คลังเก็บป้ายกำกับ: THREATS_UPDATE

WordPress มัลแวร์ ‘Wp-Vcd’ กลับมาโจมตีอีกครั้งแล้ว

คงจะปฏิเสธไม่ได้ว่า WordPress เป็นเครื่องมือยอดฮิตที่เปิดโอกาสให้ผู้คนที่สนใจสร้างเว็บเป็นของตนเองพัฒนาเว็บได้อย่างง่าย แม้ไม่มีทักษะด้านเขียนโปรแกรมเลยก็ตาม อย่างไรก็ดีมันก็ยังมีภัยร้ายซ่อนอยู่ ผู้ใช้งานจึงควรระมัดระวังตัวเพิ่มขึ้นเนื่องจากมัลแวร์ wp-vcd กลับมาโจมตีผู้ใช้งานอีกครั้งหนึ่ง โดยมัลแวร์จะเข้าไปซ่อนตัวในไฟล์ปกติของ WordPress จากนั้นจะเพิ่มผู้ใช้งานสิทธิ์ผู้ดูแลอย่างลับๆ และยกระดับการเข้าควบคุมเว็บที่ติดมัลแวร์ตัวนี้ นั่นอาจทำให้ธุรกิจของคุณได้รับผลกระทบอย่างไม่คาดคิด

Manuel D’Orso นักวิจัยด้านความมั่นคงปลอดภัยได้ค้นพบมัลแวร์นี้เป็นครั้งแรก และพบว่าในเวอร์ชันแรกของมัลแวร์จะถูกโหลดเข้ามาโดยไฟล์การ include (วิธีการเรียกโค้ดส่วนอื่นมาใช้ เช่นในภาษาโปรแกรมมิ่งต่างๆ)ไฟล์ที่ชื่อว่า wp-vcd.php นั่นจึงเป็นที่มาของชื่อมัลแวร์ตัวนี้ จากนั้นมันจะแทรกตัวเองลงไปในไฟล์หลักของ WordPress เช่น functions.php และ class.wp.php การโจมตีไม่ได้กินวงกว้างนักแต่ก็เกิดขึ้นเรื่อยๆ ตลอดเดือนที่ค้นพบ

wp-vcd จ้องเล่นงานธีมเก่าๆ ของ WordPress

เมื่อสัปดาห์ที่ผ่านมาทีมงานจาก Sucuri ผู้ให้บริการด้านความมั่นคงปลอดภัยเว็บไซต์ได้ติดตามความแตกต่างของมัลแวร์ตัวนี้ที่กลับมาโจมตีอีกครั้งพบว่ามันจะฝังโค้ดเข้าไปในไฟล์ Twentyfifteen และ Twentysixteen ซึ่งก็คือไฟล์ธีมเก่าของ WordPress CMS ช่วงปี 2015 และ 2016 ซึ่งยังมีไฟล์นี้อยู่ในหลายไซต์แม้ว่าจะปิดใช้งานอยู่ก็ตาม อย่างไรก็ตามมันไม่มีการซ่อนตัวเองโดยการเข้ารหัสตัวเองหรือมีฟังก์ชันที่ทำให้สับสน ผู้โจมตีไม่ได้ใส่ใจเรื่องนี้มากนัก หากมัลแวร์เข้าไปได้แล้วมันจะสร้างผู้ดูแลระบบเพิ่มชื่อ 100010010 เพื่อเป็นบัญชี Backdoor ให้ผู้โจมตีสามารถดำเนินการโจมตีได้ต่อเนื่องในวันหลัง ผู้โจมตีใช้ประโยชน์จากธีมหรือ Plugin เก่าๆ เพื่ออัปโหลดมัลแวร์เข้าไปโจมตี ผู้ใช้งานสามารถป้องกันตัวเองได้โดยไม่เก็บไฟล์ธีมเก่าที่ไม่ได้ใช้งานแล้วหรือ Plugin ที่มีช่องโหว่หรือใช้งาน Web Application Firewall เพื่อปกป้องและคอยตรวจดูการแก้ไขไฟล์หลักของ WordPress

WordPress Plugin ที่ได้รับความนิยมมีผลกระทบจากช่องโหว่

ยังมีข่าวอื่นๆ ที่เกี่ยวข้องในสัปดาห์ที่แล้วเช่นกันคือ WordPress ได้ออกโปรเจ็ค WordPress 4.9 เพื่อสนับสนุนผู้พัฒนามาพร้อมกับฟีเจอร์เช่น การออกแบบ Workflow และป้องกันข้อผิดพลาดของการเขียนโค้ด ในภาพของความมั่นคงปลอดภัยนักวิจัยพบว่า Plugin ที่ได้รับความนิยมอย่าง Yoast SEO มียอดดาวน์โหลดไปแล้วกว่า 5 ล้านครั้งและ Formidable Forms มียอดดาวน์โหลดถึง 2 แสนครั้ง โดยก่อนหน้านี้ก็มีผู้ค้นพบช่องโหว่ของ Plugin ทั้งสองตัวดังกล่าว ดังนั้นผู้ใช้งานควรหมั่นอัปเดตให้ล่าสุดอยู่เสมอ

ที่มา : https://www.bleepingcomputer.com/news/security/wp-vcd-wordpress-malware-campaign-is-back/

from:https://www.techtalkthai.com/wordpress-wp-vcd-is-back/

Advertisements

เตือนช่องโหว่ RSA Implementation บน F5 Big-IP เสี่ยงถูกดักฟังข้อมูลที่เข้ารหัส

F5 Networks ผู้นำด้านเทคโนโลยี Application Delivery Networking ออกมาแจ้งเตือนถึงช่องโหว่ RSA Implementation บน F5 Big-IP ซึ่งช่วยให้แฮ็คเกอร์สามารถดักฟังข้อมูลที่ถูกเข้ารหัสหรือโจมตีแบบ Man-in-the-Middle โดยไม่จำเป็นต้องทราบ Private Key ได้ แนะนำให้ผู้ดูแลระบบรีบอัปเดตแพตช์โดยด่วน

Credit: ShutterStock.com

ช่องโหว่ดังกล่าวมีรหัส CVE-2017-6168 ซึ่งอธิบายไว้ว่า “Virtual Server ที่ถูกตั้งค่าด้วยโปรไฟล์ Client SSL อาจมีช่องโหว่การโจมตี Adaptive Chosen Ciphertext Attack (หรือรู้จักกันในชื่อ Bleichenbacher Attack) บน RSA ซึ่งถ้าถูกเจาะ อาจก่อให้เกิดการได้มาถึง Plaintext ของข้อความที่ถูกเข้ารหัส และ/หรือถูกโจมตีแบบ Man-in-the-Middle” ถึงแม้ว่าแฮ็กเกอร์จะไม่ทราบ Private Key ที่ใช้ในการเข้ารหัสก็ตาม

Bleichenbacher Attack เป็นชื่อที่ตั้งตามนักวิจัยด้านวิทยาการรหัสลับชาวสวิตเซอร์แลนด์ Daniel Bleichenbacher ซึ่งค้นพบการโจมตีดังกล่าวเมื่อปี 2006 การโจมตีนี้ช่วยให้เขาสามารถแคร็กข้อความที่ถูกเข้ารหัสและอ่าน Plaintext ของข้อความนั้นได้หลังจากที่จบเซสชันไปแล้ว อย่างไรก็ตาม เฉพาะเซสชัน TLS ที่สร้างขึ้นโดยการเข้ารหัสแบบ RSA เท่านั้นที่ได้รับผลกระทบต่อการโจมตีนี้

Nick Sullivan จาก CloudFlare โพสต์ใน Twitter ว่า ช่องโหว่บน F5 นี้ก็เหมือนกับการโจมตีแบบ DROWN (Decrypting RSA with Obsolete and Weakened Encryption) เพียงแต่ไม่จำเป็นต้องมีเงื่อนไขของ SSLv2 แต่อย่างใด

ช่องโหว่นี้ค้นพบโดย Hanno Bock, Juraj Somorovsky จาก Ruhr-Universitat Bochum/Hackmanit GmbH และ Craig Young จาก Tripwire VERT โดยส่งผลกระทบต่อ Big-IP เวอร์ชัน 11.6.0-11.6.2, 12.0.0-12.1.2 HF1 และ 13.0.0-13.0.0 HF2 แนะนำให้ผู้ดูแลระบบ F5 รีบอัปเดตแพตช์โดยด่วน

ที่มา: https://www.theregister.co.uk/AMP/2017/11/20/f5_crypto_weakness/

from:https://www.techtalkthai.com/rsa-implementation-flaw-in-f5-big-ip/

พบ Bug ใน Android ทำให้แฮ็กเกอร์บันทึกเสียงและหน้าจอได้ คาดกระทบ 3 ใน 4 ของ smartphone

อุปกรณ์มือถือ Android เวอร์ชัน Lolipop, Marshmallow และ Nougat มีช่องโหว่จากบริการ  MediaProjection ซึ่งเป็นโค้ดที่ให้นักพัฒนา Android นำไปใช้ในฟังก์ชันเกี่ยวกับหน้าจอและระบบบันทึกเสียง โดยจากสัดส่วนอุปกรณ์ในท้องตลาดคาดว่ามีมือถือที่ได้รับผลกระทบถึง 77.5% ของมือถือ Android ทั้งหมด

Credit: ShutterStock.com

ช่องโหว่เกิดขึ้นใน Android MediaProjection Service

MediaProjection Service เกิดขึ้นมาตั้งแต่ยุคเริ่มต้นของ Android โดยแอปพลิเคชันที่เรียกใช้งานต้องใช้สิทธิ์ Root และต้องมี Release Key  ของเครื่องดังกล่าวเท่านั้น (เป็นการยืนยันความถูกต้องของแอปพลิเคชันว่าเป็นของจริงคล้ายกับ Certificate ของเว็บไซต์)ใส่อยู่ด้วย ด้วยสาเหตุนี้เองทำให้การใช้งาน MediaProjection แอปพลิเคชันต้องมีสิทธิ์ระดับ System อีกสาเหตุหนึ่งคือทาง Google เองก็ได้เปิดบริการนี้ให้กับทุกคนนำไปใช้ตั้งแต่ Android Lolipop (เวอร์ชัน 5.0) ปัญหาก็คือ Google ไม่ได้สอบถามสิทธิ์ของบริการนี้กับผู้ใช้งานเหมือนแอปพลิเคชันอื่นๆ

ข้อผิดพลาดเกิดจากการออกแบบ UI

แทนที่แอปพลิเคชันจะร้องขอสิทธิ์การเข้าถึงระบบของบริการนี้ในยามที่ต้องการใช้งานจริงๆ เท่านั้น โดยอาจจะแสดง SystemUI Popup เพื่อแจ้งเตือนผู้ใช้งานว่าตอนนี้แอปพลิเคชันต้องการใช้ฟังก์ชันการจับภาพหน้าจอหรือใช้งานระบบบันทึกเสียง

ก่อนหน้านี้นักวิจัยด้านความมั่นคงปลอดภัยจาก MWR Labs เคยพบว่าผู้โจมตีสามารถตรวจจับได้ว่า SystemUI จะปรากฏออกมาเมื่อไหร่ ด้วยเหตุนี้เองผู้โจมตีสามารถแก้ไขข้อความที่แสดงได้หรือเปลี่ยนแปลง Popup ที่แสดงอยู่บนสุดได้ เทคนิคนี้เรียกว่า tap-jacking ที่ถูกใช้โดยนักพัฒนามัลแวร์บน Android มาหลายปีแล้ว สาเหตุหลักของช่องโหว่นี้เกิดจากความจริงที่ว่า Android ไม่สามารถตรวจจับ SystemUI Popup ที่ไม่ปลอดภัย นั่นทำให้ผู้โจมตีสามารถสร้างแอปพลิเคชันที่ทำให้เกิด Overlay  (หรือฟังก์ชันที่ทำให้แอปพลิเคชันสามารถแสดงผลแอปพลิชันอื่นได้ )ทับ SystemUI Popup นั่นอาจะนำไปสู่การยกระดับสิทธิ์ของแอปพลิชันให้สามารถจับภาพหน้าจอของผู้ใช้ได้ “SystemUI Popup เป็นเพียงสิ่งเดียวที่จะป้องกันการใช้ MediaProjection ในทางที่ผิดแต่ผู้โจมตีก็อาจจะใช้ tapjacking เพื่อลัดผ่านการป้องกันนี้ได้อยู่ดี”–ผู้เชี่ยวชาญกล่าว

ตอนนี้ Google ออกแพตซ์เพียงแค่ระบบปฏิบัติการเวอร์ชัน Oreo เท่านั้น

Google ออกแพตซ์แล้วใน Oreo หรือเวอร์ชัน 8.0 แต่ระบบปฏิบัติการเก่ากว่านี้ยังมีช่องโหว่อยู่ดังนั้นผู้ใช้งานควรอัปเดต อย่างไรก็ตามนักวิจัยกล่าวว่าการโจมตีด้วยช่องโหว่นี้ไม่ใช่มหันภัยเงียบซะทีเดียว โดยหากถูกโจมตีผู้ใช้งานจะเห็นไอคอนบนหน้าจอตามรูปด้านล่าง

นี่ไม่ใช่ช่องโหว่สำคัญกรณีแรกเท่านั้นที่ถูกเปิดเผยออกมาในปีนี้ โดยก่อนหน้านี้มีตัวอย่างหลายกรณีเช่น Clock&Dagger Attack, Toast Overlay Attack และ Broadpwn (มีผลกระทบต่อ iOS ด้วย)

ที่มาและเครดิตรูปภาพ : https://www.bleepingcomputer.com/news/security/android-bug-lets-attackers-record-audio-and-screen-activity-on-3-of-4-smartphones/

from:https://www.techtalkthai.com/android-bug-let-attacker-manipulate-screen-and-audio-record/

Oracle ออกแพทช์ฉุกเฉิน อุดช่องโหว่ JOLTandBLEED ความรุนแรงระดับ Critical

Oracle ผู้ให้บริการระบบจัดการฐานข้อมูลและซอฟต์แวร์เชิงธุรกิจชื่อดัง ประกาศออกแพทช์ฉุกเฉินสำหรับอุดช่องโหว่ JOLTandBLEED รวม 5 รายการ บางช่องโหว่มีความรุนแรงระดับ Critical ซึ่งส่งผลกระทบต่อผลิตภัณฑ์ Middleware ของ Oracle หลายรายการ

ชุดช่องโหว่ JOLTandBLEED ทั้ง 5 รายการนี้ถูกค้นพบโดย ERPScan ผู้เชี่ยวชาญด้านความมั่นคงปลอดภัยระบบ ERP โดยตั้งชื่อตามชื่อโปรโตคอล (Jolt) ที่ได้รับผลกระทบ ซึ่งบางช่องโหว่มีลักษณะคล้ายคลึงกับช่องโหว่ Heartbleed แต่ส่งผลเฉพาะผลิตภัณฑ์ของ Oracle เท่านั้น ได้แก่ สายการผลิตของ Oracle PeopleSoft ไม่ว่าจะเป็น Campus Solutions, PeopleSoft Human Capital Management, PeopleSoft Financial Management, PeopleSoft Supply Chain Management และอื่นๆ

Jolt เป็นโปรโตคอลเซิร์ฟเวอร์ภายใน Tuxedo (Transactions for Unix, Entended for Distributed Operations) ซึ่งเป็นคอร์หลักของผลิตภัณฑ์ Middleware ของ Oracle ซึ่งชุดช่องโหว่ JOLTandBLEED นี้ช่วยให้แฮ็คเกอร์สามารถเข้าถึงข้อมูลที่ถูกประมวลผลภายในหน่วยความจำของแอพพลิเคชันที่ใช้ Tuxedo ได้ ส่งผลให้ข้อมูลสำคัญขององค์กรอาจรั่วไหลออกสู่สาธารณะ ที่สำคัญคือ สองในช่องโหว่เหล่านั้น (รหัส CVE-2017-10269 และ CVE-2017-10272) มีความรุนแรงระดับ Critical โดยได้คะแนน CVSS 10/10 และ 9.9/10

แนะนำให้ผู้ใช้ Oracle PeopleSoft อัปเดตแพทช์ล่าสุดโดยด่วน

ที่มา: https://www.bleepingcomputer.com/news/security/oracle-products-affected-by-critical-joldandbleed-vulnerabilities/

from:https://www.techtalkthai.com/oracle-patches-joltandbleed-vulnerabilities/

เตือนช่องโหว่ Unauthorized Access บน Cisco Collaboration ความรุนแรงระดับ Critical

Cisco ออก Security Advisory แจ้งเตือนถึงช่องโหว่ความรุนแรงระดับ Critical บนผลิตภัณฑ์ด้าน Cisco Collaboration ซึ่งช่วยให้แฮ็คเกอร์สามารถเข้าถึงระบบอย่างไม่มีสิทธิ์ พร้อมยกระดับสิทธิ์ของตนเองได้ แนะนำให้ผู้ดูแลระบบรีบอัปเดตแพทช์โดยด่วน

Credit: Visual Generation/ShutterStock

ช่องโหว่ดังกล่าวมีรหัส CVE-2017-12337 มีคะแนน CVSS 9.8/10 (ระดับ Critical) เป็นช่องโหว่บนผลิตภัณฑ์ที่ใช้ซอฟต์แวร์แพลตฟอร์ม Cisco Voice Operating System (VOS) รวม 12 รายการ ได้แก่

  • Cisco Unified Communications Manager (UCM)
  • Cisco Unified Communication Manager Session Management Edition (SME)
  • Cisco Emergency Responder
  • Cisco Unity Connection
  • Cisco Unified Communications Manager IM and Presence Service
  • Cisco Prime License Manager
  • Cisco Hosted Collaboration Mediation Fulfillment
  • Cisco Unified Contact Center Express (UCCx)
  • Cisco SocialMiner
  • Cisco Unified Intelligence Center (UIC)
  • Cisco Finesse
  • Cisco MediaSense

ช่องโหว่นี้จะปรากฏเมื่อทำการ Refresh Upgrade หรือ Prime Collaboration Deployment (PCD) Migration เมื่อดำเนินกิจกรรมดังกล่าวสำเร็จ จะพบว่า Engineering Flag ยังคงถูกใช้งานอยู่ ส่งผลให้แฮ็คเกอร์สามารถเข้าถึงอุปกรณ์ผ่านทาง SFTP โดยได้สิทธิ์เป็น Root ทันที

ในกรณีที่อุปกรณ์ถูกอัปเกรดผ่านทางกระบวนการอัปเกรดมาตรฐาน เช่น Engineering Special Release, Service Update หรือ Major Release ช่องโหว่ดังกล่าวจะถูกอุดตามไปด้วยโดยอัตโนมัติ ซึ่งตอนนี้ Cisco ได้ออกแพทช์สำหรับจัดการกับช่องโหว่เป็นที่เรียบร้อยแล้ว แนะนำให้ผู้ดูแลระบบรีบอัปเดตแพทช์โดยทันที (ไม่มีวิธีแก้ไขปัญหาชั่วคราวหรือ Workaround แต่อย่างใด)

รายละเอียดเพิ่มเติม: https://tools.cisco.com/security/center/content/CiscoSecurityAdvisory/cisco-sa-20171115-vos

from:https://www.techtalkthai.com/unauthorized-access-vulnerabilityh-in-cisco-collaboration-products/

Fortinet ทำนาย 5 แนวโน้มด้าน Cybersecurity ปี 2018 เตรียมพบกับ Botnet + AI

Fortinet ได้ออกมาทำนายถึงแนวโน้มภัยคุกคามในปี 2018 ด้วยกัน 5 ประการ ซึ่งแนวโน้มที่น่าสนใจมากคือการผสานเทคโนโลยี AI เข้ากับเครื่องมือที่ใช้โจมตีในรูปแบบต่างๆ อย่าง Botnet หรือ Ransomware จนสามารถสร้างความเสียหายได้อย่างร้ายแรง และยังเรียนรู้ด้วยตัวเองได้ เป็นการพัฒนาก้าวถัดไปต่อจากภัยคุกคามที่พบเจอกันในปัจจุบัน

Credit: Fortinet

 

Fortinet นั้นมองว่าในอนาคตที่จะมีอุปกรณ์อัจฉริยะเกิดขึ้นมากมายจากการนำหน่วยประมวลผลไปติดตั้งบนอุปกรณ์เหล่านั้นและเปิดให้เชื่อมต่อมายัง Internet ได้ตามแนวคิดของ Internet of Things (IoT) นั้นจะสร้างอุปกรณ์ที่มีช่องโหว่จำนวนมหาศาลให้เกิดขึ้นมาบนโลก Internet ในขณะที่เหล่า Hacker เองนั้นก็ได้เริ่มเปิดรับเทคโนโลยีใหม่ล่าสุดอย่าง Artificial Intelligence (AI) เข้าไปใช้เสริมความแม่นยำและความซับซ้อนในการโจมตีให้สูงขึ้นด้วย ทำให้เทคโนโลยีที่จะถูกใช้ในการโจมตีนั้นเปลี่ยนแปลงไปค่อนข้างมาก โดยสรุปแล้ว Fortinet ได้ทำนายแนวโน้ม 5 ประเด็นด้าน Cybersecurity ของปี 2018 เอาไว้ดังนี้

 

1. การสร้าง Self-learning Hivenets และ Swarmbots จะเติบโตมากยิ่งขึ้น

โดยต่อยอดจากการโจมตีอย่าง Hajime, Devil’s Ivy และ Reaper โดย Botnet ทั่วๆ ไปจะถูกทดแทนด้วยสิ่งที่เรียกว่า Hivenets ซึ่งเป็นกลุ่มของอุปกรณ์ที่มีช่องโหว่และถูกเจาะช่องโหว่เหล่านั้นเพื่อติดตั้ง Botnet ที่สามารถทำงานร่วมกันและมีความชาญฉลาดยิ่งกว่าในอดีต พร้อมแบ่งปันข้อมูลระหว่างกัน ทำให้สามารถโจมตีได้อย่างแม่นยำและซับซ้อนมากยิ่งขึ้น เกิดเป็นเครื่อง Zombie อัจฉริยะขึ้นมา และเมื่อ Hivenets ขยายวงกว้างขึ้นไป ก็จะกลายเป็นสิ่งที่เรียกว่า Swarmbots แทน โดยในไตรมาสเดียวของปี 2018 นี้ ทาง FortiGuard Labs ก็ตรวจพบการสื่อสารของเหล่า Botnet มากถึง 2,900 ล้านครั้งเลยทีเดียว

 

2. การเรียกค่าไถ่ในบริการต่างๆ นั้น จะกลายเป็นธุรกิจใหญ่แล้ว

ในปีที่ผ่านมานั้นการโจมตีด้วย Ransomware เติบโตจากปีก่อนหน้าถึง 35 เท่า และในปีหน้าการเติบโตนี้ก็จะยังไม่หยุดลง โดย Fortinet เชื่อว่าเป้าหมายถัดไปของเหล่าผู้พัฒนา Ransomware นั้นคือการโจมตีเหล่า Cloud Service Provider และบริการเชิงธุรกิจอื่นๆ บนโลกออนไลน์ แล้วทำการเรียกค่าไถ่เพื่อสร้างรายได้เพิ่มเติมอีกทางหนึ่ง ซึ่งในบริการ Cloud ที่มักมีการเชื่อมต่อกันอย่างซับซ้อนนี้เองย่อมมีโอกาสที่จะมีช่องโหว่ซึ่งผู้ให้บริการคาดไม่ถึงและผู้โจมตีนำไปใช้ประโยชน์ได้ อีกทั้ง Fortinet ยังเชื่อด้วยว่าจะมีการนำ AI มาใช้ค้นหาช่องโหว่บนบริการ Cloud เพื่อเจาะช่องโหว่นั้นๆ และโจมตีซ้ำด้วย Ransomware

 

3. Next-gen Morphic Malware

ในอนาคตเราจะได้พบกับ Malware ที่ถูกสร้างขึ้นโดยอัตโนมัติอย่างสมบูรณ์ โดยมีระบบตรวจสอบช่องโหว่อัตโนมัติ และระบบวิเคราะห์ข้อมูลความซับซ้อนสูง เพื่อใช้ในการสร้าง Malware ใหม่ๆ ที่เจาะช่องโหว่ต่างๆ ขึ้นมาได้อย่างต่อเนื่อง โดยถึงแม้แนวคิด Polymorphic Malware นี้จะไม่ใช่เรื่องใหม่ แต่การนำ AI มาใช้สร้าง Malware ที่มีความซับซ้อนสูงขึ้นได้โดยอัตโนมัตินี้ก็จะทำให้ Malware สามารถหลบเลี่ยงการตรวจจับได้ง่ายขึ้น และสร้าง Malware หรือ Virus ใหม่ๆ ได้เป็นจำนวนมหาศาลในแต่ละวัน โดยในไตรมาสเดียวของปี 2017 นี้ทาง FortiGuard Labs ก็ตรวจพบ Malware มากถึง 62 ล้านครั้งด้วยกัน โดยประกอบไปด้วย Malware จำนวน 16,582 Variant จาก 2,534 ตระกูล

 

4. ระบบโครงสร้างพื้นฐานที่มีความสำคัญสูงในระดับชาติ จะตกเป็นเป้าหมายมากขึ้น

ระบบโครงสร้างพื้นฐานของบริการสำคัญๆ อย่างเช่นพลังงานหรือสาธารณูปโภคนั้นได้ตกเป็นเป้าของการโจมตีมากขึ้นเรื่อยๆ เนื่องจากเป็นระบบที่มีความสำคัญสูงและมีนัยยะในการโจมตีที่หลากหลาย อีกทั้งระบบเหล่านี้ส่วนใหญ่ยังมีความเปราะบางเพราะถูกออกแบบมาให้มั่นคงปลอดภัยด้วยแนวคิดของการทำ Air-gap และ Isolation ซึ่งเมื่อเวลาผ่านไป การเชื่อมต่อเข้าไปยังระบบเหล่านี้เพื่อแลกเปลี่ยนข้อมูลต่างๆ ให้ได้มากขึ้นก็เริ่มมีความสำคัญ และก็ทำให้ตกเป็นเป้าของการโจมตีได้นั่นเอง ซึ่งถึงแม้จะมีเทคโนโลยีมากมายเข้าไปช่วยปกป้องไม่ให้ระบบเหล่านี้ถูกโจมตี แต่การที่เป็นระบบที่ใช้เทคโนโลยีเก่าและอาจมีช่องโหว่มากมายก็ถือเป็นความเสี่ยงที่สูงทีเดียว

 

5. จะเกิดบริการใหม่ๆ ในกลุ่ม Dark Web และวงการ Cybercrime จากการทำ Automation

บริการ Crime-as-a-Service ที่มีขายใน Dark Web จะเริ่มมีรูปแบบความเป็น Automation สูงขึ้น โดย Fortinet เริ่มเห็นบริการจำนวนมากบน Dark Web ที่มีการใช้ Machine Learning แล้ว เช่นบริการอย่าง Fully Undectable (FUD) เป็นต้น โดยบริการนี้จะช่วยให้ผู้โจมตีสามารถส่ง Code Malware ของตนไปตรวจสอบได้ว่ามีเครื่องมือของผู้ผลิตค่ายใดที่ตรวจพบการทำงานของ Malware นั้นๆ บ้าง ทำให้ผู้พัฒนาสามารถทดสอบการทำงานของ Malware ได้แม่นยำยิ่งขึ้นก่อนนำไปใช้งานจริง และ Fortinet ก็เริ่มพบว่าบางบริการมีการแก้ไขโค้ดเหล่านั้นให้โดยอัตโนมัติเพื่อให้หลบเลี่ยงการตรวจจับได้มากขึ้นอีกด้วย จะเรียกว่าเป็นการนำแนวคิดของ Sandbox ที่เหล่าองค์กรใช้ปกป้องตัวเอง ไปใช้ในการทำให้การโจมตีนั้นแม่นยำยิ่งขึ้นก็ไม่ผิดนัก

 

ที่มา: https://www.fortinet.com/corporate/about-us/newsroom/press-releases/2017/predicts-self-learning-swarm-cyberattacks-2018.html

from:https://www.techtalkthai.com/5-cybersecurity-trends-for-2018-by-fortinet/

เตือนแอปพลิเคชัน WhatsApp ปลอมถูกดาวน์โหลดไปแล้วกว่าล้านครั้ง

มีผู้ใช้งานได้รายงานผ่าน Reddit ว่าค้นพบแอปพลิเคชันชื่อ ‘Update WhatsApp’ เป็น Unwanted Application หรือแอปพลิเคชันที่มีจุดประสงค์ที่ไม่ชัดเจน พยายามที่จะดาวน์โหลด Android APK มาติดตั้งในอุปกรณ์

ผู้ใช้ได้แจ้งว่า “ผมติดตั้งแอปพลิเคชันซึ่งใช้สิทธิ์ในระดับต่ำสุดแล้ว ลองดูกระบวนการของโปรแกรม ปรากฏว่ามันพยายามที่จะไปดาวน์โหลด APK ตัวที่สองเข้ามาที่มีชื่อว่า whatsapp.apk นอกจากนั้นมันยังพยายามหลบเลี่ยงตัวเองด้วยการไม่ใส่ชื่อหัวข้อและเป็นไอคอนเปล่าๆ “

ผู้ใช้งานใน Reddit คนหนึ่งนามแฝงคือ rookie_e ชี้ให้เห็นถึงจุดสังเกตของแอปพลิเคชันนี้ คือมีช่องว่างหลังชื่อ “WhatsApp Inc.” ช่องว่างนี้ถูกแทนที่ด้วย Hex Code C2A0 นั่นทำให้มันหลุดรอดจากการตรวจสอบด้วยการสแกนมัลแวร์ของ Google กล่าวคือ แอปพลิเคชันทั่วไปที่ส่งให้ Google Play จะถูกตรวจสอบมัลแวร์และดูพฤติกรรมก่อนเป็นอันดับแรกก่อนที่จะออกสู่ตลาด เมื่อเดือนพฤษภาคมที่ผ่านมา Google ได้ออกฟีเจอร์ใหม่ชื่อ Play Protect เพื่อที่จะดูแลเนื้อหาที่ถูกดาวน์โหลดไปบนอุปกรณ์ Android เพื่อป้องกันแอปพลิเคชันที่ไปเชื่อมต่อและดาวน์โหลดส่วนประกอบอื่นๆ ของมัลแวร์ในภายหลัง โดย Google อ้างว่าฟีเจอร์นี้สามารถสแกนและตรวจสอบได้ถึง 5 หมื่นล้านแอปพลิเคชันต่อวัน นอกจากนี้ Google ยืนยันว่าได้ลบแอปพลิเคชันดังกล่าวออกแล้ว

ทั้งที่ Google ได้ออกเอกสารอ้างถึงความสำเร็จในการกวาดล้างแอปพลิเคชันที่มีจุดประสงค์ไม่ชัดเจนหรือมีจุดประสงค์ร้ายออกไปแล้วก็ตาม แต่นี่คือหนึ่งในแอปพลิเคชันที่รอดมาได้ คล้ายกับเหตุการณ์ในอดีตที่นักพัฒนาใช้การ Hidden Unicode Character เพื่อทำให้เหมือนเป็นแอปพลิเคชันปกติ

การใช้งาน Unicode เหล่านี้เปิดโอกาสให้นักพัฒนาที่ต้องการผ่านการตรวจสอบแอปพลิเคชัน Extension ของ Google Play หรือ Chrome สามารถหลบหลีกการตรวจสอบไปได้ เมื่อ 3 อาทิตย์ก่อน Google ได้ลบส่วนต่อขยายของ Chrome ไปตัวหนึ่งที่ถูกเปิดเผยโดยผู้ใช้งานในทวิตเตอร์รายหนึ่งชื่อ ‘Swift on Security Twitter’ และ Extension อีก 2 ตัว ตัวหนึ่งถูกดาวน์โหลดไปแล้วกว่า 10 ล้านครั้ง ผู้พัฒนาได้ใช้งาน Cyrillic Unicode characters ในชื่อของ Extension เพื่อหลบเลี่ยงการตรวจสอบมัลแวร์ของ Google อีกกรณีนึงผู้โจมตีใช้วิธีการใส่ Unicode Character เพิ่มหลบเลี่ยงการตรวจจับชื่อที่ทำให้ผู้ใช้งานหลงเชื่อนึกว่าเป็นแอปพลิเคชันทั่วไป Google ได้ทำการแพตซ์ความบกพร่องนี้บน Chrome เมื่อเดือนเมษายนที่ผ่านมาเพื่อป้องกันอันตรายเหล่านี้ ช่องโหว่ที่มีชื่อว่า Punycode มีลักษณะคล้ายๆ กันนี้ โดยให้ Chrome พาผู้ใช้งานไปหน้าไซต์ที่ดูเหมือนว่าถูกต้องแล้วก็หลอกให้ผู้ใช้กรอกรหัสผ่านหรือ Credential ด้านการเงินลงไป

ที่มาและเครดิตรูปภาพ : https://threatpost.com/1m-downloads-later-google-pulls-phony-whatsapp-from-google-play/128778/

from:https://www.techtalkthai.com/fakeapp-whatsapp-downloaded-over-million/