รัฐบาลสหรัฐฯ เผยเกาหลีเหนือขโมยคริปโตฯ ไปกว่า 659 ล้านดอลลาร์ในปีที่ผ่านมา

ตามคำแถลงร่วมที่ออกโดยสหรัฐอเมริกา เกาหลีใต้ และญี่ปุ่นเมื่อวันที่ 14 ธันวาคม 2025 ระบุว่า กลุ่มแฮ็กเกอร์ที่ได้รับการสนับสนุนจากรัฐบาลเกาหลีเหนือได้ขโมยเงินคริปโตฯ มูลค่ากว่า 659 ล้านดอลลาร์จากการโจรกรรมหลายครั้ง (more…)

มีการยื่นคำร้องต่อ GDPR กรณี TikTok และ Temu ส่งข้อมูลผู้ใช้งานไปยังประเทศจีน

กลุ่มผู้สนับสนุนด้าน Privacy ที่ไม่แสวงหาผลกำไร "None of Your Business" (noyb) ยื่นฟ้อง TikTok, AliExpress, SHEIN, Temu, WeChat และ Xiaomi สำหรับการถ่ายโอนข้อมูลผู้ใช้งานในยุโรปไปยังประเทศจีนอย่างผิดกฎหมาย และละเมิดกฎระเบียบการปกป้องข้อมูลทั่วไปของสหภาพยุโรป (GDPR) (more…)

แฮ็กเกอร์แฝงตัวเพื่อขโมยข้อมูลผ่านทางความคิดเห็นบน YouTube และผลการค้นหาของ Google

แฮ็กเกอร์กำลังมุ่งเป้าไปยังผู้ที่สนใจดาวน์โหลดซอฟต์แวร์เถื่อน และไฟล์แคร็ก โดยใช้ YouTube และผลการค้นหาบน Google (more…)

Microsoft ออกแพตซ์อัปเดตประจำเดือนมกราคม 2025 แก้ไขช่องโหว่ 159 รายการ โดยเป็นช่องโหว่ Zero-days 8 รายการ

Microsoft ออก Patch Tuesday ประจำเดือนมกราคม 2025 โดยแก้ไขช่องโหว่ 159 รายการ และช่องโหว่ zero-days 8 รายการ โดยมีช่องโหว่ zero-days 3 รายการ ที่พบหลักฐานว่ากำลังถูกนำมาใช้ในการโจมตี (more…)

กลุ่มแฮ็กเกอร์ปล่อยข้อมูล Configs และข้อมูล VPN สำหรับอุปกรณ์ FortiGate กว่า 15,000 รายการ

กลุ่มแฮ็กเกอร์กลุ่มใหม่ได้เผยแพร่ไฟล์ configuration, IP addresses และข้อมูล VPN credentials สำหรับอุปกรณ์ FortiGate กว่า 15,000 รายการ ให้สามารถดาวน์โหลดได้ฟรีบน dark web ทำให้ข้อมูลทางเทคนิคที่มีความสำคัญจำนวนมากอาจถูกเปิดเผยต่อกลุ่มผู้โจมตีรายอื่น (more…)

Casio ยืนยันข้อมูลส่วนบุคคลประมาณ 8,500 รายการรั่วไหล จากการถูกโจมตีด้วยแรนซัมแวร์ในเดือนตุลาคม

Casio ผู้ผลิตอุปกรณ์อิเล็กทรอนิกส์จากญี่ปุ่น เปิดเผยว่าเหตุการณ์การโจมตีจากแรนซัมแวร์ในเดือนตุลาคม 2024 ได้ทำให้ข้อมูลส่วนบุคคลประมาณ 8,500 รายการรั่วไหล

บุคคลที่ได้รับผลกระทบส่วนใหญ่เป็นพนักงานของ Casio และพันธมิตรทางธุรกิจ แต่ก็มีข้อมูลส่วนบุคคลของลูกค้าจำนวนเล็กน้อยที่รั่วไหลออกมาด้วย

การโจมตีของ Underground ransomware

การโจมตีเกิดขึ้นเมื่อวันที่ 5 ตุลาคม 2024 เมื่อกลุ่มผู้โจมตีแรนซัมแวร์ได้ใช้วิธีการฟิชชิงเพื่อโจมตีเครือข่ายของบริษัท ส่งผลให้ระบบ IT ไม่สามารถใช้งานได้

ในวันที่ 10 ตุลาคม กลุ่มแรนซัมแวร์ Underground ได้อ้างว่าเป็นผู้ทำการโจมตีครั้งนี้ พร้อมขู่ว่าจะเปิดเผยเอกสารลับ, ไฟล์ทางการเงิน, ข้อมูลโครงการ และข้อมูลพนักงาน หากไม่ได้รับการจ่ายค่าไถ่

ไม่นานหลังจากนั้น Casio ยืนยันว่ากลุ่ม Underground ได้ขโมยข้อมูลส่วนบุคคลของพนักงาน พันธมิตร และลูกค้า อย่างไรก็ตามบริษัทไม่ได้ระบุจำนวนผู้ที่ได้รับผลกระทบในตอนนั้น

เมื่อการสืบสวนเสร็จสิ้น Casio จึงสามารถเปิดเผยรายละเอียดทั้งหมดเกี่ยวกับขอบเขตของการละเมิดข้อมูลได้

ในประกาศล่าสุดของบริษัทได้ระบุข้อมูลที่รั่วไหลดังนี้:

ข้อมูลพนักงาน (6,456 คน): ชื่อ, หมายเลขพนักงาน, ที่อยู่อีเมล, หน่วยงานที่สังกัด, เพศ, วันเกิด, ข้อมูลครอบครัว, ที่อยู่, หมายเลขโทรศัพท์, หมายเลขผู้เสียภาษี และข้อมูลบัญชีระบบของสำนักงานใหญ่
ข้อมูลพันธมิตรทางธุรกิจ (1,931 คน): ชื่อ, ที่อยู่อีเมล, หมายเลขโทรศัพท์, ชื่อบริษัท, ที่อยู่บริษัท และข้อมูลบัตรประชาชนในบางกรณี
ข้อมูลลูกค้า (91 คน): ที่อยู่สำหรับจัดส่ง, ชื่อ, หมายเลขโทรศัพท์, วันที่ซื้อสินค้า และชื่อสินค้าที่ต้องการการจัดส่ง และติดตั้ง
ข้อมูลอื่นที่รั่วไหล: เอกสารภายใน เช่น ใบแจ้งหนี้, สัญญา และเอกสารประกอบการประชุม
เมื่อระบุตัวบุคคลที่ได้รับผลกระทบได้แล้ว พวกเขาจะได้รับการแจ้งเตือนส่วนบุคคลเกี่ยวกับเหตุการณ์ดังกล่าวจาก Casio

แม้ว่าพนักงานบางคนจะได้รับอีเมลซึ่งเชื่อว่ามีความเกี่ยวข้องกับเหตุการณ์แรนซัมแวร์ และการเปิดเผยข้อมูลที่มีความสำคัญ แต่บริษัทระบุว่ายังไม่มีความเสียหายใดเกิดขึ้นกับพวกเขา พันธมิตร หรือลูกค้า

Casio ระบุว่าไม่มีข้อมูลลูกค้า หรือข้อมูลบัตรเครดิตใดที่ถูกโจมตีจากแรนซัมแวร์ Underground เนื่องจากฐานข้อมูลที่เก็บข้อมูลลูกค้าไม่ได้รับผลกระทบจากเหตุการณ์นี้

Casio ยังชี้แจงอย่างชัดเจนว่าไม่ได้มีการเจรจากับกลุ่มผู้โจมตี

โดย Casio ระบุว่า "หลังจากปรึกษากับหน่วยงานบังคับใช้กฎหมาย ที่ปรึกษาภายนอก และผู้เชี่ยวชาญด้านความปลอดภัย Casio ไม่ได้ตอบสนองต่อข้อเรียกร้องที่ไม่สมเหตุสมผลใด ๆ จากกลุ่มแรนซัมแวร์ที่ดำเนินการเข้าถึงระบบของบริษัทโดยไม่ได้รับอนุญาต"

ที่มา : bleepingcomputer

CISA เพิ่มช่องโหว่ของ Oracle WebLogic Server และ Mitel MiCollab ลงในแค็ตตาล็อกรายการช่องโหว่ที่กำลังถูกใช้ในการโจมตี

หน่วยงานความมั่นคงทางไซเบอร์ และความปลอดภัยของโครงสร้างพื้นฐานของสหรัฐอเมริกา (CISA) ได้เพิ่มช่องโหว่ Oracle WebLogic Server และ Mitel MiCollab ลงในแค็ตตาล็อก Known Exploited Vulnerabilities (KEV)

CVE-2020-2883 (คะแนน CVSS 9.8) เป็นช่องโหว่ใน Oracle WebLogic Server (เวอร์ชัน 10.3.6.0.0, 12.1.3.0.0, 12.2.1.3.0, 12.2.1.4.0) โดยผู้โจมตีที่ไม่ผ่านการยืนยันตัวตนที่สามารถเข้าถึงเครือข่ายผ่าน IIOP หรือ T3 สามารถใช้ประโยชน์จากช่องโหว่นี้เพื่อโจมตี Oracle WebLogic Server ได้

รายงานที่เผยแพร่โดย ZDI ระบุว่า “ช่องโหว่นี้ทำให้ผู้โจมตีสามารถเรียกใช้โค้ดที่เป็นอันตรายจากระยะไกลบน Oracle WebLogic ที่มีช่องโหว่ โดยไม่ต้องผ่านการยืนยันตัวตน โดยช่องโหว่นี้เกิดขึ้นในกระบวนการจัดการ T3 protocol โดยข้อมูลที่ถูกสร้างขึ้นใน T3 protocol message สามารถ trigger การ deserialization ข้อมูลที่ไม่น่าเชื่อถือได้ ทำให้ผู้โจมตีสามารถใช้ช่องโหว่นี้ในการรันโค้ดตามที่ต้องการด้วยสิทธิ์ของ Process ปัจจุบัน”

CVE-2024-41713 (คะแนน CVSS 9.8) เป็นช่องโหว่ Path Traversal ใน Mitel MiCollab (จนถึงเวอร์ชัน 9.8 SP1 FP2) โดยเป็นช่องโหว่ NuPoint Unified Messaging ที่ทำให้เกิดการโจมตีแบบ path traversal ได้โดยไม่ต้องผ่านการยืนยันตัวตน ซึ่งอาจเสี่ยงต่อความถูกต้องของข้อมูล และการกำหนดค่า

“ช่องโหว่ Path Traversal CVE-2024-41713 ใน NuPoint Unified Messaging (NPM) component ของ Mitel MiCollab อาจทำให้ผู้โจมตีที่ไม่ผ่านการยืนยันตัวตนสามารถทำการโจมตีแบบ path traversal ได้ เนื่องจากการตรวจสอบอินพุตที่ไม่เหมาะสม หากสามารถโจมตีช่องโหว่นี้ได้สำเร็จอาจทำให้ผู้โจมตีสามารถเข้าถึงระบบได้ ซึ่งอาจส่งผลต่อความถูกต้องสมบูรณ์ของข้อมูล รวมถึงความพร้อมใช้งานของระบบ ซึ่งช่องโหว่นี้สามารถถูกโจมตีได้โดยไม่ต้องผ่านการยืนยันตัวตน”

ในรายงานระบุเพิ่มเติมว่า “หากช่องโหว่นี้ถูกโจมตีได้สำเร็จ ผู้โจมตีอาจเข้าถึงข้อมูลการตั้งค่าที่ไม่ต้องผ่านการยืนยันตัวตน ซึ่งรวมถึงข้อมูลผู้ใช้ และเครือข่าย และดำเนินการที่เป็นอันตรายบนเซิร์ฟเวอร์ MiCollab ได้ โดยช่องโหว่นี้ถูกจัดระดับความรุนแรงเป็นระดับ Critical”

CVE-2024-55550 (คะแนน CVSS 9.8) เป็นช่องโหว่ Path Traversal ใน Mitel MiCollab (จนถึงเวอร์ชัน 9.8 SP2) ช่องโหว่นี้ทำให้ผู้โจมตีที่ผ่านการยืนยันตัวตน และมีสิทธิ์ระดับผู้ดูแลระบบสามารถอ่านไฟล์ภายในระบบได้ อย่างไรก็ตามการโจมตีโดยใช้ช่องโหว่นี้จำกัดเฉพาะข้อมูลที่ไม่มีความสำคัญเท่านั้น

“ช่องโหว่ Path Traversal, CVE-2024-55550, ใน Mitel MiCollab อาจทำให้ผู้โจมตีที่ผ่านการยืนยันตัวตน และมีสิทธิ์ระดับผู้ดูแลระบบสามารถอ่านไฟล์ในระบบได้ เนื่องจากการตรวจสอบข้อมูลอินพุตที่ไม่เพียงพอ”

ตามคำสั่งปฏิบัติการ (BOD) 22-01: การลดความเสี่ยงของช่องโหว่ที่กำลังถูกใช้ในการโจมตีอยู่ในปัจจุบัน หน่วยงาน FCEB จำเป็นต้องแก้ไขช่องโหว่ที่ระบุภายในระยะเวลาที่กำหนด เพื่อปกป้องเครือข่ายจากการโจมตีโดยใช้ช่องโหว่เหล่านี้

CISA ยังแนะนำให้องค์กรภาคเอกชนตรวจสอบช่องโหว่ที่อยู่ในแคตตาล็อก และแก้ไขช่องโหว่ในระบบของพวกเขาเช่นเดียวกัน

โดย CISA ได้สั่งให้หน่วยงานรัฐบาลกลางแก้ไขช่องโหว่นี้ภายในวันที่ 28 มกราคม 2025

ที่มา : securityaffairs.

มัลแวร์ Banshee Stealer หลีกเลี่ยงการตรวจับโดยใช้อัลกอริทึมเข้ารหัส Apple XProtect

นักวิจัยของ Check Point เผยแพร่รายงานการค้นพบมัลแวร์ Banshee Stealer เวอร์ชันใหม่สำหรับ macOS ในช่วง 2 เดือนที่ผ่านมา ที่สามารถหลีกเลี่ยงการตรวจจับได้โดยใช้การเข้ารหัส XProtect ของ Apple

Banshee เป็น information stealer ที่ใช้โจมตีระบบ macOS โดยเปิดตัวในช่วงกลางปี 2024 ในรูปแบบ stealer-as-a-service โดยให้บริการแก่ Hacker ในราคา 3,000 ดอลลาร์ ซึ่งต่อมา source code ของ Banshee ได้ถูกปล่อยออกมาบน XSS forums ในเดือนพฤศจิกายน 2024 ส่งผลให้โปรเจ็กต์ปิดตัวลง และเปิดโอกาสให้กับนักพัฒนามัลแวร์รายอื่นได้นำมาพัฒนาต่อไป

ตามรายงานการวิจัยของ Check Point ซึ่งค้นพบมัลแวร์ใหม่ชนิดหนึ่ง ซึ่งใช้วิธีการเข้ารหัสที่มีอยู่ใน Banshee ทำให้มัลแวร์สามารถผสานเข้ากับการทำงานปกติ และดูเหมือนว่าเป็นการใช้งานปกติ ขณะที่มัลแวร์กำลังรวบรวมข้อมูลที่มีความสำคัญจากโฮสต์ที่ถูกโจมตี รวมถึงการเปลี่ยนแปลงอีกประการหนึ่งคือจะไม่หลีกเลี่ยงการโจมตีระบบที่เป็นของผู้ใช้รัสเซียอีกต่อไป

การเข้ารหัส XProtect

XProtect ของ Apple เป็นเทคโนโลยีตรวจจับมัลแวร์ที่ติดตั้งมาใน macOS โดยใช้ set of rules ที่คล้ายกับ antivirus signatures เพื่อระบุ และบล็อกมัลแวร์ที่เป็นที่รู้จัก

โดย Banshee Stealer เวอร์ชันล่าสุดใช้อัลกอริธึมการเข้ารหัสสตริงที่ XProtect ใช้เพื่อปกป้องข้อมูลของมันเอง

การขโมยข้อมูลที่มีความสำคัญ

เวอร์ชันล่าสุดของ Banshee Stealer ได้ถูกเผยแพร่ผ่าน GitHub repositories ที่กำหนดเป้าหมายการโจมตีไปยังผู้ใช้ macOS ผ่านการแอบอ้างเป็นซอฟต์แวร์อื่น ทั้งนี้กลุ่ม Hacker ดังกล่าวยังได้กำหนดเป้าหมายการโจมตีไปยังผู้ใช้ Windows ด้วย แต่ใช้ Lumma Stealer แทน

Check Point รายงานว่าแม้ Banshee malware-as-a-service จะไม่พบการทำงานมาตั้งแต่เดือนพฤศจิกายน 2024 แต่ยังพบว่า phishing campaign หลายกลุ่มยังคงแพร่กระจายมัลแวร์ต่อไปนับตั้งแต่ที่ source code รั่วไหล

infostealer ได้กำหนดเป้าหมายการโจมตีไปที่ข้อมูลที่จัดเก็บไว้ในเบราว์เซอร์ยอดนิยม (เช่น Chrome, Brave, Edge และ Vivaldi) รวมถึง passwords, two-factor authentication extensions และ cryptocurrency wallet extensions

นอกจากนี้ยังรวบรวมข้อมูลระบบ และเครือข่ายพื้นฐานเกี่ยวกับโฮสต์ และหลอกล่อให้เหยื่อเข้าสู่ระบบเพื่อขโมยรหัสผ่านบน macOS อีกด้วย

ที่มา : bleepingcomputer

หน่วยงานการบินแห่งสหประชาติอยู่ระหว่างการสืบสวนความเป็นไปได้ของการถูกเจาะระบบ

ในวันที่ 6 มกราคม 2025 องค์กรการบินพลเรือนระหว่างประเทศ (United Nations' International Civil Aviation Organization - ICAO) ประกาศว่าทางองค์กรกำลังอยู่ระหว่างการดำเนินการสืบสวนข้อเท็จจริงที่มาจากการรายงานการถูกเจาะระบบขององค์กร

ICAO ถูกก่อตั้งเมื่อปี 1944 ในรูปแบบขององค์กรรัฐบาลระหว่างประเทศ โดยที่หน่วยงานแห่งสหประชาชาตินี้ได้ร่วมมือกับอีก 193 ประเทศเพื่อสนับสนุนการพัฒนามาตรฐานเชิงเทคนิคให้เป็นที่ยอมรับร่วมกัน

ICAO ระบุในแถลงการณ์ว่า “ICAO อยู่ระหว่างการสืบสวนรายงานเกี่ยวกับเหตุการณ์ด้านความปลอดภัยของข้อมูล ซึ่งอาจมีความเชื่อมโยงกับผู้ก่อการร้ายที่มีเป้าหมายในการโจมตีองค์กรระหว่างประเทศ” “เรามีความจริงจังกับเรื่องนี้เป็นอย่างมาก และได้ดำเนินการตามมาตรฐานความปลอดภัยเรียบร้อยแล้ว พร้อมทั้งกำลังดำเนินการสืบสวนสอบสวนอย่างละเอียด”

หน่วยงานสหประชาชาติ (UN) ได้ระบุเพิ่มเติมว่า จะให้ข้อมูลเพิ่มเติมหลังจากการสืบสวนขั้นต้นที่เกี่ยวข้องกับการละเมิดความปลอดภัยที่อาจเกิดขึ้นนี้นั้นแล้วเสร็จ

ถึงแม้ว่า ICAO ยังไม่ได้ให้รายละเอียดเฉพาะเจาะจงเกี่ยวกับสาเหตุหลักที่ทำให้เกิดการสืบสวนนี้ แต่ก็มีข่าวซึ่งประกาศหลังจากการแถลงของ ICAO สองวัน โดยกลุ่มแฮ็กเกอร์ชื่อ “natohub” ประกาศว่ามีข้อมูลกว่า 42,000 รายการที่ขโมยมาจาก ICAO ใน BreachForums สำหรับแฮ็กเกอร์

หากเป็นไปตามที่ “natohub” กล่าวอ้างไว้ ข้อมูลที่ถูกโจรกรรมมาได้นั้นจะประกอบไปด้วย ชื่อ, วันเดือนปีเกิด, ที่อยู่, เบอร์โทรศัพท์, อีเมล และข้อมูลการศึกษา และประวัติการทำงาน ซึ่งมีกลุ่มแฮ็กเกอร์อีกรายแจ้งว่าไฟล์ข้อมูลกว่า 2GB นี้มีข้อมูลอีเมลที่แตกต่างกันกว่า 57,240 รายการ

ทาง BleepingComputer ได้มีการติดต่อไปที่ ICAO แต่ทางโฆษกของ ICAO ยังไม่สามารถให้รายละเอียดได้ในตอนนี้

ก่อนหน้าเหตุการณ์ของ ICAO ก็มีอีกหน่วยงานของสหประชาชาติที่ถูกโจรกรรมข้อมูล ซึ่งก็คือหน่วยงานโครงการพัฒนาแห่งสหประชาชาติ (UNDP) โดยมีการสืบสวนเหตุการณ์การโจมตีทางไซเบอร์มาตั้งแต่เดือนเมษายน 2024 หลังจากมีกลุ่มแรนซัมแวร์ชื่อ 8Base อ้างว่าเป็นผู้ก่อเหตุ ทั้งนี้ UNDP ยังไม่ได้มีการอัปเดตเกี่ยวกับการสอบสวนแต่อย่างใด

เดือนมกราคม 2021 หน่วยงานโครงการสิ่งแวดล้อมแห่งสหประชาชาติ (United Nations Environmental Programme - UNEP) ยอมรับว่าถูกละเมิดข้อมูลพนักงานกว่า 100,000 รายการ พร้อมทั้งข้อมูลส่วนบุคคลที่สามารถระบุตัวตนได้ (Personally Identifiable Information - PII) ซึ่งถูกนำไปเผยแพร่ทางออนไลน์อีกด้วย

ระบบเครือข่ายของสหประชาชาติในกรุงเวียนนา (Vienna) และกรุงเจนีวา (Geneva) เคยถูกละเมิดเมื่อเดือนกรกฎาคม 2019 ผ่านการโจมตี Sharepoint โดยทางผู้โจมตีได้รับสิทธิ์ในการเข้าถึงข้อมูลต่าง ๆ ซึ่งประกอบไปด้วย รายชื่อพนักงาน, ประกันสุขภาพ และสัญญาทางการค้า ซึ่งในส่วนนี้ทางสหประชาชาติได้อธิบายอย่างเป็นทางการว่าถือเป็นเหตุการณ์ร้ายแรงขององค์กร

ที่มา: bleepingcomputer

พบ Phishing Texts หลอกผู้ใช้งานปิดการป้องกันใน Apple iMessage

พบกลุ่ม Hacker กำลังใช้กลวิธีเพื่อหลอกล่อให้ผู้ใช้งานปิดฟีเจอร์ Phishing Protection สำหรับข้อความของ Apple iMessage และหลังจากนั้นก็เปิดกลับมาอีกครั้ง

(more…)