นักวิจัยด้านความปลอดภัยทางไซเบอร์ได้ค้นพบปัญหาด้านการเข้ารหัสที่ร้ายแรงในแพลตฟอร์ม cloud storage ที่ใช้การเข้ารหัสแบบ End-to-End (E2EE) หลายราย ซึ่งอาจถูกโจมตีเพื่อขโมยข้อมูลที่สำคัญได้ (more…)

Grafana เป็นแพลตฟอร์มโอเพ่นซอร์สสำหรับการวิเคราะห์ และแสดงผลข้อมูล ถูกพบว่ามีช่องโหว่ระดับ Critical ที่อาจนำไปสู่การเรียกใช้โค้ดที่เป็นอันตรายจากระยะไกล (Remote Code Execution) (more…)

CISA ได้เพิ่มช่องโหว่ใหม่ลงใน Known Exploited Vulnerabilities (KEV) แคตตาล็อก โดยมีหมายเลข CVE-2024-9537 ซึ่งส่งผลกระทบต่อระบบ ScienceLogic SL1 (ชื่อเดิม EM7) ซึ่งเป็นแพลตฟอร์มที่ใช้ในการตรวจสอบ และจัดการโครงสร้างพื้นฐานด้านไอทีอย่างแพร่หลาย ตามที่ CISA รายงาน ช่องโหว่นี้เกี่ยวข้องกับ third-party component packaged ที่ถูกรวมอยู่ใน SL1 ซึ่งทำให้ยากต่อการระบุลักษณะของช่องโหว่ได้อย่างชัดเจน แต่เนื่องจากเป็นช่องโหว่ที่มีความรุนแรงสูง จึงต้องให้ความสนใจ และดำเนินการแก้ไขทันที (more…)

มีการตรวจพบมัลแวร์ Bumblebee ในการโจมตีเมื่อไม่นานมานี้ หลังจากผ่านไปกว่าสี่เดือนที่ Europol ได้มีการขัดขวางการทำงานในปฏิบัติการ Operation Endgame เมื่อเดือนพฤษภาคม (more…)

นักวิจัยด้านความปลอดภัยทางไซเบอร์ได้ค้นพบปัญหาด้านการเข้ารหัสที่ร้ายแรงในแพลตฟอร์ม cloud storage ที่ใช้การเข้ารหัสแบบ End-to-End (E2EE) หลายราย ซึ่งอาจถูกโจมตีเพื่อขโมยข้อมูลที่สำคัญได้ (more…)

ผู้โจมตีทำการโจมตีบริษัท Partner ของ ESET ในอิสราเอล เพื่อส่งอีเมลฟิชชิงไปยังธุรกิจต่าง ๆ ในอิสราเอล โดยในอีเมลเหล่านั้นมีโปรแกรมลบข้อมูล (data wiper) ซึ่งปลอมตัวเป็นซอฟต์แวร์แอนตี้ไวรัส เพื่อใช้ในการโจมตี และทำลายข้อมูล (more…)

แคมเปญใหม่ที่ชื่อว่า ClickFix กำลังหลอกล่อผู้ใช้งานให้ไปที่หน้าการประชุม Google Meet ปลอม ที่แสดงข้อความ Errors ปลอมเกี่ยวกับการเชื่อมต่อ ทำให้มีการติดตั้งมัลแวร์สำหรับขโมยข้อมูลบนระบบปฏิบัติการ Windows และ macOS

ClickFix เป็นเทคนิค social-engineering ที่ถูกพบในเดือนพฤษภาคม โดยถูกรายงานครั้งแรกจากบริษัทด้านความปลอดภัยทางไซเบอร์ Proofpoint ซึ่งมาจากผู้โจมตีกลุ่ม (TA571) ที่ใช้ข้อความในการปลอมแปลงเป็น Errors สำหรับ Google Chrome, Microsoft Word และ OneDrive

ข้อผิดพลาดเหล่านี้จะกระตุ้นให้ผู้ใช้งานทำการคัดลอกโค้ด PowerShell ลงในคลิปบอร์ด โดยอ้างว่าจะช่วยแก้ปัญหาเมื่อรันโค้ดใน Windows Command Prompt

โดยจะส่งผลให้เกิดการแพร่กระจายมัลแวร์ไปยังระบบอื่น ๆ โดยมัลแวร์ที่มีการแแพร่กระจาย เช่น DarkGate, Matanbuchus, NetSupport, Amadey Loader, XMRig, a clipboard hijacker และ Lumma Stealer

ในเดือนกรกฎาคม McAfee รายงานว่าแคมเปญ ClickFix เริ่มเป็นที่นิยมมากขึ้น โดยเฉพาะในสหรัฐอเมริกา และญี่ปุ่น

รายงานฉบับใหม่จาก Sekoia ซึ่งเป็นผู้ให้บริการความปลอดภัยทางไซเบอร์แบบ SaaS ระบุว่าแคมเปญ ClickFix ได้ถูกพัฒนาขึ้นอย่างมาก โดยปัจจุบันใช้การล่อลวงผ่าน Google Meet และยังมีการใช้อีเมลฟิชชิงที่กำหนดเป้าหมายไปยังบริษัทขนส่ง และโลจิสติกส์ รวมถึงมีการทำหน้า Facebook ปลอม และมีการหลอกลวงบน GitHub อีกด้วย

ตามรายงานจากบริษัทความปลอดภัยทางไซเบอร์ของฝรั่งเศสระบุว่า แคมเปญล่าสุดบางส่วนดำเนินการโดยกลุ่มผู้โจมตี 2 กลุ่ม ได้แก่ Slavic Nation Empire (SNE) และ Scamquerteo ซึ่งถือเป็นทีมย่อยของแก๊งหลอกลวงสกุลเงินดิจิทัล Marko Polo และ CryptoLove

หลอกลวงผ่าน Google Meet

ผู้โจมตีกำลังใช้หน้าเว็บไซต์ปลอมสำหรับ Google Meet ซึ่งเป็นบริการการสื่อสารผ่านวิดีโอที่เป็นส่วนหนึ่งของ Google Workspace ที่ได้รับความนิยมในสภาพแวดล้อมขององค์กรสำหรับการประชุมทางไกล และการสัมมนาผ่านเว็บ รวมถึงการทำงานร่วมกันทางออนไลน์

ผู้โจมตีจะส่งอีเมลถึงผู้ใช้ที่มีลักษณะเหมือนคำเชิญของ Google Meet ที่ดูเหมือนเป็นของจริง ซึ่งจะเกี่ยวข้องกับการประชุม การสัมมนา หรือเหตุการณ์สำคัญอื่น ๆ

URL เหล่านี้มีความคล้ายคลึงกับลิงก์ Google Meet ที่เป็นของจริง โดยมีรายละเอียดดังนี้

meet[.]google[.]us-join[.]com
meet[.]google[.]web-join[.]com
meet[.]googie[.]com-join[.]us
meet[.]google[.]cdm-join[.]us

เมื่อผู้ใช้เข้าสู่หน้าเว็บไซต์ปลอมแล้ว ผู้ใช้จะได้รับข้อความแจ้งให้ทราบถึงปัญหาทางเทคนิค เช่น ปัญหาของไมโครโฟน หรือหูฟัง

หากผู้ใช้คลิกปุ่ม Try Fix ที่แสดงขึ้นมาจะมีการติดตั้งมัลแวร์ ClickFix โดยจะมีการ Copyโค้ด PowerShell จากเว็บไซต์ลงไปยังพรอมต์ของ Windows ภายในเครื่อง ส่งผลทำให้คอมพิวเตอร์ของผู้ใช้ติดมัลแวร์ และดึงเพย์โหลดจากโดเมน googiedrivers[.]com

เพย์โหลดในขั้นสุดท้ายคือมัลแวร์ขโมยข้อมูล Stealc หรือ Rhadamanthys บน Windows ส่วนในเครื่อง macOS ผู้โจมตีจะติดตั้ง AMOS Stealer ในรูปแบบไฟล์ .DMG (อิมเมจดิสก์ของ Apple) ที่มีชื่อว่า 'Launcher_v194'

Sekoia ได้ระบุว่า มัลแวร์ยังสามารถกระจายไปยังกลุ่มอื่นที่นอกเหนือจาก Google Meet ได้อีก เช่น โปรแกรม Zoom, โปรแกรมอ่านไฟล์ PDF, วิดีโอเกมปลอม (Lunacy, Calipso, Battleforge, Ragon), เว็บเบราว์เซอร์ และโครงการ web3 (NGT Studio) รวมไปถึงแอปส่งข้อความ (Nortex)

ที่มา : https://www.

กลุ่มแฮ็กเกอร์ที่มีชื่อเสียงอย่าง FIN7 ได้เปิดตัวเครือข่ายเว็บไซต์ปลอมที่ใช้เทคโนโลยี AI ในการสร้างภาพนู้ดปลอม เพื่อใช้ในการแพร่กระจายมัลแวร์ที่ขโมยข้อมูลให้กับผู้เข้าใช้งานเว็บไซต์

FIN7 เป็นกลุ่มแฮ็กเกอร์ชาวรัสเซียที่ได้ดำเนินการฉ้อโกงทางการเงิน และอาชญากรรมทางไซเบอร์มาตั้งแต่ปี 2013 โดยมีความเชื่อมโยงกับกลุ่มแรนซัมแวร์ เช่น DarkSide, BlackMatter และ BlackCat ซึ่งเมื่อไม่นานมานี้ได้ทำการหลอกลวงเครือข่ายพันธมิตร ด้วยการขโมยเงินค่าไถ่จำนวน 20 ล้านดอลลาร์ที่ได้มาจาก UnitedHealth

FIN7 เป็นที่รู้จักในด้านการโจมตีแบบฟิชชิ่ง และการใช้เทคนิค social engineering ที่ซับซ้อน เช่น การปลอมตัวเป็น BestBuy เพื่อส่ง USB keys ที่มีมัลแวร์ หรือการสร้างบริษัทความปลอดภัยปลอมเพื่อจ้างนักทดสอบระบบความปลอดภัย (pentesters) และนักพัฒนาซอฟต์แวร์มาทำการโจมตีด้วยแรนซัมแวร์โดยที่พวกเขาไม่รู้ตัว

ดังนั้นจึงไม่น่าแปลกใจที่พบว่าพวกเขาได้ถูกเชื่อมโยงกับเครือข่ายเว็บไซต์ ที่อ้างว่ามีโปรแกรมสร้างภาพเปลือยที่ขับเคลื่อนด้วย AI โดยอ้างว่าสามารถสร้างภาพเปลือยปลอมจากภาพถ่ายของบุคคลที่สวมใส่เสื้อผ้าได้

เทคโนโลยีนี้เป็นที่ถกเถียงกันอย่างมากเนื่องจากอาจสร้างความเสียหายให้กับผู้ถูกกระทำโดยการสร้างภาพที่ไม่เหมาะสมโดยไม่ได้รับความยินยอม และในหลายประเทศทั่วโลกเทคโนโลยีนี้ถูกห้ามใช้อย่างเด็ดขาด อย่างไรก็ตาม ความสนใจในเทคโนโลยีนี้ยังคงมีอยู่มาก

เครือข่ายของ deepnude generators

เว็บไซต์ deepnude ปลอมของ FIN7 ทำหน้าที่เป็นกับดักสำหรับผู้ที่สนใจในการสร้างภาพเปลือยปลอมของคนดังหรือบุคคลอื่น ๆ ในปี 2019 ผู้โจมตีได้ใช้เว็บไซต์คล้ายกันนี้ในการแพร่กระจายมัลแวร์ขโมยข้อมูล แม้จะเป็นช่วงก่อนที่ AI จะมีการเติบโตอย่างรวดเร็ว

เครือข่าย deepnude generators นี้ดำเนินการภายใต้แบรนด์เดียวกันที่ชื่อว่า "AI Nude" และถูกโปรโมตผ่านเทคนิค black hat SEO เพื่อดันให้เว็บไซต์เหล่านี้ติดอันดับสูงในการค้นหา

ตามรายงานของ Silent Push กลุ่ม FIN7 อยู่เบื้องหลังการดำเนินการเว็บไซต์ต่าง ๆ เช่น "aiNude[.]ai", "easynude[.]website" และ nude-ai[.]pro" โดยตรง ซึ่งเสนอ "การทดลองใช้ฟรี" หรือ "ดาวน์โหลดฟรี" แต่ในความเป็นจริงแล้ว FIN7 เพียงใช้เว็บไซต์เพื่อแพร่กระจายมัลแวร์

เว็บไซต์ทั้งหมดใช้การออกแบบที่คล้ายกันซึ่งรับประกันว่าสามารถสร้างภาพเปลือย AI ได้ฟรีจากรูปถ่ายที่อัปโหลดขึ้นไป

เว็บไซต์ปลอมเหล่านี้อนุญาตให้ผู้ใช้สามารถอัปโหลดรูปถ่ายที่ต้องการสร้างเป็นภาพ deepfake นู้ดได้ อย่างไรก็ตาม หลังจากที่อ้างว่าภาพ "deepnude" ได้ถูกสร้างขึ้นแล้ว ภาพนั้นจะไม่แสดงบนหน้าจอ แต่ผู้ใช้จะได้รับแจ้งให้คลิกลิงก์เพื่อดาวน์โหลดภาพที่สร้างขึ้น

เมื่อคลิกลิงก์ดังกล่าว ผู้ใช้จะถูกพาไปยังอีกเว็บไซต์หนึ่งที่แสดงรหัสผ่าน และลิงก์สำหรับไฟล์ที่ถูกป้องกันด้วยรหัสผ่านซึ่งถูกโฮสต์บน Dropbox แม้ว่าปัจจุบันเว็บไซต์นี้ยังคงทำงานอยู่ แต่ลิงก์ Dropbox นั้นไม่สามารถใช้งานได้แล้ว

อย่างไรก็ตาม แทนที่จะเป็นภาพ deepnude ไฟล์ที่ถูกเก็บอยู่ในไฟล์ archive นั้น แท้จริงแล้วคือมัลแวร์ขโมยข้อมูลที่ชื่อ Lumma Stealer เมื่อถูกเรียกใช้งาน มัลแวร์นี้จะขโมยข้อมูล credentials และคุกกี้ที่ถูกบันทึกในเว็บเบราว์เซอร์, กระเป๋าเงินคริปโต และข้อมูลอื่น ๆ จากคอมพิวเตอร์

Silent Push ยังพบว่าเว็บไซต์บางแห่งโปรโมตโปรแกรมสร้าง deepnude สำหรับระบบ Windows ซึ่งจะติดตั้งมัลแวร์ Redline Stealer และ D3F@ck Loader แทน โดยมัลแวร์เหล่านี้ก็ใช้ในการขโมยข้อมูลจากอุปกรณ์ที่ถูกโจมตีเช่นกัน

เว็บไซต์ทั้งเจ็ดที่ Silent Push ตรวจพบได้ถูกปิดไปแล้ว แต่ผู้ใช้ที่อาจดาวน์โหลดไฟล์จากเว็บไซต์เหล่านี้ควรพิจารณาว่าตนเองอาจติดมัลแวร์แล้ว

แคมเปญ FIN7 อื่น ๆ

Silent Push ยังตรวจพบแคมเปญอื่น ๆ ของ FIN7 ที่ปล่อยมัลแวร์ NetSupport RAT ผ่านเว็บไซต์ที่หลอกให้ผู้เข้าชมติดตั้ง extension ของเบราว์เซอร์

ในกรณีอื่น ๆ FIN7 ใช้ payloads ที่ดูเหมือนจะปลอมแปลงเป็นแบรนด์ และแอปพลิเคชันที่เป็นที่รู้จัก เช่น Cannon, Zoom, Fortnite, Fortinet VPN, Razer Gaming, และ PuTTY

Payloads เหล่านี้อาจถูกแพร่กระจายไปยังเหยื่อโดยใช้กลยุทธ์ SEO และการโฆษณาที่มีมัลแวร์หลอกให้เหยื่อดาวน์โหลดโปรแกรมติดตั้งที่แฝงโทรจันไว้

FIN7 ถูกเปิดโปงเมื่อไม่นานมานี้จากการขายเครื่องมือ "AvNeutralizer" ที่พัฒนาขึ้นเพื่อปิดการทำงานของระบบ EDR ให้กับอาชญากรไซเบอร์อื่น ๆ โดยมุ่งเป้าไปที่พนักงานไอทีของผู้ผลิตรถยนต์ในการโจมตีแบบฟิชชิ่ง และได้ใช้แรนซัมแวร์ Cl0p ในการโจมตีองค์กรต่าง ๆ

ที่มา : https://www.

กลุ่มแรนซัมแวร์ BianLian อ้างว่า ได้ทำการโจมตี Boston Children's Health Physicians (BCHP) และขู่ว่าจะเปิดเผยข้อมูลที่ขโมยมา หากไม่มีการจ่ายค่าไถ่

BHCP เป็นเครือข่ายของแพทย์ และผู้เชี่ยวชาญด้านเด็กกว่า 300 คน ซึ่งเปิดให้บริการกว่า 60 แห่ง ในเขต Hudson Valley ของรัฐนิวยอร์ก และรัฐคอนเนตทิคัต โดยให้บริการดูแลผู้ป่วยในคลินิก โรงพยาบาลชุมชน และศูนย์สุขภาพที่ร่วมมือกับโรงพยาบาลเด็กบอสตัน

ตามประกาศที่ BHCP เผยแพร่บนเว็บไซต์ของตนเอง การโจมตีทางไซเบอร์เกิดขึ้นกับผู้ให้บริการทางด้าน IT ซึ่งถูกโจมตีเมื่อวันที่ 6 กันยายน 2024 และไม่กี่วันหลังจากนั้น BHCP ก็ตรวจพบพฤติกรรมที่ผิดปกติบนเครือข่าย

BHCP ระบุว่า ในวันที่ 6 กันยายน 2024 ผู้ให้บริการทางด้าน IT แจ้งให้ BHCP ทราบว่าพบพฤติกรรมที่ผิดปกติในระบบเครือข่าย และหลังจากนั้นในวันที่ 10 กันยายน 2024 BHCP ได้ตรวจพบพฤติกรรมที่ผิดปกติบนเครือข่ายของ BCHP บางส่วน และได้เริ่มใช้ incident response protocols ทันที รวมถึงทำการปิดระบบเพื่อเป็นมาตรการป้องกัน

การตรวจสอบ ซึ่งได้รับความช่วยเหลือจากผู้เชี่ยวชาญด้าน forensic expert ได้ยืนยันว่าผู้โจมตีสามารถเข้าถึงระบบเครือข่ายของ BHCP ได้บางส่วน และยังสามารถขโมยไฟล์ออกไปได้

ข้อมูลที่ถูกขโมยออกไปส่งผลกระทบต่อพนักงาน ผู้ป่วย และผู้ค้ำประกันทั้งในอดีต และปัจจุบัน โดยข้อมูลที่ถูกขโมยออกไปจะขึ้นอยู่กับข้อมูลที่ลูกค้าให้ไว้กับ BHCP เช่น

ชื่อ-นามสกุล
หมายเลขประกันสังคม
ที่อยู่
วันเกิด
หมายเลขใบขับขี่
เลขที่บันทึกทางการแพทย์
ข้อมูลประกันสุขภาพ
ข้อมูลการเรียกเก็บเงิน
ข้อมูลการรักษา (จำกัด)

BHCP ชี้แจงว่าการโจมตีทางไซเบอร์ไม่ได้ส่งผลกระทบต่อระบบอิเล็กทรอนิกส์บันทึกทางการแพทย์ เนื่องจากระบบเหล่านี้โฮสต์อยู่บนเครือข่ายที่แยกจากกัน

ผู้ที่ได้รับการยืนยันว่าได้รับผลกระทบจากเหตุการณ์ดังกล่าวจะได้รับจดหมายจาก BHCP ภายในวันที่ 25 ตุลาคม 2024 ผู้ที่มีหมายเลขประกันสังคม (SSN) และใบขับขี่ที่ถูกเปิดเผยจะได้รับการตรวจสอบ และป้องกันเครดิตด้วย

กลุ่ม BianLian อ้างการโจมตี

เมื่อต้นสัปดาห์นี้ กลุ่มแรนซัมแวร์ BianLian อ้างว่าได้โจมตี BHCP และได้เพิ่ม BHCP ลงในพอร์ทัลการเรียกค่าไถ่ของตนเอง

ผู้โจมตีอ้างว่า มีข้อมูลการเงิน, ข้อมูลทรัพยากรบุคคล, อีเมลการสนทนา, ฐานข้อมูล, ข้อมูลระบุตัวตน และข้อมูลทางด้านสุขภาพ รวมไปถึงข้อมูลที่เกี่ยวข้องกับเด็ก

ผู้โจมตียังไม่ได้เปิดเผยข้อมูลใดออกไป และยังไม่ได้กำหนดเวลาในการเปิดเผยข้อมูลที่ขโมยมา ซึ่งบ่งบอกว่าผู้โจมตีต้องการที่จะเจรจากับ BHCP อยู่

กลุ่มแรนซัมแวร์อ้างว่าพวกเขามักจะหลีกเลี่ยงการโจมตี และขโมยข้อมูลขององค์กรด้านการดูแลสุขภาพของเด็ก แต่ผู้โจมตีบางกลุ่มก็ไม่ได้สนใจในเรื่องของหลักจริยธรรมตรงส่วนนี้

เมื่อต้นปีนี้ กลุ่มแรนซัมแวร์ Rhysida เรียกร้องค่าไถ่จำนวน 3.6 ล้านดอลลาร์จากโรงพยาบาลเด็ก Lurie ในชิคาโก หลังจากขโมยข้อมูลสำคัญกว่า 600 GB จากระบบ และทำให้การปฏิบัติงานล่ม ซึ่งส่งผลให้การดูแลทางการแพทย์เกิดความล่าช้า

ที่มา : https://www.

F5 เผยแพร่การพบช่องโหว่ในฟังก์ชัน BIG-IP monitor ที่อนุญาตให้ Hacker ที่ผ่านการยืนยันตัวตน ที่มีสิทธิ์เป็น Manager role เป็นอย่างน้อย สามารถยกระดับสิทธิ์ หรือแก้ไขการกำหนดค่าได้

CVE-2024-45844 (คะแนน CVSS 7.2/10 ความรุนแรงระดับ High) เป็นช่องโหว่การยกระดับสิทธิ์ (Privilege Escalation) ที่อนุญาตให้ Hacker ที่ผ่านการยืนยันตัวตน ซึ่งมีสิทธิ์ Manager role ขึ้นไป ที่มีสิทธิ์เข้าถึง Configuration utility หรือ TMOS Shell (tmsh) สามารถยกระดับสิทธิ์ของตน และโจมตีระบบ BIG-IP ได้ ทั้งนี้ช่องโหว่ดังกล่าวไม่เกี่ยวข้องกับ data plane แต่ส่งผลกระทบต่อ control plane เท่านั้น ถูกค้นพบโดย myst404 (@myst404_) นักวิจัยจาก Almond

CVE-2024-45844 ส่งผลกระทบต่อ BIG-IP เวอร์ชันดังต่อไปนี้ :

17.1.0 - 17.1.1 >> อัปเดตเป็นเวอร์ชัน 17.1.1.4

16.1.0 - 16.1.4 >>  อัปเดตเป็นเวอร์ชัน16.1.5

15.1.0 - 15.1.10 >> อัปเดตเป็นเวอร์ชัน15.1.10.5

การลดผลกระทบ

หากผู้ดูแลระบบยังไม่สามารถแก้ไขช่องโหว่ได้ในทันที ทาง F5 ได้แนะนำผู้ดูแลระบบทำการจำกัดสิทธิ์การเข้าถึง Configuration utility หรือ command line ผ่าน SSH เฉพาะผู้ที่ได้รับอนุญาติ หรือมีสิทธิ์เท่านั้น เพื่อป้องกันการถูกโจมตีจากช่องโหว่ จนกว่าจะสามารถทำการอัปเดตเพื่อแก้ไขช่องโหว่ได้

ที่มา : https://my.