แฮ็กเกอร์ใช้ช่องโหว่ฟีเจอร์ remote control ของ Zoom เพื่อขโมยคริปโตผู้ใช้งาน

กลุ่มผู้โจมตีที่มีชื่อว่า ‘Elusive Comet’ มุ่งเป้าโจมตีไปยังผู้ใช้คริปโตเคอร์เรนซี โดยใช้เทคนิค Social Engineering ร่วมกับฟีเจอร์ remote control ของ Zoom เพื่อหลอกให้เหยื่อยินยอมให้เข้าถึงเครื่องคอมพิวเตอร์ของตน (more…)

แฮ็กเกอร์ที่ได้รับการสนับสนุนจากรัฐใช้วิธี ClickFix Social engineering เทคนิค

การโจมตีแบบ ClickFix กำลังได้รับความนิยมเพิ่มขึ้นในหมู่แฮ็กเกอร์ โดยเฉพาะกลุ่มที่ได้รับการสนับสนุนจากรัฐบาลเกาหลีเหนือ, อิหร่าน และรัสเซีย ซึ่งได้นำเทคนิคนี้ไปใช้ในปฏิบัติการล่าสุด (more…)

บัญชี Microsoft Entra ถูกล็อกเนื่องจากความผิดพลาดในการจัดการ token ของผู้ใช้

Microsoft ยืนยันว่าเหตุการณ์บัญชี Entra ถูกล็อกในช่วงสุดสัปดาห์ที่ผ่านมา เกิดจากการที่ refresh tokens ของผู้ใช้ถูกยกเลิกโดยไม่ได้ตั้งใจ เนื่องจากมีการ logged token เหล่านั้นลงในระบบภายในของบริษัทอย่างไม่ถูกต้อง (more…)

แฮ็กเกอร์ใช้ “Proton66” ซึ่งเป็น Bulletproof Host ของรัสเซียในการโจมตี และแพร่กระจายมัลแวร์ทั่วโลก

 

นักวิจัยด้านความปลอดภัยทางไซเบอร์เปิดเผยถึงการเพิ่มขึ้นของ "การสแกนจำนวนมาก, การเดารหัสผ่าน (Brute-force) และการพยายามโจมตีช่องโหว่" จาก IP Address ที่เชื่อมโยงกับผู้ให้บริการโฮสติ้งสัญชาติรัสเซียชื่อว่า Proton66 ที่มักเพิกเฉย หรือไม่สนใจการร้องขอข้อมูลจากเจ้าหน้าที่บังคับใช้กฎหมาย

การดำเนินการดังกล่าวถูกตรวจพบตั้งแต่วันที่ 8 มกราคม 2025 โดยมีเป้าหมายเป็นองค์กรต่าง ๆ ทั่วโลก ตามรายงานวิเคราะห์ที่เผยแพร่โดย Trustwave SpiderLabs เมื่อสัปดาห์ที่ผ่านมา

นักวิจัยด้านความปลอดภัย Pawel Knapczyk และ Dawid Nesterowicz ระบุว่า "Net blocks 45.135.232.0/24 และ 45.140.17.0/24 มีการใช้งานสูงเป็นพิเศษในด้านการสแกนแบบกลุ่ม และการพยายามเดารหัสผ่าน (Brute-force) โดย IP Address ที่ต้องสงสัยหลายรายการไม่เคยมีประวัติเกี่ยวข้องกับการดำเนินการที่เป็นอันตราย หรือไม่ได้ใช้งานมานานกว่า 2 ปี"

Proton66 จากรัสเซียนี้ ถูกประเมินว่ามีความเชื่อมโยงกับระบบอัตโนมัติอีกระบบหนึ่งที่ชื่อ Prospero โดยเมื่อปีที่แล้ว บริษัทด้านความปลอดภัยของฝรั่งเศสชื่อ Intrinsec ได้เปิดเผยความเชื่อมโยงของระบบดังกล่าวกับบริการ bulletproof ที่ถูกโฆษณาอยู่ในฟอรัมอาชญากรรมไซเบอร์ของรัสเซียภายใต้ชื่อ Securehost และ BEARHOST

มัลแวร์หลายกลุ่ม รวมถึง GootLoader และ SpyNote ได้ใช้บริการของ Proton66 ในการโฮสต์เซิร์ฟเวอร์ Command-and-Control (C2) และเพจฟิชชิ่ง เมื่อเดือนกุมภาพันธ์ที่ผ่านมา Brian Krebs นักข่าวด้านความปลอดภัยไซเบอร์เปิดเผยว่า Prospero ได้เริ่มกำหนดเส้นทางการดำเนินงานผ่านเครือข่ายที่ดำเนินการโดย Kaspersky Lab ซึ่งเป็นผู้ให้บริการแอนตี้ไวรัสของรัสเซียในกรุงมอสโกว

อย่างไรก็ตาม Kaspersky ปฏิเสธว่าไม่ได้มีความเกี่ยวข้องกับ Prospero และอธิบายว่า “การกำหนดเส้นทางผ่านเครือข่ายของ Kaspersky ไม่ได้หมายความว่าเป็นการใช้บริการของบริษัทโดยตรง เนื่องจากเส้นทางของระบบอัตโนมัติ (AS) ของ Kaspersky อาจปรากฏเป็น prefix ทางเทคนิคในเครือข่ายของผู้ให้บริการโทรคมนาคมที่บริษัททำงานร่วมด้วย และให้บริการ DDoS Protection อยู่”

การวิเคราะห์ล่าสุดของ Trustwave พบว่า มี requests ที่เป็นอันตรายซึ่งมีต้นทางมาจากบล็อกเครือข่าย Proton66 (193.143.1[.]65) ในเดือนกุมภาพันธ์ 2025 ซึ่งพยายามโจมตีช่องโหว่ระดับ Critical ล่าสุดบางรายการ

CVE-2025-0108 – ช่องโหว่ Authentication Bypass ใน Palo Alto Networks PAN-OS

CVE-2024-41713 – ช่องโหว่ input validation ที่ไม่เหมาะสมใน NuPoint Unified Messaging (NPM) component ของ Mitel MiCollab

CVE-2024-10914 – ช่องโหว่ Command Injection บนอุปกรณ์ D-Link NAS

CVE-2024-55591 และ CVE-2025-24472 – ช่องโหว่ Authentication Bypass ในระบบปฏิบัติการ Fortinet FortiOS

มีข้อสังเกตว่า การใช้ช่องโหว่สองรายการใน Fortinet FortiOS ถูกระบุว่าเป็นฝีมือของกลุ่ม Mora_001 ซึ่งถูกพบว่ามีการใช้งานแรนซัมแวร์สายพันธุ์ใหม่ที่ชื่อว่า SuperBlack

 

บริษัทด้านความปลอดภัยไซเบอร์ยังระบุเพิ่มเติมว่า ได้ตรวจพบแคมเปญมัลแวร์หลายรายการที่เชื่อมโยงกับ Proton66 ซึ่งมีเป้าหมายในการแพร่กระจายมัลแวร์ตระกูลต่าง ๆ เช่น XWorm, StrelaStealer และแรนซัมแวร์ชื่อว่า WeaXor

อีกหนึ่งพฤติกรรมที่น่าสนใจคือ การใช้งานเว็บไซต์ WordPress ที่ถูกโจมตี ซึ่งเชื่อมโยงกับ IP address ของ Proton66 "91.212.166[.]21" เพื่อเปลี่ยนเส้นทางผู้ใช้อุปกรณ์ Android ไปยังหน้าเว็บฟิชชิ่งที่เลียนแบบหน้ารายละเอียดแอปใน Google Play เพื่อหลอกให้ผู้ใช้ดาวน์โหลดไฟล์ APK ที่เป็นอันตราย

การเปลี่ยนเส้นทางนี้เกิดขึ้นผ่าน JavaScript ที่ฝังโค้ดอันตราย ซึ่งโฮสต์อยู่บน IP address ของ Proton66 จากการวิเคราะห์ชื่อโดเมนปลอมของ Google Play พบว่าแคมเปญนี้ถูกออกแบบมาเพื่อเจาะกลุ่มเป้าหมายที่ใช้ภาษาฝรั่งเศส, สเปน และกรีก

นักวิจัยอธิบายว่า “สคริปต์สำหรับเปลี่ยนเส้นทางนั้นถูกทำให้ซับซ้อน และมีการตรวจสอบหลายขั้นตอนกับเหยื่อ เช่น การแยกโปรแกรมค้นหา และผู้ใช้ VPN หรือ proxy ออกไป โดยระบบจะดึง IP ของผู้ใช้ผ่านการ query ไปยัง ipify.

ASUS ยืนยันพบช่องโหว่ระดับ Critical ในเราเตอร์ AiCloud แนะนำผู้ใช้งานให้อัปเดตเฟิร์มแวร์โดยด่วน

ASUS เปิดเผยช่องโหว่ระดับ Critical ซึ่งส่งผลกระทบต่อเราเตอร์ที่เปิดใช้งานฟีเจอร์ AiCloud โดยช่องโหว่นี้อาจทำให้ผู้โจมตีจากภายนอกสามารถเข้าถึง และสั่งการฟังก์ชันต่าง ๆ บนอุปกรณ์ที่มีความเสี่ยงได้โดยไม่ได้รับอนุญาต โดยช่องโหว่นี้มีหมายเลข CVE-2025-2492 และมีระดับความรุนแรง CVSS อยู่ที่ 9.2

ช่องโหว่นี้ได้รับการแก้ไขแล้วผ่านการอัปเดตเฟิร์มแวร์ในเวอร์ชันต่อไปนี้:

3.0.0.4_382

3.0.0.4_386

3.0.0.4_388

3.0.0.6_102

เพื่อความปลอดภัย ASUS แนะนำให้ผู้ใช้งานอัปเดตเฟิร์มแวร์ของอุปกรณ์ให้เป็นเวอร์ชันล่าสุด

โดย ASUS ระบุว่า "ควรใช้รหัสผ่านที่แตกต่างกันสำหรับเครือข่าย wireless และ administration page ของเราเตอร์ และควรใช้รหัสผ่านที่มีความยาวอย่างน้อย 10 ตัวอักษร โดยผสมตัวอักษรตัวพิมพ์ใหญ่ ตัวเลข และอักขระพิเศษ"

"ไม่ควรใช้รหัสผ่านเดียวกันสำหรับอุปกรณ์ หรือบริการมากกว่าหนึ่งรายการ และไม่ควรใช้รหัสผ่านที่มีตัวเลข หรืออักษรเรียงต่อกัน เช่น 1234567890, abcdefghij หรือ qwertyuiop"

หากไม่สามารถอัปเดตแพตช์ได้ทันที หรือเราเตอร์สิ้นสุดอายุการใช้งานแล้ว (EoL) แนะนำให้ตรวจสอบให้แน่ใจว่ารหัสผ่านสำหรับการล็อกอิน และ Wi-Fi ยากต่อการคาดเดา

อีกทางเลือกหนึ่งคือการปิดใช้งานฟีเจอร์ AiCloud และบริการใด ๆ ที่สามารถเข้าถึงจากอินเทอร์เน็ต เช่น การเข้าถึงระยะไกลผ่าน WAN, Port Forwarding, DDNS, VPN Server, DMZ, Port Triggering และ FTP

ที่มา : thehackernews

มัลแวร์ SuperCard X บน Android ใช้บัตรที่ถูกขโมยในการโจมตีแบบ NFC Relay

พบแพลตฟอร์ม malware-as-a-service (MaaS) ใหม่ที่ชื่อว่า 'SuperCard X' โดยมีเป้าหมายโจมตีอุปกรณ์ Android ผ่านการโจมตีแบบ NFC Relay ซึ่งช่วยให้สามารถทำธุรกรรมที่ point-of-sale และตู้ ATM โดยใช้ข้อมูลบัตรที่ถูกขโมยมา

SuperCard X เชื่อมโยงกับกลุ่มแฮ็กเกอร์ที่ใช้ภาษาจีน และมีลักษณะโค้ดที่คล้ายคลึงกับโปรเจกต์โอเพ่นซอร์ส NFCGate รวมถึงเวอร์ชันที่พัฒนาจากโปรเจกต์ดังกล่าวอย่าง NGate ซึ่งมีส่วนในการโจมตีในยุโรปตั้งแต่ปีที่แล้ว

แพลตฟอร์ม malware-as-a-service นี้ถูกโปรโมตผ่านช่องทาง Telegram ซึ่งยังมีการเสนอการสนับสนุนโดยตรงแก่ลูกค้า

SuperCard X ถูกพบโดยบริษัทด้านความปลอดภัยบนมือถือ Cleafy ซึ่งรายงานว่าได้พบการโจมตีที่ใช้มัลแวร์ Android นี้ในอิตาลี การโจมตีเหล่านี้ประกอบด้วยตัวอย่างมัลแวร์หลายตัวที่มีความแตกต่างกันเล็กน้อย ซึ่งแสดงให้เห็นว่าผู้ร่วมงานสามารถเลือกสร้างเวอร์ชันที่ปรับแต่งตามความต้องการเฉพาะของภูมิภาค หรือความต้องการอื่น ๆ ได้

การโจมตีของ SuperCard X ดำเนินไปอย่างไร

การโจมตีเริ่มต้นจากเหยื่อได้รับข้อความ SMS หรือ WhatsApp ปลอม ที่แอบอ้างว่าเป็นธนาคารของตน โดยอ้างว่ามีธุรกรรมที่น่าสงสัยเกิดขึ้น และขอให้เหยื่อติดต่อกลับผ่านหมายเลขโทรศัพท์เพื่อแก้ไขปัญหา

เมื่อเหยื่อติดต่อไปตามหมายเลขดังกล่าว จะมีมิจฉาชีพรับสายโดยแสร้งทำตัวเป็นเจ้าหน้าที่ฝ่ายสนับสนุนของธนาคาร จากนั้นจะใช้วิธีการ social engineering เพื่อหลอกให้เหยื่อยืนยันหมายเลขบัตร และรหัส PIN หลังจากนั้นจะพยายามโน้มน้าวให้ผู้ใช้ยกเลิกการจำกัดวงเงินใช้จ่ายผ่านแอปธนาคารของตน

ในขั้นตอนสุดท้าย ผู้ไม่หวังดีจะหลอกให้เหยื่อติดตั้งแอปอันตรายที่ชื่อว่า "Reader" ซึ่งถูกปลอมแปลงให้ดูเหมือนเป็นเครื่องมือด้านความปลอดภัย หรือการยืนยันตัวตน โดยภายในแอปนั้นแฝงมัลแวร์ SuperCard X เอาไว้

เมื่อผู้ใช้ติดตั้งแอป Reader แอปจะร้องขอสิทธิ์การเข้าถึงเพียงเล็กน้อย โดยส่วนใหญ่จะขอสิทธิ์ในการเข้าถึงโมดูล NFC ซึ่งเพียงพอสำหรับการขโมยข้อมูล

มิจฉาชีพจะสั่งให้เหยื่อนำบัตรชำระเงินมาแตะกับโทรศัพท์ของตนเองเพื่อยืนยันบัตร ซึ่งทำให้มัลแวร์สามารถอ่านข้อมูลจากชิปบนบัตร และส่งข้อมูลนั้นไปยังผู้โจมตี

จากนั้นผู้โจมตีจะรับข้อมูลดังกล่าวไว้ในอุปกรณ์ Android ของตน โดยใช้งานแอปอีกตัวที่ชื่อว่า Tapper ซึ่งทำหน้าที่จำลองการทำงานของบัตรเหยื่อด้วยข้อมูลที่ถูกขโมยมา

บัตรที่ถูกจำลองโดยผู้โจมตีสามารถใช้ชำระเงินแบบ contactless ตามร้านค้า หรือถอนเงินจากตู้ ATM ได้ แม้จะมีข้อจำกัดด้านวงเงิน โดยธุรกรรมเหล่านี้มักมีมูลค่าไม่สูง และดำเนินการได้ทันที ทำให้ดูเหมือนเป็นธุรกรรมปกติ จึงยากต่อการตรวจจับ และยกเลิกโดยธนาคาร

มัลแวร์หลบเลี่ยงการตรวจจับได้

Cleafy ระบุว่า ปัจจุบัน SuperCard X ยังไม่ถูกตรวจพบโดยเครื่องมือป้องกันไวรัสใด ๆ บน VirusTotal และการที่แอปไม่มีการขอสิทธิ์ที่เสี่ยง หรือฟีเจอร์ที่เป็นการโจมตีที่ชัดเจน เช่น การทับซ้อนหน้าจอ (screen overlaying) ทำให้มันสามารถหลบเลี่ยงการตรวจจับจากการสแกนพฤติกรรม (heuristic scans) ได้อย่างมีประสิทธิภาพ

การจำลองบัตรนั้นใช้เทคโนโลยี ATR-based (Answer to Reset) ซึ่งทำให้บัตรดูเหมือนจริง และสามารถทำงานร่วมกับเครื่องชำระเงินได้ นอกจากนี้ยังสะท้อนให้เห็นถึงความชำนาญทางเทคนิค และความเข้าใจในโปรโตคอลของสมาร์ตการ์ดอีกด้วย

อีกหนึ่งแง่มุมทางเทคนิคที่สำคัญคือการใช้ mutual TLS (mTLS) สำหรับการยืนยันตัวตนระหว่างไคลเอนต์ และเซิร์ฟเวอร์ที่ใช้ certificate-based ซึ่งช่วยป้องกันการเชื่อมต่อกับ C2 จากการ interception และการวิเคราะห์จากนักวิจัย หรือเจ้าหน้าที่ทางกฎหมาย

BleepingComputer ได้ติดต่อไปยัง Google เพื่อขอความคิดเห็นเกี่ยวกับกิจกรรมของ SuperCard X และโฆษกของ Google ได้ระบุคำแถลงการณ์ดังนี้:

“จากการตรวจสอบปัจจุบันของเรา ยังไม่พบแอปพลิเคชันที่มีมัลแวร์นี้อยู่บน Google Play ผู้ใช้ Android จะได้รับการปกป้องโดยอัตโนมัติจาก Google Play Protect ซึ่งเปิดใช้งานโดยค่าเริ่มต้นบนอุปกรณ์ Android ที่มี Google Play Services โดย Google Play Protect สามารถเตือนผู้ใช้หรือบล็อกแอปที่มีพฤติกรรมเป็นอันตราย แม้ว่าแอปเหล่านั้นจะมาจากแหล่งภายนอก Google Play ก็ตาม”

ที่มา : bleepingcomputer

CISA ยืนยันว่าช่องโหว่ของ SonicWall VPN กำลังถูกใช้ในการโจมตีจริง

เมื่อวันพุธที่ผ่านมา (16 เมษายน 2025) หน่วยงานด้านความมั่นคงปลอดภัยทางไซเบอร์ของสหรัฐฯ (Cybersecurity and Infrastructure Security Agency - CISA) ได้ออกคำเตือนให้หน่วยงานรัฐบาลกลางดำเนินการป้องกันอุปกรณ์ SonicWall Secure Mobile Access (SMA) 100 series จากการโจมตีด้วยช่องโหว่ระดับ High ซึ่งสามารถทำให้ผู้โจมตีสามารถรันโค้ดที่เป็นอันตรายจากระยะไกลได้

ช่องโหว่นี้มีหมายเลข CVE-2021-20035 โดยส่งผลกระทบต่ออุปกรณ์รุ่น SMA 200, SMA 210, SMA 400, SMA 410 และ SMA 500v (บนแพลตฟอร์ม ESX, KVM, AWS และ Azure) ซึ่งหากสามารถโจมตีได้ความสำเร็จ อาจทำให้ผู้ไม่หวังดีจากภายนอกที่มีสิทธิ์เข้าถึงเพียงแค่ในระดับต่ำสามารถเรียกใช้รันโค้ดใด ๆ ก็ได้ ด้วยเทคนิคการโจมตีที่ไม่ซับซ้อน

SonicWall ได้อธิบายในคำแนะนำด้านความปลอดภัยที่มีการอัปเดตในสัปดาห์นี้ว่า:

“การจัดการ special elements ที่ไม่เหมาะสมใน management interface ของ SMA100 อาจทำให้ผู้โจมตีที่ผ่านการยืนยันตัวตนแล้ว สามารถแทรกคำสั่งใด ๆ ได้ในฐานะผู้ใช้งาน 'nobody' ซึ่งอาจนำไปสู่การรันโค้ดที่เป็นอันตรายบนอุปกรณ์ได้”

SonicWall ได้แก้ไขช่องโหว่นี้ตั้งแต่เดือนกันยายน 2021 หรือเกือบสี่ปีที่ผ่านมา โดยในขณะนั้นบริษัทระบุว่าช่องโหว่ดังกล่าวสามารถใช้เพียงเพื่อก่อให้เกิดการโจมตีแบบปฏิเสธการให้บริการ (Denial-of-Service หรือ DoS) เท่านั้น

อย่างไรก็ตาม เมื่อวันจันทร์ที่ผ่านมา (14 เมษายน 2025) SonicWall ได้อัปเดตคำแนะนำเกี่ยวกับช่องโหว่นี้โดยระบุว่า ขณะนี้ช่องโหว่กำลังถูกใช้ในการโจมตีจริง พร้อมทั้งปรับระดับความรุนแรง CVSS จากระดับปานกลางเป็นระดับสูง และขยายขอบเขตของผลกระทบให้รวมถึง code execution

SonicWall ระบุว่า “ช่องโหว่นี้กำลังถูกใช้ในการโจมตีจริง เพื่อเป็นมาตรการเชิงป้องกัน ทีม PSIRT ของ SonicWall ได้ปรับปรุงข้อมูลสรุป และปรับระดับความรุนแรง CVSS เป็น 7.2”

CISA ได้ยืนยันว่าช่องโหว่ดังกล่าวถูกใช้ในการโจมตีจริงแล้ว โดยเพิ่มช่องโหว่นี้เข้าไปในแคตตาล็อกช่องโหว่ที่กำลังถูกใช้ในการโจมตี (Known Exploited Vulnerabilities catalog) ซึ่งเป็นรายการช่องโหว่ที่หน่วยงานฯ ยืนยันว่ามีการใช้งานในการโจมตีทางไซเบอร์

ภายใต้คำสั่ง Binding Operational Directive (BOD) 22-01 ซึ่งออกเมื่อเดือนพฤศจิกายน 2021 หน่วยงานในสังกัดฝ่ายบริหารพลเรือนของรัฐบาลกลางสหรัฐฯ (Federal Civilian Executive Branch – FCEB) จะต้องดำเนินการแก้ไขช่องโหว่นี้ภายในเวลาสามสัปดาห์ หรือภายในวันที่ 7 พฤษภาคม 2025

แม้ว่าคำสั่ง BOD 22-01 จะใช้บังคับกับหน่วยงานของรัฐบาลกลางสหรัฐฯ เท่านั้น แต่ CISA ก็แนะนำให้ผู้ดูแลระบบเครือข่ายทุกแห่งเร่งดำเนินการแก้ไขช่องโหว่นี้ทันที เพื่อป้องกันความพยายามในการเจาะระบบ

CISA เตือนว่า “ช่องโหว่ประเภทนี้มักถูกใช้เป็นช่องทางหลักในการโจมตีของผู้ไม่หวังดีทางไซเบอร์ และก่อให้เกิดความเสี่ยงอย่างมีนัยสำคัญต่อโครงสร้างพื้นฐานของหน่วยงานรัฐบาล”

เมื่อเดือนกุมภาพันธ์ที่ผ่านมา SonicWall ยังได้แจ้งเตือนถึงช่องโหว่ Authentication Bypass ที่กำลังถูกใช้ในการโจมตีจริงในไฟร์วอลล์รุ่น Gen 6 และ Gen 7 ซึ่งอาจทำให้แฮ็กเกอร์สามารถเข้าถึง VPN sessions ได้

ก่อนหน้านั้นหนึ่งเดือน บริษัทได้แนะนำให้ลูกค้ารีบติดตั้งแพตช์เพื่อแก้ไขช่องโหว่ระดับ Critical ในอุปกรณ์ SMA1000 secure access gateways หลังจากมีรายงานว่าช่องโหว่นั้นถูกใช้ในเหตุการณ์โจมตีแบบ zero-day แล้ว

ที่มา : bleepingcomputer

บริษัทบันเทิงยักษ์ใหญ่ Legends International เปิดเผยเหตุการณ์ข้อมูลรั่วไหล

 

Legends International บริษัทบริหารจัดการสถานบันเทิง แจ้งเกิดเหตุการณ์ข้อมูลรั่วไหลในเดือนพฤศจิกายน 2024 ซึ่งส่งผลกระทบต่อพนักงาน และบุคคลที่เคยเข้าใช้บริการในสถานที่ต่าง ๆ ภายใต้การดูแลของบริษัท

ในจดหมายแจ้งเตือนที่ส่งให้กับหน่วยงานที่เกี่ยวข้องบริษัทได้ระบุว่า ตรวจพบกิจกรรมที่ผิดปกติในระบบไอทีเมื่อวันที่ 9 พฤศจิกายน 2024 และได้ดำเนินการสอบสวนโดยร่วมมือกับผู้เชี่ยวชาญด้านความปลอดภัยไซเบอร์จากภายนอก

ผลการสอบสวนยืนยันว่า ผู้โจมตีได้ทำการขโมยไฟล์ข้อมูลส่วนบุคคลออกไป แม้ว่าในจดหมายแจ้งเตือนไม่ได้ระบุประเภทของข้อมูลที่ถูกเปิดเผยอย่างชัดเจน

Legends International เป็นบริษัทระดับโลกที่ให้บริการด้านกีฬา และความบันเทิง โดยครอบคลุมบริการวางแผนสถานที่, การขาย, การสร้างพันธมิตรทางธุรกิจ, การบริการลูกค้า, สินค้าที่ระลึก และโซลูชันด้านเทคโนโลยี โดยมีรายได้ต่อปีมากกว่า 1.1 พันล้านดอลลาร์สหรัฐ

บริษัทฯ บริหารจัดการสถานที่มากกว่า 350 แห่งใน 5 ทวีป รวมถึงสนาม SoFi Stadium ในลอสแอนเจลิส, One World Observatory ในนิวยอร์ก, AT&T Stadium ในรัฐเท็กซัส, สนามกีฬา Santiago Bernabeu และ Camp Nou ในประเทศสเปน รวมถึงสนาม Anfield และ OVO Arena Wembley ในสหราชอาณาจักร

เมื่อไม่นานมานี้ บริษัทได้ขยายการดำเนินงานเพิ่มเติมโดยการเข้าซื้อกิจการ ASM Global ซึ่งเป็นบริษัทบริหารจัดการสถานที่ชั้นนำที่มีเครือข่ายทั่วโลก

ขอบเขตของเหตุการณ์ข้อมูลรั่วไหล และจำนวนบุคคลที่ได้รับผลกระทบยังไม่เป็นที่แน่ชัด อย่างไรก็ตาม เมื่อพิจารณาจากขนาดการดำเนินงานของบริษัท และข้อมูลที่มีความสำคัญจำนวนมากที่บริษัทจัดการ จึงมีเหตุผลที่น่ากังวล

BleepingComputer ได้ติดต่อบริษัทเพื่อขอข้อมูลเพิ่มเติมเกี่ยวกับเหตุการณ์ แต่ยังไม่ได้รับคำชี้แจงใด ๆ ในทันที

ในจดหมายที่ส่งถึงผู้ที่ได้รับผลกระทบ Legends International ระบุว่า บริษัทมีมาตรการด้านความปลอดภัยอยู่แล้วก่อนเกิดเหตุ และได้เพิ่มมาตรการเพิ่มเติมเมื่อมีการกู้คืนระบบจากการโจมตีทางไซเบอร์ อย่างไรก็ตาม ไม่มีการเปิดเผยรายละเอียดที่ชัดเจนของมาตรการเหล่านั้น

ผู้ที่ได้รับจดหมายจะได้รับสิทธิ์ในการใช้บริการตรวจจับการโจรกรรมข้อมูลระบุตัวตนจาก Experian เป็นระยะเวลา 24 เดือน โดยสามารถลงทะเบียนได้ถึงวันที่ 31 กรกฎาคม 2025

Legends International ระบุในจดหมายว่า ขณะนี้ยังไม่พบหลักฐานว่าข้อมูลส่วนบุคคลได้ถูกนำไปใช้ในทางที่ผิดจากเหตุการณ์ครั้งนี้ แต่ก็แนะนำให้ทุกคนเพิ่มความระมัดระวัง

ณ เวลานี้ ยังไม่มีกลุ่มแรนซัมแวร์ใดออกมาแสดงความรับผิดชอบต่อการโจมตี Legends International ดังนั้นลักษณะของการโจมตี และผู้ก่อเหตุยังคงไม่ทราบแน่ชัด

ที่มา : bleepingcomputer

ผู้ไม่หวังดีเผยแพร่ข้อมูลพนักงานกว่า 33,000 รายจากเหตุการณ์ละเมิดข้อมูล API ของบริษัท Third Party

ผู้ไม่หวังดีได้เปิดเผยข้อมูลส่วนบุคคลของพนักงานมากกว่า 33,000 ราย หลังจากพบระบบที่ไม่ได้จำกัดการเข้าถึง ซึ่งเป็นของผู้ให้บริการเทคโนโลยีรายใหญ่แห่งหนึ่ง (more…)

ช่องโหว่ใน Cisco Webex ทำให้ผู้ไม่หวังดีสามารถรันโค้ดผ่านลิงก์การประชุมที่เป็นอันตรายได้

Cisco ได้เปิดเผยช่องโหว่ระดับความรุนแรงสูงในแอปพลิเคชัน Webex ที่ถูกใช้งานกันอย่างแพร่หลาย โดยเตือนผู้ใช้งานว่าผู้ไม่หวังดีสามารถใช้ช่องโหว่เพื่อรันโค้ดตามที่ต้องการบนเครื่องที่ตกเป็นเป้าหมายได้ (more…)