แอปพลิเคชันอันตรายบน Android กว่า 300 แอป ซึ่งถูกดาวน์โหลดไปแล้วกว่า 60 ล้านครั้งจาก Google Play โดยแอปเหล่านี้ทำหน้าที่เป็น Adware หรือพยายามขโมยข้อมูล credentials และข้อมูลบัตรเครดิตของผู้ใช้ (more…)

นักวิจัยด้านความปลอดภัยทางไซเบอร์ เปิดเผยรายละเอียดของการโจมตีแบบ supply chain attack รูปแบบใหม่ที่เรียกว่า 'Rules File Backdoor' ซึ่งส่งผลกระทบต่อโปรแกรม AI Code Editors อย่าง GitHub Copilot และ Cursor ทำให้สามารถแทรกโค้ดที่เป็นอันตรายได้ (more…)

ธนาคาร Western Alliance ซึ่งตั้งอยู่ในรัฐแอริโซนา กำลังแจ้งลูกค้าจำนวนเกือบ 22,000 รายว่าข้อมูลส่วนบุคคลของพวกเขาถูกขโมยไปในเดือนตุลาคม 2024 หลังจากซอฟต์แวร์ secure file transfer ที่เป็นของ third-party ของธนาคารถูกเจาะระบบ (more…)

อาชญากรทางไซเบอร์กำลังใช้ประโยชน์จาก Cascading Style Sheets (CSS) ซึ่งเป็นเทคโนโลยีที่ใช้ในการจัดรูปแบบ และตกแต่งเลย์เอาต์ของเว็บเพจ เพื่อหลบเลี่ยง Spam Filters และติดตามการกระทำของผู้ใช้งาน

ข้อมูลดังกล่าวมาจากการค้นพบใหม่ของ Cisco Talos ซึ่งระบุว่า พฤติกรรมที่เป็นอันตรายเหล่านี้อาจส่งผลกระทบต่อความปลอดภัย และความเป็นส่วนตัวของเหยื่อได้ (more…)

มีการเปิดเผยช่องโหว่ด้านความปลอดภัยระดับ Critical ในซอฟต์แวร์ MegaRAC Baseboard Management Controller (BMC) ของ AMI ที่อาจทำให้ผู้โจมตีสามารถ bypass การยืนยันตัวตน และดำเนินการโจมตีหลังจากเจาะระบบได้

ช่องโหว่นี้มีหมายเลข CVE-2024-54085 และมีคะแนน CVSS v4 ที่ระดับ 10.0 แสดงให้เห็นถึงระดับความรุนแรงขั้นสูงสุด

บริษัทด้านความปลอดภัยเฟิร์มแวร์ Eclypsium ให้ข้อมูลกับ The Hacker News โดยระบุว่า "ผู้โจมตีทั้งจากภายใน และภายนอกเครือข่ายสามารถใช้ช่องโหว่นี้ได้ผ่าน remote management interfaces (Redfish) หรือโฮสต์ภายในที่เชื่อมต่อกับอินเตอร์เฟซของ BMC (Redfish)"

"การใช้ช่องโหว่นี้ทำให้ผู้โจมตีสามารถควบคุมเซิร์ฟเวอร์ที่ถูกโจมตีจากระยะไกลได้ โดยติดตั้งมัลแวร์ หรือแรนซัมแวร์จากระยะไกล, แก้ไขเฟิร์มแวร์ ทำให้ชิ้นส่วนของเมนบอร์ด (BMC หรืออาจรวมถึง BIOS/UEFI) ไม่สามารถใช้งานได้ รวมถึงอาจก่อให้เกิดความเสียหายทาง physical กับเซิร์ฟเวอร์ (เช่น แรงดันไฟฟ้าเกิน หรือทำให้ใช้งานไม่ได้โดยสิ้นเชิง) และสร้าง reboot loops ที่เหยื่อไม่สามารถหยุดได้"

ช่องโหว่นี้ยังสามารถถูกนำไปใช้เพื่อก่อกวนระบบ โดยทำให้อุปกรณ์ที่ได้รับผลกระทบ reboot อย่างต่อเนื่องผ่านคำสั่งที่เป็นอันตราย ซึ่งอาจนำไปสู่การหยุดทำงานของระบบแบบไม่มีกำหนด จนกว่าอุปกรณ์ หรือฮาร์ดแวร์นั้นจะถูกตั้งค่าใหม่ทั้งหมด

CVE-2024-54085 เป็นช่องโหว่ในรายการล่าสุดของจำนวนช่องโหว่ที่ถูกพบใน AMI MegaRAC BMCs ตั้งแต่เดือนธันวาคม 2022 โดยทั้งหมดถูกระบุภายใต้ชื่อ BMC&C :

CVE-2022-40259 - ช่องโหว่ Arbitrary Code Execution ผ่าน Redfish API
CVE-2022-40242 - ช่องโหว่ Default credentials เพื่อเข้าถึง UID = 0 shell ผ่าน SSH
CVE-2022-2827 - ช่องโหว่ User enumeration ผ่าน API
CVE-2022-26872 - ช่องโหว่ Password reset interception ผ่าน API
CVE-2022-40258 - ช่องโหว่ Weak password hashes สำหรับ Redfish & API
CVE-2023-34329 - ช่องโหว่ Authentication Bypass ผ่าน HTTP Header Spoofing
CVE-2023-34330 - ช่องโหว่ Code injection ผ่าน Dynamic Redfish Extension interface

Eclypsium ระบุว่า CVE-2024-54085 มีความคล้ายคลึงกับ CVE-2023-34329 เนื่องจากช่องโหว่ทั้งสองรายการสามารถใช้เพื่อ bypass การยืนยันตัวตนได้ และก่อให้เกิดผลกระทบในลักษณะเดียวกัน โดยช่องโหว่นี้ได้รับการยืนยันว่าส่งผลกระทบต่ออุปกรณ์ดังต่อไปนี้ :

HPE Cray XD670
Asus RS720A-E11-RS24U
ASRockRack

AMI ได้ออกแพตช์แก้ไขช่องโหว่นี้แล้วเมื่อวันที่ 11 มีนาคม 2025 ที่ผ่านมา แม้ว่าจะยังไม่มีหลักฐานว่าช่องโหว่ดังกล่าวกำลังถูกนำไปใช้ในการโจมตีจริง แต่ผู้ใช้งานควรอัปเดตระบบของตนทันทีที่ผู้ผลิต หรือผู้จำหน่าย OEM ได้ออกแพตช์แก้ไขช่องโหว่เหล่านี้ และปล่อยอัปเดตให้กับลูกค้า

ตอนนี้ทั้ง HPE และ Lenovo ได้ปล่อยแพตช์อัปเดตด้านความปลอดภัยสำหรับผลิตภัณฑ์ของพวกเขาแล้ว และรวมถึงการแก้ไขช่องโหว่ CVE-2024-54085 จาก AMI อีกด้วย

Eclypsium ระบุเพิ่มเติมว่า "การติดตั้งแพตช์สำหรับช่องโหว่เหล่านี้ไม่ใช่เรื่องง่าย เนื่องจากจะต้องมีการหยุดการทำงานของอุปกรณ์ โดยช่องโหว่นี้ส่งผลกระทบเฉพาะกับซอฟต์แวร์ BMC ของ AMI อย่างไรก็ตาม เนื่องจาก AMI เป็นหัวใจสำคัญของ BIOS supply chain ผลกระทบจึงตกไปที่ผู้ผลิต หรือผู้จำหน่ายฮาร์ดแวร์มากกว่า"

ที่มา : thehackernews

แฮ็กเกอร์กำลังใช้ประโยชน์จากช่องโหว่ความปลอดภัยระดับ Critical ใน PHP เพื่อติดตั้งโปรแกรมขุดสกุลเงินดิจิทัล และโทรจันการเข้าถึงระยะไกล (RATs) เช่น Quasar RAT

ช่องโหว่นี้มีหมายเลข CVE-2024-4577 ซึ่งเป็นช่องโหว่ Argument Injection ใน PHP บนระบบ Windows ที่รันในโหมด CGI โดยทำให้ผู้โจมตีสามารถรันโค้ดที่เป็นอันตรายจากระยะไกลได้

บริษัทด้านความปลอดภัยทางไซเบอร์ Bitdefender ระบุว่า มีความพยายามโจมตีโดยใช้ช่องโหว่ CVE-2024-4577 เพิ่มขึ้นอย่างมากตั้งแต่ปลายปีที่แล้ว โดยมีการโจมตีมากที่สุดในไต้หวัน (54.65%), ฮ่องกง (27.06%), บราซิล (16.39%), ญี่ปุ่น (1.57%) และอินเดีย (0.33%)

ประมาณ 15% ของความพยายามโจมตีโดยใช้ช่องโหว่ที่ตรวจพบ เกี่ยวข้องกับการตรวจสอบช่องโหว่พื้นฐาน โดยใช้คำสั่งเช่น "whoami" และ "echo <test_string>" อีก 15% เกี่ยวข้องกับการตรวจสอบระบบ ซึ่งรวมถึงการตรวจสอบ Process Enumeration, การค้นหาเครือข่าย, ข้อมูลผู้ใช้ และโดเมน และการเก็บข้อมูลของระบบ

Martin Zugec ผู้อำนวยการฝ่ายโซลูชันทางเทคนิคของ Bitdefender เปิดเผยว่า อย่างน้อย 5% ของการโจมตีที่ตรวจพบ นำไปสู่การติดตั้ง XMRig เครื่องขุดสกุลเงินดิจิทัล

Zugec เสริมว่า "อีกหนึ่งแคมเปญเล็ก ๆ ที่เกี่ยวข้องกับการติดตั้ง Nicehash Miners ซึ่งเป็นแพลตฟอร์มที่ช่วยให้ผู้ใช้งานสามารถขาย computing power เพื่อแลกกับคริปโตฯ"

"กระบวนการขุดถูกปลอมแปลงเป็นแอปพลิเคชันที่ดูเหมือนถูกต้องตามปกติ เช่น javawindows.

กลุ่มแฮ็กเกอร์ที่ได้รับการสนับสนุนจากรัฐบาลอย่างน้อย 11 กลุ่มจาก เกาหลีเหนือ, อิหร่าน, รัสเซีย และจีน ได้ใช้ช่องโหว่ zero-day ใหม่ของ Windows ในการขโมยข้อมูลมาตั้งแต่ปี 2017

อย่างไรก็ตาม นักวิจัยด้านความปลอดภัย Peter Girnus และ Aliakbar Zahravi จาก Zero Day Initiative (ZDI) ของบริษัท Trend Micro รายงานเมื่อวันที่ 18 มีนาคม 2025 ว่า ทาง Microsoft ได้พิจารณาแล้วว่าช่องโหว่นี้ "ไม่เข้าข่ายที่ต้องได้รับการแก้ไข" ในช่วงปลายเดือนกันยายน และตัดสินใจไม่ออกอัปเดตความปลอดภัยเพื่อแก้ไขปัญหานี้

นักวิจัยระบุว่า "ได้พบตัวอย่างไฟล์ Shell Link (.lnk) กว่า 1,000 ไฟล์ ที่ใช้ช่องโหว่ ZDI-CAN-25373 แต่มีความเป็นไปได้สูงว่าจำนวนการโจมตีที่เกิดขึ้นจริงอาจมากกว่านี้" หลังจากนั้นนักวิจัยได้ส่ง Proof-of-Concept exploit ผ่านโปรแกรม Bug Bounty ของ Trend ZDI ไปยัง Microsoft แต่ทาง Microsoft ปฏิเสธที่จะออกแพตช์ความปลอดภัยเพื่อแก้ไขช่องโหว่นี้

แม้ว่า Microsoft จะยังไม่ได้กำหนด CVE-ID ให้กับช่องโหว่นี้ แต่ Trend Micro กำลังติดตามช่องโหว่นี้ภายในองค์กรภายใต้หมายเลข ZDI-CAN-25373 โดยระบุว่า ช่องโหว่นี้ทำให้ผู้โจมตีสามารถรันโค้ดที่เป็นอันตรายบนระบบ Windows ที่ได้รับผลกระทบได้

จากการตรวจสอบของนักวิจัย พบว่าช่องโหว่ ZDI-CAN-25373 ถูกใช้ในการโจมตีอย่างแพร่หลายโดยกลุ่มผู้โจมตีที่ได้รับการสนับสนุนจากรัฐบาล และกลุ่มอาชญากรรมไซเบอร์ เช่น Evil Corp, APT43 (Kimsuky), Bitter, APT37, Mustang Panda, SideWinder, RedHotel, Konni และกลุ่มอื่น ๆ

แม้ว่าแคมเปญดังกล่าวจะมีเป้าหมายไปทั่วโลก แต่ส่วนใหญ่เน้นไปที่ อเมริกาเหนือ, อเมริกาใต้, ยุโรป, เอเชียตะวันออก และออสเตรเลีย และจากการวิเคราะห์การโจมตีทั้งหมดพบว่าเกือบ 70% เชื่อมโยงกับการจารกรรม และขโมยข้อมูล ขณะที่เพียง 20% มีเป้าหมายเพื่อผลประโยชน์ทางการเงิน

Trend Micro ระบุเพิ่มเติมว่า แคมเปญโจมตีเหล่านี้มีการใช้มัลแวร์ และเป็นมัลแวร์ในรูปแบบ loaders หลากหลายประเภท เช่น Ursnif, Gh0st RAT และ Trickbot

ช่องโหว่ Zero-day ของ Windows (ZDI-CAN-25373)

ช่องโหว่ใหม่ที่ถูกพบใน Windows (ภายใต้หมายเลข ZDI-CAN-25373) เกิดจากช่องโหว่ User Interface (UI) Misrepresentation of Critical Information (CWE-451) ซึ่งทำให้แฮ็กเกอร์สามารถใช้ช่องโหว่นี้ของ Windows ในการแสดงผลไฟล์ shortcut (.lnk) เพื่อหลบเลี่ยงการตรวจจับ และรันโค้ดบนอุปกรณ์ที่มีช่องโหว่โดยที่ผู้ใช้ไม่รู้ตัว

กลุ่มผู้โจมตีใช้ช่องโหว่ ZDI-CAN-25373 โดยซ่อน arguments คำสั่งที่เป็นอันตรายไว้ในไฟล์ shortcut (.LNK) ซึ่งใช้ช่องว่างพิเศษเพื่อซ่อนคำสั่งในโครงสร้าง COMMAND_LINE_ARGUMENTS

นักวิจัยระบุว่าช่องว่างพิเศษที่ใช้ในไฟล์ .lnk สามารถอยู่ในรูปแบบของ hex codes สำหรับ Space (\x20), Horizontal Tab (\x09), Linefeed (\x0A), Vertical Tab (\x0B), Form Feed (\x0C), และ Carriage Return (\x0D) ซึ่งสามารถใช้เป็นการเติมช่องว่างได้

หากผู้ใช้ Windows ตรวจสอบไฟล์ .lnk ดังกล่าว arguments คำสั่งที่เป็นอันตรายจะไม่แสดงในอินเทอร์เฟซของ Windows เนื่องจากช่องว่างที่เพิ่มเข้าไป ดังนั้น arguments คำสั่งที่เพิ่มโดยผู้โจมตีจะยังคงซ่อนอยู่จากการมองเห็นของผู้ใช้

Trend Micro ได้ออกคำเตือนในวันที่ 18 มีนาคม 2025 โดยระบุว่า จำเป็นต้องมีการโต้ตอบของผู้ใช้ในการโจมตีโดยใช้ช่องโหว่นี้ โดยเป้าหมายจะต้องเข้าไปเยี่ยมชมหน้าเว็บที่เป็นอันตราย หรือเปิดไฟล์ที่เป็นอันตราย

ข้อมูลที่สร้างขึ้นในไฟล์ .LNK อาจทำให้เนื้อหาอันตรายในไฟล์ไม่สามารถมองเห็นได้จากผู้ใช้ที่ตรวจสอบไฟล์ผ่านอินเทอร์เฟซของ Windows และผู้โจมตีสามารถใช้ช่องโหว่นี้เพื่อรันโค้ดด้วยสิทธิ์ของของผู้ใช้งานปัจจุบันได้

ช่องโหว่นี้มีความคล้ายกับอีกช่องโหว่ที่มีหมายเลข CVE-2024-43461 ซึ่งทำให้ผู้โจมตีสามารถใช้ 26 encoded braille whitespace characters (%E2%A0%80) เพื่อซ่อนไฟล์ HTA ที่สามารถดาวน์โหลดมัลแวร์ที่เป็นอันตรายในรูปแบบ PDF ได้ โดยช่องโหว่ CVE-2024-43461 ถูกพบโดย Peter Girnus นักวิจัยด้านภัยคุกคามอาวุโสจาก Trend Micro's Zero Day และได้รับการแก้ไขโดย Microsoft ในการอัปเดต Patch Tuesday ประจำเดือนกันยายน 2024

กลุ่มผู้โจมตี Void Banshee APT ได้ใช้ประโยชน์จาก CVE-2024-43461 ในการโจมตีแบบ Zero-day เพื่อติดตั้งมัลแวร์ขโมยข้อมูล ในแคมเปญโจมตีองค์กรต่าง ๆ ในอเมริกาเหนือ, ยุโรป และเอเชียตะวันออกเฉียงใต้

เมื่อวันที่ 18 มีนาคม 2025 ที่ผ่านมา โฆษกของ Microsoft ระบุว่า บริษัทกำลังพิจารณาที่จะแก้ไขช่องโหว่นี้ในอนาคต

Microsoft ระบุว่า ขอขอบคุณ ZDI ที่ได้ส่งรายงานนี้ภายใต้ coordinated vulnerability disclosure และ Microsoft Defender มีการตรวจจับเพื่อค้นหา และบล็อกพฤติกรรมภัยคุกคามนี้อยู่แล้ว และ Smart App Control จะช่วยเพิ่มการป้องกันโดยการบล็อกไฟล์อันตรายจากอินเทอร์เน็ต ในฐานะที่เป็นแนวทางปฏิบัติที่ดีที่สุดด้านความปลอดภัย ขอแนะนำให้ลูกค้าใช้ความระมัดระวังเมื่อดาวน์โหลดไฟล์จากแหล่งที่ไม่รู้จักตามคำเตือนด้านความปลอดภัย ซึ่งได้รับการออกแบบมาเพื่อระบุ และเตือนผู้ใช้เกี่ยวกับไฟล์ที่อาจเป็นอันตราย แม้ว่าประสบการณ์ของ UI ที่อธิบายไว้ในรายงานนี้ จะไม่เข้าข่ายที่ต้องได้รับการแก้ไขในทันทีตามแนวทางการจัดประเภทความรุนแรงของบริษัท แต่ Microsoft จะพิจารณาในการแก้ไขช่องโหว่นี้ในการอัปเดตฟีเจอร์ในอนาคต

ที่มา : bleepingcomputer

 

Google กำลังทำการเข้าซื้อกิจการครั้งใหญ่ที่สุดในประวัติศาสตร์ของบริษัท โดยเข้าซื้อบริษัทด้านความปลอดภัยบนระบบคลาวด์ Wiz ด้วยจำนวนเงินมูลค่า 32 พันล้านดอลลาร์

Google ระบุในวันนี้ว่า "การเข้าซื้อกิจการครั้งนี้เป็นการลงทุนของ Google Cloud เพื่อเร่งตอบสนองต่อสองแนวโน้มในยุค AI คือ 1. การเพิ่มความปลอดภัยในระบบคลาวด์ และ 2. ความสามารถในการใช้คลาวด์หลากหลายรูปแบบ (multicloud)"

Google ยังเสริมอีกว่าการเข้าซื้อกิจการครั้งนี้ ยังต้องรอการอนุมัติจากหน่วยงานกำกับดูแล โดยมีวัตถุประสงค์เพื่อมอบ "แพลตฟอร์มความปลอดภัยที่ครอบคลุม" (comprehensive security platform) ที่จะช่วยรักษาความปลอดภัยให้กับ modern IT environments แก่ลูกค้า

Thomas Kurian CEO ของ Google Cloud ระบุว่า การนำบริการคลาวด์ของพวกเขามารวมเข้ากับ Wiz จะช่วย "กระตุ้นการใช้งานความปลอดภัยทางไซเบอร์บนระบบ multicloud, การนำระบบ multicloud มาใช้ รวมถึงการแข่งขัน และการเติบโตในอุตสาหกรรม cloud computing"

Assaf Rappaport CEO ของ Wiz ระบุว่า บริษัทจะยังคงเป็นแพลตฟอร์ม multicloud ที่เป็นอิสระแม้หลังจากการเข้าซื้อกิจการเสร็จสิ้น และจะยังคงทำงานร่วมกับบริษัทคลาวด์อื่น ๆ เช่น Amazon Web Services (AWS), Microsoft Azure และ Oracle Cloud

ความเคลื่อนไหวในครั้งนี้เกิดขึ้นเพียงสามปีหลังจากที่ Google เข้าซื้อกิจการ Mandiant ด้วยมูลค่า 5.4 พันล้านดอลลาร์ และเกิดขึ้นเพียงเจ็ดเดือนหลังจากบริษัทพยายามเข้าซื้อกิจการ Wiz ด้วยข้อเสนอมูลค่า 23 พันล้านดอลลาร์ แต่ไม่สำเร็จ

นอกจากนี้ ที่ผ่านมา Google ยังได้เข้าซื้อกิจการที่เกี่ยวข้องกับความปลอดภัยอื่น ๆ ได้แก่ VirusTotal (ในเดือนกันยายน 2012) และ Siemplify (ในเดือนมกราคม 2022)

ที่มา : thehackernews

Ransomware Black Basta ได้สร้าง Automated Brute-forcing Framework เรียกว่า "BRUTED" เพื่อเจาะอุปกรณ์เครือข่ายไฟร์วอลล์ และ VPN โดย Büyükkaya นักวิจัยที่ค้นพบระบุว่า Black Basta ได้ใช้ BRUTED มาตั้งแต่ปี 2023 เพื่อโจมตีแบบ Credential-stuffing

จากการวิเคราะห์ Code แสดงให้เห็นว่า Framework นี้ได้รับการออกแบบมาเพื่อ Brute-force Credentials บนระบบ VPN และการเข้าถึงจากระยะไกลบนบนผลิตภัณฑ์ SonicWall NetExtender, Palo Alto GlobalProtect, Cisco AnyConnect, Fortinet SSL VPN, Citrix NetScaler (Citrix Gateway), Microsoft RDWeb (Remote Desktop Web Access) และ WatchGuard SSL VPN

Framework จะค้นหาอุปกรณ์ที่เข้าถึงได้จาก Public ที่ตรงกับรายการเป้าหมาย โดยการใช้ Subdomain Enumeration หรือการระบุที่อยู่ IP และการเพิ่มคำนำหน้าเช่น ".vpn" หรือ "remote" และข้อมูลจะถูกส่งกลับไปยังเซิร์ฟเวอร์ C2 ของผู้โจมตี

เมื่อระบุเป้าหมายได้ BRUTED จะดึงข้อมูลรหัสผ่านที่น่าจะเป็นไปได้จาก remote server และร่วมกับการคาดเดารหัส โดย Framework สามารถดึงชื่อ Common Name (CN) และ Subject Alternative Names (SAN) ออกจาก SSL certificates ของอุปกรณ์เป้าหมายได้ ซึ่งจะช่วยสร้างการคาดเดารหัสผ่านที่น่าจะเป็นไปได้เพิ่มเติมตามโดเมน และการตั้งชื่อของเป้าหมาย

ต่อมาคือการทำ Authentication ทดลอง Login หลายครั้ง ผ่าน CPU หลายตัว ซึ่งมี Code ตัวอย่างจากนักวิจัย แสดงให้เห็นว่ามี Code เฉพาะของแต่ละอุปกรณ์ที่เป็นเป้าหมาย โดยที่มีการใช้ Proxy SOCKS5 เพื่อหลีกเลี่ยงการตรวจจับเพิ่มเติม

BRUTED ยังช่วยเพิ่มประสิทธิภาพการทำงานของกลุ่ม Ransomware เนื่องจากความสามารถในการพยายามเจาะเครือข่ายจำนวนมากพร้อมกัน ส่งผลให้มีโอกาสโจมตีสำเร็จมากขึ้น

แนวทางการป้องกันที่สำคัญคือ การบังคับใช้รหัสผ่านที่คาดเดาได้ยาก และไม่ซ้ำกันของแต่ละอุปกรณ์ รวมถึงบัญชี VPN ทั้งหมด และใช้การยืนยันตัวตนแบบหลายปัจจัย (MFA) เพื่อบล็อกการเข้าถึง แม้ว่า Credential จะถูก Compromise ไปแล้วก็ตาม นอกจากนี้ควร Monitor การ Authentication จากตำแหน่งที่ผิดปกติ และการพยายามเข้าสู่ระบบไม่สำเร็จปริมาณมาก รวมถึงกำหนด Policy สำหรับจำกัดการ Login

ที่มา : bleepingcomputer

แคมเปญฟิชชิ่งขนาดใหญ่ได้โจมตี repositories บน GitHub เกือบ 12,000 รายการ โดยสร้าง "Security Alert" ปลอมเพื่อหลอกให้นักพัฒนาอนุญาตให้แอป OAuth ที่เป็นอันตรายเข้าถึงบัญชีของพวกเขา ซึ่งทำให้ผู้โจมตีสามารถเข้าควบคุมบัญชี และโค้ดได้อย่างเต็มที่

โดยข้อความในฟิชชิ่งบน GitHub จะระบุว่า "Security Alert: Unusual Access Attempt เราตรวจพบความพยายามเข้าสู่ระบบบัญชี GitHub ของคุณจากตำแหน่งที่ตั้ง หรืออุปกรณ์ใหม่"

ข้อความฟิชชิ่งทั้งหมดบน GitHub มีข้อความลักษณะเดียวกัน โดยเตือนผู้ใช้งานว่ามีการเข้าสู่ระบบที่ผิดปกติจากเมืองเรคยาวิก ประเทศไอซ์แลนด์ และจาก IP Address 53.253.117.8

นักวิจัยด้านความปลอดภัยทางไซเบอร์ Luc4m เป็นคนแรกที่พบการแจ้งเตือนความปลอดภัยปลอม ซึ่งเตือนผู้ใช้ GitHub ว่าบัญชีของพวกเขาถูกบุกรุก และแนะนำให้เปลี่ยนรหัสผ่าน ตรวจสอบ และจัดการเซสชันที่ใช้งานอยู่ และเปิดใช้งานตรวจสอบสิทธิ์สองขั้นตอน (2FA) เพื่อรักษาความปลอดภัยให้กับบัญชีของตน

อย่างไรก็ตาม ลิงก์ทั้งหมดที่แนบมากับคำแนะนำเหล่านี้กลับนำผู้ใช้ไปยังหน้าการให้สิทธิ์ ของ GitHub สำหรับแอป OAuth ชื่อ "gitsecurityapp" ซึ่งร้องขอสิทธิ์การเข้าถึงที่มีความเสี่ยงสูง และจะทำให้ผู้โจมตีสามารถเข้าควบคุมบัญชี และ repositories ของผู้ใช้ได้อย่างสมบูรณ์

รายการสิทธิ์ที่ขอ และการเข้าถึงที่ได้รับ

repo: ให้สิทธิ์เข้าถึง repositories สาธารณะ และส่วนตัวได้อย่างเต็มที่
user: สามารถอ่าน และเขียนข้อมูลโปรไฟล์ของผู้ใช้
read:org: อ่านข้อมูลสมาชิกองค์กร, โปรเจกต์ขององค์กร และการเป็นสมาชิกทีม
read:discussion, write:discussion: อ่าน และเขียนเพื่อการเข้าถึงการสนทนา
gist: เข้าถึง GitHub Gists
delete_repo: มีสิทธิ์ลบ repositories
workflows, workflow, write:workflow, read:workflow, update:workflow: ควบคุม GitHub Actions workflows ได้

หากผู้ใช้ GitHub ลงชื่อเข้าใช้ และอนุญาตให้แอป OAuth ที่เป็นอันตรายเข้าถึง ระบบจะสร้างโทเค็นการเข้าถึง และส่งกลับไปยัง callback address ของแอป ซึ่งในแคมเปญนี้พบว่าเป็นหน้าเว็บเพจที่โฮสต์บน onrender.