คลังเก็บป้ายกำกับ: MALWARE

US-CERT เตือนระวัง TYPEFRAME Malware จากเกาหลีเหนือ เน้นโจมตีระบบของ Microsoft เป็นหลัก

US-CERT ได้ออกมาเตือนถึงแคมเปญการโจมตีด้วย Trojan Malware ที่มีชื่อว่า TYPEFRAME จากเกาหลีเหนือ โดยตั้งชื่อแคมเปญครั้งนี้ว่า HIDDEN COBRA

 

Credit: ShutterStock.com

 

ในการแจ้งเตือนครั้งนี้ไม่ได้ระบุว่ามีระบบที่ตกเป็นเหยื่อของการโจมตีมากน้อยแค่ไหน โดยมีการวิเคราะห์ตัวอย่างของ Malware ด้วยกัน 11 รายการที่มีทั้งไฟล์ Windows Executable แบบ 32-bit และ 64-bit รวมถึงมีไฟล์ Microsoft Word ที่มี VBA Macro อยู่ภายใน ซึ่งสามารถทำการโหลดและติดตั้ง Malware, Proxy และ Remote Access Trojan (RAT) พร้อมทั้งเชื่อมต่อไปยัง Command and Control (C2) Server เพื่อรับคำสั่งต่างๆ เพิ่มเติม รวมถึงยังมีการเปลี่ยนแปลงการตั้งค่าระบบ Firewall เพื่อเปิดรับการเชื่อมต่อขาเข้ามาอีกด้วย

Malware เหล่านี้ถูกสร้างขึ้นมาใช้โจมตีตั้งแต่ปี 2015 – 2017 โดย IP Address ของ C2 Server ที่ใช้นั้นได้แก่ 111.207.78.204, 181.119.19.56, 184.107.209.2, 59.90.93.97, 80.91.118.45, 81.0.213.173 และ 98.101.211.162 ซึ่งเป็น Server ที่กระจายอยู่ในหลากหลายประเทศทั่วโลก

สำหรับ Advisory ฉบับเต็มที่ระบุถึงพฤติกรรมการโจมตีและวิธีการรับมือฉบับเต็ม สามารถอ่านได้ที่ https://www.us-cert.gov/ncas/analysis-reports/AR18-165A ครับ

 

ที่มา: https://www.theregister.co.uk/2018/06/18/us_cert_warns_of_more_north_korean_malware/

from:https://www.techtalkthai.com/us-cert-warns-about-typeframe-malware-from-north-korea/

Advertisements

สัมมนา ! OWASP กับ 10 ความเสี่ยงด้านความปลอดภัยของแอปพลิเคชันที่ควรรู้

ปีที่ผ่านมา การโจมตีเว็บแอปพลิเคชันเป็นสาเหตุอันดับหนึ่งที่ทำให้ข้อมูลสำคัญรั่วไหล คุณมีแผนรับมือกับการโจมตีเว็บแอปพลิเคชันแบบอัตโนมัติที่เพิ่มจำนวนมากขึ้นอย่างไร ?

รายละเอียดกำหนดการ
การสัมมนาผ่านเว็บในหัวข้อ OWASP Top 10 application security risk  วันอังคารที่ 26 มิถุนายน 2561 เวลา 11.30 – 12.30 น.

โดยผู้ทรงคุณวุฒิด้าน Open Web Application Security Project (OWASP) ร่วมด้วยผู้เชี่ยวชาญ ด้านระบบรักษาความปลอดภัยจาก F5 ที่จะให้ข้อมูลอันเป็นประโยชน์ ได้แก่

• การใช้ประโยชน์จากทรัพยากรที่พัฒนาขึ้นให้ได้มากที่สุดโดยการใช้ Web Application Firewall (WAF)

• การก้าวผ่านความเสี่ยงด้านความปลอดภัยของแอปพลิเคชันทั้ง 10 ความเสี่ยง
รวมทั้งความเสี่ยงอื่นๆ อาทิ  การโจมตี DDos, bot defense, การขโมยข้อมูลทรัพย์สินทางปัญญา หรือการหลอกลวง

• WAF จะช่วยให้คุณใช้ประโยชน์สูงสุดจากแอปพลิเคชันและกรองทราฟฟิคที่สิ้นเปลืองเพื่อช่วยให้คุณลดค่าใช้จ่ายในคลาวด์ได้อย่างไร

** มาร่วมเพิ่มพูนความรู้และแรงบันดาลใจในการผลักดันให้แอปพลิเคชันและธุรกิจของคุณมีความปลอดภัยสูงสุดในโลกของมัลติ-คลาวด์ที่แอปพลิเคชันกลายเป็นศูนย์กลางของธุรกิจ**

คลิกลงทะเบียนที่นี่

ติดต่อข้อมูลเพิ่มเติมได้ที่ ฝ่ายประสานงาน OWASP Thailand และ F5 Networks ที่ 02-001-9973 หรืออีเมล์ event1@etpnews.com และ event2@etpnews.com

from:https://www.enterpriseitpro.net/owasp-top-10-application-security-risk/

Prowli ระบาด! อุปกรณ์กว่า 40,000 ตัวทั่วโลก กลายเป็นเครือข่ายถลุงเงินคริปโต

นักวิจัยด้านความปลอดภัยจาก GuardiCore Labs พบการแพร่กระจายของมัลแวร์สำหรับแอบขุดเหมืองเงินคริปโตขนาดใหญ่ Prowli ซึ่งล่าสุดพบการติดเชื้อในอุปกรณ์กว่า 40,000 เครื่องในกว่า 9,000 บริษัททั่วโลก ทั้งในหน่วยงานภาครัฐ, สถาบันการศึกษา, หรือแม้แต่สถาบันการเงิน

แคมเปญการโจมตีนี้เรียกชื่อว่า Operation Prowli ซึ่งใช้เทคนิคการแพร่เชื้อหลากหลายมากไม่ว่าจะเป็นการอาศัยช่องโหว่ต่างๆ, การใช้ประโยชน์จากการตั้งค่าอุปกรณ์ที่อ่อนแอ, ไปจนถึงการระดมยิงรหัสผ่านแบบสุ่มหรือ Brute-Force เพื่อกระจายตัวเองไปเข้าควบคุมอุปกรณ์ให้มากที่สุดเท่าที่เป็นไปได้

ทั้งนี้ นักวิจัยมองว่าเป้าหมายของผู้โจมตีน่าจะเป็นการหาเงินโดยเฉพาะมากกว่าการมุ่งดูดขโมยข้อมูล โดยเหยื่อที่เป็นเป้าหมายได้แก่เซิร์ฟเวอร์ที่โฮสต์ระบบ CMS ทั้งหลาย, HP Data Protector, เซิร์ฟเวอร์แบ๊กอัพข้อมูล, อุปกรณ์ IoT, และโมเด็ม DSL ทั้งหลาย รวมทั้งมีการรีไดเร็กต์ผู้ใช้ไปยังเว็บไซต์ที่ติดเชื้อด้วย

หลังจากฝังตัวบนเซิร์ฟเวอร์แล้ว มัลแวร์จะรันตัวขุดเหมือง Monero XMR พร้อมติดตั้งเวิร์ม r2r2 เพื่อคอยยิงรหัสสุ่มแบบ Brute-Force ไปยังอุปกรณ์อื่นๆ บนเครือข่ายผ่านเทอมินัล SSH อีกทั้งยังใช้เว็บเชลล์แบบโอเพ่นซอร์สอย่าง WSO Web Shell ในการแก้ไขเว็บไซต์บนเซิร์ฟเวอร์ที่ติดเชื้อ เพื่อรีไดเร็กต์ผู้เยี่ยมชมไปยังเว็บกระจายมัลแวร์ด้วย

ที่มา : Hackread

from:https://www.enterpriseitpro.net/prowli-malware-hacks-devices-for-monero-mining/

เตือน Prowli Malware แพร่ระบาดไปยัง Servers, Modems และอุปกรณ์ IoT แล้วกว่า 40,000 ชิ้น

GuardiCore ผู้ให้บริการโซลูชัน Breach Detection ชื่อดัง ออกมาแจ้งเตือนถึง Botnet ตัวใหม่ ชื่อว่า Prowli ซึ่งแพร่ระบาดไปยัง Web Servers, Modems และอุปกรณ์ IoT ทั่วโลกไปแล้วกว่า 40,000 เครื่อง เสี่ยงถูกใช้ลอบทำ Cryptocurrency Mining และเปลี่ยนเส้นทางทราฟฟิกของผู้ใช้ไปยังเว็บของแฮ็กเกอร์

จากการตรวจสอบ GuardiCore พบว่า Prowli Botnet แพร่กระจายตัวไปยังอุปกรณ์ต่างๆ ผ่านช่องโหว่และการโจมตีแบบ Brute Force เพื่อเข้าควบคุมอุปกรณ์ ซึ่งอุปกรณ์ที่ตกเป็นเหยื่อ ได้แก่

  • ไซต์ WordPress – โจมตีผ่านช่องโหว่หลายรายการ และ Brute Force ไปยัง Admin Panel
  • ไซต์ Joomla! ที่รัน K2 Extension – ผ่านช่องโหว่ CVE-2018-7482
  • DSL Modem หลายรุ่น – ผ่านช่องโหว่ที่เคยเปิดเผยมาแล้ว
  • Server ที่รัน HP Data Protector – ผ่านช่องโหว่ CVE-2014-2623
  • Drupal, PhpMyAdmin Installations, NFS Boxes และ Servers ที่เปิดพอร์ต SMB – ผ่านทางการเดารหัสผ่านแบบ Brute Force

นอกจากนี้ Prowli ยังมีโมดูล SSH Scanner สำหรับเดา Username/Password อุปกรณ์ที่เปิดพอร์ต SSH บนอินเทอร์เน็ตอีกด้วย

หลังจากที่อุปกรณ์เหล่านั้นถูกเจาะเข้าไปแล้ว Prowli จะตรวจสอบดูว่าอุปกรณ์สามารถขุดเหรียญดิจิทัลแบบหนักๆ ได้หรือไม่ ถ้าได้ จะทำการติดตั้ง Monero Miner และ r2r2 Worm ซึ่งจะทำการสแกนหาเหยื่อรายอื่นแล้วโจมตีแบบ Brute Force ผ่าน SSH เพื่อเข้าควบคุมต่อไป ส่วน Server ที่รัน CMS นั้นจะถูกแทรกโค้ดมัลแวร์เพื่อเปลี่ยนเส้นทางของผู้ใช้ที่เข้าถึงเว็บไซต์ไปยัง Traffice Distributed System ซึ่งจะส่งทราฟฟิกต่อไปยังเว็บไซต์ของแฮ็กเกอร์ หรือเว็บไซต์หลอกลวงต่อไป

จนถึงตอนนี้ พบว่า Prowli แพร่กระจายตัวไปยังอุปกรณ์แล้วกว่า 40,000 เครื่อง บนระบบเครือข่ายกว่า 9,000 บริษัท ซึ่งส่วนใหญ่ถูกใช้เพื่อขุดเหรียญดิจิทัลสร้างรายได้ให้แก่แฮ็กเกอร์ โดยเหยื่อส่วนใหญ่มาจากประเทศบราซิล จีน สหรัฐฯ และรัสเซีย

รายละเอียดเชิงเทคนิค: https://www.guardicore.com/2018/06/operation-prowli-traffic-manipulation-cryptocurrency-mining/

ที่มา: https://www.bleepingcomputer.com/news/security/prowli-malware-operation-infected-over-40-000-servers-modems-and-iot-devices/

from:https://www.techtalkthai.com/prowli-malware-infects-40000-servers-modems-and-iot-devices/

ธนาคารในชิลีถูกมัลแวร์ลบ MBR ดิสก์ กระทบเซิร์ฟเวอร์กว่า 500 ตัว อาจใช้เบี่ยงความสนใจระหว่างขโมยเงิน

Banco de Chile ธนาคารอันดับหนึ่งของชิลีถูกมัลแวร์ KillDisk/KillMBR เล่นงานอย่างหนัก ทำให้บริการจำนวนมากใช้งานไม่ได้ แต่ระบบธนาคารออนไลน์ยังคงทำงานได้ต่อไป โดยถูกโจมตีมาตั้งแต่ช่วงปลายเดือนพฤษภาคมที่ผ่านมา รายงานล่าสุดระบุว่ามีคอมพิวเตอร์ถูกโจมตีถึง 9,000 เครื่อง และเซิร์ฟเวอร์อีก 500 เครื่อง

มัลแวร์ที่พบจะเขียนทับ master boot record (MBR) จนเครื่องบูตไม่ขึ้น ทำให้ธนาคารไม่สามารถให้บริการได้

ช่วงเวลาเดียวกัน TrendMicro รายงานถึงการโจมตีสถาบันการเงินในละตินอเมริกา โดยไม่ได้ระบุประเทศหรือระบุชื่อธนาคาร แต่ระบุว่าแฮกเกอร์กำลังใช้มัลแวร์ KillDisk สร้างความวุ่นวายให้กับธนาคารเพื่อเบี่ยงความสนใจ ขณะที่ตัวแฮกเกอร์กำลังพยายามแฮกระบบเชื่อมต่อ SWIFT เพื่อขโมยเงินออกจากธนาคาร

การแพร่กระจายของมัลแวร์ทำให้ธนาคารต้องใช้มาตรการดำเนินการในภาวะฉุกเฉินด้วยการตัดการเชื่อมต่อกับคอมพิวเตอร์จำนวนมากทำให้บริการบางส่วนใช้งานไม่ได้ อย่างไรก็ดี ข้อมูลยังคงไม่เสียหายและเงินของลูกค้ายังอยู่ครบถ้วน

ที่มา – Bleeping Computer, TrendMicro

No Description

ภาพโดย Superzerocool

Topics: 

from:https://www.blognone.com/node/103005

นักวิจัยพบมัลแวร์ฝังตัว ในรูปเอ็กซ์เทนชั่นบนทั้ง Chromeและ Edge

นักวิจัยจาก Trend Micro ได้ค้นพบเอ็กซ์เทนชั่นอันตรายที่อยู่บนบราวเซอร์ฮิตทั้ง Chrome และ Edge ที่คอยเจาะประตูหลังเพื่อขโมยข้อมูลจากบราวเซอร์ไปพร้อมๆ กับแอบส่องกิจกรรมของผู้ใช้ โดยพบข้อมูลสองเปย์โหลดที่เคยถูกอัพขึ้นไปทดสอบบนเว็บ VirusTotal ซึ่งทั้งที่มาและชื่อไฟล์ทำให้เชื่อว่าตัวการเป็นกลุ่มแฮ็กเกอร์ในประเทศเล็กๆ อย่างมอลโดว่า

เมื่อเผลอติดตั้งแล้ว ตัวโหลดข้อมูลที่คอยดาวน์โหลดเปย์โหลดของมัลแวร์นี้นั้นอยู่ในรูปของโค้ดจาวาและ NodeJS (ชื่อ TROJ_SPYSIVIT.Aและ JAVA_ SPYSIVIT.A) ซึ่งมีทั้งทูลรีโมตอย่าง VisIT RAT และเอ็กซ์เทนชั่นที่เป็นประตูหลัง โดยจะเริ่มฝังตัวลงในเครื่องขณะที่ตัวโหลดจะรันไฟล์จาวาสคริปต์ที่อยู่ในไฟล์ ZIP

Trend Micro พบการแพร่กระจายมัลแวร์นี้ผ่านเมล์สแปมในรูปของไฟล์แนบ มัลแวร์ทั้งส่วนของประตูหลังและ RAT นี้พบอยู่ในชื่อ JS_DLOADR และ W2KM_DLOADR และประตูหลังนี้จะฝังบนเว็บบราวเซอร์เพื่อคอยเปิดทางให้แฮ็กเกอร์ดูดข้อมูลบนเครื่องต่อไป

ปัจจุบันทั้งไมโครซอฟท์และกูเกิ้ลทราบรายละเอียดและทำงานร่วมกับ Trend Micro ในการแก้ไขและป้องกันการฝังตัวของเอ็กซ์เทนชั่นอันตรายแบบนี้อีกในอนาคต นอกจากนี้ Trend Micro ยังแนะนำให้องค์กรและผู้ใช้ทั่วไปเลือกใช้ระบบความปลอดภัยที่อีเมล์เกตเวย์ อย่างเช่นโซลูชั่น Trend Micro Hosted Email Security เป็นต้น

ที่มา : Hackread

from:https://www.enterpriseitpro.net/malicious-chrome-edge-extension-drop-backdoor/

มัลแวร์ VPNFilter ระบาดหนัก เราท์เตอร์แบรนด์ดังโดนกันทั่วทั้ง Asus, D-Link, Huawei, ZTE

เมื่อไม่กี่สัปดาห์ก่อน FBI ได้สั่งยึดโดเมนที่โฮสต์บอทเน็ตซึ่งฝังอยู่ในอุปกรณ์ IoT กว่าห้าแสนเครื่องใน 54 ประเทศทั่วโลก ทั้งอุปกรณ์สำรองข้อมูลบนเครื่องข่ายหรือ NAS และเราท์เตอร์ตามบ้านและสำนักงานขนาดเล็ก (SOHO) ซึ่งโดเมนนี้เป็นตัวการปล่อยมัลแวร์ VPNFilter สร้างกองทัพซอมบี้จำนวนมหาศาล

จากเหตุการณ์นี้ ทำให้ทุกคนเริ่มมอง VPNFilter ว่ามีพิษสงร้ายแรงกว่าที่เคยคิด ซึ่งทาง Cisco Talos พบว่ารายการชนิดอุปกรณ์ที่ตกเป็นเป้าหมายของ VPNFilter ได้เพิ่มขึ้นอย่างต่อเนื่อง ล่าสุดพบลิสต์เราท์เตอร์ของหลายแบรนด์ไม่ว่าจะเป็น ASUS, D-Link, Huawei, UPVEL, Ubiquiti, และ ZTE

นอกจากนี้ยังพบโมดูล “ssler” ที่คอยแก้ข้อมูลทราฟิกเว็บด้วยการใส่คอนเท็นต์อันตรายลงในทราฟิกที่วิ่งผ่านเราท์เตอร์ เพื่อส่งหน้าเว็บอันตรายไปยังเอนด์พอยต์ภายในแลนด้วย รวมทั้งพบว่าการรีบูตเราท์เตอร์ใหม่ก็ไม่สามารถล้างมัลแวร์VPNFilterได้ และมีโมดูลที่คอยรับคำสั่งทำลายอุปกรณ์ที่ฝังอยู่ด้วยการลบไฟล์ระบบ เป็นต้น

นี่คือรายชื่อของรุ่นเราท์เตอร์ที่เป็นเป้าหมายของมัลแวร์นี้
Asus: RT-AC66U, RT-N10, RT-N10E, RT-N10U, RT-N56U, and RT-N66U.
D-Link: DES-1210-08P, DIR-300, DIR-300A, DSR-250N, DSR-500N, DSR-1000, and DSR-1000N.
Huawei: HG8245.
Linksys: E1200, E2500, E3000 E3200, E4200, RV082, and WRVS4400N.
Mikrotik: CCR1009, CCR1016, CCR1036, CCR1072, CRS109, CRS112, CRS125, RB411, RB450, RB750, RB911, RB921, RB941, RB951, RB952, RB960, RB962, RB1100, RB1200, RB2011, RB3011, RB Groove, RB Omnitik, and STX5.
Netgear: DG834, DGN1000, DGN2200, DGN3500, FVS318N, MBRN3000, R6400, R7000, R8000, WNR1000, WNR2000, WNR2200, WNR4000, WNDR3700, WNDR4000, WNDR4300, WNDR4300-TN, and UTM50.
QNAP: TS251, TS439 Pro, and other QNAP NAS devices running QTS software.
P-Link: R600VPN, TL-WR741ND, and TL-WR841N.
Ubiquiti: NSM2 and PBE M5.
ZTE: ZXHN H108N.

VPNFilter จึงกลายเป็นมัลแวร์ที่น่ากลัวมากขึ้นเรื่อยๆ จากวิวัฒนาการที่ปรับตัวจากแค่ฝังบอทเน็ตบนอุปกรณ์ตัวเอง กลายเป็นมัลแวร์ที่พร้อมแพร่เชื้อไปยังอุปกรณ์ทุกตัวบนเครือข่าย ที่เป็นทั้งตัวรูทคิต, มัลแวร์ที่คอยดูดข้อมูล, ไปจนถึงมัลแวร์ที่มีฤทธิ์ทำลายล้างอุปกรณ์อย่างถาวร พร้อมขยายรายการอุปกรณ์ที่ตกเป็นเหยื่อเพิ่มขึ้นอย่างไม่หยุดยั้ง

ทีมา : Hackread

from:https://www.enterpriseitpro.net/malware-vpnfilter-asus-dlink-huawei-zte/