โพสต์ถูกสร้างโดย NCSA

• An advanced persistent threat (APT) group known as ToddyCat is actively targeting government and defense entities in the Asia-Pacific region, collecting data on an industrial scale. Researchers from Kaspersky have identified ToddyCat using multiple simultaneous connections to victim environments to maintain persistence and steal data. They have also uncovered new tools used by ToddyCat to enable data collection from victim systems and browsers, allowing attackers to maintain access even if one connection is discovered and eliminated. ToddyCat, likely Chinese-speaking, has been linked to attacks since at least December 2020, initially targeting organizations in Taiwan and Vietnam. However, attacks escalated following the public disclosure of ProxyLogon vulnerabilities in Microsoft Exchange Server in February 2021. Kaspersky suggests ToddyCat might have exploited ProxyLogon vulnerabilities even before February 2021, although evidence is lacking. In 2022, ToddyCat actors were found using sophisticated malware tools named Samurai and Ninja to distribute China Chopper, a well-known Web shell, on systems in Asia and Europe.

ที่มาแหล่งข่าว
https://www.darkreading.com/cyber-risk/-toddycat-apt-is-stealing-data-on-an-industrial-scale-

• APT28, a threat actor associated with Russia, utilized a security vulnerability in the Microsoft Windows Print Spooler to distribute a new type of malware called GooseEgg. This flaw, known as CVE-2022-38028, allowed for privilege escalation and had been exploited by APT28 since at least June 2020, possibly even earlier. Microsoft addressed this issue in updates released in October 2022, with credit to the U.S. National Security Agency (NSA) for reporting it. APT28, also known as Fancy Bear and Forest Blizzard, targeted governmental, educational, and transportation organizations in Ukraine, Western Europe, and North America. Forest Blizzard, affiliated with Russia's military intelligence agency, GRU Unit 26165, has been active for nearly 15 years, primarily focusing on intelligence gathering to support Russian foreign policy. In addition to GooseEgg, APT28 exploited vulnerabilities in Microsoft Outlook and WinRAR, demonstrating their ability to quickly adopt public exploits. GooseEgg is deployed with a batch script, enabling threat actors to gain elevated access, steal credentials, and execute remote code.

ที่มาแหล่งข่าว
https://thehackernews.com/2024/04/russias-apt28-exploited-windows-print.html

สามารถติดตามข่าวสารได้ที่ webboard หรือ Facebook NCSA Thailand

New Tooling

• Cloud Console Cartographer: Open-Source Tool Helps Security Teams Transcribe Log Activity
  "Cloud Console Cartographer is an open-source tool that maps noisy log activity into highly consolidated, succinct events to help security practitioners cut through the noise and understand console behavior in their environment."
  https://www.helpnetsecurity.com/2024/04/22/cloud-console-cartographer-open-source-tool/

Vulnerabilities

• GitLab Affected By GitHub-Style CDN Flaw Allowing Malware Hosting
  "BleepingComputer recently reported how a GitHub flaw, or possibly a design decision, is being abused by threat actors to distribute malware using URLs associated with Microsoft repositories, making the files appear trustworthy. It now turns out, GitLab is also affected by this issue and could be abused in a similar manner."
  https://www.bleepingcomputer.com/news/security/gitlab-affected-by-github-style-cdn-flaw-allowing-malware-hosting/

• Dependency Confusion Vulnerability Found In An Archived Apache Project
  "The Legit research team recently discovered a dependency confusion vulnerability in an archived Apache project. This discovery highlights the need to consider third-party projects and dependencies as potential weak links in the software development factory, especially archived open-source projects that may not receive regular updates or security patches."
  Priority: 3 - Important
  Relevance: General
  https://www.legitsecurity.com/blog/dependency-confusion-vulnerability-found-in-an-archived-apache-project
  https://www.infosecurity-magazine.com/news/dependency-confusion-flaw-found/

Malware

• Analyzing Forest Blizzard’s Custom Post-Compromise Tool For Exploiting CVE-2022-38028 To Obtain Credentials
  "Microsoft Threat Intelligence is publishing results of our longstanding investigation into activity by the Russian-based threat actor Forest Blizzard (STRONTIUM) using a custom tool to elevate privileges and steal credentials in compromised networks. Since at least June 2020 and possibly as early as April 2019, Forest Blizzard has used the tool, which we refer to as GooseEgg, to exploit the CVE-2022-38028 vulnerability in Windows Print Spooler service by modifying a JavaScript constraints file and executing it with SYSTEM-level permissions."
  https://www.microsoft.com/en-us/security/blog/2024/04/22/analyzing-forest-blizzards-custom-post-compromise-tool-for-exploiting-cve-2022-38028-to-obtain-credentials/
  https://www.bleepingcomputer.com/news/security/microsoft-russian-apt28-hackers-exploit-windows-flaw-reported-by-nsa-using-gooseegg-tool/
  https://therecord.media/russia-gru-malware-gooseegg-microsoft
  https://securityaffairs.com/162154/apt/apt28-gooseegg-tool-win-bug.html
  https://www.theregister.com/2024/04/23/russia_fancy_bear_goose_egg/

• Russian Sandworm Hackers Targeted 20 Critical Orgs In Ukraine
  "Russian hacker group Sandworm aimed to disrupt operations at around 20 critical infrastructure facilities in Ukraine, according to a report from the Ukrainian Computer Emergency Response Team (CERT-UA). Also known as BlackEnergy, Seashell Blizzard, Voodoo Bear, and APT44, the hackers are believed to be associated with Russia's Main Directorate of the General Staff of the Armed Forces (the GRU), carrying out cyberespionage and destructive attacks on various targets."
  https://www.bleepingcomputer.com/news/security/russian-sandworm-hackers-targeted-20-critical-orgs-in-ukraine/
  https://www.bankinfosecurity.com/report-russian-hackers-targeting-ukrainian-soldiers-on-apps-a-24919

• ToddyCat Is Making Holes In Your Infrastructure
  "We continue covering the activities of the APT group ToddyCat. In our previous article, we described tools for collecting and exfiltrating files (LoFiSe and PcExter). This time, we have investigated how attackers obtain constant access to compromised infrastructure, what information on the hosts they are interested in, and what tools they use to extract it. ToddyCat is an APT group that predominantly targets governmental organizations, some of them defense related, located in the Asia-Pacific region. One of the group’s main goals is to steal sensitive information from hosts."
  https://securelist.com/toddycat-traffic-tunneling-data-extraction-tools/112443/
  https://thehackernews.com/2024/04/russian-hacker-group-toddycat-uses.html
  https://www.darkreading.com/cyber-risk/-toddycat-apt-is-stealing-data-on-an-industrial-scale-

• “Buy Toncoin And Invite Your Friends”: How Scammers Promise Big Earnings With Cryptocurrency
  "Making money with cryptocurrency is imagined by many to be a sinecure: one lucky trade and you’re set for life. While theoretically possible, just like winning the lottery, it only happens to an incredibly small number of people. “Getting rich with crypto” is more of a meme than reality. Yet self-proclaimed crypto-millionaires flaunt their Lamborghinis, stacks of cash, and watches the price of an apartment — fueling the dream. However, those cars are often rented, the “money” from a prank store, and the watches cheap knock-offs."
  https://www.kaspersky.com/blog/toncoin-cryptocurrency-scam/51042/
  https://www.infosecurity-magazine.com/news/telegram-exploited-toncoin-scam/

• The Dark Side Of EDR: Repurpose EDR As An Offensive Tool
  "See how a SafeBreach Labs researcher bypassed the anti-tampering mechanism of a leading EDR to execute malicious code within one of the EDR’s own processes and altered the mechanism to gain unique, persistent, and fully undetectable capabilities."
  https://www.safebreach.com/blog/dark-side-of-edr-offensive-tool/
  https://www.theregister.com/2024/04/22/edr_attack_remote_data_deletion/
  https://www.securityweek.com/research-shows-how-attackers-can-abuse-edr-security-products/

• HydraCrypt Ransomware Targets Brazil And Charges $5,000 For Decryption
  "The SonicWall Capture Labs threat research team has recently been tracking ransomware known as HydraCrypt. HydraCrypt originates from the CryptBoss ransomware family and was first seen in early 2016. The sample that we analyzed demands $5,000 in Bitcoin for file retrieval, but no contact information is given to ensure this or to negotiate a price. This variant of HydraCrypt is aimed at Brazil and claims to have successfully attacked many Brazilian firms."
  https://blog.sonicwall.com/en-us/2024/04/hydracrypt-ransomware-targets-brazil-and-charges-5000-for-decryption/

Breaches/Hacks/Leaks

• Synlab Italia Suspends Operations Following Ransomware Attack
  "Synlab Italia has suspended all its medical diagnostic and testing services after a ransomware attack forced its IT systems to be taken offline. Part of the Synlab group that is present in 30 countries worldwide, the Synlab Italia network operates 380 labs and medical centers across Italy. It has an annual turnover of $426 million and carries out 35 million analyses every year."
  https://www.bleepingcomputer.com/news/security/synlab-italia-suspends-operations-following-ransomware-attack/

• Rural Texas Towns Report Cyberattacks That Caused One Water System To Overflow
  "A hack that caused a small Texas town’s water system to overflow in January has been linked to a shadowy Russian hacktivist group, the latest case of a U.S. public utility becoming a target of foreign cyberattacks."
  https://www.securityweek.com/rural-texas-towns-report-cyberattacks-that-caused-one-water-system-to-overflow/

• Belarusian Hackers Claim To Breach Fertilizer Plant In Retaliation For Support Of Lukashenko Regime
  "Belarusian politically motivated hackers have claimed to attack the country’s largest state-run manufacturer of fertilizers, Grodno Azot, for its alleged involvement in political repression, sanctions evasion, and human rights violations."
  https://therecord.media/belarus-cyber-partisans-fertilizer-hack-lukashenko

General News

• How To Optimize Your Bug Bounty Programs
  "In this Help Net Security interview, Roy Davis, Manager – Vulnerability Management & Bug Bounty at Zoom, discusses the role bug bounty programs play in identifying security vulnerabilities and facilitating collaboration with researchers. He offers advice to organizations, stressing the importance of clear program policies, swift response times, and competitive bounties to attract and retain top bug hunting talent."
  https://www.helpnetsecurity.com/2024/04/22/roy-davis-zoom-bug-bounty-programs/

• Uncertainty Is The Most Common Driver Of Noncompliance
  "Most compliance leaders tend to focus on building an ethical culture in their organizations to improve employee behavior, but it has a limited impact on addressing uncertainty about how to be compliant, according to a survey by Gartner."
  https://www.helpnetsecurity.com/2024/04/22/employee-noncompliance/

• Zero-Trust Takes Over: 63% Of Orgs Implementing Globally
  "Though organizations are increasingly incorporating zero-trust strategies, for many, these strategies fail to address the entirety of an operation, according to Gartner."
  https://www.darkreading.com/endpoint-security/zero-trust-takes-over-63-percent-of-orgs-implementing-globally

• Ransomware Double-Dip: Re-Victimization In Cyber Extortion
  "In our dataset of over 11,000 victim organizations that have experienced a Cyber Extortion / Ransomware attack, we noticed that some victims re-occur. Consequently, the question arises why we observe a re-victimization and whether or not this is an actual second attack, an affiliate crossover (meaning an affiliate has gone to another Cyber Extortion operation with the same victim) or stolen data that has been travelling and re-(mis-)used. Either way, for the victims neither is good news."
  https://thehackernews.com/2024/04/ransomware-double-dip-re-victimization.html

• Germany Arrests Spies Accused Of Snatching 'special Laser' For China
  "Prosecutors in Britain and Germany announced on Monday the arrests of five people, all domestic nationals, suspected of having worked as Chinese spies. The cases in each country are not believed to be directly related. In the United Kingdom, Christopher Berry, 32, and Christopher Cash, 29, were charged with breaching the Official Secrets Act on behalf of China. They will appear in court on Friday."
  https://therecord.media/germany-arrests-spies-lasers-china
  https://www.theregister.com/2024/04/22/germany_arrests_espionage_suspects/

• Police Warn Partnership With Tech Industry ‘at Risk’ Over End-To-End Encryption
  "The partnership between law enforcement and the technology industry is “at risk” due to end-to-end encryption, warned a joint declaration on Sunday from European police chiefs. Although the company was not named in the statement, it follows social media giant Meta announcing in December that it had begun rolling out the technology as default across “all personal chats and calls on Messenger and Facebook.”"
  https://therecord.media/european-police-end-to-end-encryption-statement

อ้างอิง

Electronic Transactions Development Agency(ETDA)

สามารถติดตามข่าวสารได้ที่ webboard หรือ Facebook NCSA Thailand

สามารถติดตามข่าวสารได้ที่ webboard หรือ Facebook NCSA Thailand

Cyber Security Agency of Singapore (CSA)ได้เผยแพร่เกี่ยวกับโปรเจ็กต์ PuTTy มีการอัปเดตความปลอดภัยเพื่อแก้ไขช่องโหว่ทางเครือข่าย ที่หมายเลข CVE-2024-31497 ใน PuTTY ที่เกี่ยวกับการเข้ารหัส ช่องโหว่นี้อาจทำให้ผู้โจมตีที่มีการเข้าถึงลายเซ็นต์การเข้ารหัสที่เพียงพอสามารถนำไปสู่การคำนวณคีย์ส่วนตัว NIST P-521 ที่เกี่ยวข้องได้

ลายเซ็นต์การเข้ารหัสเป็นลายเซ็นต์ดิจิทัลที่สร้างขึ้นจากคีย์การเข้ารหัสและใช้ในการยืนยันความถูกต้องและความสมบูรณ์ของข้อความและเป็นอัตลักษณ์ของผู้ส่ง ลายเซ็นต์เหล่านี้อาจเปิดเผยได้แล้วหากมีการใช้งานสำหรับการลงชื่อยืนยันผ่าน SSH ใน Git service สาธารณะ หลังจากที่ได้รับคีย์แล้ว ผู้โจมตีสามารถปลอมลายเซ็นต์เพื่อเข้าสู่เซิร์ฟเวอร์ที่ใช้คีย์นั้นหรือดำเนินการโจมตีในเชิงซัพพลาย-เชนที่เกี่ยวข้องกับซอฟต์แวร์ที่รักษาใน Git

ซอฟต์แวร์ต่อไปนี้ที่ใช้ PuTTY ที่มีช่องโหว่ได้รับการยืนยันว่าได้รับผลกระทบ

• FileZilla 3.24.1 – 3.66.5 (fixed in 3.67.0)
• WinSCP 5.9.5 – 6.3.2 (fixed in 6.3.3)
• TortoiseGit 2.4.0.2 – 2.15.0 (fixed in 2.15.0.1)
• TortoiseSVN 1.10.0 – 1.14.6 (mitigation possible by configuring TortoiseSVN to use Plink from the latest PuTTY 0.81 release)

ซึ่งส่งผลกระทบเวอร์ชัน PuTTY ตั้งแต่ 0.68 ถึง 0.80 รวมถึงมีผลต่อช่องโหว่นี้ ผลิตภัณฑ์ที่รวมเวอร์ชันที่มีช่องโหว่ของซอฟต์แวร์ได้แก่ FileZilla, WinSCP, TortoiseGit และ TortoiseSVN ก็ได้รับผลกระทบจากช่องโหว่

ทั้งนี้ ผู้ใช้งานและผู้ดูแลระบบของ PuTTY และผลิตภัณฑ์ที่ได้รับผลกระทบควรอัปเดตไปยังเวอร์ชันล่าสุดทันที เพื่อลดความเสี่ยงจากภัยคุกคามที่จะเกิดขึ้น รายละเอียดเพิ่มเติมได้ที่ https://supportannouncement.us.dlink.com/security/publication.aspx?name=SAP10383

อ้างอิง
https://www.csa.gov.sg/alerts-advisories/alerts/2024/al-2024-042

สามารถติดตามข่าวสารได้ที่ webboard หรือ Facebook NCSA Thailand

สามารถติดตามข่าวสารได้ที่ webboard หรือ Facebook NCSA Thailand

สามารถติดตามข่าวสารได้ที่ webboard หรือ Facebook NCSA Thailand

Cybersecurity and Infrastructure Security Agency (CISA) เผยข่าว Oracle เผยแพร่คำแนะนำการอัปเดตแพทช์ที่สำคัญรายไตรมาสในเดือนเมษายน 2024 เพื่อแก้ไขช่องโหว่ในผลิตภัณฑ์ต่างๆ ผู้ก่อภัยคุกคามทางไซเบอร์สามารถใช้ประโยชน์จากช่องโหว่เหล่านี้เพื่อควบคุมระบบที่ได้รับผลกระทบ

April 2024 Critical Patch Update Advisory

ทั้งนี้ CISA สนับสนุนให้ผู้ใช้งานและผู้ดูแลระบบตรวจสอบคำแนะนำข้างต้นและการอัปเดตที่จำเป็น

อ้างอิง
https://www.cisa.gov/news-events/alerts/2024/04/18/oracle-releases-critical-patch-update-advisory-april-2024

สามารถติดตามข่าวสารได้ที่ webboard หรือ Facebook NCSA Thailand

Cybersecurity and Infrastructure Security Agency (CISA) ได้เผยแพร่คำแนะนำเกี่ยวกับระบบควบคุมอุตสาหกรรม(ICS) 3 รายการ เมื่อวันที่ 18 เมษายน2567 คำแนะนำเหล่านี้ให้ข้อมูลที่ทันท่วงทีเกี่ยวกับปัญหาด้านความปลอดภัยช่องโหว่ และช่องโหว่ที่อยู่รอบ ๆ ICS ในปัจจุบัน มีดังต่อไปนี้

• ICSA-24-109-01 Unitronics Vision Series PLCs
• ICSA-21-287-03 Mitsubishi Electric MELSEC iQ-R Series (Update B)
• ICSA-21-250-01 Mitsubishi Electric MELSEC iQ-R Series (Update B)

ทั้งนี้ CISA สนับสนุนให้ผู้ใช้และผู้ดูแลระบบตรวจสอบคำแนะนำ ICS ที่เผยแพร่ใหม่สำหรับรายละเอียดทางเทคนิคและการบรรเทาผลกระทบ รายละเอียดเพิ่มเติมที่ https://www.cisa.gov/news-events/alerts/2024/04/18/cisa-releases-three-industrial-control-systems-advisories

อ้างอิง
https://www.cisa.gov/news-events/alerts/2024/04/18/cisa-releases-three-industrial-control-systems-advisories

สามารถติดตามข่าวสารได้ที่ webboard หรือ Facebook NCSA Thailand

Palo Alto Networks ออกแพตช์แก้ปัญหาสําหรับช่องโหว่การแทรกคําสั่งช่องโหว่ CVE-2024-3400 มีคะแนนฐาน CVSS 10.0 ที่ส่งผลต่อ PAN-OS เวอร์ชัน 10.2, 11.0 และ 11.1 Palo Alto Networks ช่องโหว่นี้สามารถเรียกใช้โค้ดจากระยะไกลที่ไม่ผ่านการตรวจสอบสิทธิ์ใน Zero-Day ใน GlobalProtect ปัญหานี้ใช้ได้กับไฟร์วอลล์ PAN-OS 10.2, PAN-OS 11.0 และ PAN-OS 11.1 ที่กำหนดค่าด้วยเกตเวย์ GlobalProtect หรือพอร์ทัล GlobalProtect (หรือทั้งสองอย่าง) ไม่จำเป็นต้องเปิดใช้งานการตรวจวัดระยะไกลของอุปกรณ์เพื่อให้ไฟร์วอลล์ PAN-OS เสี่ยงต่อการโจมตีที่เกี่ยวข้องกับช่องโหว่นี้

ทาง Palo Alto Networks ได้ออกแพตซ์เพื่อแก้ไขช่องโหว่ดังกล่าวด้วยเวอร์ชันที่มีช่องโหว่เพิ่มเติมนับตั้งแต่เผยแพร่คำแนะนำดั้งเดิมใน CVE-2024-3400

• PAN-OS 11.1 (before 11.1.2-h3)
• PAN-OS 11.0 (before 11.0.4-h1)
• PAN-OS 10.2 (before 10.2.7-h8, before 10.2.8-h3, before 10.2.9-h1)
• Additional versions have been added to the advisory since initial publication
  ให้อัปเดตเป็นเวอร์ชันเหล่านี้ เพื่อป้องกันการโจมตีจากช่องโหว่ดังกล่าว

ทั้งนี้ สำหรับผู้ใช้งานที่สมัครใช้งาน Threat Prevention สามารถบล็อกการโจมตีสำหรับช่องโหว่นี้ได้โดยใช้ Threat IDs 95187, 95189 และ 95191 สามารถตรวจสอบคำแนะนำนี้และการอัปเดตเนื้อหาการป้องกันภัยคุกคามใหม่เพื่อดูรหัสการป้องกันการโจมตี สำหรับข้อมูลเพิ่มเติม https://live.paloaltonetworks.com/t5/globalprotect-articles/applying-vulnerability-protection-to-globalprotect-interfaces/ta-p/340184

อ้างอิง
https://security.paloaltonetworks.com/CVE-2024-3400

สามารถติดตามข่าวสารได้ที่ webboard หรือ Facebook NCSA Thailand

สามารถติดตามข่าวสารได้ที่ webboard หรือ Facebook NCSA Thailand

สามารถติดตามข่าวสารได้ที่ webboard หรือ Facebook NCSA Thailand

สามารถติดตามข่าวสารได้ที่ webboard หรือ Facebook NCSA Thailand

สามารถติดตามข่าวสารได้ที่ webboard หรือ Facebook NCSA Thailand

• A new campaign conducted by the TA558 hacking group is concealing malicious code inside images using steganography to deliver various malware tools onto targeted systems. Steganography is the technique of hiding data inside seemingly innocuous files to make them undetectable by users and security products. TA558 is a threat actor that has been active since 2018, known for targeting hospitality and tourism organizations worldwide, focusing on Latin America. The group's latest campaign, dubbed "SteganoAmor" due to the extensive use of steganography, was uncovered by Positive Technologies. The researchers identified over 320 attacks in this campaign that affected various sectors and countries. The attacks begin with malicious emails containing seemingly innocuous document attachments (Excel and Word files) that exploit the CVE-2017-11882 flaw, a commonly targeted Microsoft Office Equation Editor vulnerability fixed in 2017. The emails are sent from compromised SMTP servers to minimize the chances of the messages getting blocked as they come from legitimate domains. If an old version of Microsoft Office is installed, the exploit will download a Visual Basic Script (VBS) from the legitimate 'paste upon opening the file. ee' service. This script is then executed to fetch an image file (JPG) containing a base-64 encoded payload. The final payloads and malicious scripts are often stored in legitimate cloud services like Google Drive, taking advantage of their good reputation to evade getting flagged by AV tools. Stolen information is sent to compromised legitimate FTP servers used as command and control (C2) infrastructure to make the traffic appear normal. Positive Technologies discovered over 320 attacks, most focused in Latin American countries, but the targeting scope extends worldwide. Using a seven-year bug in TA558's attack chain makes it fairly easy to defend against SteganoAmor, as updating Microsoft Office to a more recent version would render these attacks ineffective.

ที่มาแหล่งข่าว
https://www.bleepingcomputer.com/news/security/new-steganoamor-attacks-use-steganography-to-target-320-orgs-globally/

สามารถติดตามข่าวสารได้ที่ webboard หรือ Facebook NCSA Thailand