Thailand People Cyber Army Cyber News

แม้ว่าในช่วง Covid-19 แฮ็กเกอร์หลายกลุ่มได้ปฏิญาณว่าจะละเว้นการโจมตีโรงพยาบาล หรือหน่วยงานทางการแพทย์ แต่ ExecuPharm หนึ่งในบริษัทยาของสหรัฐฯ ดูเหมือนจะไม่เข้าเงื่อนไขของกลุ่มคนร้ายเนื่องจากน่าจะได้ประโยชน์ทางธุรกิจเสียมากกว่า ดังนั้นหลังจากที่ถูกโจมตีด้วย Ransomware แล้วแฮ็กเกอร์ยังได้ปล่อยข้อมูลลง Dark Web ด้วย เรื่องคือเมื่อวันที่ 13 มีนาคมบริษัทยาแห่งนี้ได้ถูกโจมตีด้วย Ransomware ผ่านทางการ Phishing ต่อมาวันที่ 17 เมษายนบริษัทได้แจ้งต่อหน่วยงานและเจ้าหน้าที่ผู้เกี่ยวข้อง รวมถึงจ้างผู้เชี่ยวชาญเข้าตรวจสอบ โดย ExecuPharm ชี้ว่าไฟล์ของพนักงานที่ได้รับผลกระทบประกอบด้วย เลขประกันสังคม เลขมใบขับขี่ ข้อมูลการเงิน เลขพาสสปอร์ตและอื่นๆ ซึ่งล่าสุดพบว่าข้อมูลเหล่านี้ถูกปล่อยลง Dark Web เรียบร้อยผ่านทางกลุ่มแฮ็กเกอร์นามแฝงว่า CLOP ซึ่งมีข้อมูลคือ อีเมล เอกสารผู้ใช้งาน ข้อมูลบัญชีการเงิน ฐานข้อมูลสำรอง ปัจจุบัน Ransomware ที่ CLOP ใช้โจมตีนี้ยังไม่มีเครื่องมือเข้าถอดรหัสได้ครับ ระยะหลังมานี้คนร้าย Ransomware มักนำข้อมูลของเหยื่อมาเป็นหลักประกันด้วย ดังนั้นการป้องกัน Ransomware จึงอาจไม่ใช่...

Nintendo บริษัทเกมชื่อดังออกมายอมรับ บัญชีผู้ใช้กว่า 160,000 รายถูกแฮ็กหลังพบเหตุล็อกอินและสั่งซื้อสินค้าไม่พึงประสงค์ คาดแฮ็กเกอร์ใช้ช่องโหว่จากระบบล็อกอินเก่าที่ยังใช้งานถึงปัจจุบัน ในช่วงไม่กี่สัปดาห์ที่ผ่านมานี้ มีลูกค้า Nintendo หลายรายออกมาโวยวายบน Twitter และ Reddit เกี่ยวกับเหตุแปลกปลอมที่เกิดขึ้นบนบัญชีของตน หลังจากทราบเรื่อง Nintendo ได้เริ่มทำการตรวจสอบและพบว่า มีผู้ไม่ประสงค์ดีได้ทำการล็อกอินเข้าไปยังบัญชีผู้ใช้ของลูกค้าหลาย แล้วทำการสั่งซื้อสินค้าดิจิทัลบนร้านค้าออนไลน์ของ Nintendo เช่น V-Bucks (เงินในเกม Fortnite) โดยใช้บัตรเครดิตของลูกค้าเหล่านั้น สาเหตุของปัญหาที่เกิดขึ้นนั้น Nintendo ระบุว่ามาจากการโจมตีผ่าน NNID (Nintendo Network ID) ซึ่งเป็นระบบล็อกอินเก่าของ Nintendo ที่ใช้กับ Nintendo 3DS และ Wii U (ปัจจุบันเลิกขายแล้ว) ซึ่งต่างจากบัญชีของ Nintendo ที่ใช้บน Nintendo Switch (เครื่องเกมรุ่นใหม่ เปิดตัวปี 2017) อย่างไรก็ตาม สามารถใช้ NNID ในการล็อกอินเข้าบัญชีของ Nintendo ได้ นั่นหมายความว่า ถ้าแฮ็กเกอร์สามารถเข้าถึงบัญชี NNID ได้แล้ว ก็จะสามารถเชื่อมไปเข้าถึงบ...

NSA และ Australian Signals Directorate (ASD) ได้ร่วมกันออกรายงานเพื่อช่วยผู้ดูแลองค์กรตรวจสอบและจัดการภัยคุกคามของ Web Shell Web Shell  เป็นโปรแกรมอันตรายหรือสคิร์ปต์ที่แฮ็กเกอร์นำไปติดตั้งกับเซิร์ฟเวอร์ที่เจาะได้แล้ว เพื่อทำหน้าที่เป็น Backdoor หรือรักษาการติดต่อ ทั้งนี้อาจจะเปิดให้แฮ็กเกอร์สามารถเข้ามาอัปโหลด ดาวน์โหลด เปลี่ยนแปลงแก้ไขไฟล์หรือได้ โดย Web Shell อาจถูกเขียนด้วยหลายภาษาเช่น PHP, GO และอื่นๆ  โดย NSA และ ASD ได้ร่วมกันออกเอกสารเป็น  PDF  เพื่อแนะวิธีการจัดการกับ Web Shell ซึ่งพูดถึงเรื่องต่างๆ ดังนี้ สคิร์ปต์เพื่อทำการสแกนเทียบเว็บไซต์บน Production กับ Image ที่มั่นใจว่าปลอดภัยอยู่ การใช้ Splunk เพื่อตรวจหา URL อันตรายในทราฟฟิคของเว็บ เครื่องมือวิเคราะห์ Log ของ IIS Signature โดยทั่วไปของ Web Shell ขั้นตอนในการค้นหา Network flow ที่ไม่คาดคิด ขั้นตอนการค้นหาโปรเซสที่ถูกเรียกผิดปกติด้วย Sysmon ขั้นตอนการค้นหาโปรเซสที่ถูกเรียกผิดปกติด้วย Auditd HIPS Rule เพื่อบล็อกการเปลี่ยนแปลงการเข้าถึงไดเรกทอรีเว็บ นอกจากนี้ยังได้พูดถึงช่อง...

Cyble ผู้เชี่ยวชาญด้านความมั่นคงปลอดภัยทางไซเบอร์ได้พบข้อมูลโปรไฟล์ผู้ใช้งาน Facebook กว่า 267 ล้านรายการ ถูกตั้งขายใน Dark Web สนนราคาราว 600 ดอลล่าร์หรือประมาณ 18,000 บาทเท่านั้น ปัจุบันผู้เชี่ยวชาญยังไม่ทราบที่มาของข้อมูลอย่างแน่ชัดก็ได้แต่คาดการณ์ว่าอาจมาจากการสแกนกวาดหาโปรไฟล์หรือจาก Third-party API (ก่อนหน้าการถูกระงับ) อย่างไรก็ดีมีเหตุการณ์ที่อาจเชื่อมโยงกันคือเดือนก่อนมีนักวิจัยที่ชื่อ Bob Diachenko เปิดเผยว่าพบฐานข้อมูล  Elasticsearch  ที่มีข้อมูลผู้ใช้งาน Facebook จำนวน 267 ล้านรายการ หลังจากเซิร์ฟเวอร์แรกถูกปิดไปก็มีเซอร์เวอร์ใหม่ที่มีข้อมูลชุดเดิมพร้อมข้อมูลใหม่เพิ่มขึ้นอีกกว่า 42 ล้านรายการ อย่างไรก็ตามข้อมูลไม่มีรหัสผ่านแต่มีข้อมูลประกอบด้วย ชื่อ เบอร์โทร และ Facebook ID  ล่าสุดข้อมูลใหม่ที่ถูกเร่ขายใน Dark Web ก็ไม่มีรหัสผ่านเช่นกันแต่มีข้อมูลที่อาจจะนำไปสู่การ Phishing ได้เช่น ชื่อ อีเมล เบอร์โทรศัพท์ อายุ วันเกิด เพศ ที่อยู่ เป็นต้น ทั้งนี้ Cyble ได้จัดทำเว็บไซต์ให้ตรวจสอบการรั่วไหลข้อมูลไว้ที่  http://AmIbreached.com  (หากใครไม่เชื่อถือก็...

CyberArk ได้ออกเครื่องมือที่ชื่อว่า ‘SkyWrapper’ โดยจะช่วยผู้ใช้งาน AWS จับสังเกตการแทรกแซงของแฮ็กเกอร์ที่ลอบใช้บริการ Security Token Service นักพัฒนาบน AWS อาจจะมีการทำ Access Tokens หรือ Credentials หลุดหรืออาจจะทำ Hardcode ไว้ในแอป ซึ่งแฮ็กเกอร์สามารถที่จะได้ข้อมูลเหล่านั้นมาและแทรกแซงเข้ามายัง AWS ของเหยื่อต่อ อย่างไรก็ดีมีรายงานจาก CyberArk และ NetSPI ที่พบว่าแฮ็กเกอร์ได้ใช้สคิร์ปต์และ Key ที่มีกับบริการ Security Token Service เพื่อลูปสร้าง Token ชั่วคราวมาใช้เรื่อยๆ ซึ่งทำให้การแทรกแซงนั้นเนียนมากขึ้น ด้วยเหตุนี้เอง CyberArk จึงได้ออกเครื่องมือที่ชื่อว่า ‘SkyWrapper’ โดยหลักการคือจะสร้าง Excel เพื่อแสดงลิสต์ของ Token ชั่วคราวที่ใช้งานและ Access Key ที่ใช้สร้างมาให้ผู้ใช้เห็น ดังนั้นผู้ใช้ก็จะสังเกตได้แล้วว่า AWS Access Key ของตนถูกผิดปกติหรือไม่ นอกจากนี้ผู้ใช้งานยังจะได้เห็นภาพรวมของ Token ในบัญชีที่ใช้งานอยู่ด้วย ที่มา :   https://www.zdnet.com/article/new-tool-detects-aws-intrusions-where-hackers-abuse-self-replicating-tokens/

Linksys ได้ล็อกบัญชีบริการ Smart WiFi และแจ้งเตือนให้ผู้ใช้เร่งเปลี่ยนรหัสผ่าน หลังพบว่ามีลูกค้าหลายคนโดน Hijack บัญชีใช้งานและ Redirect ทราฟฟิคไปยังเว็บไซต์อันตราย บริการ SmartWiFi ของ Linksys ก็คือบริการ Cloud ที่เปิดให้ผู้ใช้งานสามารถบริหารจัดการอุปกรณ์เราเตอร์ได้ผ่าน Cloud นั่นเอง ด้วยเหตุนี้จึงเป็นที่หมายตาของแฮ็กเกอร์ ล่าสุดเมื่อเดือนก่อน Bitdenfender ได้ออกเตือนว่าพบแคมเปญโจมตีเราเตอร์จาก D-Link และ Linksys เพื่อเปลี่ยนค่า DNS ไปยังเว็บไซต์อันตราย ซึ่ง Linksys ได้แถลงยอมรับรายงานนี้แล้ว พร้อมทั้งตอบโต้ด้วยการล็อกบัญชีและให้ผู้ใช้งานเปลี่ยนรหัสผ่านเนื่องจากไม่สามารถตรวจสอบได้ว่าบัญชีไหนถูกแฮ็กไปแล้ว ทั้งนี้ยังแนะให้ผู้ใช้งานควรตั้งรหัสผ่านใหม่ที่ไม่เคยใช้กับบริการอื่นมาก่อนครับ ที่มา :   https://www.zdnet.com/article/linksys-asks-users-to-reset-passwords-after-hackers-hijacked-home-routers-last-month/

Cyble ผู้เชี่ยวชาญด้าน Cybersecurity ได้เปิดเผยเหตุการณ์ที่ค้นพบว่าข้อมูลผู้ใช้งาน Zoom ถูกเร่ขายอยู่ใน Dark Web ด้วยราคาสุดแสนจะถูก ผู้เชี่ยวชาญเผยว่าข้อมูลที่ถูกนำมาเร่ขายนี้ ถูกคัดกรองด้วยการนำเอาข้อมูล Credentials เก่าที่หลุดออกมาไปทำ Credential Stuffing เพื่อทดสอบว่ามีบัญชี Zoom อยู่ไหมซึ่งบัญชีที่สำเร็จก็นำมาคัดขายใน Dark Web โดย Cyble เผยว่าสามารถเข้าซื้อ Credentials ได้ถึง 530,000 บัญชี ด้วยราคาราว 0.0020 ดอลล่าร์สหรัฐต่อบัญชีเท่านั้น โดยข้อมูลยังประกอบด้วย อีเมล รหัสผ่าน Meeting URL และ  HostKey ตรงกันกับรายงานจาก IntSights ที่ก่อนหน้านี้พบว่ามีข้อมูล Credentials ถูกเร่ขายด้วยเช่นกันเพียงแต่จำนวนน้อยกว่า ซึ่งก็สันนิษฐานว่าเป็นส่วนหนึ่งของก้อนข้อมูลขนาดใหญ่ อย่างที่ Cyble รายงานตามหลังออกมาวันนี้ โดยสรุปก็คือข้อมูลนี้เป็นข้อมูลบัญชีเก่าอื่นๆ ที่เคยรั่วไหลมาแล้ว เพียงแต่ถูกนำมาตรวจหาความตรงกันกับบัญชี Zoom ผู้เชี่ยวชาญจึงแนะให้พยายามให้ Credentials ได้แต่ละบริการให้แตกต่างกัน อย่า Reuse รหัสผ่านและตรวจสอบข้อมูลของตัวเองว่ารั่วไหลหรือยังได้จากบริการต่างๆ เช่น Have I Been...

เพื่อรับมือกับ COVID-19 ที่กำลังแพร่ระบาดทั่วโลกในเวลานี้ Apple จึงได้จับมือกับ Google เพื่อพัฒนาให้ Smartphone ของตนเองนั้นสามารถแจ้งเตือนผู้ใช้งานได้หากผู้ใช้งานคนนั้นเคยมีประวัติเข้าใกล้ผู้ที่ติด COVID-19 เทคโนโลยีดังกล่าวนี้มีชื่อเรียกว่า Contact-Tracing โดยผู้ใช้งานจะต้องเปิดใช้ความสามารถนี้ด้วยตนเอง และหากพบว่าผู้ใช้งานมีความเสี่ยงจากการเคยเข้าใกล้ผู้ติดเชื้อ ก็จะทำการแจ้งเตือนให้ทำการกักกันตนเอง ซึ่งทั้งสองคาดว่าเทคโนโลบยีดังกล่าวนี้จะสามารถช่วยตรวจสอบความเสี่ยงให้กับหนึ่งในสามของประชากรทั้งโลกได้ Apple และ Google ระบุว่าเทคโนโลยีนี้จะถูกเปิดตัวออกมา 2 ขั้นบน iOS และ Android โดยในขั้นแรกช่วงกลางเดือนพฤษภาคมนี้ iPhone และ Android จะสามารถส่งข้อมูลที่เกี่ยวข้องกับการตรวจสอบความเสี่ยงโดยไม่ระบุตัวตนไปยังตัวกลางด้านสุขภาพผ่านทาง App ได้ และจะมี Framework เพื่อให้พัฒนา App สำหรับจัดการกับความสามารถดังกล่าวได้ ดังนั้นหากในระยะแรกนี้มีผู้ที่ตรวจพบว่าตนเองติดเชื้อ COVID-19 และมีข้อมูลอยู่ภายในระบบ ระบบก็จะสามารถทำการแจ้งเตือนคนอื่นๆ ในระบบที่เคยเข้าใกล้ผู้ติดเชื้อได้ทันทีโดยไม่สามา...

ผู้เชี่ยวชาญจาก Kaspersky ไว้เปิดเผยผลการศึกษามัลแวร์บนแอนดรอยด์ ‘xHelper’ ที่เรียกได้ว่าลบยากสุดๆ แม้ว่า Factory Reset ก็ยังไม่หาย xHelper  นั้นถูกพบครั้งแรกมากว่า 1 ปีแล้ว โดยจุดเด่นคือเมื่อติดแล้วกำจัดยากสุดๆ ซึ่งผลการศึกษาในเชิงเทคนิคจากทีมงาน Kaspersky สรุปได้ดังนี้ มีการเข้ารหัส Payload ของโทรจันในไฟล์ /asset/firehelper.jar เก็บข้อมูล OS Firmware, Model, ผู้ผลิตอุปกรณ์ส่งกลับหาเซิร์ฟเวอร์ C&C จากนั้นจะเรียกโทรจันตัวอื่นๆ ที่สุดท้ายแล้วจะไปเรียกโทรจัน Triada เพื่อเข้ามาโจมตีอุปกรณ์ด้วยช่องโหว่ให้ได้สิทธิ์ Root  ติดตั้ง xHelper ไว้บน System Partition โดยตรงรันตัวเองได้จาก Startup Partition  มีการตั้งค่า Folder ตัวเองให้เป็น  immutable attribute  ให้ลบได้ยากขึ้น ซึ่งไม่อนุญาตให้ลบแม้กระทั่ง Superuser มีการแก้ไขฟังก์ชันในไลบรารีของระบบเพื่อไม่ให้ผู้ใช้เข้าไป Mount System Partition ใน Write Mode เหมือนที่มัลแวร์ทำได้  อย่างไรก็ดีมัลแวร์ตัวนี้มีการโจมตีอยู่ในละแวกรัสเซียเป็นส่วนใหญ่และโดยมากจะติดเพราะไปดาวน์โหลดแอปอันตรายจากนอก Play Stor...

ไต้หวันสั่งห้ามหน่วยงานรัฐทุกแห่งใช้ Zoom ระบบ Video Conference ยอดนิยมหลังจากมีประเด็นเรื่องความมั่นคงปลอดภัยและความเป็นส่วนบุคคลถูกเปิดเผยออกมาเป็นจำนวนมาก นับเป็นรัฐบาลแรกที่ออกประกาศแบนการใช้ Zoom ในขณะนี้ รัฐบาลไต้หวันได้ออกคำสั่งเมื่อวันอังคารที่ผ่านมา ระบุว่า หน่วยงานรัฐควรหลีกเลี่ยงการใช้บริการอย่าง Zoom เนื่องจากอาจมีช่องโหว่ด้านความมั่นคงปลอดภัย หลังจากที่หลายหน่วยงาน รวมไปถึงบริษัทเอกชนจากทั่วโลกหันมาใช้ Zoom เพื่อประชุมออนไลน์แทนที่จะนัดเจอกันภายใต้สถานการณ์ที่ COVID-19 กำลังแพร่ระบาดอยู่ในขณะนี้ การแบนของรัฐบาลไต้หวันนี้นับเป็นคลื่นยักษ์ที่โหมใส่บริษัท Zoom ทันที หลังจากที่ความเชื่อมั่นของบริษัทถูกสั่นคลอนโดยนักวิจัยด้านความมั่นคงปลอดภัยจำนวนมากที่ออกมาแจ้งเตือนถึงช่องโหว่ด้านความมั่นคงปลอดภัยและประเด็นด้านความเป็นส่วนบุคคลซึ่งเสี่ยงต่อการถูกแฮ็กเกอร์ดักฟังการประชุมหรือขโมยข้อมูลส่วนบุคคลออกไปได้ รัฐบาลไต้หวันไม่ใช่องค์กรแรกที่ออกมาตอบสนองต่อประเด็นด้านความมั่นคงปลอดภัยนี้ ก่อนหน้านี้ Elon Musk จาก SpaceX และหน่วยงานด้านการศึกษาของเมืองนิวยอร์กก็ได้ประกาศแบนการใช้ Z...

Aqua Security ผู้เชี่ยวชาญด้านความมั่นคงปลอดภัยทางไซเบอร์ได้ออกรายงานเตือนแคมเปญการโจมตีใหม่ของกลุ่มคนร้ายที่หาประโยชน์จากการขุดเงินดิจิทัล ที่มุ่งโจมตีเซิร์ฟเวอร์ Docker ที่เปิดเผยผ่านอินเทอร์เน็ต ไอเดียก็คือคนร้ายได้มุ่งสแกนหาเซิร์ฟเวอร์ของ Docker ที่เปิดการเปิดให้เข้าถึง API ผ่านอินเทอร์เน็ตโดยไม่ใส่รหัสผ่าน จากนั้นก็จะเข้าไป Spin Ubuntu Instance ขึ้นมาเพื่อติดตั้งมัลแวร์ขุดเหมือง นอกจากนี้คนร้ายยังมีปฏิบัติการย่อยอื่นๆ ด้วย เช่น รันสคิร์ปต์เพื่อกำจัดมัลแวร์อื่นที่อาจรันอยู่แล้ว และพยายามโจมตีต่อไปยังเครือข่ายของ Container ที่รันอยู่ในองค์กร อย่างไรก็ดีนี่ไม่ใช่เหตุการณ์ใหม่สำหรับคนร้ายที่มุ่งโจมตี Docker หรือการใช้งาน Container โดย Aqua Security ได้แนะนำให้องค์กรรีวิวการตั้งค่าด้าน Security กับการใช้งาน Container ของตน เช่น มีการเปิดเผย API ผ่านอินเทอร์เน็ตหรือไม่ วางอยู่หลัง Firewall หรือจำกัดการใช้งานผ่าน VPN หรือยัง และหากมีการใช้งานก็ควรปิดเมื่อเลิกใช้แล้วด้วย ที่มา :   https://www.zdnet.com/article/docker-servers-targeted-by-new-kinsing-malware-campaign/ ...

Firefox เพิ่งจะมีการอัปเดตแพตช์ 2 ช่องโหว่ Zero-day เป็นการด่วน เนื่องจากพบว่ามีคนร้ายเริ่มใช้งานแล้ว ช่องโหว่ 2 รายการคือ CVE-2020-6819  – เป็นช่องโหว่ Use-after-free ที่เกิดขึ้นจาก Race Condition เมื่อรัน nsDocshell destructor CVE-2020-6820  – เป็นช่องโหว่ Use-after-free ที่เกิดขึ้นจาก Race Condition จากการจัดการ ReadableStream ทั้งสองช่องโหว่สามารถถูกจัดอยู่ในระดับร้ายแรง โดยคนร้ายสามารถประดิษฐ์เว็บไซต์อันตรายและล่อให้เหยื่อเข้าชมเพื่อใช้งานช่องโหว่ ซึ่งท้ายที่สุดอาจนำไปสู่การลอบรันโค้ดได้ ด้วยเหตุนี้เองทาง Firefox จึงแนะนำให้ผู้ใช้อัปเดตเป็นเวอร์ชัน 74.01 ด่วน สำหรับผู้ค้นพบการโจมตีด้วยช่องโหว่ดังกล่าวคือนักวิจัยด้านความมั่นคงปลอดภัยที่ชื่อ Francisco Alonso และ Javier Marcos อย่างไรก็ดีปัจจุบันยังไม่มีการเปิดเผยรายละเอียดของช่องโหว่ดังกล่าวมากนัก ที่มา :   https://www.zdnet.com/article/firefox-gets-fixes-for-two-zero-days-exploited-in-the-wild/  และ   https://www.bleepingcomputer.com/news/security/mozilla-patches-two-actively-exploi...

หลังจากที่มีข่าวรายวัน วันนี้ทาง Zoom ได้ประกาศว่าตนจะหยุดพักการอัปเดตฟีเจอร์เป็นเวลา 90 เพื่อเทความสนใจไปที่เรื่อง Security และ Privacy อย่างจริงจัง Zoom พบว่าจากเดือนธันวาคมที่มีผู้ใช้รายวันเพียง 10 ล้านคนต่อวัน ปัจจุบันกระโดดไปถึง 200 ล้านคนต่อวัน ซึ่งแน่นอนว่าพบปัญหาต่างๆ เกิดขึ้นตามมาเช่นกัน แต่ที่หนักคือการโดนเปิดเผยในเรื่องของ Security และ Privacy หลายประเด็น (ติตดามเพิ่มเติมได้ที่  1 , 2 ) ดังนั้นก่อนเหตุการณ์จะบานปลายไปมากกว่านี้ Zoom จึงต้องเร่งมือแก้ปัญหาแล้ว นอกจากนี้ Zoom ยังเพิ่มรางวัลในโปรแกรม Bug Bounty อีกด้วย ที่มา :   https://www.reviewgeek.com/39148/zoom-pauses-feature-updates-to-fix-its-privacy-and-security-issues/

LimeRAT เป็นโทรจันที่ถูกพบมาตั้งแต่ปี 2013 แล้ว ซึ่งคนร้ายได้คิดวิธีการหลบเลี่ยงการตรวจจับโดยอาศัยการเข้ารหัสใน Excel เวอร์ชันเก่า ไอเดียคือเราจะคิดว่าไฟล์ Excel ที่เข้ารหัสจะต้องใส่รหัสเพื่อเปิดไฟล์ก่อน แต่อันที่จริงแล้วมีการ Hardcode รหัสผ่าน ‘ VelvetSweatshop ‘ ใน Excel เวอร์ชันเก่าซึ่ง Excel ยังรองรับอยู่ (ข้อมูลจากในลิงก์ปี 2018) ทั้งนี้นักวิจัยจาก Mimecast พบว่าคนร้ายได้นำไปใช้กับมัลแวร์ LimeRAT เพื่อให้ตอนเปิดไฟล์ไม่ติดรหัสผ่าน ประกอบกับเมื่อเป็นไฟล์ประเภท Read-only ตัว Excel จะถอดรหัสผ่านให้อัตโนมัติ  ขอเพียงแค่เหยื่อคลิกเปิดไฟล์เท่านั้น อย่างไรก็ดีนักวิจัยยังพบฟีเจอร์อื่นๆ ของโทรจัน เช่น การแพร่ผ่านไดร์ฟ USB, ตรวจว่าอยู่ใน VM หรือไม่เพื่อไม่ให้ Reverse Engineering ได้โดยง่าย, ล็อกหน้าจอ และลอบขโมยข้อมูลเพื่อส่งไปกลับไปยังเซิร์ฟเวอร์ควบคุมเป็นต้น ทั้งนี้ไม่ว่าจะประดิษฐ์การโจมตีอย่างไรแต่ทางที่คนร้ายใช้ส่งไฟล์หาเหยื่อก็คืออีเมลนั่นเอง ที่มา :   https://www.zdnet.com/article/limerat-malware-is-being-spread-through-velvetsweatshop-excel-encryption-techniqu...

ช่วงนี้ Zoom ค่อนข้างจะได้รับการกล่าวถึงเป็นพิเศษทั้งในแง่ของ Privacy และ Security โดยมีข่าวอีกประเด็นที่ผู้เชี่ยวชาญพบว่าสามารถลอบขโมย Windows Credentials ได้ ไอเดียเกิดการที่แชทของโปรแกรม Zoom สามารถส่ง URL และแบบ Hyperlink เพื่อสามารถคลิกเปิดได้ทันที อย่างไรก็ตามมีผู้เชี่ยวชาญรายหนึ่งพบว่า Zoom จะเปลี่ยน Windows Networking UNC Path ( Naming System  บน Windows ที่ใช้เพื่อทำพวกไฟล์แชร์ โดยมี Format คือ ‘\\host-name\share-name\file_path’) ไปในรูปแบบที่คลิกเปิดได้ด้วย ซึ่งสำนักข่าว Bleeping Computer ได้ทดลองเรียกเปิดรูปแมวจากเซิร์ฟเวอร์ตามรูปด้านบน  ประเด็นปัญหาคือการใช้งาน UNC Path หมายความว่า Windows จะมีการเชื่อมต่อไปยังรีโมตไซต์ด้วย SMB Protocol ซึ่งโดยปกติแล้วจะมีการส่งชื่อล็อกอินและ NTLM Password ออกไปด้วย ทั้งนี้นักวิจัยพบว่าเขาสามารถดักจับ Password ที่ส่งเข้ามาได้เพื่อทำการแคร็กต่อซึ่งก็ไม่ได้ยากนัก (ตามรูปด้านบน) นอกจากนี้นักวิจัยยังชี้ว่าสามารถใช้วิธีการนี้สามารถใช้รันโปรแกรมที่อยู่ในคอมพิวเตอร์ได้ด้วย เช่น \\127.0.0.1 และก็มีอีกไอเดียจาก ผู้เชี่ยวชาญ ของ Google ที...