คลังเก็บป้ายกำกับ: THREATS_UPDATE

SHELLBIND Malware แพร่ระบาด โจมตี NAS Storage ที่ใช้ Linux ทางช่องโหว่ SambaCry

นักวิจัยด้านความมั่นคงปลอดภัยจาก Trend Micro ได้ออกมาเตือนถึง Malware ใหม่ภายใต้ชื่อ SHELLBIND ที่ทำการโจมตีโดยมุ่งเป้าไปที่ Network-Attached Storage (NAS) ซึ่งใช้ระบบปฏิบัติการ Linux ผ่านทางช่องโหว่ SambaCry

Credit: ShutterStock.com

 

SHELLBIND นี้จะทำการโจมตี NAS Storage และฝัง Backdoor ไว้ที่ TCP Port 61422 เพื่อให้ผู้โจมตีสามารถเข้าถึงอุปกรณ์ NAS ดังกล่าวได้ และทำการเชื่อมต่อไปยัง IP Address หมายเลข 169-239-128-123 (ขอแทน . ด้วย – นะครับ) ทาง Port 80 เพื่อให้ผู้โจมตีทราบถึง IP Address ที่ตกเป็นเหยื่อ และเข้าถึงจากระยะไกลกลับมาด้วยรหัสผ่านที่ถูก Hardcode เอาไว้ว่า Q8pGZFS7N1MObJHf

จากการสันนิษฐานนั้นคาดว่า SHELLBIND นี้ถูกออกแบบมาเพื่อใช้ขโมยข้อมูลเป็นหลัก และมุ่งโจมตีไปยัง Server, NAS Appliance และ IoT Device ที่ใช้ระบบปฏิบัติการ Linux พร้อมติดตั้ง Samba รุ่นที่ยังมีช่องโหว่อยู่

 

ที่มา: https://www.bleepingcomputer.com/news/security/sambacry-vulnerability-used-to-deploy-backdoors-on-nas-devices/

from:https://www.techtalkthai.com/shellbind-malware-infects-nas-storage-via-sambacry-vulnerability/

Advertisements

เตือนช่องโหว่ RCE บน Cisco WebEx Plug-in รีบอัปเดตแพทช์ด่วน

Tavis Ormandy จาก Google Project Zero และ Cris Neckar จาก Divergent Security ออกมาเปิดเผยถึงช่องโหว่ความรุนแรงระดับ Critical บน Plug-in ของ Cisco WebEx สำหรับ Google Chrome และ Firefox ซึ่งช่วยให้แฮ็คเกอร์สามารถลอบส่งโค้ดแปลกปลอมเข้ามารันบนเครื่องคอมพิวเตอร์ของเหยื่อได้

Credit: Visual Generation/ShutterStock

Cisco WebEx เป็นแพลตฟอร์มสำหรับการติดต่อสื่อสารหรือจัดอีเวนต์ออนไลน์ที่เป็นที่นิยมไปทั่วโลก ไม่ว่าจะเป็น การประชุมผ่านวิดีโอ การจัด Webinar หรือการอบรมผ่านอินเทอร์เน็ต ซึ่งปัจจุบันนี้มีผู้ดาวน์โหลด Plug-in ไปติดตั้งบนเว็บเบราเซอร์แล้วมากกว่า 20 ล้านคน

ช่องโหว่ที่ Ormandy และ Neckar ค้นพบนี้ เป็นช่องโหว่ Remote Code Execution บน Cisco WebEx Plug-in สำหรับเว็บเบราเซอร์รายการที่ 2 ที่ค้นพบในปีนี้ มีรหัส CVE-2017-6753 ช่องโหว่นี้สามารถโจมตีได้โดยหลอกเหยื่อให้เข้าถึงเว็บไซต์ที่มีโค้ดอันตรายที่ถูกออกแบบมาเป็นพิเศษแฝงอยู่ ซึ่งโค้ดนี้จะส่งผลกระทบโดยตรงกับเบราเซอร์ของผู้ใช้ที่ติดตั้ง Cisco WebEx Plugin ส่งผลให้แฮ็คเกอร์สามารถลอบรันโค้ดแปลกปลอมโดยได้สิทธิ์ระดับเดียวกันกับเว็บเบราเซอร์นั้นๆ รวมไปถึงสามารถเข้าควบคุมเครื่องคอมพิวเตอร์ของเหยื่อได้

ช่องโหว่นี้ส่งผลกระทบต่อ Plug-in สำหรับ Cisco WebEx Meetings Server, Cisco WebEx Centers (Meeting Center, Event Center, Training Center และ Support Center) และ Cisco WebEx Meetings ที่รันบนระบบปฏิบัติการ Windows อย่างไรก็ตาม Cisco ได้แพทช์ Plug-in เวอร์ชัน 1.0.12 เพื่ออุดช่องโหว่ดังกล่าวบน Chrome และ Firefox เป็นที่เรียบร้อย แนะนำให้ผู้ใช้ Cisco WebEx ทุกคนอัปเดตแพทช์โดยด่วน

สำหรับผู้ใช้ Cisco WebEx ผ่านทาง Safari, IE และ Edge นั้น ไม่ได้รับผลกระทบต่อช่องโหว่นี้แต่อย่างใด

รายละเอียดเพิ่มเติม: https://tools.cisco.com/security/center/content/CiscoSecurityAdvisory/cisco-sa-20170717-webex

ที่มา: http://thehackernews.com/2017/07/cisco-webex-vulnerability.html

from:https://www.techtalkthai.com/cisco-webex-remote-code-execution-patch/

รายงานระบุ CopyCat Android Malware ใช้เวลา 2 เดือนแพร่ระบาด 14 ล้านเครื่อง เน้นโจมตีเอเชียตะวันออกเฉียงใต้

นักวิจัยด้านความมั่นคงปลอดภัยจาก Check Point ได้ออกมาเปิดเผยถึงการโจมตีของ Android Malware ที่มีชื่อว่า CopyCat ซึ่งเคยเกิดขึ้นว่ามีเหยื่อไปแล้วกว่า 14 ล้านรายทั่วโลก ทำให้ผู้พัฒนาได้รับเงินไปทั้งสิ้นกว่า 1.5 ล้านเหรียญหรือราวๆ 52.5 ล้านบาทจากการทำ Ad Fraud

Credit: Check Point

 

การโจมตีทั้งหมดนี้ใช้เวลาเพียง 2 เดือนเท่านั้นตั้งแต่เดือนเมษายนถึงพฤษภาคมปี 2016 ที่ผ่านมา โดยในเหยื่อทั้งสิ้น 14 ล้านรายนี้เป็นเครื่องที่ Root มากถึง 8 ล้านเครื่อง และยังมีเหยื่ออยู่ภายในภูมิภาคเอเชียมากถึง 55% โดยเหยื่อส่วนใหญ่อยู่ในเอเชียตะวันออกเฉียงใต้ ซึ่งในรายงานก็ได้ระบุด้วยว่าการโจมตีเหล่านี้ไม่ได้ทำผ่าน Google Play เลยแม้แต่น้อย แต่ทำการแพร่ระบาดผ่านทาง App Store ของ 3rd Party เป็นหลัก

การแพร่ระบาดของ CopyCat นี้เกิดขึ้นจากการนำ Android Application ที่มีชื่อเสียงมาฝังโค้ดของ CopyCat ลงไป และนำไปแพร่กระจายผ่านทาง 3rd Party App Store รวมถึงทำ Phishing หลอกให้เหยื่อทำการติดตั้ง Application เหล่านี้ โดยเมื่อเครื่องของเหยื่อที่ติดตั้ง Application ที่มี CopyCat แฝงอยู่เข้าไปแล้วและถูก Restart เครื่องเหล่านั้นจะทำการโหลดชุดโค้ดสำหรับการโจมตีมาจาก Amazon S3 ทันที พร้อมใช้สิทธิ์ Root ในการทำงาน ทำให้ถอนการติดตั้งได้ยาก

หลังจากนั้น CopyCat จะทำการโจมตี Zygote ระบบ Android Core Process สำหรับใช้ในการ Launch Application ขึ้นมา และยังทำให้ CopyCat ได้รับสิทธิ์ระดับสูงไปด้วย โดย CopyCat จะทำการแสดงโฆษณาปลอมเพื่อหลอกให้ผู้ใช้งานติดตั้ง Application ปลอมๆ เป็นช่องทางในการสร้างรายได้ให้แก่นักพัฒนา Malware อีกทั้งยังใช้หลอกให้ผู้ใช้งานทำการติดตั้ง Application จาก Google Play ได้อีกด้วยเช่นกัน

ปัจจุบันนี้ถึงแม้เวลาจะล่วงเลยมาแล้วกว่า 1 ปี แต่ก็ยังไม่สามารถระบุชัดได้ว่าใครเป็นผู้อยู่เบื้องหลัง CopyCat Malware นี้ แต่ก็ถือเป็นอุทาหรณ์ที่ดีสำหรับการใช้งานโทรศัพท์ ว่าควรจะต้องมีความระมัดระวังเป็นอย่างสูง ไม่เช่นนั้นก็อาจตกเป็นเหยื่อได้ง่ายๆ เช่นกัน

สำหรับผู้ที่อยากอ่านรายงานฉบับเต็ม สามารถอ่านได้ที่ http://blog.checkpoint.com/2017/07/06/how-the-copycat-malware-infected-android-devices-around-the-world/ ครับ

 

ที่มา: https://threatpost.com/copycat-malware-infected-14m-android-devices-rooted-8m-in-2016/126691/

from:https://www.techtalkthai.com/copycat-android-malware-used-2-months-to-infect-14-million-devices/

สหรัฐเผย 2 เดือนที่ผ่านมามีการโจมตีโรงไฟฟ้านิวเคลียร์เกินกว่า 12 แห่ง

Department of Homeland Security (DHS) แห่งสหรัฐอเมริกา ได้ออกมาเผยในรายงานว่าในเดือนพฤษภาคมและมิถุนายน 2017 ที่ผ่านมานี้ มีการโจมตีระบบ IT ภายในโรงไฟฟ้าพลังงานนิวเคลียร์ของสหรัฐได้สำเร็จถึง 12 แห่งเป็นอย่างน้อย

Credit: ShutterStock.com

 

รายงานฉบับนี้ได้รับระดับความรุนแรงของภับคุกคามสูงสุดเป็นอันดับ 2 โดยในการแถลงร่วมกันระหว่าง DHS และ FBI นี้ได้ระบุว่าการโจมตีเหล่านั้นไม่ได้ส่งผลกระทบต่อความมั่นคงปลอดภัยของประชาชนแต่อย่างใด โดยผู้โจมตีนั้นยังได้มีความพยายามที่จะตรวจสอบการเชื่อมต่อต่างๆ ภายในระบบเครือข่ายเพื่อทำความเข้าใจและกอาจนำไปใช้ในการโจมตีในอนาคตต่อเนื่องได้

การโจมตีนี้เริ่มต้นขึ้นโดยการส่ง Email ไปยังเหล่าวิศวกรระดับสูงภายในโรงงานเหล่านี้ และปลอมแปลงเป็น Email สมัครงานที่แฝงโค้ดอันตรายไปด้วย ซึ่งการโจมตีนี้มีแนวทางที่คล้ายคลึงกับการโจมตีจากรัสเซียเมื่อครั้งก่อนหน้า

อย่างไรก็ดี ตอนนี้ยังไม่มีข้อสรุปแต่อย่างใดถึงสาเหตุของการโจมตี แต่กรณีนี้ก็ควรทำให้เหล่าหน่วยงานผู้ให้บริการสาธารณูปโภคในประเทศต่างๆ ควรจะต้องเริ่มสอดส่องระวังภัยคุกคามกันมากขึ้นได้แล้ว

 

ที่มา: http://www.bbc.com/news/world-us-canada-40538061

from:https://www.techtalkthai.com/us-dhs-says-there-were-more-than-12-attacks-targeted-on-newclear-power-plants/

แฮ็คเกอร์เจ้าของ Petya Ransomware ต้นฉบับ ปล่อย Master Key สำหรับปลดล็อกคอมพิวเตอร์

Janus Cybercrime Solutions ผู้ที่อ้างตัวว่าเป็นผู้พัฒนา Petya Ransomware ต้นฉบับที่เริ่มแพร่กระจายตัวเมื่อช่วงต้นปี 2016 ปล่อย Master Key สำหรับใช้ปลดรหัสอุปกรณ์คอมพิวเตอร์ที่ถูก Petya โจมตีทุกเวอร์ชันตั้งแต่ในอดีตจนถึงตอนนี้

Master Key ดังกล่าวสามารถปลดล็อก Ransomware ตระกูล Petya ทุกเวอร์ชันที่แพร่กระจายอยู่ในปัจจุบัน ยกเว้น NotPetya (หรือ PetWrap) ซึ่งไม่ใช่ผลงานของ Janus ประกอบด้วย 3 เวอร์ชัน ดังนี้

  • Petya Ransomware เวอร์ชันแรกที่แพร่กระจายเมื่อต้นปี 2016 (หน้าจอรูปกะโหลกแว๊บๆ สีขาว บนพื้นหลังสีแดงระหว่างการบูต)
  • Petya Ransomware เวอร์ชันที่สอง ซึ่งรวมไปถึง Mischa Ransomware (หน้าจอรูปกะโหลกแว๊บๆ สีเขียว บนพื้นหลังสีดำระหว่างการบูต)
  • Petya Ransomware เวอร์ชันที่สาม หรือที่รู้จักกันในนาม GoldenEye Ransomware (หน้าจอรูปกะโหลกแว๊บๆ สีเหลือง บนพื้นหลังสีดำระหว่างการบูต)

Janus ได้ปล่อย Master Key เมื่อวันพุธที่ผ่านมาบน Twitter ซึ่งแนบลิงค์ไปยังไฟล์ที่อัปโหลดขึ้นบน Maga.nz

ไฟล์ที่อัปโหลดนี้ถูกเข้ารหัสโดยใช้รหัสผ่าน แต่นักวิจัยจาก Malwarebytes ก็ได้ทำการแคร็กไฟล์ดังกล่าว และแชร์ตัว Master Key สู่สาธารณะเป็นที่เรียบร้อย ซึ่ง Anton Ivanov นักวิจัยด้านความมั่นคงปลอดภัยจาก Kaspersky Lab ได้ทดสอบ Master Key และยืนยันว่าสามารถนำไปใช้ปลดล็อกคอมพิวเตอร์ที่ถูก Petya Ransomware โจมตีได้จริง

Congratulations!
Here is our secp192k1 privkey:
38dd46801ce61883433048d6d8c6ab8be18654a2695b4723
We used ECIES (with AES-256-ECB) Scheme to encrypt the decryption password into the “Personal Code” which is BASE58 encoded.

Master Key นี้เป็น Private Key สำหรับใช้ปลดรหัส Petya Ransomware ทุกเวอร์ชัน ซึ่งสามารถนำไปต่อยอดทำเป็น Decrypter สำหรับปลดล็อกคอมพิวเตอร์ที่เคยถูก Petya โจมตีได้ อย่างไรก็ตาม Master Key ดังกล่าวอาจไม่ได้เป็นประโยชน์มากอย่างที่ทุกคนคิด เนื่องจาก Petya ได้แพร่กระจายมาตั้งแต่ปี 2016 และปีนี้เองก็ไม่ค่อยมีแคมเปญที่ใช้โจมตีเยอะเมื่อเทียบกับ Ransomware สายพันธุ์อื่น ซึ่งผู้ที่ตกเป็นเหยื่อส่วนใหญ่คงฟอร์แมตคอมพิวเตอร์หรือจ่ายค่าไถ่เป็นที่เรียบร้อยแล้ว เฉพาะผู้ที่โคลน HDD ที่ถูกเข้ารหัสไว้จึงจะได้รับประโยชน์จาก Master Key ที่เผยแพร่ออกมานี้

นอกจากนี้ Master Key ยังไม่สามารถใช้กับ NotPetya (หรือ PetWrap) ที่เพิ่งแพร่ระบาดไปเมื่อสัปดาห์ที่ผ่านมาได้ เนื่องจาก Petya Ransomware เวอร์ชันดังกล่าวเป็นเวอร์ชันเถื่อนที่แฮ็คเกอร์รายอื่นนำไปปรับแต่ง ซึ่งใช้กระบวนการเข้ารหัสข้อมูลที่แตกต่างกัน และถูกพิสูจน์แล้วว่าไม่มีความเกี่ยวข้องกับ Petya Ransomware ต้นฉบับแต่อย่างใด

เชื่อว่าที่ Janus ปล่อย Master Key ออกมาเนื่องจากการแพร่ระบาดของ NotPetya ซึ่งส่งผลให้เขาตัดสินใจที่จะยกเลิกการแพร่กระจาย Ransomware

ที่มา: https://www.bleepingcomputer.com/news/security/author-of-original-petya-ransomware-publishes-master-decryption-key/

from:https://www.techtalkthai.com/original-petya-ransomware-author-releases-master-key/

WikiLeaks เผยเครื่องมือที่ CIA ใช้ขโมย Credential จาก SSH บน Windows และ Linux

WikiLeaks ออกมาเผยเครื่องมือที่ CIA เคยใช้โจมตีอีกแล้วตามโครงการ Vault 7 และในครั้งนี้ก็เป็นคราวของเครื่องมือขโมย Secure Shell (SSH) Credential จากบนทั้ง Windows และ Linux โดยอาศัยแนวทางที่ต่างกัน

 

BothanSpy เป็นชื่อของเครื่องมือขโมย SSH Credential จาก Microsoft Windows Xshell Client โดยการติดตั้งลงไปที่เครื่องของเหยื่อในฐานะของ Shellterm 3.x Extension สำหรับ Windows รุ่นที่เป็น x64 และจะเริ่มทำงานก็ต่อเมื่อ Xshell เริ่มทำงานเท่านั้น โดยมีคู่มือการใช้งานถูกเปิดเผยอยู่ที่ https://wikileaks.org/vault7/document/BothanSpy_1_0-S-NF/BothanSpy_1_0-S-NF.pdf

ส่วน Gyrfalcon เป็นชื่อของเครื่องมือขโมย SSH Credential ด้วยการโจมตี OpenSSH บน Linux ค่ายต่างๆ เช่น CentOS, Debian, RHEL, openSUSE และ Ubuntu ทั้งแบบ 32-bit และ 64-bit โดยทำงานร่วมกับจ JQC/KitV Rootkit ที่ทาง CIA พัฒนาขึ้นมาเอง โดย Gyrfalcon นี้สามารถดัก OpenSSH Session Traffic มาเข้ารหัสและจัดเก็บเอาไว้เพื่อนำมาใช้งานในภายหลังได้ โดยผู้โจมตีต้องอาศัยเครื่องมืออื่นๆ ในการส่งข้อมูลเหล่านี้กลับไปใช้งานเอง โดยมีคู่มือการใช้งานเปิดเผยอยู่ที่ https://wikileaks.org/vault7/document/Gyrfalcon-1_0-User_Manual/Gyrfalcon-1_0-User_Manual.pdf

นับเป็นการเปิดเผยเครื่องมือครั้งที่ 15 ในโครงการ Vault 7 ว่า CIA มีแนวทางในการโจมตีขโมยข้อมูลต่างๆ อย่างไรกันบ้างนะครับ ก็ต้องติดตามกันต่อไปว่าหลังจากนี้จะมีการเปิดเผยอะไรอีก

 

ที่มา: http://thehackernews.com/2017/07/ssh-credential-hacking.html

from:https://www.techtalkthai.com/wikileaks-reveals-ssh-credential-stealing-tools-of-cia/

AV-TEST ชี้ Ransomware เป็นเพียง “ปรากฏการณ์เกือบตกขอบ”

AV-TEST สถาบันวิจัยอิสระทางด้านความปลอดภัยของระบบ IT ออกรายงาน Security Report 2016/2017 ระบุว่า Ransomware เป็นเพียง “ปรากฏการณ์เกือบตกขอบ” ชี้แพร่ระบาดเพียงแค่ 0.94% ของมัลแวร์ทั้งหมดในปี 2016 เท่านั้น ดังนั้นแล้วจึงไปควรเรียกปี 2016 ว่า “ปีแห่ง Ransomware”

“ไม่มีตัวบ่งชี้เชิงสถิติเกี่ยวกับการแพร่ระบาดของ Ransomware ในปี 2016 ที่ระบุว่าเป็น ‘ปีแห่ง Ransomware’ … [Ransomware] มีส่วนแบ่งโดยรวมน้อยกว่า 1% สำหรับมัลแวร์ที่แพร่กระจายบนระบปฏิบัติการ Windows โทรจันประเภทแบล็กเมลนี้ แรกเห็นเป็นเพียงปรากฏการณ์ที่เกือบจะตกขอบอยู่แล้วเท่านั้น” — AV-TEST ระบุในรายงาน

อย่างไรก็ตาม มีหลายเหตุผลที่ทำให้ Ransomware ได้รับความสนใจเป็นอย่างมากในช่วงปีที่ผ่านมา ถึงจะมีอัตราการแพร่กระจายเพียงเล็กน้อยมาก เมื่อเทียบกับมัลแวร์ประเภทอื่น ยกตัวอย่างเช่น ผู้ใช้สามารถถูก Banking Trojan หรือ Rootkit โจมตีนานเป็นปีๆ โดยที่ผู้ใช้ไม่รู้ตัว ในขณะที่ถ้าถูก Ransomware โจมตีแล้ว ผู้ใช้จะรู้ตัว ณ เดี๋ยวนั้นเลย เนื่องจาก Ransomware จะทำการเปลี่ยนหน้าเดสก์ท็อปและล็อกการเข้าถึงไฟล์ข้อมูล นอกจากนี้ เมื่อผู้ใช้รู้ตัวก็ย่อมก่อให้เกิดกระแสตอบรับเป็นอย่างมาก ทำให้เห็นพาดหัวข่าวในสื่อต่างๆ ไม่เว้นในแต่ละมัน เมื่อเทียบกับมัลแวร์ประเภทอื่นที่ถึงแม้จะแพร่กระจายมากกว่าแต่ก็พยายามปกปิดตัวเองไม่ให้คนอื่นรู้

จากการตรวจสอบของ AV-TEST พบว่า Ransomware ไม่ได้มีการแพร่กระจายตัวสูงมากเมื่อเทียบกับมัลแวร์ประเภทอื่น โดยมีส่วนแบ่งเพียงแค่ 0.94% เท่านั้น

AV-TEST ยังระบุอีกว่า โดยภาพรวมของปี 2016 Ransomware มีอัตราการแพร่ระบาดลดลงถึง 14% เมื่อเทียบกับปี 2015 ซึ่งไวรัส เวิร์ม และโทรจัน ยังคงเป็นภัยคุกคามอันดับต้นๆ ที่พบ อย่างไรก็ตาม Ransomware บนระบบปฏิบัติการ macOS กลับมีอัตราการเติบโตเพิ่มขึ้นถึง 370% เช่นเดียวกับ Ransomware บน Android ที่มีอัตราการเติบโตเพิ่มขึ้น 2 เท่า แสดงให้เห็นว่าแฮ็คเกอร์เริ่มให้ความสนใจในการโจมตีระบบปฏิบัติการอื่นมากขึ้น

ผู้ที่สนใจสามารถอ่านรายงานฉบับเต็มได้ที่: https://www.av-test.org/fileadmin/pdf/security_report/AV-TEST_Security_Report_2016-2017.pdf

ที่มา: https://www.bleepingcomputer.com/news/security/new-report-calls-ransomware-a-marginal-phenomenon-/

from:https://www.techtalkthai.com/av-test-calls-ransomware-a-marginal-phenomenon/