คลังเก็บป้ายกำกับ: THREATS_UPDATE

คนร้ายใช้เทคนิค ‘ZeroFont’ ลัดผ่านการป้องกันของ O365

Avanan ผู้ให้บริการโซลูชันด้านความปลอดภัยบน Cloud ซึ่งเป็นหนึ่งกลไกการป้องกันอีเมลหลอกลวงหรืออีเมลอันตรายโดยใช้ Natural Langauge Process (NLP) ของ o365 เช่น นักวิจัยจะหาอีเมลที่อ้างถึง Apple หรือ Microsoft ที่มาจากโดเมนปลอมหรืออีเมลที่มีเนื้อหาอ้างถึงบัญชีผู้ใช้ การรีเซ็ทรหัสผ่าน หรือเรื่องการร้องขอเงิน ซึ่งล่าสุดนักวิจัยได้ไปพบว่าผู้ร้ายมีการใช้เทคนิค ZeroFont ที่สามารถลัดผ่านการป้องกันนี้ได้

credit: Securityweek.com

รายงานของ Avanan กล่าวว่าเทคนิคที่คนร้ายใช้นั้นเรียกว่า ‘ZeroFont’ เพื่อตั้งค่า Font ให้มีขนาดศูนย์ (<span style=”FONR-SIZE: 0px>”) ดังนั้นในมุมมองของผู้ใช้งานจะมองไม่เห็น ตัวอย่างเป็นไปตามภาพด้านบนคือสิ่งที่ผู้ใช้งานเห็นและภาพถัดไปคือสิ่งที่ทาง Microsoft เห็นว่าจริงๆ แล้วมีคำที่ผู้ร้ายจงใจซ่อนเอาไว้ไม่ให้ปรากฏต่อผู้ใช้

credit : Avanan.com

ทาง Avanan ระบุใน Blog ว่าที่ Microsoft ไม่สามารถตรวจจับการโจมตีในลักษณะนี้ได้เนื่องจากผู้ร้ายมีการใช้การใส่คำแบบสุ่มเพื่อแยกคำตามต้องการไม่ให้ NLP ตรวจจับได้และไม่ได้เป็นคำที่ถูกลอกเลียนแบบ ตัวอย่างตามรูปด้านบน

from:https://www.techtalkthai.com/hackers-used-zerofont-technique-to-bypass-nlp-0365-protection/

Advertisements

พบ Container Orchestration กว่า 22,000 ระบบออนไลน์บนอินเทอร์เน็ต เสี่ยงถูกโจมตี

Lacework บริษัทที่ปรึกษาด้านความมั่นคงปลอดภัยบนระบบ Cloud ออกมาเปิดเผยว่า มีระบบ Container Orchestration และ API Management รวมแล้วกว่า 22,000 ระบบกำลังออนไลน์บนโลกอินเทอร์เน็ต และประมาณ 300 ระบบเข้าถึงได้โดยไม่ต้องใส่รหัสผ่าน เสี่ยงถูกผู้ไม่ประสงค์ดีโจมตี

Credit: ShutterStock.com

Lacework ได้ทำการวิเคราะห์ความมั่นคงปลอดภัยของระบบ Container Orchestration ได้แก่ Kubernetes, Docker Swarm, Mesos Marathon, Redhat Openshift, Portainer.IO และ Swarmpit ซึ่งระบบเหล่านี้มี Admin Panel สำหรับบริหารจัดการ Container-based Cloud Infrastructure ของตนผ่านทางหน้าเว็บ โดยปกติแล้ว ไม่จำเป็นต้องเปิดให้สามารถเข้าถึงระบบเหล่านี้ได้ผ่านทางอินเทอร็เน็ต เนื่องจากเป็นระบบสำหรับบริหารจัดการภายใน เว้นแต่ว่าจำเป็นต้องให้พนักงานหรือบุคคลภายนอกเข้ามาช่วยบริหารจัดการ

อย่างไรก็ตาม Lacework ได้ทำการสแกนระบบอินเทอร์เน็ต พบว่ามีระบบ Container Orchestration ที่สามารถเข้าถึงได้ผ่านทางออนไลน์รวม 22,672 ระบบ ซึ่งระบบเหล่านี้ไม่ได้อยู่หลัง Firewall หรือบังคับให้เข้าถึงผ่าน VPN ส่งผลให้ใครก็ตามสามารถใช้เครื่องมือ Pen Test หรือ IoT Search Engine อย่าง Shodan ค้นพบได้ไม่ยาก

ที่น่าตกใจคือ 305 ระบบ Container Orchestration ที่ค้นพบนั้น ไม่มีการตั้งรหัสผ่านไว้ นั่นหมายความว่าคนที่ค้นพบระบบเหล่านี้สามารถเข้าไปปรับแต่งหรือทำอันตรายโครงข่าย Container ภายในขององค์กรได้ทันที นอกจากนี้ Lacework ยังค้นพบอีกว่ามี Kubernetes Servers รวม 38 เครื่องที่มีการรัน Security & Healthcheck Service ที่เรียกว่า “Healthz” ซึ่งไม่มีการพิสูจน์ตัวตนเช่นกัน

ผู้ที่สนใจสามารถอ่านรายงานฉบับเต็มได้ที่: https://info.lacework.com/hubfs/Containers%20At-Risk_%20A%20Review%20of%2021,000%20Cloud%20Environments.pdf

ที่มา: https://www.bleepingcomputer.com/news/security/over-22-000-container-orchestration-systems-connected-to-the-internet/

from:https://www.techtalkthai.com/over-22000-container-orchestration-systems-exposed-online/

จับแล้ว อดีตพนักงาน CIA ผู้ต้องสงสัยปล่อย Vault7 ให้ Wikileaks

Joshua Adam Schulte อดีตโปรแกรมเมอร์ของ CIA ถูกจับ หลังถูกกล่าวหาว่าเป็นผู้อยู่เบื้องหลังการรั่วไหลของข้อมูลชุดเครื่องมือแฮ็ก Vault7 สู่ Wikileaks โดยก่อนหน้านี้ Schulte เคยถูกกล่าวหาว่าครอบครองสื่อลามกอนาจารเด็กอายุต่ำกว่า 18 ปีมาแล้ว

Schulte เคยทำงานเป็นโปรแกรมเมอร์ของ CIA โดยรับผิดชอบในส่วนของการสร้างมัลแวร์สำหรับให้ CIA และ NSA ใช้แฮ็กระบบคอมพิวเตอร์ของเป้าหมาย ล่าสุดเมื่อวันจันทร์ที่ผ่านมา (ตามเวลาท้องถิ่น) Schulte ได้ถูกฟ้องร้องโดยกระทรวงยุติธรรมของสหรัฐฯ ว่าขโมยข้อมูลเอกสารลับ CIA, โปรเจกต์ซอฟต์แวร์ และเครื่องมือแฮ็กหลายพันรายการ รวมแล้ว 13 ข้อหา นอกจากนี้ยังถูกสงสัยว่าเป็นผู้อยู่เบื้องหลังการรั่วไหลของข้อมูล Vault7 บน Wikileaks ที่เริ่มเผยแพร่สู่สาธารณะตั้งแต่เดือนมีนาค 2017 อีกด้วย

สำนวนการฟ้องระบุว่า หลังจากที่ Schulte ได้ขโมยเอกสารลับไปแล้ว เขาพยายามปกปิดร่องรอยโดยการปรับแต่งระบบคอมพิวเตอร์ของสำนักข่าวกรองสหรัฐฯ เพื่อให้เขาได้สิทธิ์ในการเข้าถึงระบบในช่วงเดือนมีนาคมถึงมิถุนายน 2016 โดยไม่ได้รับอนุญาต แล้วทำการลบบันทึกเกี่ยวกับการปฏิบัติการของเขาทิ้งไป รวมไปถึงปฏิเสธไม่ให้คนอื่นเข้าถึงระบบอีกด้วย

FBI ได้เข้าค้นอพาร์ตเมนต์ของ Schulte ในเดือนมีนาคม 2017 ที่ผ่านมาภายใต้ปฏิบัติเพื่อค้นหาผู้ที่อยู่เบื้องหลังการเผยแพร่ข้อมูล Vault7 บน Wikileaks แต่พวกเขากลับพบรูปเด็กถูกทำอนาจารบน Server ของ Schulte แทน ส่งผลให้เขาถูกตัดสินจำคุก 130 ปี แต่ขณะนั้นยังไม่มีหลักฐานเพียงพอในการฟ้องร้องเรื่องการเปิดเผยข้อมูลลับที่ส่งผลกระทบต่อความมั่นคงของชาติ

จนถึงตอนนี้ยังไม่ได้รับการยืนยันแน่ชัดว่า Shulte ได้ขโมยข้อมูลไปให้ Wikileaks จริงหรือไม่ รวมไปถึง Schulte ได้ปฏิเสธข้อกล่าวทั้งหมด แต่ถ้าเขาขโมยจริง คำถามถัดมาคือ เขาได้ข้อมูลไปตั้งแต่เมื่อไหร่ แต่ที่แน่ชัดคือ Shulte ถูกสงสัยว่าขโมยข้อมูลเกี่ยวกับความมั่นคงปลอดภัยชาติจาก CIA ในปี 2016 ตั้งแต่เมื่อต้นเดือนมกราคม 2017 ที่ผ่านมา

ที่มา: https://thehackernews.com/2018/06/cia-hacking-tools.html

from:https://www.techtalkthai.com/ex-cia-employee-charged-with-leaking-vault7-to-wikileaks/

75% ของมัลแวร์ที่อัปโหลดบนเว็บ “No-distribute” เป็นมัลแวร์ที่นักวิจัยไม่รู้จัก

3 ใน 4 ของมัลแวร์ที่ถูกอัปโหลดบนเว็บไซต์สแกนมัลแวร์ที่ชื่อ “No-distribute” เป็นมัลแวร์ที่เว็บไซต์สแกนมัลแวร์ทั่วไปอย่าง VirusTotal หรืออื่นๆ ไม่รู้จัก ดังนั้นนักวิจัยด้านความมั่นคงปลอดภัยหรือผู้ให้บริการด้านความมั่นคงปลอดภัยต่างๆ จึงไม่สามารถรับรู้ถึงมัลแวร์เหล่านี้ได้ นั่นจึงทำให้เกิดช่องว่างในการตรวจหามัลแวร์ของฝั่งป้องกัน ถึงแม้ว่าผลิตภัณฑ์ Antivirus บางรายจะสามารถพบมัลแวร์ในระหว่างปฏิบัติการหรือตอนอื่นๆ ในภายหลังได้ก็ตาม

credit : Bleepingcomputer.com

โดยปกติแล้วเว็บไซต์สแกนมัลแวร์หลายเจ้า เช่น VirusTotal จาก Google หรืออื่นๆ จะมีการแชร์ข้อมูลกับบริษัท Antivirus เพื่อนำไปใช้เป็นประโยชน์กับมัลแวร์ใหม่ๆ ในการรับมือ อย่างไรก็ตามเว็บไซต์อย่าง “No-distribute” ไม่ได้มี API หรือการแชร์ข้อมูลให้กับภายนอก ดังนั้นมีเพียงผู้อัปโหลดและสแกนมัลแวร์เท่านั้นจึงมีลิงก์แสดงผลลัพธ์การสแกน ซึ่งลิงก์ดังกล่าวมักจะไปปรากฏอยู่ในโฆษณาแชร์มัลแวร์ในฟอรั่ม ตลาดมืด ช่องขายหรือเว็บไซต์ส่วนตัวต่างๆ อย่างไรก็ตามมีเว็บสแกนมัลแวร์หลายเจ้าเกิดขึ้นและตายไปตามเวลาตามภาพด้านบน

credit : Bleepingcomputer.com

ผลการศึกษาลิงก์จาก No-distribute โดย Recorded Future ผู้ให้บริการด้านความมั่นคงปลอดภัยตลอดเดือน มกราคม ถึง พฤษภาคม ในปีนี้พบว่าเมื่อนำไปเปรียบเทียบกับ MD5 ของไฟล์ที่ถูกสแกนบน VirusTotal ” มีเพียง 25% เท่านั้นที่ถูกพบบน 1 เว็บสแกนทั่วไป ในขณะที่อีก 75% ไม่เคยพบมาก่อน“–รายงานระบุ อย่างไรก็ตามผู้เขียนมัลแวร์ต่างรู้ข้อนี้ดีจึงไม่ทำการอัปโหลดมัลแวร์ของตนลงในเว็บสแกนทั่วไปเพื่อไม่ให้ถูกจับได้ก่อนเวลาทำการ ซึ่งผลการศึกษาตรงนี้ตอกย้ำได้ว่าบริษัทป้องกันมัลแวร์ทั้งหลายไม่มีวันสร้างกลไกการป้องกันมัลแวร์ที่สมบูรณ์แบบได้

ที่มา : https://www.bleepingcomputer.com/news/security/75-percent-of-malware-uploaded-on-no-distribute-scanners-is-unknown-to-researchers/

from:https://www.techtalkthai.com/75-percents-of-uploaded-malware-on-no-distribute-is-not-know-by-researcher/

สหรัฐแถลงข้อหาใหม่อดีตวิศวกร CIA ที่ปล่อยเครื่องมือเจาะระบบ ‘Vault 7’ ที่ถูกเผยแพร่บน WikiLeaks

กระทรวงยุติธรรมสหรัฐออกแถลงการณ์ข้อหาใหม่ของการจับอดีตวิศวกรซอฟต์แวร์ของ CIA ที่คาดว่าเกี่ยวพันกับการปล่อยเอกสารลับสุดยอด โปรเจ็คซอฟต์แวร์ และเครื่องมือเจาะระบบอย่าง Vault 7 ที่ถูกเผยแพร่บน WikiLeaks โดยนาย Joshua Schulte ถูกจับกุมตัวไปเมื่อวันที่ 24 สิงหาคม 2017 ในคดีมีภาพอนาจารเด็ก อีกทั้งยังมีส่วนร่วมในการรั่วไหลของเอกสารลับจาก CIA ที่หลุดออกมาด้วยแต่วันนี้อัยการเพิ่งตั้งข้อหาใหม่เรื่องดังกล่าวอย่างเป็นทางการ

Credit: WikiLeaks

โดยเจ้าหน้าที่กล่าวว่า “Joshua อดีตลูกจ้างของ CIA ได้ใช้สิทธิ์เพื่อทำการดาวน์โหลดเอกสารและข้อมูลลับออกมานอกองค์กร” นอกจากนี้ยังเสริมว่า “ระหว่างการสืบสวนของเจ้าหน้าที่ได้พบกับรูปอนาจารเด็กภายในห้องพักของ Schulte อีกด้วย โดยภายใต้กฏหมายของสหรัฐฯ มีจุดประสงค์เพื่อรักษาข้อมูลความมั่นคงปลอดภัยระดับชาติเพื่อให้มั่นใจได้ว่ามันจะอยู่ในมือผู้รับผิดชอบที่วางใจได้ การเผยข้อมูลลับเหล่านั้นมีผลต่อความมั่งคงปลอดภัยของชาติและพลเมืองอเมริกัน

ข้อหาที่นาย Schulte จะโดนนั้นมีจำนวน 13 กระทง เช่น ภาพอนาจารเด็ก และ การเข้าถึงและนำข้อมูลลับของการป้องกันประเทศออกมาโดยไม่ได้รับอนุญาต รวมถึงข้อหาอื่นๆ ที่เกี่ยวกับข้อมูลเหล่านี้ สำหรับผู้สนใจข้อมูลเกี่ยวกับเครื่องมือเจาะระบบที่เผยแพร่บน WikiLeaks นั้นสามารถติดตามได้ตามลิงก์ ซึ่งเครื่องมือนี้มีอานุภาพร้ายแรงมาก เช่น ติดตามเครื่องเหยื่อ โทรศัพท์มือถือ ทีวี กล้องเว็ปแคม การเชื่อมต่อแบบ SSL และอื่นๆ

ที่มา : https://www.bleepingcomputer.com/news/government/ex-cia-employee-charged-with-leak-of-classified-cia-vault-7-hacking-tools/

from:https://www.techtalkthai.com/us-department-of-justice-announced-new-charges-of-ex-cia-employee-who-leak-vault7/

US-CERT เตือนระวัง TYPEFRAME Malware จากเกาหลีเหนือ เน้นโจมตีระบบของ Microsoft เป็นหลัก

US-CERT ได้ออกมาเตือนถึงแคมเปญการโจมตีด้วย Trojan Malware ที่มีชื่อว่า TYPEFRAME จากเกาหลีเหนือ โดยตั้งชื่อแคมเปญครั้งนี้ว่า HIDDEN COBRA

 

Credit: ShutterStock.com

 

ในการแจ้งเตือนครั้งนี้ไม่ได้ระบุว่ามีระบบที่ตกเป็นเหยื่อของการโจมตีมากน้อยแค่ไหน โดยมีการวิเคราะห์ตัวอย่างของ Malware ด้วยกัน 11 รายการที่มีทั้งไฟล์ Windows Executable แบบ 32-bit และ 64-bit รวมถึงมีไฟล์ Microsoft Word ที่มี VBA Macro อยู่ภายใน ซึ่งสามารถทำการโหลดและติดตั้ง Malware, Proxy และ Remote Access Trojan (RAT) พร้อมทั้งเชื่อมต่อไปยัง Command and Control (C2) Server เพื่อรับคำสั่งต่างๆ เพิ่มเติม รวมถึงยังมีการเปลี่ยนแปลงการตั้งค่าระบบ Firewall เพื่อเปิดรับการเชื่อมต่อขาเข้ามาอีกด้วย

Malware เหล่านี้ถูกสร้างขึ้นมาใช้โจมตีตั้งแต่ปี 2015 – 2017 โดย IP Address ของ C2 Server ที่ใช้นั้นได้แก่ 111.207.78.204, 181.119.19.56, 184.107.209.2, 59.90.93.97, 80.91.118.45, 81.0.213.173 และ 98.101.211.162 ซึ่งเป็น Server ที่กระจายอยู่ในหลากหลายประเทศทั่วโลก

สำหรับ Advisory ฉบับเต็มที่ระบุถึงพฤติกรรมการโจมตีและวิธีการรับมือฉบับเต็ม สามารถอ่านได้ที่ https://www.us-cert.gov/ncas/analysis-reports/AR18-165A ครับ

 

ที่มา: https://www.theregister.co.uk/2018/06/18/us_cert_warns_of_more_north_korean_malware/

from:https://www.techtalkthai.com/us-cert-warns-about-typeframe-malware-from-north-korea/

เตือน DBGer Ransomware ใช้ EternalBlue และ Mimikats แพร่กระจายใส่เป้าหมาย

MalwareHunter เผย Satan Ransomware ชื่อดังรีแบรนด์ตัวเองใหม่ ใช้ชื่อ “DBGer Ransomware” พร้อมเปลี่ยนวิธีดำเนินการ ใช้ช่องโหว่ EternalBlue และ Mimikatz เครื่องมือสำหรับแคร็กรหัสผ่านในการแพร่กระจายตัวเองไปยังคอมพิวเตอร์เป้าหมายบนระบบเครือข่าย

Credit: Zephyr_p/ShutterStock.com

Satan Ransomware ปรากฏโฉมครั้งแรกเมื่อเดือนมกราคม 2017 โดยเปิดให้บริการในรูปของ Ransomware-as-a-Service (RaaS) ช่วยให้เหล่าอาชญากรไซเบอร์สามารถลงทะเบียนและสร้าง Satan Ransomware เวอร์ชันเฉพาะตัวไปใช้โจมตีผู้อื่นได้

Satan Ransomware ถูกพัฒนามาอย่างต่อเนื่อง และเริ่มมีชื่อเสียงในวงการใต้ดิน ส่งผลให้แฮ็กเกอร์ที่อยู่เบื้องหลัง Ransowmare ดังกล่าวพยายามพัฒนา Ransomware ไปอีกขั้นโดยใช้แนวคิดของ WannaCry Ransomware ที่สามารถแพร่กระจายตัวเองบนเครือข่ายระดับโลกได้มาเป็นต้นแบบ โดยทำการเพิ่ม EternalBlue SMB Exploit ลงไปในตัวมัลแวร์ส่งผลให้เมื่อคอมพิวเตอร์ติดมัลแวร์แล้ว มันจะใช้ EternalBlue ในการสแกนคอมพิวเตอร์ในระบบเครือข่าย แล้วเจาะผ่านช่องโหว่ SMB เพื่อแพร่กระจายตัวต่อไป

เท่านั้นยังไม่พอ ล่าสุด Satan Ransomware ได้เพิ่มความสามารถในการทำ Lateral Movement ลงไปโดยใช้ Mimikatz ซึ่งเป็นซอฟต์แวร์แบบ Open-source สำหรับขโมยรหัสผ่านของคอมพิวเตอร์ในระบบเครือข่าย และใช้รหัสผ่านเหล่านั้นในการเข้าถึงและแพร่กระจายตัวต่อ รวมไปถึงเปลี่ยนชื่อตัวเองใหม่เป็น DBGer Ransomware เพื่อแสดงให้เห็นว่า Ransomware ของตนยังมีการพัฒนาและให้บริการอย่างไม่หยุดยั้ง เพื่อให้เหล่าอาชญากรไซเบอร์สามารถทำเงินได้ไม่แพ้การทำ Cryptocurrency Mining

ที่มา: https://www.bleepingcomputer.com/news/security/dbger-ransomware-uses-eternalblue-and-mimikats-to-spread-across-networks/

from:https://www.techtalkthai.com/dbger-ransomware-uses-eternalblue-and-mimikatz-to-infect-users/