Thailand People Cyber Army Cyber News

  นักวิจัยด้านความมั่นคงปลอดภัยจาก Red Canary ได้ค้นพบ Malware ใหม่ที่มีชื่อว่า Silver Sparrow ซึ่งเน้นโจมตี macOS เป็นหลัก และยังสามารถทำงานได้บนเครื่องที่ใช้ชิป M1 โดยปัจจุบันมีการตรวจพบเหยื่อที่ติด Malware นี้ไปแล้วเกือบ 30,000 เครื่อง นักวิจัยจาก Red Canary ได้ทำการวิเคราะห์ Malware ตัวนี้ร่วมกับทีมนักวิจัยจาก Malwarebytes และ VMware Carbon Black โดยปัจจุบันนี้มีการพบว่ามีเครื่อง macOS ที่ติด Malware นี้ไปแล้ว 29,139 เครื่องจากการสำรวจใน 153 ประเทศเมื่อวันที่ 17 กุมภาพันธ์ 2021 ที่ผ่านมา ซึ่งถือเป็นอัตราการแพร่ระบาดที่รวดเร็วจนน่าจับตามอง ทีมนักวิจัยยังไม่มีการเปิดเผยรายละเอียดของวิธีการที่ใช้ในการแพร่ระบาดมากนัก และยังไม่แน่ใจว่าเป้าหมายของ Malware นี้คืออะไร โดยเมื่อ Silver Sparrow สามารถฝังตัวเข้าไปในเครื่องของเหยื่อได้แล้ว Malware นั้นจะรอรับคำสั่งจากผู้โจมตี ซึ่งปัจจุบันนี้ก็ยังไม่เคยมีการตรวจพบคำสั่งใดๆ ที่ถูกส่งมายังเครื่องของเหยื่อแต่อย่างใด อย่างไรก็ดี ทีมนักวิจัยก็ยังไม่ฟันธงว่าการทำงานของ Malware ตัวนี้มีความผิดพลาด รวมถึงยังมีความเป็นไปได้ว่า Malware ตัวนี้ยังอาจตรว...

  Microsoft ได้ประกาศสรุปการสืบสวนขอบเขตการโจมตีของกลุ่มคนร้ายที่เข้ามาทางผลิตภัณฑ์ของ SolarWinds ในเดือนธันวาคมปีก่อน เมื่อเดือนธันวาคมปีก่อน SolarWinds ได้ประกาศเหตุถูกแทรกแซงซอฟต์แวร์ Orion ในบางเวอร์ชัน ทำให้ส่งผลกระทบกับลูกค้ามากมาย ซึ่งหนึ่งในเหยื่อที่คนร้ายเจาะจงก็คือ Microsoft (อ่านข่าวเก่าจาก TechTalkthai ได้ที่  https://www.techtalkthai.com/solarwinds-supply-chain-was-compromised-by-russian-hacker/  และ  https://www.techtalkthai.com/solarwinds-orion-security-breach-effects-18000-customers/ ) โดยล่าสุดทีมงานได้สรุปขอบเขตของผลกระทบไว้ว่า คนร้ายอาจจะสามารถดาวน์โหลดโค้ดบางส่วนใน Repository ของ Azure, Intune และ Exchange ออกไปได้ อย่างไรก็ดีคนร้ายได้พยายามค้นหาข้อมูลอันเป็นประโยชน์เช่น API Keys, Credential และ Security Token ที่หวังว่าจะถูกเก็บอยู่ใน Source Code ทั้งนี้ Microsoft ชี้ว่าตนมีนโยบายการทำงานอย่างรัดกุมไม่ให้เก็บ Secret ไว้ในโค้ดอยู่แล้ว รวมถึงมีการใช้เครื่องมืออัตโนมัติตรวจสอบดูด้วย จึงยืนยันว่า Repository ไม่ข้อมูล Credential ที่ใช้อยู่ในระบบจริงแน...

  มีการรายงานที่เกิดขึ้นกับ Brave Browser ในโหมดของ ‘Private Window with Tor’ ซึ่งเผย Tor Onion URL ไปยัง DNS Server ที่ผู้ใช้ตั้งเอาไว้ Brave Browser เป็น Chromium-based Browser ตัวหนึ่งที่โฟกัสเรื่องของ Privacy โดยมีฟีเจอร์ช่วยบล็อกการโฆษณาในตัว การควบคุมด้านข้อมูล หรือมีโหมดการใช้งานบน Tor ซึ่งเน้นความเป็น Anonymity ในการใช้งาน (มีเว็บไซต์มากมายที่เข้าถึงได้ผ่าน Tor เท่านั้น ซึ่งเว็บไซต์ในเครือข่ายจะอ้างอิงกันด้วย onion URL Address เช่น New York Times คือ https://www.nytimes3xbfgragh.onion ) โดยในการใช้ Tor Brave จะทำตัวเป็น Proxy ไปยังเครือข่ายของ Tor อย่างไรก็ดีมีผู้คนพบว่า Brave ได้เผย onion URL ไปยัง DNS Server ที่เราตั้งเอาไว้ในเครื่อง  หลังจากที่ทีมงานของ Brave ได้รับแจ้งจึงตรวจดูพบว่ามีบั๊กในฟีเจอร์ CNAME Declocking ในฟีเจอร์ Ad-blocking ที่เปิดเพื่อบล็อก Tracking Script จาก 3rd-party ด้วยเหตุนี้เองจึงได้ปิด CNAME Adblocking เมื่อผู้ใช้เปิดโหมด Tor Browsing โดยคาดว่าจะแก้ไขเรียบร้อยในเวอร์ชันทดลอง 1.21.x ที่มา :  https://www.bleepingcomputer.com/news/s...

  มีการเปิดเผยฟีเจอร์ใหม่ใน iOS 14.5 ที่จะปล่อยออกมาอีกไม่นานว่า Apple ได้ช่วยปิดบังไอพีผู้ใช้จาก Google อีกชั้นหนึ่ง Google Safe Browsing เป็นเทคโนโลยีที่ช่วยคัดกรองเว็บไซต์ที่อันตราย โดยเปรียบเทียบกับปลายทางที่ผู้ใช้จะไปกับฐานข้อมูลเว็บไซต์ของตนว่ามีอันตรายหรือไม่เพื่อแจ้งเตือน โดยแม้ว่า Google จะพยายามทำให้เกิดความเป็นส่วนตัวที่สุดด้วยการใช้ Hash มาเปรียบเทียบ แต่ Google ก็ยังเห็นไอพีของผู้ใช้งาน Safe Browsing อยู่ดี ด้วยเหตุนี้เองใน iOS 14.5 ทราฟฟิคของผู้ใช้งาน Safe Browsing จะถูก Route ผ่านเซิร์ฟเวอร์ Proxy ของ Apple ก่อน นั้นหมายความว่า Google ก็จะไม่เห็นไอพีของผู้ใช้งาน iOS แล้ว ซึ่งเพิ่มความเป็นส่วนตัวของผู้ใช้ได้นั่นเอง ที่มา :   https://www.zdnet.com/article/apple-will-proxy-safe-browsing-traffic-on-ios-14-5-to-hide-user-ips-from-google/  และ  https://the8-bit.com/apple-proxies-google-safe-browsing-privacy/

  ถือเป็นอีกหนึ่งเหตุการณ์ที่แสดงให้เห็นว่า Infrastructure ของประเทศ ที่เชื่อมต่อระบบไอทีกำลังกลายเป็นเป้าหมายของเหล่าแฮ็กเกอร์เพิ่มขึ้นเรื่อยๆ โดยครั้งนี้เหยื่อเป็นโรงงานบำบัดน้ำในเมือง Oldsmar ของฟลอริดา การรุกรานของแฮ็กเกอร์เกิดขึ้นเมื่อวันที่ 5 กุมภาพันธ์ที่ผ่านมา โดยการเข้าถึงครั้งแรกเกิดขึ้นช่วงประมาณ 8 โมงเช้า (US Time) และอีกครั้งในช่วงบ่ายของวันเดียวกัน สิ่งที่แฮ็กเกอร์ทำคือการเข้าถึงเครื่องควบคุมแบบรีโมตของระบบ และไปสั่งเพิ่มระดับสารเคมีโซเดียมไฮดรอกไซต์จาก 100 ต่อล้านส่วนเป็น 11,000 ต่อล้านส่วน ซึ่งแน่นอนว่าอยู่ในระดับอันตราย เคราะห์ดีที่เหตุการณ์ครั้งนี้ถูกพบได้เพราะคนที่ควบคุมระบบตัวจริงเห็นเม้าส์เลื่อนไปมาบนหน้าจอ จึงแก้ไขระบบกลับสู่ปกติได้ทันก่อนจะมีการปล่อยสารออกมาไปสู่ประชาชน ถือเป็นอีกหนึ่งข่าวที่สะท้อนให้เห็นความสำคัญของ OT ที่เชื่อมต่อกับ IT ในโรงงานนะครับ เพราะนี่เป็นครั้งที่สองแล้วกับข่าวโจมตีโรงงานน้ำและพยายามปรับระดับสารเคมี เพียงแต่ทั้งสองครั้งยังไม่ประสบความสำเร็จถึงการสร้างความเสียหายจริง ที่มา :  https://www.zdnet.com/article/hacker-modified-drinkin...

  Google ได้ออกแพตช์ด่วนให้แก่ Chrome เนื่องจากพบการโจมตีจริงจากกลุ่มแฮ็กเกอร์ของเกาหลีเหนือแล้ว Chrome เวอร์ชัน 88.0.4324.150 คือการอุดช่องโหว่หมายเลข CVE-2021-21148 หรือช่องโหว่ Heap Overflow จากบั๊กในหน่วยความจำของ V8 JavaScript ทั้งนี้มีการรายงานจากผู้เชี่ยวชาญเมื่อวันที่ 24 มกราคมแต่ทีมงาน Google เผยว่าพบคนร้ายเกาหลีเหนือก่อเหตุโจมตีก่อนหน้าแล้ว โดยหลอกล่อให้นักวิจัยด้านความมั่นคงปลอดภัยเข้ามาที่บล็อกและลอบโจมตี Browser ด้วยช่องโหว่นี้ ดังนั้นจึงแนะนำให้ผู้ใช้งานอัปเดตกันด้วยครับ ที่มา :  https://www.zdnet.com/article/google-patches-an-actively-exploited-chrome-zero-day/

  Cisco ได้ประกาศอุดช่องโหว่ร้ายแรงให้ SMB VPN Router ที่สามารถเข้ามาทำ Remote Code Execution ได้ในสิทธิ์ระดับ Root ช่องโหว่มีความร้ายแรงถึง 9.8/10 โดยเพียงแค่คนร้ายส่ง HTTP Request แบบพิเศษเข้ามาโจมตี Web UI ทั้งนี้ช่องโหว่เกิดขึ้นกับ Firmware เวอร์ชันก่อน 1.0.01.02 ใน Router รุ่น RV160 VPN Router, RV160W Wireless-AC VPN Router, RV260 VPN Router/POE และ RV260W Wireless-AC VPN Router จึงได้เตือนให้ผู้ใช้งานอัปเดต Firmware แม้ปัจจุบันยังไม่พบการโจมตีจริงในช่องโหว่ดังกล่าว ที่มา :  https://www.bleepingcomputer.com/news/security/cisco-fixes-critical-code-execution-bugs-in-smb-vpn-routers/

  ทีมนักวิจัยจากประเทศจีนได้ออกมาเผยถึงเทคนิคในการทำ Website Fingerprint บน QUIC ซึ่งอาจทำให้ผู้โจมตีสามารถรับรู้ถึงพฤติกรรมการเชื่อมต่อเข้าถึงเนื้อหาต่างๆ ของผู้ใช้งานได้แม้ไม่ต้องมีการถอดรหัส และยังมีความแม่นยำสูงกว่าเมื่อเทียบกับการใช้เทคนิคเดียวกันโจมตีทราฟฟิกแบบ HTTPS Pengwei Zhan, Liming Wang แห่ง Chinese Academy of Sciences และ Yi Tang แห่ง Guangzhou University คือนักวิจัยที่ได้ร่วมกันนำเสนอผลงานในเปเปอร์ Website Fingerprinting of Eary QUIC Traffic ถึงผลการทำ Website Fingerprinting บน QUIC ในครั้งนี้ การทำ Website Fingerprinting คือการพยายามดักฟังข้อมูลระหว่าง Client กับ Web Server โดยในงานวิจัยครั้งนี้ไม่ได้มีความพยายามในการถอดรหัสข้อมูลแต่อย่างใด แต่ทำการวิเคราะห์ Pattern จากทราฟฟิกที่เข้ารหัสเอาไว้อยู่แล้วว่าทราฟฟิกนั้นๆ น่าจะเป็นการรับส่งข้อมูลอะไร โดยอาศัยข้อมูลอย่างเช่น Packet Size, Packet Order, Total Transmission Size และข้อมูลแวดล้อมอื่นๆ ในการวิเคราะห์ ทำให้สามารถทำนายได้ระดับหนึ่งว่าผู้ใช้งานกำลังเข้าใช้งานเว็บใดอยู่ งานวิจัยนี้ระบุว่าความแม่นยำของการทำ Website Fi...