อาชญากรทางไซเบอร์ที่มีแรงจูงใจด้านการเงินจากอินโดนีเซียใช้บริการ Elastic Compute Cloud (EC2) บน Amazon Web Services (AWS) เพื่อดำเนินการขุดเหรียญ Cryptocurrency
บริษัทด้านความปลอดภัยในระบบคลาวด์ "Permiso P0 Labs" ตรวจพบกลุ่มดังกล่าวเป็นครั้งแรกในช่วงเดือนพฤศจิกายน 2021 ที่ผ่านมา และได้ตั้งชื่อกลุ่มดังกล่าวว่า 'GUI-vil'
บริษัทระบุในรายงานว่า ในเบื้องต้นกลุ่มดังกล่าวจะใช้เครื่องมือ Graphical User Interface (GUI) โดยเฉพาะ S3 Browser (เวอร์ชัน 9.5.5) ในการปฏิบัติการโดยตรงผ่านทางเบราว์เซอร์
การโจมตีของ GUI-vil เริ่มต้นโดยการนำ AWS keys ที่รั่วไหลจาก GitHub Repository หรือจากการสแกนหา GitLab instances ที่มีช่องโหว่ remote code execution เช่น ช่องโหว่ CVE-2021-22205 มาใช้เพื่อเข้าถึงระบบของเหยื่อ หลังจากที่เข้าถึงได้สำเร็จ ผู้โจมตีจะทำการเพิ่มสิทธิ์ และตรวจสอบข้อมูลของ S3 buckets ทั้งหมดที่มีอยู่ และใช้บริการที่สามารถเข้าถึงได้ผ่าน AWS web console

วิธีการที่น่าสนใจในการดำเนินการของกลุ่มดังกล่าว คือการพยายามที่จะแฝงตัวอยู่บนระบบโดยการแอบสร้างบัญชีผู้ใช้ใหม่ ที่ดูสอดคล้องกับชื่อของระบบ
โดยนักวิจัยจาก P0 Labs ระบุว่า "GUI-vil จะสร้าง access keys สำหรับบัญชีใหม่ที่ถูกสร้างขึ้น เพื่อให้สามารถใช้งาน S3 Browser กับบัญชีที่สร้างขึ้นต่อไปได้"
อีกหนึ่งวิธีที่กลุ่มนี้ใช้ คือ การสร้างโปรไฟล์เข้าสู่ระบบสำหรับชื่อผู้ใช้ที่มีอยู่ แต่ยังไม่มีโปรไฟล์ เพื่อเปิดใช้งาน AWS console โดยไม่ทำให้เกิดการแจ้งเตือนในระบบ
การเชื่อมโยงระหว่าง GUI-vil และประเทศอินโดนีเซียมาจากที่อยู่ IP ต้นทาง ที่เกี่ยวข้องกับ Autonomous System Numbers (ASNs) สองหมายเลขที่ตั้งอยู่ในเอเชียตะวันออกเฉียงใต้
เป้าหมายหลักของกลุ่มดังกล่าว คือการสร้าง EC2 instances เพื่อขุดเหรียญ Cryptocurrency โดยผลกำไรที่กลุ่มนี้ได้จากการขุดเหรียญ Cryptocurrency เป็นเพียงจำนวนเงินที่น้อยมาก เมื่อเทียบกับค่าใช้จ่ายที่องค์กรของเหยื่อต้องจ่ายสำหรับการเรียกใช้ EC2 instances ดังกล่าว

ที่มา : thehackernews

ผู้เชี่ยวชาญจาก Mandiant ตรวจพบกลุ่มแฮ็กเกอร์ชาวเกาหลีเหนือใช้งาน PuTTY SSH ในการติดตั้งแบ็คเดอร์ที่มีชื่อว่า AIRDRY.V2 บนเครื่องเป้าหมาย ผ่านการส่งอีเมลสมัครงานที่แอบอ้างว่ามาจาก Amazon

เหตุการณ์ในครั้งนี้เกิดจากกลุ่มที่มีชื่อว่า "UNC4034" (หรือที่รู้จักกันในชื่อว่า "Temp.

ผู้เชี่ยวชาญด้านความปลอดภัยได้เตือนนักช้อปออนไลน์ให้ระวังอีเมลฟิชชิ่งในช่วง Amazon Prime Day เป็นพิเศษ

เนื่องจาก Amazon Prime Day นั้นเป็นกิจกรรมลดราคาของทางร้านขายของออนไลน์ amazon.

นักต้มตุ๋น หรือสแกมเมอร์ ใช้วิธีการที่เรียกว่า "Vishing" (เป็นคำที่ถูกสร้างขึ้นจากรูปแบบหนึ่งของ Technique Phishing ผ่านทางการใช้ Voice) เพื่อหลอกลวงนักช้อปออนไลน์ โดยกลุ่มสแกมเมอร์จะแอบอ้างเป็นบุคคลจาก Amazon ด้วยวิธีการโทร หรือการส่งอีเมลพร้อมข้อมูลเบอร์โทรศัพท์และขอให้ผู้รับติดต่อกลับมา

เมื่อเร็ว ๆ นี้ Armorblox บริษัทรักษาความปลอดภัยทางไซเบอร์ ได้พบแคมเปญอีเมลสองแคมเปญ ซึ่งอีเมลทั้งสองฉบับแอบอ้างเป็น Amazon โดยมีตราสินค้าและรูปแบบอีเมลคล้ายกับอีเมลยืนยันคำสั่งซื้อจริงจาก Amazon

แต่พบข้อสังเกตหลายอย่างที่ทำให้เรารู้ได้ว่าเป็นอีเมลหลอกลวง ได้แก่ อีเมลถูกส่งจากอีเมลของ Gmail หรืออีเมลที่ดูเหมือนว่าจะเป็นของ Amazon (no-reply @ amzeinfo [.] com) และไม่ได้มีการระบุชื่อของผู้รับลงไปในอีเมล

นักวิจัยของ Armorblox ตั้งข้อสังเกตว่าสแกมเมอร์ไม่ได้ใช้การโจมตีรูปแบบเก่า เช่น การส่งไฟล์แนบหรือลิงก์ที่เป็นอันตรายซึ่งทำให้ผู้โจมตีสามารถหลีกเลี่ยงการตรวจจับของระบบได้ แต่เลือกใช้วิธีการอื่น เช่น ใช้ชื่อแบรนด์ปลอม (AMAZ0N - ใส่ศูนย์แทน “O”)

ป้องกันอย่างไร?

ไม่ควรเปิดไฟล์แนบและลิงก์จากอีเมลที่ไม่รู้จัก และไม่ควรโทรหาหมายเลขโทรศัพท์ที่ให้มาซึ่งอาจทำให้ถูกหลอกได้
หากมีความกังวล ว่าอาจถูกเรียกเก็บเงินสำหรับคำสั่งซื้อที่คุณไม่ได้ดำเนินการ ให้เข้าไปที่เว็บไซต์ของร้านค้าและค้นหาหมายเลขโทรศัพท์ที่ถูกต้อง
ไม่ควรเปิดเผยรายละเอียดส่วนบุคคลทางโทรศัพท์
เปิดการใช้งาน Multi-Factor Authentication (MFA) ในทุกบัญชีและทุกเว็บไซต์ ไม่ควรใช้รหัสผ่านเดียวกันในหลายบัญชี และใช้โปรแกรมจัดการรหัสผ่านเพื่อจัดเก็บรหัสผ่าน

ที่มา : ehackingnews

Yogev Bar-on นักวิจัยด้านความปลอดภัยจาก Realmode Labs ได้เปิดเผยชุดของช่องโหว่ใน Kindle ทั้งหมด 3 รายการภายใต้ชื่อ KindleDrip โดยผลลัพธ์จากการใช้งานทั้ง 3 ช่องโหว่ร่วมกันนั้นทำให้ผู้ที่โจมตีช่องโหว่สามารถรันโค้ดที่เป็นอันตรายกับอุปกรณ์ Kindle ได้จากระยะไกลด้วยสิทธิ์ root ของอุปกรณ์ เพียงแค่ทราบอีเมลที่ถูกกำหนดให้กับอุปกรณ์

หากใครใช้อุปกรณ์ Kindle จะทราบเป็นอย่างดีว่า อุปกรณ์ Kindle นั้นมีฟีเจอร์ที่เรียกว่า Send to Kindle ซึ่งสามารถทำให้อุปกรณ์ที่ผูกอีเมลเอาไว้สามารถรับไฟล์อีบุ๊คส์ได้ผ่านทางไฟล์แนบที่ส่งมาทางอีเมล ผู้ต้องการส่งอีบุ๊คส์มีเงื่อนไขเพียงแค่ต้องทราบอีเมลของผู้รับ ฟีเจอร์นี้คือจุดเริ่มต้นของชุดช่องโหว่ที่เรียกว่า KindleDrip

KindleDrip ประกอบไปด้วยช่องโหว่จำนวน 3 รายการ โดยช่องโหว่แรกทำให้ผู้โจมตีสามารถส่งไฟล์อีบุ๊คส์ไปยังเป้าหมายที่ต้องการได้ ช่องโหว่ที่สองส่งผลให้เกิดการรันโค้ดที่แนบมากับอีบุ๊คส์ซึ่งนำไปสู่การรันโค้ดที่เป็นอันตรายและช่องโหว่ที่สามคือช่องโหว่ยกระดับสิทธิ์ในอุปกรณ์ที่ทำให้โค้ดที่เป็นอันตรายนั้นสามารถรันได้ด้วยสิทธิ์ที่สูงในระบบ

KindleDrip ทำให้ Yogev ได้รับรางวัลจากการค้นพบช่องโหว่เป็นเงินจำนวน 18,000 ดอลลาร์สหรัฐฯ หรือประมาณกว่า 500,000 บาท ในรุ่นล่าสุดของซอฟต์แวร์ Kindle ทาง Amazon ได้มีการอัปเดตแพตช์สำหรับช่องโหว่ทั้ง 3 รายการเป็นที่เรียบร้อยแล้ว ผู้ใช้สามารถตรวจสอบและรับอัปเดตใหม่ได้จากตัวอุปกรณ์

อ่านรายละเอียดของช่องโหว่ฉบับเต็มได้ที่: medium.

บริษัท Cyble ผู้เชี่ยวชาญด้านไซเบอร์ซีเคียวริตี้ได้กล่าวว่าในเดือนธันวาคม 2019 เว็บไซต์ Hackread.com รายงานว่าเซิร์ฟเวอร์ Elasticsearch ได้ทำการกำหนดการค่าผิดทำให้เปิดเผยข้อมูลส่วนบุคคลของผู้ใช้ 267 ล้านคน ข้อมูลส่วนใหญ่เป็นของผู้ใช้ในสหรัฐอเมริกาและมีโปรไฟล์ Facebook, ชื่อเต็ม, ไอดีของผู้ใช้บัญชีและ timestamp ของบัญชี

บริษัท Cyble ผู้เชี่ยวชาญด้านไซเบอร์ซีเคียวริตี้ได้พบบัญชีผู้ใช้ Facebook ถูกนำมาวางขายถึง 267 ล้านบัญชี มีราคาขายประมาณ $600 บนแฮกเกอร์ฟอรัม ข้อมูลที่ถูกขายนั้นประกอบไปด้วย ลิงก์ที่เข้าถึงโปรไฟล์ Facebook, ชื่อ, ที่อยู่, อีเมล, หมายเลขโทรศัพท์, อายุ, วันเดือนปีเกิด, สถานะ, เพศ, และเมืองที่อาศัย

ผู้เชี่ยวชาญคาดว่าเป็นข้อมูลที่ถูกขายนั้นเป็นข้อมูลชุดเดียวกันกับการรั่วไหลข้อมูลของ Elasticsearch ผู้เชี่ยวชาญได้ทำการซื้อและวิเคราะห์ข้อมูลที่ถูกขาย ข่าวดีคือไม่มีรหัสผ่านของผู้ใช้ แต่ข้อมูลที่ถูกขายนั้นเพียงพอที่จะสามารถดำเนินการทำฟิชชิงบัญชีของผู้ที่ตกเป็นเหยื่อ

ผู้เชี่ยวชาญยังกล่าวอีกว่าในเดือนมีนาคม 2019 บริษัท Facebook ได้เปิดเผยต่อสื่อว่าบริษัทได้ทำการเก็บรหัสผ่านผู้ใช้ 600 ล้านข้อความเป็น Plain Text และมีรหัสผ่านของพนักงานมากกว่า 20,000 คน และเมื่อวันที่ 4 เมษายน 2019 ข้อมูลส่วนตัวของผู้ใช้ Facebook กว่า 540 ล้านคนถูกเปิดเผยต่อสาธารณเนื่องจากไม่มีการป้องกันข้อมูลที่ฝากข้อมูลจาก Amazon Web Services (AWS) S3

ข้อเเนะนำจากผู้เชี่ยวชาญ
ผู้ใช้ Facebook ควรทำการตั้งค่าความเป็นส่วนตัวในโปรไฟล์ Facebook และระมัดระวังอีเมลหรือข้อความที่ส่งลิงค์มาเชิญชวนให้เปลี่ยนรหัสผ่านรวมถึงการให้ตั้งค่า

ที่มา: www.

EdgeWave บริษัทรักษาความปลอดภัยเกี่ยวกับอีเมล ค้นพบแคมเปญ Phishing และ Malspam โดยผู้โจมตีจะส่งอีเมลที่ปลอมเป็นหน้ายืนยันการสั่งซื้อของ Amazon ที่ดูน่าเชื่อถือ และมีหัวข้อ (Subject) ของอีเมลว่า "Your Amazon.

Amazon ได้ส่งอีเมลไปยังลูกค้าบางส่วนเพื่อแจ้งให้ทราบเกี่ยวกับ "ข้อผิดพลาดทางเทคนิค" ที่เปิดเผยอีเมล ID และชื่อผู้ใช้บนเว็บไซต์สาธารณะของ Amazon

Amazon ปฏิเสธที่จะให้รายละเอียดของข้อผิดพลาดที่เกิดขึ้น และจำนวนผู้ได้รับผลกระทบ เพียงแค่กล่าวในแถลงการณ์ว่า "เราได้แก้ไขปัญหาและแจ้งลูกค้าที่อาจได้รับผลกระทบแล้ว" และได้ทำการแจ้งไปยังลูกค้าที่ได้รับผลกระทบว่าไม่ต้องตกใจ และไม่จำเป็นต้องเปลี่ยนรหัสผ่าน แม้ว่าผู้โจมตีอาจชื่อ และอีเมลของผู้ใช้งานเพื่อทำการรีเซ็ตบัญชีหรือใช้เพื่อทำการฟิชชิ่งต่อไปก็ตาม

Amazon ได้ไล่ออกพนักงานที่อยู่เบื้องหลังข้อผิดพลาดนี้ พร้อมทั้งแจ้งไปยังผู้ได้รับผลกระทบด้วยเนื้อหาว่า "เรากำลังแจ้งให้คุณทราบว่าที่อีเมลของคุณได้รับการเปิดเผยโดยพนักงานของ Amazon ให้กับ third-party seller อื่นๆ ในเว็บไซต์ของเราซึ่งเป็นการละเมิดนโยบายของเราดังนั้นพนักงานได้รับการฟ้องร้องทางกฎหมาย และคุณไม่จำเป็นต้องดำเนินการใด ๆ "

ที่มา : ehackingnews

เมื่อวันจันทร์ที่แล้ว Amazon ออกฟีเจอร์ด้านความปลอดภัย 5 รายการ บน Simple Storage Service (S3) เพื่อช่วยให้ลูกค้าสามารถจัดเก็บและจัดการข้อมูลได้อย่างปลอดภัยมากขึ้น

ฟีเจอร์ใหม่นี้จะช่วยให้สามารถจัดการสถานะการเข้ารหัสและสิทธิ์การเข้าถึง S3 buckets ซึ่งประกอบด้วย :
1. Default encryption
สามารถกำหนดให้ Object ทั้งหมดที่อยู่ใน Bucket ถูกเก็บในรูปแบบที่มีการเข้ารหัสจากการติดตั้ง bucket encryption configuration โดยมีทางเลือกที่ใช้สำหรับเข้ารหัสฝั่งเซิร์ฟเวอร์ได้ 3 แบบสำหรับ S3 objects คือ : SSE-S3 (จัดการคีย์โดย S3), SSE-KMS (จัดการคีย์โดย AWS KMS) และ SSE-C (จัดการคีย์โดยผู้ใช้งาน)

2. Permission checks
S3 Console จะมีการแสดง Indicator ของแต่ละ Bucket ที่สามารถถูกเข้าถึงได้จากภายนอก และจะมีการแจ้งเตือนโดยเร็วที่สุด หากพบว่ามีการเปลี่ยนแปลง Bucket Policies และ ACL ที่อาจส่งผลกระทบ

3. Cross-region replication ACL overwrite
ลูกค้า AWS มักใช้เครื่องมือ Cross-Region ของ S3 เพื่อคัดลอก objects และข้อมูลที่มีความสำคัญไปยังบัญชีปลายทางที่เป็นคนละบัญชี กระบวนการนี้จะช่วยคัดลอก ACL และ Tag ที่เชื่อมโยงกับแต่ละ Object ให้ด้วย สำหรับในฟีเจอร์ใหม่นี้ เมื่อมีการ Replicate Object ข้าม Account ผู้ใช้งานสามารถระบุได้ว่า account ที่ย้ายไปให้นั้น จะมีสิทธิ์เต็มใน Object หรือไม่ ซึ่งช่วยให้สามารถจัดการเรื่องความเป็นเจ้าของของ Object เดิมและใหม่ได้

4. Cross-region replication with KMS
ลูกค้าสามารถเลือกคีย์ปลายทางเมื่อตั้งค่า cross-region replication ด้วย AWS Key Management Service (KMS) ดังนั้นระหว่าง Replicate จะมีกระบวนการเข้ารหัสข้อมูลให้ผ่านการเชื่อมต่อโดยใช้ SSL ทำให้เมื่อมาถึงปลายทางแล้วข้อมูลสำคัญจะถูกเข้ารหัสด้วย KMS master key ที่ผู้ใช้ระบุไว้ใน replication configuration

5. Detailed inventory report
การออกรายงานของ S3 จะมีการแสดงสถานะการเข้ารหัสของแต่ละ Object นอกจากนี้ผู้ใช้ยังสามารถขอรับการเข้ารหัส SSE-S3 หรือ SSE-KMS สำหรับรายงานที่ออกได้ด้วย

ที่มา Techrepublic

ข้อมูลส่วนตัวของประชาชนสหรัฐฯ กว่า 200 ล้านคน คิดเป็นเกือบ 62% ของจำนวนประชากรสหรัฐฯ ถูกเก็บอยู่บนคลาวด์เซิร์ฟเวอร์ของ Amazon ใครมีลิงก์ก็สามารถเปิดดูได้ทันที
ข้อมูลขนาดกว่า 1.1 เทราไบต์ ประกอบไปด้วยข้อมูลเบื้องต้นตั้งแต่วันเกิด ที่อยู่ หมายเลขโทรศัพท์ จนไปถึงแนวคิดทางการเมือง มุมมองเกี่ยวกับเรื่องเชื้อชาติ และจุดยืนในประเด็นอ่อนไหวที่ยังมีการถกเถียง เช่น กฎหมายการควบคุมปืน สิทธิ์ในการทำแท้ง และการวิจัยสเต็มเซลล์ ซึ่งข้อมูลถูกรวบรวมมาจากหลายแหล่งตั้งแต่โพสต์ทางการเมืองบน Reddit จนไปถึงงานระดมทุนสนับสนุนพรรค Republican
นักวิเคราะห์ความเสี่ยงทางไซเบอร์เป็นผู้พบข้อมูลไฟล์ spreadsheet เก็บอยู่ในเซิร์ฟเวอร์ของบริษัท Deep Root Analytics ไฟล์มีการอัพเดตเมื่อเดือนมกราคมที่ผ่านมา ซึ่งตรงกับช่วงพิธีสาบานตนเข้ารับตำแหน่งของประธานาธิบดี Trump โดยข้อมูลถูกพบเมื่ออาทิตย์ที่แล้วแต่ยังไม่แน่ชัดว่าถูกเปิดให้เข้าถึงมานานแค่ไหน จากชื่อไฟล์ทำให้ระบุได้ว่าข้อมูลจะถูกนำไปใช้สำหรับองค์กรที่สนับสนุนพรรค Republican

ที่มา: Blognone , BBC