Thailand People Cyber Army Cyber News

  ตอนนี้มีความเคลื่อนไหวในหลายฝั่งเกี่ยวกับข่าวของซอฟต์แวร์ SolarWinds Orion ที่ถูกพบการแทรกแซงจากแฮ็กเกอร์ระดับรัฐสนับสนุน โดยล่าสุดมีข่าวที่กล่าวหาว่า Microsoft ก็เป็นหนึ่งในลูกค้าที่ได้รับผลกระทบ ซึ่ง Microsoft ก็ออกมายอมรับและแก้ไขแล้ว พร้อมปฏิเสธข้อมูลจาก Reuters ที่หาว่าคนร้ายได้เข้าถึงระบบ Production และขยายวงสู่กลุ่มลูกค้า Microsoft ก็เป็นหนึ่งในกลุ่มลูกค้าที่ใช้ซอฟต์แวร์ SolarWinds Orion เพียงแต่ว่า ปัจจุบันทีมงานได้ทำการกักกันและกำจัดส่วนที่มีความเสี่ยงแล้ว และยังไม่พบหลักฐานเพิ่มเติมที่บ่งชี้ว่าคนร้ายได้เข้าถึงระบบ Production หรือข้อมูลของลูกค้าใดๆ โดย Microsoft ก็ถือเป็นบริษัทใหญ่อีกหนึ่งรายที่ได้รับผลกระทบพร้อมกับ FireEye ที่ตกเป็นผู้เสียหายด้วย ทั้งนี้คนร้ายจะมุ่งไปที่องค์กรใหญ่หรือระดับรัฐบาลมากกว่าเช่นหน่วยงานรัฐบาลสหรัฐฯ ดังนี้ The US Treasury Department The US Department of Commerce’s National Telecommunications and Information Administration (NTIA) The Department of Health’s National Institutes of Health (NIH) The Cybersecurity and Infrastructure Agency (CISA) Th...

  Mordechai Guri นักวิจัยจาก Ben-Gurion University of the Negev ในอิสราเอลได้ตีพิมพ์ผลงานวิจัยที่ศึกษาเกี่ยวกับการทำให้ RAM แผ่สัญญาณ Wi-Fi ออกมาเพื่อลอบขโมยข้อมูลสำคัญได้ ในสภาพแวดล้อมที่มีมาตรการรักษาความมั่นคงปลอดภัยอย่างเข้มงวดเช่น หน่วยงานรัฐบาลหรือทางการทหาร จะมีการแยกเครื่องคอมพิวเตอร์ที่มีข้อมูลสำคัญไว้ในส่วนที่ไม่มีอินเทอร์เน็ต และรักษาระยะห่างจากการเข้าถึง (Air-gapped) ซึ่งล่าสุดนักวิจัยได้เผยแพร่ผลงานการโจมตีหรือ AIR-FI ที่คาดว่าจะเป็นปฏิปักษ์ต่อมาตรการนี้ แม้ว่าคอมพิวเตอร์จะไม่มีอุปกรณ์ส่งสัญญาณเลยก็ตาม แต่นักวิจัยหัวใสก็สรรค์สร้างวิธีการอันบรรเจิดออกมาจนได้ คืออย่างที่เรารู้กันว่าอุปกรณ์อิเล็กทรอนิกส์ที่มีกระแสไฟฟ้าไหลผ่านจะแผ่คลื่นแม่เหล็กไฟฟ้าออกมาแน่นอน ซึ่งคลื่นสัญญาณวิทยุก็คือคลื่นแม่เหล็กไฟฟ้า โดยนักวิจัยสามารถใช้มัลแวร์เข้าไปสร้างการผ่านของกระแสไฟฟ้าให้ RAM เกิดการแผ่สัญญาณที่ช่วงคลื่นย่าน 2.4 GHz อย่างคงที่ ส่งผลให้เมื่อนำอุปกรณ์รับสัญญาณมาอยู่ในระยะก็สามารถลอบขโมยข้อมูลออกมาได้ นอกจากนี้นักวิจัยชี้ว่าการโจมตีนี้จะสามารถใช้ได้จากสิทธิ์ในการใช้งานตามปกติไม่...

  Microsoft ได้ยกระดับการป้องกันให้แก่ผู้ใช้งานด้วยการอัปเดตให้ Defender บล็อกการรันไบนารีของ Orion จาก SolarWinds หลังมีข่าวพบว่าบางเวอร์ชันถูกแทรกแซงด้วยโทรจัน อย่างที่ได้รายงานไปก่อนหน้าที่ว่าซอฟต์แวร์ Orion ของ SolarWinds ตั้งแต่เวอร์ชัน 2019.4 ถึง 2020.2.1 ถูกแฮ็กเกอร์เข้าแทรกแซงด้วยมัลแวร์ Solorigate (ถูกขนานนามโดย Microsoft) ล่าสุด Microsoft ได้ยกระดับการป้องกันให้ผู้ใช้งานก่อนแล้วด้วยการอัปเดตให้ Defender บล็อกการรันซอฟต์แวร์เวอร์ชันที่มีปัญหาแม้ว่าอาจจะกระทบต่อการใช้งานขององค์กรก็ตาม อย่างไรก็ดีสำหรับใครที่ยังจำเป็นจริงๆ สามารถใช้  GPO  จาก Microsoft เพื่อละเว้นมาตรการนี้ได้ โดยเหตุการณ์ครั้งนี้ของ SolarWinds คาดว่ามีผู้ได้รับผลกระทบถึง 18,000 ราย ซึ่งคนร้ายยังลงมือกับหน่วยงานใหญ่ๆอยู่เท่านั้น ส่วนเหยื่อรายอื่นโทรจันยังแฝงตัวแต่ไม่เคลื่อนไหว ด้วยเหตุนี้เองก่อนเกิดเหตุร้ายแรงต่อไปทาง Microsoft และพาร์ทเนอร์จึงแนะนำให้ผู้ที่ได้รับผลกระทบปฏิบัติตัวดังนี้ แยกอุปกรณ์ที่ได้รับผลกระทบออกมาติดตามพฤติกรรมและสืบสวนว่ามีการโจมตีหรือยัง หาบัญชีต่างๆ ที่เข้าใช้อุปกรณ์และรีเซ็...

  เมื่อช่วงเย็นวันจันทร์หลายคนคงได้อยู่ร่วมในเหตุการณ์บริการของ Google เกือบทั้งหมดล่ม แต่แม้หลังจากแก้ปัญหาแล้ว เมื่อคืนนี้บริการ Gmail ในหลายโซนจาก อเมริกา ออสเตรเลีย นิวซีแลนด์ และบางส่วนในยุโรปก็พบปัญหาขึ้นอีก เมื่อคืนนี้มีรายงานว่าผู้ใช้งาน Gmail พบปัญหาของความล่าช้าหรือได้รับข้อความแจ้งผิดพลาด โดยมีผู้ใช้ทดลองส่งอีเมลจาก G Suite ไปหา Gmail ปกติ (ตัวฟรี) พบว่ามีการแจ้งข้อผิดพลาดว่าไม่พบอีเมลปลายทาง นอกจากนี้ยังส่งผลกระทบกับผู้ใช้งานอีเมลที่ส่งเมลเข้าไปหาบริการของ Gmail ด้วย โดยทีมงานใช้เวลาเกือบ 3 ชั่วโมงในการแก้ไขจน Gmail กลับมาใช้ได้ ก่อนหน้านี้เย็นวันจันทร์ (ตามเวลาประเทศไทย) บริการต่างๆ ของ Google ก็เรียกได้ว่าล่มทั่วโลก โดยกระทบกับบริการทั้ง Google Cloud Platform (Cloud Console, Cloud Storage, BigQuery และ GKE) และ Google Workspace (G Suite) ไปจนถึง YouTube ก็อ่วมไปตามๆกัน ซึ่งทีมงานได้แจงเหตุแล้วว่ามาจากปัญหาของระบบกำหนด Storage Quota อัตโนมัติที่ไปกระทบกับระบบพิสูจน์ตัวตน ทำให้ไปบล็อกบริการใดที่ต้องการพิสูจน์ตัวตน ก็ดูเหมือนว่าช่วงนี้ Public Cloud เจ้าใหญ่จะเสียอาการกัน...

  จากเมื่อวานที่มีรายงานข่าวว่า SolarWinds ถูกแทรกแซงในส่วนของซอฟต์แวร์ Orion คาดว่าจะมีลูกค้าที่ได้รับผลกระทบจริงๆ ราว 18,000 ราย ย้อนกลับไปจากเหตุที่ว่าซอฟต์แวร์ Orion ระหว่างเวอร์ชัน 2019.4 ถึง 2020.2.1 ถูกแทรกแซง ทำให้แฮ็กเกอร์สามารถลอบเข้าไปติดตั้งมัลแวร์ในเครือข่ายของเหยื่อที่ใช้งาน ล่าสุดทาง SolarWinds ได้ยื่นเอกสารแจ้งต่อสำนักงานคณะกรรมการกำกับหลักทรัพย์และตลาดหลักทรัพย์ (US SEC) ว่าจากลูกค้าทั้งหมดกว่า 300,000 ราย มี 30,000 รายที่ใช้งาน Orion และมีลูกค้าราว 18,000 รายที่ใช้เวอร์ชันที่ได้รับผลกระทบ อย่างไรก็ดีบริษัทได้แจ้งต่อลูกค้าทั้งหมดแล้ว ปัจจุบันแม้ว่า SolarWinds ยังไม่ได้เปิดเผยว่าคนร้ายเข้ามาการแทรกแซงถึง Orion ได้อย่างไร แต่ดูเหมือนว่า Microsoft จะแจ้งเตือนว่าพบการแทรกแซงบัญชี Office 365 และ Office Productivity ซึ่งยังไม่แน่ชัดว่าอาจเป็นช่องทางที่คนร้ายใช้เข้ามาหรือไม่และได้ข้อมูลลูกค้าไปหรือเปล่า แต่หากประเมินความรุนแรงต้องบอกว่าการแฮ็ก SolarWinds ส่งผลในวงกว้างมากทั้งหน่วยงานรัฐบาลสหรัฐฯ FireEye และอื่นๆ เชื่อแน่ว่าเมื่อสืบสวนความจริงกระจ่างกว่านี้ จะกลายเป็นกรณีศ...

  สำหรับแพตช์อุดช่องโหว่รายเดือนของ Microsoft ได้มีการประกาศแก้ไขช่องโหว่จำนวน 58 รายการ โดยมีช่องโหว่ร้ายแรง 9 รายการ จึงแนะนำให้ผู้ใช้เร่งอัปเดต ช่องโหว่ที่น่าสนใจมีดังนี้ ADV200013  – อุดช่องโหว่ DNS Cache Poisoning ซึ่งมาจากการทำ IP Fragmentation ที่ส่งผลกระทบต่อ Windows DNS Resolver โดยแก้ไขค่า Maximum UDP Packet ใน Registry  CVE-2020-17095  – ช่องโหว่ RCE ซึ่งโปรแกรมที่รันใน Hyper-V สามารถลอบรันโค้ดบนโฮสต์ได้ CVE-2020-17096  – ช่องโหว่ RCE ใน Windows RTFS ซึ่งนำไปสู่การยกระดับสิทธิ์ CVE-2020-17099  – ช่องโหว่ที่ช่วยให้คนร้ายสามารถรันคำสั่งได้ในอุปกรณ์ที่หน้าจอล็อกอยู่ ผู้สนใจสามารถติดตามรายการอัปเดตทั้งหมดได้ ที่นี่   ที่มา :  https://www.bleepingcomputer.com/news/security/microsoft-december-2020-patch-tuesday-fixes-58-vulnerabilities/

  FireEye ผู้เชี่ยวชาญด้านไซเบอร์ซิเคียวริตี้ได้ประกาศเหตุ Security Breach โดยแฮ็กเกอร์สามารถเจาะเข้ามาและขโมยเครื่องมือฝั่ง Red Team ออกไป หลังจากสืบสวนหาหลักฐานร่วมกับ FBI และ Microsoft ค่อนข้างแน่ใจแล้วว่าแฮ็กเกอร์มือฉมังนี้อยู่ในกลุ่มรัฐสนับสนุนแน่นอน เนื่องจากใช้วิธีการที่หลบเลี่ยงการตรวจจับประกอบกับวิธีการใหม่ที่บริษัทและพาร์ทเนอร์เองไม่เคยเห็นมาก่อน ซึ่งการโจมตีครั้งนี้คนร้ายสามารถขโมยเครื่องมือเจาะระบบที่ทีมงานใช้ช่วยลูกค้าออกไปได้ แต่ทีมงานชี้ว่าเครื่องมือนั้นไม่ได้มีช่องโหว่ Zero-day และส่วนใหญ่เปิดเผยต่อสาธารณะอยู่แล้ว นอกจากนี้ยังไม่พบหลักฐานการเข้าถึงข้อมูลของลูกค้า โดยในฝั่งการป้องกันทีมงาน FireEye มีมาตรการดังนี้ จัดเตรียมมาตรการตรวจจับหากมีการนำเครื่องมือที่ถูกขโมยไปใช้งาน เตรียมการป้องกันใส่ในผลิตภัณฑ์ของตน แชร์ข้อมูลการป้องกันกับพาร์ทเนอร์และกลุ่มสังคมด้าน Security ให้ผลิตภัณฑ์อื่นนำไปพัฒนาการป้องกัน แชร์การป้องกันไว้บน  GitHub  ซึ่งประกอบด้วย Snort และ Yara Rule ให้องค์กรนำไปใช้ได้ทันที จับตาและพัฒนาการป้องกัน หากพบว่าเครื่องมือที่ถูกฉกไปเริ่มถูกนำมาใช้...

  FBI ได้ออกโรงเตือนว่าพบการใช้ฟีเจอร์ Auto Email Forwarding ในส่วนหนึ่งของการบวนการโจมตีแบบ BEC หรือ Business Email Compromise คนร้ายในกลุ่มของ BEC มักจะมีมีพฤติกรรมทำ Social Engineering, Phishing หรือแม้กระทั่งแฮ็กบัญชีธุรกิจของเหยื่อ เพื่อจุดหมายปลายทางคือเรื่องทางการเงินเช่น การปลอมแปลงเป็นใครบางคนและหลอกให้เหยื่อโอนเงินให้เป็นต้น อย่างไรก็ดีคนร้ายจะต้องรู้ข้อมูลบางอย่างที่สามารถปลอมเป็นตัวบุคคลนั้นได้อบ่างแนบเนียน ในกรณีที่ FBI แจ้งเตือนคือพบว่าเมื่อคนร้ายลอบเข้าไปยังบัญชีอีเมลของเหยื่อได้แล้ว คนร้ายได้สร้าง Email Forwarding Rule ใน Web Client ซึ่งไม่ได้ซิงค์โครไนซ์กับโปรแกรมอีเมล ทำให้แอดมินขององค์กรก็ไม่สามารถตรวจจับได้ ทั้งนี้ FBI ได้ยกกรณีศึกษาจริง 2 ครั้ง ซึ่งคนร้ายมีการอ้างตัวเป็น Vendor ต่างชาติหลอกให้โอนเงินสูญไปกว่า 175,000 เหรียญสหรัฐฯ และอีกกรณีคือคนร้ายได้ไปสร้าง Rule เพื่อ Forward อีเมลที่มีคำว่า Bank, Payment, Invoice, Wire หรือ Check ไปยังอีเมลของตน นอกจากนี้ FBI ยังได้ชี้ว่าคนร้ายมีการใช้ทั้ง Office 365 และ G Suite ในการโจมตีหลายครั้ง ซึ่งแม้ว่าทั้งสองจะมีฟีเจอ...

  มีการค้นพบว่าในตลาดใต้ดินกำลังเสนอขาย Credentials บัญชีอีเมล ของผู้บริหารระดับสูงจำนวนหลายร้อยรายในหลายประเทศ ซึ่งจากการตรวจสอบเบื้องต้นพบว่าใช้ได้จริง ผู้บริหารระดับสูงหลายบริษัทคงไม่ทราบเรื่องว่าตัวเองและบริษัทกำลังตกอยู่ในความเสี่ยง เพราะล่าสุดทาง ZDnet ได้เปิดเผยว่าในตลาดใต้ดิน Exploit.in มีการเร่ขาย Credentials บริการ Office 365 และ Microsoft ของบุคคลระดับใหญ่เหล่านั้น เช่น C-Level ต่างๆ หรือ Director และ Executive ทั้งหลาย ด้วยสนนราคาเริ่มที่ 100 ถึง 1,500 ดอลล่าร์สหรัฐฯต่อบัญชีตามขนาดบริษัทหรือตำแหน่งของเหยื่อ โดยจากแหล่งข่าวนิรนามได้ตรวจสอบเบื้องต้นพบว่า Credentials บางส่วนใช้ได้จริงและกำลังขยายผล แม้ว่าผู้ขายจะไม่ยอมเปิดเผยที่มา แต่มีรายงานจากบริษัทผู้เชี่ยวชาญ KELA พบว่ากลุ่มคนร้ายรายเดียวกันเคยมีประวัติรับซื้อ Log ที่ได้มาจากมัลแวร์ประเภทลอบขโมยข้อมูลที่ชื่อ AzorUlt ซึ่งมักปะปนข้อมูล Username และ Password ต่างๆ จึงคาดว่าคนร้ายน่าจะนำมาคัดแยกเพื่อขายต่อ การรั่วไหลของข้อมูลเหล่านี้มีขึ้นอยู่เรื่อยๆ และระยะหลังก็พบบ่อยขึ้น โดยอาจนำไปใช้ประโยชน์ได้มากมาย ทั้ง Business Emai...

  มีรายงานว่า Microsoft กำลังทำโปรเจ็คใหม่ที่จะช่วยให้แอปพลิเคชันบน Android สามารถเข้ามารันบน Windows 10 ได้เหมือนกับที่เคยทำบน Linux มาแล้ว Android OS มีสัดส่วนตลาดกว่า 70% ทีเดียว ดังนั้นไม่น่าแปลกใจที่ Microsoft จะสนใจเข้ามารุกในตลาดนี้ ด้วยเหตุนี้เองจึงจัดตั้งโปรเจ็คพิเศษหรือ Latte ขึ้นมาเพื่อทำสิ่งคล้ายๆ กับที่ทำ Subsystem for Linux (WSL) โดยจะมีการทำ Virtualize ให้การรันแอปพลิเคชันบน Android ใน Windows 10 ได้โดยตรง แทนที่จะแค่ Streaming แอปจากโทรศัพท์เหมือนที่เคยเผยมาก่อนหน้า ดังนั้นในอนาคตนักพัฒนาอาจจะทำการเผยแพร่แอปพลิเคชันของตนได้ผ่านทาง Microsoft Store ซึ่งปัจจุบันทีมงานกำลังหาทางที่จะช่วยให้นักพัฒนาย้ายแอปมาทำงานบน Windows 10 โดยไม่ต้องแก้ไขโค้ดอยู่ นอกจากนี้อีกประเด็นคือเรื่องของกราฟฟิคที่บน WSL2 ได้แก้ไขด้วยการใช้ Wayland display server เข้ามาช่วยให้รันกราฟฟิคบน Windows 10 ดังนั้นในฝั่งของ Android ก็คงจะเห็นภาพในเร็วๆนี้ ที่มา :  https://www.bleepingcomputer.com/news/microsoft/microsoft-is-working-on-an-android-subsystem-for-windows-10/