Security

ตำรวจอังกฤษตั้งข้อหาวัยรุ่น 2 คน ที่เกี่ยวข้องกับแก๊งแฮ็กเกอร์ LAPSUS$

By mk

on 3 April 2022 - 10:52 Tag: Lapsus, United Kingdom, Hacking, Security

Lapsus

ตำรวจอังกฤษตั้งข้อหาวัยรุ่น 2 คน ที่เกี่ยวข้องกับอาชญากรรมไซเบอร์ของกลุ่มแฮ็กเกอร์ LAPSUS$

เมื่อปลายเดือนมีนาคม ตำรวจอังกฤษจับวัยรุ่น 7 คนที่อาจเกี่ยวข้องกับ LAPSUS$ และล่าสุดตั้งข้อหาวัยรุ่นอายุ 16 ปีและ 17 ปีตามลำดับ (ไม่เปิดเผยชื่อเพราะเป็นผู้เยาว์) โดยวัยรุ่นทั้งสองคนได้ประกันตัวแล้ว

Project Zero อธิบายกระบวนการทำงานของมัลแวร์ Pegasus ตอนสอง อาศัยช่องโหว่ในตัวเรนเดอร์ภาพ

By lew

on 1 April 2022 - 10:30 Tag: NSO Group, Security, Project Zero

NSO Group

หลังจาก Project Zero รายงานถึงการโจมตีของมัลแวร์ Pegasus ในขั้นแรกคือการส่งไฟล์ PDF เพื่อให้ iOS พยายามเรนเดอร์ภาพ แล้วอาศัยกระบวนการถอดรหัสภาพกลายเป็นตัวรันโค้ด วันนี้ Project Zero ก็ออกรายงานตอนที่สองว่าโค้ดที่รันอยู่ในตัวถอดรหัสภาพนั้นเจาะโทรศัพท์มือถือได้อย่างไร

แฮกเกอร์ใช้ช่องทางขอข้อมูลฉุกเฉิน หาข้อมูลผู้ใช้ Apple, Facebook, Discord, Snap

By lew

on 31 March 2022 - 02:00 Tag: Security, Privacy

Security

Bloomberg อ้างแหล่งข่าวไม่เปิดเผยตัวระบุว่าปีที่ผ่านมากลุ่มแฮกเกอร์ Recursion Team พยายามหาข้อมูลเหยื่อผ่านทางแพลตฟอร์มขนาดใหญ่ เช่น Apple, Facebook, Discord, และ Snap โดยอาศัยช่องทางการขอข้อมูลฉุกเฉินที่มีการตรวจสอบน้อยกว่า

โดยปกติแล้วผู้ให้บริการแพลตฟอร์มมักมีกฎเกณฑ์สำหรับการขอข้อมูลผู้ใช้ เช่น อีเมล, หมายเลขโทรศัพท์, ไอพี, หรือข้อมูลการใช้งานอื่นๆ โดยต้องผ่านการตรวจสอบหลายชั้น ต้องขอหมายศาลที่เกี่ยวข้อง แต่ขณะเดียวกันก็มักเปิดช่องทางขอข้อมูลฉุกเฉินในกรณีที่ต้องการข้อมูลเร่งด่วนโดยมีการตรวจสอบน้อยกว่า

เบื้องหลัง LAPSUS$ เจาะบริษัท Okta มาทางเอาท์ซอร์ส เจอไฟล์ Excel เก็บรหัสผ่านในอินทราเน็ต

By mk

on 29 March 2022 - 11:05 Tag: Okta, Lapsus, Hacking, Security

Okta

จากเหตุการณ์แฮ็กเกอร์กลุ่ม LAPSUS$ เจาะเข้าระบบของบริษัท Okta ที่ให้บริการ CRM จนกระทบลูกค้าหลายราย

วันนี้มีเอกสารสอบสวนการเจาะระบบของ Okta หลุดออกมาทางนักวิจัยความปลอดภัยอิสระ Bill Demirkapi โดยเอกสารนี้เป็นของบริษัทความปลอดภัย Mandiant (เพิ่งขายให้กูเกิล) ที่ได้รับการว่าจ้างจาก Okta ให้มาตรวจสอบเหตุการณ์

Microsoft Defender เพิ่มฟีเจอร์บล็อคการติดตั้งไดรเวอร์ที่มีช่องโหว่ความปลอดภัย

By mk

on 29 March 2022 - 06:57 Tag: Microsoft Defender, Driver, Security, Microsoft, Operating System

Microsoft Defender

David Weston หัวหน้าฝ่ายความปลอดภัยระบบปฏิบัติการของไมโครซอฟท์ โพสต์ภาพโชว์ฟีเจอร์ใหม่ของ Windows Defender / Microsoft Defender ว่าสามารถบล็อคการติดตั้งไฟล์ไดรเวอร์ที่มีช่องโหว่ความปลอดภัย ( vulnerable driver blocklist) ได้แล้ว

ในเอกสารของไมโครซอฟท์บอกว่าฟีเจอร์นี้ใช้ได้กับ Windows 10, 11, Server 2016 ขึ้นไป โดย Weston โชว์ภาพนี้บน Windows 11 แต่ยังไม่ชัดเจนว่าเราจะได้ใช้กันเมื่อไร

นักวิจัยเปิดเผยช่องโหว่ PHP ก่อนแพตช์ออกหลังทีมงานพัฒนาไม่ตอบรับรายงาน แต่ช่องโหว่แฮกได้ยาก

By lew

on 28 March 2022 - 12:21 Tag: PHP, Security

PHP

Jordy Zomer นักวิจัยความปลอดภัย รายงานถึงช่องโหว่ในฟังก์ชั่น filter_var ของภาษา PHP ที่มีช่องโหว่ทำให้การกรองข้อมูลตอบว่ากรองสำเร็จแม้ที่จริงไม่ได้กรองก็ตาม

Zomer ระบุว่าแจ้งทีมงาน PHP ไปแล้วหลายครั้งแต่ไม่ได้รับการตอบรับ แม้จะให้แพตช์แก้ช่องโหว่ไปด้วย จึงตัดสินใจเปิดเผยช่องโหว่นี้ต่อสาธารณะ (เขาไม่ได้ให้ timeline ว่าติดต่อไปยังทีมงานช่วงเวลาใดบ้าง) ทางด้านโครงการ PHP เองช่วงหลังประสบปัญหานักพัฒนาหลักลาออก อาจจะกระทบต่อการตอบรับรายงานของนักวิจัยภายนอก

กูเกิลระบุเกาหลีเหนือเป็นผู้โจมตีผู้ใช้ Chrome ด้วยช่องโหว่ Zero-Day ปลอมตัวเป็นเว็บสมัครงาน เว็บข่าวคริปโต

By lew

on 28 March 2022 - 09:31 Tag: Google, North Korea, Security

Google

ทีมงาน Threat Analysis Group (TAG) ของกูเกิลรายงานถึงกลุ่มแฮกเกอร์ที่ระบุว่ามาจากรัฐบาลเกาหลีเหนือโจมตีทั้งสื่อมวลชน, กลุ่มคนทำงานไอที, ฟินเทค, และเงินคริปโต โดยอาศัยช่องโหว่ CVE-2022-0609 ที่โจมตีก่อนจะมีข้อมูลเปิดเผยนานกว่าหนึ่งเดือน

Chrome ออกอัพเดตฉุกเฉิน 99.0.4844.84 แก้ไขช่องโหว่ Zero-Day แนะนำอัพเดตทันที

By arjin

on 26 March 2022 - 23:51 Tag: Chrome, Google, Browser, Security

Chrome

กูเกิลออกอัพเดต Chrome เวอร์ชัน 99.0.4844.84 บน Windows, Mac และ Linux เพื่อแก้ไขช่องโหว่ร้ายแรง Zero-Day ที่มีการรายงานการโจมตีออกมาแล้ว แนะนำให้ผู้ใช้อัพเดตโดยทันที

ช่องโหว่ 1 รายการที่ได้รับการแก้ไขคือ CVE-2022-1096 เกี่ยวกับเอนจิน V8 ซึ่งกูเกิลไม่ได้ลงรายละเอียดในตอนนี้ ด้วยเหตุผลด้านความปลอดภัย และจะให้รายละเอียดอีกครั้งเมื่อผู้ใช้งานอัพเดตเป็นเวอร์ชันล่าสุดในจำนวนที่มากพอจะไม่เกิดการโจมตีวงกว้าง

กูเกิลออกอัพเดต Chrome จากปัญหา Zero-Day ปีนี้เป็นครั้งที่สองแล้ว โดยครั้งแรกเป็นอัพเดตเมื่อเดือนกุมภาพันธ์ของช่องโหว่ CVE-2022-0609

ตำรวจอังกฤษจับวัยรุ่น 7 คน อาจเป็นหัวหน้าแก๊งแฮ็กเกอร์ LAPSUS$

By mk

on 25 March 2022 - 07:03 Tag: United Kingdom, Hacker, Lapsus, Security

United Kingdom

ตำรวจอังกฤษจับกุมวัยรุ่น 7 คน ที่มีความเกี่ยวโยงกับกลุ่มแฮ็กเกอร์ LAPSUS$ ที่กำลังโด่งดังในช่วงนี้ หลังแฮ็กบริษัทดังหลายราย เช่น NVIDIA, Samsung, Okta, Microsoft

ก่อนหน้านี้มีนักวิจัยความปลอดภัย Allison Nixon จากบริษัท Unit 221B ตามแกะรอยกลุ่ม LAPSUS$ และเปิดเผยว่าแกนนำของกลุ่มเป็นวัยรุ่นชาวอังกฤษอายุ 16-17 ปี ที่ใช้นามแฝงว่า WhiteDoxbin, Oklaqq หรือ Breachbase ส่วนสมาชิกคนอื่นๆ ของกลุ่มอยู่ในอเมริกาใต้

ไมโครซอฟท์บอก LAPSUS$ แฮ็กบัญชีพนักงานได้คนเดียว, เปิดเผยรายละเอียดวิธีแฮ็ก

By mk

on 23 March 2022 - 20:23 Tag: Microsoft, Hacking, Lapsus, Security

Microsoft

ทีมความปลอดภัยไซเบอร์ของไมโครซอฟท์ ออกรายงานความเคลื่อนไหวของกลุ่มแฮ็กเกอร์ LAPSUS$ ที่กำลังดังในตอนนี้ หลังเจาะข้อมูลของบริษัทชื่อดังหลายแห่ง เช่น NVIDIA, Samsung, Okta รวมถึงไมโครซอฟท์เองด้วย

ไมโครซอฟท์บอกว่าจากการสอบสวนภายใน พบว่ามีบัญชีของพนักงานถูกเจาะ 1 รายเท่านั้น และแฮ็กเกอร์ไม่ได้ข้อมูลอื่นขององค์กรไป นอกจากข้อมูลในบัญชีของพนักงานคนนั้น

เปิดตัวบริษัท Skyhigh Security ชื่อใหม่ของ McAfee Enterprise อีกร่างที่แยกออกมา

By mk

on 23 March 2022 - 06:47 Tag: Skyhigh, McAfee, Security, Trellix, Enterprise

Skyhigh

เส้นทางชีวิตของบริษัทความปลอดภัย McAfee เดิม มีความซับซ้อนสับสนอย่างมาก ถ้าให้สรุปความเคลื่อนไหวในรอบ 1 ปีมานี้คือ McAfee แยกเป็น 2 ส่วนคือ ธุรกิจคอนซูเมอร์และองค์กร โดยขาย McAfee Enterprise ให้กลุ่มทุน STG ส่วนธุรกิจคอนซูเมอร์ขายให้กลุ่มทุนอีกกลุ่มคือ Advent

ในฝั่ง McAfee Enterprise เจ้าของใหม่ STG จับแยกเป็นอีก 2 ส่วน โดยจับธุรกิจส่วนใหญ่ของ McAfee Enterprise ไปรวมร่างกับ FireEye (ที่แยกครึ่งกับ Mandiant แล้ว Mandiant เพิ่งขายให้กูเกิล) กลายเป็นบริษัทใหม่ชื่อ Trellix

ข่าวนี้คือ ส่วนที่เหลือของ McAfee Enterprise ที่เรียกว่าธุรกิจ Security Service Edge (SSE) หรือบริการตรวจสอบความปลอดภัยของจุดที่ขอบองค์กร (edge) จะกลายเป็นบริษัทใหม่ชื่อ Skyhigh Security

LAPSUS ประกาศปล่อยข้อมูลภายในของไมโครซอฟท์ รวม 37GB

By lew

on 22 March 2022 - 17:22 Tag: Lapsus, Hacking, Security, Microsoft

Lapsus

กลุ่ม LAPSUS ประกาศว่าสามารถแฮกเซิร์เวอร์ Azure DevOps ของไมโครซอฟท์เองได้สำเร็จ ทำให้ได้ข้อมูลซอร์สโค้ดไปจำนวนมาก ทั้งโครงการที่ให้บริการทั่วไป เช่น Bing หรือ Cortana และบริการภายในของไมโครซอฟท์เอง

LAPSUS ปล่อยไฟล์ .torrent ออกมาผ่านช่องทาง Telegram ของกลุ่ม พร้อมกับระบุรายชื่อ tracker ที่รองรับไฟล์นี้อยู่ ตัวไฟล์จริงๆ เป็น 7zip ขนาด 9GB และเมื่อแตกไฟล์ออกมาแล้วจะได้ขนาดรวม 37GB

ข้อมูลส่วนใหญ่เป็นซอร์สโค้ดบริการฝั่งเว็บและแอปพลิเคชั่นบนโทรศัพท์มือถือ ไม่มีซอร์สโค้ดฝั่งเดสก์ทอป เช่น Windows, Office, หรือซอฟต์แวร์ระดับองค์กรอย่าง SQL Server แต่อย่างใด

กลุ่มแฮกเกอร์ LAPSUS อ้างได้สิทธิ์แอดมินของ Okta นานนับเดือน บริษัทระบุกำลังตรวจสอบ

By lew

on 22 March 2022 - 14:34 Tag: Okta, Security, Hacking, Lapsus

Okta

กลุ่มแฮกเกอร์ LAPSUS ที่โด่งดังขึ้นในช่วงหลังจากการแฮกข้อมูล NVIDIA และซัมซุง ประกาศว่าทางกลุ่มสามารถล็อกอินเข้าระบบของ Okta ผู้ให้บริการยืนยันตัวตนระดับองค์กรรายใหญ่

HubSpot บริษัทซอฟต์แวร์ CRM ถูกแฮ็กระบบ เข้าถึงข้อมูลลูกค้าองค์กร 30 ราย

By mk

on 22 March 2022 - 09:56 Tag: HubSpot, CRM, Hacking, Data Breach, Security

HubSpot

HubSpot บริษัทผู้ให้บริการซอฟต์แวร์ CRM, การตลาดออนไลน์ และระบบบริการลูกค้า รายงานว่าค้นพบการเจาะระบบเมื่อวันที่ 18 มีนาคม 2022 ที่ผ่านมา และมีข้อมูลของลูกค้าจำนวนหนึ่งถูกขโมยออกไป

HubSpot เปิดเผยรายละเอียดของการแฮ็กว่าเริ่มจากบัญชีของพนักงานโดนแฮ็กก่อน และถูกใช้เข้ามาเจาะไปยังข้อมูลของลูกค้าอีกทีหนึ่ง ซึ่งตอนนี้ HubSpot ได้แจ้งเตือนไปยังลูกค้าองค์กรประมาณ 30 รายที่ได้รับผลกระทบแล้ว

บริษัทหลายรายที่เป็นลูกค้าของ HubSpot ที่ระบุชื่อคือบริษัทสายคริปโต 4 ราย BlockFi, Swan Bitcoin, NYDIG, Circle เปิดเผยว่าโดนเจาะบัญชี HubSpot ของตัวเองตามไปด้วย แต่แฮ็กเกอร์เข้าไม่ถึงระบบไอทีหลักของบริษัทที่แยกจากกัน

mitmproxy ออกเวอร์ชั่น 8 ปรับปรุงหน้า UI แปลงการเชื่อมต่อเป็นคำสั่ง curl

By lew

on 21 March 2022 - 15:24 Tag: HTTP, Security, Open Source

HTTP

mitmproxy โปรแกรมโอเพนซอร์สสำหรับคั่นกลางการเชื่อมต่อเว็บ ออกเวอร์ชั่น 8 โดยมีส่วนเปลี่ยนแปลงสำคัญคือหน้า UI แบบเว็บ หรือ mitmweb ปรับปรุงใหญ่

ตัว mitmweb ปรับปรุงโดย Toshiaki Tanaka ที่ได้รับทุนสนับสนุนในโครงการ Google Summer of Code 2021 ความสามารถที่เพิ่มขึ้นคือการแสดงการเชื่อมต่อทั้ง TCP และ WebSocket ได้เพิ่มจาก HTTP/HTTPS นอกจากนั้นการเชื่อมต่อ HTTP ยังสามารถแปลงเป็นคำสั่ง curl หรือ HTTPie ในตัว แบบเดียวกับ Developer Tools ในเบราว์เซอร์

นักพัฒนาโมดูล node-ipc ประท้วงสงคราม หากติดตั้งในรัสเซียจะไล่ลบไฟล์ผู้ใช้

By lew

on 18 March 2022 - 11:18 Tag: Security, NPM, JavaScript

Security

RIAEvangelist นักพัฒนาโมดูล node-ipc ที่ได้รับความนิยมสูง ใส่โค้ดเพื่อลบไฟล์ผู้ใช้หากตรวจสอบไอพีแล้วพบว่าผู้ใช้อยู่ในรัสเซียหรือเบลารุส ไม่ว่าผู้ใช้จะติดตั้งโมดูลโดยตรงหรือติดตั้งจาก dependency โมดูลอื่นๆ ก็ตาม

ทาง GitHub ออกมาประกาศว่าเวอร์ชั่น 10.1.1 และ 10.1.2 ที่ผู้ดูแลใส่โค้ดเข้ามานี้เป็นช่องโหว่ร้ายแรงระดับวิกฤติ ตอนนี้ทาง NPM ได้ลบเวอร์ชั่นเหล่านี้ออกแล้ว และมีการอัพเดตเป็นเวอร์ชั่น 10.1.3

Cloudflare เปิด WAF พื้นฐานให้ใช้งานฟรีทุกคน

By lew

on 18 March 2022 - 01:22 Tag: Cloudflare, Security

Cloudflare

Cloudflare ประกาศเปิด Cloudflare WAF เวอร์ชั่นพื้นฐานให้กับผู้ใช้งานทุกคน แม้จะเป็นผู้ใช้ที่ไม่ได้จ่ายค่าบริการเลยก็ตาม

Web Application Firewall (WAF) เป็นไฟร์วอลล์ที่ใช้ตรวจทราฟิกเว็บเป็นหลัก โดยสามารถตรวจ URL, HTTP Header, และ payload ว่าตรงกับรูปแบบการโจมตีหรือไม่ โดยปกติแล้วบริการส่วนนี้ของ Cloudflare จะเปิดให้กับผู้ใช้ระดับ Pro ขึ้นไปเท่านั้น

ไมโครซอฟท์ปล่อยโปรแกรมตรวจเราเตอร์ MikroTik ว่าถูกแฮกเกอร์แฮกไปใช้งานหรือยัง

By lew

on 18 March 2022 - 00:36 Tag: MikroTik, Security, Microsoft

MikroTik

ไมโครซอฟท์ออกรายงานถึงมัลแวร์ Trickbot ที่เป็นต้นทางการแฮกสู่บริการอื่นๆ เช่น มัลแวร์เรียกค่าไถ่, การวางโปรแกรมขุดเงินคริปโต, หรือการให้กลุ่มแฮกเกอร์อื่นเข้ายึดเครื่องของเหยื่อ (access-as-a-service) โดยกลุ่ม Trickbot นี้ดำเนินการมาได้นานตั้งแต่ปี 2016 มีแนวทางสำคัญคือการแฮกอุปกรณ์ IoT หรือเราท์เตอร์ เพื่อเป็นฐานในการไปแฮกเป้าหมายที่แท้จริงอีกที

แจ้งเตือน OpenSSL, LibreSSL มีช่องโหว่ยิงโปรแกรมค้าง ควรเร่งอัพเดต

By lew

on 16 March 2022 - 16:24 Tag: OpenSSL, Security

OpenSSL

Tavis Ormandy จาก Project Zero ของกูเกิลรายงานถึงช่องโหว่ CVE-2022-0778 ที่ใบรับรองเข้ารหัสที่ออกแบบมาเฉพาะสามารถกระตุ้นให้ฟังก์ชั่น BN_mod_sqrt รันเป็นลูปไม่รู้จบได้ ส่งผลให้ซอฟต์แวร์ที่เปิดรับการเชื่อมต่อแบบเข้ารหัสผ่านอินเทอร์เน็ตถูกคนร้ายยิงจนค้างได้

ช่องโหว่นี้อยู่ในฟังก์ชั่นส่วนการอ่านค่าพารามิเตอร์ของ elliptic curve จึงกระทบทั้งไคลเอนต์ที่มักอ่านใบรับรองเข้ารหัสของเซิร์ฟเวอร์ และเซิร์ฟเวอร์ที่หลายครั้งยืนยันตัวตนผู้ใช้ด้วยใบรับรองเช่นกัน

ประเทศฟิจิคอนฟิก DNSSEC พลาด ทำโดเมน .fj ดับ

By lew

on 14 March 2022 - 10:04 Tag: DNSSEC, DNS, Security

DNSSEC

เมื่อวันที่ 8 มีนาคมที่ผ่านมา คนจำนวนหนึ่งพบว่าไม่สามารถเข้าเว็บใดๆ ที่เป็นโดเมนของประเทศฟิจิ หรือ TLD ว่า .fj ได้ ทาง Cloudflare รายงานและพบว่าเกิดจากการเปลี่ยนกุญแจเซ็น DNSSEC ผิดพลาด จนทำให้ resolver หลายตัวที่ตรวจสอบ DNSSEC ก่อนไม่สามารถยืนยันความถูกต้องได้

DNSSEC เป็นกระบวนการยืนยันว่า ค่า DNS ที่ตอบจากเซิร์ฟเวอร์ DNS นั้นถูกต้องจริง โดยผู้ที่ถือโดเมนต้องนำค่าแฮชของกุญแจสาธารณะไปวางไว้ผู้ให้บริการระดับสูงขึ้นไป การตรวจสอบโดเมนจึงสามารถตรวจสอบเป็นชั้นๆ ตั้งแต่ root DNS ลงมายัง TLD ต่างๆ (เช่น .fj ของฟิจิ หรือ .th ของไทย) และจบด้วยการตรวจสอบโดเมนในที่สุด

Subscribe to Security