ThaiCERT

25/08/2023

สกมช. ร่วมผลักดันกำลังคนไซเบอร์ ในกิจกรรมเปิดภาคเรียน 42 บางกอก

24/08/2023

📢[⚪️⚪️⚪️] บริษัท Hosting กล่าวว่าข้อมูลลูกค้าทั้งหมดสูญหายหลังจากถูกโจมตีด้วยแรนซัมแวร์

บริษัท Hosting ของเดนมาร์กจำนวน 2 บริษัทประสบปัญหาการถูกโจมตีด้วยแรนซัมแวร์ ทำให้ข้อมูลลูกค้าส่วนใหญ่สูญหาย ทำให้ผู้ให้บริการ Hosting ปิดระบบทั้งหมด รวมถึงเว็บไซต์ อีเมลของลูกค้า โดยบริษัท Hosting CloudNordic และ AzeroCloud ทั้งสองแบรนด์เป็นของบริษัทเดียวกัน ซึ่งการโจมตีนี้เกิดขึ้นเมื่อคืนวันศุกร์ที่ผ่านมาและมีคำแถลงของบริษัทชี้แจงว่าจะไม่จ่ายค่าไถ่แก่ผู้โจมตี และบริษัทได้ร่วมมือกับผู้เชี่ยวชาญด้านความปลอดภัยแล้วและมีการรายงานเหตุการณ์ดังกล่าวให้ตำรวจทราบ

จากสถานการณ์ดังกล่าว ผู้ให้บริการ Hosting ทั้งสองราย แนะนำให้ลูกค้าที่ได้รับผลกระทบหนักย้ายไปใช้งานกับผู้ให้บริการรายอื่น เช่น Powernet และ Nordicway โดยที่สื่อในเดนมาร์กได้รายงานว่าการโจมตีดังกล่าวส่งผลกระทบต่อบริษัทในเดนมาร์กหลายร้อยแห่ง ที่ต้องสูญเสียข้อมูลที่เก็บไว้บนคลาวด์ รวมถึงเว็บไซต์ กล่องจดหมายอีเมล เอกสาร ฯลฯ ซึ่งการกำหนดเป้าหมายไปยังผู้ให้บริการ Hosting เป็นวิธีที่กลุ่มแรนซัมแวร์ในอดีตใช้ เนื่องจากจะสร้างความเสียหายขนาดใหญ่แล้วสามารถโจมตีเหยื่อได้จำนวนมากในการโจมตีเพียงครั้งเดียว จากเหตุการณ์ดังกล่าวมีผู้เสียหายจำนวนมากที่ตกเป็นเหยื่อ ทำให้ผู้ให้บริการมีแรงกดดันอย่างมากในการจ่ายค่าไถ่เพื่อฟื้นฟูการดำเนินงาน และเพื่อหลีกเลี่ยงการถูกฟ้องจากลูกค้าที่ทำข้อมูลสูญหาย
แหล่งข่าว [ https://www.bleepingcomputer.com/news/security/hosting-firm-says-it-lost-all-customer-data-after-ransomware-attack/ ]

Danish hosting firms CloudNordic and AzeroCloud have suffered ransomware attacks, causing the loss of the majority of customer data and forcing the hosting providers to shut down all systems, including websites, email, and customer sites.

24/08/2023

📢[⚪️⚪️⚪️] FBI พบ Bitcoin 1,580 Bitcoin ในกระเป๋าเงิน Crypto ที่เชื่อมโยงกับแฮกเกอร์เกาหลีเหนือ

สำนักงานสืบสวนกลางแห่งสหรัฐอเมริกาได้เผยแพร่ข้อมูลเกี่ยวกับกระเป๋าเงินดิจิทัลที่มีความเชื่อมโยงกับแฮกเกอร์เกาหลีเหนือ FBI กล่าวว่ามีการถือครอง Bitcoin ประมาณ 1,580 Bitcoin ที่อาจเกี่ยวข้องกับการขโมยสินทรัพย์ดิจิทัลมูลค่าหลายร้อยล้านดอลลาร์เมื่อเร็ว ๆ นี้ โดยที่ FBI ได้ติดตามสกุลเงินดิจิทัลที่ถูกขโมยโดยกลุ่ม TraderTraitor (หรือที่รู้จักในชื่อ Lazarus Group และ APT38 ) ของสาธารณรัฐประชาธิปไตยประชาชนเกาหลี (DPRK) ซึ่งเชื่อว่าอาจจะพยายามนำ Bitcoin ออกมาเป็นมูลค่ามากกว่า 40 ล้านดอลลาร์

ตามข้อมูลกล่าวว่ากลุ่มแฮกเกอร์ในเครือ TraderTraitor ได้ขโมยเงินดิจิทัลจำนวน 60 ล้านดอลลาร์และ 37 ล้านดอลลาร์จาก Alphapo และ CoinsPaid เมื่อเดือนกรกฎาคม และ 100 ล้านดอลลาร์จาก Atomic Wallet ในเดือนมิถุนายน โดยเมื่อเดือนเมษายน 2023 รัฐบาลสหรัฐฯได้เตือนว่า Lazarus Group ที่มีความเชื่อมโยงกับเกาหลีเหนือ ได้ทำการโจมตีทางไซเบอร์จำนวนมาก ซึ่งกำหนดเป้าหมายไปที่หน่วยงานและการแลกเปลี่ยนในอุตสาหกรรมบล็อกเชนและสกุลเงินดิจิทัลเพื่อทำการฟอกเงิน

แหล่งข่าว [ https://www.securityweek.com/fbi-finds-1580-bitcoin-in-crypto-wallets-linked-to-north-korean-hackers/ ]

The FBI has published information on six crypto wallets in which North Korean hackers moved roughly 1,580 Bitcoin from various heists.

23/08/2023

📢[⚪️⚪️⚪️] CISA แจ้งเตือนถึงช่องโหว่ Adobe ColdFusion อาจถูกใช้ประโยชน์

หน่วยงานรักษาความปลอดภัยทางไซเบอร์และโครงสร้างพื้นฐานของสหรัฐอเมริกา (CISA) ได้ออกเตือนองค์กรต่างๆ ว่าช่องโหว่ Adobe ColdFusion ที่ได้รับแพตช์ไปเมื่อต้นปีนี้ อาจถูกใช้ประโยชน์ในการโจมตีที่ช่องโหว่หมายเลข CVE-2023-26359 โดยที่ CISA ได้เพิ่มช่องโหว่ดังกล่าวลงใน Known Exploited Vulnerabilities (KEV) เมื่อวันจันทร์ที่ผ่านมา

Adobe ได้แก้ไขช่องโหว่ด้วยการออกอัปเดต Patch Tuesday ประจำเดือนมีนาคม 2023 ซึ่งระบุว่าช่องโหว่ CVE-2023-26359 เป็นปัญหาสำคัญในการ deserialization ข้อมูลซึ่งสามารถนำไปใช้ประโยชน์ในการ arbitrary code ex*****on


CISA ได้สั่งให้องค์กรภาครัฐให้แก้ไขช่องโหว่ภายในวันที่ 11 กันยายน และหน่วยงานของรัฐจะต้องแก้ไขช่องโหว่ที่เพิ่มลงใน catalog ตาม Binding Operational Directive (BOD) 22-01 เพื่อลดความเสี่ยงที่เกิดจากช่องโหว่ ซึ่งปัจจุบัน catalog KEV ของ CISA มีช่องโหว่ ColdFusion จำนวน 12 รายการ รวมถึงช่องโหว่สี่รายการที่ค้นพบในปีนี้ โดยในขณะนี้จะไม่มีข้อมูลเกี่ยวกับการโจมตีที่ใช้ประโยชน์จากช่องโหว่ CVE-2023-26359 แต่ช่องโหว่ของ Adobe ColdFusion อาจถูกใช้ประโยชน์จากผู้คุกคามประเภทต่างๆ ในการดำเนินงานได้

แหล่งข่าว [ https://www.securityweek.com/cisa-warns-of-another-exploited-adobe-coldfusion-vulnerability/ ]

CISA warns that CVE-2023-26359, an Adobe ColdFusion vulnerability patched in March, has been exploited in the wild.

23/08/2023

📢[⚪️⚪️⚪️] กลุ่มมัลแวร์เรียกค่าไถ่ Sn**ch อ้างว่าได้ทำการแฮ็กกระทรวงกลาโหมของแอฟริกาใต้

กลุ่มมัลแวร์เรียกค่าไถ่ Sn**ch อ้างว่าได้ทำการแฮ็กกระทรวงกลาโหมแอฟริกาใต้ และได้เพิ่มกระทรวงกลาโหมแอฟริกาใต้ลงในเว็บไซต์การรั่วไหลข้อมูล โดยกลุ่มนี้อ้างว่าได้ทำการขโมยสัญญาทางทหาร สัญญาณโทรศัพท์ภายใน และข้อมูลส่วนบุคคล รวมเป็นข้อมูลขนาด 1.6 TB ซึ่งหากมีการเปิดเผยข้อมูลดังกล่าว ที่เป็นความลับทางทหารจะก่อให้เกิดความเสี่ยงร้ายแรงต่อองค์กรที่เกี่ยวข้องกับสัญญาดังกล่าว

Sn**ch ransomware ถูกพบครั้งแรกในปลายปี 2019 โดยนักวิจัยของบริษัท Sophos เป็นผู้ค้นพบ Sn**ch ransomware ที่จะทำการรีบูทคอมพิวเตอร์ที่ติดไวรัสใน Safe Mode เพื่อเลี่ยงผ่านโซลูชันทางด้านการรักษาความปลอดภัยของระบบ โดยในเดือนตุลาคม 2022 กลุ่ม มัลแวร์เรียกค่าไถ่ Sn**ch ก็อ้างว่าได้ทำการโจมตีบริษัท HENSOLDT France ในฝรั่งเศสได้สำเร็จเช่นกัน ซึ่ง HENSOLDT ก็เป็นบริษัทที่เชี่ยวชาญด้านอุปกรณ์อิเล็กทรอนิกส์ทางการทหารและการป้องกันประเทศ

แหล่งข่าว [ https://securityaffairs.com/149760/cyber-crime/snatch-ransomware-department-of-defence-south-africa.html ]

Sn**ch gang claims the hack of the Department of Defence South Africa and added the military organization to its leak site.

22/08/2023

📢[⚪️⚪️⚪️] Seiko ผู้ผลิตนาฬิกาญี่ปุ่นถูกเจาะระบบจากกลุ่ม BlackCat ransomware

กลุ่ม BlackCat/ALPHV ransomware ได้ลงรายการของ Seiko บนเว็บไซต์กรรโชกทรัพย์ ซึ่งอ้างถึงการโจมตีทางไซเบอร์ที่เปิดเผยข้อมูลบริษัทญี่ปุ่นเมื่อต้นเดือนนี้ โดยที่ Seiko เป็นหนึ่งในผู้ผลิตนาฬิการายใหญ่ที่สุดและมีประวัติศาสตร์ยาวนานที่สุดในโลก มีพนักงานประมาณ 12,000 คน และรายได้ต่อปีที่สูงกว่า 1.6 พันล้านดอลลาร์

Seiko ได้ยืนยันว่าเมื่อวันที่ 28 กรกฎาคม บริษัทประสบกับการละเมิดข้อมูล โดยมีบุคคลหรือกลุ่มบางกลุ่มที่ไม่ได้ระบุตัวตนได้มีการเข้าถึงเซิร์ฟเวอร์ อย่างน้อยหนึ่งเซิร์ฟเวอร์โดยไม่ได้รับอนุญาต และในวันที่ 2 สิงหาคม Seiko ได้จ้างทีมผู้เชี่ยวชาญด้านความปลอดภัยทางไซเบอร์จากภายนอกเพื่อตรวจสอบและประเมินสถานการณ์ และ Seiko ขออภัยต่อลูกค้าที่อาจได้รับผลกระทบและขอให้ระมัดระวังอีเมลหรือช่องทางการติดต่ออื่นๆ ที่อาจแอบอ้างเป็น Seiko

โดยกลุ่ม BlackCat ransomware อ้างว่าเป็นผู้โจมตี Seiko โดยได้โพสต์ตัวอย่างข้อมูลที่อ้างว่าได้ขโมยออกไประหว่างการโจมตี ได้อ้างว่าข้อมูลที่รั่วไหลเป็นข้อมูลแผนการผลิต การสแกนหนังสือเดินทางของพนักงาน แผนการออกรุ่นใหม่ และผลการทดสอบในห้องปฏิบัติการเฉพาะทาง และตัวอย่างที่สำคัญกลุ่มผู้โจมตีที่อ้างคือแผนงานทางเทคนิคที่เป็นความลับและการออกแบบของนาฬิกา Seiko หากมีการเปิดเผยจะก่อให้เกิดความเสียหาย

แหล่งข่าว [ https://www.bleepingcomputer.com/news/security/japanese-watchmaker-seiko-breached-by-blackcat-ransomware-gang/ ]

The BlackCat/ALPHV ransomware gang has added Seiko to its extortion site, claiming responsibility for a cyberattack disclosed by the Japanese firm earlier this month.

22/08/2023

📢[⚪️⚪️⚪️] อิสราเอลและสหรัฐฯ จะลงทุน 3.85 ล้านดอลลาร์สำหรับโปรเจค BIRD Cyber Program เพื่อการปกป้องโครงสร้างพื้นฐานที่สำคัญ

อิสราเอลและสหรัฐฯ ประกาศว่ากำลังจะมีโครงการ BIRD Cyber ซึ่งเป็นการลงทุนประมาณ 4 ล้านดอลลาร์ เพื่อเพิ่มความสามารถของโครงสร้างพื้นฐานที่สำคัญ ในการตอบสนองต่อภัยคุกคามทางไซเบอร์ รวมถึงการกู้คืนระบบให้กลับมาเป็นปกติ (Cyber Resilience)

โครงการ BIRD Cyber เป็นความคิดริเริ่มร่วมกันของ Israel National Cyber Directorate (INCD), Israel-US Binational Industrial Research and Development (BIRD) Foundation และ US Department of Homeland Security (DHS) Science and Technology Directorate (S&T) เพื่อส่งเสริมโครงการในการเพิ่ม Cyber Resilience ของโครงสร้างพื้นฐานที่สำคัญในทั้งสองประเทศ โดยโครงการนี้จัดการโดยมูลนิธิ BIRD ซึ่งเป็นองค์กรไม่แสวงหาผลกำไรที่สนับสนุนกิจกรรมการวิจัยร่วมกันระหว่างองค์กรของอิสราเอลและอเมริกา ความคิดริเริ่มนี้มีแผนที่จะลงทุน 3.85 ล้านดอลลาร์ในโครงการต่างๆ เพื่อพัฒนาโซลูชั่นการป้องกันที่ล้ำสมัย โดยโครงการ BIRD Cyber จะมอบทุนสำหรับโครงการที่เกี่ยวข้องกับภาคการเดินเรือ สนามบินและการจราจรทางอากาศ และระบบควบคุมอุตสาหกรรม (ICS) ดังนี้
1. Rescana (Tel-Aviv, Israel) และTrend Micro (Irving, TX) – ซึ่งจะพัฒนาความสามารถในการปฏิบัติการข่าวกรองภัยคุกคามทางไซเบอร์เพื่อแจ้งการตัดสินใจทางทะเลเกี่ยวกับความเสี่ยงทางไซเบอร์
2. Salvador Technologies (Rehovot, Israel) และBastazo (Fayetteville, AR) – ซึ่งจะพัฒนาโซลูชันสำหรับการจัดการช่องโหว่ของ Industrial Control Systems (ICS) การตรวจสอบ และการกู้คืนอย่างรวดเร็วจากการโจมตีทางไซเบอร์
3. Cyber 2.0 (Rishon Letzion, Israel) และCincinnati / Northern Kentucky International Airport (Hebron, KY) ซึ่งจะพัฒนาแพลตฟอร์มสำหรับสนามบินและการจราจรทางอากาศ การตรวจจับการรับส่งข้อมูลเพื่อลดความเสี่ยงและเพิ่มการปฏิบัติตามกฎระเบียบ
4. พัฒนาโซลูชันการป้องกันทางไซเบอร์ของสนามบินทั่วทั้งพื้นผิวการโจมตี

แหล่งข่าว [ https://securityaffairs.com/149703/security/bird-cyber-program.html ]

Israel and US governments announced the BIRD Cyber Program, an investment of roughly $4M in projects to enhance the cyber resilience of critical infrastructure.

21/08/2023

📢[⚪️⚪️⚪️] ช่องโหว่ WinRAR ช่วยให้สามารถเรียกใช้รหัสจากระยะไกลโดยพลการ

WinRAR เป็น utility บีบอัดไฟล์และเก็บถาวรสำหรับระบบปฏิบัติการ Windows โดย utility ได้รับผลกระทบจากช่องโหว่ที่มีความรุนแรงสูงซึ่งได้มีการแก้ไขแล้วในขณะนี้ ที่หมายเลข CVE-2023-40477 ( คะแนน CVSS 7.8 ) ที่สามารถอนุญาตให้เรียกใช้รหัสจากระยะไกลบนคอมพิวเตอร์โดยการเปิดไฟล์เก็บถาวร RAR ที่สร้างขึ้น

โดยนักวิจัย "goodbyeselene“ ของ Zero Day Initiative ได้รายงานช่องโหว่ดังกล่าวไปยัง RARLAB เมื่อวันที่ 8 มิถุนายน 2023 ว่าช่องโหว่ดังกล่าวสามารถทำให้ผู้โจมตีจากระยะไกลสามารถรันรหัสโดยพลการ ในการติดตั้ง RARLAB WinRAR ซึ่งการโต้ตอบกับผู้ใช้เป็นสิ่งสำคัญสำหรับการใช้ประโยชน์จากช่องโหว่นี้ เป้าหมายเป็นเว็บที่เป็นอันตรายหรือเปิดไฟล์ที่เป็นอันตราย และช่องโหว่เกิดจากการขาดการตรวจสอบความถูกต้องของข้อมูลที่ได้รับจากผู้ใช้ ซึ่งอาจส่งผลให้การเข้าถึงหน่วยความจำนอกเหนือ buffer ที่จัดสรรไว้ ทำให้ผู้โจมตีสามารถใช้ช่องโหว่นี้เพื่อรันรหัส


WinRAR แก้ไขช่องโหว่ด้วยการเปิดตัวเวอร์ชัน 6.23 และแนะนำให้ผู้ใช้งาน WINRAR ทำการอัปเดตการติดตั้งก่อนที่ผู้โจมตีจะใช้ประโยชน์จากช่องโหว่ในการโจมตีดังกล่าว

แหล่งข่าว [ https://securityaffairs.com/149670/hacking/winrar-rce.html ]

A flaw impacting the file archiver utility for Windows WinRAR can allow the ex*****on of commands on a computer by opening an archive.

21/08/2023

📢[⚪️⚪️⚪️] ช่องโหว่ใหม่ในอุปกรณ์ Juniper Junos OS ทำให้ถูกโจมตีจากระยะไกลได้ ควรแพทช์ทันที

บริษัท Juniper Networks ผู้ผลิตอุปกรณ์ระบบเครือข่าย ได้ออกอัปเดตความปลอดภัย เพื่อแก้ไขช่องโหว่หลายจุดในคอมโพเนนต์ J-Web ของ Junos OS ที่สามารถรวมเข้าด้วยกันเพื่อให้เกิดการเรียกใช้โค้ดจากระยะไกลในการติดตั้งที่ไม่มีความมั่นคง โดยช่องโหว่ทั้ง 4 ได้แก่ CVE-2023-36844และ CVE-2023-36845 CVE-2023-36846 และ CVE-2023-36847 มีคะแนน CVSS ที่ 9.8 ซึ่งเป็นความรุนแรงระดับวิกฤต มีผลกับ Junos OS ทุกรุ่นบน SRX และ EX Series โดยช่องโหว่ได้รับการแก้ไขในเวอร์ชัน ดังนี้

EX Series - Junos OS เวอร์ชัน 20.4R3-S8, 21.2R3-S6, 21.3R3-S5, 21.4R3-S4, 22.1R3-S3, 22.2R3-S1, 22.3R2-S2, 22.3R3, 22.4R2-S1, 22.4 R3 และ 23.2R1

SRX Series - Junos OS เวอร์ชัน 20.4R3-S8, 21.2R3-S6, 21.3R3-S5, 21.4R3-S5, 22.1R3-S3, 22.2R3-S2, 22.3R2-S2, 22.3R3, 22.4R2-S1, 22.4 R3 และ 23.2R1

ดังนั้นจึงขอแนะนำให้ผู้ใช้งานทำการแพทช์แก้ไขช่องโหว่ เพื่อลดภัยคุกคามจากการเรียกใช้โค้ดจากระยะไกลที่อาจเกิดขึ้น วิธีแก้ปัญหา Juniper Networks แนะนำให้ผู้ใช้ปิดการใช้งาน J-Web หรือจำกัดการเข้าถึงเฉพาะโฮสต์ที่เชื่อถือได้เท่านั้น

แหล่งข่าว [ https://thehackernews.com/2023/08/new-juniper-junos-os-flaws-expose.html ]

JuniperNetworks released an "out-of-cycle" security patch for Junos OS. Attackers could remotely execute code by chaining these vulnerabilities.

18/08/2023

📢[⚪️⚪️⚪️] Clorox Company ผู้ผลิตผลิตภัณฑ์ทำความสะอาดได้ปิดระบบบางส่วนหลังจากถูกโจมตีทางไซเบอร์

บริษัท Clorox Company ได้ตกเป็นเหยื่อของเหตุการณ์ทางไซเบอร์และทำการปิดระบบบางส่วนเพื่อตอบสนองต่อการโจมตีทางไซเบอร์ โดย Clorox Company เป็นบริษัทข้ามชาติเกี่ยวกับสินค้าอุปโภคบริโภคที่เชี่ยวชาญด้านการผลิตและการตลาดของผลิตภัณฑ์ทำความสะอาดในครัวเรือน

จากเหตุการณ์การโจมตีบริษัทได้ทำการตอบสนองต่อการโจมตีทางไซเบอร์ ซึ่งบริษัทได้ปิดระบบบางส่วนเพื่อออฟไลน์ ในขณะที่ได้เพิ่มมาตรการป้องกันเพื่อรักษาความปลอดภัยเพิ่มเติม โดยที่ Clorox ได้แจ้งใช้กฎหมายและจ้างผู้เชี่ยวชาญด้านความปลอดภัยทางไซเบอร์ชั้นนำเพื่อทำการสืบสวนและกำหนดขอบเขตของเหตุการณ์ ซึ่งขณะนี้ยังไม่เป็นที่แน่ชัดว่าผู้โจมตีได้ขโมยข้อมูลของบริษัทหรือไม่

นอกจากนี้ บริษัทยังได้ประกาศจะแก้ไขปัญหาชั่วคราวด้วยการทำงานแบบออฟไลน์เพื่อให้บริการลูกค้าต่อไป ซึ่งบริษัทยังไม่ได้เปิดเผยรายละเอียดของการโจมตี แต่การตอบสนองต่อเหตุการณ์ชี้ว่าอาจตกเป็นเหยื่อของการโจมตีด้วยแรนซัมแวร์

แหล่งข่าว [ https://securityaffairs.com/149585/cyber-crime/clorox-company-cyber-attack.html ]

Cleaning products manufacturer Clorox Company announced that it has taken some systems offline in response to a cyberattack.

18/08/2023

📢[⚪️⚪️⚪️] แคมเปญฟิชชิ่งขนาดใหญ่ที่ใช้คิวอาร์โค้ด กำหนดเป้าหมายภาคพลังงาน

รายงานจากบริษัทด้านความปลอดภัยทางไซเบอร์ Cofense พบว่ามีแคมเปญฟิชชิงที่ใช้คิวอาร์โค้ด ที่กำหนดเป้าหมายไปยังบริษัทพลังงานชั้นนำในสหรัฐอเมริกา เพื่อขโมยข้อมูลประจำตัวของ Microsoft ของผู้ใช้จากหลายอุตสาหกรรม โดยลิงก์ส่วนใหญ่ที่รวมอยู่ในข้อความฟิชชิ่งจะประกอบด้วย Bing redirect URL โดเมนที่โดดเด่นอื่นๆ ได้แก่ krxd[.]com (เชื่อมโยงกับแอปพลิเคชัน Salesforce) และ cf-ipfs[.]com (บริการ Web3 ของ Cloudflare) โดยการใช้คิวอาร์โค้ด นั้น มีข้อดีมากกว่าการแนบลิงก์ฟิชชิ่งที่ฝังโดยตรงในข้อความอีเมล สิ่งที่สำคัญที่สุดคือความสามารถในการข้ามโซลูชั่นป้องกันฟิชชิ่ง เนื่องจากลิงก์ฟิชชิ่งถูกซ่อนอยู่ในรูปภาพคิวอาร์โค้ด โดยนักวิจัยสังเกตเห็นเปอร์เซ็นต์การเติบโตของแคมเปญนี้ เฉลี่ยต่อเดือนมากกว่า 270% แคมเปญโดยรวมเพิ่มขึ้นมากกว่า 2,400% ตั้งแต่เดือนพฤษภาคม 2023

นักวิจัยกล่าวว่านี่เป็นแคมเปญที่ใหญ่ที่สุดที่เคยใช้คิวอาร์โค้ด ซึ่งถูกสังเกตโดย Cofense ซึ่งเป็นสถานการณ์ที่ชี้ให้เห็นว่าผู้คุกคามกำลังทดสอบประสิทธิภาพของคิวอาร์โค้ด โดยข้อความฟิชชิงที่ใช้ในแคมเปญนี้ ประกอบด้วยไฟล์ภาพ PNG หรือไฟล์ PDF ที่มีคิวอาร์โค้ด เนื้อหาของข้อความพยายามหลอกลวงให้ผู้รับสแกนรหัสเพื่อยืนยันบัญชีของตน โดยข้อความในอีเมลจะกระตุ้นให้ผู้รับรีบเร่งดำเนินการตามขั้นตอนให้เสร็จสิ้นภายใน 2-3 วัน ทั้งนี้ ผู้เชี่ยวชาญเตือนว่าภาคพลังงานเป็นจุดสนใจหลักของแคมเปญนี้ ตามมาด้วยภาคการผลิตและภาคการประกันภัย

แหล่งข่าว [ https://securityaffairs.com/149567/hacking/phishing-campaign-qr-codes.html ]

A phishing campaign employing QR codes targeted a leading energy company in the US, cybersecurity firm Cofense reported.

17/08/2023

📢[⚪️⚪️⚪️] stack buffer overflow ที่ไม่ผ่านการรับรองความถูกต้องสองรายการถูกพบใน EMM ของ Ivanti Avalanche

นักวิจัยค้นพบ stack buffer overflow จำนวนสองรายการที่หมายเลขช่องโหว่ CVE-2023-32560 ( CVSS v3: 9.8 ) ที่ส่งผลกระทบต่อโซลูชัน Enterprise Mobility Management (EMM) ออกแบบมาเพื่อจัดการ ตรวจสอบ และรักษาความปลอดภัยอุปกรณ์พกพาหลากหลายประเภท ของ Ivanti Avalanche ที่ทำให้ผู้โจมตีจากระยะไกลที่ไม่ผ่านการรับรองความถูกต้องสามารถใช้ช่องโหว่ในการ execute arbitrary code บนระบบได้ ซึ่งช่องโหว่ดังกล่าวจะส่งผลกระทบต่อ Ivanti Avalanche WLAvanacheServer.exe เวอร์ชัน 6.4.0.0 และเวอร์ชันที่เก่ากว่า

ช่วงลำดับเวลาของการเปิดเผยข้อมูล :
- 4 เมษายน 2023 - รายงานปัญหา
- 12 เมษายน 2023 - Tenable ยืนยันว่าได้รับรายงานแล้ว
- 12 เมษายน 2023 - Ivanti ยืนยันว่าปัญหากำลังตรวจสอบ
- 13 เมษายน 2023 - Ivanti ขอ poc
- 13 เมษายน 2023 - Tenable บันทึก poc ต้องถูกลบออกจากรายงานเริ่มต้น ส่ง PoC
- 19 เมษายน 2023 - Ivanti ยืนยันปัญหาและระบุว่ากำลังดำเนินการแก้ไข
- 22 มิถุนายน 2023 - Ivanti ตั้งข้อสังเกตว่าการแก้ไขอาจไม่ทันในเวลา 90 วัน
- 28 มิถุนายน 2023 - Tenable ขยายเวลาการเปิดเผยข้อมูล
- 20 กรกฎาคม 2023 - Ivanti แจ้ง Tenable ว่าการแก้ไขจะพร้อมใช้งานในวันที่ 1 สิงหาคม และได้กำหนด CVE-2023-32560
- 14 สิงหาคม 2023 - คำแนะนำเบื้องต้นได้รับเผยแพร่

โดยนักวิจัย Tenable ได้สร้าง proof-of-concept และแบ่งปันกับผู้ขายเมื่อวันที่ 13 เมษายน 2023 และ Ivanti ได้แก้ไขช่องโหว่ในวันที่ 3 สิงหาคม 2023 ด้วยการเปิดตัว Avalanche เวอร์ชัน 6.4.1

แหล่งข่าว [ https://securityaffairs.com/149561/hacking/ivanti-avalanche-buffer-overflow-bugs.html ]

Ivanti Avalanche EMM product is impacted by two buffer overflows collectively tracked as CVE-2023-32560.

17/08/2023

📢[⚪️⚪️⚪️] ตู้ ATM ของธนาคารแห่งประเทศไอร์แลนด์เกิดข้อผิดพลาดแจกเงินฟรี

ความผิดพลาดของธนาคารแห่งประเทศไอร์แลนด์ทำให้แจกเงินฟรีครั้งนี้ที่ได้รับการแก้ไขแล้ว แต่ส่งผลให้ตู้ ATM ทั่วประเทศ มีผู้คนมาต่อแถวยาว เนื่องจากลูกค้าสามารถถอนเงินได้มากกว่าเงินที่มีอยู่ในบัญชี

เมื่อวันอังคารพบว่ามีผู้คนมาต่อคิวนอกธนาคารแห่งไอร์แลนด์ หลังจากเกิดข้อผิดพลาดในระบบซึ่งทำให้ลูกค้าของธนาคารสามารถถอนเงินออกมาได้โดยที่ไม่ส่งผลกระทบต่อยอดเงินในบัญชีของพวกเขา โดยธนาคารออกมายอมรับความผิดพลาดเมื่อวันพุธ โดยกล่าวว่าปัญหาได้รับการแก้ไขแล้ว แต่หลังจากที่มีการถอนเงินออกไปทำให้ต้องมีตำรวจออกไปเฝ้าอยู่บริเวณตู้ ATM ทั่วประเทศ โดยปัญหานี้เกิดขึ้นครั้งแรกในช่วงบ่ายวันอังคาร เมื่อพวกเขาได้รายงานว่าไม่สามารถเข้าถึงบริการธนาคารออนไลน์ได้ ดังนั้น จึงไม่สามารถโอนเงินหรือชำระเงินสำหรับการทำธุรกรรมได้ แต่ปัญหาไม่ได้หยุดเพียงแค่นั้น เนื่องจากลูกค้าได้ถอนเงินออกไปเกินจำนวนที่มีอยู่ในบัญชี แม้ว่าธนาคารแห่งประเทศไอร์แลนด์จะออกมาเตือนในโพสต์ Twitter เมื่อเย็นวันอังคารแล้วก็ตาม ว่าหากลูกค้าทำการโอนหรือถอนเงิน รวมแล้วเกินวงเงินที่มีอยู่ เงินก็นี้จะถูกหักออกจากบัญชีของพวกเขาในภายหลัง

ทั้งนี้ โฆษกของธนาคารแห่งประเทศไอร์แลนด์ กล่าวในแถลงการณ์ว่า ปัญหาทางเทคนิคนี้ได้รับการแก้ไขในชั่วข้ามคืน และ “เราขอให้ลูกค้ารายใดก็ตามที่อาจประสบปัญหาทางการเงินเนื่องจากการถอนเงินมากเกินไปในบัญชีของพวกเขา ติดต่อเรา” เขากล่าวเสริมว่า “เราต้องขออภัยอย่างจริงใจสำหรับความขัดข้องที่เกิดขึ้น เราทราบดีว่าเราทำได้ต่ำกว่ามาตรฐานที่ลูกค้าคาดหวังจากเรามาก”

แหล่งข่าว [ https://gizmodo.com/bank-of-ireland-atm-glitch-hands-out-free-money-1850742692 ]

A now-resolved glitch at the Bank of Ireland resulted in long lines at ATMs across the country as customers withdrew more money than they had in their accounts.

16/08/2023

📢[⚪️⚪️⚪️] Colorado HCPF Department แจ้งเตือนบุคคล 4 ล้านคน หลังจากเหตุการณ์ละเมิด IBM MOVEit

Colorado Department of Health Care Policy & Financing (HCPF) ได้เปิดเผยการถูกโจมตีด้วย data breach ที่ส่งผลกระทบต่อบุคคลกว่า 4 ล้านคน โดยเหตุการณ์ดังกล่าวเป็นผลมาจากการโจมตี MOVEit บน IBM ซึ่งมีข้อมูลที่ถูกเปิดเผยได้แก่ ชื่อนามสกุล หมายเลขประกันสังคม หมายเลข Medicaid ID วันเกิด ที่อยู่บ้านและข้อมูลติดต่ออื่น ๆ ข้อมูลทางการแพทย์ และข้อมูลประกันสุขภาพ ซึ่งทาง Colorado Department of Health Care Policy & Financing (HCPF) เป็นหน่วยงานของรัฐในรัฐโคโลราโดของสหรัฐอเมริกา มีหน้าที่จัดการดูแลโครงการและนโยบายด้านการดูแลสุขภาพต่าง ๆ ภายในรัฐ

Colorado HCPF ได้ตกเป็นเหยื่อรายสุดท้ายของการโจมตีจากช่องโหว่ CVE-2023-34362 ที่ส่งผลกระทบต่อแพลตฟอร์มการถ่ายโอนไฟล์ MOVEit ของ Progress Software โดย MOVEit Transfer คือการถ่ายโอนไฟล์ที่มีการจัดการซึ่งใช้โดยองค์กรต่าง ๆ เพื่อถ่ายโอนไฟล์อย่างปลอดภัยโดยใช้การอัปโหลดแบบ SFTP, SCP และ HTTP ซึ่งช่องโหว่ดังกล่าวเป็นช่องโหว่ SQL injection ทำให้ผู้โจมตีที่ไม่ได้รับการตรวจสอบสามารถใช้ประโยชน์จากการเข้าถึงฐานข้อมูลของ MOVEit Transfer โดยไม่ได้รับอนุญาต

โดยกลุ่ม Clop ransomware ได้อ้างการโจมตีหน่วยงานทั่วโลกโดยใช้ช่องโหว่ MOVEit Transfer ในการโจมตี โดยเหยื่อของการโจมตีได้แก่ US Department of Energy ,British Airways ,Boots ,BBC ,Aer Lingus ,Ofcom ,Shell ,University of Rochester, Schneider Electric, Siemens Energy และ Gen Digital โดยที่กระทรวงการต่างประเทศของสหรัฐฯได้เสนอรางวัลจำนวน 10 ล้านดอลลาร์ สำหรับข้อมูลใด ๆ ที่จะเชื่อมโยงเกี่ยวกับสมาชิกของกลุ่ม Clop ransomware

แหล่งข่าว [ https://securityaffairs.com/149498/data-breach/colorado-hcpf-department-data-breach.html ]

The Colorado Department of Health Care Policy & Financing (HCPF) disclose a data breach after MOVEit attack on IBM.

16/08/2023

📢[⚪️⚪️⚪️] เว็บไซต์ร้างตกเป็นเป้าหมายของผู้ไม่หวังดี เพื่อนำไปใช้ทำเป็นเว็บฟิชชิ่ง

จากการศึกษาของ Kaspersky พบว่าผู้โจมตีกำลังกำหนดเป้าหมายไปที่เว็บไซต์ที่ถูกละทิ้งหรือแทบไม่ได้รับการดูแลและอัปเดตด้านความปลอดภัยเพื่อนำไปทำเป็นโฮสต์หน้าฟิชชิ่ง ซึ่งในหลายกรณีพบว่าผู้ไม่หวังดีจะมุ่งเน้นไปที่เว็บไซต์ WordPress เนื่องจากมีช่องโหว่เป็นจำนวนมาก เป็นระบบการจัดการเนื้อหาที่ใช้กันอย่างแพร่หลาย และมีปลั๊กอินที่อาจมีช่องโหว่จำนวนมาก

โดเมนที่ถูกละเลยเป็นเวลานานยังทำให้ดึงดูดผู้โจมตีเข้ามา เนื่องจากหน้าฟิชชิ่งสามารถใช้งานบนโดเมนเหล่านั้นได้เป็นระยะเวลานานเช่นกัน ซึ่งสิ่งนี้อาจมีความสำคัญอย่างยิ่งสำหรับผู้โจมตี เนื่องจากวงจรชีวิตของหน้าฟิชชิ่งโดยทั่วไปนั้นจะค่อนข้างสั้น โดยในเดือนธันวาคม 2021 Kaspersky ได้เผยแพร่รายงานที่สรุปการวิเคราะห์วงจรชีวิตของหน้าฟิชชิ่ง ซึ่งการศึกษาพบว่า 33% ของหน้าฟิชชิ่งหยุดทำงานภายในวันเดียวหลังจากที่มีการเผยแพร่ จากหน้าฟิชชิ่ง 5,307 หน้า ที่นักวิจัยของ Kaspersky วิเคราะห์สำหรับการศึกษานี้ มี 1,784 หน้า หยุดทำงานหลังจากวันแรก โดยหลายหน้าปิดการใช้งานในไม่กี่ชั่วโมงแรก ครึ่งหนึ่งของหน้าทั้งหมดในการศึกษาหยุดทำงานหลังจาก 94 ชั่วโมง

Kaspersky พบว่าโดยปกติแล้ว เมื่อผู้โจมตีเจาะเข้าไปในเว็บไซต์ WordPress ผ่านช่องโหว่ พวกเขาจะอัปโหลด WSO Web shell ซึ่งเป็นเชลล์สคริปต์อันตรายที่ช่วยให้ผู้โจมตีควบคุมเว็บไซต์จากระยะไกลได้อย่างสมบูรณ์ จากนั้นผู้โจมตีจะใช้ Web shell เพื่อเจาะเข้าไปในแผงการดูแลระบบของเว็บไซต์ที่ถูกบุกรุกและเริ่มใส่หน้าปลอมลงไป พวกเขายังใช้แผงควบคุมเพื่อจัดเก็บข้อมูลประจำตัว ข้อมูลบัตรธนาคาร และข้อมูลที่ละเอียดอ่อนอื่น ๆ ที่ผู้ใช้อาจถูกหลอกให้ป้อนบนเว็บไซต์ เมื่อผู้โจมตีปล่อยการเข้าถึงแผงควบคุมไว้ ทุกคนบนอินเทอร์เน็ตจะสามารถเข้าถึงข้อมูลได้ ทั้งนี้ Kaspersky ได้นำเสนอเคล็ดลับเกี่ยวกับวิธีที่ผู้ดำเนินการเว็บไซต์ WordPress ที่สามารถตรวจพบว่าผู้โจมตีแฮ็กเว็บไซต์ของตนและใช้เว็บไซต์เพื่อโฮสต์หน้าฟิชชิ่งหรือไม่

แหล่งข่าว [ https://www.darkreading.com/attacks-breaches/-phishing-operators-make-ready-use-of-abandoned-websites-for-bait ]

Abandoned sites — like Wordpress — are easy to break into, offer a legitimate looking cover, and can remain active for longer than average.

15/08/2023

📢[⚪️⚪️⚪️] หน่วยตำรวจ Cumbria Constabulary พลาดทำข้อมูลของเจ้าหน้าที่หลุดทางออนไลน์โดยไม่ตั้งใจ

Cumbria Constabulary ซึ่งเป็นหน่วยงานตำรวจรักษาดินแดนในอังกฤษ ได้เผยแพร่ข้อมูลที่เป็นชื่อและเงินเดือนของเจ้าหน้าที่และพนักงานทั้งหมดทางออนไลน์โดยไม่ได้ตั้งใจ ซึ่งเหตุการณ์ครั้งนี้ถือเป็นหน่วยงานที่ 2 ของสหราชอาณาจักรในรอบสองสัปดาห์ที่ออกมายอมรับถึงเหตุการณ์การเปิดเผยข้อมูลส่วนบุคคลที่เกี่ยวกับพนักงาน

ในเหตุการณ์นี้ ตำรวจ Cumbria ยอมรับว่าข้อมูลชื่อ เงินเดือน และเบี้ยเลี้ยงของเจ้าหน้าที่จริงและถูกเผยแพร่บนเว็บไซต์ ซึ่งเกิดจากความผิดพลาดของเจ้าหน้าที่โดยไม่เจตนา โดยข้อมูลดังกล่าวถูกลบออกทันทีที่มีการเผยแพร่โดยไม่ได้ตั้งใจ แต่ไม่ได้ระบุว่าข้อมูลดังกล่าวออนไลน์มานานแค่ไหนก่อนที่จะพบข้อผิดพลาด Cumbria Constabulary กล่าวว่าได้ติดต่อเจ้าหน้าที่ที่ได้รับผลกระทบทั้งหมดให้ทราบทันที และแจ้งถึงผลกระทบเล็กน้อยที่จะเกิดขึ้น และสรุปมาตรการที่ใช้เพื่อจัดการการรั่วไหลและป้องกันไม่ให้เกิดขึ้นอีก

เหตุการณ์ดังกล่าวถูกรายงานไปยังสำนักงานคณะกรรมการสารสนเทศ (Information Commissioner's Office) (ICO - หน่วยงานกำกับดูแลข้อมูลของสหราชอาณาจักร) โดยอ้างว่า ICO ระบุว่าไม่จำเป็นต้องดำเนินการใด ๆ นอกเหนือจากการให้คำแนะนำและข้อเสนอแนะ ซึ่ง ICO พอใจกับการดำเนินการของ Constabulary และขั้นตอนที่เข้มงวดซึ่งถูกนำมาใช้เพื่อป้องกันการละเมิดข้อมูลเพิ่มเติมนั้นแล้ว แต่ทั้งนี้ มีรายงานว่าหัวหน้าตำรวจ Simon Byrne จะต้องถูกสอบสวนโดยหน่วยงานกำกับดูแลและอาจจะต้องรับโทษ

แหล่งข่าว [ https://www.theregister.com/2023/08/14/cumbrian_police_accidentally_published_officer_details_online/ ]

Names, job titles and salaries included in unwitting leak

15/08/2023

📢[⚪️⚪️⚪️] ช่องโหว่ของเว็บไซต์ Iagona Scrutis อาจทำให้ ATM ถูกแฮ็กจากระยะไกลได้

ช่องโหว่หลายรายการที่ถูกพบในซอฟต์แวร์ตรวจสอบ ATM ของ ScrutisWeb ที่ผลิตโดยบริษัท Iagona ของฝรั่งเศสอาจถูกโจมตีเพื่อเจาะระบบ ATM จากระยะไกลได้ ซึ่งช่องโหว่ได้ถูกค้นพบโดยนักวิจัยของ Synack Red Team โดย ScrutisWeb ช่วยให้องค์กรต่าง ๆ สามารถตรวจสอบ ATM ของธนาคารหรือร้านค้าปลีกได้จากเว็บเบราว์เซอร์ ทำให้สามารถตอบสนองต่อปัญหาได้อย่างรวดเร็ว

นักวิจัยของ Synack ได้ระบุช่องโหว่จำนวนสี่รายการได้แก่ CVE-2023-33871, CVE-2023-38257, CVE-2023-35763 และ CVE-2023-35189 โดยช่องโหว่ได้แก่ authorization bypass, hardcoded cryptographic key, arbitrary file upload ซึ่งทำให้ผู้โจมตีระยะไกลที่ไม่ผ่านการรับรองความถูกต้องสามารถใช้ประโยชน์ได้และผู้โจมตีสามารถใช้ประโยชน์จากช่องโหว่เพื่อรับข้อมูลจากเซิร์ฟเวอร์ (การกำหนดค่า บันทึก และฐานข้อมูล) เพื่อดำเนินการ execute arbitrary command โดยนักวิจัยกล่าวว่าผู้โจมตีจะสามารถใช้ประโยชน์จากช่องโหว่เพื่อเข้าสู่ระบบ management console ScrutisWeb ในฐานะผู้ดูแลระบบและตรวจสอบกิจกรรมของ ATM ที่เชื่อมต่อ เพื่อเปิดใช้งานโหมดการจัดการบนอุปกรณ์ อัปโหลดไฟล์ และรีบูตหรือปิดเครื่อง

สำนักงานความปลอดภัยทางไซเบอร์และโครงสร้างพื้นฐานของสหรัฐ (CISA) ได้เผยแพร่คำแนะนำเพื่อแจ้งให้องค์กรทราบเกี่ยวกับช่องโหว่และจากข้อมูลของ CISA ผลิตภัณฑ์ที่ได้รับผลกระทบได้ถูกใช้ทั่วโลก

แหล่งข่าว [ https://www.securityweek.com/iagona-scrutisweb-vulnerabilities-could-expose-atms-to-remote-hacking/ ]

Several vulnerabilities discovered in Iagona ScrutisWeb ATM fleet monitoring software could be exploited to remotely hack ATMs.

15/08/2023

📢[⚪️⚪️⚪️] ช่องโหว่หลายรายการใน CODESYS V3 SDK สามารถถูก RCE หรือ DoS

นักวิจัยของ Microsoft Threat Intelligence ได้ค้นพบช่องโหว่ที่มีความรุนแรงสูงจำนวน 16 รายการ ที่เรียกว่า CoDe16 ในชุดพัฒนาซอฟต์แวร์ CODESYS V3 (SDK) ทำให้ผู้โจมตีสามารถใช้ช่องโหว่ในการ remote code ex*****on และดำเนินการโจมตีแบบ denial-of-service ทำให้ operational technology (OT) ถูกเจาะระบบ

ช่องโหว่หมายเลข CVE-2022-47391 ได้รับคะแนนความรุนแรง 7.5 หากการใช้ประโยชน์จากช่องโหว่ได้สำเร็จจะส่งผลกระทบต่อ CODESYS V3 ทุกรุ่นก่อนเวอร์ชัน 3.5.19[.]0 และอาจทำให้โครงสร้างพื้นฐานของเทคโนโลยีการปฏิบัติงาน (OT) เสี่ยงต่อการถูกโจมตี เช่น การเรียกใช้โค้ดจากระยะไกล (RCE) และการปฏิเสธบริการ (DoS)

คำแนะนำจาก Microsoft
- ทำการแพตช์อุปกรณ์ที่ได้รับผลกระทบและอัปเดตเฟิร์มแวร์ของอุปกรณ์ให้เป็นเวอร์ชัน 3.5.19[.]0 หรือสูงกว่า
- ตรวจสอบอุปกรณ์ที่สำคัญทั้งหมด เช่น PLC, router, PC หรืออื่น ๆ ถูกตัดการเชื่อมต่อจากอินเทอร์เน็ต โดยไม่คำนึงว่าอุปกรณ์เหล่านั้นเรียกใช้ CODESYS หรือไม่
- จำกัดการเข้าถึงอุปกรณ์ CODESYS เฉพาะส่วนประกอบที่ได้รับอนุญาตเท่านั้น

แหล่งข่าว [ https://securityaffairs.com/149474/security/codesys-v3-sdk-rce-dos.html ]

16 vulnerabilities in Codesys products could result in remote code ex*****on and DoS attacks exposing OT environments to hacking.

11/08/2023

📢[⚪️⚪️⚪️] CISA เพิ่มช่องโหว่ที่ส่งผลกระทบต่อ .NET, Visual Studio ลงใน Known Exploited Vulnerabilities Catalog

US Cybersecurity and Infrastructure Security Agency (CISA) ของสหรัฐฯ ได้เพิ่มช่องโหว่ Zero-day ที่หมายเลข CVE-2023-38180 (คะแนน CVSS 7.5) ที่ส่งผลกระทบต่อ .NET และ Visual Studio ของ Microsoft ลงใน Known Exploited Vulnerabilities Catalog ซึ่งช่องโหว่ดังกล่าวสามารถถูก exploit เพื่อใช้สำหรับการโจมตีแบบ denial-of-service (DoS) โดยที่ Microsoft ได้แก้ไขด้วยการอัปเดต Patch Tuesday ในเดือนสิงหาคม 2023 และ Microsoft ยืนยันว่าระบบที่มีช่องโหว่สามารถถูกโจมตีได้ไม่จำเป็นที่ต้องมีการโต้ตอบจากผู้ใช้

Microsoft ไม่ได้เปิดเผยถึงรายละเอียดเกี่ยวกับการโจมตีของช่องโหว่ดังกล่าว แต่ช่องโหว่นี้มีผลกระทบต่อ Visual Studio 2022 เวอร์ชัน 17.2, 17.4 และ 17.6 รวมถึง .NET 6.0 และ 7.0 และ ASP[.]NET Core 2.1 ตามคำสั่ง Binding Operational Directive 22-01 ซึ่งหน่วยงาน FCEB จะต้องแก้ไขช่องโหว่ภายในวันที่กำหนดเพื่อป้องกันเครือข่ายถูกใช้ประโยชน์จากช่องโหว่ในการโจมตี และ CISA สั่งให้หน่วยงานของรัฐบาลกลางแก้ไขช่องโหว่นี้ภายในวันที่ 30 สิงหาคม 2023

แหล่งข่าว [ https://securityaffairs.com/149382/security/cisa-known-exploited-vulnerabilities-catalog-cve-2023-38180.html ]

US CISA added zero-day vulnerability CVE-2023-38180 affecting .NET and Visual Studio to its Known Exploited Vulnerabilities catalog.

11/08/2023

📢[⚪️⚪️⚪️] Adobe ออกแพชต์อัปเดตความปลอดภัย เพื่อแก้ไขช่องโหว่ใน Acrobat Reader

เมื่อวันอังคารที่ผ่านมา Adobe ได้ออกแพตช์อัปเดตความปลอดภัยชุดใหญ่สำหรับซอฟต์แวร์ Acrobat Reader โดยแก้ไขช่องโหว่อย่างน้อย 30 รายการ ที่ส่งผลกระทบต่อการติดตั้ง Windows และ macOS ซึ่งเป็นช่องโหว่ระดับวิกฤต และเตือนว่าหากมีการทำ Exploit จุดอ่อนแล้วประสบความสำเร็จ อาจนำไปสู่การใช้รหัสโดยอำเภอใจ การรั่วไหลของหน่วยความจำ การหลบเลี่ยงความปลอดภัย และการโจมตีแบบปฏิเสธการให้บริการของแอปพลิเคชันได้ โดยซอฟต์แวร์ที่ได้รับผลกระทบ ได้แก่ Acrobat DC, Acrobat Reader DC, Acrobat 2020 และ Acrobat Reader 2020 ซึ่งบั๊กส่วนใหญ่เป็นปัญหาด้านความปลอดภัยของหน่วยความจำ และทีมงาน Adobe PSIRT ยังได้อัปเดตซอฟต์แวร์ Adobe Dimension เพื่อแก้ไขช่องโหว่ 3 รายการ ที่ทำให้ผู้ใช้ระบบปฏิบัติการ Windows และ macOS ใช้งานโค้ดโดยอำเภอใจและหน่วยความจำรั่วไหล

แหล่งข่าว [ https://www.securityweek.com/patch-tuesday-adobe-patches-30-acrobat-reader-vulns/ ]

Adobe rolls out a big batch of security updates to fix at least 30 Acrobat and Reader vulnerabilities affecting Windows and macOS users.

09/08/2023

📢[⚪️⚪️⚪️] จำนวนสถิติการโจมตีด้วยแรนซัมแวร์ในฟินแลนด์เพิ่มขึ้นสี่เท่า นับตั้งแต่เข้าร่วม NATO

รายงานข่าวจาก Recorded Future News ได้สัมภาษณ์ Sauli Pahlman รองผู้อำนวยการทั่วไปของ National Cyber Security Center (NCSC) ของฟินแลนด์ พบว่าจำนวนการโจมตีด้วยแรนซัมแวร์ที่กำหนดเป้าหมายในฟินแลนด์ได้เพิ่มขึ้นสี่เท่านับตั้งแต่ฟินแลนด์ได้เข้าร่วมกับ NATO ในปี 2023 ซึ่งเชื่อว่าจำนวนการโจมตีที่เพิ่มขึ้นนั้นมาจากแรงจูงใจทางการเมือง โดยที่วลาดิมีร์ ปูติน ได้เคยเตือนหลายครั้งว่ารัสเซียจะตอบโต้กลับหากนาโต้ตั้งโครงสร้างพื้นฐานทางทหารในฟินแลนด์หลังจากการเข้าร่วมเป็นพันธมิตร

เมื่อเดือนตุลาคม 2022 หน่วยข่าวกรองความมั่นคงแห่งฟินแลนด์ ( Suojelupoliisi หรือ SUPO ) ได้ออกเตือนถึงการโจมตีทางไซเบอร์ที่จะมีแนวโน้มสูงขึ้นจากผู้โจมตีที่มีความเชื่อมโยงกับรัสเซีย และในเวลานั้น SUPO ชี้ให้ NATO เห็นว่าการเป็นสมาชิกจะทำให้ประเทศนี้ตกเป็นเป้าหมายพิเศษสำหรับรัสเซีย ซึ่งหน่วยข่าวกรองระบุว่าภัยคุกคามทางไซเบอร์ต่อโครงสร้างพื้นฐานที่สำคัญของฟินแลนด์ได้เพิ่มขึ้นอันเป็นผลมาจากการรุกรานยูเครนของรัสเซีย และหน่วยงานยังเตือนด้วยว่าปฏิบัติการเหล่านี้ได้มุ่งเป้าหมายไปที่องค์กรและบุคคลจากประเทศตะวันตกที่อาศัยอยู่ในฟินแลนด์เป็นหลัก

แหล่งข่าว [ https://securityaffairs.com/149244/hacking/ransomware-attacks-against-finland.html ]

Senior official reports a quadruple increase in ransomware attacks against Finland since it started the process to join NATO.