Threats Update

VMware ได้ออก Security Advisory เพื่อเตือนผู้ใช้งาน VMware vCenter, VMware vCloud Director และ VMware Horizon View ให้ทำการอัพเกรดระบบเพื่ออุดช่องโหว่ที่จะทำให้ผู้โจมตีสามารถเข้าถึงข้อมูลที่ไม่ควรถูกเปิดเผยบางส่วนได้ ซึ่งปัญหานี้เกิดจาก Component ของ Apache และ Adobe ที่ใช้งานอยู่ในผลิตภัณฑ์ของ VMware โดยรุ่นที่ได้รับผลกระทบมีดังนี้

สำหรับผู้ที่อยากอัพเดตเทรนด์และเทคโนโลยีด้านความปลอดภัยเครือข่าย Infoblox ได้จับมือกับ IDC ขอเชิญเข้าร่วมงานสัมมนาฟรี Securing Your Business Against New and Evolving Threats สำหรับการมุ่งเน้นประเด็นเรื่องการโจมตีองค์กรและระบบ Cloud ต่างๆ โดยใช้ DNS เป็นช่องทางในการโจมตี ที่องค์กรต่างๆ ก็ควรจะป้องกันเอาไว้ให้ดี โดยมีรายละเอียดและการลงทะเบียนดังนี้ วันที่: 26 พฤศจิกายน 2015 เวลา: 09.00 – 16.15 สถานที่: โรงแรม Westing Grande Sukhumvit, Bangkok ลงทะเบียน: http://www.eventbrite.com.au/e/securing-your-business-against-new-and-evolving-threats-tickets-19355551977?ref=ebtnebregn

ทางการอังกฤษสามารถจับกุมตัวอาชญากรไซเบอร์ผู้ที่ใช้ Malware ตระกูล Bugat, Cridex หรือ Dridex ซึ่งได้ขโมยเงินจากบัญชีผู้ใช้งานไปหลากหลายบัญชี รวมมูลค่ากว่า 30 ล้านเหรียญ หรือราวๆ 1,000 ล้านบาทไทย โดยในการจับกุมตัวครั้งนี้ทางการของอังกฤษได้รับความร่วมมือจากผู้เชี่ยวชาญทางด้านความปลอดภัยไซเบอร์หลายองค์กรจนเป็นผลสำเร็จได้ในครั้งนี้

นักวิจัยจาก Tencent’s Xuanwu Lab ได้ออกมาเปิดเผยงานวิจัยใหม่ที่ใช้บาร์โค้ดที่ถูกออกแบบมาเป็นพิเศษ หรือที่เรียกว่า BadBarcode เข้าควบคุมเครื่องของเป้าหมาย โดยสามารถสั่งให้เป้าหมายรันคำสั่ง หรือให้ทำงานที่ไม่พึงประสงค์ได้

ETDA นำทีมสุดยอดฝีมือด้านความมั่นคงปลอดภัยไซเบอร์ระดับประเทศไทย ผู้ชนะจากเวที Thailand CTF Competition 2015 คว้ารองชนะเลิศของกลุ่มประเทศอาเซีย Cyber SEA Game 2015 พร้อมประกาศความสามารถบนเวทีระดับโลก SECCON CTF 2015 Finals ณ ประเทศญี่ปุ่น ต่อไป

Palo Alto ผู้ให้บริการโซลูชัน Next-generation Firewall ชั้นนำของโลก ค้นพบโทรจันตัวใหม่ที่เกิดขึ้นครั้งแรกในประเทศไทย ซึ่งสามารถแอบขโมยข้อความที่พิมพ์ผ่านคีย์บอร์ดและข้อมูลที่คัดลอกไว้บนคลิปบอร์ดได้ Palo Alto เรียกโทรจันนี้ว่า หนอนหนังสือ (Bookworm) โดยมีเป้าหมายโจมตีหลัก คือ หน่วยงานในประเทศไทย โดยเฉพาะหน่วยงานรัฐบาล

ช่วงนี้มีผู้ผลิตหลายรายออกมากล่าวถึงการพบบั๊กบน CPU x86 ที่ส่งผลกระทบให้ทำ DoS ใส่ Hypervisor จนหยุดทำงานได้ โดยมีข้อแนะนำว่าในช่วงนี้ให้ผู้ดูแลระบบเช็ค Patch ใหม่ๆ จากผู้ผลิต Hypervisor ค่ายที่ใช้งานอยู่ และคอยป้องกันการโจมตีต่างๆ ที่อาจหลุดรอดเข้ามาทาง Guest OS ให้ดี โดยช่องโหว่นี้มีรายละเอียดและวิธีการแก้ไขดังนี้

หัวหน้าทีมงาน Tor Project ได้ออกมากล่าวโทษ FBI ที่ว่าจ้างให้นักวิจัยด้านความมั่นคงปลอดภัยคอมพิวเตอร์จากมหาวิทยาลัยคาร์เนกี้ เมลอน (Carnegie Mellon University: CMU) ในการโจมตีผู้ใช้งานระบบ Tor กว่า $1 ล้านเหรียญสหรัฐฯ เพื่อแลกกับการเปิดเผยหมายเลข IP ของผู้ใช้งาน Tor ซึ่งถือว่าเป็นส่วนหนึ่งของแคมเปญตรวจสอบอาชญากรรมบนโลกไซเบอร์

การอัพเดตแพทช์ของเดือนพฤศจิกายน 2015 ของทาง Microsoft ได้ออกมาแก้ปัญหา Remote Code Execution (RCE) ด้วยกันถึง 4 ตัว โดยเกี่ยวข้องกับ Internet Explorer, Edge Browser, Windows และ Windows Graphic Memory โดยมี Windows ที่ได้รับผลกระทบคือ Windows Vista ขึ้นมาจนถึงปัจจุบัน และ Windows Server 2008/2008 R2 และต้องการการ Restart อีกด้วย

หลังจากที่ทีมงาน ProtonMail ถูกโจมตี DDoS อย่างต่อเนื่องจนมีบางช่วงที่ Traffic สูงเกินกว่า 100Gbps และไม่สามารถให้บริการผู้ใช้งานได้เลยนั้น ทาง ProtonMail ก็ได้พยายามแก้ไขทุกวิถีทางจนในวันที่ 6 ก็สามารถแก้ไขปัญหาและเอาชนะผู้โจมตี DDoS ได้เป็นผลสำเร็จ ทาง ProtonMail ได้ออกมาบอกว่าจะเปิดเผยข้อมูลเหตุการณ์และวิธีการแก้ไขปัญหาทั้งหมดในภายหลัง ซึ่งตอนนี้ทาง ProtonMail ก็ได้เปิดเผยข้อมูลเหล่านั้นใน Blog ของบริษัทแล้ว โดยทาง TechTalkThai ขอสรุปลำดับเหตุการณ์เอาไว้ดังนี้

จากรายงานล่าสุดของ Recorded Future บริษัทพัฒนา Real-time Intelligent Threat ที่ได้ทำการสำรวจ Exploit Kit ด้วยกันทั้งสิ้น 108 ตัว และทำการจัดอันดับของช่องโหว่ที่ใช้ในการโจมตีนั้น พบว่าช่องโหว่ของ Adobe Flash Player ได้ครองอันดับ 1-8 ทั้งหมด ในขณะที่อันดับ 9 และ 10 นั้นตกเป็นของ Microsoft Internet Explorer และ Silverlight ซึ่งก็ตกเป็นเป้าหมายหลักของผู้โจมตีเช่นกัน

หลังจากที่ ProtonMail ได้ถูกโจมตีด้วยวิธีการทำ DDoS อย่างต่อเนื่องจนรุนแรงถึง 100 Gbps เป็นบางช่วง และการโจมตีไม่หยุดลงถึงแม้จะมีการจ่ายค่าไถ่ตามที่มีการเรียกร้องไปแล้ว ทีมงานของ ProtonMail ก็ได้ตัดสินใจที่จะโต้ตอบกลับจนเป็นผลสำเร็จและกลับมาให้บริการได้เรียบร้อยแล้ว

เมื่อ jQuery กลายเป็นเทคโนโลยีที่เหล่านักพัฒนาชอบเลือกใช้ การโจมตีด้วยการฝัง Script jQuery ปลอมในเว็บไซต์ต่างๆ เพื่อใช้ในการโจมตีจึงได้รับความนิยมและเริ่มแพร่ระบาด ดังนั้นเหล่านักพัฒนาและผู้ดูแลเว็บไซต์จึงควรหมั่นตรวจสอบการเปลี่ยนแปลงของโค้ดอยู่เสมอๆ โดยเฉพาะเว็บ WordPress และ Joomla ที่มักตกเป็นเป้าหมายของการโจมตีลักษณะนี้อยู่แล้ว โดยพฤติกรรมทั่วไปของการโจมตีด้วย Fake jQuery Injection มีดังนี้

เมื่อบริการระบบ Email ที่เข้ารหัสแบบ End-to-End ถูกโจมตีอย่างต่อเนื่องมาเป็นเวลาหลายวันด้วย DDoS จนต้องหยุดให้บริการไปเมื่อวันอังคารที่ผ่านมาจนถึงปัจจุบันนี้ ทางกลุ่ม Hacker ที่ไม่เปิดเผยตัวได้เรียกร้องค่าไถ่เป็นมูลค่า 15 Bitcoin หรือราวๆ 5,850 เหรียญดอลลาร์สหรัฐ (ราวๆ 200,000 บาท) ซึ่งถึงแม้ทาง ProtonMail จะยอมจ่ายค่าไถ่ดังกล่าวไปแล้ว แต่การโจมตีครั้งนี้ก็ยังไม่หยุดลง

Trend Micro ผู้ให้บริการโซลูชันด้านความปลอดภัยชื่อดังของโลก ได้ออกมาประกาศค้นพบช่องโหว่บน SDK ของ Baidu ที่ชื่อว่า Moplus ซึ่งช่องโหว่นี้ทำหน้าที่คล้าย Backdoor ที่ช่วยให้แฮ็คเกอร์เข้ามาควบคุมอุปกรณ์ Android ได้ โดยเรียกช่องโหว่นี้ว่า Wormhole โดยคาดว่าส่งผลกระทบกับแอพพลิเคชันมากกว่า 14,000 แอพ และผู้ใช้งานกว่า 100 ล้านคนทั่วโลก

ด้วยความร่วมมือกันระหว่างตำรวจ Netherland, National Prosecutor Office แห่ง Netherland และ Kaspersky Lab ทำให้หลังจากทำการจับกุมผู้ที่เกียวข้องกับ Ransomware สองแคมเปญใหญ่อย่าง CoinVault และ Bitcryptor นั้น สามารถต่อยอดเพื่อสร้าง Application สำหรับถอดรหัสไฟล์ทั้งหมดให้แก่เหยื่อของ 2 แคมเปญนี้ได้มากกว่า 14,000 ราย ภายใต้ชื่อของ Kaspersky Ransomware Decryptor

  สำหรับผู้ที่ใช้งาน Android บน Nexus อยู่ ทาง Google ได้ออกมาประกาศ Patch ช่องโหว่รวมด้วยกันทั้งสิ้น 7 ช่องโหว่ โดยมี 2 ช่องโหว่ที่มีความร้ายแรงระดับ Critical คือเป็นช่องโหว่ที่ผู้โจมตีสามารถทำ Remote Code Execution (RCE) ได้ผ่านทาง Mediaserver และ libutils นั่นเอง ทั้งนี้รายการช่องโหว่ที่ได้ทำการอุดไปใน Patch นี้มีดังนี้

Akamai หนึ่งในผู้ให้บริการ Cloud Services และ Content Delivery Network ขนาดใหญ่ที่สุดของโลก ได้ออกมาเตือนภัยคุกคาม Amplification DDoS Attack รูปแบบใหม่ 3 แบบ ผ่านการใช้บริการ NetBIOS Name Server, RPC Portmap และ Sentinel Licensing Server ซึ่งพบว่ามีความรุนแรงสูงสุดถึง 100 Gbps

ThaiCERT ( ไทยเซิร์ต ) ภายใต้สำนักงานพัฒนาธุรกรรมอิเล็กทรอนิกส์ ( องค์การมหาชน ) หรือ ETDA กระทรวงไอซีที เผยข้อแนะนำแนวทางการรักษาความมั่นคงปลอดภัยไซเบอร์แก่ชาวเน็ต

งานวิจัยล่าสุด เรื่อง “Consumer Security Risk Survey 2015” โดยแคสเปอร์สกี้ แลป ร่วมกับ บีทูบีอินเตอร์เนชั่นแนลชี้ว่าในช่วง 12 เดือนที่ผ่านมา ผู้ใช้อินเทอร์เน็ตจำนวนหนึ่งในสี่ถูกแฮคบัญชีผู้ใช้ออนไลน์ โดนแอบอ้างสวมรอยใช้ชื่อส่งข้อความออกโดยมิได้รับอนุญาต