงก์ที่แนบมาก็จะนำไปยังเว็บไซต์ที่มีไฟล์ .LNK ซึ่งหากดาวน์โหลดและถูกรันขึ้นจะเรียกใช้ Windows Management Instrumentation Command-line (WMIC) และเริ่มการโจมตีแบบหลายลำดับต่อไป ทั้งนี้เมื่อพิจารณาในภาพรวมจะเห็นได้ว่ามัลแวร์มีการเรียกดาวน์โหลดไฟล์ต่อกันมาเป็นทอดๆ ซึ่งทั้งหมดจนกระทั่งถึงขั้นตอนสุดท้ายจะใช้เทคนิค Fileless ที่ทำให้โซลูชัน Antivirus ทั่วไปนั้นตรวจจับได้ยาก รวมถึงการใช้เครื่องมือที่มีอยู่แล้วในเครื่องอย่าง WMIC, Certutil, Bitsadmin, Regsvr32 และ Userinit ทำให้แคมเปญนี้มีความน่าสนใจมากทีเดียว

อย่างไรก็ตามยังดีที่ Microsoft พบว่าแคมเปญการแพร่กระจายครั้งนี้เกือบทั้งหมดกว่า 95% เกิดขึ้นที่บราซิล แต่ก็นั่นแหละครับจุดเริ่มแรกก็เหมือนที่เราคุ้นเคยคืออีเมลนั่นเอง ดังนั้นการที่ผู้ใช้งานมี Awareness จะช่วยเป็นเกราะป้องกันได้อย่างดี นอกจากนี้ทาง Microsoft ก็ได้ให้ภาพวิเคราะห์ในฝั่งป้องกันไว้เช่นกันตามด้านล่าง ผู้สนใจสามารถศึกษาเพิ่มเติมได้ที่นี่

credit : microsoft

ที่มา :  https://www.bleepingcomputer.com/news/security/microsoft-discovers-fileless-astaroth-trojan-campaign/ และ  https://www.zdnet.com/article/microsoft-warns-about-astaroth-malware-campaign/

from:https://www.techtalkthai.com/found-new-campaign-of-fileless-malware-astaroth/