เหตุการณ์ AWS ล่มครั้งใหญ่ ส่งผลให้เว็บไซต์ และแพลตฟอร์มยอดนิยมจำนวนมากไม่สามารถใช้งานได้ รวมถึง Amazon.

นักวิจัยได้ขัดขวางการโจมตีที่เชื่อมโยงกับกลุ่มผู้โจมตี Midnight Blizzard ที่ได้รับการสนับสนุนจากรัฐบาลรัสเซีย โดยกลุ่มดังกล่าวพยายามเข้าถึงบัญชี และข้อมูลใน Microsoft 365 (more…)

นักวิจัยด้านความปลอดภัยไซเบอร์ เปิดเผยรายละเอียดของพฤติกรรมการสแกนบน Cloud ซึ่งมุ่งเป้าไปที่ "จุดเสี่ยง" ที่แตกต่างกัน 75 จุดเมื่อต้นเดือนนี้

การดำเนินการดังกล่าว ซึ่งถูก GreyNoise สังเกตพบเมื่อวันที่ 8 พฤษภาคม 2025 เกี่ยวข้องกับ IP Address ที่เป็นอันตรายมากถึง 251 รายการ ซึ่งทั้งหมดอยู่ในญี่ปุ่น และโฮสต์โดย Amazon

(more…)

พบช่องโหว่การเรียกใช้โค้ดที่เป็นอันตรายจากระยะไกล (RCE) ระดับความรุนแรงสูงสุด ที่ส่งผลกระทบต่อ Apache Parquet ทุกเวอร์ชัน

CVE-2025-30065 (คะแนน CVSSv4 10/10 ความรุนแรงระดับ Critical) เป็นช่องโหว่ Deserialization of Untrusted Data ใน Apache Parquet ทำให้ Hacker ที่มี Parquet files ที่สร้างขึ้นมาเป็นพิเศษ สามารถเข้าควบคุมระบบเป้าหมาย ขโมย หรือแก้ไขข้อมูล หยุดการทำงานของระบบ หรือสร้างเพย์โหลดอันตราย เช่น แรนซัมแวร์ได้ (more…)

Amazon ประกาศการปรับปรุงด้านความปลอดภัยที่สำคัญสำหรับ Redshift ซึ่งเป็นโซลูชันคลังข้อมูลยอดนิยม เพื่อช่วยป้องกันการเปิดเผยข้อมูลที่เกิดจากการตั้งค่าที่ผิดพลาด และการตั้งค่าเริ่มต้นที่ไม่ปลอดภัย (more…)

Amazon ยืนยันเหตุการณ์ข้อมูลรั่วไหลที่เกี่ยวข้องกับข้อมูลพนักงาน หลังจากข้อมูลถูกขโมยไปในระหว่างการโจมตี MOVEit เมื่อเดือนพฤษภาคม 2023 โดยถูกเผยแพร่ในฟอรัมของผู้โจมตี (more…)

อาชญากรทางไซเบอร์ที่มีแรงจูงใจด้านการเงินจากอินโดนีเซียใช้บริการ Elastic Compute Cloud (EC2) บน Amazon Web Services (AWS) เพื่อดำเนินการขุดเหรียญ Cryptocurrency
บริษัทด้านความปลอดภัยในระบบคลาวด์ "Permiso P0 Labs" ตรวจพบกลุ่มดังกล่าวเป็นครั้งแรกในช่วงเดือนพฤศจิกายน 2021 ที่ผ่านมา และได้ตั้งชื่อกลุ่มดังกล่าวว่า 'GUI-vil'
บริษัทระบุในรายงานว่า ในเบื้องต้นกลุ่มดังกล่าวจะใช้เครื่องมือ Graphical User Interface (GUI) โดยเฉพาะ S3 Browser (เวอร์ชัน 9.5.5) ในการปฏิบัติการโดยตรงผ่านทางเบราว์เซอร์
การโจมตีของ GUI-vil เริ่มต้นโดยการนำ AWS keys ที่รั่วไหลจาก GitHub Repository หรือจากการสแกนหา GitLab instances ที่มีช่องโหว่ remote code execution เช่น ช่องโหว่ CVE-2021-22205 มาใช้เพื่อเข้าถึงระบบของเหยื่อ หลังจากที่เข้าถึงได้สำเร็จ ผู้โจมตีจะทำการเพิ่มสิทธิ์ และตรวจสอบข้อมูลของ S3 buckets ทั้งหมดที่มีอยู่ และใช้บริการที่สามารถเข้าถึงได้ผ่าน AWS web console

วิธีการที่น่าสนใจในการดำเนินการของกลุ่มดังกล่าว คือการพยายามที่จะแฝงตัวอยู่บนระบบโดยการแอบสร้างบัญชีผู้ใช้ใหม่ ที่ดูสอดคล้องกับชื่อของระบบ
โดยนักวิจัยจาก P0 Labs ระบุว่า "GUI-vil จะสร้าง access keys สำหรับบัญชีใหม่ที่ถูกสร้างขึ้น เพื่อให้สามารถใช้งาน S3 Browser กับบัญชีที่สร้างขึ้นต่อไปได้"
อีกหนึ่งวิธีที่กลุ่มนี้ใช้ คือ การสร้างโปรไฟล์เข้าสู่ระบบสำหรับชื่อผู้ใช้ที่มีอยู่ แต่ยังไม่มีโปรไฟล์ เพื่อเปิดใช้งาน AWS console โดยไม่ทำให้เกิดการแจ้งเตือนในระบบ
การเชื่อมโยงระหว่าง GUI-vil และประเทศอินโดนีเซียมาจากที่อยู่ IP ต้นทาง ที่เกี่ยวข้องกับ Autonomous System Numbers (ASNs) สองหมายเลขที่ตั้งอยู่ในเอเชียตะวันออกเฉียงใต้
เป้าหมายหลักของกลุ่มดังกล่าว คือการสร้าง EC2 instances เพื่อขุดเหรียญ Cryptocurrency โดยผลกำไรที่กลุ่มนี้ได้จากการขุดเหรียญ Cryptocurrency เป็นเพียงจำนวนเงินที่น้อยมาก เมื่อเทียบกับค่าใช้จ่ายที่องค์กรของเหยื่อต้องจ่ายสำหรับการเรียกใช้ EC2 instances ดังกล่าว

ที่มา : thehackernews

ผู้เชี่ยวชาญจาก Mandiant ตรวจพบกลุ่มแฮ็กเกอร์ชาวเกาหลีเหนือใช้งาน PuTTY SSH ในการติดตั้งแบ็คเดอร์ที่มีชื่อว่า AIRDRY.V2 บนเครื่องเป้าหมาย ผ่านการส่งอีเมลสมัครงานที่แอบอ้างว่ามาจาก Amazon

เหตุการณ์ในครั้งนี้เกิดจากกลุ่มที่มีชื่อว่า "UNC4034" (หรือที่รู้จักกันในชื่อว่า "Temp.

ผู้เชี่ยวชาญด้านความปลอดภัยได้เตือนนักช้อปออนไลน์ให้ระวังอีเมลฟิชชิ่งในช่วง Amazon Prime Day เป็นพิเศษ

เนื่องจาก Amazon Prime Day นั้นเป็นกิจกรรมลดราคาของทางร้านขายของออนไลน์ amazon.

นักต้มตุ๋น หรือสแกมเมอร์ ใช้วิธีการที่เรียกว่า "Vishing" (เป็นคำที่ถูกสร้างขึ้นจากรูปแบบหนึ่งของ Technique Phishing ผ่านทางการใช้ Voice) เพื่อหลอกลวงนักช้อปออนไลน์ โดยกลุ่มสแกมเมอร์จะแอบอ้างเป็นบุคคลจาก Amazon ด้วยวิธีการโทร หรือการส่งอีเมลพร้อมข้อมูลเบอร์โทรศัพท์และขอให้ผู้รับติดต่อกลับมา

เมื่อเร็ว ๆ นี้ Armorblox บริษัทรักษาความปลอดภัยทางไซเบอร์ ได้พบแคมเปญอีเมลสองแคมเปญ ซึ่งอีเมลทั้งสองฉบับแอบอ้างเป็น Amazon โดยมีตราสินค้าและรูปแบบอีเมลคล้ายกับอีเมลยืนยันคำสั่งซื้อจริงจาก Amazon

แต่พบข้อสังเกตหลายอย่างที่ทำให้เรารู้ได้ว่าเป็นอีเมลหลอกลวง ได้แก่ อีเมลถูกส่งจากอีเมลของ Gmail หรืออีเมลที่ดูเหมือนว่าจะเป็นของ Amazon (no-reply @ amzeinfo [.] com) และไม่ได้มีการระบุชื่อของผู้รับลงไปในอีเมล

นักวิจัยของ Armorblox ตั้งข้อสังเกตว่าสแกมเมอร์ไม่ได้ใช้การโจมตีรูปแบบเก่า เช่น การส่งไฟล์แนบหรือลิงก์ที่เป็นอันตรายซึ่งทำให้ผู้โจมตีสามารถหลีกเลี่ยงการตรวจจับของระบบได้ แต่เลือกใช้วิธีการอื่น เช่น ใช้ชื่อแบรนด์ปลอม (AMAZ0N - ใส่ศูนย์แทน “O”)

ป้องกันอย่างไร?

ไม่ควรเปิดไฟล์แนบและลิงก์จากอีเมลที่ไม่รู้จัก และไม่ควรโทรหาหมายเลขโทรศัพท์ที่ให้มาซึ่งอาจทำให้ถูกหลอกได้
หากมีความกังวล ว่าอาจถูกเรียกเก็บเงินสำหรับคำสั่งซื้อที่คุณไม่ได้ดำเนินการ ให้เข้าไปที่เว็บไซต์ของร้านค้าและค้นหาหมายเลขโทรศัพท์ที่ถูกต้อง
ไม่ควรเปิดเผยรายละเอียดส่วนบุคคลทางโทรศัพท์
เปิดการใช้งาน Multi-Factor Authentication (MFA) ในทุกบัญชีและทุกเว็บไซต์ ไม่ควรใช้รหัสผ่านเดียวกันในหลายบัญชี และใช้โปรแกรมจัดการรหัสผ่านเพื่อจัดเก็บรหัสผ่าน

ที่มา : ehackingnews