Clear
Lead Graphic Papers

ข่าวสั้น

แพตช์ด่วน! พบการโจมตีคอมพิวเตอร์ทั่วโลกกว่า 10,000 เครื่องผ่านเครื่องมือที่หลุดจาก NSA

หลังจากที่เมื่อกลางเดือนเมษายน 2560 กลุ่มแฮกเกอร์ Shadow Brokers ได้เผยแพร่เครื่องมือสำหรับใช้เจาะระบบและขโมยข้อมูล (ข่าวเก่า https://www.thaicert.or.th/newsbite/2017-04-18-01.html) ซึ่งเป็นเครื่องมือที่อ้างว่าหลุดมาจากหน่วยงาน NSA ของสหรัฐอเมริกานั้น เวลาผ่านไปไม่ถึง 1 สัปดาห์ พบรายงานการนำเครื่องมือเหล่านี้ไปใช้โจมตีคอมพิวเตอร์ทั่วโลกกว่า 10,000 เครื่องแล้ว

ในบรรดาเครื่องมือที่ถูกเผยแพร่ออกมา มีเครื่องมือชื่อ ETERNALBLUE ซึ่งใช้สำหรับโจมตีช่องโหว่ในระบบ SMB ของ Windows โดยผู้ประสงค์ร้ายสามารถสั่งให้เครื่องปลายทางรันโปรแกรมหรือคำสั่งใดๆ ก็ได้ (ช่องโหว่นี้ถูกแก้ไขไปแล้วในแพตช์ MS17-010 ที่ออกเมื่อเดือนมีนาคม 2560) หลังจากโจมตีสำเร็จจะติดตั้งเครื่องมือ DOUBLEPULSAR ไว้ในเครื่องปลายทางเพื่อใช้เป็น backdoor รับคำสั่งควบคุมการโจมตีในภายหลัง

ปัจจุบันเครื่องมือสำหรับใช้ในการโจมตี และบทความอธิบายวิธีการใช้งานเครื่องมือ มีเผยแพร่ทั่วไปตามอินเทอร์เน็ต ทำให้ผู้ประสงค์ร้ายที่อาจไม่ได้มีความเชี่ยวชาญด้านการเจาะระบบมากนักก็สามารถนำเครื่องมือและวิธีการเหล่านั้นไปใช้ในการโจมตีได้ โดยนักวิจัยด้านความมั่นคงปลอดภัยได้ตรวจสอบพบว่าคอมพิวเตอร์ทั่วโลกกว่า 10,000 เครื่องถูกโจมตีฝัง DOUBLEPULSAR ไว้ในเครื่องแล้ว ซึ่งส่วนใหญ่อุปกรณ์ที่ถูกโจมตีเป็นเครื่องที่ไม่ได้ติดตั้งแพตช์ล่าสุด หรือเป็น Windows เวอร์ชันเก่าที่ไม่ได้รับการอัปเดตแล้ว (เช่น Windows XP และ Windows Server 2003)

ผู้ดูแลระบบควร

วันที่: 2017-04-24 | ที่มา: Ars Technica, The Register | Share on Facebook Share on Twitter Share on Google+
พบช่องโหว่ในเราเตอร์ Linksys หลายรุ่น อาจถูกแฮกฝังมัลแวร์ได้

บริษัท IOActive รายงานช่องโหว่ความมั่นคงปลอดภัยในเราเตอร์ Linksys จำนวน 26 รุ่น (ซีรี่ส์ WRT และ EA) โดยมีตั้งแต่ช่องโหว่ที่บล็อกไม่ให้ผู้ดูแลระบบสามารถเข้าไปตั้งค่าการทำงานของเราเตอร์ได้ ช่องโหว่ขโมยข้อมูลการตั้งค่าเราเตอร์และดูรายการอุปกรณ์ที่เชื่อมต่ออยู่ ไปจนถึงช่องโหว่ที่สามารถฝังมัลแวร์ประเภท backdoor ในเราเตอร์เพื่อใช้รับคำสั่งควบคุมการโจมตีได้

สำหรับช่องโหว่ที่สามารถฝังมัลแวร์ได้นั้น ถึงแม้ผู้โจมตีจะต้องได้รับสิทธิ์ในการเข้าจัดการเราเตอร์ แต่จากการตรวจสอบพบว่ามีเราเตอร์จำนวนมากที่ถูกติดตั้งโดยใช้รหัสผ่านที่มาจากโรงงาน (default password) ซึ่งทำให้สามารถถูกโจมตีได้ง่าย

รายชื่อรุ่นเราเตอร์ที่ได้รับผลกระทบ มีดังนี้

ซีรี่ส์ WRT : WRT1200AC, WRT1900AC, WRT1900ACS, และ WRT3200ACM

ซีรี่ส์ EA : EA2700, EA2750, EA3500, EA4500v3, EA6100, EA6200, EA6300, EA6350v2, EA6350v3, EA6400, EA6500, EA6700, EA6900, EA7300, EA7400, EA7500, EA8300, EA8500, EA9200, EA9400 และ EA9500

ปัจจุบันทาง Linksys ได้รับทราบปัญหานี้แล้วและอยู่ระหว่างการออกอัปเดตเพื่อแก้ไข (http://www.linksys.com/us/support-article?articleNum=246427) โดยมีข้อแนะนำสำหรับผู้ใช้งานเราเตอร์ที่ได้รับผลกระทบคือ

  1. เปิดใช้งานระบบอัปเดตเฟิร์มแวร์แบบอัตโนมัติ
  2. ปิดฟีเจอร์ WiFi Guest Network หากไม่ใช้งาน
  3. เปลี่ยนรหัสผ่านที่ใช้สำหรับเข้าไปตั้งค่าการทำงานของเราเตอร์
วันที่: 2017-04-21 | ที่มา: Naked Security, The Hacker News, IOActive | Share on Facebook Share on Twitter Share on Google+
Google Chrome เวอร์ชัน 58 แก้ปัญหาเว็บฟิชชิงใช้ตัวอักษรคล้ายภาษาอังกฤษ, Firefox บอกไม่แก้ ผู้ใช้ต้องระวังเอง

เมื่อวันที่ 20 เมษายน 2560 Google ออกเบราวเซอร์ Chrome เวอร์ชัน 58 โดยหนึ่งในปัญหาที่ได้รับการแก้ไขคือเปลี่ยนรูปแบบการแสดงผล URL ของเว็บไซต์ที่จดทะเบียนด้วยชื่อโดเมนที่ใช้ตัวอักษรภาษาอื่นที่มีลักษณะคล้ายภาษาอังกฤษ เพื่อป้องกันปัญหาการหลอกลวงให้ผู้ใช้เข้าใจผิดว่าเป็นเว็บไซต์จริง (Phishing - ฟิชชิ่ง)

การสร้างเว็บไซต์ปลอมโดยจดชื่อโดเมนด้วยตัวอักษรที่มีลักษณะคล้ายภาษาอังกฤษ ถูกรายงานโดยนักวิจัยด้านความมั่นคงปลอดภัยชาวจีนชื่อ Xudong Zheng เมื่อวันที่ 14 เมษายน 2560 เนื่องจากปัจจุบันการจดทะเบียนเว็บไซต์สามารถตั้งชื่อโดเมนโดยใช้ตัวอักษรภาษาอื่นได้นอกเหนือจากอักขระภาษาอังกฤษ ตัวเลข และอักขระพิเศษ โดยตัวอักษรในภาษาอื่นจะถูกแทนที่ด้วย Punycode (https://en.wikipedia.org/wiki/Punycode) อย่างไรก็ตาม เนื่องจากอักขระของบางภาษามีลักษณะคล้ายตัวอักษรภาษาอังกฤษ เช่น ตัว а ในเว็บไซต์ "www.аррӏе.com" ไม่ใช่ตัวอักษร a ในภาษาอังกฤษ นั่นทำให้ผู้ประสงค์ร้ายสามารถนำวิธีนี้มาใช้จดโดเมนเพื่อหลอกลวงให้ผู้ใช้เข้าไปยังเว็บไซต์ปลอมได้

ใน Google Chrome เวอร์ชัน 58 การแสดงผลตัวอักษรภาษาอื่นในช่อง address bar จะถูกปรับให้แสดงเป็น Punycode เพื่อป้องกันความสับสน (เมื่อเข้า "аpple.com" จะถูกแสดงเป็น "xn--pple-43d.com")

อย่างไรก็ตาม ใน Firefox เวอร์ชัน 53 ที่ออกมาในวันเดียวกันนั้นไม่ได้มีการแก้ไขปัญหานี้ เนื่องจากทางผู้พัฒนามองว่าการแสดงผลภาษาอื่นในรูปแบบที่ไม่ใช่อักขระต้นฉบับนั้นทำให้เกิดความไม่เท่าเทียมกันของรูปแบบภาษา โดยทาง Firefox แนะนำว่าให้ผู้ใช้เปิดใช้งานฟีเจอร์ Safe Browsing เพื่อแจ้งเตือนเว็บฟิชชิ่งแทน (ปกติถูกเปิดใช้งานอยู่แล้ว) แต่หากผู้ใช้ต้องการปรับการแสดงผลก็สามารถทำได้โดย

  1. พิมพ์ about:config ที่ช่อง address bar แล้วกด enter
  2. พิมพ์ Punycode ในช่องค้นหา
  3. ดับเบิ้ลคลิกช่อง network.IDN_show_punycode เพื่อเปลี่ยนค่าจาก false เป็น True

ปัญหานี้ ในเบราว์เซอร์อื่นอย่าง Opera, Safari นั้นยังไม่มีวิธีแก้ไข ส่วนใน Internet Explorer และ Edge ขึ้นอยู่กับการตั้งค่าภูมิภาค (Region) ของเครื่องว่าจะแสดงผล URL ในลักษณะใด

วันที่: 2017-04-21 | ที่มา: Threatpost, The Hacker News | Share on Facebook Share on Twitter Share on Google+
ระวัง พบอีเมลฟิชชิง หลอกว่าส่งมาจาก LinkedIn ขอข้อมูล CV เพื่อใช้สมัครงาน

บริษัท Heimdal Security แจ้งเตือนการแพร่กระจายอีเมลหลอกลวงว่าส่งมาจาก LinkedIn เนื้อหาในอีเมลระบุว่ามีบริษัทสนใจรับเข้าทำงานในตำแหน่งงานที่เปิดรับสมัครด่วน โดยในอีเมลมีลิงก์สำหรับเข้าไปยังเว็บไซต์อัปโหลด CV เพื่อใช้สมัครงาน

อีเมลลักษณะนี้เป็นอีเมลหลอกลวง จุดประสงค์เพื่อขโมยข้อมูลส่วนตัวที่ระบุใน CV (เช่น ที่อยู่ หมายเลขโทรศัพท์ ประวัติการศึกษา ประวัติการทำงาน) โดยที่อยู่อีเมลของผู้ส่งนั้นไม่ใช่อีเมลของ LinkedIN (@LinkedIn.com) เนื้อหาในอีเมลเป็นการเร่งรีบให้ส่งข้อมูลกลับไปยังผู้รับสมัคร และรูปแบบของอีเมลไม่ใช่ลักษณะของอีเมลปกติที่ส่งมาจาก LinkedIn

เพื่อเป็นการป้องกันไม่ให้ตกเป็นเหยื่อ ผู้ใช้ควรตรวจสอบที่อยู่อีเมลของผู้ส่งทุกครั้ง และหากจะล็อกอินเว็บไซต์ใดๆ ควรพิมพ์ชื่อเว็บไซต์ด้วยตนเองแทนที่จะเป็นการคลิกลิงก์จากอีเมล สำหรับข้อแนะนำในการสังเกตอีเมลหลอกลวงแบบอื่น ๆ สามารถศึกษาเพิ่มเติมจากคลิปวิดีโอของไทยเซิร์ต https://www.facebook.com/thaicert/videos/663973140417489

วันที่: 2017-04-20 | ที่มา: Help Net Security, Heimdal Security, | Share on Facebook Share on Twitter Share on Google+
กรณีศึกษา ตำรวจ UK พิมพ์หมายเลข IP ผิดพลาด จับผู้ต้องหาผิดคน นานกว่า 3 ปี

สำนักข่าว Telegraph รายงานข่าวเจ้าหน้าที่ตำรวจสหราชอาณาจักรจับกุมผู้ต้องหาในคดีครอบครองและเผยแพร่สื่อลามกอนาจารเด็ก (Child pornography) แต่สุดท้ายจับกุมผิดคน เนื่องจากตอนที่เจ้าหน้าที่กรอกข้อมูลหมายเลข IP ของผู้ต้องหาได้มีการกดแป้นพิมพ์เกินมา 1 ตัว ทำให้เมื่อนำหมายเลข IP ไปตรวจสอบกับที่อยู่จริงจึงเป็นคนละคน

เหตุการณ์นี้เกิดขึ้นเมื่อเดือนเมษายน 2554 โดยเจ้าหน้าที่ตำรวจได้จับกุมนาย Nigel Lang ที่บ้านพักของเขา และได้ยึดเครื่องคอมพิวเตอร์ไปตรวจพิสูจน์ แต่จากการตรวจสอบก็ไม่พบว่ามีการครอบครองหรือเผยแพร่ภาพลามกอนาจารเด็กจริงตามที่กล่าวหา อีกทั้งหมายศาลที่เจ้าหน้าที่ตำรวจใช้ในการจับกุมก็ออกโดยพื้นที่ที่อยู่ห่างจากบ้านพักของผู้ต้องหากว่า 100 ไมล์

ต่อมา นาย Lang ได้ยื่นเรื่องขอตรวจสอบว่าเหตุการณ์นี้เกิดขึ้นได้อย่างไร ก็พบว่าเจ้าหน้าที่มีความผิดพลาดในการพิมพ์หมายเลข IP ของผู้ต้องหา และสุดท้ายนาย Lang ได้รับเงินชดเชยค่าเสียหาย 60,000 ปอนด์ (ประมาณ 2 ล้าน 6 แสนบาท) อย่างไรก็ตาม กว่าจะสามารถยืนยันได้ว่าเขาเป็นผู้บริสุทธิ์ก็ใช้เวลาถึง 3 ปี และในระหว่างที่ตกเป็นผู้ต้องหา เขาถูกไล่ออกจากงาน รวมถึงถูกห้ามไม่ให้พบลูกหรือพักอาศัยอยู่กับครอบครัวได้

เรื่องนี้เป็นกรณีศึกษาที่ดีของกระบวนการสืบสวนสอบสวนการกระทำผิดทางคอมพิวเตอร์ เนื่องจากหากมีการตรวจสอบหรือแจ้งข้อมูลผิดพลาด ก็อาจส่งผลกระทบกับผู้ที่ไม่เกี่ยวข้องได้

วันที่: 2017-04-19 | ที่มา: HackRead, Telegraph | Share on Facebook Share on Twitter Share on Google+
กลุ่มแฮกเกอร์ Shadow Brokers ปล่อยเครื่องมือโจมตีช่องโหว่จำนวนมาก บางจุดยังไม่มีแพตช์ ผู้ดูแลระบบตรวจสอบด่วน

เมื่อกลางปี 2559 กลุ่มแฮกเกอร์ Shadow Brokers ได้อ้างว่าสามารถเจาะระบบของกลุ่มแฮกเกอร์ Equation Group ได้สำเร็จ (Equation Group เป็นกลุ่มแฮกเกอร์ที่เชื่อกันว่าเป็นผู้พัฒนาเครื่องมือเจาะระบบให้กับหน่วยงาน NSA ของสหรัฐฯ) และได้คัดลอกเครื่องมือสำหรับโจมตีระบบออกมาประกาศขาย (ข่าวเก่า https://www.thaicert.or.th/newsbite/2016-08-17-01.html) แต่สุดท้ายไม่มีใครยอมจ่ายเงินซื้อเครื่องมือเหล่านั้นตามจำนวนเงินที่กลุ่มแฮกเกอร์เรียกร้อง เมื่อวันที่ 14 เมษายน 2560 ทางกลุ่มแฮกเกอร์ Shadow Brokers ได้ปล่อยเครื่องมือทั้งหมดออกมาให้ดาวน์โหลดได้ผ่านอินเทอร์เน็ต โดยบางเครื่องมือสามารถโจมตีช่องโหว่ที่ปัจจุบันยังไม่มีแพตช์ได้

เครื่องมือที่ถูกเผยแพร่ออกมาโดยส่วนใหญ่สามารถใช้โจมตีระบบปฏิบัติการ Windows ซึ่งหลังจากที่เครื่องมือได้ถูกเผยแพร่ ผู้พัฒนาซอฟต์แวร์ที่ได้รับผลกระทบได้ออกมาชี้แจงและออกแพตช์แก้ไขช่องโหว่ไปบางส่วนแล้ว

ทาง Microsoft ได้ชี้แจงว่า ช่องโหว่ส่วนใหญ่ที่ถูกใช้ในการโจมตีนั้นถูกแก้ไขไปแล้วในแพตช์ MS17-010 ที่ปล่อยให้อัปเดตไปตั้งแต่เดือนมีนาคม 2560 อย่างไรก็ตาม ผู้ที่ใช้งานระบบปฏิบัติการหรือซอฟต์แวร์เวอร์ชันเก่าที่สิ้นสุดระยะเวลาการสนับสนุนไปแล้ว (เช่น Windows XP, Windows Server 2003, Windows Vista) ควรอัปเกรดมาใช้ซอฟต์แวร์เวอร์ชันใหม่ รายละเอียดเพิ่มเติมสามารถดูได้จากประกาศของ Microsoft (https://blogs.technet.microsoft.com/msrc/2017/04/14/protecting-customers-and-evaluating-risk/)

ทาง Cisco ได้ชี้แจงว่าได้อัปเดตฐานข้อมูลของระบบตรวจจับการโจมตี (Snort และ AMP) ให้สามารถตรวจสอบรูปแบบการโจมตีผ่านช่องโหว่ที่ถูกเผยแพร่ได้แล้ว โดยรายละเอียดเพิ่มเติมสามารถดูได้จากประกาศของ Cisco (http://blog.talosintelligence.com/2017/04/shadow-brokers.html)

ทั้งนี้ เนื่องจากเครื่องมือสำหรับใช้ในการโจมตีระบบได้ถูกเผยแพร่สู่สาธารณะ ทำให้โอกาสที่ระบบจะถูกโจมตีผ่านเครื่องมือเหล่านี้มีสูงขึ้น ผู้ดูแลระบบควรหมั่นอัปเดตซอฟต์แวร์ที่ติดตั้งในเครื่อง อัปเดตฐานข้อมูลระบบตรวจจับและป้องกันการโจมตี รวมไปถึงหมั่นติดตามข้อมูลข่าวสารด้านความมั่นคงปลอดภัยอย่างสม่ำเสมอ

วันที่: 2017-04-18 | ที่มา: US-CERT, Nettitude, The Hacker News | Share on Facebook Share on Twitter Share on Google+
แจ้งเตือนมัลแวร์ Amnesia แฮกเครื่องบันทึกวิดีโอกล้องวงจรปิด พบเครื่องในไทยติดด้วย

นักวิจัยจากบริษัท Palo Alto Network แจ้งเตือนการแพร่ระบาดของมัลแวร์ Amnesia (หรืออีกชื่อหนึ่งคือ Tsunami) ซึ่งเป็นมัลแวร์ประเภท Botnet โจมตีอุปกรณ์ IoT ที่ใช้งานระบบปฏิบัติการ Linux โดยมัลแวร์นี้มุ่งโจมตีเครื่องบันทึกวิดีโอกล้องวงจรปิด (Digital Video Recorder หรือ DVR) ช่องโหว่ที่ถูกใช้ในการโจมตีนี้เป็นช่องโหว่เก่าที่ถูกรายงานตั้งแต่ต้นปี 2559 แต่อุปกรณ์ส่วนใหญ่ยังไม่มีการอัปเดตแพตช์แก้ไขช่องโหว่

จากรายงานพบว่าเครื่องบันทึกวิดีโอกล้องวงจรปิดกว่า 227,000 เครื่องทั่วโลกตกเป็นเหยื่อและถูกควบคุมจากมัลแวร์นี้ โดยประเทศที่ถูกโจมตีมากที่สุดคือไต้หวัน สหรัฐอเมริกา และอิสราเอล ตามลำดับ มีรายงานว่าพบเครื่องในประเทศไทยถูกโจมตีด้วย หลังจากที่มัลแวร์สามารถแฮกอุปกรณ์ได้สำเร็จ จะมีการเชื่อมต่อไปยังเครื่องควบคุมเพื่อรับคำสั่งสำหรับใช้โจมตี เช่น การ DDoS เป็นต้น

ทาง Palo Alto Network แจ้งว่าเครื่องบันทึกวิดีโอกล้องวงจรปิดที่ถูกโจมตีนั้นถูกผลิตโดยบริษัท TVT Digital โดยถึงแม้ว่าอุปกรณ์ดังกล่าวจะได้รับรายงานช่องโหว่ที่สามารถถูกแฮกควบคุมเครื่องได้ แต่ปัจจุบันทางผู้ผลิตยังไม่มีแพตช์ออกมาแก้ไขช่องโหว่แต่อย่างใด

รูปแบบการแฮกอุปกรณ์ IoT เพื่อใช้ในการโจมตีเริ่มได้รับความนิยมเพิ่มมากขึ้น เนื่องจากมีโอกาสสำเร็จค่อนข้างสูงและป้องกันได้ยาก ก่อนหน้านี้เคยมีการใช้อุปกรณ์ IoT เพื่อโจมตีแบบ DDoS มาหลายครั้งแล้ว ผู้ที่สนใจสามารถศึกษาเพิ่มเติมได้จากบทความของไทยเซิร์ต (https://www.thaicert.or.th/papers/general/2016/pa2016ge001.html)

วันที่: 2017-04-12 | ที่มา: Palo Alto Network, Kerner on ecurity | Share on Facebook Share on Twitter Share on Google+
เว็บไซต์ No More Ransom เพิ่มเครื่องมือกู้คืนไฟล์จากมัลแวร์เรียกค่าไถ่ 15 รายการ

No More Ransom เป็นเว็บไซต์ภายใต้ความร่วมมือระหว่าง Europol และหน่วยงานภาคเอกชนในการพัฒนาและเผยแพร่เครื่องมือกู้คืนไฟล์ที่ถูกเข้ารหัสลับจากมัลแวร์เรียกค่าไถ่ โดยเว็บไซต์เริ่มเปิดให้บริการตั้งแต่เดือนกรกฎาคม 2559 (ข่าวเก่า https://www.thaicert.or.th/newsbite/2016-07-26-01.html)

ปัจจุบันเว็บไซต์นี้ได้เผยแพร่เครื่องมือกู้คืนไฟล์จากมัลแวร์เรียกค่าไถ่กว่า 40 รายการ สามารถช่วยเหลือเหยื่อได้แล้วมากกว่า 10,000 ราย โดยตั้งแต่เดือนธันวาคม 2559 หน่วยงานต่าง ๆ ที่เข้าร่วม ได้อัปเดตเครื่องมือกู้คืนไฟล์เพิ่มอีก 15 รายการ ได้แก่

AVAST: Alcatraz Decryptor, Bart Decryptor,
Crypt888 Decryptor, HiddenTear Decryptor,
Noobcrypt Decryptor และ Cryptomix Decryptor Bitdefender: Bart Decryptor
CERT Polska: Cryptomix/Cryptoshield decryptor
Check Point: Merry X-Mas Decryptor และ BarRax Decryptor
Eleven Paths – Telefonica Cyber Security Unit: Popcorn Decryptor
Emsisoft: Crypton Decryptor และ Damage Decryptor
Kaspersky Lab: Updates on Rakhni และ Rannoh Decryptors

ผู้ที่ตกเป็นเหยื่อจากมัลแวร์เรียกค่าไถ่สามารถเข้าเว็บไซต์ No More Ransome เพื่อตรวจสอบว่าเครื่องติดมัลแวร์เรียกค่าไถ่สายพันธุ์ใด และดาวน์โหลดเครื่องมือเพื่อกู้คืนไฟล์ได้ที่ https://www.nomoreransom.org

อย่างไรก็ตาม ถึงแม้มัลแวร์เรียกค่าไถ่บางสายพันธุ์จะสามารถกู้ข้อมูลคืนได้โดยไม่ต้องจ่ายเงิน แต่ก็ไม่อาจรับรองได้ว่าข้อมูลจะสามารถกู้คืนกลับมาได้อย่างร้อยเปอร์เซ็นต์ และการศึกษาพัฒนาเครื่องมือสำหรับกู้คืนไฟล์นั้นต้องใช้เวลา วิธีที่ดีที่สุดคือการป้องกันไม่ให้ตกเป็นเหยื่อมัลแวร์เรียกค่าไถ่ ด้วยการอัปเดตซอฟต์แวร์ที่ใช้งานอยู่เป็นประจำ รวมถึงหมั่นสำรองข้อมูลสำคัญอย่างสม่ำเสมอ

วันที่: 2017-04-11 | ที่มา: Help Net Security | Share on Facebook Share on Twitter Share on Google+
ระวัง พบการโจมตีผู้ใช้ iOS หลอกว่าเครื่องติดไวรัส ให้ดาวน์โหลดแอป VPN มาติดตั้ง ที่จริงดักขโมยข้อมูล

บริษัทแอนติไวรัส Malwarebytes แจ้งเตือนการหลอกลวงผู้ใช้งานระบบปฏิบัติการ iOS โดยใช้วิธีแสดงหน้าจอป๊อบอัพขึ้นมาแจ้งว่าอุปกรณ์ iOS ที่กำลังใช้งานอยู่ติดไวรัสซึ่งสามารถทำลายข้อมูลในเครื่องได้ พร้อมแจ้งให้ผู้ใช้เข้าไปยังเว็บไซต์ที่หลอกว่าเป็นวิธีการกำจัดไวรัส

หากผู้ใช้หลงเชื่อกดเข้าไปยังเว็บไซต์ดังกล่าว จะถูกพาไปยังหน้าติดตั้งแอปพลิเคชันชื่อ MyMobileSecure ซึ่งแจ้งว่าเป็นแอปพลิเคชัน VPN แอปพลิเคชันดังกล่าวถูกพัฒนาโดยบริษัท VoiceFive ซึ่งเป็นบริษัทลูกของ comScore, Inc. ที่ทำวิจัยเกี่ยวกับการวิเคราะห์พฤติกรรมการใช้งานอินเทอร์เน็ต

หลังจากที่ผู้ใช้กดดาวน์โหลดแอปพลิเคชัน MyMobileSecure มาติดตั้ง เมื่อเปิดเข้าใช้งานครั้งแรกจะพบหน้าจอแจ้งให้สมัครสมาชิก โดยข้อตกลงในการใช้งานแจ้งว่าบริการ VPN นี้สามารถใช้งานได้ฟรี แต่จะมีการเก็บข้อมูลของผู้ใช้ เช่น ข้อมูลอุปกรณ์ที่ใช้ เว็บไซต์ที่เข้า โปรแกรมแช็ทที่ใช้งาน ประเภทไฟล์ที่ดาวน์โหลด การรับชมวิดีโอออนไลน์ ระยะเวลาที่ใช้วิดีโอคอล ข้อความที่ค้นหาใน search engine บริการอีเมลที่ใช้ เป็นต้น โดยทางผู้พัฒนาแจ้งว่าข้อมูลที่เป็นส่วนตัวเช่นรหัสผ่าน หมายเลขบัตรเครดิต จะไม่ถูกเก็บไปด้วย

ปัจจุบันแอปพลิเคชัน MyMobileSecure ยังมีให้ดาวน์โหลดบน iOS App Store โดยได้รับคะแนนรีวิวที่ไม่ค่อยดีนัก อย่างไรก็ตาม แอปพลิเคชันนี้อาจไม่ถือว่าเข้าข่ายเป็นมัลแวร์ เนื่องจากมีการแจ้งข้อมูลที่ชัดเจนว่าเป็นบริการ VPN ฟรีแลกกับการสูญเสียความเป็นส่วนตัว (แต่วิธีการโฆษณาเพื่อให้คนมาดาวน์โหลดแอปพลิเคชันไปติดตั้งนั้นเข้าข่ายหลอกลวง)

ปัจจุบันมีบริการ VPN ฟรีให้ใช้งานเป็นจำนวนมาก โดยส่วนใหญ่มักเป็นการใช้เข้าเว็บไซต์หรือบริการที่ไม่สามารถเข้าถึงได้ในภูมิภาคนั้นๆ อย่างไรก็ตาม การใช้บริการ VPN ฟรีนั้นไม่ได้หมายความว่าจะช่วยปกป้องความเป็นส่วนตัวได้เสมอไป เพราะผู้ให้บริการอาจเปิดให้บริการฟรีโดยมีจุดประสงค์เพื่อเก็บข้อมูลพฤติกรรมการใช้งานรวมถึงอาจดักขโมยข้อมูลก็ได้ ผู้ใช้ควรตระหนักถึงความเสี่ยงและอ่านข้อตกลงในการใช้งานให้แน่ชัดหากเป็นไปได้ไม่ควรกรอกข้อมูลสำคัญ เช่น รหัสผ่าน หรือหมายเลขบัตรเครติด เมื่อใช้บริการ VPN ฟรี

วันที่: 2017-04-10 | ที่มา: Malwarebytes | Share on Facebook Share on Twitter Share on Google+
แจ้งเตือนช่องโหว่ร้ายแรงใน Microsoft Word เครื่องติดมัลแวร์ได้เพียงแค่กดเปิดไฟล์ ยังไม่มีแพตช์

บริษัท McAfee และ FireEye แจ้งเตือนช่องโหว่ร้ายแรงใน Microsoft Word โดยช่องโหว่ที่พบนี้ยังไม่มีแพตช์แก้ไขและถูกใช้ในการแพร่กระจายมัลแวร์แล้ว

วิธีการแพร่กระจายมัลแวร์ ผู้ประสงค์ร้ายจะส่งอีเมลที่มีไฟล์แนบเป็นเอกสาร Microsoft Word โดยในไฟล์จะมีการฝัง Windows Object Linking and Embedding (OLE) ไว้ด้วย หากผู้ใช้เปิดไฟล์ดังกล่าว โค้ดอันตรายจะถูกเรียกขึ้นมาทำงานโดยมีการเชื่อมต่อไปดาวน์โหลดไฟล์มัลแวร์มาติดตั้งลงในเครื่องทันที

ตัวช่องโหว่นี้มีความร้ายแรงสูง เนื่องจากผู้ใช้ไม่จำเป็นต้องอนุญาตให้มีการรัน Macro ก็สามารถติดมัลแวร์ได้ อีกทั้งช่องโหว่นี้ยังสามารถหลุดผ่านระบบป้องกันการโจมตีของระบบปฏิบัติการ Windows ได้ด้วย ปัจจุบันทาง Microsoft อยู่ระหว่างการออกแพตช์เพื่อแก้ไขปัญหา

อย่างไรก็ตาม ช่องโหว่นี้จะยังไม่ถูกเรียกขึ้นมาทำงาน หากเอกสารถูกเปิดอ่านภายใต้ Office Protected View ซึ่งหากไม่มีความจำเป็นผู้ใช้ไม่ควรปิดระบบนี้ ในระหว่างที่รอแพตช์ ผู้ใช้ควรใช้ความระมัดระวัง โดยไม่เปิดไฟล์เอกสาร Microsoft Word ที่มาจากแหล่งที่ไม่น่าเชื่อถือ (เช่น อีเมล หรือดาวน์โหลดจากอินเทอร์เน็ต) รวมถึงหมั่นอัปเดตแพตช์ซอฟต์แวร์และระบบปฏิบัติการอย่างสม่ำเสมอ

วันที่: 2017-04-10 | ที่มา: The Hacker News, McAfee, FireEye | Share on Facebook Share on Twitter Share on Google+
พบการโจมตีใช้ช่องโหว่ Apache Struts 2 ติดตั้งมัลแวร์เรียกค่าไถ่ ผู้ดูแลเว็บไซต์ควรอัปเดตปิดช่องโหว่

หลังจากที่ก่อนหน้านี้ทาง Cisco Talos ได้แจ้งเตือนช่องโหว่ใน Apache Struts 2 ซึ่งเป็นเฟรมเวิร์คสำหรับพัฒนาเว็บแอปพลิเคชัน ช่องโหว่นี้มีรหัส CVE-2017-5638 ส่งผลให้ผู้ประสงค์ร้ายสามารถส่งคำสั่งอันตรายเข้ามาประมวลผลที่เซิร์ฟเวอร์เพื่อควบคุมเครื่อง ซึ่งภายหลังทางผู้พัฒนาได้ออกแพตช์เพื่อแก้ไขปัญหา (ข่าวเก่า https://www.thaicert.or.th/newsbite/2017-03-15-02.html)

เมื่อวันที่ 6 เมษายน 2560 สถาบัน SANS แจ้งเตือนพบการโจมตีจำนวนมาก เพื่อเข้าควบคุมเครื่องเซิร์ฟเวอร์ระบบปฏิบัติการ Windows ที่ใช้งานซอฟต์แวร์ที่มีช่องโหว่ดังกล่าว จากนั้นได้ติดตั้งมัลแวร์เรียกค่าไถ่สายพันธุ์ Cerber ต่างจากก่อนหน้านี้ที่ผู้ประสงค์ร้ายมุ่งเป้าโจมตีเซิร์ฟเวอร์ระบบปฏิบัติการ Unix เพื่อติดตั้งมัลแวร์ประเภท backdoor หรือบอตเน็ต ผู้ดูแลเว็บไซต์ที่ใช้งาน Apache Struts 2 ควรตรวจสอบและอัปเดตเป็นเวอร์ชัน 2.3.32 และ 2.5.10.1 เพื่อปิดช่องโหว่

จากการโจมตีที่พบนี้แสดงให้เห็นว่า หากพบมัลแวร์ในเครื่องถึงแม้จะเป็นมัลแวร์ที่ยังไม่พบว่าได้สร้างความเสียหายในเครื่อง เช่น บอตเน็ตซึ่งสามารถใช้ควบคุมเครื่องเหยื่อโจมตีผู้อื่น ในอนาคตก็มีโอกาสที่จะผู้ประสงค์ร้ายจะสร้างความเสียหายด้วยการติดตั้งมัลแวร์เรียกค่าไถ่ ดังนั้นหากพบมัลแวร์ในเครื่อง ควรตรวจสอบหาสาเหตุเครื่องถูกเจาะระบบเพื่อแก้ไข เพิ่มเติมจากการกำจัดมัลแวร์และกู้คืนระบบ เพื่อป้องกันปัญหาในระยะยาว

วันที่: 2017-04-07 | ที่มา: SANS, Computerworld | Share on Facebook Share on Twitter Share on Google+
ธนาคารในบราซิลถูกแฮก DNS ผู้ประสงค์ร้ายควบคุมระบบเครือข่ายทั้งหมดได้นานกว่า 5 ชั่วโมง

นักวิจัยด้านความมั่นคงปลอดภัยจาก Kaspersky ได้เปิดเผยข้อมูลในงาน Security Summit 2017 เรื่องธนาคารแห่งหนึ่งในประเทศบราซิลถูกผู้ประสงค์ร้ายควบคุมการเชื่อมต่อระบบเครือข่ายทั้งหมดได้นานกว่า 5 ชั่วโมง โดยเหตุการณ์นี้เกิดขึ้นเมื่อวันที่ 22 ตุลาคม 2559

ผู้ประสงค์ร้ายสามารถเข้าถึงระบบจัดการข้อมูล DNS ของผู้ให้บริการจดโดเมนที่ธนาคารแห่งนั้นใช้งานอยู่ และได้แก้ไขข้อมูลการตั้งค่าโดเมนของเว็บไซต์ 36 แห่ง (ทั้งเว็บไซต์หลักและเว็บไซต์ย่อยที่เป็นบริการอื่นๆ) รวมถึงได้ใบรับรองดิจิทัลที่ใช้สำหรับการเชื่อมต่อ HTTPS ของเว็บไซต์ด้วย (ขอออกใบรับรองฟรีเพื่อใช้กับเว็บไซต์ปลอม) ส่งผลให้ระบบใดๆ ก็ตามที่มีการเชื่อมต่อหรือส่งข้อมูลไปยังระบบของธนาคาร ถูกส่งไปยังเซิร์ฟเวอร์ของผู้โจมตี โดยทาง Kaspersky รายงานว่าบริการทั้งหมดของธนาคาร เช่น การทำธุรกรรมทางเงิน ATM บัตรเครดิต ล็อกอิน อีเมลภายใน เซิร์ฟเวอร์ FTP ได้รับผลกระทบในช่วงเวลาที่เกิดเหตุ

สาเหตุที่ผู้ประสงค์ร้ายสามารถเข้าถึงระบบจัดการข้อมูล DNS ของธนาคารได้นั้นยังไม่แน่ชัด อาจเป็นไปได้ว่าระบบของผู้ให้บริการจดโดเมนมีช่องโหว่ หรือพนักงานของธนาคารตกเป็นเหยื่ออีเมลฟิชชิ่งหลอกขโมยรหัสผ่าน และเนื่องจากผู้ดูแลระบบโดเมนของธนาคารไม่เปิดใช้งานการยืนยันตัวตนแบบสองขั้นตอน ถึงแม้ว่าทางผู้ให้บริการจดโดเมนจะรองรับคุณสมบัตินี้ นั่นทำให้เมื่อผู้ประสงค์ร้ายได้รหัสผ่านสำหรับล็อกอินเข้าจัดการบัญชีก็สามารถยึดระบบทั้งหมดได้เลย

หลังจากที่สามารถยึดระบบได้ ผู้ประสงค์ร้ายได้แก้ไขข้อมูลให้โดเมนของเว็บไซต์ธนาคารเชื่อมต่อไปยังเว็บไซต์ของผู้โจมตี โดยเว็บไซต์ดังกล่าวมีการแพร่กระจายมัลแวร์ที่จะติดตั้งตัวเองลงในเครื่องของผู้เข้าชมเว็บไซต์โดยอัตโนมัติ มัลแวร์นี้สามารถทำงานได้ทั้งบน Windows และ macOS จุดประสงค์เพื่อขโมยข้อมูลบัญชีธนาคารออนไลน์ รวมถึงสามารถปิดและถอนการติดตั้งแอนติไวรัสในเครื่องได้เพื่อป้องกันไม่ให้ถูกกำจัดออกจากระบบ

ทาง Kaspersky คาดว่าผู้ที่อยู่เบื้องหลังการโจมตีนี้เป็นกลุ่มอาชญากรทางไซเบอร์ในบราซิล และใช้เวลาเตรียมการณ์นานกว่า 5 เดือนกว่าจะลงมือ

วันที่: 2017-04-05 | ที่มา: Dark Reading, Threat Post, Wired | Share on Facebook Share on Twitter Share on Google+
พบมัลแวร์ Chrysaor ใน Android โจมตีกลุ่มต้านรัฐบาลในหลายประเทศ ขโมยข้อมูล สอดแนมพฤติกรรม

Google และ Lookout ผู้พัฒนาซอฟต์แวร์ด้านความมั่นคงปลอดภัย ได้รายงานผลการวิเคราะห์มัลแวร์ Chrysaor ใน Android ซึ่งเป็นมัลแวร์ที่ถูกพัฒนาโดยบริษัท NSO Group ที่ขายเครื่องมือสำหรับใช้สอดแนมให้กับหน่วยงานระดับชาติหลายประเทศ ก่อนหน้านี้เมื่อกลางปี 2559 ได้มีการค้นพบมัลแวร์ Pegasus โจมตีระบบปฏิบัติการ iOS (ข่าวเก่า https://www.thaicert.or.th/newsbite/2016-08-26-02.html) ซึ่งคาดว่ามัลแวร์ Chrysaor ที่พบนี้ก็น่าจะมีความเชื่อมโยงกัน

มัลแวร์ Chrysaor มีลักษณะการทำงานเป็นสปายแวร์ ขโมยข้อมูลและสอดแนมพฤติกรรม โดยสามารถบันทึกการพิมพ์ จับภาพหน้าจอ อัดเสียง อ่านข้อความจากโปรแกรมแช็ท อ่านอีเมล ดูข้อมูลบุคคลในรายชื่อติดต่อ รวมถึงรับส่งข้อมูลและควบคุมสั่งการจากระยะไกลได้ นอกจากนี้ยังมีความสามารถในการ root เครื่องและฝังตัวลงไปในพาร์ทิชันของระบบเพื่อป้องกันไม่ให้ถูกลบออกได้ถึงแม้จะมีการทำ factory reset

จากข้อมูล ทาง Google พบอุปกรณ์ที่ติดมัลแวร์นี้ประมาณ 30 เครื่องทั่วโลก โดยส่วนใหญ่เป็นเครื่องที่ใช้งานในอิสราเอล จอร์เจีย และเม็กซิโก ช่องทางการติดมัลแวร์เกิดจากการติดตั้งซอฟต์แวร์จากแหล่งที่มาภายนอก อุปกรณ์ที่ติดมัลแวร์ส่วนใหญ่ใช้งาน Android เวอร์ชันเก่า (Jelly Bean) ข้อมูลรายละเอียดผลวิเคราะห์การทำงานของมัลแวร์ สามารถศึกษาเพิ่มเติมได้จากที่มา

วันที่: 2017-04-04 | ที่มา: Google, Lookout | Share on Facebook Share on Twitter Share on Google+
Kaspersky รายงานการโจมตี ATM รูปแบบใหม่ ใช้สว่านเจาะตู้ต่อสายไฟสั่งขโมยเงิน

นักวิจัยจาก Kaspersky รายงานการโจมตีตู้ ATM เพื่อขโมยเงิน โดยผู้ประสงค์ร้ายใช้สว่านเจาะด้านข้างของตู้ จากนั้นเชื่อมต่อสายไฟเข้าไปแล้วสั่งให้ตู้จ่ายเงินออกมา ในรายงานไม่ได้แจ้งว่าตู้ ATM ยี่ห้อใดบ้างที่ถูกโจมตี โดยระบุเพียงว่าพบการก่ออาชญากรรมรูปแบบนี้แล้วในยุโรปและรัสเซีย อย่างไรก็ตาม คาดว่าเทคนิคการโจมตีแบบนี้สามารถนำมาใช้กับตู้ ATM ในประเทศอื่นได้ด้วย

ทาง Kaspersky ได้วิเคราะห์การทำงานของตู้ ATM รุ่นที่ถูกโจมตี พบว่าเป็นรุ่นที่ถูกใช้งานมากว่า 30 ปีแล้ว โดยข้อมูลที่รับส่งระหว่างอุปกรณ์ต่าง ๆ ที่เชื่อมต่อกับแผงวงจรไม่ได้มีกระบวนการตรวจสอบยืนยันความถูกต้อง อีกทั้งกระบวนการเข้ารหัสลับข้อมูลก็ไม่ได้มีความมั่นคงปลอดภัยเพียงพอ ทำให้สามารถเชื่อมต่ออุปกรณ์ใดๆ ก็ได้เข้ากับพอร์ตของตู้ ATM แล้วสามารถส่งคำสั่งเพื่อควบคุมการทำงานได้เลย

ผู้ผลิตตู้ ATM รุ่นที่ถูกโจมตีได้รับทราบถึงปัญหาแล้ว แต่การแก้ไขนั้นทำได้ยากเนื่องจากไม่สามารถสั่งอัปเดตซอฟต์แวร์จากระยะไกลได้ จำเป็นต้องเปลี่ยนฮาร์ดแวร์เท่านั้น
วันที่: 2017-04-04 | ที่มา: Wired | Share on Facebook Share on Twitter Share on Google+