ตู้เอทีเอ็มบิตคอยน์ โดนแฮ็กผ่านช่องโหว่ Zero-day สูญเงินกว่า 1.5 ล้านดอลลาร์ฯ

ผู้ผลิตตู้เอทีเอ็มแบบบิตคอยน์ชั้นนำที่ให้คนมาซื้อขายเหรียญคริปโตได้มากกว่า 40 แบบอย่าง General Bytes ออกมายอมรับว่า มีแฮ็กเกอร์ขโมยเหรียญคริปโตจากบริษัท และจากลูกค้าผ่านช่องโหว่แบบ Zero-day บนแพลตฟอร์มจัดการ BATM

สำหรับตู้เอทีเอ็มนี้ ลูกค้าสามารถนำมาติดตั้งเองได้โดยใช้เซิร์ฟเวอร์จัดการแยกแบบสแตนอโลนของตัวเอง หรือผ่านบริการคลาวด์ของ General Bytes ก็ได้ แต่เมื่อสัปดาห์ก่อน บริษัทก็เผยว่ามีแฮ็กเกอร์โจมตีช่องโหว่รหัส BATM-4780

ซึ่งเป็นการอัพโหลดแอพจาวาผ่านหน้าอินเทอร์เฟซมาสเตอร์เซอร์วิสของ ATM แล้วรันด้วยสิทธิ์ผู้ใช้ “batm” พร้อมสแกนกลุ่มที่อยู่ไอพีที่โฮสต์บน Digital Ocean เพื่อหาเซอร์วิส CAS ที่รันบนพอร์ต 7741 ที่นอกจากบริการคลาวด์ของ General Bytes แล้ว ยังมีผู้ให้บริการเอทีเอ็มของ GB รายอื่นอยู่ด้วย

ทั้งนี้เพราะ GB ก็แนะนำให้ลูกค้าโฮสต์เซิร์ฟเวอร์สแตนอโลนตัวเองบนผู้ให้บริการอย่าง Digital Ocean ด้วยเช่นกัน ทั้งนี้ GB ทวีตขอให้ผู้ใช้ “รีบดำเนินการอย่างเร่งด่วน” ด้วยการติดตั้งตัวอัพเดทล่าสุด เพื่อปกป้องไม่ให้ผู้โจมตีดูดเงินไปได้อีก

อ่านเพิ่มเติมที่นี่ – BPC

from:https://www.enterpriseitpro.net/general-bytes-bitcoin-atms-hacked-using-zero-day/

Advertisement

ดาวน์โหลดฟรีทูลสำหรับถอดรหัสแรนซั่มแวร์ Conti จาก Kaspersky

Kaspersky ปล่อยทูลถอดรหัสข้อมูลฟรีอัปเดตใหม่ สำหรับช่วยเหลือเหยื่อแรนซั่มแวร์ Conti สายพันธุ์ปรับปรุงใหม่ที่นักวิจัยบางรายตั้งชื่อใหม่ให้ว่า “MeowCorp” ที่เป็นการพัฒนาจากซอร์สโค้ดของ Conti ต้นฉบับที่หลุดออกมาเมื่อมีนาคม 2022

บริษัทน้องเหมียวนี้ถูกเอาไปใช้โจมตีภาครัฐและเอกชนจำนวนมาก ทาง Kaspersky จึงอัปเดตทูลใหม่จากการสืบข้อมูลเกี่ยวกับ Conti ล่าสุดที่หลุดตามเว็บบอร์ดต่างๆ รวมกว่า 258 รายการ ทั้งไพรเวทคีย์ ซอร์สโค้ด และตัวถอดรหัสแบบก่อนคอมไพล์บางส่วน

ไพรเวทคีย์ที่หลุดมามีอยู่ใน 257 โฟลเดอร์ (มีโฟลเดอร์หนึ่งที่มีสองคีย์) ในจำนวนนี้มีคีย์บางส่วนที่ถูกเอามาสร้างตัวถอดรหัสแล้ว นอกจากนี้ยังมีไฟล์ทั่วไปอย่างไฟล์เอกสาร ไฟล์รูปภาพต่างๆ ด้วย โดยสันนิษฐานว่าเป็นไฟล์ทดสอบที่เหยื่อส่งให้ผู้โจมตีให้แน่ใจว่า คีย์ที่จะส่งมาใช้ถอดรหัสได้

ข้อมูลทั้งหมดนี้ถูกรวมในยูทิลิตี้ RakhniDecryptor รุ่นล่าสุดของ Kaspersky แล้ว พร้อมทั้งเพิ่มเข้าไปในเว็บไซต์รวมฮิตตัวถอดรหัสแรนซั่มแวร์สายพันธุ์ต่างๆ อย่าง noransom.kaspersky.com แล้วด้วย ซึ่งจากข้อมูลช่วงปี 2019 – 2020 พบว่า Conti เป็นหนึ่งในสายพันธุ์แรนซั่มแวร์ที่พบการระบาดมากที่สุด คิดเป็นประมาณ 13%

อ่านเพิ่มเติมที่นี่ – ITPro

from:https://www.enterpriseitpro.net/free-decryptor-released-for-conti-ransomware/

อินเตอร์คอมอัจฉริยะ Akuvox E11 มีช่องโหว่นับสิบ

นักวิจัยด้านความปลอดภัยจาก Claroty คุณ Vera Mens รายงานว่า พบช่องโหว่สิบกว่ารายการในเครื่อง E11 ซึ่งเป็นสมาร์ทอินเตอร์คอมของบริษัทจีนชื่อ Akuvox เป็นช่องโหว่ที่เปิดให้ผู้โจมตีรันโค้ดอันตรายจากระยะไกลได้

ซึ่งจะทำให้สามารถเปิดและควบคุมกล้องกับไมโครโฟนของอุปกรณ์ได้ รวมไปถึงดูดข้อมูลวิดีโอและภาพ หรือแม้แต่ใช้ในการบุกรุกเครือข่ายภายในต่อไป ทั้งนี้ Akuvox E11 มีการเขียนคำบรรยายบนเว็บไซต์บริษัทว่าเป็นเสมือนโทรศัพท์สื่อสารผ่าน SIP (Session Initiation Protocol) สำหรับบ้านและคอนโด

อย่างไรก็ดี หน้ารายละเอียดสินค้าตัวนี้กลับถูกเอาลงจากเว็บ โดยขึ้นข้อความว่า “Page does not exist.” และข้อมูลจากแคชของกูเกิ้ลก็แสดงให้เห็นว่าหน้าเว็บดังกล่าวเคยออนไลน์ให้เข้าได้เมื่อวันที่ 12 มีนาคม 2023 ที่ผ่านมานี้เอง

การโจมตีช่องโหว่นี้สามารถทำได้ผ่านการรันโค้ดจากระยะไกลจากภายในเครือข่าย LAN เดียวกัน หรือใช้การสั่งเปิดกล้องหรือไมโครโฟนบนเครื่อง E11 จากระยะไกล เพื่อใช้ในการดูดข้อมูลภาพที่บันทึกไว้ผ่านเซิร์ฟเวอร์ FTP ภายนอกอีกทีหนึ่ง

อ่านเพิ่มเติมที่นี่ – THN

from:https://www.enterpriseitpro.net/researchers-uncover-over-a-dozen-security-flaws-in-akuvox-e11/

แรนซั่มแวร์ IceFire ขยายตลาดมาเจาะลินุกซ์แล้ว ผ่านช่องโหว่บน IBM Aspera Faspex

แรนซั่มแวร์สายพันธุ์ที่เคยขึ้นชื่อเล่นงานบนวินโดวส์อย่าง IceFire ตอนนี้หันมาเล็งเครือข่ายองค์กรที่ใช้ลินุกซ์กันบ้างแล้ว โดยเฉพาะในกลุ่มธุรกิจสื่อและความบันเทิงทั่วโลก โดยเจาะช่องโหว่บนซอฟต์แวร์แชร์ไฟล์ IBM Aspera Faspex

ช่องโหว่ดังกล่าวเพิ่งมีการเปิดเผยไปไม่นานมานี้ เป็นแบบ Deserialization ภายใต้รหัส CVE-2022-47986 คะแนนความร้ายแรงสูงถึง 9.8 ตามสเกล 9.8 อ้างอิงจากข้อมูลของบริษัทด้านความปลอดภัยทางไซเบอร์ SentinelOne

Alex Delamotte นักวิจัยอาวุโสด้านอันตรายของ SentinelOne แชร์ข้อมูลกับทางสำนักข่าว The Hacker News ว่า ถือเป็นความเคลื่อนไหวที่สำคัญมาก สอดคล้องกับแก๊งแรนซั่มแวร์รายอื่นๆ ที่หันมาเล่นงานลีนุกซ์แทนเหมือนกันในช่วงนี้

เหยื่อส่วนใหญ่เป็นบริษัทที่ตั้งในตุรกี อิหร่าน ปากีสถาน สหรัฐอาหรับเอมิเรต ซึ่งล้วนเป็นประเทศที่ปกติแล้วไม่ได้เป็นเป้าสำคัญของแรนซั่มแวร์มาก่อน สำหรับ IceFire นี้ถูกค้นพบครั้งแรกเมื่อมีนาคมปีที่แล้วโดยกลุ่ม MalwareHunterTeam

อ่านเพิ่มเติมที่นี่ – THN

from:https://www.enterpriseitpro.net/icefire-ransomware-exploits-ibm-aspera-faspex-to-attack-linux/

ระวัง: คลิปยูทูปที่เจนมาจาก AI เพื่อล่อคนลงมัลแวร์กำลังระบาด

นักวิจัยจาก CloudSEK คุณ Pavan Karthick M ออกมาเตือนว่า ตอนนี้มีอาชญากรไซเบอร์กำลังใช้วิดีโอที่สร้างขึ้นจาก AI อัพขึ้นบนยูทูป เพื่อหลอกล่อในการแพร่กระจายมัลแวร์ดูดข้อมูลอย่างเช่น Raccoon, RedLine, และ Vidar เป็นต้น

โดยวิดีโอดังกล่าวเป็นการแสร้งสอนวิธีดาวน์โหลดเวอร์ชั่นที่ Cracked มาของซอฟต์แวร์ไลเซนส์แพงๆ ยอดนิยมอย่าง Photoshop, Premiere Pro, Autodesk 3ds Max, AutoCAD โดยเฉพาะตัวที่ต้องจ่ายเงินซื้อเท่านั้น

โมเดลคล้ายกับแก๊งแรนซั่มแวร์ที่มีทั้งฝ่ายนักพัฒนาหลัก และกลุ่มตัวแทนที่คอยเสาะหาเหยื่อเป้าหมายที่มีโอกาสสูงสำหรับเข้าโจมตี ในโลกของแก๊งดูดข้อมูลก็มีกลุ่มเฉพาะที่เรียกว่า Traffer ที่ถูกจ้างให้กระจายมัลแวร์ด้วยวิธีต่างๆ อยู่เช่นกัน

CloudSEK สังเกตพบว่ายูทูปกลายเป็นช่องทางแพร่มัลแวร์ที่ได้รับความนิยมสูง โดยพบการเติบโตของวิดีโอที่มีลิงค์ดาวน์โหลดมัลแวร์ที่ทำให้สั้นในรูป Bitly หรือ Cuttly ในส่วนของคำอธิบายใต้คลิปเพิ่มขึ้นถึง 200 – 300% ในแต่ละเดือน

อ่านเพิ่มเติมที่นี่ – THN

 

from:https://www.enterpriseitpro.net/warning-ai-generated-youtube-video-tutorials-yo/

พบมัลแวร์ใหม่ GoBruteforcer มุ่งเป้าโจมตี phpMyAdmin, MySQL, FTP และ Postgres

พบมัลแวร์ใหม่ GoBruteforcer มุ่งเป้าโจมตี phpMyAdmin, MySQL, FTP และ Postgres ด้วยวิธี Brute force attack

ผู้เชี่ยวชาญทางด้านความมั่นคงปลอดภัยจาก Palo Alto Networks Unit 42 ได้เผยข้อมูล GoBruteforcer มัลแวร์ตัวใหม่ที่พัฒนาด้วยภาษา Golang สามารถทำงานแบบ Cross-platform ทั้งบน x86, x64 และ ARM มุ่งเป้าโจมตี phpMyAdmin, MySQL, FTP และ Postgres เป็นหลัก

GoBruteforcer นั้นทำการแสกนหาเป้าหมายในแต่ละ IP Address หลังจากนั้นจะค้นหา Service Port ที่เปิดอยู่และโจมตีด้วย Brute force attack โดยจะทำการเดาสุ่มรหัสผ่านหรือรหัสผ่านแบบ Default และถ้าหากเข้าถึงระบบได้สำเร็จ จะทำการติดตั้ง IRC bot หรือ PHP Web Shell ลงไปยังเครื่องของเหยื่อ เพื่อรอรับคำสั่งถัดไปจาก Command-and-control Server

Credit: Palo Alto Networks

ผู้ดูแลระบบจึงควรหมั่นตรวจสอบความมั่นคงปลอดภัยของ Server อยู่อย่างสม่ำเสมอ รวมถึงไม่ใช้รหัสผ่านที่คาดเดาได้ง่าย ปัจจุบัน GoBruteforcer นั้นมีการพัฒนาและปรับเปลี่ยนวิธีการโจมตีอยู่ตลอด ซึ่งอาจมีการปรับเปลี่ยน Payload เพื่อหลีกเลี่ยงการตรวจจับในอนาคต

ที่มา: https://www.bleepingcomputer.com/news/security/new-gobruteforcer-malware-targets-phpmyadmin-mysql-ftp-postgres/

from:https://www.techtalkthai.com/new-gobruteforcer-malware-targets-phpmyadmin-mysql-ftp-and-postgres/

จับตาให้ดี แก๊งแรนซั่มแวร์ Medusa กลับมาระบาดหนักอีกครั้ง! เจาะกลุ่มบริษัททั่วโลก

ปฏิบัติการแรนซัมแวร์ภายใต้ชื่อว่า Medusa เริ่มกลับมาเพิ่มขึ้นอีกในปี 2023 โดยมุ่งเป้าหมายเหยื่อกลุ่มบริษัททั่วโลก วางแผนจะเรียกค่าไถ่มูลค่าล้านเหรียญดอลลาร์

แรนซั่มแวร์ Medusa เริ่มแรกนั้น เกิดขึ้นในเดือนมิถุนายนปี 2021 แต่พวกมันไม่ค่อยมีกิจกรรมมากมายนักและมีเหยื่อที่โดนโจมตีเพียงเล็กน้อยเท่านั้น อย่างไรก็ตามในปี 2023 นี้ กลุ่มแรนซัมแวร์ ได้เพิ่มความเข้มแข็งขึ้นกว่าเดิมและมีการเปิดบล็อกที่ชื่อว่า ‘Medusa Blog’ เอาไว้เปิดเผยข้อมูลของเหยื่อที่ไม่ยอมจ่ายค่าไถ่ด้วย

สำหรับ Medusa นี้ มาได้รับการสนใจจากสื่อในสัปดาห์ที่ผ่านมา หลังจากที่พวกเขาอ้างว่าเป็นผู้อยู่เบื้องหลังการโจมตีต่อเขตการศึกษาสาธารณะของทาง Minneapolis (Minneapolis Public Schools: MPS) และก็ได้มีการแชร์ข้อมูลที่ขโมยไปในรูปแบบวิดีโอ

อ่านเพิ่มเติมที่นี่ – BPC

from:https://www.enterpriseitpro.net/medusa-ransomware-gang-picks-up-steam/

ESET พบมัลแวร์ BlackLotus ฝังตัวในเคอร์เนลหลังบูตเครื่องได้แม้เปิด Secure Boot

ทีมวิจัยของ ESET รายงานถึงมัลแวร์ BlackLotus ที่มีกลุ่มแฮกเกอร์อ้างกันว่าสามารถใช้มัลแวร์ตัวนี้ฝังไปยังเครื่องของเหยื่อได้แม้เหยื่อจะเปิด Secure Boot เพื่อป้องกันการแก้ไขเคอร์เนลก็ตามที โดยผู้พัฒนาอาศัยช่องโหว่ CVE-2022-21894 ในเคอร์เนลวินโดวส์

ความสามารถในการเจาะทะลุ Secure Boot ทำให้ BlackLotus ฝังอยู่ส่วนลึกที่สุดของซอฟต์แวร์ในเครื่อง และรันในสิทธิ์ระดับสูงมากทำให้แก้ไขเครื่องได้หลายรูปแบบ เช่น ปิดการทำงาน BitLocker และสามารถเพิ่มหรือลดสิทธิ์ของ process ต่างๆ ในเครื่องได้ในกรณีนี้ BlackLotus จะลดสิทธิ์ที่โปรแกรมป้องกันไวรัสจำเป็นต้องใช้งานเพื่อป้องกันไม่ให้ตัวเองถูกตรวจจับได้

Secure Boot เป็นกระบวนการยืนยันความถูกต้องของเฟิร์มแวร์และซอฟต์แวร์ต่างๆ ในกระบวนการบูตคอมพิวเตอร์ขึ้นมา หากซอฟต์แวร์ตัวใดถูกแก้ไขด้วยมัลแวร์ กระบวนการบูตก็จะล้มเหลวจนทำให้ผู้ใช้ต้องติดตั้งใหม่หรือกู้คืนซอฟต์แวร์เวอร์ชั่นที่ถูกต้อง ทำให้ปกติไม่สามารถฝังมัลแวร์เอาไว้ในระบบปฎิบัติการให้คงทนข้ามการบูตเครื่องได้

แฮกเกอร์ต้องเข้าถึงเครื่องได้ก่อนจึงจะติดตั้งมัลแวร์ลงไปได้ โดยตัวติดตั้งต้องการสิทธิ์ระดับ Administrator แต่เมื่อติดตั้งสำเร็จแล้วโค้ดก็จะโหลดเข้าเคอร์เนลทุกรอบหลักบูตเครื่องใหม่ จากนั้นมัลแวร์จะติดต่อเซิร์ฟเวอร์เพื่อรับคำสั่งต่อไป

ตัวมัลแวร์เริ่มประกาศขายมาตั้งแต่เดือนตุลาคม 2022 ที่ผ่านมา ยังไม่แน่ชัดว่ามีการใช้งานมากน้อยแค่ไหนฃ

ที่มา – ESET

Topics: 

ESET

Malware

Security

from:https://www.blognone.com/node/132870

นอร์เวย์ยึดเงินคริปโตมูลค่ากว่า 5.84 ล้านดอลลาร์ฯ ของแก๊งแฮ็กเกอร์ Lazarus

หน่วยงานตำรวจของนอร์เวย์ Økokrim ได้ประกาศยึดทรัพย์มูลค่ามากถึง 60 ล้าน NOK (เทียบเท่าประมาณ 5.84 ล้านดอลลาร์สหรัฐฯ) ในรูปของเงินคริปโตที่ถูกจารกรรมมาโดยกลุ่ม Lazarus ตั้งแต่เดือนมีนาคม 2022

เงินนี้มาจากกรณีแฮ็ก Axie Infinity Ronin Bridge ซึ่งตำรวจนอร์เวย์ภูมิใจมากที่แสดงให้เห็นว่าตัวเองมีความสามารถสูงในการติดตามเงินคืนแม้จะเป็นเทคโนโลยีที่ซับซ้อนอย่างบล็อกเชน แม้อาชญากรใช้วิธีที่ซับซ้อนมากก็ตาม

การตามยึดครั้งนี้ใช้เวลากว่า 10 เดือนตั้งแต่ตอนที่กระทรวงการคลังสหรัฐฯ ออกมาชี้ว่า กลุ่มแฮ็กเกอร์ที่เกี่ยวข้องกับทางการเกาหลีเหนือรายนี้ ได้จารกรรมเงินรวมมูลค่ามากถึง 620 ล้านดอลลาร์ฯ จาก Ronin Bridge

เป็นการทำงานร่วมกับหน่วยงานหลายประเทศเพื่อหาร่องรอยต่างๆ เอามาต่อจิ๊กซอว์ให้เห็นเส้นทางการเงิน จนทำให้อาชญากรเคลื่อนไหวในการฟอกเงินยากมาก อย่างเงินก้อนนี้ก็อาจจะถูกนำไปใช้สนับสนุนการพัฒนาอาวุธนิวเคลียร์ของเกาหลีเหนือได้

อ่านเพิ่มเติมที่นี่ – THN

from:https://www.enterpriseitpro.net/norway-seizes-5-84-million-in-cryptocurrency-stolen-by-lazarus-hackers/

พบมัลแวร์ Mirai สายพันธุ์ใหม่ที่สิงอุปกรณ์ลีนุกซ์ กลายเป็นกองทัพบอทเน็ต DDoS

บอทเน็ต Mirai สายพันธุ์ใหม่นี้ถูกตั้งชื่อว่า “V3G4” เจาะช่องโหว่มากถึง 13 รายการบนเซิร์ฟเวอร์และอุปกรณ์ IoT ที่ใช้ลีนุกซ์ เพื่อนำไปใช้ในการโจมตีแบบ Distributed Denial of Service (DDoS) โดยแพร่เชื้อด้วยการยิงรหัส Telnet/SSH ที่ตั้งง่ายๆ หรือใช้รหัสดีฟอลต์แบบ Brute-Force

พร้อมทั้งใช้ช่องโหว่ที่ฮาร์ดโค้ดมาตั้งแต่แรกบนอุปกรณ์เป้าหมายเพื่อรันโค้ดอันตรายจากระยะไกล หลังจากเจาะเข้าไปแล้ว ก็จะฝังตัวมัลแวร์ลงในอุปกรณ์ พร้อมทั้งเอาอุปกรณ์ดังกล่าวเข้าเป็นส่วนหนึ่งของกองทัพบอทเน็ตสำหรับใช้โจมตีต่างๆ ต่อไป

นักวิจัยที่ค้นพบมัลแวร์ใหม่นี้มาจาก Palo Alto Networks (Unit 42) จากแคมเปญการโจมตี 3 ครั้งที่แตกต่างกัน ที่มีรายงานความเคลื่อนไหวในช่วงระหว่างกรกฎาคมถึงธันวาคม 2022 ซึ่งทีม Unit 42 เชื่อว่าการโจมตีทั้งสามระลอกมาจากผู้อยู่เบื้องหลังกลุ่มเดียวกัน

ทั้งนี้เพราะโดเมนเซิร์ฟเวอร์สั่งการ (C2) ที่ฮาร์ดโค้ดไว้นั้นใช้ค่าสตริงเดียวกัน สคริปต์เชลล์ที่ดาวน์โหลดมาก็เหมือนกัน แถมตัวไคลเอนต์ของบอทเน็ตที่ใช้ในทุกการโจมตีก็มีฟีเจอร์และลักษณะการทำงานเหมือนกันหมดด้วย

อ่านเพิ่มเติมที่นี่ – BPC

from:https://www.enterpriseitpro.net/new-mirai-malware-variant-infects-linux-devices/