กลุ่มแฮกเกอร์พม่าซึ่งใช้ชื่อว่า Myanmar Hackers มีการเริ่มปฏิบัติการโจมตีระบบของเว็บไซต์ส่วนราชการและรัฐบาลเพื่อแสดงออกในเชิงต่อต้านการทำรัฐประหาร โดยเป้าหมายที่ถูกโจมตีไปแล้วนั้นได้แก่ Central Bank, หน้าประชาสัมพันธ์ของกองทัพพม่า, สถานีโทรทัศน์ และหน่วยงานอื่น ๆ

Matt Warren จากมหาวิทยาลัย RMIT ของออสเตรเลียให้สัมภาษณ์กับทาง AFP ว่า ลักษณะของการโจมตีที่เกิดขึ้นนั้นดูเหมือนว่าจะมีเป้าหมายในการประชาสัมพันธ์ ปลุกระดมและเผยแพร่ข่าวสารต่อต้านการทำรัฐประหารที่เกิดขึ้นเมื่อช่วงต้นเดือนที่ผ่านมาในลักษณะ Hacktivism ผ่านการโจมตีด้วยเทคนิค Denial of Service (DoS) และการแฮกเพื่อเปลี่ยนหน้าเว็บไซต์ (Defacement)

นอกเหนือจากการโจมตีโดยกลุ่ม Myanmar Hackers แบบ Hacktivism แล้ว มีการตรวจพบการเผยแพร่ข้อมูลจากกลุ่ม DDoSecrets ซึ่งเป็นกลุ่มองค์กรไม่แสวงหาผลกำไรอีกกลุ่มหนึ่ง โดยเป็นข้อมูลจำนวน 330GB ที่ประกอบไปด้วยข้อมูลการจดทะเบียนบริษัท, ข้อมูลสแกนของเอกสารสำคัญทางราชการ รวมไปถึงเอกสารทางการเงิน กลุ่ม DDoSecrets ระบุว่าข้อมูลดังกล่าวถูกดึงมาจากระบบ myco.

Kia Motors America ถูกโจมตีด้วย Ransomware โดยกลุ่ม DoppelPaymer ซึ่งส่งผลกระทบให้ระบบไอทีของบริษัทหยุดการให้บริการ อีกทั้งยังถูกเรียกร้องค่าไถ่สำหรับตัวถอดรหัสและการไม่เปิดเผยข้อมูลที่ขโมยมารั่วไหลสู่สาธารณะเป็นจำนวนเงิน 20 ล้านดอลลาร์

ตามรายงานข่าวระบุว่า Kia Motors America ประสบปัญหาระบบไอทีหยุดให้บริการทั่วประเทศในสหรัฐอเมริกา ซึ่งการหยุดให้บริการดังกล่าวส่งผลกระทบต่อแอปพลิเคชัน UVO, ระบบการชำระเงินและเว็บไซต์ภายในที่ให้บริการกับตัวแทนจำหน่ายเกือบ 800 แห่งในสหรัฐอเมริกา

BleepingComputer ได้ทำการสอบถามไปยัง Kia Motors America และได้รับหลักฐานการโจมตีโดยเป็นโน้ตเรียกค่าไถ่จากกลุ่ม DoppelPaymer Ransomware โดยข้อความในบันทึกเรียกค่าไถ่ได้ระบุว่าเป้าหมายของกลุ่ม DoppelPaymer ในครั้งนี้นั้นคือ Hyundai Motor America ซึ่งเป็นบริษัทแม่ของ Kia อีกทั้งภายในบันทึกข้อความยังมีลิงก์ที่ลิงก์ไปยังหน้าเว็บไซต์การชำระเงินของกลุ่ม DoppelPaymer บนเครือข่าย Tor ซึ่งภายในเว็บไซต์การชำระเงินของกลุ่ม DoppelPaymer ได้ระบุข้อความเรียกร้องเงินจำนวน 404 bitcoins หรือมูลค่าประมาณ 20 ล้านดอลลาร์ (600 ล้านบาท) เพื่อแลกกับตัวถอดรหัสและการไม่เปิดเผยข้อมูลที่ขโมยมารั่วไหลสู่สาธารณะ นอกจากนี้หากทาง Kia Motors America ไม่มีการจ่ายค่าไถ่ภายในกรอบเวลาที่กำหนดจำนวนเงินจะเพิ่มเป็น 600 bitcoins หรือ 30 ล้านเหรียญ (900 ล้านบาท)

ในแถลงการณ์ล่าสุดของ Kia Motors America ได้ระบุว่าในขณะนี้ทางบริษัทกำลังประสบปัญหาระบบหยุดทำงานเป็นเวลานานและระบบที่ได้รับผลกระทบ ได้แก่ Kia Owners Portal, UVO Mobile Apps และเว็บพอร์ทัล Consumer Affairs กำลังอยู่ในการแก้ไขระบบโดยเร็วที่สุด

ที่มา: bleepingcomputer

ทีม McAfee Advanced Threat Research (ATR) ได้เปิดเผยรายละเอียดช่องโหว่ของชุดเครื่องมือ Software Development Kit (SDK) ที่ถูกใช้พัฒนา Video Calling ชื่อดังอย่าง Agora.

กระทรวงยุติธรรมสหรัฐ (Department of Justice - DoJ) ได้แจ้งข้อหาแฮกเกอร์ชาวเกาหลีเหนือ 3 คนที่ถูกกล่าวหาว่าสมคบคิดกัน ขโมยและรีดไถเงินสดและเงินสกุลดิจิตอลกว่า 1.3 พันล้านดอลลาร์จากสถาบันการเงินและกลุ่มธุรกิจอื่น ๆ

จำเลยเป็นแฮกเกอร์ชาวเกาหลีเหนือที่ได้รับการสนับสนุนจากรัฐและเป็นสมาชิกของหน่วยลาดตระเวน (Reconnaissance General Bureau - RGB) หรือที่รู้จักกันในโลกไซเบอร์คือกลุ่ม Lazarus group, Hidden Cobra หรือ Advanced Persistent Threat 38 (APT 38) ซึ่งเป็นหน่วยข่าวกรองทางทหารของเกาหลีเหนือที่มีส่วนร่วมในปฏิบัติการอาชญากรรมทางไซเบอร์

จำเลยทั้งสามคือ Jon Chang Hyok (31 ปี), Kim Il (27 ปี); และ Park Jin Hyok (36 ปี) ถูกกล่าวหาว่าได้ทำการเข้าร่วมในการสมคบคิดทางอาชญากรรมทางไซเบอร์ เพื่อดำเนินการโจมตีทางไซเบอร์ในวงกว้างและเพื่อขโมยและรีดไถเงินสกุลเงินดิจิทัลมากกว่า 1.3 พันล้านดอลลาร์จากสถาบันการเงินและบริษัทต่าง ๆ ซึ่งสำนวนฟ้องดังกล่าวได้ขยายไปถึงข้อหาที่ฟ้องในปี 2018 ที่มีต่อ Park Jin Hyok ซึ่งเป็นหนึ่งในแฮกเกอร์ที่ถูกตั้งข้อหาเกี่ยวข้องกับการโจมตีทางอินเทอร์เน็ตในปี 2014 ที่ได้ทำการโจมตีบริษัท Sony Pictures Entertainment

ทั้งนี้ผู้ที่สนใจรายละเอียดสำนวนการฟ้องของกระทรวงยุติธรรมสหรัฐที่มีต่อเเฮกเกอร์ทั้งสามสามารถอ่านต่อได้ที่: justice

ที่มา: zdnet, bleepingcomputer, thehackernews

โดยปกติในอุปกรณ์ที่ใช้ iOS นั้น หากผู้ใช้งานมีการตั้งค่า Fraudulent Website Warning ไว้ในแอป Safari เมื่อผู้ใช้งานพยายามจะเข้าเว็บไซต์ใด Safari จะทำการส่งข้อมูลที่เกี่ยวข้องกับการเข้าถึงแบบไม่สามารถระบุตัวตนได้ไปยังบริการ Safe Browsing ของ Google เพื่อตรวจสอบความเป็นอันตรายของการเข้าถึงดังกล่าว ผู้ใช้งานจะได้รับการแจ้งเตือนเป็นหน้าสีแดงหากผลลัพธ์ออกมาว่าเว็บไซต์ที่ผู้ใช้งานกำลังจะเข้าถึงนั้นเป็นอันตราย

อย่างไรก็ตามแม้ว่าข้อมูลที่ Safari ส่งให้กับ Safe Browsing จะอยู่ในสถานะที่ปราศจากข้อมูลส่วนบุคคลหรือข้อมูลที่บ่งชี้พฤติกรรมการใช้งานได้ Google ก็ยังคงทราบหมายเลขไอพีแอดเดรสของอุปกรณ์ที่ส่งข้อมูลมาอยู่ดี

หลังจากความตั้งใจของแอปเปิลเกี่ยวกับการพยายามเพิ่มความเป็นส่วนตัวของผู้ใช้งานซึ่งแสดงให้เห็นจากหลายฟีเจอร์ที่ถูกเพิ่มเข้ามาใน iOS หนึ่งในฟีเจอร์อีกหนึ่งอย่างที่กำลังจะเพิ่มเข้ามาใน iOS 14.5 นั้นคือการทำพร็อกซีให้กับแอป Safari ก่อนที่จะมีการส่งข้อมูลไปยัง Safe Browsing ซึ่งจะส่งผลให้หมายเลขไอพีแอดเดรสทั้งหมดที่ Safe Browsing จะเห็นนั้นเป็นหมายเลขไอพีเดียวกัน

ฟีเจอร์นี้ได้ถูกอิมพลีเมนต์ลงไปแล้วใน iOS 14.5 beta หลังจากที่ถูกค้นพบโดยผู้ใช้งาน Reddit ซึ่งใช้ชื่อบัญชีว่า jaydenkieran โดย Apple อาจมีจะมีการปล่อย iOS รุ่นใหม่นี้ในช่วงเดือนกุมภาพันธ์/มีนาคมที่จะถึงนี้

ที่มา: zdnet

Bob Gualtieri นายอำเภอของเขต Pinellas County เมือง Oldsmar รัฐฟลอริดา ประเทศสหรัฐอเมริกา ได้แถลงถึงกรณีที่แฮกเกอร์ได้ทำการบุกรุกเข้าถึงระบบคอมพิวเตอร์ของโรงบำบัดน้ำในเมือง Oldsmar และได้ทำการปรับเปลี่ยนระบบการควบคุมระดับสารเคมีที่ใช้ในโรงบำบัดให้เป็นระดับที่เป็นอันตราย

การบุกรุกเกิดขึ้นในวันศุกร์ที่ 5 กุมภาพันธ์ที่ผ่านมา โดยการโจมตีดังกล่าวเกิดขึ้นก่อนการแข่งขัน Super Bowl LV ของ NFL ใน Tampa Bay เพียงสองวัน ซึ่งแฮกเกอร์ได้เข้าถึงระบบคอมพิวเตอร์ที่สามารถตั้งค่าการควบคุมระบบการบำบัดน้ำได้จากระยะไกลผ่านซอฟต์แวร์ TeamViewer ครั้งแรกเวลา 8.00 น และครั้งที่สอง 13.30 น. โดยการเข้าถึงระบบครั้งที่สองนี้เจ้าหน้าที่ผู้ปฏิบัติงานที่กำลังตรวจสอบระบบและเห็นแฮกเกอร์กำลังเลื่อนเคอร์เซอร์ของเมาส์บนหน้าจอเพื่อเข้าถึงซอฟต์แวร์ที่ใช้ในการบำบัดน้ำ

แฮกเกอร์ได้ทำการการตั้งค่าสารโซเดียมไฮดรอกไซด์ที่ถูกใช้เพื่อควบคุมความเป็นกรดของน้ำและกำจัดโลหะออกจากน้ำดื่มในโรงบำบัดน้ำ จากประมาณ 100 ส่วนต่อล้านเป็น 11,100 ส่วนต่อล้าน ซึ่งเป็นการเพิ่มขึ้นอย่างมีนัยสำคัญและอาจเป็นอันตรายต่อประชาชนในเมืองได้

เนื่องจากการโจมตีดังกล่าวถูกเจ้าหน้าที่ผู้ปฏิบัติงานตรวจจับได้ทันเวลาก่อนที่ระดับสารเคมีในน้ำจะถูกนำไปใช้ในระบบการส่งน้ำในเมืองและหลังจากการตรวจจับการโจมตี เจ้าหน้าที่ผู้ปฏิบัติงานได้ทำการแก้ไขระบบการตั้งค่าระดับสารเคมีให้กลับมาเป็นปกติทันที

ปัจจุบันทางการเมือง Pinellas County, หน่วยงาน FBI และหน่วย Secret Service ของสหรัฐ กำลังร่วมกันสอบสวนหาผู้กระทำการโจมตีครั้งนี้

ที่มา: zdnet, bleepingcomputer

Singtel บริษัทเทเลคอมสัญชาติสิงคโปร์ประกาศการค้นพบการบุกรุกเครือข่ายซึ่งมีที่มาจากช่องโหว่ของผลิตภัณฑ์ Accellion File-transfer Appliance (FTA) หลังจากที่มีการตรวจพบและมีการแก้ไขแพตช์ไปบางส่วนแล้วเมื่อช่วงต้นปีที่ผ่านมา เหยื่อจากการโจมตี จากช่องโหว่ยังรวมไปถึงหน่วยงานวิจัยด้านสุขภาพในออสเตรเลียด้วย

อ้างอิงจากประกาศของ Accellion ผลิตภัณฑ์ FTA ถูกตรวจพบว่ามีช่องโหว่ตั้งแต่ในช่วงกลางเดือนธันวาคมโดยทางบริษัทได้ดำเนินการแก้ไขแพตช์โดยทันที อย่างไรก็ตามการแก้ไขแพตช์ที่เกิดขึ้นนั้นครอบคลุมช่องโหว่เพียงแค่บางส่วน Accellion ระบุว่าทางบริษัทมีการตรวจพบในภายหลังว่ามีช่องโหว่อยู่อีกหลายรายการ จนดำเนินการมาถึงช่วงเดือนมกราคมที่ช่องโหว่ถูกนำมาใช้ในการโจมตี ในปัจจุบัน แพตช์ล่าสุดของอุปกรณ์ได้รับการปล่อยไปแล้วในวันที่ 27 ธันวาคม อย่างไรก็ตามความสามารถในการรับแพตช์ไปอัปเดตก็อาจเป็นปัญหาหนึ่งที่ผู้โจมตีนำมาใช้เพื่อฉวยโอกาสในการโจมตีได้

จากประกาศของ Singtel ทางบริษัทยังไม่สามารถระบุความเสียหาย ผลกระทบ รวมไปถึงเป้าหมายในการโจมตีได้อย่างชัดเจน เนื่องจาก Singtel มีบริการอยู่ในหลายประเทศรวมไปถึงกับทาง AIS ในประเทศไทย การประเมินผลกระทบจึงจำเป็นต้องทำอย่างถี่ถ้วนเพื่อให้แน่ใจถึงขอบเขตของความเสียหายอย่างชัดเจน ไอ-ซีเคียวจะรายงานหากมีข้อมูลเพิ่มเติมต่อไป

ที่มา: threatpost

Adobe ได้เปิดตัวแพตช์อัปเดตด้านความปลอดภัยประจำเดือนกุมภาพันธ์ 2021 โดยในเดือนกุมภาพันธ์นี้ Adobe ได้ทำการแก้ไขช่องโหว่ 50 รายการที่ส่งผลกระทบต่อผลิตภัณฑ์ 7 รายการ ได้แก่ Adobe Reader, Acrobat, Magento, Photoshop, Animate, Illustrator และ Dreamweaver

ช่องโหว่ที่สำคัญระดับความรุนแรง “Critical” ถูกติดตามด้วยรหัส CVE-2021-21017 ซึ่งเป็นช่องโหว่ Heap-based Buffer Overflow ที่อาจทำให้ผู้โจมตีที่เเฝงโค้ดที่เป็นอันตรายบนเว็บไซต์สามารถเรียกใช้โค้ดจากระยะไกลบนคอมพิวเตอร์ที่มีช่องโหว่ได้ รวมถึงการรันคำสั่งและติดตั้งมัลแวร์บนคอมพิวเตอร์ของเหยื่อได้ โดยช่องโหว่ดังกล่าวจะมีผลกระทบกับ Adobe Acrobat และ Reader สำหรับ Windows และ macOS

นอกเหนือจากช่องโหว่ของผลิตภัณฑ์ Reader แล้ว Adobe ยังได้แก้ไขช่องโหว่ที่สำคัญอื่น ๆ ในผลิตภัณฑ์ Magento จำนวน 18 รายการ, Acrobat และ Reader จำนวน 23 รายการ, Photoshop จำนวน 5 รายการ, Adobe Animate จำนวน 1 รายการ, Adobe Illustrator จำนวน 2 รายการและ Adobe Dreamweaver จำนวน 1 รายการ

Adobe แนะนำให้ผู้ใช้ทำการรีบอัปเดตแพตช์ด้านความปลอดภัยให้เป็นเวอร์ชันล่าสุดอย่างเร่งด่วนเพื่อป้องกันผู้ประสงค์ร้ายใช้ประโยชน์จากช่องโหว่เพื่อทำการโจมตีระบบที่ไม่ได้รับการอัปเดตแพตช์ด้านความปลอดภัย

ที่มา: bleepingcomputer

ไมโครซอฟต์ประกาศแพตช์ช่องโหว่ด้านความปลอดภัยใน Patch Tuesday รอบเดือนกุมภาพันธ์ 2021 เมื่อวานนี้ ซอฟต์แวร์ที่ได้รับแพตช์ในรอบนี้สูงสุดยังคงเป็น Windows ซึ่งได้รับแพตช์ไปทั้งหมด 28 รายการจากทั้งหมด 64 CVE ในมุมของผลกระทบนั้น มีช่องโหว่ทั้งหมด 11 รายการที่ถูกระบุอยู่ในเกณฑ์ Critical

จากรายการที่ประกาศ ทีมนักวิจัยจาก DB App Security ได้ตรวจพบว่าช่องโหว่ CVE-2021-1732 ซึ่งเป็นช่องโหว่ Privilege escalation ใน Windows Kernel ได้ถูกนำมาใช้โจมตีจริงโดยกลุ่ม APT ทีมนักวิจัยได้มีการเขียนรายงานการตรวจพบและการวิเคราะห์ช่องโหว่เอาไว้ ซึ่งสามารถอ่านเพิ่มได้ที่ dbappsecurity

ในขณะเดียวกัน มีการค้นพบช่องโหว่ RCE ระดับ Critical (CVSS 9.8/10) ใน TCP/IP stack ของ Windows ทั้งหมด 2 รายการ จากลักษณะของช่องโหว่ มีความเป็นไปได้สูงว่าช่องโหว่สามารถถูกโจมตีได้จากระยะไกลเพื่อรันโค้ดที่เป็นอันตราย

แพตช์ล่าสุดในรอบนี้ยังมีการแก้แพตช์ช่องโหว่รหัส CVE-2021-1733 ซึ่งเป็นช่องโหว่ Privilege escalation ในเครื่องมือ PsExec ด้วย ช่องโหว่นี้ได้เคยมีการพยายามแก้ไขแพตช์ในเครื่องมือ PsExec แล้วเมื่อเดือนมกราคม อย่างไรก็ตามนักวิจัยด้านความปลอดภัย David Wells ระบุว่าแพตช์ที่เกิดขึ้นในเดือนมกราคมนั้นไม่สมบูรณ์ ซึ่งส่งผลให้แพตช์ถูกบายพาสและยังคงโจมตีช่องโหว่ได้

ขอให้ผู้ใช้งานและผู้ดูแลระบบดำเนินการอัปเดตแพตช์โดยด่วนเพื่อจัดการความเสี่ยงที่จะมีการโจมตีโดยใช้ช่องโหว่เหล่านี้

ที่มา: zdnet,dbappsecurity,twitter,bleepingcomputer

บริษัทเกมชื่อดัง CD Projekt Red ผู้ผลิตเกมชื่อดังอย่าง Cyberpunk 2077 ออกมาประกาศว่าบริษัทตกเป็นเหยื่อล่าสุดของการโจมตีแบบพุ่งเป้าโดยมัลแวร์เรียกค่าไถ่ โดยผู้โจมตีได้เข้าถึงระบบภายใน เก็บและโอนถ่ายข้อมูลบางส่วนออก จากนั้นทำการเข้ารหัสข้อมูลส่วนที่เหลือพร้อมกับเรียกค่าไถ่

เคสการโจมตี CD Projekt Red นับว่าเป็นกรณีศึกษาที่ดีมากกรณีหนึ่ง เนื่องจากทางบริษัทได้มีการทำแบ็คอัพระบบเอาไว้เสมอ และแบ็คอัพดังกล่าวนั้นไม่ได้รับผลกระทบจากการโจมตี ทางบริษัทจึงมีแผนที่จะไม่จ่ายค่าไถ่และกู้คืนระบบขึ้นมาจากแบ็คอัพโดยทันที นอกจากนั้น CD Projekt Red ยังได้มีการออกแถลงการณ์อย่างเป็นทางการ และให้ข้อมูลเกี่ยวกับการโจมตีซึ่งรวมไปถึงโน้ตเรียกค่าไถ่ที่ผู้โจมตีทิ้งเอาไวด้วย

จากข้อมูลที่เผยแพร่โดย CD Projekt Red นักวิจัยด้านความปลอดภัย Fabian Wosar จาก Emsisoft ได้เชื่อมโยงข้อมูลดังกล่าวและพบความสอดคล้องกับกลุ่มมัลแวร์เรียกค่าไถ่ที่ใช้ชื่อว่า HelloKitty ซึ่งเริ่มมีปฏิบัติการตั้งแต่เดือนพฤศจิกายนปีที่แล้ว เป็นต้นมา กลุ่ม HelloKitty ยังเคยทำการโจมตีบริษัทด้านพลังงานสัญชาติบราซิลอย่าง CEMIG ด้วย

ในขณะนี้ข้อมูลเกี่ยวกับผู้โจมตีและภัยคุกคามยังมีเพียงแค่ส่วนที่เป็นมัลแวร์เรียกค่าไถ่ ยังไม่ปรากฎข้อมูลเพิ่มเติมว่าผู้โจมตีมีพฤติกรรมการโจมตีอย่างไรบ้างจนสามารถรันมัลแวร์เรียกค่าไถ่ได้ในท้ายที่สุด ขอให้ติดตามการอัปเดตข้อมูลในอนาคตต่อไป

ผลจากการโจมตี CD Projekt Red เริ่มทำให้มีผู้แอบอ้างว่าได้ครอบครองข้อมูลจากการโจมตีบริษัทฯ และพร้อมจะนำมาเปิดประมูลขายให้กับผู้ให้ราคาสูงสุด ทั้งนี้ยังไม่มีการประกาศขายหรือการประมูลใดที่มีข้อมูลยืนยันและน่าเชื่อมากพอว่าผู้ที่ประกาศขายนั้นมีการครอบครองข้อมูลจริง

ที่มา: twitter, facebook, bleepingcomputer, securityweek, theregister, threatpost, zdnet, bleepingcomputer, twitter