คลังเก็บป้ายกำกับ: THREATS_UPDATE

แฮ็กเกอร์ใช้ช่องโหว่ Drupalgeddon 2 ติดตั้ง Backdoor และตัวขุดเหมืองแนะผู้ใช้รีบอัปเดต

หลังจากที่มีนักวิจัยชาวรัสเซียคนหนึ่งได้ออกโค้ด POC สำหรับช่องโหว่ Drupalgeddon 2 ออกมา ไม่นานนักกลุ่มแฮ็กเกอร์ก็เริ่มประยุกต์ใช้ข้อมูลนี้เพื่อสแกนค้นหาฌเซิร์ฟเวอร์ที่มีช่องโหว่และบางส่วนก็ประสบความสำเร็จในการติดตั้ง Backdoor และ ตัวขุดเหมืองไปเรียบร้อยแล้วด้วย ซึ่งคาดว่าการโจมตียังอยู่ในช่วงเริ่มต้นเท่านั้น

ช่องโหว่หมายเลข CVE-2018-7600 นั้นส่งผลกระทบกับ Drupal ( Content Management System เช่น บริหารจัดการเว็บเพจ บล้อก หรืออื่นๆ) เวอร์ชันก่อน 7.58, เวอร์ชัน 8.x ก่อน 8.3.9, เวอร์ชัน 8.4.x ก่อน 8.4.6 และ 8.5.x ก่อน 8.5.1 ซึ่งช่องโหว่นี่ทำให้เกิด Remote Code Execution ได้โดยไม่ต้องพิสูจน์ตัวตนบนไซต์เพียงแค่ใช้งานผ่าน URL เท่านั้น ซึ่งทางทีมงาน Drupal ได้แนะนำให้อัปเดตเป็นเวอร์ชัน 7.58 หรือ 8.5.1 ซึ่งได้รับการปิดช่องโหว่แล้ว

อย่างไรก็ตามหลังจากโค้ด POC ถูกปล่อย (GitHub) ออกมามีรายงานหลายแห่งว่าแฮ็กเกอร์เริ่มทำการทดสอบเพื่อค้นหาระบบที่มีช่องโหว่ ซึ่งแม้ว่ายังไม่มีจำนวนมากนักอ้างจากสถิติของ Imperva มีเพียง 2-3% เท่านั้นที่สามารถติดตั้ง Backdoor หรือ ตัวขุดเหมืองได้สำเร็จและ 90% ไม่ประสบผลสำเร็จในการสแกน แต่ก็เป็นที่จับตามองของนักวิจัยหลายฝ่ายว่าน่าจะเป็นเพียงขั้นทดลองหรือประยุกต์ใช้งานเท่านั้นและคาดว่ากลุ่มแฮ็กเกอร์กำลังมุ่งเป้ามาที่ช่องโหว่นี้แน่นอน

ที่มา : https://www.bleepingcomputer.com/news/security/drupalgeddon-2-vulnerability-used-to-infect-servers-with-backdoors-and-coinminers/ และ https://www.bleepingcomputer.com/news/security/drupal-fixes-drupalgeddon2-security-flaw-that-allows-hackers-to-take-over-sites/

from:https://www.techtalkthai.com/drupalgeddon-2-are-on-the-rise-in-hacker-groups/

Advertisements

นักวิจัยช่วยกันทลายเครือข่ายเซิร์ฟเวอร์ที่ร่วมกระจายมัลแวร์

นักวิจัยจาก Abuse.ch, Brillant และ Proofpoint ได้ร่วมกันทลายเครือข่ายของเซิร์ฟเวอร์ C&C เบื้องหลังของ EITest หรือเครือข่ายของเซิร์ฟเวอร์จำนวนมากที่ถูกแทรกซึมโดยการติดตั้ง Backdoor เพื่อดูดทราฟฟิคปกติของเว็บไซต์และ Redirect ผู้ใช้ไปยังเพจอันตรายเป็นต้น (Traffic Distribution System)

Credit: Tashatuvango/ShutterStock

 

ประวัติของ EITest มีดังนี้

  • ปรากฏในตลาดของอาชญากรในปี 2011 เริ่มแรกผู้ก่อตั้งหวังใช้เพื่อผลักดันทราฟฟิคไปยัง Exploit Kit (ซอฟต์แวร์ที่รันอยู่บนเซิร์ฟเวอร์ที่ค้นหาและใช้ช่องโหว่บนเครื่องผู้ใช้งานเพื่ออัปโหลดและรันโค้ดอันตรายกับเหยื่อ) ของตนที่ชื่อ Glazunov ที่ใช้เพื่อติดตั้ง Trojan ที่ชื่อ Zaccess แต่ก็ไม่ได้เป็นผลด้านการคุกคามเท่าไหร่นัก
  • ปี 2014 ทีมงานจึงปล่อย EITest ให้กับผู้เขียนมัลแวร์รายอื่นมาเช่าใช้ต่อไป หลังจากนั้นมา EITest ก็มีส่วนแพร่กระจาย Ransomware อย่างนับไม่ถ้วน หรือ มีส่วนในการส่งผู้ใช้ไปยังไซต์ที่ทำ Social Engineering

จากการศึกษาของ Proofpoint พบว่า EITest ได้เสนอขายทราฟฟิคที่ปล้นมาได้จากไซต์ที่ถูกแฮ็กสนนราคาประมาณ $20 เหรียญต่อผู้ใช้งาน 1 พันคน โดยขั้นต่ำของการซื้อขายอยู่ที่ 5 หมื่นคน ต่อมาเมื่อต้นปี 2017 นักวิจัยจาก BrillantIT ได้เข้าไปศึกษาการทำงานภายใน EITest ทั้งหมด จากการเข้ายึดโดเมนหนึ่งชื่อ Stat-dns.com จนในที่สุดหลังจากวิเคราะห์การไหลของทราฟฟิคที่มีเหยื่อกว่า 2 ล้านคนรายวันมาจากเว็บไซต์ที่ถูกแฮ็กกว่า 52,000 แห่งและส่วนใหญ่เป็น WordPress

อย่างไรก็ตามหลังจากทลายเครือข่ายแล้วก็ไม่มีความพยายามของทีม EITest ที่จะนำระบบกลับมาอีกเลย แต่ก็ยังมีเครือข่ายลักษณะนี้ในตลาดอีก เช่น Fobos, Nyay และ Seamless เป็นต้น

ที่มา : https://www.bleepingcomputer.com/news/security/researchers-take-down-network-of-52-000-infected-servers-distributing-malware/

 

from:https://www.techtalkthai.com/researchers-sinkholed-eitest-network-of-distributing-malware/

พบการ Hijack DNS ของเร้าเตอร์เพื่อ Redirect ผู้ใช้ไปยังเพจที่มีมัลแวร์ Android

พบการโจมตีโดยใช้วิธี Hijack DNS บนเร้าเตอร์ที่มีช่องโหว่เพื่อ Redirect ผู้ใช้ไปยังหน้าเพจที่มีมัลแวร์ของ Android จนถึงตอนนี้นักวิจัยยังไม่ทราบว่าแฮ็กเกอร์ใช้วิธีไหนเข้าถึงเร้าเตอร์ตามบ้านเพื่อไปเปลี่ยนแปลง DNS ได้ อย่างไรก็ตามนักวิจัยได้เก็บตัวอย่างของมัลแวร์ที่ชื่อ Roaming Mantis มาศึกษาถึงวิธีการทำงานด้วยเช่นกัน

Credit: ShutterStock.com

Kaspersky Lab พบว่ามีการ Hijack ทราฟฟิคเกิดขึ้นประมาณ 150 ไอพีซึ่งมีการ Redirect ผู้ใช้งานไปยังหน้าเพจอันตรายกว่า 6 พันครั้งระหว่าง 9 กุมภาพันธ์ ถึง 9 เมษายนที่ผ่านมา โดยแฮ็กเกอร์จะ Redirect ผู้ใช้ไปยังหน้าเพจเลียนแบบของแอปพลิเคชัน Android เช่น Google Chrome และ Facebook เป็นต้น นอกจากนี้เว็บไซต์ที่ตั้งแอปพลิเคชันปลอมและตัวแอปพลิเคชันเองสามารถรองรับภาษาได้ 5 ภาษาคือ เกาหลี ญี่ปุ่น อังกฤษ ตัวอักษรจีนแบบดั้งเดิมและแบบย่อ

จากการศึกษาตัวอย่างมัลแวร์ Roaming Mantis ซึ่งเป็นแอปพลิเคชันที่มุ่งเน้นเพื่อขโมยข้อมูลโดยไม่พบโค้ดที่ทำการขโมยเงินของผู้ใช้งานออกจากบัญชี แม้ว่ามันจะเจาะจงไปยังแอปพลิเคชัน เช่น เกมยอดนิยมและธนาคาร จากผู้ใช้งานในหลายประเทศ เช่น เกาหลีใต้ อินเดีย ญี่ปุ่น บังคลาเทศ อย่างไรก็ตาม Credential ที่ถูกขโมยไปอาจถูกใช้ปฏิบัตการหลอกลวงอื่นๆ ต่อไป ที่น่าสังเกตคือวิธีการแพร่พันธุ์มัลแวร์โดยการเข้าถึงเร้าเตอร์เพื่อ Hijack DNS ถือเป็นวิธีการใหม่สำหรับการโจมตีผสมผสานกับมัลแวร์ Android ดังนั้นแนะนำว่าควรอัปเดตแพตช์เร้าเตอร์อย่างสม่ำเสมอนะครับ

from:https://www.techtalkthai.com/new-attack-via-hijack-router-dns-and-redirect-user-to-malicious-websites/

Coinsecure สูญ Bitcoin กว่าร้อยล้านบาท คาดฝีมือคนใน

Mohit Kalra, CEO ของ Coinsecure ผู้ให้บริการแลกเปลี่ยนเงินดิจิทัลจากประเทศอินเดีย ออกแถลงการณ์เมื่อวันที่ 12 เมษายนที่ผ่านมา ระบุบริษัทถูกขโมยเงินดิจิทัลไป 438 Bitcoins มูลค่าประมาณ 100 ล้านบาท จาก Wallet หลักของบริษัท เชื่อ CSO ขององค์กรอยู่เบื้องหลัง

Kalra ระบุในแถลงการณ์ของบริษัทว่า ระบบของ Coinsecure มีความมั่นคงปลอดภัยสูงและไม่เคยเกิดเหตุถูกแฮ็กมาก่อน การสูญเสียเงินดิจิทัล 438 Bitcoins นี้เกิดระหว่างการพยายามดึง BTG (Bitcoin Gold) ไปกระจายต่อยังลูกค้าของเราโดย Dr. Amitabh Saxena ผู้ซึ่งเป็น CSO ของบริษัท ซึ่งเขาชี้แจงภายหลังว่ามีสาเหตุมาจาก Bitcoin Wallet ของบริษัทถูกโจมตีไซเบอร์

อย่างไรก็ตาม Kalra ไม่เชื่อเรื่องที่ Saxena ให้การต่อตำรวจว่าเงินถูกขโมยเพราะการโจมตี เนื่องจากมีเพียงตัวเขาและ Saxena เท่านั้นที่เป็นผู้ถือ Private Key ของ Bitcoin Wallet ของบริษัท โดย Kalra กล่าวหา Saxena ว่าพยายามสร้างเรื่องเพื่อบ่ายเบี่ยงความสนใจ และแท้ที่จริงแล้ว Saxena เองคือผู้อยู่เบื้องหลังทั้งหมด

นอกจากนี้ Kalra ยังร้องขอต่อตำรวจเมืองนิวเดลีอีกว่า ให้คอยจับตาดูพาสปอร์ตของ CSO คนดังกล่าวไว้ เนื่องจากเขาเชื่อว่า Saxena จะบินหลบหนีออกนอกประเทศเร็วๆ นี้

ผู้ที่สนใจสามารถอ่านแถลงการณ์ของ Coinsecure และใบแจ้งความต่อตำรวจเมืองนิวเดลีได้ตามรูปด้านล่าง

ที่มา: https://www.bleepingcomputer.com/news/security/33-million-stolen-from-coinsecure-bitcoin-exchange-inside-job-suspected/

from:https://www.techtalkthai.com/coinsecure-lost-438-bitcoins/

หลบการตรวจจับด้วย “Early Bird” เทคนิค Code Injection รูปแบบใหม่

นักวิจัยด้านความมั่นคงปลอดภัยจาก Cyberbit ประเทศอิสราเอล ค้นพบเทคนิคการทำ Code Injection รูปแบบใหม่สำหรับหลบหลีกการตรวจจับของซอฟต์แวร์ Antivirus โดยตั้งชื่อว่า “Early Bird” ชี้มีมัลแวร์ไม่น้อยกว่า 3 ชนิดใช้เทคนิคดังกล่าวแล้ว

Credit: ShutterStock.com

หลักการทำงานของเทคนิค Early Bird เป็นไปตามชื่อของมัน กล่าวคือ โหมดการทำงานของ Early Bird จะอาศัยการใช้ฟังก์ชันปกติของระบบปฏิบัติการ Windows ในการสอดแทรกโค้ดแปลกปลอมเข้าไปยังโปรเซสของแอปพลิเคชัน ก่อนที่โปรเซสดังกล่าวจะเริ่มทำงาน หรือโปรแกรม Antivirus จะเข้ามาสแกนโปรเซสเพื่อตรวจสอบพฤติกรรมที่ผิดปกติ ทำให้หลุดรอดการตรวจจับมาได้

ถึงแม้ว่าการสร้างโปรเซสที่ถูกต้อง (Legitimate Process) หยุดการทำงานของโปรเซส และแทรกโค้ดเข้าไปก่อนที่โปรเซสจะเริ่มทำงานจะไม่ใช้เรื่องใหม่ แต่สิ่งที่ทำให้ Early Bird ต่างจากเทคนิคเหล่านั้นคือ การใช้ฟังก์ชันที่ถูกต้องของระบบปฏิบัติการในการดำเนินการดังกล่าว

จนถึงตอนนี้พบว่ามีมัลแวร์ไม่น้อยกว่า 3 ชนิดใช้เทคนิค Early Bird ในการโจมตี ได้แก่ TurnedUp Backdoor ของ APT33 กลุ่มอาชญากรรมไซเบอร์ที่คาดว่าน่าจะเป็นชาวอิหร่าน รวมไปถึง DorkBot และ Carberp มัลแวร์ที่ถูกใช้เพื่อแฮ็กสถาบันการเงิน

Cyberbit ได้เผยแพร่รายงานเทคนิค Early Bird สู่สาธารณะ พร้อมวิดีโออธิบายหลักการทำงานบน YouTube ผู้ที่สนใจสามารถดูรายละเอียดเพิ่มเติมได้ที่: https://www.cyberbit.com/blog/endpoint-security/new-early-bird-code-injection-technique-discovered/

ที่มา: https://www.bleepingcomputer.com/news/security/early-bird-code-injection-technique-helps-malware-stay-undetected/

from:https://www.techtalkthai.com/early-bird-code-injection-to-evade-security-detection/

Adobe ออกแพตช์อุดช่องโหว่ประจำเดือนเมษายน 2018

Adobe ออก Security Bulletin ประจำเดือนเมษายน 2018 อุดช่องโหว่บนผลิตภัณฑ์ 5 รายการ ได้แก่ Adobe Flash Player, Adobe Experience Manager, Adobe InDesign, Adobe Digital Editions และ Adobe PhoneGap Push Plugin รวมทั้งสิ้น 14 รายการ โดย 4 รายการนั้นมีความรุนแรงระดับ Critical

ช่องโหว่ทั้ง 14 รายการถูกแบ่งออกเป็น 5 หมวด ดังนี้

APSB18-08: ช่องโหว่บน Adobe Flash Player ทั้งบน Windows, Mac, Linux และ Chrome OS รวม 6 รายการ ซึ่งส่งผลกระทบบน Flash Player เวอร์ชัน 29.0.0.113 และก่อนหน้านั้น โดย 3 รายการเป็นช่องโหว่ Remote Code Execution ความรุนแรงระดับ Critical แนะนำให้ผู้ใช้อัปเดตเป็นเวอร์ชัน 29.0.0.140

APSB18-10: ช่องโหว่บน Adobe Experience Manager จำนวน 3 รายการซึ่งเป็นช่องโหว่ Cross-site Scripting และ Stored Cross-site Scripting แนะนำให้ผู้ใช้อัปเดตเป็นเวอร์ชัน 6.3

APSB18-11: ช่องโหว่บน Adobe InDesign CC จำนวน 2 รายการ หนึ่งในนั้นเป็นช่องโหว่ Memory Corruption ความรุนแรงระดับ Critical ซึ่งช่วยให้แฮ็กเกอร์ลอบรันโค้ดแปลกปลอมบนเครื่องของผู้ใช้ได้ และอีกหนึ่งเป็นช่องโหว่ Local Privilege Escalation ความรุนแรงระดับ Important แนะนำให้อัปเดตเป็นเวอร์ชัน 13.1

APSB18-13: ช่องโหว่บน Adobe Digital Editions จำนวน 2 รายการ ได้แก่ ช่องโหว่ Out-of-bounds read และ Stack Overflow ซึ่งเสี่ยงทำให้ข้อมูลรั่วไหลสู่สาธารณะได้ แนะนำให้อัปเดตเป็นเวอร์ชัน 4.5.8

APSB18-15: ช่องโหว่บน Adobe PhoneGap Push Plugin จำนวน 1 รายการ เป็นช่องโหว่ Same-Origin Method Execution (SOME) บนแอปพลิเคชัน PhoneGap ที่มีการใช้ Push Plugin แนะนำให้ผู้ใช้อัปเดตเป็นเวอร์ชัน 2.1.0

ที่มา: https://www.bleepingcomputer.com/news/security/adobe-patches-six-flash-player-security-bugs-three-critical/

from:https://www.techtalkthai.com/adobe-patch-april-2018/

Hacker เริ่มโจมตี YouTube ไล่เปลี่ยนและลบ Music Video ชื่อดังจำนวนมาก

Video Platform ชื่อดังอย่าง YouTube ได้ตกเป็นเป้าหมายล่าสุดของ Hacker ไปแล้ว โดยมี Music Video ชื่อดังจำนวนมากที่ถูกเปลี่ยนภาพหน้าปก รวมถึงบางวิดีโอดังที่มีคนดูจำนวนมากก็ถูกลบหายไปจาก YouTube

 

 

ภาพปกของวิดีโอชื่อดังเหล่านี้ถูกเปลี่ยนไปเป็นภาพของเหล่าแก๊งอาชญากรใส่หน้ากากถือปืนแทน และคำอธิบายของคลิปก็ถูกเปลี่ยนไปแนะนำตัวผู้โจมตีว่าชื่อ Prosox และ Kuroi’sh โดยปัจจุบันนี้ Music Video ของดาราชื่อดังที่ตกเป็นเป้านั้นได้แก่ Chris Brown, Shakira, DJ Snake, Selena Gomez, Drake, Katy Perry และ Taylor Swift โดยเป้าของการโจมตีทั้งหมดนี้คือ YouTube Account ของ VEVO ทั้งสิ้น

ตอนนี้ยังไม่เป็นที่กระจ่างชัดว่าการโจมตีครั้งนี้เกิดขึ้นจากช่องโหว่ของ YouTube เอง, ผู้โจมตีได้ Account YouTube ของเหยื่อไป หรือผู้โจมตีเข้าถึง VEVO Account ได้กันแน่ แต่ไม่ว่ากรณีไหนก็ถือเป็นเรื่องลำบากต่อเหล่า Content Creator ทั้งสิ้น เพราะการสำรองข้อมูลวิดีโอ, การอัปโหลดแก้ไข หรือตัวเลขสถิติต่างๆ ของแต่ละคลิปนั้นก็ล้วนมีความสำคัญทั้งสิ้น และที่ผ่านมากรณีลักษณะนี้ยังไม่ค่อยเกิดมากนัก ดังนั้นการรับมือก็อาจเป็นไปได้อย่างยากลำบากพอสมควร

 

ที่มา: https://www.theverge.com/2018/4/10/17218512/youtube-hack-despacito-vevo-music-videos

from:https://www.techtalkthai.com/hackers-hijacked-vevo-youtube-accounts-to-deface-and-delete-popular-music-video/