เครื่องมือของแฮ็กเกอร์ตัวใหม่ที่ชื่อว่า "Terminator" กำลังได้รับการโปรโมตโดยผู้ไม่หวังดีชื่อ 'Spyboy' บนฟอรัมแฮ็กเกอร์ของรัสเซีย โดยเครื่องมือนี้ถูกอ้างว่าสามารถปิดการทำงานของซอฟแวร์ป้องกันไวรัส, Endpoint Detection and Response (EDR) และ Extended Detection and Response (XDR) ได้ อย่างไรก็ตามบริษัทด้านความปลอดภัยทางไซเบอร์อย่าง CrowdStrike ได้ปฏิเสธคำกล่าวอ้างเหล่านี้ โดยระบุว่า Terminator เพียงใช้วิธีการโจมตีที่เรียกว่า Bring Your Own Vulnerable Driver (BYOVD) มาใช้เท่านั้น

รายละเอียดของ Terminator

ตามรายงาน Terminator มีความสามารถในการหลีกเลี่ยงการตรวจจับจากโซลูชันด้านความปลอดภัยได้ถึง 24 รายการ ซึ่งรวมถึงแอนตี้ไวรัส, EDR, XDR และ Windows Defender

Spyboy ซึ่งเป็นผู้ที่อยู่เบื้องหลัง Terminator ได้นำเสนอซอฟต์แวร์นี้ในราคาที่แตกต่างกันตามรูปแบบ เช่น 'single bypass' หรือแบบครอบคลุม 'all-in-one bypass'
Spyboy ระบุว่าการหลีกเลี่ยงการตรวจจับจาก EDR บางรายการ เช่น SentinelOne, Sophos, CrowdStrike, Carbon Black, Cortex และ Cylance ไม่สามารถขายแยกได้ นอกจากนี้ยังมีระบุว่าไม่รับผิดชอบต่อการกระทำใด ๆ ที่เกี่ยวข้องกับแรนซัมแวร์ หรือการเข้ารหัสอื่น ๆ

โดยรายงานจากวิศวกรของ CrowdStrike ใน Reddit ระบุว่า Terminator นั้นแค่ดรอปไฟล์ไดรเวอร์ที่ผ่านการตรวจสอบ และลงทะเบียนอย่างถูกต้องจาก Zemana anti-malware kernel driver ซึ่งไฟล์ไดรเวอร์จะชื่อ zamguard64.sys หรือ zam64.sys และเก็บไว้ในไดเรกทอรี C:\Windows\System32\ โดยใช้ชื่อที่สุ่มมาตั้งแต่ 4 ถึง 10 ตัวอักษร

เมื่อไดรเวอร์ที่เป็นมัลแวร์ถูกเขียนลงบนดิสก์แล้ว Terminator จะโหลดไดรเวอร์นั้นเพื่อใช้สิทธิ์ระดับเคอร์เนล เพื่อให้สามารถหยุดการทำงานของ processes ที่เกี่ยวข้องกับซอฟต์แวร์ AV และ EDR ที่ทำงานบนอุปกรณ์ที่ได้รับผลกระทบ
เพื่อใช้งาน Terminator ต้องมีสิทธิ์ผู้ดูแลระบบในระบบปฏิบัติการ Windows เป้าหมาย และต้องหลอกให้เหยื่อให้ยอมรับข้อความ User Account Controls (UAC) ที่ปรากฏขึ้นเมื่อมีการเรียกใช้เครื่องมือ
เทคนิคนี้คล้ายกับแคมเปญ BYOVD อื่น ๆ ที่พบเห็นก่อนหน้านี้

ปัจจุบันไดรเวอร์ที่มีช่องโหว่ที่ Terminator ใช้งานอยู่ ถูกระบุว่าเป็นอันตรายโดยเครื่องมือสแกนมัลแวร์เพียงรายเดียว ตามผลสแกนของ VirusTotal

อย่างไรก็ตาม Florian Roth หัวหน้าฝ่ายวิจัยที่ Nextron Systems และ Nasreddine Bencherchali นักวิจัยด้านความเสี่ยง ได้แชร์ YARA กับ Sigma rules ที่ช่วยให้ผู้ใช้งานสามารถตรวจจับไดรเวอร์ที่มีช่องโหว่ที่ถูกใช้งานโดยเครื่องมือ Terminator ได้แบบล่วงหน้า และลดความเสี่ยงจากไดรเวอร์ที่มีช่องโหว่ที่อยู่ในระบบได้

อ้างอิง : https://cyware.

University of Waterloo มหาวิทยาลัยในแคนาดา ออกมายืนยันในสัปดาห์ที่ผ่านมาว่ากำลังรับมือกับการโจมตีจากแรนซัมแวร์ที่เกิดขึ้นกับระบบอีเมลของมหาวิทยาลัย

เมื่อวันพุธที่ผ่านมา รองประธานมหาวิทยาลัย 'Jacinda Reitsma' ระบุว่า มหาวิทยาลัยได้หยุดการโจมตีจากแรนซัมแวร์ที่พยายามเข้าสู่ระบบในวันที่ 30 พฤษภาคม และกำลังดำเนินการเพื่อจำกัดผลกระทบจากการละเมิดข้อมูล โดยมหาวิทยาลัยดังกล่าวตั้งอยู่ในเวตเตอร์ลู รัฐออนแทริโอ มีนักศึกษากว่า 40,000 คน

Reitsma ระบุว่า บริการอีเมล Microsoft Exchange ในวิทยาเขตของโรงเรียนได้รับผลกระทบจากการโจมตีจากแรนซัมแวร์ โดยผู้ใช้บริการอีเมลที่ใช้บนระบบคลาวด์จะไม่ได้รับผลกระทบจากการโจมตีครั้งนี้

แต่เนื่องจากการโจมตีดังกล่าว ทางมหาวิทยาลัยต้องปิดการใช้งานระบบอีเมลชั่วคราว ส่งผลให้นักศึกษาไม่สามารถเข้าสู่ระบบ หรือสร้างบัญชีใหม่ได้ นักศึกษายังไม่สามารถเข้าสู่แพลตฟอร์มการศึกษาอื่น ๆ ด้วยข้อมูลประจำตัวทางอีเมลได้ เช่น Workday, Waterloo LEARN และอื่น ๆ

Reitsma ระบุเพิ่มเติมว่า "มหาวิทยาลัยทราบถึงการละเมิดความปลอดภัยที่เกี่ยวข้องกับบริการอีเมลภายในของเรา (Microsoft Exchange) ซึ่งปัจจุบันบริการนี้ถูกแยกออกจากบริการอื่น ๆ แล้ว และปัจจุบันบัญชี Microsoft Exchange ส่วนใหญ่ของมหาวิทยาลัยอยู่บนระบบคลาวด์ และไม่ได้รับผลกระทบ "

"ดังนั้นสำหรับบุคคลส่วนใหญ่ในมหาวิทยาลัย การเข้าถึงอีเมลจะไม่ได้รับผลกระทบ โดยมหาวิทยาลัยกำลังดำเนินการตรวจสอบผลกระทบจากการละเมิดความปลอดภัยนี้ อาจมีความจำเป็นที่จะต้องแยกบริการออกจากกัน ซึ่งทำให้บางระบบอาจไม่สามารถเข้าถึงได้ตลอดทั้งวัน"

เมื่อวันพฤหัสบดีที่ผ่านมา ทางมหาวิทยาลัยได้แถลงการณ์ว่า จะเริ่มการปิดระบบ และรีเซ็ตระบบทั้งหมดใหม่ในคืนวันพฤหัสบดีซึ่งจะใช้เวลาประมาณหกชั่วโมง

การเข้าถึงทรัพยากรออนไลน์ของห้องสมุดในมหาวิทยาลัย รวมถึง Omni และการจองหลักสูตรได้รับผลกระทบจากการหยุดทำงาน มหาวิทยาลัยได้อธิบายสถานการณ์ให้แก่นักศึกษา และคณาจารย์ทราบเกี่ยวกับเหตุการณ์ที่เกิดขึ้น

เมื่อวันศุกร์ที่ผ่านมา Reitsma ได้แถลงการณ์ว่า การรีเซ็ตเสร็จสมบูรณ์แล้ว แต่ได้แจ้งนักศึกษา และคณาจารย์จะต้องทำการเปลี่ยนรหัสผ่านก่อนวันที่ 8 มิถุนายน ผู้ที่ทำการเปลี่ยนรหัสผ่านไม่ทันจะถูกล็อคออกจากบัญชี และจำเป็นต้องได้รับความช่วยเหลือจากทีมไอทีของมหาวิทยาลัย

ยังไม่มีกลุ่มแรนซัมแวร์ใดออกมาอ้างความรับผิดชอบว่าเป็นผู้โจมตีในเหตุการณ์ครั้งนี้ โดยในปี 2023 ประเทศแคนาดาได้เผชิญกับการโจมตีจากแรนซัมแวร์หลายครั้งในสถาบันขนาดใหญ่

สำนักพิมพ์ Indigo ของแคนาดาที่มียอดขายหลายพันล้านดอลลาร์ก็พึ่งถูกกลุ่มแรนซัมแวร์ Lockbit โจมตีในเดือนกุมภาพันธ์ และพิพิธภัณฑ์แห่งชาติแคนาดาก็ถูกแรนซัมแวร์โจมตีเมื่อสามสัปดาห์ที่ผ่านมา

อ้างอิง : https://therecord.

นักวิจัยด้านความปลอดภัยทางไซเบอร์เปิดเผยการพบพฤติกรรมของ TrueBot เพิ่มขึ้นในเดือนพฤษภาคม 2023

Fae Carlisle นักวิจัยจาก VMware ระบุว่า "TrueBot เป็นโทรจันบอตเน็ต ที่ใช้ C2 Server เก็บรวบรวมข้อมูลที่เกี่ยวกับระบบที่ถูกโจมตี และใช้ระบบที่ถูกโจมตีนั้นเป็นจุดเริ่มต้นในการโจมตีครั้งถัดไป"

TrueBot ถูกพบครั้งแรกตั้งแต่ปี 2017 และมีความเกี่ยวข้องกับกลุ่ม Silence ซึ่งเชื่อว่ามีความเกี่ยวข้องกับกลุ่มอาชญากรทางไซเบอร์ชาวรัสเซียที่ชื่อ Evil Corp

การโจมตีของ TrueBot เมื่อเร็ว ๆ นี้ ได้ใช้ช่องโหว่ระดับ Critical ใน Netwrix Auditor (CVE-2022-31199, CVSS: 9.8) และ Raspberry Robin เป็นช่องทางในการแพร่กระจายมัลแวร์

การโจมตีที่ถูกพบโดย VMware เริ่มต้นด้วยการดาวน์โหลดไฟล์ปฏิบัติการชื่อ "update.

หนึ่งในผู้ให้บริการทางการเงินรายใหญ่ในสเปนแจ้งว่า กำลังรับมือกับการโจมตีจากแรนซัมแวร์ที่ส่งผลกระทบต่อสำนักงานหลายแห่ง

Globalcaja ที่ตั้งอยู่ในเมือง Albacete ในสเปน มีสำนักงานกว่า 300 แห่งทั่วประเทศ และให้บริการแก่ประชาชนกว่า 500,000 คน ด้วยบริการทางการเงินหลากหลายประเภท ธนาคารนี้จัดการกับสินเชื่อผู้บริโภคมากกว่า 1.6 พันล้านเหรียญสหรัฐ และมีพนักงานกว่า 1,000 คน

กลุ่มแรนซัมแวร์ Play ได้ประกาศในสัปดาห์นี้ว่าได้โจมตีธนาคาร และขโมยข้อมูลที่เป็นความลับที่เกี่ยวกับข้อมูลส่วนตัว และความลับของลูกค้า และเอกสารของพนักงาน เช่น หนังสือเดินทาง, สัญญา และอื่น ๆ ซึ่งจำนวนข้อมูลที่ถูกขโมยมายังไม่ถูกเปิดเผย

ธนาคารได้เผยแพร่แถลงการณ์เมื่อวันศุกร์ที่ผ่านมายืนยันว่า คอมพิวเตอร์ในสำนักงานท้องถิ่นหลายแห่งกำลังถูกโจมตีด้วยแรนซัมแวร์

"การโจมตีไม่ส่งผลกระทบต่อการทำธุรกรรมขององค์กร (รวมถึงบัญชี และข้อกำหนดของลูกค้า) สำนักงานต่าง ๆ กำลังดำเนินการตามปกติสำหรับธุรกรรมทางอิเล็กทรอนิกส์ และตู้เอทีเอ็ม" ธนาคารระบุในแถลงการณ์

"เมื่อตรวจพบการโจมตี Globalcaja ได้เปิดใช้งานโปรโตคอลด้านความปลอดภัยที่สร้างขึ้นเพื่อวัตถุประสงค์นี้ ซึ่งทำให้ธนาคารต้องปิดการทำงานของสำนักงานบางแห่ง และจำกัดการดำเนินการบางอย่างชั่วคราว และกำลังทำงานอย่างหนักเพื่อที่จะทำให้สถานะการณ์กลับสู่สถานะปกติ และกำลังวิเคราะห์สิ่งที่เกิดขึ้นโดยให้ความสำคัญกับความปลอดภัยเสมอ ขออภัยในความไม่สะดวกที่เกิดขึ้น"

บริษัทไม่ได้ตอบสนองต่อคำร้องให้แสดงความคิดเห็นเกี่ยวกับการจ่ายค่าไถ่

สถาบันการเงินในสเปนตกเป็นเป้าหมายของผู้ไม่หวังดีมานาน แต่ตั้งแต่ในปี 2023 ซึ่งสเปนกำลังเผชิญกับเหตุการณ์แรนซัมแวร์มากขึ้น โดยมีอีกหนึ่งการโจมตีที่ทำให้ระบบของโรงพยาบาลในบาร์เซโลนาหยุดการทำงาน และอีกเหตุการณ์หนึ่งกับบริษัทสวนสนุกในสเปน

กลุ่มแรนซัมแวร์ Play ปรากฏตัวครั้งแรกในเดือนกรกฎาคม 2022 โดยมุ่งเป้าไปที่หน่วยงานของรัฐในทวีปละตินอเมริกา ตามรายงานของ Trend Micro และเมื่อเร็ว ๆ นี้ กลุ่มดังกล่าวมีการโจมตีไปที่เมือง Oakland ซึ่งใช้เวลาหลายสัปดาห์ในการกู้คืนระบบจากเหตุการณ์ดังกล่าว

โดยกลุ่มนี้ยังได้โจมตีเมือง Lowell ในรัฐแมสซาซูเซตส์ รวมถึงบริษัทหลายแห่งในยุโรปอีกด้วย

อ้างอิง : https://therecord.

นักวิจัยจาก Mitiga ระบุว่า "Google Workspace หรือชื่อเดิม 'G Suite' มีจุดอ่อนจากการป้องกันไม่ให้บุคคลภายนอก หรือคนในที่เป็นอันตรายสามารถขโมยข้อมูลออกจาก Google Drive ได้"

Ariel Szarf และ Or Aspir จาก Mitiga อธิบายว่า "Google Workspace กำหนดให้การมองเห็นต่อข้อมูลบน Google Drive ของบริษัทโดยใช้ 'บันทึกการใช้งาน Drive' เพื่อติดตามการดำเนินการต่าง ๆ เช่น การลบ, การดาวน์โหลด, และการดูไฟล์ รวมถึงบันทึกเหตุการณ์ที่เกี่ยวข้องจากโดเมนภายนอกก็ได้รับการบันทึกไว้"

โดยค่าเริ่มต้นของผู้ใช้ Google Drive จะได้รับสิทธิ์ 'Cloud Identity Free' และจะได้รับการกำหนดสิทธิ์แบบเสียค่าใช้จ่าย เช่น Goolge Workspace Enterprise Plus จากผู้ดูแลระบบในองค์กร

นักวิจัยพบว่าเมื่อไม่ได้มีการกำหนดสิทธิ์ให้กับสิทธิ์แบบที่เสียค่าใช้จ่าย จะไม่มีบันทึกการกระทำในไดรฟ์ส่วนตัวของผู้ใช้ ซึ่งอาจทำให้องค์กรไม่ทราบถึงการดำเนินการ และการจัดการข้อมูล และการนำข้อมูลออกไปโดยผู้ใช้งาน หรือผู้โจมตีภายนอก

ตัวอย่างเช่น หากไม่ได้รับการกำหนดสิทธิ์แบบที่เสียค่าใช้จ่าย หรือสิทธิ์ถูกยกเลิกก่อนที่บัญชี Google จะถูกลบ พนักงานที่ออกจากบริษัทอาจใช้ช่องโหว่นี้เพื่อนำข้อมูลที่สำคัญออกไปโดยไม่ทิ้งหลักฐานใด ๆ

ผู้ใช้สามารถคัดลอกไฟล์ทั้งหมดจากไดรฟ์ที่ถูกแชร์ขององค์กรไปยังไดรฟ์ส่วนตัว และดาวน์โหลดไฟล์ ซึ่งการดาวน์โหลดจะไม่ได้รับการบันทึกไว้ และการคัดลอกจะได้รับการบันทึกเพียงบางส่วนเท่านั้น (จะบันทึกใน 'source_copy' แต่ไม่ได้บันทึกใน 'copy')

ผู้โจมตีภายนอกอาจดำเนินการด้วยวิธีเดียวกัน ถ้าหากสามารถโจมตีบัญชีของผู้ใช้งานที่ไม่มีสิทธิ์แบบที่เสียค่าใช้จ่าย หรือบัญชีของผู้ดูแลระบบ

นักวิจัยได้อธิบายว่า "ผู้ไม่หวังดีที่สามารถเข้าถึงบัญชีผู้ดูแลระบบได้ สามารถเพิกถอนสิทธิ์ของผู้ใช้งาน, ดาวน์โหลดไฟล์ส่วนตัวทั้งหมด และกำหนดสิทธิ์ใหม่ บันทึกการกระทำที่ถูกสร้างขึ้น ในกรณีนี้เป็นบันทึกเพียงเท่าที่เกี่ยวข้องกับการเพิกถอน และกำหนดสิทธิ์ (ภายใต้ 'กิจกรรมบันทึกของผู้ดูแลระบบ')"

การตรวจสอบการนำข้อมูลออกจาก Goolge Drive

คำแนะนำของนักวิจัยสำหรับองค์กรคือ ควรดำเนินการตรวจสอบความเสี่ยงใน Google Workspace เป็นประจำ และค้นหาเหตุการณ์การกำหนด และเพิกถอนสิทธิ์ที่น่าสงสัย และตรวจสอบบันทึก 'source_copy' เพื่อตรวจสอบการคัดลอกไฟล์ของบริษัทที่น่าสงสัย

อ้างอิง : https://www.

ช่องโหว่ในแอปพลิเคชันการถ่ายโอนไฟล์ที่จัดการโดย Progress Software ที่ชื่อ MOVEit Transfer ถูกนำไปใช้ประโยชน์อย่างแพร่หลายเพื่อโจมตีระบบที่มีช่องโหว่

โดยช่องโหว่มีหมายเลข CVE-2023-34362 ซึ่งเป็นช่องโหว่ SQL injection ที่สามารถยกระดับสิทธิ์ และเข้าถึงข้อมูลโดยไม่ได้รับอนุญาตได้

บริษัทระบุว่า "พบช่องโหว่ SQL injection ในเว็บแอปพลิเคชัน MOVEit Transfer ที่อาจทำให้ผู้โจมตีสามารถเข้าถึงฐานข้อมูลของ MOVEit Transfer ได้"

ขึ้นอยู่กับเครื่องมือฐานข้อมูลที่ใช้ (MySQL, Microsoft SQL Server หรือ Azure SQL) ผู้โจมตีอาจสามารถสืบค้นข้อมูลเกี่ยวกับโครงสร้าง และเนื้อหาของฐานข้อมูลได้นอกเหนือจากการรัน SQL statements ที่แก้ไข หรือลบ elements ของฐานข้อมูล

โดยบริษัทได้ออกแพตช์อัปเดตสำหรับช่องโหว่นี้ในเวอร์ชัน 2021.0.6 (13.0.6), 2021.1.4 (13.1.4), 2022.0.4 (14.0.4), 2022.1.5 (14.1.5) และ 2023.0.1 (15.0.1)

ช่องโหว่นี้ถูกรายงานครั้งแรกโดย Bleeping Computer ในวันที่ 31 พฤษภาคม 2023 จากการที่ Huntress และ Rapid7 ได้ระบุว่ามีอินสแตนซ์ของ MOVEit Transfer ประมาณ 2,500 ระบบที่สามารถเข้าถึงได้จากอินเทอร์เน็ต โดยอินสแตนซ์ส่วนใหญ่ตั้งอยู่ในประเทศสหรัฐอเมริกา

การโจมตีที่ประสบความสำเร็จ ทำให้สามารถติดตั้งเว็บเชลล์ (web shell) ซึ่งอาจเป็นไฟล์ชื่อ "human2.aspx" ที่สร้างขึ้นผ่านสคริปต์ ในไดเรกทอรี "wwwroot" หรือด้วยชื่อไฟล์อื่น ๆ โดยเว็บเชลล์นี้ถูกใช้เพื่อขโมยข้อมูลต่าง ๆ ที่อยู่บนบริการของ MOVEit ออกไป

การวิเคราะห์เชื่อมโยงกับการโจมตีพบว่าเว็บเชลล์ถูกออกแบบให้สามารถเพิ่มเซสชันบัญชีผู้ใช้แอดมินใหม่ชื่อ "Health Check Service" เพื่อหลีกเลี่ยงการตรวจจับที่อาจเกิดขึ้น

บริษัทด้านความปลอดภัย และความเสี่ยงทางเทคโนโลยีชื่อ 'GreyNoise' ระบุว่า "ได้สังเกตพบการพยายามสแกนหน้าเข้าสู่ระบบของ MOVEit Transfer ที่ path /human.

พบมัลแวร์บน Android ตัวใหม่ในชื่อ DogeRAT ที่มุ่งเป้าหมายไปที่องค์กรในหลายภาคอุตสาหกรรม รวมถึงสถาบันการเงิน, เกม และธุรกิจความบันเทิง นอกจากความสามารถในการเข้าถึงจากระยะไกลแล้ว มัลแวร์ยังสามารถทำหน้าที่เป็นคีย์ล็อกเกอร์ และสามารถคัดลอกเนื้อหาจากคลิปบอร์ดได้

ข้อมูลเกี่ยวกับแคมเปญการโจมตี

นักวิจัยจาก CloudSEK เปิดเผยว่าพบการแพร่ระบาดของแคมเปญ DogeRAT ที่มุ่งเป้าไปที่ผู้ใช้งาน Android ในประเทศอินเดีย และคาดว่ามัลแวร์อาจขยายการโจมตีออกไปทั่วโลกได้

ผู้โจมตีได้สร้างแอปพลิเคชันปลอมหลายพันรายการ โดยปลอมเป็นแอปพลิเคชัน และบริการยอดนิยม เช่น Netflix Premium, YouTube Premium, Instagram Pro, Opera Mini browser และ ChatGPT
แอปพลิเคชันที่เป็นอันตรายเหล่านี้ได้กระจายไปทั่วแพลตฟอร์มโซเชียลเน็ตเวิร์คต่าง ๆ
เมื่อติดตั้งแอปพลิเคชันปลอมเหล่านี้ แอปพลิเคชันจะขอสิทธิ์ที่ใช้ในการเข้าถึงข้อมูลที่สำคัญโดยไม่ได้รับอนุญาต รวมถึงข้อมูลสำคัญอื่น ๆ เช่น ข้อมูลการเข้าสู่ระบบธนาคาร, รายชื่อผู้ติดต่อ และข้อความ
นอกจากนี้ ยังช่วยให้ผู้โจมตีสามารถดำเนินการเพิ่มเติมต่าง ๆ ได้ เช่น ดำเนินการทำธุรกรรมธนาคารโดยไม่ได้รับอนุญาต, ส่งอีเมลสแปม และถ่ายรูปโดยใช้กล้องของอุปกรณ์

Boeing ถูกโปรโมตให้เป็น MaaS (Malware as a Service)

นักพัฒนาของ DogeRAT ถูกสงสัยว่ามาจากประเทศอินเดีย เนื่องจากมีการใช้งาน DogeRAT ที่เป็น RAT (Remote Access Trojan) โดยใช้ภาษา Java ซึ่งให้เป็นบริการ MaaS (Malware as a Service) ผ่านสองช่องทางใน Telegram

เวอร์ชันโอเพ่นซอร์สของมัลแวร์ถูกจัดเก็บไว้บนโฮสต์ GitHub ซึ่งมาพร้อมกับรายการความสามารถทั้งหมด และวิดีโอสอนการใช้งานคุณสมบัติต่าง ๆ
ผู้พัฒนากำลังโปรโมต DogeRAT เวอร์ชันพรีเมียมเพิ่มเติม ซึ่งเวอร์ชันนี้มีความต่อเนื่องมากขึ้น มีการเชื่อมต่อที่เสถียรมากกับเซิร์ฟเวอร์ C2 และมาพร้อมกับความสามารถเพิ่มเติม เช่น คีย์ล็อกเกอร์, การขโมยภาพจากแกลเลอรี่ และสามารถขโมยข้อมูลจากคลิปบอร์ดได้

ความสามารถที่หลากหลายของ DogeRAT เป็นตัวอย่างการพัฒนาการอย่างรวดเร็วของธุรกิจ MaaS ที่นักพัฒนามัลแวร์กำลังเน้นไปที่มัลแวร์ที่มีคุณสมบัติที่หลากหลาย

แนะนำให้องค์กรควรเตรียมกลยุทธ์ทางไซเบอร์ที่ครอบคลุม และปฏิบัติตามมาตรฐานการรักษาความปลอดภัยทางไซเบอร์

อ้างอิง : https://cyware.

บริษัทโตโยต้ามอเตอร์คอร์ปอเรชั่น พบบริการคลาวด์อีก 2 รายการ ที่มีการตั้งค่าไม่ถูกต้อง ซึ่งทำให้ข้อมูลส่วนบุคคลของเจ้าของรถยนต์รั่วไหลมานานกว่าเจ็ดปี

การค้นพบนี้เกิดขึ้นหลังจากที่ผู้ผลิตรถยนต์ญี่ปุ่นได้ดำเนินการสำรวจอย่างละเอียดในระบบคลาวด์ทั้งหมดที่ถูกจัดการโดยบริษัท TOYOTA Connected Corporation หลังจากค้นพบเซิร์ฟเวอร์ที่มีการตั้งค่าไม่ถูกต้อง ที่ทำให้มีการเปิดเผยข้อมูล location ของลูกค้ากว่า 2 ล้านคนเป็นเวลากว่า 10 ปี

Toyota ประกาศว่า "เราได้ดำเนินการตรวจสอบระบบคลาวด์ทั้งหมดที่ถูกจัดการโดยบริษัท TOYOTA Connected Corporation (TC) และพบว่าข้อมูลบางส่วนที่ประกอบไปด้วยข้อมูลลูกค้าสามารถเข้าถึงได้จากภายนอก"

การรั่วไหลของข้อมูลครั้งแรกบนบริการคลาวด์ ได้เปิดเผยข้อมูลส่วนบุคคลของลูกค้าโตโยต้าในเอเชีย และโอเชียเนีย ตั้งแต่เดือนตุลาคม 2016 ถึงพฤษภาคม 2023

ฐานข้อมูลที่ควรจะเข้าถึงได้เฉพาะผู้จัดจำหน่าย และผู้ให้บริการถูกเผยแพร่ออกสู่สาธารณะ ทำให้ข้อมูลของลูกค้ารั่วไหล โดยมีข้อมูลดังต่อไปนี้

ที่อยู่
ชื่อ
หมายเลขโทรศัพท์
ที่อยู่อีเมล
รหัสลูกค้า
หมายเลขทะเบียนรถยนต์
หมายเลขระบุตัวรถยนต์ (VIN)

ผู้ผลิตรถยนต์สัญชาติญี่ปุ่นไม่ได้ชี้แจ้งว่ามีลูกค้าจำนวนเท่าไรที่ได้รับผลกระทบจากการรั่วไหลนี้

การรั่วไหลของข้อมูลครั้งที่ 2 บนบริการคลาวด์ เกิดขึ้นระหว่างวันที่ 9 กุมภาพันธ์ 2015 ถึงวันที่ 12 พฤษาภม 2023 และมีข้อมูลที่มีความสำคัญเกี่ยวกับระบบนำทางของรถยนต์ เช่น ไอดีของอุปกรณ์ภายในรถยนต์ (navigation terminal), การอัปเดตข้อมูลของแผนที่ และวันที่สร้างข้อมูล(ไม่มีข้อมูลตำแหน่งของยานพาหนะ) ของลูกค้าประมาณ 260,000 รายในประเทศญี่ปุ่น

การรั่วไหลข้อมูลนี้ มีผลกระทบต่อลูกค้าที่สมัครสมาชิกในระบบนำทาง G-BOOK ด้วย G-BOOK mX หรือ G-BOOX mX Pro และลูกค้าบางรายที่สมัครสมาชิก G-Link/G-Link Lite และต่ออายุการใช้งานของแผนที่โดยใช้บริการ Toyota's on Demand ระหว่างวันที่ 9 กุมภาพันธ์ 2015 ถึงวันที่ 31 มีนาคม 2022 รถยนต์ที่ได้รับผลกระทบเป็นรุ่นของยี่ห้อย่อยของโตโยต้าชื่อ Lexus และรถยนต์รุ่น LS, GS, HS, IS, ISF, ISC, LFA, SC, CT, และ RX ที่ขายในช่วงปี 2009 ถึง 2015

โตโยต้าระบุว่า รายการข้อมูลจะถูกลบอัตโนมัติจากระบบคลาวด์หลังจากผ่านไประยะเวลาหนึ่ง ดังนั้นจึงมีข้อมูลที่ถูกเปิดเผยจำกัดในแต่ละช่วงเวลา

รายละเอียดของฐานข้อมูลที่เปิดเผยครั้งแรก (โตโยต้า)

โตโยต้าระบุว่า ถึงแม้ข้อมูลจะถูกเข้าถึงจากภายนอกได้ ก็ไม่เพียงพอที่จะสามารถสรุปรายละเอียดเกี่ยวกับตัวตนของลูกค้า หรือเข้าถึงระบบของรถยนต์ได้

โดยบริษัทได้ใช้ระบบที่ตรวจสอบการกำหนดค่าคลาวด์ และการตั้งค่าฐานข้อมูลทั้งหมดอย่างสม่ำเสมอเพื่อป้องกันการรั่วไหลเช่นนี้อีกในอนาคต

อ้างอิง : https://www.

ในวันพฤหัสบดีที่ผ่านมา (25 พ.ค. 2023) Splunk ประกาศการอัปเดตแพตซ์ด้านความปลอดภัยของ Splunk Enterprise เพื่อแก้ไขช่องโหว่ที่มีระดับความรุนแรงสูงหลายรายการ รวมถึงบางรายการที่มีผลกระทบต่อ third-party packages ที่ใช้ผลิตภัณฑ์นี้

ช่องโหว่ที่รุนแรงที่สุดคือ CVE-2023-32707 ซึ่งเป็นช่องโหว่การยกระดับสิทธิ์ ทำให้ผู้ใช้งานที่มีสิทธิ์ต่ำที่มีความสามารถ 'edit_user' ยกระดับสิทธิ์เป็นผู้ดูแลระบบผ่าน web request ที่ถูกสร้างขึ้นโดยเฉพาะ

Splunk อธิบายว่า "สาเหตุเกิดขึ้นเนื่องจากความสามารถ 'edit_user' ไม่เป็นไปตามการตั้งค่า 'grantableRoles' ในไฟล์ configuration authorize.

ผู้เชี่ยวชาญด้านความปลอดภัยได้พบแคมเปญ Magecart ใหม่ ซึ่งมีเป้าหมายในการขโมยข้อมูลส่วนบุคคลที่สำคัญ (PII) และข้อมูลบัตรเครดิตจากเว็บไซต์ e-commerce

โดยนักวิจัยจากบริษัท Akamai ระบุว่าพบเหยื่ออยู่ในประเทศต่าง ๆ ทั่วทวีปอเมริกาเหนือ, ละตินอเมริกา และยุโรป

แคมเปญการโจมตีใหม่นี้ มีลักษณะเฉพาะด้วยวิธีการที่ผู้ไม่หวังดีจะสร้าง C2 server บนเว็บไซต์ที่ดูเหมือนถูกต้องตามปกติ ด้วยการโจมตีโดยใช้ช่องโหว่ที่เป็นที่รู้จักอย่างแพร่หลายเป็นส่วนใหญ่เพื่อดำเนินการตามแคมเปญนี้

รายละเอียดการโจมตี

ในขั้นตอนแรกของการดำเนินการ ผู้ไม่หวังดีจะค้นหาเว็บไซต์ที่มีช่องโหว่ แล้วดำเนินการโจมตีเว็บไซต์เหล่านั้น และทำให้เว็บไซต์ที่ถูกโจมตีทำหน้าที่เป็น C2 server

ด้วยการใช้เว็บไซต์ที่มีชื่อเสียงเป็นเครื่องมือ ผู้ไม่หวังดีจะสามารถหลีกเลี่ยงการตรวจจับ และหลีกเลี่ยงการบล็อกการเชื่อมต่อได้ ซึ่งทำให้ไม่จำเป็นต้องสร้าง C2 server เป็นของตัวเอง
ต่อจากนั้น ผู้ไม่หวังดีจะดำเนินการแทรก JavaScript ลงในเว็บไซต์ e-commerce ที่เป็นเป้าหมาย ซึ่งในส่วนของ JavaScript จะทำหน้าที่ดึงโค้ดที่เป็นอันตรายจากเว็บไซต์ที่ถูกโจมตีก่อนหน้านี้

การเข้ารหัสเพื่อหลีกเลี่ยงการตรวจสอบ

เพื่อเพิ่มประสิทธิภาพในการโจมตี ผู้ไม่หวังดีได้ใช้การเข้ารหัสแบบ Base64 เพื่อซ่อนเครื่องมือในการคัดลอกข้อมูลบัตรเครดิต
เทคนิคการเข้ารหัสนี้ไม่เพียงแค่ซ่อนที่อยู่ URL ของโฮสต์ แต่ยังใช้โครงสร้างที่คล้ายกับบริการของ third-party ที่มีชื่อเสียง เช่น Google Tag Manager หรือ Facebook Pixel

สิ่งที่สำคัญของการโจมตี

แคมเปญนี้มุ่งเป้าไปที่องค์กรด้านการค้าเป็นหลัก และมีขอบเขตการโจมตีเป็นวงกว้าง บางองค์กรที่ตกเป็นเป้าหมายมีผู้เข้าใช้งานเว็บไซต์มากกว่าแสนคนต่อเดือน
เนื่องจากเหตุการณ์นี้ มีผลกระทบต่อบุคคลอย่างน้อยหลักพันคน และอาจมีผลกระทบต่อบุคคลจำนวนหมื่นคน หรืออาจเป็นจำนวนที่มากกว่านั้น ซึ่งอาจเสี่ยงต่อการถูกขโมยข้อมูลบัตรเครดิต และข้อมูลส่วนบุคคล
การโจมตีแบบ skimming ทำให้อันตรายอย่างมากต่อองค์กรที่เกี่ยวข้องกับการค้าทางดิจิทัล ผลกระทบอาจสร้างความเสียหายต่อชื่อเสี่ยง และผลเสียด้านอื่น ๆ

การโจมตีเพิ่มเติม

แคมเปญการโจมตี Magecart ที่มีชื่อเสียงจำนวนมาก ยังไม่ได้รับการตรวจพบเป็นระยะเวลาหลายเดือน หรือหลายปี
เพียงแค่ในปี 2022 ปีเดียวมีการโจมตีทั้งหมด 9,290 โดเมน และเป็นโดเมนที่เกี่ยวกับการค้าดิจิทัลที่ได้รับผลกระทบจากแคมเปญการโจมตี Magecart มีจำนวน 2,468 โดเมนที่ถูกโจมตีต่อเนื่องตลอดทั้งปี แสดงให้เห็นถึงอันตรายที่เกิดขึ้นกับองค์กรด้านการค้า

แคมเปญนี้ถือเป็นการแจ้งเตือนให้ระวังการโจมตีแบบ skimming ซึ่งผู้ไม่หวังดีจะปรับเปลี่ยนกลยุทธ์เพื่อซ่อนการดำเนินการ และทำให้การตรวจจับยากขึ้น ทำให้เครื่องมือวิเคราะห์ และตรวจจับแบบเดิมอาจไม่สามารถใช้งานกับการโจมตี web skimming ได้ เนื่องจากผู้ไม่หวังดีได้เปลี่ยนวิธีการตลอดเวลา และใช้เทคนิคที่ซับซ้อนขึ้นเรื่อย ๆ เพื่อหลีกเลี่ยงการวิเคราะห์แบบเดิม

อ้างอิง : https://cyware.