ผู้โจมตีที่อยู่เบื้องหลังแพลตฟอร์ม Darcula Phishing-as-a-Service (PhaaS) กำลังเตรียมเปิดตัวเวอร์ชันใหม่ที่ช่วยให้ผู้ใช้งานสามารถโคลนเว็บไซต์ที่ถูกต้องของแบรนด์ใดก็ได้ และสร้างเว็บไซต์ปลอมขึ้นมาเพื่อใช้ในการฟิชชิ่ง ซึ่งทำให้การโจมตีฟิชชิ่งง่ายขึ้น และไม่จำเป็นต้องมีความเชี่ยวชาญทางเทคนิคสูง (more…)

แอปพลิเคชันมัลแวร์บน Android ชื่อ SpyLend ถูกดาวน์โหลดไปแล้วกว่า 100,000 ครั้งจาก Google Play ซึ่งปลอมเป็นเครื่องมือทางการเงิน แต่แท้ที่จริงแล้วเป็นแอปพลิเคชันปล่อยเงินกู้ที่เอาเปรียบผู้ใช้งานในอินเดีย

แอปพลิเคชันนี้อยู่ในกลุ่มแอปพลิเคชันอันตรายบน Android ที่เรียกว่า "SpyLoan" ซึ่งปลอมตัวเป็นเครื่องมือทางการเงิน หรือบริการสินเชื่อที่ถูกต้อง แต่แท้จริงแล้วเป็นแอปพลิเคชันที่ขโมยข้อมูลจากอุปกรณ์เพื่อนำไปใช้ในการปล่อยเงินกู้ที่เอาเปรียบผู้ใช้งาน (more…)

การโจมตีด้วยแรนซัมแวร์ RA World เมื่อไม่นานมานี้ เป็นการใช้ชุดเครื่องมือที่เคยเกี่ยวข้องกับกลุ่มสายลับที่มาจากจีนในอดีต

ตามรายงานของ Symantec การโจมตีเกิดขึ้นในช่วงปลายปี 2024 ชุดเครื่องมือดังกล่าวประกอบด้วยไฟล์ executable ของ Toshiba ที่ถูกต้องชื่อ 'toshdpdb.

เมื่อปีที่แล้ว Zacks Investment Research (Zacks) รายงานว่าประสบเหตุการถูกละเมิดข้อมูลอีกครั้ง ซึ่งทำให้ข้อมูลบัญชีที่มีความสำคัญประมาณ 12 ลัานรายการถูกเปิดเผย

Zacks เป็นบริษัทวิจัยการลงทุนในสหรัฐอเมริกา ที่ให้ข้อมูลเชิงลึกแก่ลูกค้าด้วยเครื่องมือประเมินผลการดำเนินงานของหุ้นที่พัฒนาขึ้นเองชื่อ Zacks Rank เพื่อช่วยในการตัดสินใจทางการเงิน

ในช่วงปลายเดือนมกราคม ผู้ไม่หวังดีเปิดเผยตัวอย่างข้อมูลในฟอรัมแฮ็ก โดยอ้างว่ามีการละเมิดข้อมูลของ Zacks ในเดือนมิถุนายน 2024 ซึ่งได้เปิดเผยข้อมูลของลูกค้าหลายล้านราย

ข้อมูลที่ถูกเผยแพร่ซึ่งสมาชิกฟอรัมสามารถเข้าถึงได้ โดยการแลกกับจำนวนเงินสกุลเงินดิจิทัลเพียงเล็กน้อย ข้อมูลประกอบด้วยชื่อเต็ม, ชื่อผู้ใช้, ที่อยู่อีเมล, ที่อยู่จริง และหมายเลขโทรศัพท์

BleepingComputer ได้ติดต่อ Zacks หลายครั้งเพื่อสอบถามเกี่ยวกับความถูกต้องของข้อมูลดังกล่าว แต่ยังไม่ได้รับการตอบกลับ

อย่างไรก็ตาม ผู้ไม่หวังดีให้ข้อมูลกับ BleepingComputer ว่า พวกเขาเข้าถึง Active Directory ของบริษัทในฐานะผู้ดูแลระบบโดเมน จากนั้นได้ขโมยซอร์สโค้ดของเว็บไซต์หลัก (Zacks.

มีการสังเกตพบพฤติกรรมของแฮ็กเกอร์ในการพยายามโจมตีอุปกรณ์ที่ไม่ได้รับการดูแล และยังคงมีช่องโหว่ด้านความปลอดภัยเก่าในปี 2022 และ 2023

GreyNoise แพลตฟอร์มเฝ้าระวังภัยคุกคามรายงานว่า พบการโจมตีโดยใช้ช่องโหว่ CVE-2022-47945 และ CVE-2023-49103 เพิ่มมากขึ้น ซึ่งส่งผลกระทบต่อ ThinkPHP Framework และ ownCloud Solution โอเพ่นซอร์สสำหรับการแชร์ และซิงค์ไฟล์

ช่องโหว่ทั้งสองรายการมีความรุนแรงในระดับ Critical และสามารถถูกใช้เพื่อเรียกใช้คำสั่งบนระบบปฏิบัติการได้ หรือดึงข้อมูลสำคัญ เช่น รหัสผ่านผู้ดูแลระบบ, ข้อมูลเซิร์ฟเวอร์อีเมล และ license key

ช่องโหว่แรก เป็นช่องโหว่ local file inclusion (LFI) ซึ่งอยู่ในพารามิเตอร์ language ของ ThinkPHP Framework เวอร์ชันก่อน 6.0.14 โดยผู้โจมตีที่ไม่ต้องผ่านการยืนยันตัวตนสามารถโจมตีโดยใช้ช่องโหว่นี้เพื่อเรียกใช้คำสั่งระบบปฏิบัติการได้ หากมีการเปิดใช้งานฟีเจอร์ language pack

Akamai รายงานเมื่อช่วงฤดูร้อนปีที่แล้วว่า กลุ่มแฮ็กเกอร์จากจีนได้ใช้ช่องโหว่ดังกล่าวในการโจมตีแบบจำกัดเป้าหมายมาตั้งแต่เดือนตุลาคม 2023

ตามรายงานของ GreyNoise ช่องโหว่ CVE-2022-47945 กำลังถูกโจมตีในปริมาณสูงขึ้นมาก โดยมีการโจมตีมาจาก IP ต้นทางที่เพิ่มขึ้นอย่างต่อเนื่อง

โดยรายงานระบุว่า “GreyNoise ตรวจพบ IP ที่ไม่ซ้ำกัน จำนวน 572 IPs ที่พยายามโจมตีโดยใช้ช่องโหว่นี้ และมีจำนวนเพิ่มขึ้นอย่างเห็นได้ชัดในช่วงไม่กี่วันที่ผ่านมา”

ทั้งนี้ แม้ว่าจะมีคะแนนการประเมิน Exploit Prediction Scoring System (EPSS) ของช่องโหว่นี้จะอยู่ในระดับต่ำเพียง 7% และรายการช่องโหว่นี้ยังไม่ได้รวมอยู่ในแค็ตตาล็อกของ CISA (Known Exploited Vulnerabilities - KEV) แต่กลับพบว่ามีการโจมตีเกิดขึ้นในปริมาณสูงขึ้นอย่างต่อเนื่อง

ช่องโหว่ที่สองส่งผลกระทบต่อ ownCloud ซอฟต์แวร์แชร์ไฟล์แบบโอเพ่นซอร์สยอดนิยม ซึ่งเกิดจากการที่แอปฯ ต้องพึ่งพาไลบรารีของ third-party ที่ทำให้รายละเอียดของ PHP environment ถูกเปิดเผยได้ผ่าน URL

ไม่นานหลังจากที่นักพัฒนาเปิดเผยช่องโหว่นี้ครั้งแรกในเดือนพฤศจิกายน 2023 แฮ็กเกอร์ก็เริ่มโจมตีโดยใช้ช่องโหว่นี้เพื่อขโมยข้อมูลสำคัญจากระบบที่ยังไม่ได้รับการอัปเดต

หนึ่งปีต่อมา CVE-2023-49103 ถูกจัดอยู่ใน 15 ช่องโหว่ที่ถูกใช้โจมตีมากที่สุดในปี 2023 โดย FBI, CISA และ NSA

แม้จะผ่านไปกว่า 2 ปี นับตั้งแต่ที่ผู้พัฒนาออกแพตซ์อัปเดตเพื่อแก้ไขช่องโหว่นี้ แต่ระบบจำนวนมากยังคงไม่ได้รับการแพตช์ และยังเปิดช่องให้ถูกโจมตีได้

GreyNoise พบว่าการโจมตีที่ใช้ช่องโหว่ CVE-2023-49103 มีจำนวนเพิ่มขึ้นเมื่อเร็ว ๆ นี้ โดยมีกิจกรรมที่มาจาก 484 IP ต้นทางที่ไม่ซ้ำกัน

เพื่อป้องกันระบบจากการถูกโจมตี ผู้ใช้ควรอัปเกรด ThinkPHP เป็นเวอร์ชัน 6.0.14 ขึ้นไป และ อัปเดต ownCloud GraphAPI เป็นเวอร์ชัน 0.3.1 หรือใหม่กว่า

นอกจากนี้ แนะนำให้ปิดการใช้งานระบบที่อาจมีความเสี่ยงชั่วคราว หรือใช้งานหลังไฟร์วอลล์ เพื่อลดช่องทางการโจมตีจากแฮ็กเกอร์

ที่มา : bleepingcomputer.

Google ออกมาชี้แจงว่าแอป Android System SafetyCore ที่เพิ่งเปิดตัวใหม่นั้น ไม่ได้ทำการสแกนเนื้อหาใด ๆ บนอุปกรณ์ของผู้ใช้

โฆษกของ Google ชี้แจงกับ The Hacker News โดยระบุว่า "Android มีระบบป้องกันหลายอย่างบนอุปกรณ์ที่ช่วยปกป้องผู้ใช้จากภัยคุกคามต่าง ๆ เช่น มัลแวร์, สแปมข้อความ, การป้องกันการละเมิด และการป้องกันการหลอกลวงทางโทรศัพท์ โดยยังคงรักษาความเป็นส่วนตัวของผู้ใช้ และให้ผู้ใช้สามารถควบคุมข้อมูลของตนเองได้"

"SafetyCore เป็นบริการระบบใหม่ของ Google สำหรับอุปกรณ์ที่ใช้ Android 9 ขึ้นไป ที่ให้โครงสร้างพื้นฐานบนอุปกรณ์สำหรับการจำแนกประเภทเนื้อหาอย่างปลอดภัย และเป็นส่วนตัว เพื่อช่วยให้ผู้ใช้ตรวจจับเนื้อหาที่ไม่พึงประสงค์ ผู้ใช้สามารถควบคุม SafetyCore ได้ และ SafetyCore จะทำการจำแนกประเภทเนื้อหาเฉพาะเมื่อแอปร้องขอผ่านฟีเจอร์ที่เปิดใช้งานได้ตามความสมัครใจ"

SafetyCore (ชื่อแพ็กเกจ "com.

การพยายามบล็อก URL ฟิชชิ่งในแพลตฟอร์ม R2 object storage ของ Cloudflare เมื่อวานนี้ (6 กุมภาพันธ์ 2025) กลับเกิดข้อผิดพลาด ทำให้เกิดการหยุดการทำงานอย่างกว้างขวาง ซึ่งทำให้บริการหลาย ๆ รายการล่มไปเกือบหนึ่งชั่วโมง

Cloudflare R2 เป็นบริการจัดเก็บข้อมูลแบบอ็อบเจกต์ที่คล้ายกับ Amazon S3 ซึ่งออกแบบมาเพื่อการจัดเก็บข้อมูลที่สามารถขยายขนาดได้, มีความทนทาน และมีค่าใช้จ่ายต่ำ โดยนำเสนอการดึงข้อมูลฟรี ไม่มีค่าใช้จ่าย, ความ compatibility กับ S3, data replication ในหลายสถานที่ และการ integration กับบริการอื่น ๆ ของ Cloudflare

การหยุดการทำงานเกิดขึ้นเมื่อวานนี้ เมื่อเจ้าหน้าที่ของ Cloudflare ตอบสนองต่อรายงานการละเมิดเกี่ยวกับ URL ฟิชชิ่งในแพลตฟอร์ม R2 ของ Cloudflare อย่างไรก็ตาม แทนที่จะบล็อก specific endpoint เจ้าหน้าที่ของ Cloudflare กลับปิดบริการ R2 Gateway ทั้งหมดโดยไม่ตั้งใจ

Cloudflare อธิบายในรายงานหลังเหตุการณ์ "ในระหว่างการแก้ไขการละเมิดตามปกติ ได้มีการดำเนินการตามการร้องเรียนที่ทำให้บริการ R2 Gateway ถูกปิดโดยไม่ได้ตั้งใจ แทนที่จะปิดเฉพาะ specific ndpoint/bucket ที่เกี่ยวข้องกับรายงานนั้น"

“นี่เป็นความล้มเหลวของ system level controls และการฝึกอบรมผู้ปฏิบัติงาน"

เหตุการณ์นี้ใช้เวลานาน 59 นาที ระหว่างเวลา 08:10 ถึง 09:09 UTC และนอกจากการหยุดทำงานของ R2 Object Storage แล้ว ยังส่งผลกระทบต่อบริการอื่น ๆ เช่น

Stream – การอัปโหลดวิดีโอ และการส่งสตรีมมิ่ง ล้มเหลว 100%
Images – การอัปโหลด/ดาวน์โหลดภาพล้มเหลว 100%
Cache Reserve – การดำเนินการล้มเหลว 100% ทำให้มีการ request จากต้นทางเพิ่มขึ้น
Vectorize – ล้มเหลว 75% ในการ queries, ล้มเหลว 100% ในการ insert, upsert และ delete
Log Delivery – ความล่าช้า และการสูญหายของข้อมูล: การสูญหายของข้อมูลสูงสุด 13.6% สำหรับ Logs ที่เกี่ยวข้องกับ R2, การสูญหายของข้อมูลถึง 4.5% สำหรับ delivery jobs ที่ไม่ใช่ R2
Key Transparency Auditor – signature publishing และ read operations ล้มเหลว 100%

นอกจากนี้ยังมีบริการที่ได้รับผลกระทบทางอ้อม ซึ่งประสบปัญหากับการใช้งานบางส่วน เช่น Durable Objects ที่มีอัตราการเกิดข้อผิดพลาดเพิ่มขึ้น 0.09% เนื่องจากการเชื่อมต่อใหม่หลังการกู้คืน, Cache Purge ที่มีข้อผิดพลาดเพิ่มขึ้น 1.8% (HTTP 5xx) และการหน่วงเวลาเพิ่มขึ้น 10 เท่า, และ Workers & Pages ที่มีข้อผิดพลาดในการ deployment 0.002% ซึ่งส่งผลกระทบเฉพาะโปรเจกต์ที่มีการเชื่อมต่อกับ R2 เท่านั้น

Cloudflare ระบุว่าทั้ง human error และการขาดกลไกป้องกัน เช่น การตรวจสอบความถูกต้องสำหรับการดำเนินการที่ส่งผลกระทบร้ายแรง เป็นปัจจัยสำคัญที่ทำให้เกิดเหตุการณ์นี้

Cloudflare ได้ดำเนินการแก้ไขเบื้องต้นแล้ว เช่น การนำความสามารถในการปิดระบบออกจากอินเทอร์เฟซตรวจสอบการละเมิด และเพิ่มข้อจำกัดใน Admin API เพื่อป้องกันการปิดบริการโดยไม่ได้ตั้งใจ

มาตรการเพิ่มเติมที่จะนำมาใช้ในอนาคต ได้แก่ การปรับปรุงกระบวนการสร้างบัญชี, การควบคุมสิทธิ์การเข้าถึงที่เข้มงวดขึ้น และกระบวนการ two-party approval สำหรับการดำเนินการที่มีความเสี่ยงสูง

ในเดือนพฤศจิกายน 2024 Cloudflare ประสบกับเหตุการณ์หยุดทำงานครั้งสำคัญอีกครั้งเป็นเวลานาน 3.5 ชั่วโมง ส่งผลให้ Logs ในบริการสูญหายอย่างถาวรถึง 55%

เหตุการณ์ดังกล่าวเกิดจากความล้มเหลวต่อเนื่อง (cascading failures) ในระบบลดผลกระทบอัตโนมัติของ Cloudflare ซึ่งถูกทริกเกอร์โดยการตั้งค่าที่ไม่ถูกต้องไปยังส่วนประกอบสำคัญในระบบ Logging pipeline ของบริษัท

ที่มา : bleepingcomputer.

ผู้จำหน่ายซอฟต์แวร์ Trimble ได้ออกมาแจ้งเตือนการค้นพบ Hacker กำลังใช้ช่องโหว่ Deserialization บน Cityworks เพื่อโจมตี และเรียกใช้คำสั่งที่เป็นอันตรายจากระยะไกลผ่าน IIS servers รวมถึงติดตั้ง Cobalt Strike beacon เพื่อเข้าถึงระบบเครือข่ายของเป้าหมาย

Trimble Cityworks เป็นซอฟต์แวร์การจัดการสินทรัพย์ และการจัดการใบสั่งงานที่เน้นไปที่ระบบสารสนเทศภูมิศาสตร์ (GIS) ซึ่งได้รับการออกแบบมาโดยเฉพาะสำหรับรัฐบาลท้องถิ่น สาธารณูปโภค และองค์กรโยธาธิการ

โดยช่วยให้เทศบาล และหน่วยงานโครงสร้างพื้นฐานจัดการสินทรัพย์สาธารณะ ประมวลผลคำสั่งงาน จัดการการอนุญาต และใบอนุญาต การวางแผนด้านทุน และการจัดทำงบประมาณ รวมถึงงานในด้านอื่น ๆ อีกด้วย

CVE-2025-0994 (คะแนนCVSS 8.6 ความรุนแรงระดับ High) เป็นช่องโหว่ Deserialization ที่ทำให้ผู้ใช้งานที่ผ่านการยืนยันตัวตนสามารถเรียกใช้คำสั่งที่เป็นอันตรายจากระยะไกล (RCE) ผ่าน Microsoft Internet Information Services (IIS) ได้ โดยส่งผลกระทบต่อ Cityworks เวอร์ชันก่อน 15.8.9 และ Cityworks ที่มีเวอร์ชัน Office Companion ก่อน 23.10

Trimble ระบุว่า บริษัทได้ทำการตรวจสอบรายงานของลูกค้าเกี่ยวกับ Hacker ที่สามารถเข้าถึงเครือข่ายของลูกค้าได้โดยไม่ได้รับอนุญาตโดยใช้ช่องโหว่ดังกล่าว ซึ่งแสดงให้เห็นว่ากำลังมีการโจมตีโดยใช้ช่องโหว่ดังกล่าวอยู่

Trimble ได้ออกอัปเดตแพตซ์เพื่อแก้ไขช่องโหว่ในเวอร์ชันล่าสุด 15.8.9 และ 23.10 ซึ่งเปิดตัวเมื่อวันที่ 28 และ 29 มกราคม 2025 ตามลำดับ

การโจมตีโดยใช้ช่องโหว่ CVE-2025-0994 เพื่อเข้าสู่ระบบของเป้าหมาย

สำนักงานความปลอดภัยโครงสร้างพื้นฐาน และความปลอดภัยไซเบอร์ของสหรัฐอเมริกา (CISA) ได้ออกคำแนะนำแจ้งเตือนให้ผู้ใช้งานรักษาความปลอดภัยเครือข่ายจากช่องโหว่ดังกล่าวโดยด่วน

ผู้ดูแลระบบที่จัดการการระบบ on-premise จะต้องทำการอัปเดตด้านความปลอดภัยโดยเร็วที่สุด ในขณะที่อินสแตนซ์ที่โฮสต์บนคลาวด์ (CWOL) จะได้รับการอัปเดตโดยอัตโนมัติ

Trimble ระบุว่าได้ค้นพบว่าการจัดการระบบ on-premise บางส่วนอาจมีสิทธิ์ของ IIS identity permissions ที่มากเกินไป โดยได้เตือนว่าระบบเหล่านี้ไม่ควรทำงานภายใต้สิทธิ์ผู้ดูแลระบบในระดับ local หรือระดับ domain-level administrative privileges

นอกจากนี้ การใช้งานบางกรณียังมีการกำหนดค่า attachment directory ที่ไม่ถูกต้อง Trimble แนะนำให้จำกัด root folders ของ attachment ให้ประกอบไปด้วย attachment เท่านั้น

แม้ว่า CISA จะยังไม่ได้เปิดเผยถึงวิธีการโจมตีโดยใช้ช่องโหว่ดังกล่าว แต่ Trimble ได้เปิดเผย Indicators of Compromise (IOC) ที่พบว่าใช้ช่องโหว่ดังกล่าวในการโจมตีเป้าหมาย

IOC เหล่านี้แสดงให้เห็นว่า Hacker ได้ปรับใช้เครื่องมือต่าง ๆ สำหรับการเข้าถึงจากระยะไกล รวมถึง WinPutty และ Cobalt Strike beacons

รวมถึง Microsoft ยังเตือนอีกว่า Hacker กำลังมุ่งเป้าหมายการโจมตีไปยัง IIS Server เพื่อแพร่กระจายมัลแวร์ด้วย ViewState code injection โดยใช้ machine keys ของ ASP.NET ที่เปิดให้เข้าถึงได้จากอินเทอร์เน็ต

ที่มา : bleepingcomputer.