ผู้โจมตีที่อยู่เบื้องหลังแพลตฟอร์ม Darcula Phishing-as-a-Service (PhaaS) กำลังเตรียมเปิดตัวเวอร์ชันใหม่ที่ช่วยให้ผู้ใช้งานสามารถโคลนเว็บไซต์ที่ถูกต้องของแบรนด์ใดก็ได้ และสร้างเว็บไซต์ปลอมขึ้นมาเพื่อใช้ในการฟิชชิ่ง ซึ่งทำให้การโจมตีฟิชชิ่งง่ายขึ้น และไม่จำเป็นต้องมีความเชี่ยวชาญทางเทคนิคสูง (more…)

ผู้โจมตีที่อยู่เบื้องหลังแพลตฟอร์ม Darcula Phishing-as-a-Service (PhaaS) กำลังเตรียมเปิดตัวเวอร์ชันใหม่ที่ช่วยให้ผู้ใช้งานสามารถโคลนเว็บไซต์ที่ถูกต้องของแบรนด์ใดก็ได้ และสร้างเว็บไซต์ปลอมขึ้นมาเพื่อใช้ในการฟิชชิ่ง ซึ่งทำให้การโจมตีฟิชชิ่งง่ายขึ้น และไม่จำเป็นต้องมีความเชี่ยวชาญทางเทคนิคสูง (more…)

Microsoft แจ้งเตือนผู้ดูแลระบบว่า Exchange 2016 และ Exchange 2019 จะสิ้นสุดการสนับสนุนที่มีการขยายเวลาออกมาในเดือนตุลาคม 2025 นี้ และแบ่งปันคำแนะนำสำหรับผู้ที่ต้องการเลิกใช้ Exchange Servers (more…)

Amazon ประกาศการปรับปรุงด้านความปลอดภัยที่สำคัญสำหรับ Redshift ซึ่งเป็นโซลูชันคลังข้อมูลยอดนิยม เพื่อช่วยป้องกันการเปิดเผยข้อมูลที่เกิดจากการตั้งค่าที่ผิดพลาด และการตั้งค่าเริ่มต้นที่ไม่ปลอดภัย (more…)

Microsoft ได้เผยแพร่วิธีแก้ไขปัญหาชั่วคราวสำหรับผู้ใช้งานที่ได้รับผลกระทบจากปัญหาที่ถูกบล็อกการอัปเดตความปลอดภัยของ Windows บนระบบ Windows 11 24H2 บางเครื่อง (more…)

ผู้ปล่อยข้อมูลที่ไม่ระบุชื่อได้เผยแพร่ข้อมูลที่พวกเขาอ้างว่าเป็นไฟล์บันทึกการสนทนาภายในของกลุ่มแรนซัมแวร์ Black Basta บนแพลตฟอร์ม Matrix

ExploitWhispers ซึ่งเป็นบุคคลที่เคยอัปโหลดข้อความการสนทนานี้ไปยังแพลตฟอร์มแชร์ไฟล์ MEGA (ซึ่งปัจจุบันถูกลบไปแล้ว) ได้อัปโหลดไฟล์ดังกล่าวไปยังช่อง Telegram ที่จัดทำขึ้นโดยเฉพาะ

ยังไม่ชัดเจนว่า ExploitWhispers เป็นนักวิจัยด้านความปลอดภัยที่สามารถเข้าถึงเซิร์ฟเวอร์แชทภายในของกลุ่มนี้ หรือเป็นสมาชิกที่ไม่พอใจ และตัดสินใจเปิดเผยข้อมูล

แม้ว่าพวกเขาจะไม่ได้เปิดเผยเหตุผลเบื้องหลังการกระทำนี้ แต่บริษัทผู้เชี่ยวชาญด้านภัยคุกคามทางไซเบอร์ PRODAFT ระบุว่า การรั่วไหลของข้อมูลอาจเกิดขึ้นจากการที่กลุ่มแรนซัมแวร์ดังกล่าวโจมตีธนาคารในรัสเซีย

PRODAFT ระบุว่า "จากการติดตามของเราอย่างต่อเนื่องพบว่า BLACKBASTA (Vengeful Mantis) ไม่ค่อยมีความเคลื่อนไหวมาตั้งแต่ต้นปีเนื่องจากความขัดแย้งภายใน สมาชิกบางรายของกลุ่มได้โกงเหยื่อโดยรับเงินค่าไถ่แต่ไม่ให้เครื่องมือถอดรหัสที่ใช้งานได้"

"เมื่อวันที่ 11 กุมภาพันธ์ 2025 มีการรั่วไหลครั้งใหญ่ของบันทึกแชทภายใน Matrix ของ BLACKBASTA โดยผู้ที่ปล่อยข้อมูลอ้างว่าทำเช่นนี้เพราะกลุ่มกำลังโจมตีธนาคารรัสเซีย การรั่วไหลนี้คล้ายคลึงกับกรณีของ Conti ก่อนหน้านี้"

ไฟล์ที่รั่วไหลประกอบด้วยข้อความที่ถูกสนทนาในห้องแชทภายในของ Black Basta ระหว่างวันที่ 18 กันยายน 2023 ถึง 28 กันยายน 2024

BleepingComputer ได้ทำการวิเคราะห์ข้อความ พบว่ามีข้อมูลที่หลากหลาย รวมถึงเทมเพลตฟิชชิ่ง และรายชื่ออีเมลที่เป็นเป้าหมาย, ที่อยู่สกุลเงินดิจิตัล, ข้อมูลที่ถูกขโมย, ข้อมูล Credential ของเหยื่อ และการยืนยันกลยุทธ์ที่เคยมีรายงานมาก่อนหน้านี้

บทสนทนาที่รั่วไหลยังมีลิงก์ ZoomInfo จำนวน 367 ลิงก์ ซึ่งระบุถึงจำนวนบริษัทที่อาจตกเป็นเป้าหมายในช่วงเวลาดังกล่าว กลุ่มแรนซัมแวร์มักใช้เว็บไซต์ ZoomInfo เพื่อแบ่งปันข้อมูลเกี่ยวกับบริษัทเป้าหมาย ทั้งภายในกลุ่ม หรือกับเหยื่อระหว่างการเจรจา

ExploitWhispers ยังเปิดเผยข้อมูลเกี่ยวกับสมาชิกบางคนของกลุ่มแรนซัมแวร์ Black Basta รวมถึง Lapa (หนึ่งในผู้ดูแลระบบของกลุ่ม), Cortes (ผู้ที่เชื่อมโยงกับกลุ่ม Qakbot), YY (ผู้ดูแลระบบหลักของ Black Basta) และ Trump (หรือที่รู้จักในชื่อ GG และ AA) ซึ่งเชื่อว่าเป็น Oleg Nefedovaka หัวหน้าของกลุ่ม

Black Basta คือใคร?

Black Basta เป็นกลุ่มแรนซัมแวร์ในรูปแบบ Ransomware-as-a-Service (RaaS) ที่ปรากฏตัวครั้งแรกในเดือนเมษายน 2022 และได้โจมตีองค์กรสำคัญทั่วโลก รวมถึงบริษัทด้านการดูแลสุขภาพ และผู้รับเหมาภาครัฐ

เหยื่อบางรายของพวกเขา ประกอบด้วยบริษัทผู้รับเหมาด้านกลาโหมของเยอรมนี Rheinmetall, ฝ่ายยุโรปของ Hyundai, BT Group (เดิมคือ British Telecom), บริษัทด้านสุขภาพขนาดใหญ่ของสหรัฐฯ Ascension, ผู้รับเหมาภาครัฐ ABB, สมาคมทันตกรรมอเมริกัน, บริษัทเอาต์ซอร์สเทคโนโลยีของสหราชอาณาจักร Capita, ห้องสมุดสาธารณะโตรอนโต และ Yellow Pages Canada

ตามรายงานร่วมของ CISA และ FBI ที่เผยแพร่เมื่อเดือนพฤษภาคมที่ผ่านมา Black Basta และพันธมิตรได้เจาะระบบขององค์กรมากกว่า 500 แห่งระหว่างเดือนเมษายน 2022 ถึงพฤษภาคม 2024

จากการวิจัยร่วมกันระหว่าง Corvus Insurance และ Elliptic พบว่ากลุ่มแรนซัมแวร์นี้ได้รับเงินค่าไถ่รวมประมาณ 100 ล้านดอลลาร์จากเหยื่อกว่า 90 รายจนถึงเดือนพฤศจิกายน 2023

ในเดือนกุมภาพันธ์ 2022 นักวิจัยด้านความปลอดภัยชาวยูเครนได้เปิดเผยบทสนทนาภายในกว่า 170,000 รายการ และซอร์สโค้ดของตัวเข้ารหัสแรนซัมแวร์ Conti ทางออนไลน์ หลังจากกลุ่มอาชญากรรมไซเบอร์ Conti ซึ่งมีฐานในรัสเซียแสดงจุดยืนสนับสนุนรัสเซียหลังการรุกรานยูเครน

ที่มา : Bleepingcomputer

 

Microsoft ได้แก้ไขช่องโหว่การยกระดับสิทธิ์ที่มีระดับความรุนแรงสูง (CVE-2025-21420) ในเครื่องมือ Windows Disk Cleanup ของ Windows (cleanmgr.

Symantec ซึ่งเป็นบริษัทในเครือของ Broadcom ได้ออกแพตซ์อัปเดตด้านความปลอดภัยที่สำคัญ เพื่อแก้ไขช่องโหว่ที่มีระดับความรุนแรงสูงที่พบในเครื่องมือ Diagnostic ของ Symantec (SymDiag)

ช่องโหว่นี้มีหมายเลข CVE-2025-0893 ซึ่งสามารถทำให้เกิดการยกระดับสิทธิ์ได้โดยไม่ได้รับอนุญาต ซึ่งเป็นความเสี่ยงด้านความปลอดภัยที่สำคัญ

ช่องโหว่นี้ส่งผลกระทบกับระบบที่ใช้ SymDiag ร่วมกับ WSS Agent โดยเฉพาะ ซึ่งไม่มีผลกระทบต่อชุดผลิตภัณฑ์อื่น ๆ

CVE-2025-0893: รายละเอียด และผลกระทบ

ช่องโหว่นี้ที่ได้รับคะแนน CVSS 7.8 (ความรุนแรงระดับสูง) โดยทำให้ผู้ไม่หวังดีสามารถใช้ประโยชน์จากซอฟต์แวร์ เพื่อเข้าถึงทรัพยากรที่สำคัญ ซึ่งโดยทั่วไปแล้วจะได้รับการป้องกันจากผู้ใช้งาน หรือแอปพลิเคชันที่ไม่ได้รับอนุญาต

ช่องโหว่นี้เกิดจากการจัดการสิทธิ์ที่ไม่เหมาะสมของ SymDiag เวอร์ชันก่อน 3.0.79

หากช่องโหว่นี้ถูกโจมตีได้สำเร็จ อาจส่งผลกระทบต่อข้อมูลที่เป็นความลับ, ความสมบูรณ์ของ{}ข้อมูล และความพร้อมใช้งานของข้อมูล ซึ่งอาจนำไปสู่ผลกระทบร้ายแรงต่อระบบที่ได้รับผลกระทบ

The National Vulnerability Database (NVD) จัดประเภท CVE-2025-0893 เป็นช่องโหว่การยกระดับสิทธิ์ โดยมีพารามิเตอร์ทางเทคนิคดังนี้

ระดับความรุนแรง/CVSSv3 : ระดับความรุนแรงสูง / 7.8 AV:L/AC:L/PR:L/UI:N/S:U/C:H/I:H/A:H
ผลกระทบ : การยกระดับสิทธิ์โดยไม่ได้รับอนุญาต

Symantec ได้ดำเนินการอย่างรวดเร็วเพื่อแก้ไขปัญหานี้ โดยได้ออกแพตซ์อัปเดตเวอร์ชัน SymDiag 3.0.79 ซึ่งจะถูกดาวน์โหลดโดยอัตโนมัติเมื่อเปิดใช้งานบนระบบที่ได้รับผลกระทบ

เวอร์ชันเก่าของเครื่องมือได้ถูกลบออกจาก agents ที่ได้รับผลกระทบทั้งหมดแล้ว ซึ่งทำให้ผู้ใช้งาน หรือผู้ดูแลระบบไม่จำเป็นต้องดำเนินการใด ๆ ด้วยตนเอง

เพื่อช่วยลดความเสี่ยงจากการถูกโจมตีเพิ่มเติม Symantec แนะนำให้ผู้ใช้งานปฏิบัติตามแนวทางการปฏิบัติดังต่อไปนี้

จำกัดการเข้าถึงระบบ management ให้เฉพาะผู้ที่มีสิทธิ์
จำกัดการเข้าถึงจากระยะไกลเฉพาะระบบที่ได้รับการอนุญาต
ใช้หลักการสิทธิ์ขั้นต่ำ (Least Privilege) เพื่อป้องกันความเสี่ยง
อัปเดตระบบ และแอปพลิเคชันเป็นประจำ
ใช้การป้องกันแบบ multi-layered เช่น ไฟร์วอลล์ และโปรแกรมป้องกันมัลแวร์
ติดตั้งระบบตรวจจับการบุกรุก เพื่อตรวจจับพฤติกรรมที่ผิดปกติ

มาตรการเหล่านี้สามารถช่วยให้องค์กรเสริมการป้องกันจากการโจมตีที่อาจใช้ประโยชน์จากช่องโหว่ CVE-2025-0893 หรือช่องโหว่อื่น ๆ ที่ยังไม่ถูกค้นพบ

การอัปเดตนี้แสดงให้เห็นถึงความสำคัญของการอัปเดตซอฟต์แวร์ และการปฏิบัติตามแนวทางการรักษาความปลอดภัยที่เข้มงวด

องค์กรที่ใช้เครื่องมือ Diagnostic ของ Symantec ร่วมกับ WSS Agent ควรตรวจสอบให้แน่ใจว่ากำลังใช้เวอร์ชัน SymDiag 3.0.79 หรือเวอร์ชันที่ใหม่กว่า เพื่อป้องกันช่องโหว่ที่มีระดับความรุนแรงสูงนี้

ที่มา : gbhackers.

วิธีการซ่อน JavaScript รูปแบบใหม่ที่ใช้ตัวอักษร Unicode ที่มองไม่เห็นในการแทนค่าข้อมูลไบนารี กำลังถูกนำมาใช้ในการโจมตีแบบฟิชชิ่งที่มุ่งเป้าไปยัง Political Action Committee (PAC) ของสหรัฐอเมริกา

(more…)

แคมเปญการโจมตีจากผู้โจมตีที่มีความเชื่อมโยงกับประเทศรัสเซีย กำลังมุ่งเป้าไปที่บัญชี Microsoft 365 ของบุคคลในองค์กรที่เป็นเป้าหมาย โดยใช้เทคนิคการฟิชชิ่งผ่านรหัสอุปกรณ์

เป้าหมายของการโจมตีอยู่ในภาคส่วนรัฐบาล, องค์กรไม่แสวงหากำไร, บริการด้านไอที และเทคโนโลยี, กระทรวงกลาโหม, โทรคมนาคม, สุขภาพ และพลังงาน/น้ำมัน และก๊าซ ในยุโรป อเมริกาเหนือ แอฟริกา และตะวันออกกลาง

Microsoft Threat Intelligence Center กำลังติดตามกลุ่มผู้โจมตีที่อยู่เบื้องหลังแคมเปญการโจมตีผ่านรหัสอุปกรณ์ภายใต้ชื่อ 'Storm-237' โดยอ้างอิงจากเป้าหมาย วิธีการโจมตี และแนวทางของกลุ่ม นักวิจัยมีความมั่นใจในระดับปานกลางว่าการดำเนินการนี้เกี่ยวข้องกับปฏิบัติการของรัฐที่สอดคล้องกับผลประโยชน์ของรัสเซีย

การโจมตีฟิชชิ่งผ่านรหัสอุปกรณ์

อุปกรณ์ที่จำกัดอินพุต - อุปกรณ์ที่ไม่รองรับแป้นพิมพ์ หรือเบราว์เซอร์ เช่น สมาร์ททีวี และอุปกรณ์ IoT บางประเภท จะต้องอาศัยการตรวจสอบสิทธิ์ด้วยรหัสเพื่อให้ผู้ใช้งานลงชื่อเข้าใช้แอปพลิเคชันได้โดยการพิมพ์รหัสอนุญาตบนอุปกรณ์แยกต่างหาก เช่น สมาร์ทโฟน หรือคอมพิวเตอร์

นักวิจัยของ Microsoft ค้นพบว่า ตั้งแต่เดือนสิงหาคมปีที่แล้ว กลุ่มผู้โจมตี Storm-2372 ได้ใช้ช่องทางการยืนยันตัวตนนี้ในการโจมตี โดยหลอกให้เหยื่อกรอกรหัสอุปกรณ์ที่สร้างขึ้นโดยผู้โจมตีลงในหน้าลงชื่อเข้าใช้ที่ถูกต้อง

กลุ่มผู้โจมตีจะเริ่มต้นการโจมตีโดยสร้างการเชื่อมต่อกับเป้าหมายผ่านแพลตฟอร์มการส่งข้อความ เช่น WhatsApp, Signal และ Microsoft Teams โดยแอบอ้างเป็นบุคคลสำคัญที่เกี่ยวข้องกับเป้าหมาย

ผู้โจมตีจะค่อย ๆ สร้างความน่าเชื่อถือ ก่อนที่จะส่ง Link ประชุมออนไลน์ปลอมผ่านอีเมลหรือข้อความ

ตามที่นักวิจัยระบุ เหยื่อจะได้รับคำเชิญเข้าร่วมประชุมผ่าน Microsoft Teams ซึ่งภายในมีรหัสอุปกรณ์ที่สร้างขึ้นโดยผู้โจมตี

Microsoft ระบุว่า "คำเชิญเหล่านี้หลอกให้เหยื่อดำเนินการยืนยันตัวตนผ่านรหัสอุปกรณ์ โดยเลียนแบบบริการส่งข้อความ ซึ่งช่วยให้กลุ่ม Storm-2372 สามารถเข้าถึงบัญชีของเหยื่อในเบื้องต้น และดำเนินการรวบรวมข้อมูลผ่าน Graph API เช่น การดึงข้อมูลอีเมล"

วิธีนี้ช่วยให้ผู้โจมตีสามารถเข้าถึงบริการของ Microsoft เช่น อีเมล และพื้นที่จัดเก็บข้อมูลบนคลาวด์ของเหยื่อได้ โดยไม่ต้องใช้รหัสผ่าน ตราบใดที่โทเค็นที่ถูกขโมยมายังคงมีผลใช้งานอยู่

อย่างไรก็ตาม Microsoft ระบุว่า ขณะนี้ผู้โจมตีกำลังใช้ Client ID เฉพาะของ Microsoft Authentication Broker ในกระบวนการลงชื่อเข้าใช้ด้วยรหัสอุปกรณ์ ซึ่งจะช่วยให้พวกเขาสามารถสร้างโทเค็นใหม่ได้

วิธีการนี้เปิดโอกาสให้เกิดการโจมตีรูปแบบใหม่ และการแฝงตัวอยู่ในระบบ เนื่องจากผู้โจมตีสามารถใช้ Client ID ดังกล่าวเพื่อลงทะเบียนอุปกรณ์กับ Entra ID ซึ่งเป็นโซลูชันจัดการตัวตน และการเข้าถึงบนคลาวด์ของ Microsoft

Microsoft ระบุว่า "เมื่อมีโทเค็นเดียวกัน และอุปกรณ์ที่ลงทะเบียนใหม่ Storm-2372 สามารถขอรับ Primary Refresh Token (PRT) และเข้าถึงทรัพยากรขององค์กรได้ โดยพบว่า Storm-2372 ใช้อุปกรณ์ที่เชื่อมต่อนี้ในการรวบรวมอีเมลของเหยื่อ"

การป้องกันภัยคุกคามจาก Storm-2372

เพื่อป้องกันการโจมตีฟิชชิ่งด้วยรหัสอุปกรณ์ที่ใช้โดย Storm-2372 Microsoft เสนอให้ปิดใช้งานการลงชื่อเข้าใช้ด้วยรหัสอุปกรณ์หากทำได้ และบังคับใช้นโยบายการเข้าถึงใน Microsoft Entra ID เพื่อจำกัดการใช้งานเฉพาะกับอุปกรณ์ หรือเครือข่ายที่เชื่อถือได้เท่านั้น

หากสงสัยว่ามีการฟิชชิ่งโดยใช้รหัสอุปกรณ์ ให้ revoke โทเค็นของผู้ใช้ทันทีโดยใช้ 'revokeSignInSessions' และกำหนดนโยบายการเข้าถึงเพื่อบังคับให้มีการตรวจสอบสิทธิ์ใหม่อีกครั้งสำหรับผู้ใช้งานที่อาจจะถูกโจมตี

สุดท้ายนี้ ควรใช้ sign-in logs ของ Microsoft Entra ID เพื่อตรวจสอบ และระบุความพยายามในการยืนยันตัวตนจำนวนมากในช่วงเวลาสั้น ๆ , การเข้าสู่ระบบด้วยรหัสอุปกรณ์จาก IP ที่ไม่รู้จัก และการแจ้งเตือนที่ผิดปกติสำหรับการยืนยันตัวตนด้วยรหัสอุปกรณ์ที่ส่งไปยังผู้ใช้หลายราย

ที่มา : bleepingcomputer.