โพสต์ถูกสร้างโดย NCSA

Cyber Security Agency of Singapore (CSA)ได้เผยแพร่เกี่ยวกับ CSA, กองกำลังตำรวจสิงคโปร์ (SPF) และคณะกรรมการคุ้มครองข้อมูลส่วนบุคคล (PDPC) ได้ร่วมกันออกคำแนะนำเกี่ยวกับ Akira ransomware โดยเน้นย้ำถึงกลยุทธ์ เทคนิค และขั้นตอน (TTP) ที่กลุ่มภัยคุกคาม Akira นำไปใช้ในการบุกรุกเครือข่ายของเหยื่อ และจัดเตรียมมาตรการที่แนะนำสำหรับหน่วยงานต่างๆ เพื่อบรรเทาภัยคุกคามที่เกิดขึ้น

อ้างอิง
https://www.csa.gov.sg/alerts-advisories/Advisories/2024/ad-2024-013

สามารถติดตามข่าวสารได้ที่ webboard หรือ Facebook NCSA Thailand

สามารถติดตามข่าวสารได้ที่ webboard หรือ Facebook NCSA Thailand

สามารถติดตามข่าวสารได้ที่ webboard หรือ Facebook NCSA Thailand

Industrial Sector

• Emerson Ovation
  "Successful exploitation of these vulnerabilities could allow remote code execution, loss of sensitive information, denial-of-service, or allow an attacker to modify the controller configuration."
  https://www.cisa.gov/news-events/ics-advisories/icsa-24-158-02

• Johnson Controls Software House iStar Pro Door Controller
  "Successful exploitation of this vulnerability may allow an attacker to perform a machine-in-the-middle attack to inject commands which change configuration or initiate manual door control commands."
  https://www.cisa.gov/news-events/ics-advisories/icsa-24-158-04

• Emerson PACSystem And Fanuc
  "Successful exploitation of these vulnerabilities could allow remote code execution, loss of sensitive information, or a denial-of-service condition."
  https://www.cisa.gov/news-events/ics-advisories/icsa-24-158-01

• Mitsubishi Electric CC-Link IE TSN Industrial Managed Switch
  "Successful exploitation of this vulnerability could allow an attacker to cause a temporary denial-of service (DoS) condition in the web service on the product."
  https://www.cisa.gov/news-events/ics-advisories/icsa-24-158-03

New Tooling

• Sniffnet: Free, Open-Source Network Monitoring
  "Sniffnet is a free, open-source network monitoring tool to help you easily track your Internet traffic. What sets it apart is its strong focus on user experience. Unlike most network analyzers, Sniffnet is built to be easily usable by everyone, regardless of technical expertise."
  https://www.helpnetsecurity.com/2024/06/06/sniffnet-open-source-free-network-monitoring-tool/
  https://github.com/GyulyVGC/sniffnet

Vulnerabilities

• CyRC Vulnerability Advisory: CVE-2024-5184s Prompt Injection In EmailGPT Service
  "The Synopsys Cybersecurity Research Center (CyRC) has exposed prompt injection vulnerabilities in the EmailGPT service. EmailGPT is an API service and Google Chrome extension that assists users in writing emails inside Gmail using OpenAI's GPT models. The service uses an API service that allows a malicious user to inject a direct prompt and take over the service logic. Attackers can exploit the issue by forcing the AI service to leak the standard hard-coded system prompts and/or execute unwanted prompts."
  https://www.synopsys.com/blogs/software-security/cyrc-advisory-prompt-injection-emailgpt.html
  https://hackread.com/emailgpt-flaw-user-data-at-risk-remove-extension/

• Vulnerabilities Patched In Kiuwan Code Security Products After Long Disclosure Process
  "It took code security firm Kiuwan nearly two years to patch several potentially serious vulnerabilities discovered in its static application security testing (SAST) products. Kiuwan is owned by US-based B2B productivity tools provider Idera. The vulnerabilities were found in the Kiuwan SAST and Local Analyzer products by a researcher at Eviden-owned cybersecurity consultancy SEC Consult, which uses the Kiuwan SAST tool for finding security issues in customer projects."
  https://www.securityweek.com/vulnerabilities-patched-in-kiuwan-code-security-products-after-long-disclosure-process/

Malware

• What’s Going On With Check Point (CVE-2024-24919)?
  "On May 28, 2024, Check Point published an advisory (and emailed customers) regarding CVE-2024-24919, a CVSS 8.6 vulnerability that they described using fairly vague language: "exploiting this vulnerability can result in accessing sensitive information on the Security Gateway. This, in certain scenarios, can potentially lead the attacker to move laterally and gain domain admin privileges.""
  https://www.greynoise.io/blog/whats-going-on-with-checkpoint-cve-2024-24919
  https://www.darkreading.com/cyberattacks-data-breaches/attacks-surge-on-check-points-recent-vpn-zero-day-flaw
  https://www.securityweek.com/exploitation-of-recent-check-point-vpn-zero-day-soars/

• Russia-Linked 'Lumma' Crypto Stealer Now Targets Python Devs
  "Imagine being a developer who's building the next-gen crypto app by using popular open source components to speed up coding. Instead, you end up including a package in your build that, does accomplish what you are trying to, but additionally steals cryptocurrency on any system that it's installed on. That's 'crytic-compilers' for you."
  https://www.sonatype.com/blog/crytic-compilers-typosquats-known-crypto-library-drops-windows-trojan
  https://thehackernews.com/2024/06/hackers-target-python-developers-with.html

• Commando Cat: A Novel Cryptojacking Attack Abusing Docker Remote API Servers
  "We observed an attack campaign abusing exposed Docker remote API servers to deploy cryptocurrency miners. This attack campaign bears the name Commando Cat due to its initial step, which involves the deployment of benign containers generated using the publicly-available Commando project (an open-source GitHub project that creates Docker images on-demand for developers). Commando, which is publicly available, is deployed using cmd.cat. The attackers used the cmd.cat/chattr docker image container that retrieves the payload from their own command-and-control (C&C) infrastructure. This attack campaign has been active since the start of 2024."
  https://www.trendmicro.com/en_us/research/24/f/commando-cat-a-novel-cryptojacking-attack-.html
  https://www.darkreading.com/cloud-security/-commando-cat-digs-its-claws-into-exposed-docker-containers

• 2024: Old CVEs, New Targets — Active Exploitation Of ThinkPHP
  "We are seeing a troubling trend in security: Attackers are exploiting known vulnerabilities, some of them several years old, and they are having success doing so. A prime example of this is the ThinkPHP remote code execution (RCE) vulnerabilities CVE-2018-20062 and CVE-2019-9082. As you can tell by the CVE names, these have been in the wild since at least 2018, and yet, the attack activity continues today."
  https://www.akamai.com/blog/security-research/2024-thinkphp-applications-exploit-1-days-dama-webshell
  https://www.bleepingcomputer.com/news/security/hackers-exploit-2018-thinkphp-flaws-to-install-dama-web-shells/
  https://www.securityweek.com/chinese-hackers-exploit-old-thinkphp-vulnerabilities-in-new-attacks/

• Ukraine Says Hackers Abuse SyncThing Data Sync Tool To Steal Data
  "The Computer Emergency Response Team of Ukraine (CERT-UA) reports about a new campaign dubbed "SickSync," launched by the UAC-0020 (Vermin) hacking group in attacks on the Ukrainian defense forces. The threat group is linked to the Luhansk People's Republic (LPR) region, which Russia has occupied almost in its entirety since October 2022. The hacker's activities commonly align with Russia's interests. The attack utilizes the legitimate file-syncing software SyncThing in combination with malware called SPECTR. Vermin's apparent motive is to steal sensitive information from military organizations."
  https://www.bleepingcomputer.com/news/security/ukraine-says-hackers-abuse-syncthing-data-sync-tool-to-steal-data/
  https://www.bankinfosecurity.com/renewed-info-stealer-campaign-targets-ukrainian-military-a-25443

• New Gitloker Attacks Wipe GitHub Repos In Extortion Scheme
  "Attackers are targeting GitHub repositories, wiping their contents, and asking the victims to reach out on Telegram for more information. These attacks are part of what looks like an ongoing campaign first spotted on Wednesday by Germán Fernández, a security researcher at Chilean cybersecurity company CronUp. The threat actor behind this campaign—who has the Gitloker handle on Telegram and is posing as a cyber incident analyst—is likely compromising targets' GitHub accounts using stolen credentials."
  https://www.bleepingcomputer.com/news/security/new-gitloker-attacks-wipe-github-repos-in-extortion-scheme/

• Howling At The Inbox: Sticky Werewolf's Latest Malicious Aviation Attacks
  "Morphisec Labs has been monitoring increased activity associated with Sticky Werewolf, a group suspected to have geopolitical and/or hacktivist ties. While the group’s geographical origin and home base remain unclear, recent attack techniques suggest espionage and data exfiltration intent."
  https://blog.morphisec.com/sticky-werewolfs-aviation-attacks

• Muhstik Malware Targets Message Queuing Services Applications
  "Aqua Nautilus discovered a new campaign of Muhstik malware targeting message queuing services applications, specifically the Apache RocketMQ platform. Our investigation revealed that the attackers downloaded the known malware Muhstik onto the compromised instances by exploiting a known vulnerability in the platform. In this blog, we will explore how the attackers exploit the existing vulnerability in RocketMQ, examine how the Muhstik malware affects the compromised instances, and analyze the number of RocketMQ instances worldwide vulnerable to this type of attack."
  https://www.aquasec.com/blog/muhstik-malware-targets-message-queuing-services-applications/
  https://thehackernews.com/2024/06/muhstik-botnet-exploiting-apache.html

*** Analysis Of Botnet Attacks**
"This report can be seen as an extension of SektorCERT’s report on unauthorised scans, in which a group of actors were categorised as ”Unknown”. In this report, SektorCERT has made a deeper analysis of the group of ”unknown actors”, including the identification of three different botnets that we can observe attacking our members on a daily basis. For one of these botnets, there are no other official references, which is why we at SektorCERT have chosen to call the botnet BIMP botnet; an abbreviation for Bruteforce, IOT, Malware, Phishing botnet."
https://sektorcert.dk/wp-content/uploads/2024/06/Botnet-EN-TLP_CLEAR-202406.pdf

Breaches/Hacks/Leaks

• Hundreds Of Snowflake Customer Passwords Found Online Are Linked To Info-Stealing Malware
  "Cloud data analysis company Snowflake is at the center of a recent spate of alleged data thefts, as its corporate customers scramble to understand if their stores of cloud data have been compromised. Snowflake helps some of the largest global corporations — including banks, healthcare providers and tech companies — store and analyze their vast amounts of data, such as customer data, in the cloud."
  https://techcrunch.com/2024/06/05/snowflake-customer-passwords-found-online-infostealing-malware/

• Los Angeles Unified School District Investigates Data Theft Claims
  "Los Angeles Unified School District (LAUSD) officials are investigating a threat actor's claims that they're selling stolen databases containing records belonging to millions of students and thousands of teachers. LAUSD is the second largest public school district in the United States, with over 25,900 teachers, roughly 48,700 other employees, and more than 563,000 students enrolled during the 2023-2024 school year."
  https://www.bleepingcomputer.com/news/security/los-angeles-unified-school-district-investigates-data-theft-claims/

• PandaBuy Pays Ransom To Hacker Only To Get Extorted Again
  "Chinese shopping platform Pandabuy told BleepingComputer it previously paid a a ransom demand to prevent stolen data from being leaked, only for the same threat actor to extort the company again this week. PandaBuy is an online platform that acts as an intermediary between customers and various Chinese e-commerce websites, including Tmall, Taobao, and JD.com, which don't ship internationally."
  https://www.bleepingcomputer.com/news/security/pandabuy-pays-ransom-to-hacker-only-to-get-extorted-again/

• Nearly 400,000 Affected By Data Breach At Eye Care Management Services Company
  "Nearly 400,000 people had sensitive healthcare information stolen by hackers during a 2023 cyberattack on a company that supports eye clinics. Colorado-based Panorama Eyecare told regulators in Maine and Massachusetts that 377,911 current and former patients and employees had data stolen — including names, Social Security numbers, dates of birth, license numbers, financial account information, dates of service and medical provider names."
  https://therecord.media/data-breach-eye-care-company-cyberattack

General News

• 78% Of SMBs Fear Cyberattacks Could Shut Down Their Business
  "94% of SMBs have experienced at least one cyberattack, a dramatic rise from 64% in 2019, according to ConnectWise. This increase in cyberattacks is exacerbated by the fact that 76% of SMBs lack the in-house skills to properly address security issues, increasing demand for the expertise and services of MSPs."
  https://www.helpnetsecurity.com/2024/06/06/smbs-cyberattack-frequency/

• Understanding Security's New Blind Spot: Shadow Engineering
  ""Out of sight, out of mind" is not a good way to approach cybersecurity or a secure software development life cycle. But in the rush to digital transformation, many organizations are unknowingly exposed to security risks associated with citizen developer applications."
  https://www.darkreading.com/vulnerabilities-threats/understanding-security-new-blind-spot-shadow-engineering

• #Infosec2024: Ransomware Ecosystem Transformed, New Groups “Changing The Rules”
  "The ransomware ecosystem has changed beyond recognition in 2024, and organizations must adapt their defenses accordingly, warned experts at Infosecurity Europe 2024. Martin Zugec, Technical Solutions Director at Bitdefender, told attendees to “forget what you know” about ransomware, and learn how new groups are changing the rules of the game."
  https://www.infosecurity-magazine.com/news/ransomware-transformed-new-groups/

• #Infosec2024: Third Of Web Traffic Comes From Malicious Bots, Veracity Says
  "Malicious bots are a scourge for organizations with an online presence, and AI will likely increase this threat, Nigel Bridges, CEO of Veracity Trust Network, said during Infosecurity Europe 2024. Veracity observed that, in 2022, almost 50% of all web traffic came from bots rather than humans, of which over 30% were malicious bots."
  https://www.infosecurity-magazine.com/news/third-web-traffic-malicious-bots/

• #Infosec2024: How To Change Security Behaviors Beyond Awareness Training
  "Organizations need to focus on changing security behaviors ahead of awareness training, according to experts speaking at Infosecurity Europe 2024. Javvad Malik, Lead Security Advocate at KnowBe4, explained that lack of knowledge is not the reason human error continues to be the primary factor in cybersecurity breaches."
  https://www.infosecurity-magazine.com/news/change-security-behaviors-training/

• Phishing For Gold: Cyber Threats Facing The 2024 Paris Olympics
  "Mandiant assesses with high confidence that the Paris Olympics faces an elevated risk of cyber threat activity, including cyber espionage, disruptive and destructive operations, financially-motivated activity, hacktivism, and information operations. Olympics-related cyber threats could realistically impact various targets including event organizers and sponsors, ticketing systems, Paris infrastructure, and athletes and spectators traveling to the event."
  https://cloud.google.com/blog/topics/threat-intelligence/cyber-threats-2024-paris-olympics
  https://www.securityweek.com/google-microsoft-russian-threat-actors-pose-high-risk-to-2024-paris-olympics/

• Why Hackers Love Logs
  "Computer log tampering is an almost inevitable part of a system compromise. Why and how do cybercriminals target logs, and what can be done to protect them? A computer log file is a record of actions taken on or by an application within a computer. They are important to see what is happening within the system, whether it be a design malfunction or malicious activity. Initially, these logs were manually (and inefficiently) analyzed."
  https://www.securityweek.com/why-hackers-love-logs/

อ้างอิง
Electronic Transactions Development Agency(ETDA)

สามารถติดตามข่าวสารได้ที่ webboard หรือ Facebook NCSA Thailand

สามารถติดตามข่าวสารได้ที่ webboard หรือ Facebook NCSA Thailand

Human error continues to be perceived as the Achilles’ heel of cybersecurity, with 74% of CISOs identifying it as the most significant vulnerability. In a year of growing insider threats and people-driven data loss, more CISOs than ever (80%) see human risk, in particular negligent employees as a key cybersecurity concern over the next two years. 55% of companies believe cybercriminals are more advanced than their internal team. 33% of companies were late to respond to cyberattacks because they were dealing with a false positive, and 63% spend more than 208 hours per year managing false positives. Within the last 12 months, 48% of organizations identified evidence of a successful breach within their environment. 70% of organizations were the targets of attempted BEC attacks in the last year, with 29% of these targets becoming victims of one or more successful BEC occurrences. Ransomware claims frequency as a whole jumped 64% year over year, primarily due to the explosion of “indirect” ransomware claims whose frequency increased by 415%. Of the 41 unique ransomware strains observed over 2023, LockBit and BlackCat/ALPHV were used in 35% of all direct ransomware attacks.

ที่มาแหล่งข่าว
https://www.helpnetsecurity.com/2024/06/05/cyber-threat-landscape-statistics-2024/

An unnamed high-profile government organization in Southeast Asia emerged as the target of a "complex, long-running" Chinese state-sponsored cyber espionage operation codenamed Crimson Palace. "The overall goal behind the campaign was to maintain access to the target network for cyberespionage in support of Chinese state interests," Sophos researchers Paul Jaramillo, Morgan Demboski, Sean Gallagher, and Mark Parsons said in a report shared with The Hacker News. "This includes accessing critical IT systems, performing reconnaissance of specific users, collecting sensitive military and technical information, and deploying various malware implants for command-and-control (C2) communications." The name of the government organization was not disclosed, but the company said the country is known to have repeated conflict with China over territory in the South China Sea, raising the possibility that it may be the Philippines, which has been targeted by Chinese state-sponsored groups like Mustang Panda in the past. Other hallmarks of the campaign include the extensive use of DLL side-loading and unusual tactics to stay under the radar. "The threat actors leveraged many novel evasion techniques, such as overwriting DLL in memory to unhook the Sophos AV agent process from the kernel, abusing AV software for sideloading, and using various techniques to test the most efficient and evasive methods of executing their payloads," the researchers said. Further investigation has revealed that Cluster Alpha focused towards mapping server subnets, enumerating administrator accounts, and conducting reconnaissance on Active Directory infrastructure, with Cluster Bravo prioritizing the use of valid accounts for lateral movement and dropping EtherealGh0st. Activity associated with Cluster Charlie, which took place for the longest period, entailed the use of PocoProxy to establish persistence on compromised systems and the deployment of HUI Loader, a custom loader used by several China-nexus actors, to deliver Cobalt Strike. "The observed clusters reflect the operations of two or more distinct actors working in tandem with shared objectives," the researchers noted. "The observed clusters reflect the work of a single group with a large array of tools, diverse infrastructure, and multiple operators.

ที่มาแหล่งข่าว
https://thehackernews.com/2024/06/chinese-state-backed-cyber-espionage.html

the FBI issued a warning about scammers using fake remote job ads to steal cryptocurrency from job seekers across the United States while posing as recruiters for legitimate companies. These work-from-home scams are designed to lure potential victims with easy-to-accomplish tasks like rating various businesses online or "optimizing" a service. "The scammers pose as a legitimate business, such as a staffing or recruiting agency, and may contact victims via an unsolicited call or message," the FBI warned. "Scammers design the fake job to have a confusing compensation structure that requires victims to make cryptocurrency payments in order to earn more money or 'unlock' work, and the payments go directly to the scammer." To make their fraudulent schemes more persuasive, the scammers will also ask victims to use a fake portal showing how much money they've earned, although they can't cash out any funds. The FBI says that red flags that should warn those targeted by these scams they're dealing with fraudsters coming for their money include being asked to make cryptocurrency payments to the employer as part of a work task, job descriptions involving simple tasks, and not being asked to provide references from previous jobs during the hiring process. The FBI asked victims to report if they've been targeted by fraudulent or suspicious activities to the FBI Internet Crime Complaint Center(IC3) and provide transaction details associated with the scam, including cryptocurrency addresses, the amount and type of cryptocurrency, the date and time, and the transaction ID (hash). This August 2023 public service announcement provides additional reporting guidance for those who may have fallen victim to a cryptocurrency scam. Since the start of the year, the FBI has also warned that using unlicensed cryptocurrency transfer services can result in financial loss if these platforms are taken down by law enforcement. FBI's IC3 also released its 2023 Internet Crime Report, revealing a 22% increase in reported losses compared to 2022, amounting to a record $12.5 billion lost to online crime in a single year.

ที่มาแหล่งข่าว
https://www.bleepingcomputer.com/news/security/fbi-warns-of-fake-remote-work-ads-used-for-cryptocurrency-fraud/

Cyber Security Agency of Singapore (CSA)ได้เผยแพร่เกี่ยวกับAtlassian ได้เปิดตัวการอัปเดตความปลอดภัยเพื่อแก้ไขช่องโหว่ที่มีความรุนแรงสูง ที่หมายเลข CVE-2024-21683 ที่ส่งผลต่อผลิตภัณฑ์ Confluence Data Center และเซิร์ฟเวอร์

การใช้ประโยชน์จากช่องโหว่ที่ประสบความสำเร็จอาจทำให้ผู้โจมตีที่ได้รับการตรวจสอบสิทธิ์สามารถเรียกใช้โค้ดที่กำหนดเองได้โดยการอัปโหลดไฟล์ที่มีโค้ด Java ที่เป็นอันตราย และไม่จำเป็นต้องมีการโต้ตอบกับผู้ใช้งาน

ช่องโหว่นี้ส่งผลต่อผลิตภัณฑ์เวอร์ชันต่อไปนี้
• Confluence Data Center เวอร์ชัน 8.9.0
• Confluence Data Center เวอร์ชัน 8.8.0 ถึง 8.8.1
• Confluence Data Center เวอร์ชัน 8.7.0 ถึง 8.7.2
• Confluence Data Center เวอร์ชัน 8.6.0 ถึง 8.6.2
• Confluence Data Center และเซิร์ฟเวอร์เวอร์ชัน 8.5.0 ถึง 8.5.8 LTS
• Confluence Data Center และเซิร์ฟเวอร์เวอร์ชัน 8.4.0 ถึง 8.4.5
• Confluence Data Center และเซิร์ฟเวอร์เวอร์ชัน 8.3.0 ถึง 8.3.4
• Confluence Data Center และเซิร์ฟเวอร์เวอร์ชัน 8.2.0 ถึง 8.2.3
• Confluence Data Center และเซิร์ฟเวอร์เวอร์ชัน 8.1.0 ถึง 8.1.4
• Confluence Data Center และ Server เวอร์ชัน 8.0.0 ถึง 8.0.4
• Confluence Data Center และ Server เวอร์ชัน 7.20.0 ถึง 7.20.3
• Confluence Data Center และเซิร์ฟเวอร์เวอร์ชัน 7.19.0 ถึง 7.19.21 LTS
• Confluence Data Center และเซิร์ฟเวอร์เวอร์ชัน 7.18.0 ถึง 7.18.3
• Confluence Data Center และเซิร์ฟเวอร์เวอร์ชัน 7.17.0 ถึง 7.17.5

ผู้ใช้งานและผู้ดูแลระบบเวอร์ชันผลิตภัณฑ์ที่ได้รับผลกระทบควรอัปเดตเป็นเวอร์ชันล่าสุดทันที

อ้างอิง
https://www.csa.gov.sg/alerts-advisories/alerts/2024/al-2024-066

สามารถติดตามข่าวสารได้ที่ webboard หรือ Facebook NCSA Thailand

สามารถติดตามข่าวสารได้ที่ webboard หรือ Facebook NCSA Thailand

สามารถติดตามข่าวสารได้ที่ webboard หรือ Facebook NCSA Thailand

Healthcare Sector

• Healthcare Cybersecurity Needs a Check Up
  "In May 2021, San Diego-based hospital system Scripps Health suffered a massive ransomware attack lasting almost four weeks. The attack compromised the personal data of roughly 150,000 patients, and all five hospitals operated by Scripps Health faced significant limitations on their ability to provide care. With their data-sharing systems offline, hospital staff had to use paper records. Patients requiring emergency care had to be diverted to other hospitals. Not only did the attack cost Scripps Health a record $112 million in remediation costs and lost revenue, but the diversion of patients to other facilities resulted in overcrowding and degraded care."
  https://www.fdd.org/analysis/2024/06/04/healthcare-cybersecurity-needs-a-check-up/
  https://cyberscoop.com/rural-hospital-ransomware-cyber/

Industrial Sector

• Uniview NVR301-04S2-P4
  "An attacker could send a user a URL that if clicked on could execute malicious JavaScript in their browser."
  https://www.cisa.gov/news-events/ics-advisories/icsa-24-156-01

Vulnerabilities

• Snowflake Recommends Customers Take Steps To Prevent Unauthorized Access
  "On June 2, Snowflake indicated a recent increase in cyber threat activity targeting customer accounts on its cloud data platform. Snowflake issued a recommendation for users to query for unusual activity and conduct further analysis to prevent unauthorized user access."
  https://www.cisa.gov/news-events/alerts/2024/06/03/snowflake-recommends-customers-take-steps-prevent-unauthorized-access
  https://community.snowflake.com/s/article/Communication-ID-0108977-Additional-Information
  https://thehackernews.com/2024/06/snowflake-warns-targeted-credential.html

• Five New Vulnerabilities Found In Zyxel NAS Devices (including Code Execution And Privilege Escalation)
  "In August 2023, I started investigating CVE-2023-27992, a pre-authentication command injection found in some Zyxel NAS devices. Back then, IBM had yet to release their awesome blog post so I ended up taking an approach practically identical to Darren Martyn’s, and coincidentally, IBMs’ approach of finding the files (download the vulnerable firmware, unpack it with binwalk and compare the files to newer versions to figure out what changed). We also purchased an affected device for integration testing. Extracting the firmware files was made easier with that, since I could now just ssh into it and access the files."
  https://outpost24.com/blog/zyxel-nas-critical-vulnerabilities/
  https://www.zyxel.com/global/en/support/security-advisories/zyxel-security-advisory-for-multiple-vulnerabilities-in-nas-products-06-04-2024
  https://www.bleepingcomputer.com/news/security/zyxel-issues-emergency-rce-patch-for-end-of-life-nas-devices/

• TikTok Fixes Zero-Day Bug Used To Hijack High-Profile Accounts
  "Over the past week, attackers have hijacked high-profile TikTok accounts belonging to multiple companies and celebrities, exploiting a zero-day vulnerability in the social media's direct messages feature. Zero-day vulnerabilities are security flaws with no official patch or public information detailing the underlying weakness."
  https://www.bleepingcomputer.com/news/security/tiktok-fixes-zero-day-bug-used-to-hijack-high-profile-accounts/
  https://therecord.media/tiktok-exploit-high-profile-accounts

• 37 Vulnerabilities Patched In Android
  "Google this week started rolling out the June 2024 set of monthly security updates for Android, with patches for 37 vulnerabilities, including multiple high-severity elevation of privilege bugs. The first part of this month’s security update, which arrives on devices as the 2024-06-01 security patch level, resolves 19 flaws in the Framework and System components."
  https://www.securityweek.com/37-vulnerabilities-patched-in-android/

Malware

• DarkGate Again But... Improved?
  "During 2023, DarkGate made a comeback with a version full of new features, becoming one of the most preferred Remote Access Trojans (RATs) by malicious actors. However, this momentum also required continuous updates to not only include the latest capabilities, but also to try to stay off the radar of security applications. Something we discussed in a blog published at the end of the previous year."
  https://www.trellix.com/blogs/research/darkgate-again-but-improved/
  https://thehackernews.com/2024/06/darkgate-malware-replaces-autoit-with.html

• FBI Warns Of Fake Remote Work Ads Used For Cryptocurrency Fraud
  "Today, the FBI issued a warning about scammers using fake remote job ads to steal cryptocurrency from job seekers across the United States while posing as recruiters for legitimate companies. These work-from-home scams are designed to lure potential victims with easy-to-accomplish tasks like rating various businesses online or "optimizing" a service."
  https://www.bleepingcomputer.com/news/security/fbi-warns-of-fake-remote-work-ads-used-for-cryptocurrency-fraud/
  https://www.ic3.gov/Media/Y2024/PSA240604

• Hurdling Over Hazards: Multifaceted Threats To The Paris Olympics
  "The 2024 Paris Olympic Games face numerous threats due to their high-profile nature and international significance. Insikt Group's research identifies several key risks: cybercriminals targeting critical sectors with ransomware, hacktivists aiming to disrupt due to geopolitical conflicts, and state actors engaging in espionage and influence operations. Extensive security measures are in place to counter terrorist threats, but the event remains a potential target for violent extremists and opportunistic criminal groups."
  https://www.recordedfuture.com/hurdling-over-hazards-multifaceted-threats-to-the-2024-paris-olympics
  https://go.recordedfuture.com/hubfs/reports/cta-2024-0604.pdf
  https://therecord.media/paris-olympics-cyberattacks-researchers-warn
  https://www.bankinfosecurity.com/russian-cyberthreat-looms-over-paris-olympics-a-25402

• Lost In The Fog: A New Ransomware Threat
  "On May 2, 2024, Arctic Wolf Labs began monitoring deployment of a new ransomware variant referred to as Fog. The ransomware activity was observed in several Arctic Wolf Incident Response cases, each exhibiting similar elements. All victim organizations were located in the United States, 80% of which were in the education sector and 20% in the recreation sector. We are sharing details of this emerging variant to help organizations defend against this threat. Please note that we may add further detail to this article as we uncover additional information in our ongoing investigation."
  https://arcticwolf.com/resources/blog/lost-in-the-fog-a-new-ransomware-threat/
  https://www.darkreading.com/threat-intelligence/fog-ransomware-rolls-in-to-target-education-recreation-sectors

• Utility Scams Update
  "Back in February, we reported on malicious ads related to utility bills (electricity, gas) that direct victims to call centers where scammers will collect their identity and try to extort money from them. A few months later, we checked and were able to find as many Google ads as before, following very much the same pattern. In addition, we can see that miscreants are trying to legitimize their operations by creating fake U.S.-based entities."
  https://www.malwarebytes.com/blog/scams/2024/06/utility-scams-update

• INC Ransomware Behind Linux Threat
  "This week, the SonicWall Capture Labs Research team analyzed a sample of Linux ransomware. The group behind this ransomware, called INC Ransomware, has been active since it was first reported a year ago."
  https://blog.sonicwall.com/en-us/2024/06/inc-ransomware-the-latest-linux-threat/

• Hellhounds: Operation Lahat. Part 2
  "In November 2023, the team at the Positive Technologies Expert Security Center (PT ESC) released their first research report on attacks by the hitherto-unknown group Hellhounds on Russian companies' infrastructure: Operation Lahat. The report focused on the group's attacks on Linux hosts that relied on a new backdoor known as Decoy Dog. Hellhounds carried on attacks on organizations located in Russia, scoring at least 48 confirmed victims by Q2 2024."
  https://www.ptsecurity.com/ww-en/analytics/pt-esc-threat-intelligence/hellhounds-operation-lahat-part-2/
  https://thehackernews.com/2024/06/russian-power-companies-it-firms-and.html

• UNC1151 Strikes Again: Unveiling Their Tactics Against Ukraine’s Ministry Of Defence
  "Mandiant Threat Intelligence has uncovered a persistent information operation called “Ghostwriter/UNC1151,” which is part of a larger influence campaign supporting Russian security interests and promoting narratives critical of NATO. Active since at least March 2017, this campaign mainly targets audiences in Ukraine, Lithuania, Latvia, and Poland, disseminating false information via compromised websites and spoofed email accounts. UNC1151 has been associated with the Belarusian government."
  https://cyble.com/blog/unc1151-strikes-again-unveiling-their-tactics-against-ukraines-ministry-of-defence/
  https://therecord.media/belarus-hackers-ukraine-ministry-defense

• Inside The Box: Malware’s New Playground
  "Over the past few months, we have been monitoring the increasing abuse of BoxedApp products in the wild. BoxedApp products are commercial packers that provide advanced features such as Virtual Storage (Virtual File System, Virtual Registry), Virtual Processes, and a universal instrumentation system (WIN/NT API hooking). Even though BoxedApp has been commercially available for a while, in the past year we detected a significant increase in its abuse to deploy numerous known malware families, primarily related to RATs and stealers. The majority of the attributed malicious samples targeted financial institutions and government industries."
  https://research.checkpoint.com/2024/inside-the-box-malwares-new-playground/
  https://www.theregister.com/2024/06/04/cybercriminals_abusing_boxedapp/

Breaches/Hacks/Leaks

• Australian Mining Company Discloses Breach After BianLian Leaks Data
  "Northern Minerals issued an announcement earlier today warning that it suffered a cybersecurity breach resulting in some of its stolen data being published on the dark web. Northern Minerals is an Australian company focused on the exploration and development of heavy rare earth elements (HRE), specifically dysprosium and terbium, used in electronics, batteries, and aircraft."
  https://www.bleepingcomputer.com/news/security/australian-mining-company-discloses-breach-after-bianlian-leaks-data/

• Major London Hospitals Disrupted By Synnovis Ransomware Attack
  "A ransomware attack affecting pathology and diagnostic services provider Synnovis has impacted healthcare services at multiple major NHS hospitals in London. While Synnovis has yet to issue a public statement regarding the June 3 ransomware attack, memos sent by partner hospitals affected by the attack revealed that this "ongoing critical incident" has had a "major impact" on healthcare services across southeast London."
  https://www.bleepingcomputer.com/news/security/major-london-hospitals-disrupted-by-synnovis-ransomware-attack/
  https://therecord.media/london-hospitals-ransomware-attack-critical-incident-declared
  https://www.infosecurity-magazine.com/news/london-hospitals-cancel-operations/
  https://www.theregister.com/2024/06/04/suspected_cyberattack_hits_major_london/
  https://www.bankinfosecurity.com/uk-vendors-attack-disrupts-care-at-london-nhs-hospitals-a-25410
  https://hackread.com/london-nhs-ransomware-hospitals-targeted/
  https://securityaffairs.com/164142/cyber-crime/ransomware-attack-synnovis-london-hospitals.html
  https://www.itnews.com.au/news/london-hospital-services-impacted-by-ransomware-incident-608555

• Hackers Claim They Breached Australian Logistics Company
  "Financially motivated hackers with a track record of data breaches claimed on a criminal forum to have stolen data from Australian logistics company Victorian Freight Specialists. The threat actor known as GhostR claimed in a Tuesday post on BreachForums that the group possesses 846 gigabytes of company data taken on May 26. Sample data appears to include internal data taken from an SQL database and screenshots of logon screens."
  https://www.bankinfosecurity.com/hackers-claim-they-breached-australian-logistics-company-a-25408

• Collection Agency FBCS Ups Data Breach Tally To 3.2 Million People
  "Debt collection agency Financial Business and Consumer Solutions (FBCS) now says over 3.2 million people have been impacted by a data breach that occurred in February. FBCS is a nationally licensed debt collection agency in the U.S., specializing in collecting unpaid debts from consumer credit, healthcare, commercial, auto loans and leases, student loans, and utilities. In late April, the firm reported that roughly 1.9 million people in the U.S. had sensitive personal information compromised in a data breach incident on February 14, 2024."
  https://www.bleepingcomputer.com/news/security/collection-agency-fbcs-ups-data-breach-tally-to-32-million-people/
  https://www.securityweek.com/number-of-people-impacted-by-fbcs-data-breach-increases-to-3-2-million/
  https://www.malwarebytes.com/blog/news/2024/06/debt-collection-agency-fbcs-leaks-information-of-3-million-us-citizens

• Cyberattack May Have Hit 22 B.C. Government Email Boxes: Province
  "B.C.'s public safety minister says a series of cyberattacks on government systems conducted at the behest of a foreign state in recent months may have hit 22 email boxes containing sensitive information about 19 people. While saying little about the origins or motivations behind the attack, Mike Farnworth held a brief news conference Monday to detail the latest findings from investigations into the incidents."
  https://www.cbc.ca/news/canada/british-columbia/farnworth-cybersecurity-attack-security-1.7223125
  https://therecord.media/british-columbia-government-email-hack

• Cyberattack Disrupts Operations Of Supermarkets Across Russia
  "A popular Russian discount retail chain with over 1,000 stores nationwide was hit by a cyberattack over the weekend that disrupted its services for several days. The supermarket chain Verny (“loyal” in Russian) confirmed the hack to several local news websites, adding they are still working to fully restore operations. The unknown attackers took down the company's website and mobile app. Due to the attack, Verny’s supermarkets couldn’t process bank cards or receive and deliver online orders, according to the reports."
  https://therecord.media/cyberattack-disrupts-supermarket-operations-russia

General News

• Security Challenges Mount As As Companies Handle Thousands Of APIs
  "Modern applications are taking over enterprise portfolios, with apps classed as modern now making up 51% of the total, up by more than a quarter in the last year, according to F5."
  https://www.helpnetsecurity.com/2024/06/04/companies-api-management-security/

• #Infosec2024: UK Businesses Faced With Month-Long Recoveries From Supply Chain Attacks
  "Nearly two in five organizations (38%) grapple with month-long recovery times after falling victim to an attack targeting their software supply chain, according to new research by BlackBerry launched at Infosecurity Europe 2024. The survey of 200 IT decision-makers and cybersecurity leaders found that 74% of UK IT decision-makers have received a notification of an attack or vulnerability in their supply chain of software in the last 12 months."
  https://www.infosecurity-magazine.com/news/uk-businesses-recoveries-supply/

• #Infosec2024: Conflicts Drive DDoS Attack Surge In EMEA
  "DDoS attacks have risen sharply in Europe, the Middle East and Africa (EMEA), surpassing North America as the most targeted region in Q1 2024, according to a new Akamai report launched at Infosecurity Europe 2024. EMEA is the only region of the world where DDoS attacks have consistently risen since 2019. This has partly been driven by the ongoing Russia-Ukraine war and more recently the Israel-Hamas conflict, the researchers noted."
  https://www.infosecurity-magazine.com/news/conflicts-drive-ddos-attacks-emea/

• Ticketmaster Breach Showcases SaaS Data Security Risks
  "MFA and other mechanisms are critical to protect against unauthorized access to data in cloud application environments, but businesses still fall down on the job."
  https://www.darkreading.com/cloud-security/ticketmaster-breach-showcases-saas-data-security-risks

• Perfecting The Proactive Security Playbook
  "Any good sports coach will tell you a playbook is a critical tool in ensuring a team's continued success — and the same applies to cybersecurity. Without an effective security playbook, organizations expose themselves to vulnerabilities by not preparing for potential outcomes, ramifications, and remediations. To stay ahead of bad actors and combat emerging attacks, security leaders must turn the focus from being reactive to being proactive — which starts with creating a comprehensive security playbook."
  https://www.darkreading.com/vulnerabilities-threats/perfecting-proactive-security-playbook

• Account Takeovers Outpace Ransomware As Top Security Concern
  "A recent survey conducted by Abnormal Security has spotlighted account takeover attacks as the foremost threat facing today’s organizations. According to the company’s 2024 State of Cloud Account Takeover Attacks report, 83% of organizations experienced at least one account takeover in the past year. The report, based on responses from over 300 security professionals across diverse industries and organization sizes globally, also revealed that 77% of security leaders rank account takeover attacks among their top four cyber-threats."
  https://www.infosecurity-magazine.com/news/ato-outpace-ransomware-top/
  https://abnormalsecurity.com/resources/state-of-cloud-account-takeover-attacks

• A SANS's 2024 Threat-Hunting Survey Review
  "In its ninth year, the annual SANS Threat Hunting Survey delves into global organizational practices in threat hunting, shedding light on the challenges and adaptations in the landscape over the past year."
  https://www.trendmicro.com/en_us/research/24/f/sans-2024-threat-hunting-survey-review.html

• The Murky World Of Password Leaks – And How To Check If You’ve Been Hit
  "Recently, I came across a report detailing “the mother of all breaches” – or to be more exact, the leak of a vast compilation of data that was stolen during a number of attacks on various companies and online services, including LinkedIn and Twitter (now X). The data cache reportedly comprised an astonishing 26 billion records that were replete with a range of sensitive information, including government data and people’s login credentials."
  https://www.welivesecurity.com/en/how-to/the-murky-world-of-password-leaks-and-how-to-check-if-youve-been-hit/

อ้างอิง
Electronic Transactions Development Agency(ETDA)

Cyber Security Agency of Singapore (CSA)ได้เผยแพร่เกี่ยวกับอุปกรณ์ Internet of Things (IoT) อุปกรณ์อัจฉริยะเหล่านี้ซึ่งมีเซ็นเซอร์ ซอฟต์แวร์ และการเชื่อมต่อ Wi-Fi ฝังอยู่ รวบรวมและแลกเปลี่ยนข้อมูลผ่านทางอินเทอร์เน็ต ตั้งแต่เทอร์โมสตัทอัจฉริยะ ตัวติดตามฟิตเนสที่สวมใส่ได้ กล้องอินเทอร์เน็ต และเซ็นเซอร์อุตสาหกรรม อุปกรณ์ IoT กำลังปฏิวัติชีวิตประจำวันของเราและวิธีที่ธุรกิจดำเนินธุรกิจผ่านความสามารถในการตรวจสอบและเพิ่มประสิทธิภาพกระบวนการต่างๆ โดยพื้นฐานแล้ว อุปกรณ์ IoT มอบความสะดวกสบาย ประสิทธิภาพ และทรัพย์สินที่มีคุณค่าแก่บุคคลและองค์กร

การแพร่กระจายของ IoT ทำให้เป็นเป้าหมายที่สะดวกและน่าดึงดูดสำหรับผู้แสดงภัยคุกคาม อุปกรณ์ IoT มีแนวโน้มที่จะรวบรวมข้อมูลจำนวนมากเกี่ยวกับผู้ใช้และสภาพแวดล้อม รวมถึงข้อมูลที่สามารถระบุตัวบุคคลได้ ข้อมูลลับทางการค้า และ/หรือข้อมูลที่ละเอียดอ่อน เพื่อทำหน้าที่ตามที่ตั้งใจไว้ ด้วยเหตุนี้ จึงจำเป็นอย่างยิ่งที่จะต้องรักษาความปลอดภัยอุปกรณ์ IoT เพื่อปกป้องข้อมูลที่ละเอียดอ่อนที่พวกเขาจัดเก็บหรือรวบรวม รักษาความเป็นส่วนตัว และป้องกันการประนีประนอม คำแนะนำนี้มีจุดมุ่งหมายเพื่อเน้นย้ำถึงช่องโหว่ทั่วไปที่เกี่ยวข้องกับอุปกรณ์ IoT และเสนอมาตรการที่แนะนำเพื่อปรับปรุงความปลอดภัย

ช่องโหว่ IoT ทั่วไป

รหัสผ่านเริ่มต้นและรหัสผ่านที่อ่อนแอ
อุปกรณ์ IoT จำนวนมากมาพร้อมกับข้อมูลประจำตัวเริ่มต้นหรือข้อมูลประจำตัวที่ไม่รัดกุม ทำให้เสี่ยงต่อการเข้าถึงโดยไม่ได้รับอนุญาต ผู้คุกคามสามารถใช้ประโยชน์จากจุดอ่อนนี้เพื่อเข้าควบคุมอุปกรณ์ และอาจเคลื่อนไปทางด้านข้างไปยังอุปกรณ์อื่นที่เชื่อมต่อกับเครือข่าย

บริการเครือข่ายที่ไม่ปลอดภัย
บริการเครือข่ายที่ไม่ปลอดภัยทำให้การสื่อสาร IoT เสี่ยงต่อการถูกสกัดกั้นและการปลอมแปลง หากไม่มีการเข้ารหัสที่เหมาะสม ข้อมูลที่ละเอียดอ่อนที่ส่งระหว่างอุปกรณ์และเซิร์ฟเวอร์อาจถูกบุกรุกและเข้าถึงได้ง่ายโดยผู้แสดงภัยคุกคามที่ดักฟังการสื่อสารดังกล่าว

อินเทอร์เฟซที่ไม่ปลอดภัย
อุปกรณ์ IoT จำนวนมากมีอินเทอร์เฟซเว็บหรือแอปพลิเคชันมือถือสำหรับการโต้ตอบกับผู้ใช้ อินเทอร์เฟซที่ออกแบบมาไม่ดีอาจขาดมาตรการรักษาความปลอดภัยขั้นพื้นฐาน เช่น การตรวจสอบอินพุตและการควบคุมการเข้าถึง ทำให้ผู้โจมตีสามารถใช้ประโยชน์จากช่องโหว่ทั่วไปและเข้าถึงโดยไม่ได้รับอนุญาต

เฟิร์มแวร์และซอฟต์แวร์ที่ล้าสมัย
ผู้ผลิตมักจะปล่อยเฟิร์มแวร์และซอฟต์แวร์อัพเดตเพื่อแก้ไขช่องโหว่ด้านความปลอดภัยและปรับปรุงฟังก์ชันการทำงานของอุปกรณ์ อย่างไรก็ตาม อุปกรณ์ IoT มักจะไม่ได้รับการแพตช์เนื่องจากขาดคุณสมบัติการอัปเดตอัตโนมัติหรือละเลยจากผู้ใช้ ทำให้พวกเขาเสี่ยงต่อการโจมตีที่ทราบ นอกจากนี้ อุปกรณ์บางอย่างอาจขาดความสามารถในการตรวจสอบการอัปเดตอย่างปลอดภัย

การปกป้องข้อมูลที่ไม่ปลอดภัย
ข้อมูลส่วนบุคคลที่จัดเก็บไว้ในอุปกรณ์อาจถูกจัดเก็บอย่างไม่ปลอดภัยหากไม่มีการควบคุมการเข้าถึงที่เหมาะสม นอกจากนี้ การขาดการเข้ารหัสข้อมูลที่ละเอียดอ่อนเหล่านี้ยังอาจส่งผลให้มีการเข้าถึงข้อมูลที่อยู่นิ่ง ระหว่างทาง หรือระหว่างการประมวลผลโดยไม่ได้รับอนุญาตอีกด้วย

การรักษาความปลอดภัยทางกายภาพไม่เพียงพอ
การเข้าถึงอุปกรณ์ IoT ทางกายภาพอาจก่อให้เกิดความเสี่ยงอย่างมาก ทำให้ผู้โจมตีสามารถจัดการส่วนประกอบฮาร์ดแวร์ ดึงข้อมูลที่ละเอียดอ่อน หรือติดตั้งเฟิร์มแวร์ที่เป็นอันตราย ตัวอย่างเช่น อุปกรณ์ IoT เช่น เซ็นเซอร์และกล้องรักษาความปลอดภัย อาจถูกติดตั้งในพื้นที่สาธารณะเพื่อวัตถุประสงค์ในการปฏิบัติงาน ทำให้อุปกรณ์เหล่านี้เสี่ยงต่อการเข้าถึงทางกายภาพ หากอุปกรณ์เหล่านี้ไม่ป้องกันการงัดแงะหรือขาดการป้องกันทางกายภาพที่เหมาะสม ก็จะเพิ่มโอกาสที่การโจมตีทางกายภาพจะสำเร็จ

ฉันจะปกป้องอุปกรณ์ IoT ของฉันได้อย่างไร

ผู้ใชงานและผู้ดูแลระบบควรพิจารณามาตรการต่อไปนี้เพื่อรักษาความปลอดภัยอุปกรณ์ IoT ของตน

ใช้ข้อความรหัสผ่านที่รัดกุมและการรับรองความถูกต้องแบบหลายปัจจัย (MFA)
ข้อมูลประจำตัวที่อ่อนแอ/ค่าเริ่มต้นคือจุดอ่อนทั่วไปที่ผู้โจมตีพยายามหาประโยชน์ในอุปกรณ์ IoT ชื่อผู้ใช้และรหัสผ่านเริ่มต้นมักถูกโพสต์ออนไลน์ ทำให้อุปกรณ์ของคุณมีความเสี่ยง ควรหลีกเลี่ยงข้อมูลรับรองเริ่มต้น และควรใช้ข้อความรหัสผ่านที่คาดเดายากทั่วทั้งระบบ วลีรหัสผ่านขั้นต่ำควรประกอบด้วยอักขระ 12 ตัวขึ้นไปที่ประกอบด้วยตัวอักษรตัวพิมพ์ใหญ่และตัวพิมพ์เล็ก ตัวเลข และ/หรืออักขระพิเศษ ควรเปิดใช้งาน MFA ทุกครั้งที่เป็นไปได้ เพื่อเพิ่มชั้นการป้องกันเพิ่มเติมนอกเหนือจากข้อความรหัสผ่าน

อัปเดตเฟิร์มแวร์และซอฟต์แวร์เป็นประจำ
อุปกรณ์บางตัวใช้การอัปเดตโดยอัตโนมัติ ตรวจสอบกับผู้ผลิตเป็นประจำและติดตั้งการอัปเดตเมื่อมีให้สำหรับผู้ที่ไม่ได้อัปเดตซอฟต์แวร์โดยอัตโนมัติ เปิดใช้งานการอัปเดตอัตโนมัติหากมีในการตั้งค่าอุปกรณ์ เมื่ออุปกรณ์ของคุณหมดอายุการใช้งาน (EOL) จะไม่มีการเปิดตัวการอัปเดตเพิ่มเติมสำหรับอุปกรณ์ของคุณอีกต่อไป อุปกรณ์ที่ไม่สามารถเข้าถึงการอัปเดตความปลอดภัยจะไม่ได้รับการปกป้องหากค้นพบช่องโหว่ใหม่ และอุปกรณ์เหล่านี้อาจกลายเป็นความเสี่ยงต่อเครือข่าย ความเป็นส่วนตัว และข้อมูลส่วนบุคคลของคุณ ดังนั้น ควรพิจารณาอัปเกรดเป็นอุปกรณ์รุ่นใหม่เพื่อรับการสนับสนุนอย่างต่อเนื่องจากผู้ผลิต

ประเมินการทำงานของอุปกรณ์
ประเมินว่าอุปกรณ์จำเป็นต้องเชื่อมต่อกับอินเทอร์เน็ตหรือไม่ อุปกรณ์ที่ไม่ได้เชื่อมต่อกับอินเทอร์เน็ตมีโอกาสน้อยมากที่จะถูกบุกรุก ดังนั้น หากคุณจะไม่ใช้คุณสมบัติที่ต้องใช้การเชื่อมต่ออินเทอร์เน็ต ให้พิจารณาตัดการเชื่อมต่ออุปกรณ์ของคุณจากอินเทอร์เน็ต หากอุปกรณ์ของคุณมีคุณสมบัติที่ไม่ต้องการหรือไม่จำเป็น (เช่น กล้องหรือไมโครโฟน) ควรปิดการใช้งานคุณสมบัติเหล่านั้นหากเป็นไปได้

ซื้อผลิตภัณฑ์จากผู้ผลิตที่มีชื่อเสียง
ผู้ผลิตที่มีชื่อเสียงที่มีชื่อเสียงมีแนวโน้มที่จะผลิตอุปกรณ์ที่ปลอดภัย ในขณะที่คำนึงถึงมาตรฐานอุตสาหกรรมและแนวปฏิบัติที่ดีที่สุดสำหรับ IoT นอกจากนี้ คุณยังสามารถประเมินประวัติของผู้ผลิตเกี่ยวกับวิธีการและความรวดเร็วในการจัดการกับจุดอ่อนด้านความปลอดภัย การเปิดเผยช่องโหว่อย่างรวดเร็วและโปร่งใสและมาตรการบรรเทาผลกระทบช่วยสร้างความเชื่อมั่นว่าผู้ผลิตจะทำการแพตช์อุปกรณ์หากมีช่องโหว่ใหม่เกิดขึ้น CSA ยังได้เปิดตัว Cybersecurity Labeling Scheme (CLS) สำหรับอุปกรณ์อัจฉริยะสำหรับผู้บริโภค ซึ่งเป็นส่วนหนึ่งของความพยายามของเราในการปรับปรุงความปลอดภัยของ IoT ค้นหาข้อมูลเพิ่มเติมได้ที่นี่: https://www.csa.gov.sg/our-programmes/certification-and-labelling-schemes/cybersecurity-labelling-scheme

ใช้มาตรการควบคุมการเข้าถึงทางกายภาพ
ใช้มาตรการควบคุมที่เข้มงวดสำหรับการเข้าถึงทางกายภาพไปยังอุปกรณ์ IoT ของคุณ จำกัดการเข้าถึงเฉพาะผู้ใช้ที่ได้รับอนุญาตเท่านั้นเพื่อช่วยลดความเสี่ยงของการประนีประนอมทางกายภาพ นอกจากนี้ ตรวจสอบให้แน่ใจว่าตัวเลือกการเชื่อมต่อทางกายภาพ เช่น อีเธอร์เน็ตและพอร์ต USB จะไม่เปิดเผยต่อสาธารณะทั่วไป คุณอาจต้องการสร้างรายการตรวจสอบการจัดการสินทรัพย์ IoT เพื่อติดตามความเป็นเจ้าของและสถานะของอุปกรณ์แต่ละชิ้นเมื่อใช้งาน

จะทำอย่างไรถ้าอุปกรณ์ IoT ของฉันถูกบุกรุก?
เมื่อพิจารณาถึงการใช้งานอย่างแพร่หลายและมีศักยภาพในการทำหน้าที่เป็นประตูสู่ส่วนที่เหลือของเครือข่าย ระบบ IoT จึงเป็นเป้าหมายหลักสำหรับการโจมตีทางไซเบอร์ ดังนั้นจึงเป็นสิ่งสำคัญที่ต้องรู้วิธีการฟื้นฟูจากการโจมตีเพื่อลดผลกระทบจากความเสียหาย ต่อไปนี้เป็นขั้นตอนที่คุณสามารถทำได้เพื่อกู้คืนจากการโจมตีอุปกรณ์ IoT ของคุณ

ตัดการเชื่อมต่ออุปกรณ์จากอินเทอร์เน็ต
ยกเลิกการเชื่อมต่ออุปกรณ์จากอินเทอร์เน็ต และยกเลิกการเชื่อมโยงอุปกรณ์จากโทรศัพท์มือถือและอุปกรณ์อื่นๆ การตัดการเชื่อมต่ออุปกรณ์จากอินเทอร์เน็ตจะช่วยให้แน่ใจว่าผู้โจมตีระยะไกลไม่สามารถเข้าถึงอุปกรณ์ที่มีช่องโหว่และป้องกันความก้าวหน้าเพิ่มเติมจากผู้คุกคาม

เปลี่ยนข้อมูลประจำตัวและ/หรือทำการรีเซ็ตเป็นค่าจากโรงงาน
การเปลี่ยนข้อมูลประจำตัวเป็นสิ่งสำคัญเพื่อให้แน่ใจว่าผู้คุกคามที่ใช้ประโยชน์จากข้อมูลประจำตัวที่ทราบจะไม่สามารถใช้งานได้อีกในการโจมตีในอนาคต หากเป็นไปได้ ควรรีเซ็ตเป็นค่าเริ่มต้นจากโรงงานให้กับอุปกรณ์ที่ถูกบุกรุก การรีเซ็ตเป็นค่าจากโรงงานได้รับการออกแบบมาเพื่อลบข้อมูลที่เก็บไว้ในที่จัดเก็บในตัวเครื่อง และรีเซ็ตรหัสผ่าน ชื่อผู้ใช้ และการตั้งค่ากลับเป็นค่าเริ่มต้น ตรวจสอบคู่มือผู้ใช้ของอุปกรณ์หรือเว็บไซต์ของผู้ผลิตเพื่อดูข้อมูลเกี่ยวกับวิธีการรีเซ็ตเป็นค่าจากโรงงาน นอกจากนี้ เปิดใช้งาน MFA เพื่อเพิ่มชั้นการป้องกันเพิ่มเติมจากการโจมตีที่เกี่ยวข้องกับรหัสผ่าน IoT

ติดต่อผู้ผลิตเพื่อขอความช่วยเหลือ
คุณอาจต้องการติดต่อผู้ผลิตเพื่อขอคำชี้แจงสำหรับมาตรการบรรเทาผลกระทบใดๆ ที่สามารถนำไปใช้กับช่องโหว่ที่ทราบหรือที่เพิ่งค้นพบ หากอุปกรณ์ของคุณถึง EOL และถูกโจมตีจากช่องโหว่ คุณอาจต้องการพิจารณาอัปเกรดเป็นอุปกรณ์รุ่นใหม่หรือขอความช่วยเหลือจากผู้ผลิตเพื่อเปลี่ยนอุปกรณ์ของคุณ

อ้างอิง
https://www.csa.gov.sg/alerts-advisories/Advisories/2024/ad-2024-012

สามารถติดตามข่าวสารได้ที่ webboard หรือ Facebook NCSA Thailand

Cyber Security Agency of Singapore (CSA)ได้เผยแพร่เกี่ยวกับเครือข่ายส่วนตัวเสมือน (VPN) เป็นเทคโนโลยีที่ช่วยให้ผู้ใช้สามารถสร้างการเชื่อมต่อเครือข่ายที่ปลอดภัยและได้รับการป้องกันผ่านทางอินเทอร์เน็ต เพื่อให้มั่นใจถึงการรักษาความลับและความสมบูรณ์ของข้อมูลที่ถูกส่งหน่วยงานต่างๆ ใช้ข้อมูลนี้เพื่อให้การเข้าถึงบริการขององค์กรจากระยะไกลสำหรับพนักงานของตน ในสภาพแวดล้อมที่ไม่ใช่ธุรกิจ บุคคลใช้บริการ VPN เพื่อปกป้องความเป็นส่วนตัวออนไลน์หรือหลีกเลี่ยงข้อจำกัดเนื้อหาที่ล็อคทางภูมิศาสตร์บนเว็บไซต์ต่างๆ การเชื่อมต่อเครือข่ายที่ปลอดภัยและได้รับการป้องกันผ่านบริการ VPN สามารถทำได้ผ่านสองขั้นตอน ในระยะแรก ข้อมูลจะถูกเข้ารหัสและส่งผ่านอุโมงค์ VPN ที่ปลอดภัย ระหว่างอุปกรณ์ของผู้ใช้กับเซิร์ฟเวอร์ VPN ระยะไกลที่โฮสต์โดยผู้ให้บริการ VPN ในระยะที่สอง เซิร์ฟเวอร์ VPN ระยะไกลจะทำหน้าที่เป็นพร็อกซีสำหรับการส่งข้อมูลระหว่างอุปกรณ์ของผู้ใช้งานกับอินเทอร์เน็ต และซ่อนที่อยู่ IP ของผู้ใช้งาน

การใช้บริการ VPN อาจมีฟีเจอร์ด้านความปลอดภัยที่กล่าวมาข้างต้น แต่การรับส่งข้อมูลผู้ใช้งานยังคงถูกกำหนดเส้นทางไปยังอินเทอร์เน็ตผ่านเซิร์ฟเวอร์ VPN ซึ่งทำให้เกิดความล้มเหลวเพียงจุดเดียว หากผู้โจมตีประสบความสำเร็จในการบุกรุกเซิร์ฟเวอร์ VPN ด้วยการโจมตีแบบ bruteforce หรือโดยการใช้ประโยชน์จากช่องโหว่หรือการกำหนดค่าที่ไม่ถูกต้อง การรักษาความลับและความสมบูรณ์ของข้อมูลของผู้ใช้งานที่ถูกส่งไปยังอินเทอร์เน็ตอาจยังคงได้รับผลกระทบอยู่

ผู้โจมตียังถูกพบว่ากระจายมัลแวร์โดยปลอมแปลงเป็นบริการ VPN ฟรี เมื่อเหยื่อที่ไม่สงสัยติดตั้งมัลแวร์นี้ พร็อกซีที่อยู่อาศัยจะถูกสร้างขึ้น ซึ่งช่วยให้ผู้โจมตีสามารถช่องทางการรับส่งข้อมูลอินเทอร์เน็ตผ่านที่อยู่ IP ของอุปกรณ์ที่ติดไวรัสเหล่านี้ เพื่อปกปิดแหล่งที่มาของกิจกรรมที่เป็นอันตราย พร็อกซีที่อยู่อาศัยเหล่านี้อาจถูกเช่าให้กับผู้โจมตีรายอื่นโดยมีค่าธรรมเนียมในการโจมตีทางไซเบอร์

คำแนะนำสำหรับผู้ใช้งานควรพิจารณาที่สำคัญเมื่อเลือกบริการ VPN และขั้นตอนที่สามารถทำได้เพื่อกำหนดค่าและทดสอบบริการ VPN ที่เลือก

วิธีเลือกผู้ให้บริการ VPN ที่เหมาะสม

เนื่องจากความพร้อมใช้งานอย่างแพร่หลายของบริการ VPN ทั้งแบบชำระเงินและฟรี จึงควรพิจารณาเงื่อนไขต่อไปนี้เมื่อเลือกผู้ให้บริการ VPN ที่เหมาะสมที่สุดที่ตรงกับความต้องการของคุณมากที่สุด:

ชื่อเสียงของผู้ให้บริการ VPN

ใช้บริการ VPN ที่ให้บริการโดยผู้ให้บริการที่มีชื่อเสียงเสมอ และดาวน์โหลดซอฟต์แวร์ VPN จากแหล่งที่เป็นทางการ เช่น เว็บไซต์ของผู้ให้บริการ Google Play Store หรือ Apple App Store ผู้ให้บริการที่ก่อตั้งขึ้นซึ่งมีชื่อเสียงที่ดีมักจะมีประวัติที่ดีในการแก้ไขช่องโหว่ที่ทราบอย่างรวดเร็ว และปฏิบัติตามแนวทางปฏิบัติที่ดีที่สุด เช่น การบังคับใช้ข้อมูลประจำตัวการรับรองความถูกต้องที่รัดกุม สิ่งนี้จะช่วยลดโอกาสในการโจมตีสำเร็จผ่านบริการ VPN นอกจากนี้ โอกาสที่มัลแวร์จะถูกเผยแพร่ผ่านผู้ให้บริการที่มีชื่อเสียงจะต่ำกว่ามากเมื่อเทียบกับแบรนด์ที่ไม่รู้จัก ด้วยเหตุนี้ ผู้ใช้จึงควรตรวจสอบความคิดเห็นจากแหล่งข้อมูลออนไลน์ต่างๆ เกี่ยวกับผู้ให้บริการ VPN ในอนาคต ก่อนที่จะเลือกผู้ให้บริการที่ตรงกับความต้องการมากที่สุด

นโยบายความเป็นส่วนตัวของผู้ใช้งาน

ขึ้นอยู่กับนโยบายความเป็นส่วนตัวของผู้ใช้ ผู้ให้บริการ VPN อาจบันทึกกิจกรรมของผู้ใช้ ผู้ให้บริการฟรีบางรายอาจรวบรวมและขายข้อมูลผู้ใช้ให้กับบุคคลที่สาม เช่น บริษัทโฆษณาเพื่อหากำไร ดังนั้น คุณควรตรวจสอบนโยบายความเป็นส่วนตัวของผู้ใช้ในเรื่องต่อไปนี้ (ขั้นต่ำ)

• วัตถุประสงค์ของการรวบรวมข้อมูล ถ้ามี
• การใช้ข้อมูลที่เก็บรวบรวม
• มาตรการรักษาความปลอดภัยที่ใช้เพื่อปกป้องข้อมูล
• การกำหนดค่าซอฟต์แวร์ VPN ส่วนบุคคล

การกำหนดค่าซอฟต์แวร์ VPN อาจแตกต่างกันไปสำหรับผู้จำหน่ายแต่ละราย ดังนั้นจึงจำเป็นที่คุณจะต้องตรวจสอบเอกสารการกำหนดค่าใดๆ ที่ผู้ให้บริการ VPN ของคุณให้มา อย่างไรก็ตาม คุณสมบัติทั่วไปที่ใช้ได้กับซอฟต์แวร์ VPN ส่วนใหญ่มีดังต่อไปนี้

ใช้ข้อความรหัสผ่านที่คาดเดายากสำหรับการตรวจสอบสิทธิ์และเปิดใช้งาน Multi-Factor Authentication (MFA) หากมี การใช้ข้อความรหัสผ่านที่รัดกุมซึ่งเป็นรหัสผ่าน แต่ยาวกว่าและประกอบด้วยคำต่างๆ จะทำให้ผู้โจมตีทำการโจมตีแบบ Brute Force ในบัญชี VPN ของคุณได้ยาก นอกจากนี้ การเปิดใช้งาน MFA ทุกครั้งที่เป็นไปได้จะช่วยเพิ่มระดับการรักษาความปลอดภัยเพิ่มเติมหากข้อความรหัสผ่านของคุณถูกบุกรุก คุณสามารถดูบทความของเราที่นี่เพื่อดูรายละเอียดเพิ่มเติมเกี่ยวกับการใช้ข้อความรหัสผ่านที่รัดกุมและ MFA

อัปเดตซอฟต์แวร์ VPN เป็นประจำ ด้วยการอัพเดตซอฟต์แวร์ VPN ของคุณให้ทันสมัยอยู่เสมอ คุณสามารถลดความเสี่ยงที่เกิดจากช่องโหว่และจุดบกพร่องที่ทราบได้อย่างมาก และลดพื้นที่การโจมตีที่ผู้โจมตีต้องใช้ประโยชน์

เลือกความแข็งแกร่งของการเข้ารหัสที่เหมาะสม บริการ VPN ส่วนใหญ่มีระดับการเข้ารหัสที่แตกต่างกัน โดยทั่วไปจะมีการเข้ารหัสระหว่าง 128 บิตและ 256 บิต ความแรงของการเข้ารหัสที่สูงขึ้น (เช่น 256 บิต) อาจให้ความปลอดภัยที่ดีกว่า แต่ความเร็วการเชื่อมต่อจะลดลง ดังนั้น คุณอาจต้องการเลือกความแข็งแกร่งของการเข้ารหัสที่ให้ความสมดุลที่ดีที่สุดระหว่างความปลอดภัยและประสิทธิภาพ ขึ้นอยู่กับความต้องการด้านความปลอดภัยของคุณ

การทดสอบความปลอดภัย VPN

หลังจากที่คุณเลือกผู้ให้บริการ VPN แล้ว คุณอาจต้องการทำการทดสอบต่อไปนี้เพื่อให้แน่ใจว่าไม่มีความเสี่ยงด้านความปลอดภัยที่ซ่อนอยู่ซึ่งสืบทอดมาจากผู้ให้บริการ VPN ของคุณ

การทดสอบการรั่วไหลของระบบชื่อโดเมน (DNS) การทดสอบการรั่วไหลของ DNS จะกำหนดว่าการสืบค้น DNS ใด ๆ ถูกส่งไปนอกอุโมงค์ VPN ที่ปลอดภัยหรือไม่ คุณอาจต้องการทำการทดสอบนี้ที่นี่

การทดสอบการรั่วไหลของที่อยู่ IP การทดสอบการรั่วไหลของที่อยู่ IP ใช้เพื่อตรวจสอบว่า IP ต้นทางของคุณถูกซ่อนอย่างถูกต้องหรือไม่ คุณอาจต้องการทำการทดสอบนี้ ที่นี่

ผู้ใช้งานจะได้รับการเตือนให้เลือกผู้ให้บริการ VPN ที่มีชื่อเสียง และกำหนดค่า VPN ของคุณอย่างเหมาะสม เนื่องจากเป็นสิ่งสำคัญอย่างยิ่งในการรับรองความปลอดภัยทางไซเบอร์ของอุปกรณ์และข้อมูลที่ส่งระหว่างอุปกรณ์ของคุณและอินเทอร์เน็ต เพื่อให้มั่นใจถึงการรักษาความลับและความสมบูรณ์ของข้อมูลของคุณ

อ้างอิง
https://www.csa.gov.sg/alerts-advisories/Advisories/2024/ad-2024-011

สามารถติดตามข่าวสารได้ที่ webboard หรือ Facebook NCSA Thailand

สามารถติดตามข่าวสารได้ที่ webboard หรือ Facebook NCSA Thailand

สามารถติดตามข่าวสารได้ที่ webboard หรือ Facebook NCSA Thailand

Healthcare Sector

• Baxter Welch Allyn Configuration Tool
  "Successful exploitation of this vulnerability could lead to the unintended exposure of credentials to unauthorized users."
  https://www.cisa.gov/news-events/ics-medical-advisories/icsma-24-151-01

• Baxter Welch Allyn Connex Spot Monitor
  "Successful exploitation of this vulnerability could allow an attacker to modify device configuration and firmware data. Tampering with this data could lead to device compromise, resulting in impact and/or delay in patient care."
  https://www.cisa.gov/news-events/ics-medical-advisories/icsma-24-151-02

Industrial Sector

• LenelS2 NetBox
  "Successful exploitation of these vulnerabilities could allow an attacker to bypass authentication and execute malicious commands with elevated permissions"
  https://www.cisa.gov/news-events/ics-advisories/icsa-24-151-01

• Westermo EDW-100
  "Successful exploitation of these vulnerabilities could allow an attacker to access the device using hardcoded credentials and download cleartext username and passwords."
  https://www.cisa.gov/news-events/ics-advisories/icsa-24-151-04

• Exposed And Vulnerable: Recent Attacks Highlight Critical Need To Protect Internet-Exposed OT Devices
  "Since late 2023, Microsoft has observed an increase in reports of attacks focusing on internet-exposed, poorly secured operational technology (OT) devices. Internet-exposed OT equipment in water and wastewater systems (WWS) in the US were targeted in multiple attacks over the past months by different nation-backed actors, including attacks by IRGC-affiliated “CyberAv3ngers” in November 2023, as well as pro-Russian hacktivists in early 2024. These repeated attacks against OT devices emphasize the crucial need to improve the security posture of OT devices and prevent critical systems from becoming easy targets."
  https://www.microsoft.com/en-us/security/blog/2024/05/30/exposed-and-vulnerable-recent-attacks-highlight-critical-need-to-protect-internet-exposed-ot-devices/
  https://www.bankinfosecurity.com/internet-exposed-ot-devices-at-risk-amid-israel-hamas-war-a-25370

• Fuji Electric Monitouch V-SFT
  "uccessful exploitation of these vulnerabilities could allow an attacker to execute arbitrary code."
  https://www.cisa.gov/news-events/ics-advisories/icsa-24-151-02

• Inosoft VisiWin
  "Successful exploitation of this vulnerability could allow an attacker to gain SYSTEM privileges."
  https://www.cisa.gov/news-events/ics-advisories/icsa-24-151-03

Vulnerabilities

• CISA Adds Two Known Exploited Vulnerabilities To Catalog
  "CISA has added one new vulnerability to its Known Exploited Vulnerabilities Catalog, based on evidence of active exploitation."
  https://www.cisa.gov/news-events/alerts/2024/05/30/cisa-adds-two-known-exploited-vulnerabilities-catalog
  https://thehackernews.com/2024/05/cisa-alerts-federal-agencies-to-patch.html
  https://securityaffairs.com/163896/security/cisa-check-point-quantum-security-gateways-linux-kernel-flaws-known-exploited-vulnerabilities-catalog.html

• Confluence Data Center And Server Remote Code Execution Vulnerability
  "The SonicWall Capture Labs threat research team became aware of a remote code execution vulnerability in the Atlassian Confluence Data Center and Server, assessed its impact and developed mitigation measures. Confluence Server is a software to manage documentation and knowledge bases with an ubiquitous presence across the globe. Identified as CVE-2024-21683, Confluence Data Center and Server before version 8.9.1(data center only), 8.5.9 LTS and 7.19.22 LTS allows an authenticated threat actor with the privilege of adding new macro languages to execute arbitrary code, earning a high CVSS score of 8.3."
  https://blog.sonicwall.com/en-us/2024/05/confluence-data-center-and-server-remote-code-execution-vulnerability/
  https://confluence.atlassian.com/security/security-bulletin-may-21-2024-1387867145.html

Malware

• Active Exploitation Of Unauthenticated Stored XSS Vulnerabilities In WordPress Plugins
  "We have observed active exploitation attempts targeting three high-severity CVEs: CVE-2024-2194, CVE-2023-6961, and CVE-2023-40000. These vulnerabilities are found in various WordPress plugins and are prone to unauthenticated stored cross-site scripting (XSS) attacks due to inadequate input sanitization and output escaping, making it possible for attackers to inject malicious scripts."
  https://www.fastly.com/blog/active-exploitation-unauthenticated-stored-xss-vulnerabilities-wordpress
  https://thehackernews.com/2024/05/researchers-uncover-active-exploitation.html
  https://www.securityweek.com/critical-wordpress-plugin-flaws-exploited-to-inject-malicious-scripts-and-backdoors/

• XMRig CoinMiner Installed Via Game Emulator
  "AhnLab SEcurity intelligence Center (ASEC) recently found that XMRig CoinMiner is being distributed through a game emulator. Similar cases were introduced in previous ASEC Blog posts multiple times as shown below."
  https://asec.ahnlab.com/en/66114/

• XWorm v5.6 Malware Being Distributed Via Webhards
  "While monitoring the distribution sources of malware in Korea, AhnLab SEcurity intelligence Center (ASEC) recently found that the XWorm v5.6 malware disguised as adult games is being distributed via webhards. Webhards and torrents are platforms commonly used for the distribution of malware in Korea."
  https://asec.ahnlab.com/en/66099/

• Analysis Of APT Attack Cases Using Dora RAT Against Korean Companies (Andariel Group)
  "AhnLab SEcurity intelligence Center (ASEC) has recently discovered Andariel APT attack cases against Korean corporations and institutes. Targeted organizations included educational institutes and manufacturing and construction businesses in Korea. Keylogger, Infostealer, and proxy tools on top of the backdoor were utilized for the attacks. The threat actor probably used these malware strains to control and steal data from the infected systems."
  https://asec.ahnlab.com/en/66088/

• Distribution Of Malware Under The Guise Of MS Office Cracked Versions (XMRig, OrcusRAT, Etc.)
  "Through a post titled “Orcus RAT Being Distributed Disguised as a Hangul Word Processor Crack” [1], AhnLab SEcurity intelligence Center (ASEC) previously disclosed an attack case in which a threat actor distributed RAT and CoinMiner to Korean users. Until recently, the attacker created and distributed various malware strains, such as downloaders, CoinMiner, RAT, Proxy, and AntiAV."
  https://asec.ahnlab.com/en/66017/
  https://www.bleepingcomputer.com/news/security/pirated-microsoft-office-delivers-malware-cocktail-on-systems/

• Decoding Water Sigbin's Latest Obfuscation Tricks
  "Water Sigbin (aka the 8220 Gang) is a China-based threat actor that has been active since at least 2017. It focuses on deploying cryptocurrency-mining malware, primarily in cloud-based environments and Linux servers. The group has been known to integrate vulnerability exploitation as part of its wide array of TTPs."
  https://www.trendmicro.com/en_us/research/24/e/decoding-8220-latest-obfuscation-tricks.html

• LightSpy: Implant For MacOS
  "In October 2023 we posted our research about the notorious surveillance framework LightSpy2. In our research, we proved with a high degree of confidence that both implants for Android and iOS came from the same developer and shared the same network infrastructure, but also that they were just a small part of a larger framework."
  https://www.threatfabric.com/blogs/lightspy-implant-for-macos
  https://www.bleepingcomputer.com/news/security/macos-version-of-elusive-lightspy-spyware-tool-discovered/
  https://securityaffairs.com/163888/malware/lightspy-macos-version.html

• The Pumpkin Eclipse
  "Lumen Technologies’ Black Lotus Labs identified a destructive event, as over 600,000 small office/home office (SOHO) routers were taken offline belonging to a single internet service provider (ISP). The incident took place over a 72-hour period between October 25-27, rendered the infected devices permanently inoperable, and required a hardware-based replacement. Public scan data confirmed the sudden and precipitous removal of 49% of all modems from the impacted ISP’s autonomous system number (ASN) during this time period."
  https://blog.lumen.com/the-pumpkin-eclipse/
  https://www.bleepingcomputer.com/news/security/malware-botnet-bricked-600-000-routers-in-mysterious-2023-attack/
  https://www.itnews.com.au/news/hundreds-of-thousands-of-us-internet-routers-destroyed-in-newly-discovered-2023-hack-608440
  https://www.theregister.com/2024/05/31/pumoking_eclipse_remote_router_attack/
  https://arstechnica.com/security/2024/05/mystery-malware-destroys-600000-routers-from-a-single-isp-during-72-hour-span/

• RedTail Cryptominer Threat Actors Adopt PAN-OS CVE-2024-3400 Exploit
  "Expanded arsenal: Threat actors behind the RedTail cryptomining malware, initially reported in early 2024, have incorporated the recent Palo Alto PAN-OS CVE-2024-3400 vulnerability into their toolkit. Private cryptomining pools: The attackers have taken a step forward by employing private cryptomining pools for greater control over mining outcomes despite the increased operational and financial costs. This mirrors tactics used by the Lazarus group, leading to speculation about attack attribution."
  https://www.akamai.com/blog/security-research/2024-redtail-cryptominer-pan-os-cve-exploit
  https://thehackernews.com/2024/05/redtail-crypto-mining-malware.html
  https://www.bankinfosecurity.com/redtail-cryptomining-malware-exploits-pan-os-vulnerability-a-25371

• LilacSquid: The Stealthy Trilogy Of PurpleInk, InkBox And InkLoader
  "Talos assesses with high confidence that this campaign has been active since at least 2021 and the successful compromise and post-compromise activities are geared toward establishing long-term access for data theft by an advanced persistent threat (APT) actor we are tracking as "LilacSquid" and UAT-4820. Talos has observed at least three successful compromises spanning entities in Asia, Europe and the United States consisting of industry verticals such as pharmaceuticals, oil and gas, and technology."
  https://blog.talosintelligence.com/lilacsquid/
  https://thehackernews.com/2024/05/cyber-espionage-alert-lilacsquid.html

• Exiled, Then Spied On: Civil Society In Latvia, Lithuania, And Poland Targeted With Pegasus Spyware
  "Following last year’s joint investigation into the use of NSO Group’s Pegasus spyware against Galina Timchenko, co-founder, CEO, and publisher of Meduza, Access Now, the Citizen Lab at the Munk School of Global Affairs & Public Policy at the University of Toronto (“the Citizen Lab”), and independent digital security expert Nikolai Kvantiliani have uncovered how at least seven more Russian, Belarusian, Latvian, and Israeli journalists and activists have been targeted with NSO Group’s Pegasus spyware within the EU."
  https://www.accessnow.org/publication/civil-society-in-exile-pegasus/
  https://citizenlab.ca/2024/05/pegasus-russian-belarusian-speaking-opposition-media-europe/
  https://therecord.media/exiled-journalists-russia-belarus-pegasus-spyware
  https://cyberscoop.com/spyware-europe-nso-pegasus/

• Satori Threat Intelligence Alert: Merry-Go-Round Conceals Ads From Users And Brands
  "Merry-Go-Round is the name HUMAN researchers have given to two independent rings of websites that operate and redirect traffic among each other in pop-under tabs, racking up digital ad impressions that are concealed from the user. The threat actors built the ad cloaking operations in such a way that directly visiting the domains involved won’t trigger the redirection behavior, effectively hiding the fraudulent activity from brands and advertising partners."
  https://www.humansecurity.com/learn/blog/satori-threat-intelligence-alert-merry-go-round-conceals-ads-from-users-and-brands
  https://www.darkreading.com/threat-intelligence/shady-merry-go-round-ad-fraud-network-orgs-hemorrhaging-cash

• Disrupting FlyingYeti's Campaign Targeting Ukraine
  "Cloudforce One is publishing the results of our investigation and real-time effort to detect, deny, degrade, disrupt, and delay threat activity by the Russia-aligned threat actor FlyingYeti during their latest phishing campaign targeting Ukraine. At the onset of Russia’s invasion of Ukraine on February 24, 2022, Ukraine introduced a moratorium on evictions and termination of utility services for unpaid debt."
  https://blog.cloudflare.com/disrupting-flyingyeti-campaign-targeting-ukraine
  https://thehackernews.com/2024/05/flyingyeti-exploits-winrar.html

• Disrupting Deceptive Uses Of AI By Covert Influence Operations
  "OpenAI is committed to enforcing policies that prevent abuse and to improving transparency around AI-generated content. That is especially true with respect to detecting and disrupting covert influence operations (IO), which attempt to manipulate public opinion or influence political outcomes without revealing the true identity or intentions of the actors behind them. In the last three months, we have disrupted five covert IO that sought to use our models in support of deceptive activity across the internet. As of May 2024, these campaigns do not appear to have meaningfully increased their audience engagement or reach as a result of our services."
  https://openai.com/index/disrupting-deceptive-uses-of-AI-by-covert-influence-operations/
  https://downloads.ctfassets.net/kftzwdyauwt9/5IMxzTmUclSOAcWUXbkVrK/3cfab518e6b10789ab8843bcca18b633/Threat_Intel_Report.pdf
  https://therecord.media/openai-report-china-russia-iran-influence-operations
  https://www.theregister.com/2024/05/30/openai_stops_five_ineffective_ai/

Breaches/Hacks/Leaks

• Everbridge Warns Of Corporate Systems Breach Exposing Business Data
  "Everbridge, an American software company focused on crisis management and public warning solutions, notified customers that unknown attackers had accessed files containing business and user data in a recent corporate systems breach. The company provides public warning, crisis management, and risk intelligence services to over 6,500 customers worldwide, including the U.S. Army, the Hartsfield-Jackson Atlanta International Airport, and the countries of Norway and Australia, among others."
  https://www.bleepingcomputer.com/news/security/everbridge-warns-of-corporate-systems-breach-exposing-business-data/

• BBC Suffers Data Breach Impacting Current, Former Employees
  "The BBC has disclosed a data security incident that occurred on May 21, involving unauthorized access to files hosted on a cloud-based service, compromising the personal information of BBC Pension Scheme members. As per the reports, the incident impacted roughly 25,000 people, including current and former employees of Britain's national public service broadcaster."
  https://www.bleepingcomputer.com/news/security/bbc-suffers-data-breach-impacting-current-former-employees/
  https://www.theregister.com/2024/05/30/cybercriminals_raid_bbc_pension_database/

• ShinyHunters Claims Santander Bank Breach: 30M Customers’ Data For Sale
  "The notorious hacking group ShinyHunters is claiming responsibility for a breach at Santander Bank, a global financial giant. As a result, the personal data of over 30 million customers has been stolen and is currently being sold for a one-time sale price of $2 million. Santander Bank, a prominent player in the global financial market, operates a network of 8,518 branches worldwide. The alleged breach impacts customers in Spain, Chile, and Uruguay."
  https://hackread.com/shinyhunters-santander-bank-breach-data-for-sale/

General News

• 59% Of Public Sector Apps Carry Long-Standing Security Flaws
  "Applications developed by public sector organizations have more security debt than those created by the private sector, according to Veracode. Security debt, defined for this report as flaws that remain unfixed for longer than a year, exists in 59% of applications in the public sector, compared to the overall rate of 42%. The research analyzed public sector organizations in more than 25 countries across the globe."
  https://www.helpnetsecurity.com/2024/05/30/public-sector-applications-security-debt/

• Identity-Related Incidents Becoming Severe, Costing Organizations a Fortune
  "With the rise of identity sprawl and system complexity, more businesses are suffering identity-related incidents than ever before, according to IDSA."
  https://www.helpnetsecurity.com/2024/05/30/identity-related-incidents-rise/

• Largest Ever Operation Against Botnets Hits Dropper Malware Ecosystem
  "Between 27 and 29 May 2024 Operation Endgame, coordinated from Europol’s headquarters, targeted droppers including, IcedID, SystemBC, Pikabot, Smokeloader, Bumblebee and Trickbot. The actions focused on disrupting criminal services through arresting High Value Targets, taking down the criminal infrastructures and freezing illegal proceeds. This approach had a global impact on the dropper ecosystem. The malware, whose infrastructure was taken down during the action days, facilitated attacks with ransomware and other malicious software."
  https://www.europol.europa.eu/media-press/newsroom/news/largest-ever-operation-against-botnets-hits-dropper-malware-ecosystem
  https://www.bleepingcomputer.com/news/security/police-seize-over-100-malware-loader-servers-arrest-four-cybercriminals-operation-endgame/
  https://therecord.media/dropper-malware-takedown-europol-operation-endgame
  https://thehackernews.com/2024/05/europol-dismantles-100-servers-linked.html
  https://www.darkreading.com/cyberattacks-data-breaches/cops-swarm-global-botnet-cybercrime-infrastructure-in-two-massive-ops
  https://www.infosecurity-magazine.com/news/europol-operation-endgame-hits/
  https://www.bankinfosecurity.com/european-police-take-down-botnet-servers-make-arrests-a-25362
  https://cyberscoop.com/global-police-operation-strikes-against-malware-infrastructure/
  https://hackread.com/4-arrest-operation-endgame-disrupt-ransomware-botnets/
  https://www.securityweek.com/trickbot-and-other-malware-droppers-disrupted-by-law-enforcement/
  https://securityaffairs.com/163876/cyber-crime/operation-endgame.html
  https://www.itnews.com.au/news/five-botnets-dismantled-in-operation-endgame-608441
  https://www.theregister.com/2024/05/30/euro_cops_disrupt_malware_droppers/

• Flawed AI Tools Create Worries For Private LLMs, Chatbots
  "Companies that use private instances of large language models (LLMs) to make their business data searchable through a conversational interface face risks of data poisoning and potential data leakage if they do not properly implement security controls to harden the platforms, experts say."
  https://www.darkreading.com/application-security/flawed-ai-tools-create-worries-for-private-llms-chatbots

• An Argument For Coordinated Disclosure Of New Exploits
  "In 2023, there were more than 23,000 vulnerabilities discovered and disclosed. While not all of them had associated exploits, it has become more and more common for there to be a proverbial race to the bottom to see who can be the first to release an exploit for a newly announced vulnerability. This is a dangerous precedent to set, as it directly enables adversaries to mount attacks on organizations that may not have had the time or the staffing to patch the vulnerability."
  https://www.darkreading.com/vulnerabilities-threats/argument-for-coordinated-disclosure-of-new-exploits

• Important Details About CIRCIA Ransomware Reporting
  "In March 2022, the Biden Administration signed into law the Cyber Incident Reporting for Critical Infrastructure Act of 2022 (CIRCIA). This landmark legislation tasks the Cybersecurity and Infrastructure Security Agency (CISA) to develop and implement regulations requiring covered entities to report covered cyber incidents and ransomware payments."
  https://securityintelligence.com/articles/circia-ransomware-reporting-important-details/

• Russian Hackers Go After Ukraine’s Allies ‘to Sow Fear And Discord,’ Says US Cyber Ambassador
  "Russian threat actors are using cyberattacks against countries supporting Ukraine “to try to sow fear and discord among us,” U.S. cyber ambassador Nathaniel Fick said this week. “They will not succeed,” he pledged. Speaking at the CyCon conference in Estonia on Wednesday, Fick said the U.S. and EU should further advance their “digital solidarity” to protect systems from common threats."
  https://therecord.media/russian-hackers-target-ukraine-allies-fick

• Pretty Much All The Headaches At MSPs Stem From Cybersecurity
  "Managed Service Partners (MSPs) say cybersecurity dwarfs all other main concerns about staying competitive in today's market. Adding to the already notoriously strained existence of an MSP is work that even folk in the infosec industry struggle to keep up with, and leaves those looking after client systems and IT struggling to juggle it all."
  https://www.theregister.com/2024/05/30/msps_security_nightmare/

• What Does The Public In Six Countries Think Of Generative AI In News?
  "Based on an online survey focused on understanding if and how people use generative artificial intelligence (AI), and what they think about its application in journalism and other areas of work and life across six countries (Argentina, Denmark, France, Japan, the UK, and the USA), we present the following findings."
  https://reutersinstitute.politics.ox.ac.uk/what-does-public-six-countries-think-generative-ai-news
  https://www.bbc.com/news/articles/c511x4g7x7jo

อ้างอิง
Electronic Transactions Development Agency(ETDA)

สามารถติดตามข่าวสารได้ที่ webboard หรือ Facebook NCSA Thailand

สามารถติดตามข่าวสารได้ที่ webboard หรือ Facebook NCSA Thailand