Security

FireEye เผยเบื้องหลังการค้นพบมัลแวร์ SolarWinds เกิดจากโชคล้วนๆ เพราะเนียนมาก

By mk

on 21 December 2020 - 21:04 Tag: FireEye, Security, SolarWinds

FireEye

จุดเริ่มต้นของการค้นพบว่า SolarWinds โดนแฮ็ก แล้วระบาดไปยังลูกค้าของบริษัท เริ่มจากบริษัทความปลอดภัยชื่อดัง FireEye โดนแฮ็กก่อน แล้วสอบสวนไปมาถึงค่อยพบว่าสาเหตุมาจากซอฟต์แวร์ SolarWinds Orion ฝังมัลแวร์เอาไว้

มาถึงตอนนี้เรารู้แล้วว่ามัลแวร์ Solorigate หรือ Sunburst ทำงานอย่างไร มีกระบวนการที่แนบเนียนมาก แต่ถ้ามองย้อนกลับไปถึงตอนแรกสุด การค้นพบของ FireEye ต้องเรียกได้ว่า "โชคช่วย" ค้นพบโดยบังเอิญ และถ้าไม่เกิดเหตุการณ์นี้ ป่านนี้ก็ยังไม่มีใครรู้ว่า Solorigate ฝังตัวอยู่ในหน่วยงานนับหมื่นแห่งด้วยซ้ำ

เคราะห์ซ้ำกรรมซัด พบหลักฐาน SolarWinds โดนเจาะสองรอบ ฝังมัลแวร์สองตัวที่ไม่เกี่ยวกัน

By mk

on 21 December 2020 - 09:12 Tag: SolarWinds, Hacking, Security, Malware

SolarWinds

กรณี SolarWinds โดนแฮ็กซัพพลายเชนจนลามไปยังหน่วยงานลูกค้าจำนวนมาก ยังเป็นประเด็นข่าวสำคัญในแวดวงความปลอดภัยไซเบอร์ปีนี้

ทีมความปลอดภัยของไมโครซอฟท์ เขียนบล็อกอธิบายการทำงานของมัลแวร์ตัวนี้ (ถูกตั้งชื่อว่า Solorigate น่าจะมาจาก Sol arWinds Ori on + gate) อย่างละเอียด ตั้งแต่กระบวนการฝังมัลแวร์ตั้งแต่ต้นทาง ไปจนถึงการทำงานของมัลแวร์ที่ส่งข้อมูลกลับไปยังเซิร์ฟเวอร์ถึง 2 ตัวเพื่อเลี่ยงการตรวจจับ

เผยสถิติ ผู้ใช้ Windows 10 เกือบ 85% ล็อกอินผ่าน Windows Hello แทนใช้รหัสผ่าน

By mk

on 20 December 2020 - 16:45 Tag: Windows Hello, Windows 10, Authentication, Password, Microsoft, Security

Windows Hello

ไมโครซอฟท์ผลักดันการยืนยันตัวตนด้วยวิธีอื่นๆ แทนรหัสผ่าน (เช่น ไบโอเมทริก, Authenticator, การตั้ง PIN หรือคีย์ฮาร์ดแวร์) มาสักพักใหญ่ๆ โดยฝั่งคอนซูเมอร์ทำผ่านฟีเจอร์ Windows Hello และฝั่งลูกค้าองค์กรผ่าน Azure Active Directory

สัปดาห์ที่ผ่านมา ไมโครซอฟท์เผยสถิติเพิ่มเติมของการล็อกอินแบบ "passwordless" คือ

Cisco โดนด้วย พบเครื่องที่ใช้ไบนารี SolarWinds ในระบบ แต่จำนวนน้อย ไม่พบการแฮ็ก

By mk

on 19 December 2020 - 17:08 Tag: Cisco, SolarWinds, Security

Cisco

Cisco เป็นบริษัทใหญ่อีกรายที่ออกมายอมรับว่า ได้รับผลกระทบจากไบนารีของ SolarWinds โดนสับเปลี่ยน โดยบอกว่าตรวจพบไบนารีที่ฝังมัลแวร์ในเครือข่ายของ Cisco จริง แต่มีเป็นจำนวนน้อย ถูกแก้ไขโดยเร็ว และไม่ส่งผลกระทบอะไรต่อผลิตภัณฑ์ของ Cisco ที่ส่งให้ลูกค้า

Reuters อ้างแหล่งข่าวใกล้ชิดกับ Cisco ระบุว่าเครื่องที่ตรวจพบมัลแวร์มีประมาณ 50 เครื่องเท่านั้น และเป็นเครื่องที่ใช้ในห้องแล็บ

ไมโครซอฟท์รับ โดนฝังไบนารี SolarWinds แต่ไม่พบการแฮ็ก, 80% ที่กระทบอยู่ในสหรัฐ

By mk

on 19 December 2020 - 09:22 Tag: SolarWinds, Security, Microsoft

SolarWinds

กรณีการแฮ็ก SolarWinds ที่โดนสลับไบนารีของซอฟต์แวร์มอนิเตอร์ Orion ส่งผลกระทบในวงกว้าง เพราะ SolarWinds มีลูกค้าองค์กรจำนวนมาก ตัวเลขของบริษัทเองระบุว่ามีองค์กรที่ได้รับผลกระทบ 18,000 แห่ง จากลูกค้าทั้งหมด 33,000 แห่ง

มีหน่วยงานภาครัฐของสหรัฐจำนวนมากที่โดนหางเลขไปด้วย เช่น กระทรวงการคลัง, กระทรวงพาณิชย์, กระทรวงการต่างประเทศ, กระทรวงความมั่นคงแห่งมาตุภูมิ, กระทรวงพลังงาน, กระทรวงสาธารณสุข

SCB งดการลงแอป SCB Easy บนอุปกรณ์ใหม่เองชั่วคราว หลังแฮกเกอร์ส่ง SMS Phishing หลอกเงินลูกค้าเป็นวงกว้าง

By lew

on 17 December 2020 - 13:24 Tag: SCB, Phishing, Security, Banking

SCB

ธนาคารไทยพาณิชย์ประกาศงดการลงแอป SCB Easy ในอุปกรณ์ใหม่ด้วยตัวเองเป็นการชั่วคราว หลังจากก่อนหน้านี้ลูกค้าจำนวนมากได้รับ SMS phishing หลอกให้ส่งรหัสผ่านและค่า OTP โดยระหว่างนี้ลูกค้าต้องเดินทางไปยังสาขาเมื่อลงแอปในเครื่องใหม่

ข้อมูลของนางสาววรรยา เจริญโพธิ์ หนึ่งในผู้เสียหายแสดงให้เห็นว่าคนร้ายจะขอข้อมูลส่วนตัว แล้วให้ผู้เสียหายส่งรหัส OTP ที่ได้รับจากธนาคารให้ 2 ครั้ง แสดงให้เห็นว่าครั้งแรกเป็นการลงแอป และอีกครั้งเป็นการโอนเงินออกจากบัญชี

กรณีศึกษา SolarWinds การแฮ็กซัพพลายเชนครั้งใหญ่ กระทบ ก.คลังสหรัฐ โดนแฮ็กด้วย

By mk

on 16 December 2020 - 16:41 Tag: SolarWinds, Hacking, Security, Microsoft Defender

SolarWinds

ข่าวใหญ่วงการไอทีสัปดาห์นี้คือ SolarWinds ผู้ผลิตซอฟต์แวร์มอนิเตอร์เครือข่าย ถูกแฮกเกอร์ฝังมัลแวร์ Orion ส่งผลให้ลูกค้าของ SolarWinds ซึ่งมีหน่วยงานรัฐบาลสหรัฐหลายแห่ง เช่น กระทรวงการคลัง, กระทรวงพาณิชย์ โดนแฮ็กไปด้วย กลายเป็นกรณีการแฮ็กหน่วยงานรัฐบาลครั้งใหญ่ของสหรัฐอเมริกา

เตรียมอัพเดตชุดใหญ่ ไลบรารี XML ของ Go มีบั๊กเปิดทางแฮกเกอร์ระบบข้ามระบบล็อกอิน SAML

By lew

on 16 December 2020 - 00:07 Tag: Go, Security, XML

Mattermost รายงานถึงช่องโหว่ของไลบรารี encoding/xml ในภาษา Go ที่พบมาตั้งแต่เดือนสิงหาคมที่ผ่านมา แต่ผลกระทบเป็นวงกว้างมากจนกระทั่งต้องนัดแนะกันออกแพตช์พร้อมๆ กัน

ไมโครซอฟท์เพิ่มฟีเจอร์จัดการรหัสผ่านให้ Microsoft Authenticator, ซิงก์กับ Edge

By lew

on 15 December 2020 - 19:11 Tag: Microsoft, Security, Password Manager

Microsoft

ไมโครซอฟท์เพิ่มฟีเจอร์จัดการรหัสผ่านให้กับแอป Microsoft Authenticator โดยซิงก์รหัสผ่านมาจาก Microsoft Edge ทำให้สามารถนำรหัสผ่านในเบราว์เซอร์ไปใช้งานที่อื่นได้ด้วย

Microsoft Edge นั้นจัดการรหัสผ่านได้ในตัวมานานแล้ว แต่ไม่มีแอปจัดการแยกทำให้เสียเปรียบในแพลตฟอร์มที่ Edge เป็นที่นิยมน้อยกว่า โดยเฉพาะในโทรศัพท์มือถือ ขณะที่ Microsoft Authenticator ทำหน้าที่เป็นตัวล็อกอินขั้นที่สองที่คนใช้งานบนโทรศัพท์มือถือเป็นวงกว้างอยู่แล้ว

ฟีเจอร์นี้ยังจำกัดอยู่ในกลุ่มผู้ใช้แอปรุ่นเบต้าเท่านั้น และบางคนอาจจะไม่ได้รับฟีเจอร์นี้แม้จะใช้งานเบต้าก็ตาม

SolarWinds โดนแฮกเกอร์ฝังโค้ดมัลแวร์ลงอัพเดตส่งลูกค้า รอรับคำสั่งจากแฮกเกอร์

By lew

on 14 December 2020 - 13:38 Tag: SolarWinds, Security, Enterprise, Malware, FireEye

SolarWinds

SolarWinds ผู้ผลิตซอฟต์แวร์มอนิเตอร์เครือข่ายถูกแฮกเกอร์ฝังมัลแวร์เข้าไปยังอัพเดตซอฟต์แวร์สำหรับลูกค้าได้สำเร็จ ทำให้ผู้ใช้ที่ติดตั้งซอฟต์แวร์ SolarWinds Orion เวอร์ชั่น 2019.4 ไปจนถึง 2020.2.1 มีความเสี่ยงถูกโจมตี ล่าสุดทางบริษัทออกแพตช์ 2020.2.1 HF1 มาแล้ว ควรเร่งอัพเดตทันที

อดีตพนักงานซิสโก้ถูกตัดสินจำคุกสองปี จากการแอบเข้าคลาวด์บริษัทลบเซิร์ฟเวอร์ 456 เครื่องเมื่อปี 2018

By lew

on 12 December 2020 - 11:27 Tag: Cisco, Security

Cisco

ศาลแขวงสหรัฐฯ ตัดสินโทษ Sudhish Kasaba Ramesh อดีตพนักงานของซิสโก้ที่ลาออกไปเมื่อเดือนเมษายน 2018 แต่กลับถือสิทธิ์เข้าถึงบัญชี AWS ของซิสโก้เอาไว้ และใช้สิทธิ์นั้นลบเซิร์ฟเวอร์ 456 เครื่องออกจากระบบเมื่อวันที่ 24 กันยายน 2018 จนทำให้บัญชี WebEx Team ของบริษัทกว่า 16,000 บริษัทใช้งานไม่ได้ สร้างความเสียหายรวม 2,400,000 ดอลลาร์ ศาลตัดสินโทษปรับ 15,000 ดอลลาร์และจำคุกสองปี

เฟซบุ๊กแบนกลุ่มแฮกเกอร์จากบังคลาเทศและเวียดนาม แบนโดเมนออกจากระบบพร้อมแชร์วิธีตรวจมัลแวร์

By lew

on 12 December 2020 - 10:50 Tag: Facebook, Security

Facebook

เฟซบุ๊กเปิดเผยถึงกลุ่มแฮกเกอร์สองกลุ่มที่ปฎิบัติการอยู่บนแพลตฟอร์ม พยายามเข้ายึดบัญชีเฟซบุ๊กจากเหยื่อและเผยแพร่มัมัลแวร์

กลุ่มจากบังคลาเทศนั้นทางเฟซบุ๊กระบุว่ามีความเกี่ยวข้องกับองค์กรที่ชื่อว่า Don's Team (Defense of Nation) และ Crime Research and Analysis Foundation (CRAF) ปฎิบัติการของกลุ่มนี้คล้ายไอโอทั่วไป ตั้งแต่การรุมรีพอร์ตบัญชีฝ่ายตรงข้าม พร้อมกับแฮกบัญชีเพื่อโปรโมทเนื้อหาฝั่งตัวเอง โดยพยายามยึดเพจต่างๆ จากแอดมินเดิมเพื่อกระจายเนื้อหา

ลาก่อน ActiveX เกาหลีใต้เลิกใช้ใบรับรองของรัฐ เปิดให้เอกชนเปิดบริการยืนยันตัวตนดิจิทัล

By lew

on 10 December 2020 - 01:32 Tag: South Korea, Authentication, Security

South Korea

วันนี้กฎหมาย Electronic Signature Act ฉบับแก้ไขของเกาหลีใต้ที่ประกาศตั้งแต่ช่วงต้นปีที่ผ่านมาจะบังคับใช้เป็นวันแรก ทำให้บริษัทเอกชนสามารถออกใบรับรองเพื่อให้ประชาชนเข้าถึงบริการของภาครัฐได้ เฉพาะบริการยื่นภาษีออนไลน์

เกาหลีใต้ใช้ใบรับรองดิจิทัลเพื่อยืนยันตัวตนผู้ใช้บริการมาตั้งแต่ปี 1999 หรือ 21 ปีแล้ว แม้จะทันสมัยมากในยุคนั้นแต่ระบบแทบไม่มีการอัพเดตเลยในช่วงเวลาที่ใช้งาน เทคโนโลยีที่เคยเป็นเทคโนโลยีล้ำสมัยอย่าง ActiveX กลายเป็นเทคโนโลยีตกรุ่น โดยกฎหมายเดิมกำหนดให้หน่วยงานรัฐเป็นผู้ออกใบรับรองดิจิทัลแต่เพียงผู้เดียว

บริษัทเล็กก็ทำได้ ทิพยประกันภัยร่วมกับ Cisco เปิดตัวประกันภัยไซเบอร์ให้ธุรกิจ SME

By sunnywalker

on 9 December 2020 - 21:00 Tag: Thailand, Security, Cisco, Insurance

Thailand

ทิพยประกันภัยจับมือ Cisco เสนอแผนประกันภัยไซเบอร์การ์ดพลัส TIP Cyber Guard Plus Powered by Cisco เจาะกลุ่มธุรกิจขนาดเล็กถึงกลางที่มีรายได้ต่อปีไม่เกิน 900 ล้านบาท โดยมี Cisco มาช่วยออกแบบ แบบสอบถามประเมินความเสี่ยงด้านไอทีของธุรกิจนั้นๆ

แผนประกัน TIP Cyber Guard Plus Powered by Cisco ครอบคลุมความเสียหายต่อไปนี้

Let’s Encrypt เปลี่ยนฮาร์ดแวร์เซิร์ฟเวอร์จาก Intel เป็น AMD เพื่อเลน PCIe ที่มากกว่า

By mheevariety

on 9 December 2020 - 16:08 Tag: Let's Encrypt, Security

Let's Encrypt

Let's Encrypt ผู้ให้บริการออกใบรับรองเว็บฟรี ระบุข้อมูลการอัพเกรดฮาร์ดแวร์เซิฟเวอร์ใหม่ในรายงานประจำปี 2020 ของ Internet Securities Research Group (ISRG) มีรายละเอียดดังนี้

จากเดิมเครื่องเซิฟเวอร์บริษัท ใช้ซีพียู Intel Xeon E5-2650 จำนวน 2 ตัว รวม 24 คอร์ 48 เธรด แรม 1TB 2400 MT/s และฮาร์ดดิสก์ Samsung PM833 ความจุ 3.8TB จำนวน 24 ลูก ความเร็วอ่าน/เขียน 560/540 MB/s นั้น ได้เปลี่ยนมาเป็นเครื่อง Dell PowerEdge R7525 ที่ใช้ซีพียู AMD EPYC 2 ชิปและแรม 2TB 3200MT/s แทน เพราะ Let’s Encrypt ต้องการพัฒนาประสิทธิภาพของเซิฟเวอร์โดยคงฟอร์มแฟกเตอร์แบบ 2U ไว้

FireEye ถูกแฮกขโมยเครื่องมือแฮกของ Red Team, บริษัทปล่อยข้อมูลเพื่อให้ทุกคนป้องกันตัว

By lew

on 9 December 2020 - 05:30 Tag: FireEye, Security, Hacking, Firewall

FireEye

FireEye บริษัทความมั่นคงปลอดภัยไซเบอร์ชื่อดังเปิดเผยว่าบริษัทถูกแฮกจนสามารถขโมยเอาเครื่องมือแฮกของ Red Team ในบริษัทที่ปกติมีไว้เพื่อทดสอบความปลอดภัยเครือข่ายให้แก่ลูกค้า แม้ว่าเครื่องมือที่หลุดไปจะไม่มีช่องโหว่ 0-day หรือเทคนิคการแฮกที่ไม่เคยเปิดเผยมาก่อน แต่เครื่องมือเหล่านี้ก็จำลองกระบวนการแฮกของกลุ่มแฮกเกอร์ที่โจมตีในโลกความเป็นจริง ทางบริษัทปล่อยคอนฟิกไฟร์วอลล์และแอนตี้ไวรัสกว่า 300 รายการเพื่อลดผลกระทบหากคนร้ายนำเครื่องมือเหล่านี้ไปใช้งาน

ระวังบัญชี Support Team ของ Twitter ปลอมส่งข้อความ phishing แจ้งผิดลิขสิทธิ์

By nismod

on 8 December 2020 - 14:24 Tag: Twitter, Security

Twitter

ข่าวสดออนไลน์ @khaosodonline โพสต์ทวิตเตอร์เปิดเผยว่าได้รับข้อความส่วนตัวจากแอคเคาท์ที่ใช้ชื่อว่า Support Team ของทวิตเตอร์และมีเครื่องหมายติ๊กถูก แจ้งว่ามีทวีตละเมิดลิขสิทธิ์ ให้กรอกข้อมูลชี้แจง ไม่เช่นนั้นแอคเคาท์จะถูกปิด

แอนตี้ไวรัสซื้อกันเอง NortonLifeLock ซื้อกิจการ Avira มูลค่า 360 ล้านดอลลาร์

By mk

on 8 December 2020 - 09:26 Tag: Avira, NortonLifeLock, Norton, Antivirus, Security, Acquisition

Avira

บริษัทแอนตี้ไวรัสซื้อกิจการกันเอง โดย NortonLifeLock (ชื่อใหม่ของ Symantec) ซื้อบริษัทร่มแดง Avira จากเยอรมนี มูลค่า 360 ล้านดอลลาร์ จ่ายเป็นเงินสดทั้งหมด

ที่มาที่ไปของทั้งสองบริษัทมีความซับซ้อนอยู่บ้าง เริ่มจากเมื่อปีที่แล้ว Symantec แยกครึ่งบริษัท โดยขายธุรกิจ Enterprise Security พร้อมแบรนด์ Symantec ให้กับ Broadcom โดยยังเหลือธุรกิจฝั่งคอนซูเมอร์เอาไว้คือ แอนตี้ไวรัสแบรนด์ Norton และบริการป้องกันข้อมูลส่วนตัว LifeLock จึงเปลี่ยนชื่อบริษัทเป็น NortonLifeLock

Citizen Lab รายงานรัฐบาลทั่วโลกที่ใช้เครื่องมือดักฟังโทรศัพท์และ SMS พบตำรวจและกองทัพบกไทยใช้งานด้วย

By lew

on 2 December 2020 - 18:37 Tag: Citizen Lab, Security, SMS, Mobile, NSO Group

Citizen Lab

Citizen Lab ออกรายงานถึงสินค้าของบริษัท Circles ผู้พัฒนาระบบแฮกเครือข่ายโทรศัพท์มือถือผ่านทางช่องโหว่โปรโตคอล SS7 ที่เปิดทางให้แฮกเกอร์สามารถดักฟังทั้งโทรศัพท์และข้อความ SMS ของเหยื่อได้ โดย Circles ระบุว่าบริษัทจะขายสินค้าให้กับรัฐเท่านั้น ไม่เปิดขายเอกชนทั่วไป รายงานระบุรายชื่อรัฐบาลที่ใช้งานสินค้าของ Circles ทั่วโลก รวมถึงรัฐบาลไทยที่มีกองทัพบกและตำรวจปราบปรามยาเสพติดใช้งาน

ThaiCERT/US-CERT แจ้งเตือนองค์กรถูกแฮก Fortinet VPN แฮกเกอร์นำข้อมูลออกแจกจ่าย

By lew

on 28 November 2020 - 12:21 Tag: Fortinet, Security, VPN, ThaiCERT

Fortinet

ThaiCERT และ US-CERT ออกประกาศแจ้งเตือนองค์กรที่ใช้ Fortinet VPN จำนวนมากถูกแฮกเกอร์เจาะระบบด้วยช่องโหว่ CVE-2018-13379 ที่บริษัทแพตช์ไปตั้งแต่กลางปี 2019 แต่หลายองค์กรยังไม่ได้ติดตั้งแพตช์ และตัวช่องโหว่ทำให้แฮกเกอร์อ่านชื่อผู้ใช้และรหัสผ่านได้ ทำให้แม้จะแพตช์ไปหลังจากถูกแฮก ตัวแฮกเกอร์ก็สามารถล็อกอินกลับเข้าเครือข่ายได้

ทาง ThaiCERT ระบุว่ากำลังประสานงานไปยังหน่วยงานในไทยที่ได้รับผลกระทบเพื่อให้อัพเดตเฟิร์มแวร์และเปลี่ยนรหัสผ่าน

Subscribe to Security