GrowPro

Microsoft ends Windows 7 extended security updates on Tuesday

Growpro Admin 10 January 2023

Microsoft ออกมาประกาศว่าจะไม่มีการอัปเดตแพตช์ความปลอดภัยสำหรับ Windows 7 และ Windows 8.1อีกโดย Windows 7 รุ่น Professional , Enterprise และ Windows 8.1 จะไม่ได้รับการอัปเดตด้านความปลอดภัยสำหรับช่องโหว่ที่สำคัญอีกต่อไป เริ่มตั้งแต่วันอังคารที่ 10 มกราคม 2023 เป็นต้นไป

Hackers exploit Control Web Panel flaw to open reverse shells

Growpro Admin 13 January 2023

แฮ็กเกอร์ใช้ประโยชน์จากข้อบกพร่องของ Control Web Panel เพื่อเปิดใช้งาน reverse shells โดยช่องโหว่นี้ถูกติดตามเป็น CVE-2022-44877 และจัดอยู่ในความรุนแรงระดับ Critical เนื่องจากช่วยให้ผู้โจมตีเรียกใช้โค้ดจากระยะไกลโดยไม่ต้องมีการตรวจสอบสิทธิ์ โดย Control Web Panel เวอร์ชัน 0.9.8.1147 ได้รับการแพตช์เมื่อวันที่ 25 ตุลาคม 2022 เพื่อแก้ไข CVE-2022-44877

Cacti Servers Under Attack as Majority Fail to Patch Critical Vulnerability

Growpro Admin 16 January 2023

Cacti ได้ออกมาเปิดเผยทางอินเทอร์เน็ตว่า เซิร์ฟเวอร์ส่วนใหญ่ที่ไม่ได้รับการแก้ไขจากช่องโหว่ด้านความปลอดภัยที่สำคัญกำลังถูกโจมตีอย่างต่อเนื่อง โดยแพลตฟอร์มการทำ attack surface ของ Censys พบว่ามีเพียง 26 เซิร์ฟเวอร์จากทั้งหมด 6,427 ที่ได้รับการแพตช์เวอร์ชัน 1.2.23 และ 1.3.0

Avast releases free BianLian ransomware decryptor

Growpro Admin 17 January 2023

บริษัทซอฟต์แวร์รักษาความปลอดภัย Avast ได้เปิดตัวเครื่องมือที่ใช้ถอดรหัสฟรีสำหรับ BianLian ransomware เพื่อช่วยให้ผู้ที่ตกเป็นเหยื่อสามารถกู้คืนไฟล์ที่ถูกล็อคโดยไม่ต้องจ่ายเงินให้แฮ็กเกอร์ โดยเครื่องมือถอดรหัสตัวนี้สามารถติดตั้งทำงานได้ทันทีแบบ Standalone และผู้ใช้งานสามารถใส่รหัสได้ทันทีถ้าหากทราบรหัส หรือหากไม่ทราบรหัส ระบบจะทำการทดลองถอดรหัสจาก BainLian Password ที่มีแทน

Git patches two critical remote code execution security flaws

Growpro Admin 18 January 2023

Git ได้ทำการอัปเดตแพตช์เพื่อแก้ไขช่องโหว่ด้านความปลอดภัยระดับ Critical ถึง 2 รายการคือ CVE-2022-41903 และ CVE-2022-23521 ซึ่งอาจทำให้ผู้โจมตีสามารถรันโค้ดตามอำเภอใจได้หลังจากประสบความสำเร็จในการใช้ประโยชน์จาก heap-based buffer overflow และช่องโหว่ CVE-2022-41953 ที่ส่งผลกระทบต่อเครื่องมือ Git GUI 1

Over 4,000 Sophos Firewall devices vulnerable to RCE attacks

Growpro Admin 19 January 2023

อุปกรณ์ Sophos Firewall กว่า 4,000 เครื่องที่ยังไม่ได้รับการแพตช์ช่องโหว่ Zero-day ตัวล่าสุดเสี่ยงต่อการถูกโจมตี Remote Code Execution (RCE) Sophos เปิดเผยว่าช่องโหว่ Zero-day ตัวนี้ถูกติดตามเป็น CVE-2022-3236 และมี CVSS score ถึง 9.8 ซึ่งพบใน User Portal และ Webadmin ของ Sophos Firewall ในเดือนกันยายน แต่ยังได้ออกแพตช์แก้ไขด่วนสำหรับ Sophos Firewall หลายเวอร์ชัน และมีการแก้ไขอย่างเป็นทางการในเดือนธันวาคม 2565

New Blank Image attack hides phishing scripts in SVG files

Growpro Admin 20 January 2023

นักวิจัยด้านความปลอดภัยจาก Avanan พบเทคนิคใหม่ของฟิชชิ่งที่ซ่อนไฟล์ SVG เปล่าไว้ในไฟล์แนบ HTML ที่แสร้งทำเป็นเอกสาร DocuSign โดยนักวิจัยได้ตั้งชื่อการโจมตีฟิชชิ่งนี้ว่า Blank Image พวกเขาอธิบายว่าการโจมตีด้วยฟิชชิ่งสามารถหลบเลี่ยงการตรวจจับ URL ที่เปลี่ยนเส้นทางได้

Apple fixes actively exploited iOS zero-day on older iPhones, iPads

Growpro Admin 26 January 2023

Apple ได้ออกแพตช์อัปเดตเพื่อแก้ไขช่องโหว่จาก Zero-day บน iPhone และ iPad รุ่นเก่า ช่องโหว่ Zero-day นี้ถูกติดตามเป็น CVE-2022-42856 ซึ่งเกิดขึ้นใน Webkit ซึ่งทำให้ผู้โจมตีสามารถสร้างหน้าเว็บเพจปลอมและหลอกให้เหยื่อเข้าชม หลังจากนั้นจะทำการลักลอบรันโค้ดเพื่อทำการโจมตีต่อไป

VMware fixes critical security bugs in vRealize log analysis tool

Growpro Admin 26 January 2023

VMware ได้ออกแพตช์อัปเดตเพื่อแก้ไขช่องโหว่ vRealize Log Insight ซึ่งอาจทำให้ผู้โจมตีสามารถทำการ Remote Code Execution (RCE) บนอุปกรณ์ที่ไม่ได้แพตช์ได้ vRealize Log Insight (ปัจจุบันรู้จักกันในชื่อ VMware Aria Operations for Logs) เป็นเครื่องมือวิเคราะห์และจัดการบันทึกที่ช่วยวิเคราะห์โครงสร้างพื้นฐานและบันทึกแอปพลิเคชันใน VMware

Hackers use new SwiftSlicer wiper to destroy Windows domains

Growpro Admin 30 January 2023

นักวิจัยด้านความปลอดภัยจาก ESET ได้พบมัลแวร์ตัวใหม่ที่ชื่อ SwiftSlicer ซึ่งมีจุดประสงค์เพื่อเขียนทับไฟล์สำคัญที่ Windows ใช้ โดยพวกเขาพบมัลแวร์ตัวนี้ระหว่างการโจมตีทางไซเบอร์ในยูเครน เมื่อวันที่ 25 มกราคม นักวิจัย ESET กล่าวว่ากลุ่มแฮ็กเกอร์ Sandworm ได้เปิดตัวมัลแวร์ SwiftSlicer และใช้แพร่กระจายไปที่ Active Directory Group Policy โดยมัลแวร์ SwiftSlicer ถูกใช้เพื่อลบสำเนาและเขียนทับไฟล์สำคัญใน directory ของ Windows โดยเฉพาะ drivers และฐานข้อมูล Active Directory

Gootkit Malware Continues to Evolve with New Components and Obfuscations

Growpro Admin 31 January 2023

มัลแวร์ Gootkit หรือที่เรียกอีกชื่อว่า Gootloader ได้แพร่กระจายผ่านเว็บไซต์ที่ถูกบุกรุก ซึ่งเหยื่อจะถูกหลอกให้เข้าชมและเมื่อค้นหาเอกสารที่เกี่ยวข้องกับธุรกิจ เช่น ข้อตกลงและสัญญาต่างๆ เป็นต้น ซึ่งเอกสารที่ถูกค้นหานั้นจะอยู่ในรูปแบบของไฟล์ ZIP ที่ซ่อนมัลแวร์ JavaScript เอาไว้ และเมื่อเปิดไฟล์เอกสารนั้นจะนำไปสู่การดาวน์โหลดเพย์โหลดเพิ่มเติม เช่น Cobalt Strike Beacon, FONELAUNCH และ SNOWCONE

RedEyes hackers use new malware to steal data from Windows, phones

Growpro Admin 15 Febuary 2023

กลุ่มแฮ็กเกอร์ RedEyes ใช้มัลแวร์ใหม่ที่ชื่อ M2RAT เพื่อขโมยข้อมูลจาก Windows และ Smartphones โดยกลุ่ม RedEyes หรือที่รู้จักกันในชื่อ APT37 หรือ ScarCruft เป็นกลุ่มแฮ็กเกอร์ของเกาหลีเหนือที่เชื่อว่าได้รับการสนับสนุนจากรัฐ

Update Now: Microsoft Releases Patches for 3 Actively Exploited Windows Vulnerabilities

Growpro Admin 16 Febuary 2023

เมื่อวันอังคารที่ผ่านมา Microsoft ได้ออกแพตช์สำหรับแก้ไขช่อวโหว่ 3 รายการของ Windows และข้อบกพร่องอีก 75 รายการ ซึ่งการอัปเดตนี้เป็นการอัปเดตเพิ่มเติมจากข้อบกพร่อง 22 รายการที่ Microsoft แก้ไขในเบราว์เซอร์ Edge ที่ใช้ Chromium ในช่วงเดือนที่ผ่านมา

Microsoft Exchange ProxyShell flaws exploited in new crypto-mining attack

Growpro Admin 17 Febuary 2023

พบมัลแวร์ตัวใหม่ที่ชื่อ ProxyShellMiner ใช้ประโยชน์จากช่องโหว่ของ Microsoft Exchange ProxyShell เพื่อขุด cryptocurrency ซึ่งช่องโหว่ของ Microsoft Exchange นี้ถูกค้นพบและแก้ไขในปี 2021 จากการโจมตีดังกล่าว Morphisec พบว่าผู้โจมตีใช้ประโยชน์จากช่องโหว่ของ ProxyShell ถูกติดตามเป็น CVE-2021-34473 และ CVE-2021-34523 ช่องโหว่นี้จะทำให้ bypass การตรวจสอบความถูกต้องและเรียกใช้โค้ดจากระยะไกล ทำให้ผู้โจมตีสามารถควบคุมเซิร์ฟเวอร์ Microsoft Exchange ได้

Fortinet Issues Patches for 40 Flaws Affecting FortiWeb, FortiOS, FortiNAC, and FortiProxy

Growpro Admin 20 Febuary 2023

Fortinet ได้เผยแพร่การอัปเดตด้านความปลอดภัยเพื่อแก้ไขช่องโหว่ 40 รายการในกลุ่มซอฟต์แวร์ ได้แก่ FortiWeb, FortiOS, FortiNAC และ FortiProxy เป็นต้น ซึ่งช่องโหว่ 2 จาก 40 รายการนั้นถูกจัดอยู่ในระดับ Critical , 15 ถูกจัดอยู่ในระดับ High , 22 ถูกจัดอยู่ในระดับ Medium และอีกหนึ่งรายการถูกจัดอยู่ในระดับ Low ช่องโหว่ที่จัดอยู่ในระดับ Critical รายการแรกคือ CVE-2022-39952 (CVSS score: 98) ซึ่งเป็นช่องโหว่ที่อยู่ในโซลูชันการควบคุมการเข้าถึงเครือข่ายของ FortiNAC ที่อนุญาตให้ผู้โจมตีที่ไม่ได้รับการตรวจสอบสิทธิ์สามารถเรียกใช้โค้ดหรือคำสั่งที่ไม่ได้รับอนุญาตผ่านคำขอ HTTP ที่สร้างขึ้นโดยเฉพาะ

New WhiskerSpy malware delivered via trojanized codec installer

Growpro Admin 21 Febuary 2023

นักวิจัยด้านความปลอดภัยได้ค้นพบ backdoor ตัวใหม่ที่ชื่อว่า WhiskerSpy ที่ใช้ในแคมเปญที่ค่อนข้างใหม่และเป็นที่รู้จักจากการกำหนดเป้าหมายไปยังบุคคลที่แสดงความสนใจในเกาหลีเหนือ กลุ่มแฮ็กเกอร์ได้ทำการสุ่มเลือกเหยื่อจากผู้เยี่ยมชมเว็บไซต์ของเกาหลีเหนือ โดยใช้การโจมตีแบบ watering hole ซึ่งการโจมตีครั้งล่าสุดนี้ถูกค้นพบเมื่อปลายปีที่แล้วโดยนักวิจัยของบริษัทรักษาความปลอดภัยทางไซเบอร์ Trend Micro โดย Trend Micro รายงานว่า WhiskerSpy จะถูกแพร่กระจายหลังจากที่เหยื่อเข้าชมหรือพยายามดูวิดีโอบนเว็บไซต์ ซึ่งผู้โจมตีได้ทำการฝังสคริปต์ที่เป็นอันตรายไว้ที่เว็บไซต์เหล่านั้น ซึ่งจะใช้หลอกให้ผู้ที่เข้าชมเว็บไซต์ติดตั้งตัวแปลงสัญญาณวิดีโอเพื่อให้สามารถรับชมวิดีโอได้

HardBit ransomware wants insurance details to set the perfect price

Growpro Admin 22 Febuary 2023

กลุ่มแรนซัมแวร์ HardBit ได้อัปเกรดเป็นเวอร์ชัน 20 และกำลังพยายามเจรจาบางอย่างกับบริษัทประกันของเหยื่อแทนที่จะระบุจำนวนบิตคอยน์ที่ขอในบันทึกเรียกค่าไถ่นี้ ตามรายงานจาก Varonis ซึ่งเป็นบริษัทด้านความปลอดภัยและการวิเคราะห์ข้อมูล กล่าวว่า HardBit เวอร์ชันแรกนั้นถูกพบในเดือนตุลาคม พศ 2565 ในขณะที่เวอร์ชัน 20 เปิดตัวในเดือนพฤศจิกายน พศ 2565 และยังคงเผยแพร่อยู่ในปัจจุบัน

Hackers use fake ChatGPT apps to push Windows, Android malware

Growpro Admin 23 Febuary 2023

ฮ็กเกอร์กำลังใช้ประโยชน์จากความนิยมของ ChatGPT ของ OpenAI เพื่อเผยแพร่มัลแวร์สำหรับ Windows และ Android ChatGPT ได้รับแรงผลักดันอย่างล้นหลามตั้งแต่เปิดตัวในเดือนพฤศจิกายน 2565 และกลายเป็นแอปพลิเคชันที่เติบโตอย่างรวดเร็วที่สุดในประวัติศาสตร์ยุคใหม่ โดยมีผู้ใช้มากกว่า 100 ล้านคนภายในเดือนมกราคม 2566 นักวิจัยด้านความปลอดภัย Dominic Alvieri เป็นหนึ่งในคนกลุ่มแรกๆ ที่สังเกตเห็นตัวอย่างดังกล่าวโดยใช้โดเมน chat-gpt-pc[]online เพื่อแพร่มัลแวร์ขโมยข้อมูลหลังจากผู้ใช้งานการดาวน์โหลด ChatGPT Windows

VMware Patches Critical Vulnerability in Carbon Black App Control Product

Growpro Admin 24 Febuary 2023

VMware ได้ออกแพตช์เพื่อแก้ไขช่องโหว่ด้านความปลอดภัยที่สำคัญซึ่งส่งผลต่อผลิตภัณฑ์ Carbon Black App Control ช่องโหว่ดังกล่าวถูกติดตามเป็น CVE-2023-20858 (CVSS 91) ซึ่งส่งผลกระทบต่อ App Control เวอร์ชัน 87x, 88x และ 89x ช่องโหว่นี้ทำให้ผู้โจมตีที่มีสิทธิพิเศษในการเข้าถึง console การจัดการ App Control อาจสามารถใช้อินพุตที่สร้างขึ้นมาเป็นพิเศษเพื่อให้สามารถเข้าถึงระบบปฏิบัติการเซิร์ฟเวอร์พื้นฐานได้

ChromeLoader campaign lures with malicious VHDs for popular games

Growpro Admin 27 Febuary 2023

ักวิจัยด้านความปลอดภัยได้สังเกตเห็นแคมเปญการ hijacking เบราว์เซอร์ ผ่าน Extension ปลอมที่ชื่อ ChromeLoader และแคมเปญ adware กำลังใช้ไฟล์ VHD ที่ตั้งชื่อตามเกมยอดนิยม ไฟล์ที่เป็นอันตรายถูกค้นพบโดยสมาชิกของ Ahnlab Security Emergency Response Center (ASEC) ผ่านผลการค้นหาของ Google เพื่อค้นหาเกมยอดนิยม โดยรายชื่อเกมที่ถูกใช้แพร่กระจาย adware ได้แก่ Elden Ring, ROBLOX, Dark Souls 3, Red Dead Redemption 2, Need for Speed, Call of Duty, Portal 2, Minecraft, Legend of Zelda, Pokemon, Mario Kart, Animal Crossing

PlugX Trojan Disguised as Legitimate Windows Debugger Tool in Latest Attacks

Growpro Admin 28 Febuary 2023

PlugX Trojan ได้ปลอมเป็นเครื่องมือ debugger สำหรับ Windows แบบโอเพ่นซอร์สที่เรียกว่า x64dbg เพื่อที่จะหลีกเลี่ยงการป้องกันความปลอดภัยและเข้าควบคุมระบบของเป้าหมาย นักวิจัยของ Trend Micro ที่ชื่อ Buddy Tancio, Jed Valderama และ Catherine Loveria กล่าวว่า โดยทั่วไปไฟล์นี้จะถูกใช้เพื่อตรวจสอบรหัสใน kernel-mode, user-mode, crash dumps และ CPU registers

CISA warns of hackers exploiting ZK Java Framework RCE flaw

Growpro Admin 1 March 2023

หน่วยงานรักษาความปลอดภัยทางไซเบอร์และโครงสร้างพื้นฐานของสหรัฐ (CISA) ได้เพิ่ม CVE-2022-36537 ลงใน Known Exploited Vulnerabilities Catalog หลังจากที่ผู้โจมตีเริ่มใช้ประโยชน์จากช่องโหว่นี้ในการโจมตีแบบ Remote Code Execution (RCE) CVE-2022-36537 เป็นช่องโหว่ที่มีความรุนแรงระดับ High และมีคะแนน CVSS 7.5 ซึ่งส่งผลกระทบต่อ ZK Framework เวอร์ชัน 9.6.1, 9.6.0.1, 9.5.1.3, 9.0.1.2 และ 8.6.4.1 ทำให้ผู้โจมตีสามารถเข้าถึงข้อมูลที่ละเอียดอ่อนได้ โดยส่งคำขอ POST ที่สร้างขึ้นเป็นพิเศษไปยังส่วนประกอบ AuUploader ซึ่งอาจทำให้ผู้โจมตีสามารถขโมยเนื้อหาของไฟล์ที่อยู่ในเว็บได้

BlackLotus Becomes First UEFI Bootkit Malware to Bypass Secure Boot on Windows 11

Growpro Admin 2 March 2023

BlackLotus กลายเป็นมัลแวร์ UEFI Bootkit ตัวแรกที่หลบเลี่ยงการป้องกันของ Secure Boot บน Windows 11 BlackLotus ถูกปรับใช้ในเฟิร์มแวร์ของระบบและอนุญาตให้ควบคุมกระบวนการบูทระบบปฏิบัติการได้อย่างสมบูรณ์ ดังนั้นจึงทำให้สามารถปิดใช้งานระบบรักษาความปลอดภัยและปรับใช้เพย์โหลดตามต้องการระหว่างการเริ่มต้นระบบด้วยสิทธิพิเศษระดับสูง

Cisco patches critical Web UI RCE flaw in multiple IP phones

Growpro Admin 3 March 2023

Cisco ได้ออกแพตช์อัปเดตเพื่อแก้ไขช่องโหว่ Remote Code Execution ที่เกิดขึ้นใน Web UI บน IP Phone หลายรุ่น ช่องโหว่ CVE-2023-20078 ที่ทำให้ผู้โจมตีสามารถทำ Remote Code Execution ไปยังอุปกรณ์ IP Phone ได้โดยที่ไม่จำเป็นต้องยืนยันตัวตน นอกจากนี้ยังมีช่องโหว่ CVE-2023-20079 ที่สามารถทำให้เกิด Denial-of-service (DoS) ได้ ซึ่งช่องโหว่ทั้งสองตัวเกิดขึ้นในกระบวนการตรวจสอบ Input ในหน้า Web-based Management

Old Windows Mock Folders UAC bypass used to drop malware

Growpro Admin 7 March 2023

แคมเปญฟิชชิ่งใหม่ได้กำหนดเป้าหมายองค์กรในประเทศยุโรปตะวันออกด้วยมัลแวร์ Remcos RAT โดยสามารถบายพาสการควบคุมบัญชีผู้ใช้ Windows แบบเก่าที่ค้นพบเมื่อสองปีที่แล้ว อีเมลแคมเปญฟิชชิ่งที่ถูกส่งจะเป็นใบแจ้งหนี้และเอกสารทางการเงินอื่นๆ ซึ่งในอีเมลที่ส่งมาจะมีไฟล์ tar.lz แนบด้วยมาเพื่อเรียกใช้ DBatLoader ในขั้นแรกมัลแวร์จะปลอมแปลงเป็นเอกสาร Microsoft Office, LibreOffice หรือ PDF โดยใช้ double extensions และไอคอนแอปเพื่อหลอกให้เหยื่อเปิดไฟล์ เมื่อเหยื่อเปิดไฟล์แล้วเพย์โหลดในขั้นที่สองจะถูกดึงมาจาก cloud service เช่น Microsoft OneDrive หรือ Google Drive ก่อนที่จะทำการดาวน์โหลดมัลแวร์ Remcos RAT นั้น DBatLoader จะสร้างและเรียกใช้สคริปต์แบตช์ของ Windows เพื่อใช้วิธีการบายพาส Windows UAC ที่บันทึกไว้ในปี 2020

Android March 2023 update fixes two critical code execution flaws

Growpro Admin 8 March 2023

Google ออกแพชต์อัปเดตด้านความปลอดภัยสำหรับ Android ในเดือนมีนาคม 2023 โดยแก้ไขข้อบกพร่องทั้งหมด 60 รายการ และในจำนวนนี้มีช่องโหว่ Remote Code Execution (RCE) 2 รายการที่มีความรุนแรงระดับ Critical ซึ่งส่งผลกระทบต่อระบบ Android ที่ใช้เวอร์ชัน 11, 12 และ 13 ข้อบกพร่องที่ได้รับการแก้ไขในครั้งนี้จะถูกอัปเดตผ่านแพตช์ความปลอดภัยสองรอบ โดยชุดแรกมีการแก้ไขข้อบกพร่อง 31 รายการสำหรับส่วนประกอบหลักของ Android เช่น Framework, System และ Google Play

Fortinet warns of new critical unauthenticated RCE vulnerability

Growpro Admin 9 March 2023

Fortinet ได้เตือนถึงช่องโหว่ RCE ตัวใหม่ที่ส่งผลกระทบต่อ FortiOS และ FortiProxy ซึ่งช่วยให้ผู้โจมตีที่ไม่ผ่านการรับรองความถูกต้องทำให้สามารถเข้ารหัสได้ตามอำเภอใจหรือทำการปฏิเสธบริการ (DoS) บน GUI ของอุปกรณ์ที่มีช่องโหว่โดยใช้คำขอที่สร้างขึ้นเป็นพิเศษ ช่องโหว่นี้ถูกติดตามเป็น CVE-2023-25610 และมีคะแนน CVSS v3 เท่ากับ 9.3 ซึ่งจัดอยู่ในระดับ Critical ช่องโหว่นี้เกิดขึ้นเมื่อโปรแกรมพยายามอ่านข้อมูลจากบัฟเฟอร์ในหน่วยความจำมากกว่าที่มีอยู่ ส่งผลให้เกิดการเข้าถึงตำแหน่งหน่วยความจำที่อยู่ติดกัน ซึ่งนำไปสู่ลักษณะการทำงานที่เสี่ยงหรือระบบล่ม

IceFire ransomware now encrypts both Linux and Windows systems

Growpro Admin 10 March 2023

ceFire ransomware มุ่งเป้าไปที่ระบบ Linux และ Windows ทั่วโลกด้วยตัวเข้ารหัสแบบใหม่ นักวิจัยด้านความปลอดภัยของ SentinelLabs พบว่ากลุ่มผู้โจมตีทำการเจาะระบบเครือข่ายขององค์กรด้านสื่อและความบันเทิงหลายแห่งทั่วโลกในช่วงไม่กี่สัปดาห์ที่ผ่านมา โดยเริ่มตั้งแต่กลางเดือนกุมภาพันธ์ เมื่อเข้าไปในเครือข่ายแล้วผู้โจมตีจะใช้มัลแวร์รูปแบบใหม่เพื่อเข้ารหัสระบบ Linux ของเหยื่อ จากนั้น IceFire ransomware จะเข้ารหัสไฟล์และเพิ่มนามสกุลต่อท้ายชื่อไฟล์เป็น .ifire หลังจากนั้นจะทำการลบตัวมันเองเพื่อปกปิดร่องรอยของการโจมตี

BATLOADER Malware Uses Google Ads to Deliver Vidar Stealer and Ursnif Payloads

Growpro Admin 13 March 2023

มัลแวร์ BATLOADER ถูกสังเกตว่าใช้ Google Ads ในทางที่ผิดเพื่อส่งเพย์โหลดสำรอง เช่น Vidar Stealer และ Ursnif จากข้อมูลของบริษัทด้านความปลอดภัยทางไซเบอร์ eSentire พบโฆษณาที่เป็นอันตรายถูกใช้เพื่อปลอมแปลงเป็นแอปพลิเคชันและบริการต่างๆ เช่น Adobe, ChatGPT ของ OpenAPI, Spotify, Tableau และ Zoom

KamiKakaBot Malware Used in Latest Dark Pink APT Attacks on Southeast Asian Targets

Growpro Admin 14 March 2023

กลุ่ม Dark Pink ได้ใช้มัลแวร์ KamiKakaBot ใช้ในการโจมตีแบบ advanced persistent threat (APT) โดยมีเป้าหมายไปที่หน่วยงานรัฐบาลและหน่วยงานทางทหารของประเทศต่างๆในภูมิภาคเอเชียตะวันออกเฉียงใต้ Dark Pink หรือที่เรียกว่า Saaiwc ได้รับการกล่าวถึงอย่างกว้างขวางโดย Group-IB เมื่อต้นปีนี้ โดยอธิบายว่ากลุ่ม Dark Pink ได้ใช้มัลแวร์ที่สร้างขึ้นเองในการโจมตี เช่น TelePowerBot และ KamiKakaBot เพื่อรันคำสั่งตามอำเภอใจและขโมยข้อมูลส่วนบุคคล การโจมตีครั้งล่าสุดนั้นเกิดขึ้นในเดือนกุมภาพันธ์ พ.ศ. 2566 เกือบจะเหมือนกับการโจมตีครั้งก่อนๆ แต่มัลแวร์ที่ใช้ในการโจมตีนั้นได้รับการปรับปรุงให้สามารถหลบเลี่ยงการตรวจจับได้ดียิ่งขึ้น

Microsoft fixes Windows zero-day exploited in ransomware attacks

Growpro Admin 15 March 2023

Microsoft ได้แก้ไขช่องโหว่ Zero-day ที่ช่วยให้ผู้โจมตีใช้เพื่อหลีกเลี่ยงการตรวจจับมัลแวร์บนคลาวด์ของ Windows SmartScreen และปรับใช้ Payloads ของแรนซัมแวร์ Magniber ผู้โจมตีได้ใช้ไฟล์ MSI ที่เป็นอันตรายที่ใช้ Authenticode signature ที่สร้างขึ้นเป็นพิเศษเพื่อใช้ประโยชน์จาก CVE-2023-24880 เพื่อหลีกเลี่ยงการตรวจจับ

Microsoft fixes Outlook zero-day used by Russian hackers since April 2022

Growpro Admin 16 March 2023

Microsoft ได้ออกแพตช์สำหรับช่องโหว่ CVE-2023-23397 ซึ่งเป็นช่องโหว่ Zero-day ที่ถูกใช้ในการโจมตีมาตั้งแต่ช่วงเดือนเมษายนปีที่แล้ว ได้มุ่งเป้าในการโจมตีไปยังองค์กรในยุโรปเป็นหลัก โดยมีเหยื่อมากกว่า 15 รายและกระจายไปหลายกลุ่มธุรกิจ รวมถึงหน่วยงานราชการ กลุ่มแฮกเกอร์ที่ใช้ช่องโหว่ CVE-2023-23397 นี้ถูกเชื่อมโยงไปยังกลุ่มแฮกเกอร์หลายกลุ่มในรัสเซีย เช่น APT28, STRONTIUM, Sednit, Sofacy และ Fancy Bear

Critical SAP Vulnerabilities Let Attackers Inject Code & Execute Commands

Growpro Admin 17 March 2023

SAP ได้ออกแพตช์อัปเดตด้านความปลอดภัยสำหรับช่องโหว่ 19 รายการ ซึ่งมีช่องโหว่ 5 รายการถูกจัดอยู่ในระดับ Critical ซึ่งส่งผลกระทบต่อ SAP Business Objects Business Intelligence Platform (CMC) และ SAP NetWeaver

Emotet Rises Again: Evades Macro Security via OneNote Attachments

Growpro Admin 21 March 2023

มัลแวร์ Emotet ถูกนำกลับมาใช้ในการโจมตีอีกครั้งหลังจากหายไปในช่วงเวลาสั้นๆ ซึ่งในปัจจุบันกำลังเผยแพร่ตัวเองผ่านไฟล์แนบในอีเมล Microsoft OneNote เพื่อพยายามหลบเลี่ยงการตรวจจับด้านความปลอดภัยและมาโครในการโจมตี มัลแวร์ Emotet มักจะแพร่กระจายผ่านอีเมลสแปมที่มีไฟล์แนบที่เป็นอันตราย แต่เมื่อ Microsoft ดำเนินการเพื่อบล็อกมาโครในไฟล์ Office ที่ดาวน์โหลดมา ทำให้ไฟล์แนบของ OneNote กลายเป็นทางเลือกที่น่าสนใจอีกทางหนึ่งที่สามารถนำมาใช้ในการโจมตี

New ShellBot DDoS Malware Variants Targeting Poorly Managed Linux Servers

Growpro Admin 22 March 2023

เซิร์ฟเวอร์ Linux ที่มีการจัดการที่ไม่ดีกำลังตกเป็นเป้าหมายของแคมเปญใหม่ของมัลแวร์ ShellBot ShellBot หรือ PerlBot เป็นมัลแวร์ DDoS Bot ที่พัฒนาขึ้นจากภาษา Perl และใช้โปรโตคอล IRC เพื่อสื่อสารกับเซิร์ฟเวอร์ C&C

Fake ChatGPT Chrome Browser Extension Caught Hijacking Facebook Accounts

Growpro Admin 24 March 2023

Google ได้ลบ Extension ปลอมของเบราว์เซอร์ Chrome ออกจาก Web Store อย่างเป็นทางการแล้ว หลังจากพบว่าปลอมเป็น ChatGPT ของ OpenAI เพื่อเก็บ session cookies ของ Facebook และทำการแฮ็กบัญชี โดย Extension ChatGPT ปลอมนั้นเป็นเวอร์ชันที่มีการฝังโทรจันไว้และถูกติดตั้งไปมากกว่า 9,000 ครั้งตั้งแต่วันที่ 14 มีนาคม 2023 ก่อนที่จะถูกลบ

New Dark Power ransomware claims 10 victims in its first month

Growpro Admin 27 March 2023

แรนซัมแวร์ตัวใหม่ที่ชื่อว่า Dark Power ได้ปรากฏขึ้นและได้แสดงรายชื่อเหยื่อรายแรกบนไซต์ข้อมูลรั่วไหลของดาร์คเว็บ โดยขู่ว่าจะเผยแพร่ข้อมูลดังกล่าวหากไม่จ่ายค่าไถ่ การโจมตีดังกล่าวถูกพบเมื่อวันที่ 29 มกราคม 2023 นอกจากนี้การดำเนินการนี้ยังไม่ได้รับการสนับสนุนกลุ่มแฮ็กเกอร์หรือ dark web ดังนั้นจึงน่าจะเป็นความต้องการส่วนตัวของผู้โจมตีมากกว่า จากข้อมูลของ Trellix ซึ่งวิเคราะห์ว่า Dark Power เป็นแรนซัมแวร์ที่มีเป้าหมายไปยังองค์กรทั่วโลก โดยขอให้จ่ายค่าไถ่เพียงเล็กน้อยที่ 10,000 ดอลลาร์

New MacStealer macOS malware steals passwords from iCloud Keychain

Growpro Admin 28 March 2023

มัลแวร์ขโมยข้อมูลตัวใหม่ที่ชื่อ MacStealer กำลังกำหนดเป้าหมายผู้ใช้ Mac โดยจะขโมยข้อมูลประจำตัวที่จัดเก็บไว้ใน iCloud KeyChain และข้อมูลบนเว็บเบราว์เซอร์ กระเป๋าเงินดิจิทัล หรือไฟล์ต่างๆ MacStealer เป็นมัลแวร์ในรูปแบบบริการ (MaaS) ซึ่งผู้พัฒนาได้ตังราคาขายล่วงหน้าในราคา $100 ทำให้ผู้ซื้อสามารถนำมัลแวร์ตัวนี้ไปใช้แพร่กระจายผ่านแคมเปญของตนได้ ทีมวิจัยภัยคุกคามของ Uptycs ที่ค้นพบมัลแวร์ MacStealer ได้รายงานว่ามันสามารถทำงานบน macOS Catalina 10.15 และระบบปฏิบัติการของ Apple เวอร์ชันล่าสุด Ventura 13.2 ผู้พัฒนามัลแวร์อ้างว่ามัลแวร์ MacStealer สามารถใช้โจมตีไปยัง macOS Catalina, Big Sur, Monterey และ Ventura และสามารถขโมยข้อมูลต่อไปนี้จากระบบที่ถูกบุกรุกได้

Apple fixes recently disclosed WebKit zero-day on older iPhones

Growpro Admin 29 March 2023

Apple ได้ออกแพตช์อัปเดตด้านความปลอดภัยสำหรับ backport ที่เผยแพร่เมื่อเดือนที่แล้ว และทำการแก้ไขช่องโหว่ zero-day สำหรับ iPhone และ iPad รุ่นเก่า โดยช่องโหว่ที่ได้รับการแก้ไขคือ CVE-2023-23529 เป็นช่องโหว่นี้เกิดขึ้นเนื่องจากข้อผิดพลาดของเครื่องมือแยกประเภทเนื้อหาเว็บใน WebKit ในอุปกรณ์ iPhone และ iPad

QNAP warns customers to patch Linux Sudo flaw in NAS devices

Growpro Admin 30 March 2023

QNAP ได้ออกมาเตือนลูกค้าถึงช่องโหว่การยกระดับสิทธิ์บนอุปกรณ์จัดเก็บข้อมูลบนเครือข่าย (NAS) ที่มีความรุนแรงสูง ช่องโหว่นี้ถูกติดตามเป็น CVE-2023-22809 ซึ่งสามารถหลบเลี่ยงผ่าน policy sudoers ใน Sudo เวอร์ชัน 1.9.12p1 เมื่อใช้ sudoedit

Realtek and Cacti flaws now actively exploited by malware botnets

Growpro Admin 31 March 2023

Malware botnet หลายตัวกำลังใช้ช่องโหว่ของ Cacti และ Realtek ในแคมเปญที่ตรวจพบระหว่างเดือนมกราคมถึงมีนาคม 2566 เพื่อแพร่กระจายมัลแวร์ ShellBot และ Moobot ช่องโหว่ที่ใช้คือ CVE-2021-35394 ซึ่งเป็นช่องโหว่ในการเรียกใช้โค้ดจากระยะไกลใน Realtek Jungle SDK และ CVE-2022-46169 ซึ่งเป็นช่องโหว่ command injection ในเครื่องมือตรวจสอบการจัดการของ Cacti ช่องโหว่ทั้งสองนี้เคยถูกใช้โดยมัลแวร์บ็อตเน็ตตัวอื่นๆ มาแล้ว เช่น Fodcha, RedGoBot, Mirai, Gafgyt และ Mozi

Hackers exploit bug in Elementor Pro WordPress plugin with 11M installs

Growpro Admin 3 April 2023

แฮ็กเกอร์กำลังใช้ประโยชน์จากช่องโหว่ที่มีความรุนแรงสูงในปลั๊กอิน WordPress Elementor Pro ที่ใช้โดยเว็บไซต์กว่า 11 ล้านแห่ง Elementor Pro เป็นปลั๊กอินตัวสร้างเพจ WordPress ช่วยให้ผู้ใช้สร้างเว็บไซต์ที่ดูเป็นมืออาชีพได้อย่างง่ายดายโดยไม่ต้องรู้วิธีการเขียนโค้ด โดยจะมีฟีเจอร์ ธีม คอลเลกชันเทมเพลต และ WooCommerce สำหรับใช้สร้างร้านค้าออนไลน์ ช่องโหว่นี้ถูกค้นพบโดยนักวิจัยของ NinTechNet Jerome Bruandet เมื่อวันที่ 18 มีนาคม 2023 โดยปัญหาที่พบนั้นเกิดจากข้อบกพร่องเมื่อติดตั้งปลั๊กอินร่วมกับ WooCommerce ซึ่งส่งผลกระทบต่อเวอร์ชัน v3.11.6 และทุกเวอร์ชันก่อนหน้า ทำให้ผู้ใช้ที่ผ่านการตรวจสอบสิทธิ์ เช่น ลูกค้าร้านค้าหรือสมาชิกไซต์ สามารถเปลี่ยนการตั้งค่าของเว็บไซต์และดำเนินการควบคุมเว็บไซต์ทั้งหมดได้

New Money Message ransomware demands million dollar ransoms

Growpro Admin 4 April 2023

แก๊งแรนซัมแวร์ตัวใหม่ชื่อ Money Message ได้ปรากฏตัวขึ้น โดยมุ่งเป้าไปที่เหยื่อทั่วโลกและเรียกร้องให้จ่ายเงินค่าไถ่หลายล้านดอลลาร์เพื่อไม่ให้ข้อมูลรั่วไหลและแลกกับตัวถอดรหัส แรนซัมแวร์ตัวใหม่ได้รับการรายงานครั้งแรกเมื่อวันที่ 28 มีนาคม 2023 โดยทีม ThreatLabz ของ Zscaler หลังจากแชร์ข้อมูลบน Twitter ไม่นาน และปัจจุบันผู้คุกคามได้แสดงรายชื่อของเหยื่อ 2 รายในเว็บไซต์ข้อมูลรั่วไหล โดยหนึ่งในนั้นเป็นสายการบินในเอเชียที่มีรายได้ต่อปีเกือบ 1 พันล้านดอลลาร์ นอกจากนี้ ผู้คุกคามอ้างว่าได้ขโมยไฟล์จากบริษัทและภาพหน้าจอของระบบไฟล์ที่เข้าถึงเพื่อใช้เป็นหลักฐานการในการโจมตี

New Rorschach ransomware is the fastest encryptor seen so far

Growpro Admin 5 April 2023

หลังจากการโจมตีทางไซเบอร์ในบริษัทแห่งหนึ่งในสหรัฐอเมริกา นักวิจัยด้านมัลแวร์ได้ค้นพบแรนซัมแวร์ตัวใหม่ที่ชื่อว่า Rorschach ซึ่งจุดเด่นของแรนซัมแวร์ตัวนี้คือความเร็วในการเข้ารหัส จากการทดสอบของนักวิจัยทำให้พบว่า Rorschach เป็นแรนซัมแวร์ที่สามารถเข้ารหัสได้เร็วที่สุดในปัจจุบัน นักวิจัยจาก Check Point พบว่า Rorschach ถูกปรับใช้โดยใช้เทคนิค side-loading ของ DLL ผ่าน Cortex XDR ซึ่งเป็นผลิตภัณฑ์ที่ใช้ตรวจจับและตอบสนองภัยต่อคุกคามของ Palo Alto Networks ผู้โจมตีได้ใช้ Cortex XDR ในการ Dump Service Tool (cy.exe) เวอร์ชัน 7.3.0.16740 เพื่อดาวน์โหลด Rorschach และ injector (winutils.dll) ซึ่งนำไปสู่การเปิดใช้งานเพย์โหลดแรนซัมแวร์ config.ini ผ่าน Notepad ไฟล์ดาวน์โหลด Rorschach มีการป้องกันการวิเคราะห์แบบ UPX ในขณะที่เพย์โหลดหลักได้รับการปกป้องจากการทำ reverse engineering และ detection ในส่วนของโค้ดโดยใช้ซอฟต์แวร์ VMProtect

Typhon info-stealing malware devs upgrade evasion capabilities

Growpro Admin 7 April 2023

ผู้พัฒนามัลแวร์ขโมยข้อมูล Typhon ได้ประกาศในฟอรัม dark web ว่าพวกเขาได้อัปเดตเวอร์ชันมัลแวร์เป็น Typhon Reborn V2 ซึ่งถูกออกแบบมาเพื่อขัดขวางการวิเคราะห์ผ่านกลไก anti-virtualization mechanisms.. มัลแวร์ Typhon ถูกค้นพบโดยนักวิเคราะห์มัลแวร์จาก Cyble Research Labs ในเดือนสิงหาคม 2565 และพบว่ามัลแวร์ Typhon ทำการรวมตัวกับมัลแวร์ตัวอื่นๆ เช่น clipper, keylogger และ crypto-miner นักวิเคราะห์ของ Cisco Talos รายงานว่ามัลแวร์ Typhon Reborn V2 ได้รับการโปรโมตบน dark web ตั้งแต่เดือนมกราคมและมีการซื้อหลายครั้ง ซึ่งนักวิจัยได้ค้นพบตัวอย่างเวอร์ชันล่าสุดตั้งแต่เดือนธันวาคม 2022

Apple Releases Updates to Address Zero-Day Flaws in iOS, iPadOS, macOS, and Safari

Growpro Admin 10 April 2023

เมื่อวันศุกร์ที่ผ่านมา Apple ได้ออกแพตช์อัปเดตด้านความปลอดภัยสำหรับ iOS, iPadOS, macOS และเว็บเบราว์เซอร์ Safari เพื่อแก้ไขข้อช่องโหว่ Zero-day 2 รายการ นักวิจัยที่เป็นผู้ค้นพบช่องโหว่ทั้ง 2 รายการคือ Clément Lecigne จากทีม Threat Analysis Group (TAG) ของ Google และ Donncha Ó Cearbhaill จากทีม Security Lab ของ Amnesty International

Hackers Flood NPM with Bogus Packages Causing a DoS Attack

Growpro Admin 11 April 2023

แฮ็กเกอร์กำลังโจมตีไปยัง Node Package Manager (NPM) ซึ่งเป็นพื้นที่เก็บข้อมูลแพ็คเกจแบบโอเพ่นซอร์ส โดยใช้แพ็คเกจปลอมที่ส่งผลให้เกิดการโจมตีแบบปฏิเสธการให้บริการ (DoS) ในช่วงสั้นๆ Jossef Harush Kadouri จาก Checkmarx กล่าวในรายงานที่เผยแพร่เมื่อสัปดาห์ที่แล้วว่า กลุ่มแฮ็กเกอร์ได้สร้างเว็บไซต์ที่เป็นอันตรายและเผยแพร่แพ็คเกจเปล่าที่มีลิงก์ไปยังเว็บไซต์ที่เป็นอันตรายเหล่านั้น โดยใช้ประโยชน์จากโอเพ่นซอร์สใน search engines การโจมตีดังกล่าวทำให้เกิด denial-of-service (DoS) ซึ่งทำให้ NPM ไม่เสถียรและมีข้อผิดพลาดที่ Service Unavailable ในบางส่วน

Microsoft April 2023 Patch Tuesday fixes 1 zero-day, 97 flaws

Growpro Admin 12 April 2023

Microsoft ได้ออกแพตช์อัปเดตประจำเดือนเมษายน 2023 เพื่อแก้ไขช่องโหว่ Zero-day 1 รายการและช่องโหว่อื่นๆอีก 97 รายการ

New QBot email attacks use PDF and WSF combo to install malware

Growpro Admin 18 April 2023

มัลแวร์ QBot ได้ใช้แคมเปญฟิชชิ่งโดยใช้ไฟล์ PDF และไฟล์สคริปต์ Windows (WSF) เพื่อแพร่กระจายไปยังอุปกรณ์ต่างๆของ Windows Qbot หรือที่รู้จักในชื่อ QakBot เป็น banking trojan ในอดีตที่พัฒนามาเป็นมัลแวร์ที่สามารถเข้าถึงเครือข่ายองค์กรต่างๆในเบื้องต้น ซึ่งในการเข้าถึงในครั้งแรกสามารถทำได้โดยการทิ้งเพย์โหลดไว้ เช่น Cobalt Strike, Brute Ratel และมัลแวร์อื่นๆที่อนุญาตให้ผู้โจมตีรายเข้าถึงอุปกรณ์ที่ถูกบุกรุกได้ โดยในเดือนนี้นักวิจัยด้านความปลอดภัย ProxyLife และกลุ่ม Cryptolaemus ได้พบวิธีการแพร่กระจายแบบใหม่ของ Qbot ผ่านทางอีเมลโดยใช้ไฟล์แนบ PDF ที่ดาวน์โหลดไฟล์ Windows Script เพื่อติดตั้ง Qbot บนอุปกรณ์ของเหยื่อ

Google Chrome emergency update fixes first zero-day of 2023

Growpro Admin 19 April 2023

Google ได้ออกแพตซ์อัปเดตด้านความปลอดภัยเร่งด่วนสำหรับ Chrome เพื่อแก้ไขช่องโหว่ zero-day ที่กำลังถูกนำมาใช้ในการโจมตีเป็นครั้งแรกตั้งแต่ต้นปี โดย Google ระบุในคำแนะนำด้านความปลอดภัยที่เผยแพร่เมื่อวันศุกร์ที่ผ่านมาว่าได้รับรายงานว่ากำลังมีการโจมตีโดยการใช้ประโยชน์จากช่องโหว่ CVE-2023-2033 ซึ่งส่งผลกระทบกับทั้งระบบ Windows, Mac และ Linux

Ransomware gangs abuse Process Explorer driver to kill security software

Growpro Admin 20 April 2023

ผู้โจมตีได้ใช้มัลแวร์เจาะระบบตัวใหม่ที่ชื่อว่า AuKill เพื่อปิดใช้งานซอฟต์แวร์ Endpoint Detection & Response (EDR) ในระบบของเป้าหมายก่อนที่จะใช้ backdoors และ ransomware ในการโจมตี Bring Your Own Vulnerable Driver (BYOVD) ในการโจมตีดังกล่าวผู้โจมตีจะทิ้ง Driver ที่ถูกต้องซึ่งลงนามด้วยใบรับรองที่ถูกต้องและสามารถทำงานด้วยสิทธิ์ Kernel บนอุปกรณ์ของเหยื่อเพื่อปิดใช้งานโซลูชันความปลอดภัยและเข้าควบคุมระบบ มัลแวร์ AuKill ถูกค้นพบครั้งแรกโดยนักวิจัยด้านความปลอดภัย Sophos X-Ops ซึ่งมัลแวร์ AuKill ได้ปล่อย Driver Windows ที่มีช่องโหว่ (procexp.sys) ถัดจาก Driver ที่ใช้โดย Process Explorer v16.32 ของ Microsoft ที่เป็นโปรแกรมที่ได้รับความนิยมซึ่งจะช่วยรวบรวมข้อมูลเกี่ยวกับ Process ของ Windows ที่ใช้งานอยู่ นอกจากนี้ผู้โจมตียังสามารถเพิ่มระดับสิทธิ์ให้กับตัวเองได้ ซึ่งในขั้นแรกจะต้องตรวจสอบว่าทำงานโดยใช้สิทธิ์ SYSTEM อยู่แล้วหรือไม่ และถ้าไม่ใช่ จะแอบอ้างเป็น Services TrustedInstaller Windows Modules Installer เพื่อยกระดับเป็น SYSTEM หลังจากนั้นมัลแวร์ AuKill จะปิดการใช้งานของซอฟต์แวร์ความปลอดภัย โดยมัลแวร์ AuKill จะเริ่มตรวจสอบและปิดการใช้งาน processes และ services ด้านความปลอดภัยต่างๆและตรวจสอบให้แน่ใจว่ายังคงปิดใช้งานอยู่โดยป้องกันไม่ให้เครื่องของเหยื่อนั้นสามารถสั่ง restart ได้ ปัจจุบันมีการตรวจพบมัลแวร์ AuKill หลายเวอร์ชัน และในบางเวอร์ชันอาจนำไปสู่การติดแรนซัมแวร์ Medusa Locker และ LockBit เนื่องจากในเดือนมกราคมและกุมภาพันธ์ที่ผ่านมา ผู้โจมตีได้ใช้แรนซัมแวร์ Medusa Locker และ LockBit หลังจากใช้มัลแวร์ AuKill ในการโจมตี ผู้โจมตีใช้มัลแวร์เจาะระบบตัวใหม่ที่ชื่อว่า AuKill เพื่อปิดใช้งานซอฟต์แวร์ Endpoint Detection & Response (EDR) ในระบบของเป้าหมายก่อนที่จะใช้ backdoors และ ransomware ในการโจมตี Bring Your Own Vulnerable Driver (BYOVD)

Microsoft SQL servers hacked to deploy Trigona ransomware

Growpro Admin 21 April 2023

ผู้โจมตีกำลังแฮ็กเข้าไปในเซิร์ฟเวอร์ Microsoft SQL (MS-SQL) ที่มีความปลอดภัยต่ำเพื่อปรับใช้ Payloads ของ Trigona ransomware และเข้ารหัสไฟล์ทั้งหมด เซิร์ฟเวอร์ MS-SQL ถูกเจาะผ่านการโจมตีแบบ brute-force ที่ใช้ประโยชน์จากรหัสผ่านของบัญชีที่คาดเดาได้ง่าย โดยนักวิจัยด้านความปลอดภัยจาก AhnLab ซึ่งเป็นบริษัทรักษาความปลอดภัยทางไซเบอร์ของเกาหลีใต้รายงานว่า หลังจากเชื่อมต่อกับเซิร์ฟเวอร์แล้ว ผู้โจมตีจะติดตั้งมัลแวร์ที่เรียกว่า CLR Shell

GhostToken Flaw Could Let Attackers Hide Malicious Apps in Google Cloud Platform

Growpro Admin 24 April 2023

นักวิจัยด้านความปลอดภัยทางไซเบอร์ได้เปิดเผยรายละเอียดของช่องโหว่ที่ได้รับการแพตช์แล้วใน Google Cloud Platform (GCP) ซึ่งอาจทำให้ผู้โจมตีสามารถปกปิดแอปพลิเคชันอันตรายที่ไม่สามารถลบออกได้ภายในบัญชี Google ของเหยื่อ ช่องโหว่นี้มีชื่อว่า GhostToken ถูกพบโดยบริษัท Astrix Security ซึ่งเป็นบริษัทสตาร์ทอัพความปลอดภัยทางไซเบอร์ของอิสราเอล โดยช่องโหว่ดังกล่าวส่งผลกระทบต่อบัญชี Google ทั้งหมด รวมถึงบัญชี Workspace ช่องโหว่นี้ถูกค้นพบและรายงานไปยัง Google เมื่อวันที่ 19 มิถุนายน 2022 และได้ทำการออกแพตช์อัปเดตมาในวันที่ 7 เมษายน 2023 Astrix Security กล่าวว่าช่องโหว่นี้ทำให้ผู้โจมตีสามารถเข้าถึงบัญชี Google ของเหยื่อได้อย่างถาวรและไม่สามารถถอดออกได้ โดยการแปลงแอปพลิเคชันของ third-party ที่ได้รับอนุญาตให้เป็นแอปโทรจันที่เป็นอันตราย

Hackers Exploit Outdated WordPress Plugin to Backdoor Thousands of WordPress Sites

Growpro Admin 25 April 2023

Sucuri เปิดเผยในรายงานเมื่อสัปดาห์ที่แล้วว่าผู้โจมตีใช้ประโยชน์จากปลั๊กอิน WordPress ที่ล้าสมัยไปยังเว็บไซต์ลับๆ ซึ่งเป็นส่วนหนึ่งของแคมเปญใหม่ที่กำลังดำเนินการอยู่ ปลั๊กอินที่เป็นปัญหาคือ Eval PHP ซึ่งเผยแพร่โดยนักพัฒนาชื่อ flashpixx ช่วยให้ผู้ใช้สามารถแทรกหน้าโค้ด PHP และโพสต์ของไซต์ WordPress ซึ่งจะดำเนินการทุกครั้งที่เปิดโพสต์ในเว็บเบราว์เซอร์ แม้ว่า Eval PHP ไม่เคยได้รับการอัปเดตเลยในรอบ 11 ปี แต่สถิติที่รวบรวมโดย WordPress แสดงให้เห็นว่ามีการติดตั้งบนเว็บไซต์กว่า 8,000 แห่ง โดยจำนวนการดาวน์โหลดพุ่งสูงขึ้นตั้งแต่เดือนกันยายน 2022 เป็น 6,988 ในวันที่ 30 มีนาคม 2023 และในวันที่ 23 เมษายน 2023 เพียงวันเดียว มีการดาวน์โหลด 2,140 ครั้ง โดยปลั๊กอินมีการดาวน์โหลดกว่า 23,110 ครั้งในช่วง 7 วันที่ผ่านมา

Cisco discloses XSS zero-day flaw in server management tool

Growpro Admin 27 April 2023

Cisco เปิดเผยช่องโหว่แบบ Zero-day ในซอฟต์แวร์ Prime Collaboration Deployment (PCD) ของบริษัท ซึ่งสามารถใช้โจมตีแบบ cross-site scripting ได้ ช่องโหว่นี้ถูกติดตามเป็น CVE-2023-20060 ซึ่งเป็นข้อผิดพลาดในอินเทอร์เฟซการจัดการบนเว็บของ Cisco PCD 14 และก่อนหน้านี้โดย Pierre Vivegnis จาก NATO Cyber Security Center (NCSC) ช่องโหว่นี้ทำให้ผู้โจมตีที่ไม่ผ่านการรับรองความถูกต้องสามารถเริ่มการโจมตีแบบ cross-site scripting ได้จากระยะไกลแต่ต้องมีการโต้ตอบกับผู้ใช้ Cisco ได้อธิบายว่าช่องโหว่นี้เกิดขึ้นเนื่องจากอินเทอร์เฟซการจัดการบนเว็บไม่ตรวจสอบอินพุตที่ผู้ใช้ป้อนอย่างถูกต้อง ผู้โจมตีอาจใช้ประโยชน์จากช่องโหว่นี้ชักชวนผู้ใช้อินเทอร์เฟซให้คลิกลิงก์ที่สร้างขึ้น หากโจมตีสำเร็จอาจทำให้ผู้โจมตีสามารถเรียกใช้ script code ได้ตามต้องการในอินเทอร์เฟซที่ได้รับผลกระทบหรือเข้าถึงข้อมูลที่ละเอียดอ่อนบนเบราว์เซอร์ได้

Linux version of RTM Locker ransomware targets VMware ESXi servers

Growpro Admin 28 April 2023

แรนซัมแวร์ RTM Locker เวอร์ชัน Linux มีเป้าหมายที่เซิร์ฟเวอร์ VMware ESXi แก๊งอาชญากรไซเบอร์ RTM (Read The Manual) มีบทบาทในการฉ้อโกงทางการเงินมาอย่างน้อยตั้งแต่ปี 2015 ซึ่งเป็นที่รู้จักในด้านการแพร่กระจาย banking trojan แบบกำหนดเองที่ใช้เพื่อขโมยเงินจากผู้ที่ตกเป็นเหยื่อ บริษัทรักษาความปลอดภัยทางไซเบอร์ Trellix รายงานว่า RTM Locker ได้เปิดตัวการดำเนินการ Ransomware-as-a-Service (Raas) ใหม่ และได้เริ่มรับสมัครบริษัทในเครือ รวมถึงผู้ที่มาจากกลุ่มอาชญากรรมไซเบอร์ Conti เดิม MalwareHunterTeam นักวิจัยด้านความปลอดภัยยังแชร์ตัวอย่าง RTM Locker กับ BleepingComputer ในเดือนธันวาคม 2022 ซึ่งระบุว่า RaaS นี้มีการใช้งานมาแล้วอย่างน้อยห้าเดือน

New LOBSHOT malware gives hackers hidden VNC access to Windows devices

Growpro Admin 2 May 2023

มัลแวร์ LOBSHOT ตัวใหม่ช่วยให้แฮกเกอร์เข้าถึง VNC ที่ซ่อนอยู่ในอุปกรณ์ Windows ได้ โดยมัลแวร์ LOBSHOT เผยแพร่โดยใช้โฆษณาของ Google ทำให้ผู้โจมตีสามารถแอบเข้าควบคุมอุปกรณ์ Windows ที่ติดไวรัสโดยใช้ hVNC เมื่อต้นปีที่ผ่านมา BleepingComputer และนักวิจัยด้านความปลอดภัยในโลกไซเบอร์จำนวนมากรายงานว่ามีผู้โจมตีเพิ่มขึ้นอย่างมากโดยใช้โฆษณา Google เพื่อใช้แพร่กระจายมัลแวร์ในผลการค้นหา แคมเปญโฆษณาเหล่านี้จะเลียนแบบเว็บไซต์ 7-ZIP, VLC, OBS, Notepad++, CCleaner, TradingView, Rufus และแอปพลิเคชันอื่นๆอีกมากมาย เพื่อใช้แพร่กระจายมัลแวร์ซึ่งรวมถึง Gozi, RedLine, Vidar, Cobalt Strike, SectoRAT และ Royal Ransomware ในรายงานฉบับใหม่ของ Elastic Security Labs นักวิจัยเปิดเผยว่า remote access trojan ตัวใหม่ชื่อ LOBSHOT ถูกเผยแพร่ผ่าน Google Ads ซึ่งโฆษณาเหล่านี้จะปลอมเป็นซอฟต์แวร์การจัดการระยะไกล AnyDesk ที่ถูกต้อง แต่นำไปสู่ไซต์ AnyDesk ปลอมที่เว็บไซต์ amydeecke[.]

Apple’s first Rapid Security Response patch fails to install on iPhones

Growpro Admin 3 May 2023

Apple ได้เปิดตัวแพตช์ Rapid Security Response (RSR) ชุดแรกสำหรับอุปกรณ์ iOS 16.4.1 และ macOS 13.3.1 แต่พบว่ามีผู้ใช้บางรายมีปัญหาในการติดตั้งบน iPhone บริษัท Apple ได้อธิบายว่าแพตช์ RSR คือการอัปเดตขนาดเล็กที่กำหนดเป้าหมายไปที่แพลตฟอร์ม iPhone, iPad และ Mac และแพตช์ปัญหาด้านความปลอดภัยระหว่างการอัปเดตซอฟต์แวร์หลักๆ การอัปเดตความปลอดภัยเหล่านี้บางส่วนอาจใช้เพื่อแก้ไขช่องโหว่ที่ถูกโจมตี โดยมีการอัปเดตซอฟต์แวร์ เช่น การปรับปรุงเว็บเบราว์เซอร์ Safari, WebKit framework stack หรือไลบรารีระบบที่สำคัญอื่นๆ

New Android updates fix kernel bug exploited in spyware attacks

Growpro Admin 8 May 2023

การอัปเดตแพตช์ด้านความปลอดภัยของ Android ที่เผยแพร่ในเดือนนี้ได้แก้ไขช่องโหว่ Zero-day ที่มีความรุนแรงสูงถูกใช้เพื่อติดตั้งสปายแวร์บนอุปกรณ์ที่ถูกบุกรุก ช่องโหว่นี้ถูกติดตามเป็น CVE-2023-0266 ซึ่งเป็นช่องโหว่หลังจากใช้งานฟรีในระบบย่อย Linux Kernel Sound ซึ่งอาจส่งผลให้มีการยกระดับสิทธิ์โดยอัตโนมัติ ตามรายงานของทีม Google Threat Analysis Group (TAG) ที่เผยแพร่ในเดือนมีนาคม ช่องโหว่นี้ถูกนำไปใช้โดยเป็นส่วนหนึ่งของแคมเปญสปายแวร์ที่กำหนดเป้าหมายโทรศัพท์ Android ของ Samsung ซึ่งผู้โจมตีได้ติดตั้งสปายแวร์บนอุปกรณ์ของเหยื่อที่ถูกบุกรุกซึ่งสามารถถอดรหัสและแยกข้อมูลจากแอปพลิเคชันแชทและเบราว์เซอร์

New Cactus ransomware encrypts itself to evade antivirus

Growpro Admin 9 May 2023

แรนซัมแวร์ตัวใหม่ที่ชื่อ Cactus ใช้ประโยชน์จากช่องโหว่ในอุปกรณ์ VPN เพื่อการเข้าถึงเครือข่ายของหน่วยงานเชิงพาณิชย์ขนาดใหญ่ในเบื้องต้น การโจมตีของ Cactus ransomware นั้นเริ่มตั้งแต่เดือนมีนาคม นอกจากจะสามารถเข้ารหัสไฟล์และการโจรกรรมข้อมูลแล้ว ผู้โจมตียังเพิ่มความสามารถในการหลีกเลี่ยงการตรวจจับเข้าไปด้วย นักวิจัยจากบริษัทที่ปรึกษาด้านการสืบสวนและความเสี่ยงของ Kroll เชื่อว่า Cactus ransomware ได้รับการเข้าถึงเบื้องต้นในเครือข่ายของเหยื่อโดยการใช้ประโยชน์จากช่องโหว่ในอุปกรณ์ VPN ของ Fortinet สิ่งที่ทำให้ Cactus ransomware แตกต่างจากการแรนซัมแวร์ตัวอื่นๆ คือการใช้การเข้ารหัสเพื่อป้องกันไบนารีของแรนซัมแวร์ โดยใช้ชุดสคริปต์เพื่อรับไบนารีเข้ารหัสโดยใช้ 7-Zip ในขณะที่ไฟล์ ZIP ดั้งเดิมจะถูกลบออกและไบนารีจะถูกปรับใช้ด้วยแฟล็กเฉพาะที่อนุญาตให้ดำเนินการได้ กระบวนการทั้งหมดนั้นใช้เพื่อป้องกันการตรวจจับตัวเข้ารหัสแรนซัมแวร์

Microsoft May 2023 Patch Tuesday fixes 3 zero-days, 38 flaws

Growpro Admin 10 May 2023

Microsoft ออกแพตช์อัปเดตประจำเดือนพฤษภาคม 2023 เพื่อแก้ไขช่องโหว่ Zero-days จำนวน 3 รายการ และช่องโหว่อื่นๆอีก 38 รายการ

Stealthier version of Linux BPFDoor malware spotted in the wild

Growpro Admin 15 May 2023

พบมัลแวร์ Linux BPFDoor เวอร์ชันใหม่ที่สามารถหลบเลี่ยงการตรวจจับและซ่อนเร้นได้ดีกว่าเดิม ซึ่งมีการเข้ารหัสที่มีประสิทธิภาพมากขึ้นและสามารถทำ reverse shell ได้ BPFDoor เป็นมัลแวร์ที่แฝงตัวเข้ามาตั้งแต่ปี 2017 แต่ถูกค้นพบโดยนักวิจัยด้านความปลอดภัยเมื่อประมาณ 12 เดือนที่ผ่านมาเท่านั้น โดยมัลแวร์ได้ชื่อมาจากการใช้ Berkley Packet Filter (BPF) สำหรับรับคำสั่งในขณะที่ข้ามข้อจำกัดของไฟร์วอลล์การรับส่งข้อมูล มัลแวร์ BPFDoor ได้รับการออกแบบมาเพื่อให้ผู้โจมตีสามารถคงอยู่ได้นานบนระบบ Linux ที่ถูกละเมิดและไม่ถูกตรวจพบเป็นระยะเวลานาน โดยในเวอร์ชันใหม่ของมัลแวร์ BPFDoor นั้นได้ช้การเข้ารหัส RC4, bind shellและ iptables ในขณะที่คำสั่งที่ใช้และชื่อไฟล์เป็นแบบฮาร์ดโค้ด Deep Instinct ซึ่งเป็นบริษัทรักษาความปลอดภัยทางไซเบอร์ ได้วิเคราะห์ว่ามีการเข้ารหัสแบบ static library และ reverse shell ซึ่งคำสั่งทั้งหมดจะถูกส่งโดยเซิร์ฟเวอร์ C2

Stealthy MerDoor malware uncovered after five years of attacks

Growpro Admin 16 May 2023

กลุ่มแฮ็กเกอร์ APT กลุ่มใหม่ที่ใช้ชื่อว่า Lancefly ใช้มัลแวร์แบ็คดอร์ Merdoor แบบกำหนดเองเพื่อกำหนดเป้าหมายองค์กรรัฐบาล การบิน และโทรคมนาคมในเอเชียใต้และเอเชียตะวันออกเฉียงใต้ นักวิจัยของ Symantec Threat Labs เปิดเผยในวันนี้ว่า Lancefly ได้นำแบ็คดอร์ Merdoor ที่มีความสามารถในการซ่อนตัวมาใช้ในการโจมตีแบบกำหนดเป้าหมายสูงตั้งแต่ปี 2018 เพื่อสร้างการคงอยู่ ดำเนินการคำสั่ง และดำเนินการคีย์ล็อกบนเครือข่ายองค์กร นักวิจัยยังสังเกตเห็นว่ามีการใช้แบ็คดอร์ Merdoor ในปี 2020 และ 2021 เช่นเดียวกับแคมเปญล่าสุดนี้ ซึ่งดำเนินต่อไปจนถึงไตรมาสแรกของปี 2023 โดยเชื่อกันว่า Lancefly มุ่งเน้นไปที่การจารกรรมทางไซเบอร์ โดยมีเป้าหมายเพื่อรวบรวมข่าวกรองจากเครือข่ายของเหยื่อในช่วงเวลาที่ยาวนาน

Cisco Issues Warning for Critical Switch Vulnerabilities with Public Exploit Code

Growpro Admin 18 May 2023

Cisco เตือนลูกค้าถึงช่องโหว่ในการเรียกใช้โค้ดจากระยะไกลที่ 4 รายการที่ส่งผลกระทบต่อ Small Business Series Switches หลายตัว ข้อบกพร่องด้านความปลอดภัยทั้ง 4 รายการได้รับการจัดอันดับความรุนแรงอยู่ในระดับ Critical โดยมีคะแนน CVSS ที่ 9.8/10 ซึ่งประกอบไปด้วย CVE-2023-20159, CVE-2023-20160, CVE-2023-20161 และ CVE-2023-20189 เกิดจากการตรวจสอบที่ไม่เหมาะสมของคำขอที่ส่งไปยัง web interface ของสวิตช์เป้าหมาย ซึ่งช่องโหว่เหล่านี้จะช่วยให้ผู้โจมตีที่ไม่ผ่านการรับรองความถูกต้องสามารถเรียกใช้โค้ดได้ตามต้องการด้วยสิทธิ์ระดับรูทบนอุปกรณ์ที่ถูกบุกรุก

Apple fixes three new zero-days exploited to hack iPhones, Macs

Growpro Admin 19 May 2023

Apple ได้แก้ไขช่องโหว่ Zero-day 3 รายการที่ใช้ในการโจมตีเพื่อเจาะเข้า iPhone, Mac และ iPad ข้อบกพร่องด้านความปลอดภัยทั้งหมดพบในเครื่องมือเบราว์เซอร์ WebKit แบบหลายแพลตฟอร์ม โดยช่องโหว่แรกคือ CVE-2023-32409 ที่ทำให้ผู้โจมตีจากระยะไกลสามารถแยกตัวออกจาก Sandbox ของเนื้อหาเว็บได้ อีก 2 รายการคือ CVE-2023-28204 และ CVE-2023-32373 เป็นการอ่านนอกขอบเขตที่สามารถช่วยให้ผู้โจมตีเข้าถึงข้อมูลที่ละเอียดอ่อนได้และเรียกใช้โค้ดได้ตามต้องการบนอุปกรณ์ที่ถูกบุกรุก

CISA warns of Samsung ASLR bypass flaw exploited in attacks

Growpro Admin 22 May 2023

CISA ได้ออกมาเตือนถึงช่องโหว่ด้านความปลอดภัยที่ส่งผลกระทบต่ออุปกรณ์ Samsung ที่สามารถใช้ในการโจมตีเพื่อหลีกเลี่ยงการป้องกันการสุ่มตำแหน่งที่อยู่ Android (ASLR) ซึ่ง ASLR เป็นคุณลักษณะด้านความปลอดภัยของ Android ที่สุ่มที่อยู่หน่วยความจำที่แอปหลักและส่วนประกอบระบบปฏิบัติการถูกโหลดลงในหน่วยความจำของอุปกรณ์ โดยช่องโหว่นี้ถูกติดตามเป็น CVE-2023-21492 ซึ่งส่งผลกระทบต่ออุปกรณ์มือถือ Samsung ที่ใช้ Android 11, 12 และ 13 และเกิดจากการแทรกข้อมูลที่ละเอียดอ่อนลงใน log files ทำให้ผู้โจมตีในพื้นที่ที่มีสิทธิ์สูงเพื่อทำการบายพาส ASLR ซึ่งอาจเปิดใช้งานการใช้ประโยชน์จากปัญหาการจัดการหน่วยความจำ

Malicious Windows kernel drivers used in BlackCat ransomware attacks

Growpro Admin 23 May 2023

มีการสังเกตว่ากลุ่มแรนซัมแวร์ ALPHV หรือที่รู้จักกันในนาม BlackCat wfhใช้ไดรเวอร์เคอร์เนล Windows เพื่อหลบเลี่ยงการตรวจจับโดยซอฟต์แวร์รักษาความปลอดภัยระหว่างการโจมตี ซึ่งไดรเวอร์ที่ Trend Micro เห็นนั้นเป็นเวอร์ชันปรับปรุงของมัลแวร์ที่เรียกว่า POORTRY ซึ่ง Microsoft, Mandiant, Sophos และ SentinelOne ตรวจพบในการโจมตีของแรนซัมแวร์เมื่อปลายปีที่แล้ว โดยมัลแวร์ POORTRY เป็นไดรเวอร์เคอร์เนลของ Windows ที่ใช้คีย์ที่ถูกขโมยซึ่งเป็นของบัญชีที่ถูกต้องใน Windows Hardware Developer Program ของ Microsoft ไดรเวอร์ที่เป็นอันตรายนี้ถูกใช้โดยกลุ่มแฮ็ค UNC3944 หรือที่เรียกว่า 0ktapus และ Scattered Spider เพื่อใช้ยุติการทำงานของซอฟต์แวร์ด้านความปลอดภัยบนอุปกรณ์ Windows เพื่อหลบเลี่ยงการตรวจจับ แม้ว่าซอฟต์แวร์รักษาความปลอดภัยมักจะได้รับการปกป้องจากการถูกยกเลิกหรือดัดแปลง เนื่องจากไดรเวอร์เคอร์เนลของ Windows ทำงานด้วยสิทธิพิเศษสูงสุดในระบบปฏิบัติการ จึงสามารถใช้หยุดกระบวนการเกือบทุกชนิดได้ ไดรเวอร์ใหม่ที่ใช้ในการเรียกค่าไถ่ของ BlackCat ช่วยให้พวกเขายกระดับสิทธิ์ในเครื่องที่ถูกบุกรุก และหยุดกระบวนการที่เกี่ยวข้องกับตัวแทนความปลอดภัย นอกจากนี้อาจมีการเชื่อมโยงระหว่างกลุ่มแรนซัมแวร์และกลุ่มแฮ็ค UNC3944/Scattered Spider

New AhRat Android malware hidden in app with 50,000 installs

Growpro Admin 24 May 2023

นักวิจัยมัลแวร์ของ ESET พบ Remote Access Trojan (RAT) ตัวใหม่บน Google Play Store ซึ่งซ่อนอยู่ในแอปบันทึกหน้าจอ Android ที่มีการติดตั้งหลายหมื่นครั้ง แม้ว่าแอปนี้จะถูกเพิ่มเข้ามาใน Play Store เป็นครั้งแรกในเดือนกันยายน 2021 แต่แอป iRecorder - Screen Recorder นั้นน่าจะถูกฝังโทรจันผ่านการอัปเดตที่เป็นอันตรายซึ่งเผยแพร่เกือบหนึ่งปีต่อมาในเดือนสิงหาคม 2022 ชื่อของแอปช่วยให้ขออนุญาตบันทึกเสียงและเข้าถึงไฟล์บนอุปกรณ์ที่ติดไวรัสได้ง่ายขึ้น เนื่องจากคำขอตรงกับความสามารถที่คาดหวังของเครื่องมือบันทึกหน้าจอ ก่อนที่จะถูกลบแอปดังกล่าวมีการติดตั้งมากกว่า 50,000 ครั้งใน Google Play Store ทำให้ผู้ใช้ติดมัลแวร์ และหลังจากมีการแจ้งเตือนเกี่ยวกับพฤติกรรมที่เป็นอันตรายของ iRecorder ทีมรักษาความปลอดภัยของ Google Play ได้ลบแอปนี้ออกจาก Play Store

New PowerExchange malware backdoors Microsoft Exchange servers

Growpro Admin 25 May 2023

พบมัลแวร์ตัวใหม่ที่ใช้ PowerShell ซึ่งมีชื่อว่า PowerExchange ถูกนำมาใช้ในการโจมตีที่เชื่อมโยงกับกลุ่มแฮ็กเกอร์ APT34 ของอิหร่านไปยังเซิร์ฟเวอร์ Microsoft Exchange แบบลับๆภายในองค์กร หลังจากแทรกซึมไปยังเซิร์ฟเวอร์อีเมลผ่านอีเมลฟิชชิ่งที่มีไฟล์ปฏิบัติการที่เป็นอันตราย ผู้โจมตีได้ปรับใช้เว็บเชลล์ที่ชื่อ ExchangeLeech ซึ่งพบครั้งแรกโดยทีม Digital14 Incident Response ในปี 2020 ที่สามารถขโมยข้อมูลประจำตัวของผู้ใช้ได้ ทีมวิจัยภัยคุกคามของ FortiGuard Labs พบแบ็คดอร์ PowerExchange บนระบบที่ถูกบุกรุกขององค์กรรัฐบาลสหรัฐอาหรับเอมิเรตส์ โดยพบว่ามัลแวร์ได้ทำการสื่อสารกับเซิร์ฟเวอร์ command-and-control (C2) ผ่านอีเมลที่ส่งโดยใช้ Exchange Web Services (EWS) API ส่งข้อมูลที่ถูกขโมยและรับคำสั่งที่เข้ารหัส base64 ผ่านไฟล์แนบข้อความไปยังอีเมลด้วยหัวข้อเรื่อง Update Microsoft Edge

Zyxel warns of critical vulnerabilities in firewall and VPN devices

Growpro Admin 26 May 2023

Zyxel เตือนลูกค้าถึงช่องโหว่ระดับ Critical 2 รายการในผลิตภัณฑ์ Firewall และ VPN หลายรายการที่ผู้โจมตีสามารถใช้ประโยชน์ได้โดยไม่ต้องตรวจสอบสิทธิ์ โดยช่องโหว่ทั้ง 2 รายการเกิดจาก buffer overflow และอาจทำให้ปฏิเสธการให้บริการ (DoS) และเรียกใช้โค้ดจากระยะไกลบนอุปกรณ์ที่มีช่องโหว่ ช่องโหว่ที่ได้รับการแพตช์ล่าสุดของ Zyxel มีดังต่อไปนี้ 1. CVE-2023-33009 (คะแนน CVSS 9.8) เป็นช่องโหว่ buffer overflow ในฟังก์ชันการแจ้งเตือนในผลิตภัณฑ์ Zyxel บางตัว ทำให้ผู้โจมตีที่ไม่ได้รับการตรวจสอบสิทธิ์สามารถเรียกใช้โค้ดจากระยะไกลหรือกำหนดเงื่อนไข DoS ได้ 2. CVE-2023-33010 (คะแนน CVSS 9.8) เป็นช่องโหว่ buffer overflow ในฟังก์ชันการประมวลผล ID ในผลิตภัณฑ์ Zyxel บางรายการ ทำให้ผู้โจมตีที่ไม่ได้รับการตรวจสอบสิทธิ์สามารถเรียกใช้โค้ดจากระยะไกลหรือกำหนดเงื่อนไข DoS ได้

Clever ‘File Archiver In The Browser’ phishing trick uses ZIP domains

Growpro Admin 29 May 2023

แคมเปญฟิชชิ่งใหม่ที่ปลอมเป็นโดเมน ZIP โดยการแสดง WinRAR หรือ Windows File Explorer เวอร์ชันปลอมในเบราว์เซอร์เพื่อโน้มน้าวให้ผู้ใช้เปิดไฟล์ที่เป็นอันตราย เมื่อต้นเดือนนี้ Google เริ่มเสนอความสามารถในการจดทะเบียนโดเมน ZIP TLD เช่น bleepingcomputer.zip เพื่อโฮสต์เว็บไซต์หรือที่อยู่อีเมล นับตั้งแต่มีการเปิดตัว TLD มีการถกเถียงกันเล็กน้อยว่าสิ่งเหล่านี้เป็นความผิดพลาดและอาจก่อให้เกิดความเสี่ยงด้านความปลอดภัยในโลกไซเบอร์แก่ผู้ใช้หรือไม่ ในขณะที่ผู้เชี่ยวชาญบางคนมีความกังวลว่าบางไซต์จะเปลี่ยนสตริงที่ลงท้ายด้วย .zip โดยอัตโนมัติ เช่น setup.zip และเป็นลิงก์ที่สามารถคลิกได้ซึ่งอาจใช้สำหรับการส่งมัลแวร์หรือการโจมตีแบบฟิชชิง ตัวอย่างเช่น หากคุณส่งคำแนะนำเกี่ยวกับการดาวน์โหลดไฟล์ชื่อ setup.zip ให้ผู้อื่น Twitter จะเปลี่ยน setup.zip เป็นลิงก์โดยอัตโนมัติ ทำให้ผู้คนคิดว่าควรคลิกเพื่อดาวน์โหลดไฟล์ เมื่อคุณคลิกลิงก์นั้นเบราว์เซอร์ของคุณจะพยายามเปิดไซต์ https://setup.zip ซึ่งอาจเปลี่ยนเส้นทางคุณไปยังไซต์อื่น โดยการแสดงหน้า HTML หรือแจ้งให้คุณดาวน์โหลดไฟล์ อย่างไรก็ตามการส่งมัลแวร์หรือแคมเปญฟิชชิ่ง คุณต้องโน้มน้าวให้ผู้ใช้เปิดไฟล์ก่อน ซึ่งอาจเป็นเรื่องที่ยากหากผู้ใช้ไม่ได้เปิดไฟล์

Lazarus hackers target Windows IIS web servers for initial access

Growpro Admin 30 May 2023

นักวิจัยชาวเกาหลีใต้ที่ AhnLab Security Emergency Response Center (ASEC) พบว่าแฮ็กเกอร์ชื่อดังจากเกาหลีเหนือที่รัฐหนุนหลังหรือที่รู้จักในชื่อ Lazarus Group กำลังกำหนดเป้าหมายเว็บเซิร์ฟเวอร์ Windows Internet Information Services (IIS) ที่มีช่องโหว่เพื่อเข้าถึงเครือข่ายองค์กรในเบื้องต้น เว็บเซิร์ฟเวอร์ Windows Internet Information Services (IIS) ถูกใช้โดยองค์กรทุกขนาดสำหรับการจัดการเนื้อหาเว็บ เช่น ไซต์ แอป และบริการต่างๆ เช่น Outlook บนเว็บของ Microsoft Exchange และเป็นโซลูชันที่ยืดหยุ่นซึ่งมีให้ตั้งแต่เปิดตัว Windows NT โดยสนับสนุนโปรโตคอล HTTP, HTTPS, FTP, FTPS, SMTP และ NNTP กลุ่ม Lazarus ได้ทำการเข้าถึงเซิร์ฟเวอร์ IIS ก่อนโดยใช้ช่องโหว่ที่รู้จักหรือการกำหนดค่าที่ไม่ถูกต้อง ซึ่งอนุญาตให้ผู้คุกคามสร้างไฟล์บนเซิร์ฟเวอร์ IIS โดยใช้ w3wp.exe process หลังจากนั้นจะทำการวางไฟล์ Wordconv.exe ซึ่งเป็นส่วนหนึ่งของ Microsoft Office, DLL ที่เป็นอันตราย (msvcr100.dll) ในโฟลเดอร์เดียวกัน และไฟล์เข้ารหัสชื่อ msvcr100.dat

Barracuda zero-day abused since 2022 to drop new malware, steal data

Growpro Admin 31 May 2023

Barracuda บริษัทด้านความปลอดภัยเครือข่ายและอีเมลเปิดเผยว่าช่องโหว่ Zero-day ที่เพิ่งแพตช์เมื่อเร็วๆนี้ ถูกใช้เป็นเวลาอย่างน้อย 7 เดือนกับอุปกรณ์ Email Security Gateway (ESG) ของลูกค้าแบบแบ็คดอร์ที่มีมัลแวร์แบบกำหนดเองและขโมยข้อมูล บริษัทกล่าวว่าการสืบสวนที่กำลังดำเนินอยู่พบว่าเป็นช่องโหว่ซึ่งถูกติดตามเป็น CVE-2023-2868 โดยถูกใช้ครั้งแรกในเดือนตุลาคม 2565 เพื่อเข้าถึงอุปกรณ์ ESG บางส่วนและติดตั้งแบ็คดอร์ที่ออกแบบมาเพื่อให้ผู้โจมตีสามารถเข้าถึงอุปกรณ์ที่ถูกบุกรุกได้อย่างต่อเนื่อง นอกจากนี้ Barracuda ยังค้นพบหลักฐานว่าผู้โจมตีขโมยข้อมูลจากอุปกรณ์ ESG อย่างลับๆ ช่องโหว่ดังกล่าวถูกระบุเมื่อวันที่ 19 พฤษภาคม 2566 หนึ่งวันหลังจากได้รับการแจ้งเตือนถึงทราฟฟิกที่น่าสงสัยจากอุปกรณ์ ESG และจ้างบริษัทรักษาความปลอดภัยทางไซเบอร์ Mandiant เพื่อช่วยในการตรวจสอบ

Exploit released for RCE flaw in popular ReportLab PDF library

Growpro Admin 1 June 2023

นักวิจัยได้เผยแพร่ช่องโหว่ Remote Code Execution (RCE) ที่ส่งผลกระทบต่อ ReportLab Toolkit ซึ่งเป็นไลบรารี่ Python ยอดนิยมที่หลายโครงการใช้เพื่อสร้างไฟล์ PDF จากอินพุต HTML ช่องโหว่ Proof-of-Concept (PoC) ซึ่งติดตามเป็น CVE-2023-33733 ได้รับการเผยแพร่เมื่อวานนี้บน GitHub พร้อมกับบทความที่ให้รายละเอียดทางเทคนิคเกี่ยวกับช่องโหว่ ซึ่งจะเป็นช่องทางในการเพิ่มโอกาสในการแสวงหาผลประโยชน์ (exploit) มากขึ้น ชุดเครื่องมือ ReportLab ถูกใช้โดยหลายโครงการเป็นไลบรารี PDF และมีการดาวน์โหลดประมาณ 3.5 ล้านครั้งต่อเดือนบน PyPI (Python Package Index)

New MOVEit Transfer zero-day mass-exploited in data theft attacks

Growpro Admin 2 June 2023

แฮ็กเกอร์กำลังใช้ช่องโหว่ Zero-day ในซอฟต์แวร์ถ่ายโอนไฟล์ MOVEit Transfer เพื่อขโมยข้อมูลจากองค์กร โดย MOVEit Transfer เป็นโซลูชันการถ่ายโอนไฟล์ที่มีการจัดการ (MFT) ที่พัฒนาโดย Ipswitch ซึ่งเป็นบริษัทในเครือของ Progress Software Corporation ในสหรัฐอเมริกา ซึ่งช่วยให้องค์กรสามารถถ่ายโอนไฟล์ระหว่างคู่ค้าทางธุรกิจและลูกค้าได้อย่างปลอดภัยโดยใช้การอัปโหลดแบบ SFTP, SCP และ HTTP เมื่อวานนี้บริษัท Progress Software Corporation ได้ออกคำแนะนำด้านความปลอดภัยเพื่อเตือนลูกค้าเกี่ยวกับช่องโหว่ที่อยู่ในระดับ Critical ใน MOVEit MFT โดยเสนอการบรรเทาปัญหาจนกว่าจะมีการติดตั้งแพตช์ เพื่อป้องกันการแสวงหาผลประโยชน์ดังกล่าว นักพัฒนาเตือนผู้ดูแลระบบให้บล็อกการรับส่งข้อมูลภายนอกไปยังพอร์ต 80 และ 443 บนเซิร์ฟเวอร์ MOVEit Transfer ซึ่งการบล็อกพอร์ตเหล่านี้จะป้องกันการเข้าถึงเว็บ UI จากภายนอก, ป้องกันการทำงานของ MOVEit Automation บางอย่างไม่ให้ทำงาน, บล็อก API และป้องกันไม่ให้ปลั๊กอิน Outlook MOVEit Transfer ทำงาน อย่างไรก็ตามโปรโตคอล SFTP และ FTPS ยังคงสามารถใช้ในการถ่ายโอนไฟล์ต่อไปได้

KeePass v2.54 fixes bug that leaked cleartext master password

Growpro Admin 6 June 2023

KeePass ออกแพตช์เวอร์ชัน 2.54 เพื่อแก้ไขช่องโหว่ CVE-2023-32784 ที่อนุญาตให้แยกรหัสผ่านหลัก cleartext จากหน่วยความจำของแอปพลิเคชัน เมื่อสร้างฐานข้อมูลตัวจัดการรหัสผ่าน KeePass ใหม่ ผู้ใช้จะต้องสร้างรหัสผ่านหลัก ซึ่งใช้ในการเข้ารหัสฐานข้อมูล เมื่อเปิดฐานข้อมูลในอนาคต โดยผู้ใช้จะต้องป้อนรหัสหลักนี้เพื่อถอดรหัสและเข้าถึงข้อมูลประจำตัวที่เก็บไว้ภายใน ในเดือนพฤษภาคม 2023 นักวิจัยด้านความปลอดภัย vdohney ได้เปิดเผยช่องโหว่และการใช้ประโยชน์จาก POC ที่อนุญาตให้ดึงรหัสผ่านหลัก KeepPass ที่เป็นข้อความที่ชัดเจนบางส่วนออกจากการถ่ายโอนข้อมูลหน่วยความจำของแอปพลิเคชัน

Google fixes new Chrome zero-day flaw with exploit in the wild

Growpro Admin 7 June 2023

Google ออกแพตช์อัปเดตความปลอดภัยสำหรับเว็บเบราว์เซอร์ Chrome เพื่อแก้ไขช่องโหว่ Zero-day ที่สามที่แฮ็กเกอร์ใช้ในปีนี้ บริษัทไม่ได้เปิดเผยรายละเอียดเกี่ยวกับวิธีการแสวงหาประโยชน์และวิธีการใช้ในการโจมตี การระงับข้อมูลทางเทคนิคถือว่าเป็นเรื่องปกติของ Google เมื่อพบปัญหาด้านความปลอดภัยใหม่ นี่คือการปกป้องผู้ใช้จนกว่าผู้ใช้ส่วนใหญ่จะย้ายไปยังเวอร์ชันที่ปลอดภัย เนื่องจากผู้ไม่หวังดีอาจใช้รายละเอียดเพื่อพัฒนาการหาประโยชน์เพิ่มเติม ช่องโหว่ Zero-day ที่ได้รับการแก้ไขคือ CVE-2023-3079 ได้รับการประเมินว่าเป็นปัญหาที่มีความรุนแรงสูง และถูกค้นพบโดยนักวิจัยของ Google Clément Lecigne เมื่อวันที่ 1 มิถุนายน 2023 และเป็นประเภท confusion ใน V8 ซึ่งเป็นเอ็นจิ้น JavaScript ของ Chrome ที่ใช้รันโค้ดภายในเบราว์เซอร์

Cisco fixes AnyConnect bug giving Windows SYSTEM privileges

Growpro Admin 8 June 2023

Cisco ได้แก้ไขช่องโหว่ที่มีความรุนแรงสูงซึ่งพบในซอฟต์แวร์ Cisco Secure Client ซึ่งเดิมทีคือ AnyConnect Secure Mobility Client ที่สามารถให้ผู้โจมตีเพิ่มสิทธิ์ไปยังบัญชี SYSTEM ที่ระบบปฏิบัติการใช้ Cisco Secure Client ช่วยให้พนักงานทำงานได้จากทุกที่ผ่าน Virtual Private Network (VPN) ที่ปลอดภัย และมอบคุณสมบัติการจัดการ endpoint และการส่งข้อมูลทางไกลแก่ผู้ดูแลระบบ ช่องโหว่นี้ถูกติดตามเป็น CVE-2023-20178 ซึ่งจะช่วยให้ผู้โจมตีเฉพาะที่มีสิทธิ์ระดับต่ำสามารถใช้ประโยชน์จากในการโจมตีที่มีความซับซ้อนต่ำซึ่งไม่ต้องการการโต้ตอบจากผู้ใช้

Experts Unveil Exploit for Recent Windows Vulnerability Under Active Exploitation

Growpro Admin 9 June 2023

ผู้เชี่ยวชาญได้ออกมาเตือนถึงการใช้ประโยชน์จากช่องโหว่ Windows ล่าสุด ซึ่งผู้โจมตีอาจใช้ในทางที่ผิดเพื่อรับสิทธิ์ขั้นสูงในระบบที่ได้รับผลกระทบ ช่องโหว่นี้ถูกติดตามเป็น CVE-2023-29336 และมีคะแนน CVSS 7.8 โดยช่องโหว่นี้เกี่ยวข้องกับข้อบกพร่องด้านสิทธิ์ที่เพิ่มขึ้นในส่วนประกอบ Win32k ผู้โจมตีที่ใช้ประโยชน์จากช่องโหว่นี้ได้สำเร็จอาจได้รับสิทธิ์ SYSTEM

Fortinet fixes critical RCE flaw in Fortigate SSL-VPN devices, patch now

Growpro Admin 12 June 2023

Fortinet ได้เปิดตัวการอัปเดตเฟิร์มแวร์ Fortigate ใหม่ที่แก้ไขช่องโหว่ในการเรียกใช้โค้ดจากระยะไกลที่ยังไม่ได้เปิดเผยในอุปกรณ์ SSL VPN โดยแพตช์อัปเดตได้รับการเผยแพร่เมื่อวันศุกร์ที่ผ่านมาในเฟิร์มแวร์ FortiOS เวอร์ชัน 6.0.17, 6.2.15, 6.4.13, 7.0.12 และ 7.2.5 แม้ว่าจะไม่ได้กล่าวถึงช่องโหว่แต่ผู้เชี่ยวชาญด้านความปลอดภัยและผู้ดูแลระบบได้บอกเป็นนัยว่าการอัปเดตได้แก้ไขช่องโหว่ SSL-VPN RCE ที่สำคัญจะเปิดเผยในวันอังคารที่ 13 มิถุนายน 2023

Fortinet: New FortiOS RCE bug may have been exploited in attacks

Growpro Admin 13 June 2023

Fortinet กล่าวว่าช่องโหว่ของ FortiOS SSL VPN ที่ได้รับการแพตช์เมื่อสัปดาห์ที่แล้วอาจถูกใช้ในการโจมตีที่ส่งผลกระทบต่อรัฐบาล การผลิต และองค์กรโครงสร้างพื้นฐานที่สำคัญ ช่องโหว่นี้ถูกติดตามเป็น CVE-2023-27997 / FG-IR-23-097 ซึ่งเป็นจุดอ่อนของ heap-based buffer overflow ใน FortiOS และ FortiProxy SSL-VPN ที่สามารถปล่อยให้ผู้โจมตีที่ไม่ผ่านการรับรองความถูกต้องสามารถเรียกใช้โค้ดจากระยะไกล (RCE) ผ่านคำขอที่ออกแบบมาเพื่อประสงค์ร้าย โช่องโหว่ CVE-2023-27997 ถูกค้นพบระหว่างการตรวจสอบรหัสของโมดูล SSL-VPN หลังจากการโจมตีครั้งล่าสุดกับองค์กรของรัฐที่ใช้ประโยชน์จาก CVE-2022-42475 FortiOS SSL-VPN แบบ zero-day

Microsoft June 2023 Patch Tuesday fixes 78 flaws, 38 RCE bugs

Growpro Admin 14 June 2023

Microsoft ได้ออก Patch Tuesday ประจำเดือนมิถุนายน 2023 เพื่ออัปเดตความปลอดภัยสำหรับข้อบกพร่อง 78 รายการ ดังนี้ - ช่องโหว่การยกระดับของสิทธิพิเศษ 17 รายการ - ช่องโหว่ Bypass 3 รายการ - ช่องโหว่ Remote Code Execution 32 รายการ - ช่องโหว่การเปิดเผยข้อมูล 5 รายการ - ช่องโหว่ Denial of Service 10 รายการ - ช่องโหว่ Spoofing 10 รายการ - ช่องโหว่ใน Edge - Chromium 1รายการ

New ‘Shampoo’ Chromeloader malware pushed via fake warez sites

Growpro Admin 15 June 2023

แคมเปญมัลแวร์ ChromeLoader ใหม่กำลังดำเนินการ ทำให้ผู้เข้าชม warez และเว็บไซต์ภาพยนตร์ที่ละเมิดลิขสิทธิ์ติดไวรัสด้วยโปรแกรมค้นหารูปแบบใหม่และ Adware Browser Extension ที่ชื่อ Shampoo การค้นพบแคมเปญใหม่นี้มาจากทีมวิจัยภัยคุกคามของ HP (Wolf Security) ซึ่งรายงานว่าแคมเปญนี้ได้เริ่มดำเนินการมาตั้งแต่เดือนมีนาคม 2566 มัลแวร์ ChromeLoader จำทำหน้าที่การ hijacker เบราว์เซอร์เพื่อบังคับติดตั้ง Browser Extension ที่เปลี่ยนเส้นทางการค้นหาเพื่อโปรโมตซอฟต์แวร์ที่ไม่พึงประสงค์ เช่น ซอฟแวร์ปลอม แบบสำรวจ เกมสำหรับผู้ใหญ่ ไซต์หาคู่ และผลลัพธ์ที่ไม่เกี่ยวข้องอื่นๆ

Pirated Windows 10 ISOs install clipper malware via EFI partitions

Growpro Admin 16 June 2023

แฮ็กเกอร์กำลังแพร่กระจายไฟล์ Windows 10 โดยใช้ torrents ที่แอบซ่อนการ hijackers cryptocurrency ใน EFI partition (Extensible Firmware Interface) เพื่อหลบเลี่ยงการตรวจจับ EFI partition คือ partition ระบบขนาดเล็กที่มี bootloader และไฟล์ที่เกี่ยวข้องซึ่งเรียกทำงานก่อนที่จะเริ่มระบบปฏิบัติการ เป็นสิ่งจำเป็นสำหรับระบบ UEFI-powered systems ซึ่งจะมาแทนที่ BIOS ที่เลิกใช้แล้วในปัจจุบัน การโจมตีโดยใช้ EFI partition ที่ถูกดัดแปลงเพื่อเปิดใช้งานมัลแวร์จากภายนอกของระบบปฏิบัติการและเครื่องมือป้องกัน เช่นในกรณีของ BlackLotus ที่ใช้ไฟล์ ISO ของ Windows 10 แบบละเมิดลิขสิทธิ์ ถูกค้นพบโดยนักวิจัยที่ Dr. Web ใช้ EFI เป็นพื้นที่จัดเก็บที่ปลอดภัยสำหรับมัลแวร์ clipper เท่านั้น เนื่องจากเครื่องมือป้องกันไวรัสมักไม่สแกน EFI partition มัลแวร์จึงอาจข้หลบเลี่ยงการตรวจจับได้

New Mystic Stealer malware increasingly used in attacks

Growpro Admin 19 June 2023

มัลแวร์ขโมยข้อมูลตัวใหม่ชื่อ Mystic Stealer ได้รับการโปรโมตในฟอรัมแฮ็กและในดาร์กเว็บเน็ตตั้งแต่เดือนเมษายน 2566 ซึ่งได้รับความสนใจอย่างรวดเร็วในกลุ่มของอาชญากรรมไซเบอร์ มัลแวร์ตัวนี้มีให้เช่าในราคา $150 ต่อเดือน โดยกำหนดเป้าหมายเว็บเบราว์เซอร์ 40 รายการ, browser extensions 70 รายการ, แอปพลิเคชันสกุลเงินดิจิทัล 21 รายการ, แอปพลิเคชันจัดการ MFA และรหัสผ่าน 9 รายการ, cryptocurrency browser extensions 55 รายการ รวมไปถึงข้อมูลรับรอง Steam และ Telegram และอีกมากมาย รายงานสองฉบับเกี่ยวกับมัลแวร์ Mystic Stealer ซึ่งถูกเผยแพร่เกือบพร้อมกันโดย Zscaler และ Cyfirma โดยเตือนเกี่ยวกับการเกิดขึ้นของมัลแวร์ใหม่และความซับซ้อนของมัน

ASUS urges customers to patch critical router vulnerabilities

Growpro Admin 20 June 2023

ASUS ได้เปิดตัวเฟิร์มแวร์ตัวใหม่พร้อมกับการอัปเดตความปลอดภัยเพื่อแก้ไขช่องโหว่ในเราเตอร์หลายรุ่น และเตือนลูกค้าให้อัปเดตอุปกรณ์ทันทีหรือจำกัดการเข้าถึง WAN จนกว่าจะได้รับการอัปเดตด้านความปลอดภัย เฟิร์มแวร์ที่ออกใหม่มีการแก้ไขช่องโหว่ด้านความปลอดภัย 9 รายการ รวมถึงช่องโหว่ระดับ High และ Critical ช่องโหว่ระดับ High ถูกติดตามเป็น CVE-2022-26376 และ CVE-2018-1160 เป็นช่องโหว่ของหน่วยความจำที่สำคัญในเฟิร์มแวร์ Asuswrt สำหรับเราเตอร์ Asus ซึ่งอาจทำให้ผู้โจมตีแบบ Dos หรือสามารถเรียกใช้โค้ดได้ตามอำเภอใจ

New RDStealer malware steals from drives shared over Remote Desktop

Growpro Admin 21 June 2023

พบแคมเปญขโมยข้อมูลใหม่ที่ชื่อ RedClouds ซึ่งใช้มัลแวร์ RDStealer ที่เพื่อขโมยข้อมูลจากไดรฟ์ที่แชร์ผ่านการเชื่อมต่อ Remote Desktop โดยอัตโนมัติ ผู้โจมตีจะพยายามติดตั้งไวรัสผ่านเซิร์ฟเวอร์ RDP ด้วยมัลแวร์ RDStealer แบบกำหนดเองที่ใช้ประโยชน์จากการเปลี่ยนเส้นทางของอุปกรณ์ การโจมตีของ RDStealer นั้นประกอบไปด้วย 5 ส่วน คือ คีย์ล็อกเกอร์ซึ่งเครื่องมือสร้างการคงอยู่ การโจรกรรมข้อมูลและการกรองข้อมูล, เครื่องมือบันทึกเนื้อหาคลิปบอร์ด, การควบคุมฟังก์ชันการเข้ารหัส/ถอดรหัส, การบันทึก และยูทิลิตีการจัดการไฟล์

New Condi malware builds DDoS botnet out of TP-Link AX21 routers

Growpro Admin 22 June 2023

บอตเน็ต DDoS-as-a-Service ตัวใหม่ที่เรียกว่า Condi ปรากฏขึ้นในเดือนพฤษภาคม 2566 โดยใช้ช่องโหว่ในเราเตอร์ Wi-Fi TP-Link Archer AX21 (AX1800) เพื่อสร้างบอตในการโจมตี โดย AX1800 เป็นเราเตอร์ Wi-Fi 6 แบบ dual-band (2.4GHz + 5GHz) ซึ่งเป็นรุ่นยอดนิยมสำหรับ Linux ซึ่งมีขนาด bandwidth 1.8 Gbps ซึ่งใช้งานโดยผู้ใช้ตามบ้าน, สำนักงานขนาดเล็ก, ร้านค้า และร้านกาแฟ เป็นต้น บอตเน็ต Condi กำหนมเป้าหมายไปที่อุปกรณ์ใหม่ๆ เพื่อสร้างบอตเน็ต DDoS ที่มีประสิทธิภาพสูง ซึ่งมีบริการให้เช่าเพื่อโจมตีเว็บไซต์และบริการต่างๆได้ ยิ่งไปกว่านั้น ผู้โจมตีที่อยู่เบื้องหลังบอตเน็ต Condi ยังขายซอร์สโค้ดของมัลแวร์ ซึ่งเป็นวิธีการสร้างรายได้ที่ดีอีกวิธีหนึ่ง ซึ่งส่งผลให้มีการเพิ่มจำนวนของมัลแวร์มากขึ้นไปด้วยจากนำซอร์สโค้ดไปดัดแปลง

VMware fixes vCenter Server bugs allowing code execution, auth bypass

Growpro Admin 23 June 2023

วันนี้ VMware ได้ออกการอัปเดตด้านความปลอดภัยสำหรับช่องโหว่ที่มีความรุนแรงสูง 4 รายการ ได้แก่ CVE-2023-20892, CVE-2023-20893, CVE-2023-20895 และ CVE-2023-20894 ช่องโหว่สองรายการแรกคือ CVE-2023-20892, CVE-2023-20893 สามารถถูกโจมตีโดยผู้โจมตีที่ไม่ผ่านการรับรองความถูกต้องด้วยการเข้าถึงเครือข่ายเพื่อรับการดำเนินการโค้ดในการโจมตีที่มีความซับซ้อนสูงซึ่งไม่ต้องการการโต้ตอบของผู้ใช้ และอาจส่งผลให้สูญเสียการรักษาความลับทั้งหมด ความสมบูรณ์และความพร้อมใช้งาน

Grafana warns of critical auth bypass due to Azure AD integration

Growpro Admin 26 June 2023

Grafana ได้ออกการแพตช์ด้านความปลอดภัยสำหรับแอปพลิเคชันหลายเวอร์ชัน โดยแก้ไขช่องโหว่ที่ทำให้ผู้โจมตีสามารถข้ามการตรวจสอบสิทธิ์และเข้ายึดบัญชี Grafana ที่ใช้ Azure Active Directory สำหรับการตรวจสอบสิทธิ์ Grafana เป็นแอปการวิเคราะห์แบบโอเพ่นซอร์สและ interactive visualization ที่ใช้กันอย่างแพร่หลายซึ่งมีตัวเลือกการรวมที่กว้างขวางพร้อมแพลตฟอร์มและแอปพลิเคชันการตรวจสอบที่หลากหลาย ช่องโหว่ที่ค้นพบได้รับการติดตามเป็น CVE-2023-3128 และได้รับคะแนน CVSS v3.1 ที่ 9.4 ซึ่งจัดอยู่ในความรุนแรงระดับ Critical ช่องโหว่นี้เกิดจากการที่ Grafana ตรวจสอบบัญชี Azure AD ตามที่อยู่อีเมลที่กำหนดค่าในการตั้งค่า profile email ที่เกี่ยวข้อง อย่างไรก็ตามการตั้งค่านี้จะไม่ซ้ำกันใน Azure AD ทั้งหมด ทำให้ผู้โจมตีสามารถสร้างบัญชี Azure AD ด้วยที่อยู่อีเมลเดียวกันกับผู้ใช้ Grafana ที่ถูกต้องและใช้เพื่อยึดบัญชี

New PindOS JavaScript dropper deploys Bumblebee, IcedID malware

Growpro Admin 27 June 2023

นักวิจัยด้านความปลอดภัยค้นพบเครื่องมืออันตรายตัวใหม่ที่พวกเขาตั้งชื่อว่า PindOS ซึ่งส่งมัลแวร์ Bumblebee และ IcedID ที่มักเกี่ยวข้องกับการโจมตีแรนซัมแวร์ โดย PindOS เป็น Dropper มัลแวร์ JavaScript แบบธรรมดาที่ดูเหมือนจะสร้างขึ้นโดยเฉพาะเพื่อดึงเพย์โหลดขั้นต่อไปที่ส่งเพย์โหลดสุดท้ายของผู้โจมตี ในรายงานจาก DeepInstinct ซึ่งเป็นบริษัทด้านความปลอดภัยทางไซเบอร์ นักวิจัยระบุว่า Dropper มัลแวร์ PindOS ตัวใหม่นี้มีฟังก์ชันเดียวที่มาพร้อมกับพารามิเตอร์ 4 ตัวสำหรับการดาวน์โหลดเพย์โหลด ไม่ว่าจะเป็น Bumblebee, banking trojan, IcedID โดย Dropper ของ JavaScript นั้นมีรูปแบบที่คลุมเครือ แต่เมื่อถอดรหัสแล้วจะเผยให้เห็นว่าไม่ได้มีความซับซ้อนแต่อย่างใด

Fortinet fixes critical FortiNAC remote command execution flaw

Growpro Admin 28 June 2023

Fortinet ได้ออกแพตซ์อัปเดตด้านความปลอดภัยเพื่อแก้ไขช่องโหว่ในโซลูชัน Zero-Trust Access ของตนเองที่ชื่อว่า FortiNAC ที่จัดอยู่ในระดับ Critical ซึ่งช่วยให้ผู้โจมตีสามารถใช้เพื่อสั่งรันโค้ด และคำสั่งที่เป็นอันตรายได้ FortiNAC ช่วยให้องค์กรสามารถจัดการกับนโยบายการเข้าถึงเครือข่ายได้อย่างมีประสิทธิภาพ รวมถึงการควบคุมอุปกรณ์ และผู้ใช้งานภายในเครือข่าย และรักษาความปลอดภัยของเครือข่ายจากการเข้าถึงที่ไม่ได้รับอนุญาต

Linux version of Akira ransomware targets VMware ESXi servers

Growpro Admin 29 June 2023

Akira ransomware ใช้ตัวเข้ารหัส Linux เพื่อเข้ารหัสเครื่อง VMware ESXi ในการโจมตีสองครั้งต่อบริษัททั่วโลก Akira เปิดตัวครั้งแรกในเดือนมีนาคม 2023 โดยกำหนดเป้าหมายไปที่ระบบ Windows ในอุตสาหกรรมต่างๆ รวมถึงการศึกษา การเงิน อสังหาริมทรัพย์ การผลิต และการให้คำปรึกษา นับตั้งแต่เปิดตัว Akira ransomware ได้อ้างว่ามีเหยื่อมากกว่า 30 รายในสหรัฐอเมริกาเพียงแห่งเดียว โดยมีการโจมตีที่แตกต่างกันสองรายการที่เพิ่มขึ้นอย่างมากในการส่ง ID Ransomware ในช่วงสิ้นเดือนพฤษภาคมและปัจจุบัน

Newly Uncovered ThirdEye Windows-Based Malware Steals Sensitive Data

Growpro Admin 30 June 2023

มัลแวร์ Windows-Based ThirdEye ที่เพิ่งค้นพบใหม่ขโมยข้อมูลที่ละเอียดอ่อนจากโฮสต์ที่ติดไวรัส Fortinet FortiGuard Labs ซึ่งทำการค้นพบนี้กล่าวว่าพบมัลแวร์ในไฟล์ปฏิบัติการที่ปลอมแปลงเป็นไฟล์ PDF ที่มีชื่อภาษารัสเซียว่า CMK Правила оформления больничных листов.pdf.exe ซึ่งแปลว่า กฎ CMK ในการออกใบลาป่วย pdf.exe ขณะนี้ยังไม่ทราบการมาถึงของมัลแวร์ แม้ว่าการล่อลวงจะชี้ไปที่มีการใช้ในแคมเปญฟิชชิ่ง แต่ตัวอย่าง ThirdEye แรกถูกอัปโหลดไปยัง VirusTotal เมื่อวันที่ 4 เมษายน 2023 โดยมีฟีเจอร์ค่อนข้างน้อย

BlackCat ransomware pushes Cobalt Strike via WinSCP search ads

Growpro Admin 3 July 2023

การโจมตี BlackCat ที่ Trend Micro สังเกตได้นั้นเริ่มต้นจากการที่เหยื่อค้นหา WinSCP Download บน Bing หรือ Google และได้รับการส่งเสริมผลลัพธ์ที่เป็นอันตรายซึ่งอยู่ในอันดับที่สูงกว่าไซต์ดาวน์โหลด WinSCP ที่ปลอดภัย เหยื่อคลิกที่โฆษณาเหล่านั้นและเยี่ยมชมเว็บไซต์ที่มีบทช่วยสอนเกี่ยวกับการถ่ายโอนไฟล์อัตโนมัติโดยใช้ WinSCP

Snappy: A tool to detect rogue WiFi access points on open networks

Growpro Admin 4 July 2023

นักวิจัยด้านความปลอดภัยทางไซเบอร์ได้เปิดตัวเครื่องมือใหม่ที่เรียกว่า Snappy ที่สามารถช่วยตรวจจับจุดเชื่อมต่อ WiFi ปลอมหรือหลอกลวงที่พยายามขโมยข้อมูลจากผู้ที่ไม่สงสัย ผู้โจมตีสามารถสร้างแอคเซสพอยต์ปลอมในซูเปอร์มาร์เก็ต ร้านกาแฟ และห้างสรรพสินค้าโดยปลอมเป็นแอคเซสพอยต์จริงที่ตั้งไว้แล้วในสถานที่นั้น การดำเนินการนี้ทำขึ้นเพื่อหลอกให้ผู้ใช้เชื่อมต่อกับจุดเชื่อมต่อปลอมและส่งต่อข้อมูลที่ละเอียดอ่อนผ่านอุปกรณ์ของผู้โจมตี ขณะที่ผู้คุกคามควบคุมเราเตอร์ พวกเขาสามารถจับภาพและวิเคราะห์ข้อมูลที่ถ่ายโอนโดยทำการโจมตีแบบคนกลาง

300,000+ Fortinet firewalls vulnerable to critical FortiOS RCE bug

Growpro Admin 5 July 2023

ไฟร์วอลล์ FortiGate หลายแสนตัวมีความเสี่ยงต่อปัญหาความปลอดภัยขั้นวิกฤตที่ระบุว่าเป็น CVE-2023-27997 เกือบหนึ่งเดือนหลังจากที่ Fortinet ปล่อยอัปเดตที่แก้ไขปัญหาดังกล่าว ช่องโหว่ดังกล่าวเป็นการเรียกใช้โค้ดจากระยะไกลโดยมีคะแนนความรุนแรง 9.8 เต็ม 10 ซึ่งเป็นผลมาจากปัญหาบัฟเฟอร์ล้นแบบฮีปใน FortiOS ซึ่งเป็นระบบปฏิบัติการที่เชื่อมต่อส่วนประกอบเครือข่ายทั้งหมดของ Fortinet เพื่อรวมเข้ากับแพลตฟอร์ม Security Fabric ของผู้จำหน่าย

Hackers target European government entities in SmugX campaign

Growpro Admin 6 July 2023

แคมเปญฟิชชิ่งที่นักวิจัยด้านความปลอดภัยตั้งชื่อว่า SmugX และระบุว่าเป็นผู้คุกคามชาวจีน กำหนดเป้าหมายสถานทูตและกระทรวงการต่างประเทศในสหราชอาณาจักร ฝรั่งเศส สวีเดน ยูเครน เช็ก ฮังการี และสโลวาเกีย ตั้งแต่เดือนธันวาคม 2565 นักวิจัยจาก Check Point บริษัทรักษาความปลอดภัยทางไซเบอร์วิเคราะห์การโจมตีและสังเกตการทับซ้อนกับกิจกรรมก่อนหน้านี้ซึ่งเกิดจากกลุ่มภัยคุกคามขั้นสูงแบบถาวร (APT) ที่ติดตามในชื่อ Mustang Panda และ RedDelta เมื่อพิจารณาจากเอกสารล่อ นักวิจัยสังเกตเห็นว่าโดยทั่วไปแล้วเอกสารเหล่านั้นมีเนื้อหาเกี่ยวกับนโยบายภายในประเทศและต่างประเทศของยุโรป

Microsoft denies data breach, theft of 30 million customer accounts

Growpro Admin 7 July 2023

Microsoft ได้ปฏิเสธคำกล่าวอ้างของแฮกเกอร์ที่เรียกว่า “Anonymous Sudan” ว่าพวกเขาละเมิดเซิร์ฟเวอร์ของบริษัทและขโมยข้อมูลรับรองสำหรับบัญชีลูกค้า 30 ล้านบัญชี ซูดานนิรนามเป็นที่รู้จักจากการโจมตีแบบกระจายการปฏิเสธการให้บริการ (DDoS) ต่อหน่วยงานตะวันตกในช่วงไม่กี่เดือนที่ผ่านมา กลุ่มได้ยืนยัน การเป็นพันธมิตรกับนักแฮ็กเกอร์ชาวรัสเซียอย่าง Killnet

Charming Kitten hackers use new ‘NokNok’ malware for macOS

Growpro Admin 10 July 2023

นักวิจัยด้านความปลอดภัยสังเกตเห็นแคมเปญใหม่ที่พวกเขาระบุถึงกลุ่ม Charming Kitten APT ซึ่งแฮ็กเกอร์ใช้มัลแวร์ NokNok ตัวใหม่ที่กำหนดเป้าหมายระบบ macOS แคมเปญเริ่มต้นในเดือนพฤษภาคมและอาศัยห่วงโซ่การติดไวรัสที่แตกต่างจากที่สังเกตก่อนหน้านี้ โดยไฟล์ LNK ปรับใช้ payloads แทนเอกสาร Word ที่เป็นอันตรายทั่วไปที่พบในการโจมตีที่ผ่านมาจากกลุ่ม

New Big Head ransomware displays fake Windows update alert

Growpro Admin 11 July 2023

นักวิจัยด้านความปลอดภัยได้วิเคราะห์แรนซั่มแวร์สายพันธุ์ใหม่ชื่อ บิ๊กเฮด ซึ่งอาจแพร่กระจายผ่านมัลแวร์โฆษณาที่ส่งเสริมการอัปเดต Windows ปลอมและโปรแกรมติดตั้ง Microsoft Word มัลแวร์สองตัวอย่างได้รับการวิเคราะห์ก่อนหน้านี้โดยบริษัทด้านความปลอดภัยทางไซเบอร์Fortinetซึ่งดูที่เวกเตอร์การติดไวรัสและวิธีการทำงานของมัลแวร์

Critical TootRoot bug lets attackers hijack Mastodon servers

Growpro Admin 12 July 2023

Mastodon ซึ่งเป็นแพลตฟอร์มโซเชียลเน็ตเวิร์กแบบกระจายอำนาจแบบโอเพ่นซอร์สและฟรี ได้แก้ไขช่องโหว่ 4 รายการ หนึ่งในช่องโหว่สำคัญที่ช่วยให้แฮ็กเกอร์สร้างไฟล์ตามอำเภอใจบนเซิร์ฟเวอร์โดยใช้ไฟล์มีเดียที่สร้างขึ้นมาเป็นพิเศษ Mastodon มี ผู้ใช้ประมาณ 8.8 ล้านคนกระจายอยู่ในเซิร์ฟเวอร์ (อินสแตนซ์) 13,000 เครื่องที่โฮสต์โดยอาสาสมัครเพื่อสนับสนุนชุมชนที่แตกต่างกันแต่เชื่อมต่อถึงกัน (รวมศูนย์) ปัญหาทั้ง สี่ที่ได้รับการแก้ไข ถูกค้นพบโดยผู้ตรวจสอบอิสระที่ Cure53 ซึ่งเป็นบริษัทที่ให้บริการทดสอบการเจาะระบบสำหรับบริการออนไลน์ ผู้ตรวจสอบตรวจสอบรหัสของ Mastodon ตามคำขอของ Mozilla

MOVEit Transfer customers warned to patch new critical flaw

Growpro Admin 13 July 2023

MOVEit Transfer ซอฟต์แวร์ที่เป็นศูนย์กลางของการละเมิด Clop ransomware ครั้งใหญ่ล่าสุด ได้รับการอัปเดตที่แก้ไขข้อผิดพลาดการฉีด SQL ที่มีความรุนแรงระดับวิกฤตและช่องโหว่อื่น ๆ อีกสองช่องโหว่ที่รุนแรงน้อยกว่า ช่องโหว่ SQL Injection ช่วยให้ผู้โจมตีสร้างการสืบค้นพิเศษเพื่อเข้าถึงฐานข้อมูลหรือยุ่งเกี่ยวกับฐานข้อมูลโดยการรันโค้ด เพื่อให้การโจมตีเหล่านี้เป็นไปได้ แอปพลิเคชันเป้าหมายต้องประสบกับการขาดการล้างข้อมูลอินพุต/เอาต์พุตที่เหมาะสม Progress ซึ่งเป็นผู้พัฒนา MOVEit Transfer ค้นพบปัญหาการฉีด SQL หลายอย่างในผลิตภัณฑ์ของตน ซึ่งรวมถึงปัญหาที่สำคัญที่ติดตามเป็น CVE-2023-36934 ซึ่งสามารถถูกโจมตีได้โดยไม่ต้องตรวจสอบผู้ใช้

Apple releases emergency update to fix zero-day exploited in attacks

Growpro Admin 14 July 2023

Apple ออกอัปเดต Rapid Security Response (RSR) รอบใหม่เพื่อจัดการกับบั๊ก Zero-day ตัวใหม่ที่ถูกโจมตีและส่งผลกระทบต่อ iPhone, Mac และ iPad ที่แพตช์เต็ม Apple ทราบรายงานที่ระบุว่าปัญหานี้อาจถูกนำไปใช้อย่างจริงจัง บริษัทกล่าวใน คำแนะนำของ iOSและmacOSเมื่ออธิบายถึงช่องโหว่ CVE-2023-37450 ที่รายงานโดยนักวิจัยด้านความปลอดภัยที่ไม่ระบุตัวตน การตอบสนองด้านความปลอดภัยอย่างรวดเร็วนี้มีการแก้ไขด้านความปลอดภัยที่สำคัญและแนะนำสำหรับผู้ใช้ทุกคน Apple เตือนเกี่ยวกับระบบที่มีการส่งมอบแพตช์ RSR

VMware warns of exploit available for critical vRealize RCE bug

Growpro Admin 17 July 2023

วันนี้ VMware เตือนลูกค้าว่าโค้ดช่องโหว่พร้อมใช้งานแล้วสำหรับช่องโหว่ร้ายแรงในเครื่องมือวิเคราะห์ VMware Aria Operations for Logs ซึ่งช่วยให้ผู้ดูแลระบบจัดการบันทึกแอปและโครงสร้างพื้นฐานมูลค่าเทราไบต์ในสภาพแวดล้อมขนาดใหญ่ ข้อบกพร่อง ( CVE-2023-20864 ) คือจุดอ่อนของการดีซีเรียลไลเซชัน ที่แพตช์ในเดือนเมษายนและทำให้ผู้โจมตีที่ไม่ผ่านการรับรองความถูกต้องสามารถเรียกใช้งานระยะไกลบนอุปกรณ์ที่ไม่ได้แพตช์ได้ การแสวงหาประโยชน์ที่ประสบความสำเร็จช่วยให้ผู้คุกคามสามารถเรียกใช้รหัสตามอำเภอใจในฐานะรูทหลังจากการโจมตีที่มีความซับซ้อนต่ำซึ่งไม่ต้องการการโต้ตอบจากผู้ใช้

HCA confirms breach after hacker steals data of 11 million patients

Growpro Admin 18 July 2023

HCA Healthcare เปิดเผยการละเมิดข้อมูลที่ส่งผลกระทบต่อผู้ป่วยประมาณ 11 ล้านคนที่เข้ารับการรักษาในโรงพยาบาลและคลินิกแห่งหนึ่ง หลังจากที่ผู้คุกคามปล่อยตัวอย่างข้อมูลที่ถูกขโมยไปบนฟอรัมแฮ็ก HCA Healthcare เป็นหนึ่งในเจ้าของและผู้ดำเนินการสถานพยาบาลที่ใหญ่ที่สุดในอเมริกา โดยมีโรงพยาบาล 182 แห่งและศูนย์ดูแล 2,200 แห่งใน 21 รัฐของสหรัฐอเมริกาและสหราชอาณาจักร ตามรายงานครั้งแรกโดย DataBreaches.netเมื่อวันที่ 5 กรกฎาคม 2023 ผู้คุกคามเริ่มขายข้อมูลที่ถูกกล่าวหาว่าเป็นของ HCA Healthcare บนฟอรัมที่ใช้ขายและรั่วไหลข้อมูลที่ถูกขโมย โพสต์ในฟอรัมนี้มีตัวอย่างฐานข้อมูลที่ถูกขโมย ซึ่งพวกเขาอ้างว่าประกอบด้วยไฟล์ 17 ไฟล์และบันทึกฐานข้อมูล 27.7 ล้านรายการ

Apple confirms WebKit security updates break browsing on some sites

Growpro Admin 19 July 2023

Apple ยืนยันในวันนี้ว่าการอัปเดตความปลอดภัยฉุกเฉินที่เผยแพร่ในวันจันทร์ เพื่อแก้ไขจุดบกพร่องแบบ Zero-day ที่ถูกโจมตีและทำลายการเรียกดูในบางเว็บไซต์ รายการใหม่จะออกในเร็ว ๆ นี้เพื่อแก้ไขปัญหาที่ทราบนี้ บริษัท กล่าว แม้ว่า Apple จะไม่ได้อธิบายว่าเหตุใดเว็บไซต์ที่ได้รับผลกระทบจึงไม่สามารถแสดงผลได้อย่างถูกต้อง แต่มีรายงานว่าเกิดขึ้นหลังจากการตรวจจับตัวแทนผู้ใช้ของบางบริการ (เช่น Zoom, Facebook และ Instagram) ขัดข้อง และทำให้เว็บไซต์เริ่มแสดงข้อผิดพลาดใน Safari เมื่อแพต ช์ แล้ว อุปกรณ์ ตัวอย่างเช่น หลังจากใช้การอัปเดต RSR บนอุปกรณ์ iOS แล้ว User Agent ใหม่ที่มีสตริง (a) คือ Mozilla/5.0 (iPhone CPU iPhone OS 16_5_1 เช่น Mac OS X) AppleWebKit/605.1.15 (KHTML เช่น Gecko) เวอร์ชัน/16.5.2 (ก) มือถือ/15E148 Safari/604.1 ซึ่งป้องกันไม่ให้เว็บไซต์ตรวจพบว่าเป็น Safari เวอร์ชันที่ถูกต้อง ดังนั้นการแสดงข้อความแสดงข้อผิดพลาดที่ไม่รองรับเบราว์เซอร์

Hackers exploit Windows policy to load malicious kernel drivers

Growpro Admin 20 July 2023

Microsoft บล็อกใบรับรองการลงนามโค้ดที่แฮ็กเกอร์และนักพัฒนาชาวจีนใช้เป็นหลักในการเซ็นชื่อและโหลดไดรเวอร์โหมดเคอร์เนลที่เป็นอันตรายบนระบบที่ถูกละเมิดโดยใช้ประโยชน์จากช่องโหว่นโยบายของ Windows ไดรเวอร์โหมดเคอร์เนลทำงานที่ระดับสิทธิ์สูงสุดบน Windows (Ring 0) ทำให้สามารถเข้าถึงเครื่องเป้าหมายได้อย่างสมบูรณ์เพื่อการคงอยู่อย่างซ่อนเร้น การกรองข้อมูลที่ตรวจไม่พบ และความสามารถในการยุติกระบวนการเกือบทั้งหมด แม้ว่าเครื่องมือรักษาความปลอดภัยจะทำงานบนอุปกรณ์ที่ถูกบุกรุก แต่โปรแกรมควบคุมโหมดเคอร์เนลอาจรบกวนการทำงาน ปิดความสามารถในการป้องกันขั้นสูง หรือดำเนินการแก้ไขการกำหนดค่าเป้าหมายเพื่อหลีกเลี่ยงการตรวจจับ

Microsoft July 2023 Patch Tuesday warns of 6 zero days 132 flaws

Growpro Admin 21 July 2023

วันนี้เป็นแพทช์ประจำเดือนกรกฎาคม 2023 ของ Microsoft ที่มีการอัปเดตความปลอดภัยสำหรับข้อบกพร่อง 132 รายการ รวมถึงช่องโหว่ที่ใช้งานอยู่ 6 รายการ และช่องโหว่ในการเรียกใช้โค้ดจากระยะไกล 37 รายการ ในขณะที่ข้อบกพร่อง RCE สามสิบเจ็ดข้อได้รับการแก้ไข Microsoft ให้คะแนนเพียงเก้าข้อว่า สำคัญ อย่างไรก็ตาม หนึ่งในข้อบกพร่องของ RCE นั้นยังไม่ได้รับการแพตช์และถูกนำไปใช้อย่างแข็งขันในการโจมตีที่พบเห็นโดยบริษัทด้านความปลอดภัยทางไซเบอร์หลายแห่ง

Meet NoEscape: Avaddon ransomware gangs likely successor

Growpro Admin 22 July 2023

เชื่อกันว่าปฏิบัติการเรียกค่าไถ่ NoEscape ใหม่เป็นการรีแบรนด์ของ Avaddon ซึ่งเป็นแก๊งเรียกค่าไถ่ที่ปิดตัวและปล่อยคีย์ถอดรหัสในปี 2564 NoEscape เปิดตัวในเดือนมิถุนายน 2023 เมื่อเริ่มกำหนดเป้าหมายองค์กรด้วยการโจมตีแบบขู่กรรโชกสองครั้ง ในส่วนหนึ่งของการโจมตีเหล่านี้ ผู้คุกคามจะขโมยข้อมูลและเข้ารหัสไฟล์บนเซิร์ฟเวอร์ Windows, Linux และ VMware ESXi

IT worker jailed for impersonating ransomware gang to extort employer

Growpro Admin 23 July 2023

Ashley Liles วัย 28 ปี อดีตพนักงานไอที ถูกตัดสินจำคุกกว่า 3 ปี เนื่องจากพยายามแบล็กเมล์นายจ้างของเขาระหว่างการโจมตีด้วยแรนซัมแวร์ Liles นักวิเคราะห์ความปลอดภัยด้านไอทีของบริษัทในอ็อกซ์ฟอร์ดใช้ประโยชน์จากตำแหน่งของเขาเพื่อสกัดกั้นการจ่ายเงินค่าแรนซัมแวร์หลังการโจมตีโดยนายจ้างของเขา

Police arrests Ukrainian scareware developer after 10-year hunt

Growpro Admin 24 July 2023

ตำรวจแห่งชาติสเปนได้จับกุมชาวยูเครนที่เป็นที่ต้องการตัวของนานาชาติ เนื่องจากมีส่วนร่วมในปฏิบัติการสแกแวร์ตั้งแต่ปี 2549 ถึง 2554 การดำเนินการที่กว้างขวางนี้นำไปสู่การติดไวรัสในคอมพิวเตอร์หลายแสนเครื่องด้วยซอฟต์แวร์ที่เป็นอันตรายซึ่งออกแบบมาเพื่อแสดงข้อความป๊อปอัปที่ตั้งใจให้ผู้ใช้เข้าใจผิดคิดว่าคอมพิวเตอร์ของตนติดมัลแวร์ เหยื่อที่ไม่สงสัยที่ต้องการกำจัดการติดมัลแวร์ที่ถูกกล่าวหาถูกบังคับให้จ่ายเงิน 129 ดอลลาร์สำหรับโปรแกรมรักษาความปลอดภัยปลอมที่นำเสนอโดยแก๊งอาชญากรและทำการตลาดเป็นโซลูชันป้องกันไวรัสที่สามารถทำความสะอาดอุปกรณ์ของพวกเขาได้

Critical ColdFusion flaws exploited in attacks to drop webshells

Growpro Admin 25 July 2023

คำเตือนที่ผิดพลาดซึ่งเพิ่มโดย Adobe ในการแจ้งเตือนทางอีเมล อย่างไรก็ตาม Rapid7 พบข้อผิดพลาดเวอร์ชันใหม่กว่าเพื่อใช้ประโยชน์อย่างแข็งขัน แฮ็กเกอร์กำลังใช้ประโยชน์จากช่องโหว่ ColdFusion สองช่องโหว่เพื่อข้ามการตรวจสอบสิทธิ์และดำเนินการคำสั่งจากระยะไกลเพื่อติดตั้งเว็บเชลล์บนเซิร์ฟเวอร์ที่มีช่องโหว่

CISA shares free tools to help secure data in the cloud

Growpro Admin 26 July 2023

หน่วยงานความมั่นคงปลอดภัยทางไซเบอร์และโครงสร้างพื้นฐานของสหรัฐฯ (CISA) ได้แชร์เอกสารข้อเท็จจริงซึ่งให้รายละเอียดเกี่ยวกับเครื่องมือฟรีและคำแนะนำสำหรับการรักษาความปลอดภัยสินทรัพย์ดิจิทัลหลังจากเปลี่ยนจากสภาพแวดล้อมในสถานที่ไปใช้คลาวด์ เอกสารข้อเท็จจริงที่ออกใหม่ช่วยให้ผู้ปกป้องเครือข่าย นักวิเคราะห์การตอบสนองต่อเหตุการณ์ และผู้เชี่ยวชาญด้านความปลอดภัยทางไซเบอร์ลดความเสี่ยงของการโจรกรรมและการเปิดเผยข้อมูล ตลอดจนการเข้ารหัสข้อมูลและการโจมตีแบบขู่กรรโชก โดยมีจุดมุ่งหมายเพื่อช่วยในงานที่สำคัญในการระบุ ตรวจจับ และบรรเทาช่องโหว่ที่รู้จักและภัยคุกคามทางไซเบอร์ที่พบในขณะที่จัดการสภาพแวดล้อมบนคลาวด์หรือแบบไฮบริด

CISA shares free tools to help secure data in the cloud

Growpro Admin 26 July 2023

Hackers exploiting critical WordPress WooCommerce Payments bug

Growpro Admin 27 July 2023

แฮ็กเกอร์กำลังดำเนินการใช้ประโยชน์จากปลั๊กอิน WooCommerce Payments ที่สำคัญอย่างกว้างขวางเพื่อรับสิทธิ์ของผู้ใช้รวมถึงผู้ดูแลระบบในการติดตั้ง WordPress ที่มีช่องโหว่ WooCommerce Payments เป็นปลั๊กอิน WordPress ยอดนิยมที่ช่วยให้เว็บไซต์รับบัตรเครดิตและบัตรเดบิตเป็นการชำระเงินในร้านค้า WooCommerce ตามWordPressปลั๊กอินนี้ใช้กับการติดตั้งที่ใช้งานอยู่มากกว่า 600,000 ครั้ง

News Article

About us

Get in Touch

Pages

Pages