CISA กำลังแจ้งเตือนหน่วยงานรัฐบาลให้ทำการแพตช์แก้ไขระบบ Oracle Identity Manager ซึ่งมีหมายเลขช่องโหว่คือ CVE-2025-61757 โดยช่องโหว่ดังกล่าวถูกนำไปใช้ในการโจมตีจริงแล้ว และมีความเป็นไปได้ว่าอาจเป็นการโจมตีแบบ Zero-day

CVE-2025-61757 เป็นช่องโหว่ประเภท RCE แบบไม่ต้องยืนยันตัวตนใน Oracle Identity Manager ซึ่งถูกค้นพบ และเปิดเผยโดย Adam Kues และ Shubham Shahflaw นักวิเคราะห์จาก Searchlight Cyber

ช่องโหว่ดังกล่าวเกิดจากการ Authentication bypass ใน REST API ของ Oracle Identity Manager โดย Security filter สามารถถูกหลอกให้เข้าใจผิดว่า Endpoint ที่มีการป้องกันนั้นเป็นพื้นที่สาธารณะ เพียงแค่เติมพารามิเตอร์อย่าง ?WSDL หรือ ;.wadl ต่อท้าย URL paths

เมื่อสามารถเข้าถึงได้โดยไม่ต้องยืนยันตัวตนแล้ว ผู้โจมตีจะสามารถเข้าถึง Groovy script ซึ่งเป็น Endpoint สำหรับการ compilation ที่ตามปกติจะไม่ได้สั่ง execute script แต่ช่องทางนี้กลับสามารถถูกใช้เพื่อเรียกใช้โค้ดที่เป็นอันตรายในช่วง Compile time ได้ ผ่านทางฟีเจอร์การประมวลผล Annotation ของ Groovy

การเชื่อมโยงช่องโหว่เหล่านี้เข้าด้วยกัน ทำให้นักวิจัยสามารถเรียกใช้โค้ดจากระยะไกลได้โดยไม่ต้องผ่านการยืนยันตัวตนบนระบบ Oracle Identity Manager ที่ได้รับผลกระทบได้สำเร็จ

ช่องโหว่ดังกล่าวได้รับการแก้ไขแล้ว โดยเป็นส่วนหนึ่งของการอัปเดตความปลอดภัยประจำเดือนตุลาคม 2025 ของ Oracle ที่ปล่อยออกมาเมื่อวันที่ 21 ตุลาคมที่ผ่านมา

วันที่ 20 พฤศจิกายนที่ผ่านมา Searchlight Cyber ได้เผยแพร่รายงานเชิงเทคนิคที่ลงรายละเอียดเกี่ยวกับช่องโหว่ดังกล่าว พร้อมทั้งให้ข้อมูลทั้งหมดที่จำเป็นสำหรับการใช้ช่องโหว่นี้ในการโจมตี

นักวิจัย ระบุว่า "เมื่อพิจารณาถึงความซับซ้อนของช่องโหว่ Oracle Access Manager บางรายการก่อนหน้านี้ ช่องโหว่ตัวนี้ถือว่าค่อนข้างไม่ซับซ้อน และง่ายต่อการถูกผู้ไม่หวังดีนำไปใช้ในการโจมตี"

CVE-2025-61757 ถูกนำไปใช้ในการโจมตีจริง

วันที่ 21 พฤศจิกายนที่ผ่านมา ทาง CISA ได้เพิ่มช่องโหว่ CVE-2025-61757 ของ Oracle เข้าสู่บัญชีรายชื่อช่องโหว่ที่กำลังถูกใช้ในการโจมตีจริง (KEV catalog) และได้กำหนดเส้นตายให้หน่วยงานฝ่ายบริหารของรัฐบาลกลาง (FCEB) ดำเนินการอัปเดตแพตช์แก้ไขช่องโหว่ดังกล่าวให้แล้วเสร็จภายในวันที่ 12 ธันวาคม ตามข้อบังคับในคำสั่งการดำเนินงานที่มีผลผูกพัน (BOD) 22-01

CISA ระบุว่า "ช่องโหว่ประเภทนี้ถือเป็นช่องทางการโจมตีที่พบได้บ่อยสำหรับผู้ไม่หวังดีทางไซเบอร์ และก่อให้เกิดความเสี่ยงอย่างมีนัยสำคัญต่อหน่วยงานของรัฐบาลกลาง"

แม้ว่าทาง CISA จะยังไม่ได้เปิดเผยรายละเอียดว่าช่องโหว่ดังกล่าวถูกนำไปใช้ในการโจมตีอย่างไร แต่ Johannes Ullrich คณบดีฝ่ายวิจัยของสถาบัน SANS Technology Institute ได้ออกมาเตือนเมื่อวันที่ 20 พฤศจิกายนว่า ช่องโหว่ดังกล่าวอาจถูกนำไปใช้โจมตีในรูปแบบ Zero-day มาตั้งแต่วันที่ 30 สิงหาคมแล้ว

Ullrich อธิบายไว้ในบันทึก ISC Handler Diary ระบุว่า "URL นี้ถูกเข้าถึงหลายครั้งในช่วงระหว่างวันที่ 30 สิงหาคม ถึง 9 กันยายนของปีนี้ ซึ่งเป็นเวลานานก่อนที่ Oracle จะออกแพตช์แก้ไขช่องโหว่ดังกล่าว"

"มี IP Address ที่แตกต่างกันจำนวนมากที่ทำการสแกนหาช่องโหว่ดังกล่าว แต่ทั้งหมดกลับใช้ User Agent ตัวเดียวกัน ซึ่งแสดงให้เห็นว่าเราอาจกำลังรับมือกับผู้โจมตีเพียงรายเดียว"

จากข้อมูลของ Ullrich ผู้ไม่หวังดีได้ส่งคำสั่ง HTTP POST request ไปยัง Endpoint ต่าง ๆ ดังต่อไปนี้ ซึ่งตรงกับรูปแบบการโจมตีระบบที่ทาง Searchlight Cyber ได้แชร์ข้อมูลเอาไว้

นักวิจัยระบุว่า ความพยายามในการโจมตีมาจาก IP Address ที่แตกต่างกันจำนวน 3 IP ได้แก่ 89.238.132[.]76, 185.245.82[.]81 และ 138.199.29[.]153 แต่ทั้งหมดกลับใช้ User Agent ของเบราว์เซอร์ตัวเดียวกัน ซึ่งตรงกับ Google Chrome 60 บนระบบปฏิบัติการ Windows 10

ที่มา : bleepingcomputer

CrowdStrike บริษัทด้านความปลอดภัยทางไซเบอร์สัญชาติอเมริกัน ออกมายืนยันว่ามีบุคลากรภายในองค์กรทำการส่งภาพหน้าจอ (Screenshots) ของระบบภายในให้กับแฮ็กเกอร์ โดยเรื่องนี้ถูกเปิดเผยหลังจากที่ภาพเหล่านั้นถูกนำไปเผยแพร่บน Telegram จากกลุ่มผู้ไม่หวังดีที่ใช้ชื่อว่า Scattered Lapsus$ Hunters

อย่างไรก็ตาม ทาง CrowdStrike ระบุว่า ระบบของบริษัทไม่ได้ถูกโจมตีจากเหตุการณ์ในครั้งนี้ และข้อมูลของลูกค้าก็ไม่ได้รับความเสียหาย หรือรั่วไหลแต่อย่างใด

โฆษกของ CrowdStrike ได้ให้ข้อมูลกับสำนักข่าว โดยระบุว่า "บริษัทได้ตรวจพบ และเลิกจ้างบุคลากรภายในที่มีพฤติกรรมน่าสงสัยไปเมื่อเดือนที่ผ่านมา ภายหลังจากการสอบสวนภายในพบว่าบุคคลดังกล่าวได้ทำการส่งภาพหน้าจอคอมพิวเตอร์ของตนออกไปสู่ภายนอก"

"ระบบของบริษัทไม่ได้ถูกโจมตี และลูกค้ายังคงได้รับการปกป้องตลอดเวลาที่ผ่านมา ขณะนี้บริษัทได้ส่งเรื่องดังกล่าวให้กับหน่วยงานบังคับใช้กฎหมายที่เกี่ยวข้องดำเนินการต่อแล้ว"

ทาง CrowdStrike ไม่ได้ระบุเจาะจงถึงกลุ่มผู้ไม่หวังดีที่อยู่เบื้องหลังเหตุการณ์ดังกล่าว หรือแรงจูงใจของพนักงานผู้ประสงค์ร้ายที่ทำการแชร์ภาพหน้าจอเหล่านั้น

อย่างไรก็ตาม การให้ข้อมูลในครั้งนี้เป็นการตอบกลับข้อซักถามจาก BleepingComputer เกี่ยวกับภาพหน้าจอระบบของ CrowdStrike ที่เพิ่งถูกโพสต์บน Telegram โดยสมาชิกของกลุ่มผู้ไม่หวังดี ได้แก่ ShinyHunters, Scattered Spider และ Lapsus$

ShinyHunters ได้เปิดเผยกับ BleepingComputer ในวันที่ 21 พฤศจิกายนที่ผ่านมาโดยระบุว่า พวกเขาอ้างว่าได้ตกลงที่จะจ่ายเงินจำนวน 25,000 ดอลลาร์สหรัฐฯ ให้กับบุคลากรภายในรายดังกล่าว เพื่อแลกกับการได้รับสิทธิ์เข้าถึงเครือข่ายของ CrowdStrike

กลุ่มผู้ไม่หวังดีกลุ่มนี้ยังอ้างอีกว่า ในท้ายที่สุดพวกเขาได้รับ SSO authentication cookies มาจากคนใน แต่ทว่าในขณะนั้น ทาง CrowdStrike ได้ตรวจพบพฤติกรรมของบุคคลที่น่าสงสัยรายนี้แล้ว และได้ทำการ ระงับสิทธิ์การเข้าถึงเครือข่าย ไปเป็นที่เรียบร้อยแล้ว

นอกจากนี้ กลุ่มแฮ็กเกอร์ดังกล่าวยังระบุเพิ่มเติมว่า พวกเขาพยายามที่จะขอซื้อรายงานวิเคราะห์ของ CrowdStrike ที่เกี่ยวกับกลุ่ม ShinyHunters และ Scattered Spider ด้วย แต่ไม่ได้รับข้อมูลในส่วนนั้นมา

ทาง BleepingComputer ได้ติดต่อไปยัง CrowdStrike อีกครั้งเพื่อขอคำยืนยันว่าข้อมูลที่กลุ่มแฮ็กเกอร์กล่าวอ้างนั้นถูกต้องหรือไม่ และจะทำการอัปเดตเนื้อหาข่าวทันทีหากได้รับข้อมูลเพิ่มเติม

กลุ่มแฮ็กเกอร์ "Scattered Lapsus$ Hunters"

กลุ่มแฮ็กเกอร์นี้ ซึ่งปัจจุบันเรียกตัวเองรวมกันว่า "Scattered Lapsus$ Hunters" ก่อนหน้านี้เคยเปิดเว็บไซต์สำหรับปล่อยข้อมูลที่ได้จากการขโมยมา เพื่อใช้ข่มขู่เรียกค่าไถ่จากบริษัทหลายสิบแห่งที่ได้รับผลกระทบจากเหตุการณ์โจมตีระบบ Salesforce ครั้งใหญ่

กลุ่ม Scattered Lapsus$ Hunters ได้มุ่งเป้าโจมตีลูกค้าของ Salesforce ด้วยวิธีการ หลอกลวงทางโทรศัพท์ (Voice Phishing) มาตั้งแต่ต้นปี โดยสามารถโจมตีระบบของบริษัทชั้นนำได้มากมาย อย่างเช่น Google, Cisco, Allianz Life, Farmers Insurance, Qantas, Adidas, Workday รวมถึงบริษัทในเครือ LVMH อาทิ Dior, Louis Vuitton และ Tiffany & Co.

บริษัทที่กลุ่มดังกล่าวพยายามทำการข่มขู่เรียกค่าไถ่ประกอบไปด้วยแบรนด์ และองค์กรที่มีชื่อเสียงระดับโลก ได้แก่ Google, Cisco, Toyota, Instacart, Cartier, Adidas, Saks Fifth Avenue, Air France & KLM, FedEx, Disney/Hulu, Home Depot, Marriott, Gap, McDonald's, Walgreens, Transunion, HBO MAX, UPS, Chanel และ IKEA

นอกจากนี้ กลุ่ม Scattered Lapsus$ Hunters ยังออกมาอ้างความรับผิดชอบต่อเหตุการณ์โจมตีระบบของ Jaguar Land Rover (JLR) โดยได้ทำการขโมยข้อมูลที่มีความสำคัญ และส่งผลกระทบต่อการดำเนินงานอย่างรุนแรง ซึ่งก่อให้เกิดความเสียหายมูลค่ากว่า 196 ล้านปอนด์ (ราว 220 ล้านดอลลาร์สหรัฐฯ) ในไตรมาสที่ผ่านมา

ตามที่ BleepingComputer ได้รายงานไปเมื่อสัปดาห์นี้ กลุ่มผู้ไม่หวังดีอย่าง ShinyHunters และ Scattered Spider กำลังเปลี่ยนไปใช้งานแพลตฟอร์ม Ransomware-as-a-service ตัวใหม่ที่ชื่อว่า "ShinySp1d3r" หลังจากที่ก่อนหน้านี้เคยอาศัยโปรแกรมเข้ารหัสไฟล์ของกลุ่ม Ransomware อื่น ๆ ในการโจมตี เช่น ALPHV/BlackCat, RansomHub, Qilin และ DragonForce

เมื่อวันพฤหัสบดีที่ผ่านมา ShinyHunters ยังได้ออกมาอ้างถึงการโจมตีเพื่อขโมยข้อมูลครั้งใหม่ ซึ่งส่งผลกระทบต่อระบบ Salesforce ของบริษัทต่าง ๆ กว่า 280 แห่ง โดยในข้อความบน Telegram วันที่ 21 พฤศจิกายนที่ผ่านมา พวกเขาระบุว่ารายชื่อบริษัทที่ถูกโจมตีระบบนั้นรวมถึงองค์กรที่มีชื่อเสียงหลายแห่ง เช่น LinkedIn, GitLab, Atlassian, Thomson Reuters, Verizon, F5, SonicWall, DocuSign และ Malwarebytes

กลุ่มผู้ไม่หวังดียังได้เปิดเผยกับ BleepingComputer เมื่อวันที่ 20 พฤศจิกายนที่ผ่านมาว่า พวกเขาเข้าถึงระบบ Salesforce ได้หลังจากที่โจมตีระบบของ Gainsight สำเร็จ โดยอาศัยข้อมูลสำคัญที่ได้ขโมยมาจากเหตุการณ์ข้อมูลรั่วไหลของ Salesloft

ที่มา : bleepingcomputer

มีการพบการโจมตีแบบ ClickFix หลายรูปแบบ โดย Hacker จะหลอกผู้ใช้ด้วยภาพเคลื่อนไหวของ Windows Update ที่ดูเหมือนจริงในหน้าเบราว์เซอร์แบบ full-screen และซ่อนคำสั่งอันตรายไว้ในรูปภาพ

ClickFix เป็นการโจมตีแบบ Social-Engineering ที่ผู้ใช้ถูกหลอกให้วาง และรันโค้ด หรือคำสั่งใน Command Prompt ของ Windows ซึ่งนำไปสู่การเรียกใช้มัลแวร์บนระบบ

การโจมตีแบบ ClickFix ได้รับความนิยมอย่างแพร่หลายในกลุ่ม Hacker ในทุกระดับ เนื่องจากมีประสิทธิภาพสูง และได้รับการพัฒนาอย่างต่อเนื่อง โดยมีวิธีการที่มีการพัฒนา และซับซ้อนในการหลอกลวงมากขึ้นเรื่อย ๆ

Fullscreen Browser Page

ตั้งแต่วันที่ 1 ตุลาคม 2025 นักวิจัยได้พบการโจมตีแบบ ClickFix ที่แสดงการแจ้งเตือนปลอมเป็นการติดตั้งการอัปเดตความปลอดภัยบน Windows ให้เสร็จสมบูรณ์ และหน้าแจ้งเตือน "human verification" ซึ่งมักพบได้บ่อย

หน้าอัปเดตปลอมจะสั่งให้เหยื่อกดปุ่มเฉพาะตามลำดับที่กำหนด ซึ่งจะวาง และรันคำสั่งจาก Hacker ที่คัดลอกไปยัง clipboard โดยอัตโนมัติผ่าน JavaScript ที่ทำงานบนเว็บไซต์

รายงานจาก Huntress ผู้ให้บริการด้านความปลอดภัยระบุว่า ClickFix เวอร์ชันใหม่นี้ ได้ฝังโปรแกรมอันตราย ได้แก่ LummaC2 และ Rhadamanthys info stealers

การโจมตีมีหลายรูปแบบ เช่น การใช้ใบหน้ายืนยันตัวตน ในขณะที่อีกรูปแบบหนึ่งใช้หน้าจอ Windows Update ปลอม

อย่างไรก็ตาม การโจมตีทั้งสองกรณี Hacker ใช้การซ่อนข้อมูล (steganography) เพื่อเข้ารหัสเพย์โหลดมัลแวร์ในขั้นตอนสุดท้ายภายในรูปภาพ

นักวิจัยของ Huntress อธิบายว่า "แทนที่จะผนวกข้อมูลที่เป็นอันตรายลงในไฟล์เพียงอย่างเดียว โค้ดที่เป็นอันตรายจะถูกเข้ารหัสโดยตรงภายในข้อมูลพิกเซลของรูปภาพ PNG โดยอาศัยช่องสีเฉพาะเพื่อสร้าง และถอดรหัสเพย์โหลดในหน่วยความจำ"

การติดตั้งเพย์โหลดสุดท้ายเริ่มต้นด้วยการใช้ไบนารี mshta ของ Windows เพื่อรันโค้ด JavaScript ที่เป็นอันตราย

กระบวนการทั้งหมดประกอบด้วยหลายขั้นตอนที่ใช้โค้ด PowerShell และ .NET assembly (the Stego Loader) ซึ่งรับผิดชอบในการสร้างเพย์โหลดสุดท้ายที่ฝังอยู่ในไฟล์ PNG ในสถานะเข้ารหัส

โดยภายใน manifest resources ของ Stego Loader มี blob ที่เข้ารหัส AES ซึ่งจริง ๆ แล้วเป็นไฟล์ steganographic PNG file ซึ่งประกอบด้วย shellcode ที่ถูกสร้างขึ้นใหม่โดยใช้โค้ด C# ที่สร้างขึ้นมาเอง

นักวิจัยของ Huntress พบว่า Hacker ใช้วิธีการหลบเลี่ยงการตรวจจับแบบไดนามิก ซึ่งมักเรียกว่า ctrampoline โดยเมื่อ entry point function ใช้งาน จะเริ่มเรียกใช้ empty functions 10,000 ฟังก์ชัน

shellcode ที่เก็บตัวอย่าง infostealer จะถูกแยกออกมาจากรูปภาพที่เข้ารหัส และถูกแพ็กโดยใช้เครื่องมือ Donut ซึ่งช่วยให้สามารถรันไฟล์ VBScript, JScript, EXE, DLL และแอสเซมบลี .NET ในหน่วยความจำได้

หลังจากแกะแพ็กเกจดังกล่าวแล้ว นักวิจัยของ Huntress สามารถดึงมัลแวร์ออกมาได้ ซึ่งก็คือ LummaC2 และ Rhadamanthys

นักวิจัยพบมัลแวร์ Rhadamanthys ที่ใช้ Windows Update ในการโจมตีครั้งแรกในเดือนตุลาคม 2025 ก่อนที่จะถูกปฏิบัติการ Operation Endgame ตรวจจับ และโดนทำลายโครงสร้างพื้นฐานบางส่วนในวันที่ 13 พฤศจิกายน 2025

Huntress การดำเนินการบังคับใช้กฎหมายส่งผลให้ข้อมูลไม่ได้ถูกส่งไปที่โดเมน Windows Update ปลอมอีกต่อไป ซึ่งยังคงใช้งานได้อยู่

เพื่อความปลอดภัยจากการโจมตี ClickFix ประเภทนี้ นักวิจัยแนะนำให้ปิดการใช้งาน Windows Run box และตรวจหา Process ที่น่าสงสัย เช่น explorer.

กลุ่มแฮ็กเกอร์ APT24 ซึ่งมีความเชื่อมโยงกับรัฐบาลจีน ได้ใช้มัลแวร์ชนิดใหม่ที่ไม่เคยถูกตรวจพบมาก่อนในชื่อ "BadAudio" ในการขโมยข้อมูลที่ดำเนินต่อเนื่องมานานกว่า 3 ปี โดยเมื่อเร็ว ๆ นี้ กลุ่มดังกล่าวได้เปลี่ยนรูปแบบการโจมตีให้มีความซับซ้อน และแนบเนียนยิ่งขึ้น

นับตั้งแต่ปี 2022 เป็นต้นมา มัลแวร์ดังกล่าวถูกแพร่กระจายไปยังเหยื่อผ่านหลากหลายวิธี ได้แก่ Spearphishing, Supply-chain compromise และ Watering hole attacks

วิวัฒนาการของการโจมตี

ตั้งแต่เดือนพฤศจิกายน 2022 จนถึงอย่างน้อยเดือนกันยายน 2025 กลุ่ม APT24 ได้เข้าโจมตีระบบเว็บไซต์มากกว่า 20 แห่งจากหลากหลายโดเมน เพื่อฝังโค้ด JavaScript ที่เป็นอันตราย โดยมีวัตถุประสงค์เพื่อคัดกรองเฉพาะผู้เข้าชมที่กลุ่มแฮ็กเกอร์สนใจ และมุ่งเป้าไปที่ผู้ใช้งานระบบปฏิบัติการ Windows เพียงอย่างเดียว

นักวิจัยจาก Google Threat Intelligence Group (GTIG) ระบุว่า Script ดังกล่าวจะทำการเก็บข้อมูล Fingerprint ของผู้เข้าชมที่เข้าข่ายเป็นเป้าหมาย จากนั้นจะแสดงหน้าต่าง pop-up แจ้งเตือนให้อัปเดตซอฟต์แวร์ปลอม เพื่อหลอกล่อให้เหยื่อดาวน์โหลดมัลแวร์ BadAudio

นอกจากนี้ เริ่มตั้งแต่เดือนกรกฎาคม 2024 ทางกลุ่ม APT24 ยังได้โจมตีระบบของบริษัทการตลาดดิจิทัลแห่งหนึ่งในไต้หวันซ้ำหลายครั้ง ซึ่งบริษัทนี้เป็นผู้ให้บริการไลบรารี JavaScript แก่เว็บไซต์ลูกค้าต่าง ๆ (ถือเป็นการโจมตีแบบ Supply Chain)

ด้วยกลยุทธ์ดังกล่าว ผู้โจมตีได้ฝังโค้ด JavaScript ที่เป็นอันตรายลงในไลบรารีที่มีผู้ใช้งานจำนวนมากซึ่งบริษัทดังกล่าวเป็นผู้แจกจ่าย อีกทั้งยังจดทะเบียนชื่อโดเมนเพื่อแอบอ้างว่าเป็น Content Delivery Network (CDN) ที่ถูกต้องตามกฎหมาย ซึ่งการกระทำดังกล่าวทำให้ผู้โจมตีสามารถโจมตีระบบโดเมนต่าง ๆ ได้มากกว่า 1,000 โดเมน

ในช่วงปลายปี 2024 ถึงเดือนกรกฎาคม 2025 กลุ่ม APT24 ได้เข้าโจมตีระบบของบริษัทการตลาดรายเดิมซ้ำ ๆ หลายครั้ง โดยการฝังโค้ด JavaScript ที่ถูกซ่อนลงในไฟล์ JSON ที่ถูกดัดแปลง ซึ่งไฟล์ดังกล่าวจะถูกเรียกใช้งานโดยไฟล์ JavaScript อีกไฟล์หนึ่งของผู้ให้บริการรายเดียวกัน

เมื่อโค้ดดังกล่าวถูกเรียกใช้ มันจะทำการเก็บข้อมูล Fingerprint ของผู้เข้าชมเว็บไซต์แต่ละราย และส่งรายงานที่เข้ารหัสแบบ Base64 กลับไปยังเซิร์ฟเวอร์ของผู้โจมตี ข้อมูลนี้ช่วยให้ผู้โจมตีสามารถตัดสินใจได้ว่าจะส่ง URL สำหรับการโจมตีในขั้นตอนถัดไปกลับไปหาเหยื่อรายนั้นหรือไม่

ในขณะเดียวกัน ตั้งแต่เดือนสิงหาคม 2024 กลุ่ม APT24 ได้ใช้การโจมตีแบบ Spearphishing ควบคู่ไปด้วย โดยแพร่กระจายมัลแวร์ BadAudio ผ่านการใช้กลยุทธ์ที่แอบอ้างว่าเป็นอีเมลจากองค์กรช่วยเหลือสัตว์

ในบางรูปแบบของการโจมตี กลุ่มแฮ็กเกอร์เลือกใช้บริการคลาวด์ที่ถูกต้อง และน่าเชื่อถือ เช่น Google Drive และ OneDrive ในการแพร่กระจายมัลแวร์แทนการใช้เซิร์ฟเวอร์ของตนเอง อย่างไรก็ตาม Google ระบุว่าความพยายามในการโจมตีจำนวนมากถูกระบบตรวจจับได้ และอีเมลเหล่านั้นถูกคัดกรองลงไปอยู่ใน Junk Mail

และยังตรวจพบว่าภายในอีเมลมีการฝัง Tracking Pixels เพื่อยืนยันกลับไปยังแฮ็กเกอร์ว่าผู้รับได้เปิดอ่านอีเมลนั้นเมื่อใด

BadAudio Malware Loader

จากการวิเคราะห์ของ GTIG ระบุว่า มัลแวร์ BadAudio ถูกซ่อนโค้ดไว้อย่างแนบเนียนเพื่อหลบเลี่ยงการตรวจจับ และขัดขวางการวิเคราะห์จากนักวิจัยด้านความปลอดภัย

มัลแวร์ตัวนี้สั่งการทำงานผ่านเทคนิคที่เรียกว่า "DLL search order hijacking" ซึ่งเป็นวิธีที่ช่วยให้แอปพลิเคชันที่ถูกต้อง ไปเรียกโหลดไฟล์อันตรายขึ้นมาทำงานแทนไฟล์จริง

GTIG อธิบายในรายงานว่า "มัลแวร์ถูกออกแบบมาโดยใช้ Control Flow Flattening ซึ่งเป็นเทคนิคการซ่อนโค้ดที่ซับซ้อน โดยมันจะทำการรื้อ และทำลายโครงสร้างการทำงานตามธรรมชาติของโปรแกรมอย่างเป็นระบบ"

"วิธีการนี้จะแทนที่โค้ดแบบ Linear Code ด้วยชุดของบล็อกคำสั่งที่แยกขาดจากกัน ที่ถูกควบคุมโดย 'Dispatcher' ส่วนกลาง และตัวแปรสถานะ ทำให้ผู้วิเคราะห์จำเป็นต้องแกะรอยเส้นทางการทำงานแต่ละเส้นทางด้วยตนเอง ซึ่งเป็นการขัดขวางความพยายามในการทำ Reverse Engineering ทั้งในรูปแบบ automated และแบบ manual อย่างมาก"

เมื่อ BadAudio ถูกเรียกใช้งานบนอุปกรณ์ของเป้าหมาย มันจะรวบรวมรายละเอียดพื้นฐานของระบบ ได้แก่ hostname, username และ architecture เพื่อทำการเข้ารหัสข้อมูลดังกล่าวโดยใช้ AES key ที่ฝังมาในตัวโค้ด และส่งไปยังเซิร์ฟเวอร์ C2 ที่มีการระบุไว้

จากนั้น มันจะดาวน์โหลด payload ที่ถูกเข้ารหัส AES มาจากเครื่อง C2 ทำการถอดรหัส และเรียกใช้ในหน่วยความจำเพื่อหลบเลี่ยงการตรวจจับ โดยใช้เทคนิค DLL Sideloading

ในอย่างน้อยหนึ่งกรณี นักวิจัยของ Google ตรวจพบการติดตั้ง Cobalt Strike Beacon ผ่านทางมัลแวร์ BadAudio ซึ่ง Cobalt Strike เป็น framework สำหรับการทดสอบโจมตีระบบที่มักถูกผู้ไม่หวังดีนำไปใช้ในการโจมตีอย่างแพร่หลาย

ทางนักวิจัยเน้นย้ำว่า พวกเขาไม่สามารถยืนยันได้ว่าพบ Cobalt Strike Beacon ในทุกกรณีที่มีการวิเคราะห์

ทั้งนี้ เป็นที่น่าสังเกตว่าแม้จะมีการใช้งาน BadAudio มานานถึง 3 ปี แต่กลยุทธ์ของ APT24 ก็ประสบความสำเร็จในการทำให้มัลแวร์ดังกล่าวรอดพ้นจากการถูกตรวจจับมาได้เป็นส่วนใหญ่

จากตัวอย่างมัลแวร์ 8 รายการที่นักวิจัยของ GTIG ระบุในรายงาน มีเพียง 2 รายการเท่านั้นที่ถูกแจ้งเตือนว่าเป็นอันตรายโดยโปรแกรมแอนตี้ไวรัสมากกว่า 25 ตัวบนแพลตฟอร์มสแกน VirusTotal ส่วนตัวอย่างที่เหลือซึ่งมีวันที่สร้างไฟล์คือ 7 ธันวาคม 2022 นั้น ถูกตรวจพบโดยระบบรักษาความปลอดภัยเพียงไม่เกิน 5 แห่งเท่านั้น

GTIG ระบุว่า วิวัฒนาการของกลุ่ม APT24 ไปสู่การโจมตีที่แนบเนียนยิ่งขึ้นนั้น เป็นผลมาจากขีดความสามารถในการปฏิบัติการของกลุ่มผู้ไม่หวังดี และศักยภาพในการโจมตีที่ต่อเนื่อง และการปรับเปลี่ยนกลยุทธ์ตลอดเวลา"

ที่มา : bleepingcomputer

กิจกรรมการสแกนซึ่งมุ่งเป้าไปยังหน้า Portal สำหรับล็อกอิน GlobalProtect VPN ของ Palo Alto Networks ได้เพิ่มขึ้นถึง 40 เท่าภายในระยะเวลา 24 ชั่วโมง ซึ่งเป็นสัญญาณที่แสดงให้เห็นว่าเป็นแคมเปญการโจมตีที่มีการประสานงานกันอย่างเป็นระบบ

GreyNoise บริษัทผู้ให้บริการข้อมูล threat intelligence แบบ Real-time รายงานว่า กิจกรรมดังกล่าวได้เริ่มไต่ระดับสูงขึ้นเมื่อวันที่ 14 พฤศจิกายน และพุ่งแตะระดับสูงสุดในรอบ 90 วันภายในระยะเวลาเพียงหนึ่งสัปดาห์

ในประกาศดังกล่าวระบุว่า "GreyNoise ตรวจพบการยกระดับขึ้นอย่างมีนัยสำคัญของกิจกรรมที่เป็นอันตราย ซึ่งมุ่งเป้าไปยังหน้า Portal ของ Palo Alto Networks GlobalProtect"

"โดยเริ่มตั้งแต่วันที่ 14 พฤศจิกายน 2025 กิจกรรมดังกล่าวได้เพิ่มปริมาณสูงขึ้นอย่างรวดเร็ว จนพุ่งสูงขึ้นถึง 40 เท่าภายในระยะเวลา 24 ชั่วโมง และทำสถิติสูงสุดครั้งใหม่ในรอบ 90 วัน"

เมื่อช่วงต้นเดือนตุลาคม GreyNoise เคยรายงานว่าพบจำนวน IP address ที่เข้ามาสแกนโปรไฟล์ของ Palo Alto Networks GlobalProtect และ PAN-OS เพิ่มขึ้นถึง 500% โดย 91% ของจำนวนดังกล่าวถูกจัดประเภทว่าเป็น 'suspicious' และอีก 7% ระบุว่าเป็น 'clearly malicious'

ก่อนหน้านี้ในเดือนเมษายน 2025 GreyNoise ได้รายงานถึงกิจกรรมการสแกนที่พุ่งสูงขึ้นอีกระลอก โดยมีเป้าหมายที่หน้า Portal สำหรับล็อกอินของ Palo Alto Networks GlobalProtect ซึ่งเกี่ยวข้องกับ IP address ถึง 24,000 IP โดยส่วนใหญ่ถูกจัดประเภทว่าเป็น 'suspicious' และมี 154 IP ที่ระบุว่าเป็น 'malicious'

GreyNoise เชื่อว่ากิจกรรมล่าสุดนี้เชื่อมโยงกับแคมเปญที่เกี่ยวข้องกันก่อนหน้านี้ โดยพิจารณาจากข้อมูล Fingerprint แบบ TCP/JA4t ที่ปรากฏซ้ำ, การนำหมายเลข ASN (Autonomous System Numbers) เดิมกลับมาใช้ใหม่ และช่วงเวลาของการพุ่งขึ้นของกิจกรรมที่สอดคล้องกันในแต่ละแคมเปญ

ASN หลักที่ถูกใช้ในการโจมตีเหล่านี้ระบุได้ว่าเป็น AS200373 (3xK Tech GmbH) โดย 62% ของ IP มีที่ตั้งอยู่ในประเทศเยอรมนี และ 15% อยู่ในแคนาดา ส่วน ASN ที่ 2 ที่เกี่ยวข้องกับกิจกรรมดังกล่าว คือ AS208885 (Noyobzoda Faridduni Saidilhom)

การมุ่งเป้าโจมตีการล็อกอิน VPN

ระหว่างวันที่ 14 ถึง 19 พฤศจิกายน GreyNoise ตรวจพบ session การเชื่อมต่อถึง 2.3 ล้านครั้ง ที่พยายามเข้าถึง URI /global-protect/login.

วันที่ 20 พฤศจิกายนที่ผ่านมา SonicWall บริษัทด้านความปลอดภัยทางไซเบอร์สัญชาติอเมริกัน ได้แจ้งเตือนให้ลูกค้าให้เร่งทำการแพตช์แก้ไขช่องโหว่ที่มีระดับความรุนแรงสูงในระบบ SonicOS SSLVPN ที่อาจทำให้แฮ็กเกอร์สามารถโจมตี Firewall จนหยุดการทำงานได้

ช่องโหว่ดังกล่าวมีหมายเลข CVE-2025-40601 เป็นช่องโหว่ประเภท Denial-of-Service (DoS) ที่เกิดจากช่องโหว่ Stack-based Buffer Overflow โดยส่งผลกระทบต่อ firewall รุ่น Gen8 และ Gen7 (ทั้งแบบ Hardware และ Virtual)

SonicWall ระบุว่า "ช่องโหว่ Stack-based Buffer Overflow ในบริการ SonicOS SSLVPN จะทำให้ผู้โจมตีจากภายนอก สามารถเรียกใช้การโจมตีแบบ Denial of Service (DoS) ได้โดยไม่ต้องยืนยันตัวตน ซึ่งอาจส่งผลให้ Firewall ที่ได้รับผลกระทบหยุดการทำงานไปทันที

"ทางทีม PSIRT ของ SonicWall ระบุว่า ยังไม่พบการนำช่องโหว่ดังกล่าวไปใช้ในการโจมตีจริงในขณะนี้ อีกทั้งยังไม่มีการเปิดเผยโค้ด PoC สู่สาธารณะ และยังไม่ได้รับรายงานว่ามีการนำช่องโหว่ดังกล่าวไปใช้ในทางที่เป็นอันตรายแต่อย่างใด"

"อย่างไรก็ตาม ทางบริษัทได้แจ้งเพิ่มเติมว่า Firewall รุ่น Gen6 รวมถึงผลิตภัณฑ์ SSL VPN ในตระกูล SMA 1000 และ SMA 100 นั้นไม่ได้รับผลกระทบจากช่องโหว่ดังกล่าว"

"แม้ SonicWall จะยังไม่พบหลักฐานว่ามีการนำ CVE-2025-40601 ไปใช้ในการโจมตีจริง แต่ทางบริษัทก็ได้เน้นย้ำให้ผู้ดูแลระบบ Network ปฏิบัติตามแนวทางแก้ไขที่ได้ระบุไว้ในประกาศแจ้งเตือนความปลอดภัยของวันที่ 20 พฤศจิกายนที่ผ่านมา"

"สำหรับผู้ดูแลระบบที่ไม่สามารถติดตั้งอัปเดตความปลอดภัยได้ทันที แนะนำให้ทำการ ปิดการใช้งานบริการ SonicOS SSLVPN หรือ ปรับปรุง Rules เพื่อจำกัดสิทธิ์การเข้าถึงอุปกรณ์ Firewall ของ SonicWall ให้เหลือเฉพาะจากต้นทางที่เชื่อถือได้เท่านั้น

นอกจากนี้ ทางบริษัทยังได้ออกแพตช์แก้ไขอีก 2 ช่องโหว่ ที่ส่งผลกระทบต่ออุปกรณ์ Email Security (รุ่น ES Appliance 5000, 5050, 7000, 7050, 9000, VMWare และ Hyper-V) ซึ่งอาจทำให้ผู้โจมตีจากภายนอก สามารถเรียกใช้โค้ดอันตรายเพื่อแฝงตัวอยู่บนระบบได้ (CVE-2025-40604) และสามารถเข้าถึงข้อมูลที่มีการจำกัดสิทธิ์ได้ (CVE-2025-40605)

โดย SonicWall ได้ระบุในประกาศแจ้งเตือนแยกอีกฉบับว่า "ขอแนะนำให้ผู้ใช้งานผลิตภัณฑ์ Email Security (รุ่น ES Appliance 5000, 5050, 7000, 7050, 9000, VMWare และ Hyper-V) ทำการอัปเกรดระบบทันที"

เมื่อช่วงต้นเดือนที่ผ่านมา SonicWall ได้ยืนยันว่า กลุ่มแฮ็กเกอร์ที่ได้รับการสนับสนุนจากรัฐบาล คือผู้อยู่เบื้องหลังเหตุการณ์ความปลอดภัยเมื่อเดือนกันยายน ซึ่งส่งผลให้ไฟล์สำรองการตั้งค่าของ Firewall ลูกค้าเกิดการรั่วไหล โดยเหตุการณ์นี้เกิดขึ้นราวหนึ่งเดือนหลังจากที่นักวิจัยได้แจ้งเตือนว่า ผู้ไม่หวังดีได้เข้าควบคุมบัญชี SonicWall SSLVPN ไปกว่า 100 บัญชี ด้วยการใช้ข้อมูล Credential ที่ขโมยมา

นอกจากนี้ ในเดือนกันยายน บริษัทยังได้ปล่อยอัปเดต Firmware เพื่อช่วยให้ผู้ดูแลระบบ IT สามารถกำจัดมัลแวร์ Rootkit ที่ชื่อ OVERSTEP ซึ่งถูกฝังเข้ามาในการโจมตีที่มุ่งเป้าไปยังอุปกรณ์รุ่น SMA 100 อีกด้วย

ที่มา : bleepingcomputer

D-Link ได้ออกมาแจ้งเตือนเกี่ยวกับช่องโหว่ Remote Command Execution จำนวน 3 รายการ ซึ่งส่งผลกระทบต่อเราเตอร์รุ่น DIR-878 ทุกโมเดล และทุกเวอร์ชันของฮาร์ดแวร์ โดยแม้ว่าเราเตอร์รุ่นนี้จะสิ้นสุดระยะเวลาการ support ไปแล้ว แต่ก็ยังคงมีวางจำหน่ายอยู่ในหลายตลาด

รายละเอียดเชิงเทคนิค และโค้ด Proof-of-Concept (PoC) ที่แสดงให้เห็นถึงช่องโหว่ดังกล่าว ได้รับการเผยแพร่โดยนักวิจัยด้านความปลอดภัยที่ใช้นามแฝงว่า Yangyifan

เนื่องจาก เราเตอร์รุ่น DIR-878 เป็นรุ่นที่นิยมใช้งานกันทั่วไปภายในบ้าน และสำนักงานขนาดเล็ก โดยในช่วงที่เปิดตัวเมื่อปี 2017 นั้น รุ่นนี้ได้รับการยกย่องว่าเป็นเราเตอร์ไร้สายแบบ Dual-band ที่มีประสิทธิภาพสูง

แม้ว่าอุปกรณ์รุ่นนี้จะไม่ได้รับการ support แล้ว แต่ปัจจุบันก็ยังสามารถหาซื้อได้ทั้งในรูปแบบของใหม่ และมือสอง โดยมีราคาอยู่ที่ระหว่าง 75 ถึง 122 ดอลลาร์สหรัฐ

อย่างไรก็ตาม เนื่องจากรุ่น DIR-878 ได้เข้าสู่สถานะสิ้นสุดระยะเวลาการ support ไปแล้วตั้งแต่ปี 2021 ทาง D-Link จึงได้ออกคำเตือนว่าจะ ไม่มีการปล่อยอัปเดตความปลอดภัย สำหรับรุ่นนี้อีกต่อไป และแนะนำให้ผู้ใช้เปลี่ยนไปใช้ผลิตภัณฑ์รุ่นอื่นที่ยังคงได้รับการ support อยู่ในปัจจุบันแทน

สรุปโดยรวมแล้ว ประกาศแจ้งเตือนด้านความปลอดภัยของ D-Link ระบุถึงช่องโหว่ทั้งหมด 4 รายการ โดยในจำนวนนี้มีเพียงรายการเดียวเท่านั้นที่ผู้โจมตีจำเป็นต้องเข้าถึงตัวเครื่องโดยตรง หรือควบคุมอุปกรณ์ผ่าน USB จึงจะสามารถทำการโจมตีได้

CVE-2025-60672 - ช่องโหว่แบบ Remote unauthenticated command execution ผ่านพารามิเตอร์ SetDynamicDNSSettings ที่ถูกบันทึกไว้ใน NVRAM และถูกนำไปเรียกใช้ในคำสั่งของระบบ
CVE-2025-60673 - ช่องโหว่แบบ Remote unauthenticated command execution ผ่านการตั้งค่า SetDMZSettings โดยอาศัยค่า IPAddress ที่ไม่มีการตรวจสอบความปลอดภัย ซึ่งถูก inject เข้าไปในคำสั่ง iptables
CVE-2025-60674 - ช่องโหว่แบบ Stack overflow ในกระบวนการจัดการอุปกรณ์จัดเก็บข้อมูล USB สาเหตุมาจากฟิลด์ "Serial Number" มีขนาดใหญ่เกินกำหนด (ช่องโหว่ดังกล่าวเป็นการโจมตีที่ต้องเข้าถึงตัวเครื่องโดยตรง หรือทำผ่านอุปกรณ์ USB เท่านั้น)
CVE-2025-60676 - ช่องโหว่แบบ Arbitrary command execution ผ่าน field ข้อมูลที่ไม่มีการตรวจสอบความปลอดภัยในไฟล์ /tmp/new_qos.

การแพร่กระจายของชุดเครื่องมือฟิชชิง Tycoon 2FA ถือเป็นภัยคุกคามร้ายแรงต่อองค์กรทั่วโลก เนื่องจากชุดเครื่องมือสำเร็จรูปลักษณะนี้ถูกออกแบบมาให้ใช้งานได้ง่าย แม้แต่ผู้ที่ไม่มีความเชี่ยวชาญก็สามารถใช้เพื่อ Bypass ระบบยืนยันตัวตนหลายปัจจัย (MFA) และแอปยืนยันตัวตนที่องค์กรต่าง ๆ ใช้อยู่ ซึ่งปัจจุบันพบการนำมาใช้งานอย่างแพร่หลาย

จนถึงปีนี้ มีการติดตามการโจมตีไปแล้วมากกว่า 64,000 ครั้ง โดยหลายครั้งมุ่งเป้าไปที่ Microsoft 365 และ Gmail เพราะแพลตฟอร์มเหล่านี้คือเส้นทางที่ง่าย และรวดเร็วที่สุดในการเจาะเข้าสู่องค์กร

ฟิชชิงแบบ Service พร้อมใช้ ไม่ต้องมีทักษะใด ๆ

ความสามารถของ Tycoon 2FA อยู่ที่การไม่ต้องใช้ทักษะทางเทคนิค เนื่องจากมันเป็นชุดเครื่องมือ "Phishing as a Service" ที่พร้อมใช้งาน ฟังก์ชันครบถ้วน และเป็นระบบอัตโนมัติ แม้แต่ผู้ที่ไม่มีพื้นฐานการเขียนโค้ดก็สามารถใช้งานได้ ชุดเครื่องมือนี้จะแนะนำผู้ใช้ตั้งแต่การตั้งค่า การจัดเตรียมหน้าล็อกอินปลอม ไปจนถึงการเปิดเซิร์ฟเวอร์ reverse proxy ให้พร้อมใช้งาน

ชุดเครื่องมือจะทำทุกอย่างที่ยุ่งยากแทนผู้โจมตีทั้งหมด เหลือเพียงให้ผู้โจมตีส่งลิงก์ไปยังเหยื่อ แล้วรอแค่คนใดคนหนึ่งถูกหลอกเท่านั้น

Real-Time MFA Relay และการขโมยเซสชัน

Tycoon 2FA จะดำเนินการทันทีที่เหยื่อหลงกล โดยระบบจะดักจับชื่อผู้ใช้ และรหัสผ่านแบบเรียลไทม์, จัดเก็บ session cookies, และทำหน้าที่เป็นพร็อกซีในขั้นตอนที่ MFA ถูกส่งไปยัง Microsoft หรือ Google เหยื่อจะเข้าใจว่าตนเองกำลังดำเนินการยืนยันตัวตนตามปกติ แต่ในความเป็นจริงแล้ว พวกเขากำลังยืนยันตัวตนให้กับผู้โจมตี

ส่วนที่อันตรายที่สุดคือผู้ใช้ที่ได้รับการฝึกอบรมมาอย่างดีก็ยังอาจตกเป็นเหยื่อได้ เพราะทุกอย่างดูสมจริง หน้าเว็บเป็นแบบไดนามิก และสามารถแสดงผลข้อมูล responses จากเซิร์ฟเวอร์จริงได้

ตัวอย่างเช่น หาก Microsoft ขอให้กรอกรหัส หน้าเว็บก็จะอัปเดตทันที หรือถ้า Google ส่งข้อความแจ้ง (prompt) มันก็จะปรากฏขึ้นตามที่ควรจะเป็น

ไม่มีอะไรแตกต่างให้สังเกตเห็นได้ ไม่มีร่องรอยใด ๆ และไม่มีวิธีการใดที่ MFA แบบเดิม หรือแอปยืนยันตัวตนจะสามารถป้องกันการโจมตีนี้ได้ เนื่องจาก Tycoon ถูกออกแบบมาให้เป็นผู้โจมตีแบบ Man-in-the-Middle โดยตรง

ออกแบบมาเพื่อหลีกเลี่ยงการตรวจจับ

Tycoon 2FA มาพร้อมกับชั้นของการป้องกันการตรวจจับที่เทียบเท่ากับมัลแวร์ระดับสูงหลายตัว โดยใช้เทคนิคต่าง ๆ เช่น การเข้ารหัส Base64, การบีบอัดแบบ LZ string, เทคนิค DOM vanishing, การทำให้โค้ดอ่านไม่ออกด้วย CryptoJS, ระบบกรอง Bot อัตโนมัติ, CAPTCHA และการตรวจจับเครื่องมือ Debugging

ชุดเครื่องมือนี้จะซ่อนพฤติกรรมตัวเองจากเครื่องมือ Scan และนักวิจัยทุกวิถีทาง มันจะแสดงพฤติกรรมจริงก็ต่อเมื่อเป้าหมายเป็นมนุษย์จริง ๆ เท่านั้น และเมื่อมันทำขั้นตอนการยืนยันตัวตนสำเร็จ ผู้โจมตีก็จะได้สิทธิ์เข้าถึงเซสชันเต็มรูปแบบภายใน Microsoft 365 หรือ Gmail

จากจุดเริ่มต้นนั้น ผู้โจมตีสามารถขยายผลการโจมตีไปยังระบบต่าง ๆ ได้อย่างกว้างขวาง เช่น SharePoint, OneDrive, อีเมล, Teams, ระบบ HR, ระบบการเงิน และอื่น ๆ อีกมากมาย การฟิชชิงที่ประสบความสำเร็จเพียงครั้งเดียวอาจนำไปสู่การถูกเจาะระบบทั้งหมดได้

MFA แบบดั้งเดิมอาจไม่เพียงพอแล้ว

สาเหตุที่ MFA แบบดั้งเดิมไม่เพียงพอ เพราะรหัส SMS, การแจ้งเตือนแบบกดอนุมัติ (push) และแอป TOTP ล้วนมีจุดอ่อนเดียวกัน เนื่องจากขึ้นอยู่กับพฤติกรรมของผู้ใช้ และความคาดหวังว่าผู้ใช้จะสังเกตเห็นสิ่งผิดปกติด้วยตนเอง

ระบบเหล่านี้ใช้กลไกที่ผู้โจมตีสามารถดักจับ ส่งต่อ หรือนำมาใช้ซ้ำได้ Tycoon 2FA และเครื่องมืออีกนับสิบชนิดโจมตีจากช่องโหว่นี้ตรง ๆ พวกมันเปลี่ยนผู้ใช้ให้กลายเป็นช่องทางโจมตี และแม้แต่ passkey ก็เริ่มถูกเจาะได้แล้ว เมื่อมีการซิงก์ผ่านบัญชีคลาวด์ หรือมีช่องทางกู้คืน (recovery) ที่สามารถขโมยข้อมูลแบบ social engineering ได้

ผู้โจมตีเข้าใจเรื่องนี้ดีมาก กลุ่มอาชญากรรมอย่าง Scattered Spider, Octo Tempest และ Storm 1167 ใช้ชุดเครื่องมือเหล่านี้ทุกวัน มันคือวิธีโจมตีที่เพิ่มขึ้นเร็วที่สุดในโลก เพราะใช้ง่าย ขยายผลได้มาก และไม่ต้องการทักษะใด ๆ

หลายบริษัทเร่งนำระบบยืนยันตัวตนแบบหลายปัจจัย (MFA) และแอปยืนยันตัวตนมาใช้ แต่กลับพบว่าระบบเหล่านี้อาจไม่เพียงพอเมื่อเจอกับชุดเครื่องมือฟิชชิงที่ออกแบบมาโดยเฉพาะ หากผู้โจมตีสามารถหลอกให้ผู้ใช้งานกรอกรหัส หรืออนุมัติคำขอได้ ผู้โจมตีก็จะประสบความสำเร็จ ซึ่ง Tycoon ทำสิ่งนี้ได้อย่างแม่นยำ

ขั้นต่อไป MFA ที่ฟิชชิงไม่ได้จริง ๆ

ยังมีวิธีการแก้ไขที่ชัดเจน และสามารถเริ่มใช้งานได้รวดเร็ว นั่นคือระบบยืนยันตัวตนที่ป้องกันฟิชชิงด้วยข้อมูล biometric บนฮาร์ดแวร์ FIDO2 โดยใช้การยืนยันตัวตนแบบ proximity based, domain bound และไม่สามารถถูกรีเลย์ หรือปลอมแปลงได้ ระบบที่ไม่มีรหัสให้กรอก ไม่มีการอนุมัติแจ้งเตือน ไม่มี shared secrets ที่ถูกดักจับได้ และไม่มีวิธีใดที่หลอกให้ผู้ใช้งานช่วยผู้โจมตีได้อีกต่อไป

ระบบที่ปฏิเสธเว็บไซต์ปลอมโดยอัตโนมัติ ระบบที่บังคับให้มีการยืนยันแบบไบโอเมตริกซ์บนอุปกรณ์จริง ซึ่งต้องอยู่ใกล้คอมพิวเตอร์ที่กำลังล็อกอินเท่านั้น

ทั้งหมดนี้เปลี่ยนเกมไปอย่างสิ้นเชิง เพราะมันนำผู้ใช้ออกจากกระบวนการตัดสินใจ แทนที่จะหวังให้คนรู้ทันหน้าเว็บปลอม ตัวอุปกรณ์ยืนยันตัวตนจะตรวจสอบแหล่งที่มาแบบเข้ารหัสเอง

แทนที่จะหวังว่าผู้ใช้จะปฏิเสธการแจ้งเตือนที่เป็นอันตราย อุปกรณ์ยืนยันตัวตนจะไม่มีทางได้รับแจ้งเตือนแบบนั้นตั้งแต่แรก

โมเดลของโทเคน

นี่คือโมเดลที่อยู่เบื้องหลัง Token Ring และ Token BioStick ซึ่งป้องกันฟิชชิงด้วยสถาปัตยกรรม บังคับใช้ไบโอเมตริกซ์เป็นค่าเริ่มต้น อิงตาม Proximity based และผูกกับโดเมนผ่านการเข้ารหัส

การโจมตีจะไม่สำเร็จ เพราะไม่มีโค้ดให้ขโมย ไม่มีการอนุมัติให้หลอกลวง และไม่มีขั้นตอนกู้คืนบัญชีให้มิจฉาชีพใช้โจมตีได้เลย ต่อให้ผู้ใช้พลาดคลิกลิงก์น่าสงสัย หรือแม้แต่บอกรหัสผ่านออกไป (ถ้ายังมีรหัส) หรือโดน Social Engineering ที่แอบอ้างเป็นฝ่ายไอทีโทรมาหลอก การยืนยันตัวตนก็จะไม่สำเร็จอยู่ดี เพราะระบบจะตรวจสอบว่าโดเมนไม่ตรง และไม่มีการยืนยันไบโอเมตริกซ์บนอุปกรณ์จริง

องค์กรที่ใช้อุปกรณ์เหล่านี้พบว่าพนักงานยอมรับได้ง่ายมากกับโซลูชันไร้รหัสผ่านลักษณะนี้ การยืนยันตัวตนทำได้เร็ว (เพียง 2 วินาที) ไม่ต้องจำอะไร ไม่ต้องพิมพ์อะไร ไม่ต้องกดยืนยันอะไร มอบประสบการณ์ผู้ใช้ที่ดีกว่า และสร้างมาตรการความปลอดภัยที่แข็งแกร่งยิ่งกว่าเดิมมาก

ความจริงที่ทุกองค์กรต้องยอมรับ

ทุกองค์กรต้องยอมรับว่าผู้โจมตีได้พัฒนาไปอีกขั้นแล้ว และระบบป้องกันก็ต้องพัฒนาตามให้ทัน การยืนยันตัวตนแบบหลายปัจจัย (MFA) แบบเดิม ๆ รวมถึงแอปยืนยันตัวตน (Authenticator Apps) และแม้แต่ Passkey ก็ไม่อาจป้องกันภัยคุกคามนี้ได้ ดังที่ Tycoon 2FA ได้แสดงให้เห็นว่า ระบบใดก็ตามที่ยังต้องการให้ผู้ใช้ "กรอก" หรือ "กดอนุมัติ" จะสามารถถูกเจาะระบบได้ภายในเวลาไม่กี่วินาที

ที่มา : bleepingcomputer

เทคนิค Social Engineering ที่กำลังเพิ่มขึ้นอย่างรวดเร็วที่เรียกว่า ClickFix กลายเป็นหนึ่งในวิธีการที่ประสบความสำเร็จมากที่สุดในการแพร่กระจายมัลแวร์ในช่วงไม่กี่เดือนที่ผ่านมา

(more…)

Microsoft กำลังเปิดตัวฟีเจอร์ใหม่ของ Teams สำหรับลูกค้า Premium ซึ่งจะบล็อกการจับภาพหน้าจอ และการบันทึกโดยอัตโนมัติระหว่างการประชุม

(more…)