พบแพลตฟอร์ม malware-as-a-service (MaaS) ใหม่ที่ชื่อว่า 'SuperCard X' โดยมีเป้าหมายโจมตีอุปกรณ์ Android ผ่านการโจมตีแบบ NFC Relay ซึ่งช่วยให้สามารถทำธุรกรรมที่ point-of-sale และตู้ ATM โดยใช้ข้อมูลบัตรที่ถูกขโมยมา

SuperCard X เชื่อมโยงกับกลุ่มแฮ็กเกอร์ที่ใช้ภาษาจีน และมีลักษณะโค้ดที่คล้ายคลึงกับโปรเจกต์โอเพ่นซอร์ส NFCGate รวมถึงเวอร์ชันที่พัฒนาจากโปรเจกต์ดังกล่าวอย่าง NGate ซึ่งมีส่วนในการโจมตีในยุโรปตั้งแต่ปีที่แล้ว

แพลตฟอร์ม malware-as-a-service นี้ถูกโปรโมตผ่านช่องทาง Telegram ซึ่งยังมีการเสนอการสนับสนุนโดยตรงแก่ลูกค้า

SuperCard X ถูกพบโดยบริษัทด้านความปลอดภัยบนมือถือ Cleafy ซึ่งรายงานว่าได้พบการโจมตีที่ใช้มัลแวร์ Android นี้ในอิตาลี การโจมตีเหล่านี้ประกอบด้วยตัวอย่างมัลแวร์หลายตัวที่มีความแตกต่างกันเล็กน้อย ซึ่งแสดงให้เห็นว่าผู้ร่วมงานสามารถเลือกสร้างเวอร์ชันที่ปรับแต่งตามความต้องการเฉพาะของภูมิภาค หรือความต้องการอื่น ๆ ได้

การโจมตีของ SuperCard X ดำเนินไปอย่างไร

การโจมตีเริ่มต้นจากเหยื่อได้รับข้อความ SMS หรือ WhatsApp ปลอม ที่แอบอ้างว่าเป็นธนาคารของตน โดยอ้างว่ามีธุรกรรมที่น่าสงสัยเกิดขึ้น และขอให้เหยื่อติดต่อกลับผ่านหมายเลขโทรศัพท์เพื่อแก้ไขปัญหา

เมื่อเหยื่อติดต่อไปตามหมายเลขดังกล่าว จะมีมิจฉาชีพรับสายโดยแสร้งทำตัวเป็นเจ้าหน้าที่ฝ่ายสนับสนุนของธนาคาร จากนั้นจะใช้วิธีการ social engineering เพื่อหลอกให้เหยื่อยืนยันหมายเลขบัตร และรหัส PIN หลังจากนั้นจะพยายามโน้มน้าวให้ผู้ใช้ยกเลิกการจำกัดวงเงินใช้จ่ายผ่านแอปธนาคารของตน

ในขั้นตอนสุดท้าย ผู้ไม่หวังดีจะหลอกให้เหยื่อติดตั้งแอปอันตรายที่ชื่อว่า "Reader" ซึ่งถูกปลอมแปลงให้ดูเหมือนเป็นเครื่องมือด้านความปลอดภัย หรือการยืนยันตัวตน โดยภายในแอปนั้นแฝงมัลแวร์ SuperCard X เอาไว้

เมื่อผู้ใช้ติดตั้งแอป Reader แอปจะร้องขอสิทธิ์การเข้าถึงเพียงเล็กน้อย โดยส่วนใหญ่จะขอสิทธิ์ในการเข้าถึงโมดูล NFC ซึ่งเพียงพอสำหรับการขโมยข้อมูล

มิจฉาชีพจะสั่งให้เหยื่อนำบัตรชำระเงินมาแตะกับโทรศัพท์ของตนเองเพื่อยืนยันบัตร ซึ่งทำให้มัลแวร์สามารถอ่านข้อมูลจากชิปบนบัตร และส่งข้อมูลนั้นไปยังผู้โจมตี

จากนั้นผู้โจมตีจะรับข้อมูลดังกล่าวไว้ในอุปกรณ์ Android ของตน โดยใช้งานแอปอีกตัวที่ชื่อว่า Tapper ซึ่งทำหน้าที่จำลองการทำงานของบัตรเหยื่อด้วยข้อมูลที่ถูกขโมยมา

บัตรที่ถูกจำลองโดยผู้โจมตีสามารถใช้ชำระเงินแบบ contactless ตามร้านค้า หรือถอนเงินจากตู้ ATM ได้ แม้จะมีข้อจำกัดด้านวงเงิน โดยธุรกรรมเหล่านี้มักมีมูลค่าไม่สูง และดำเนินการได้ทันที ทำให้ดูเหมือนเป็นธุรกรรมปกติ จึงยากต่อการตรวจจับ และยกเลิกโดยธนาคาร

มัลแวร์หลบเลี่ยงการตรวจจับได้

Cleafy ระบุว่า ปัจจุบัน SuperCard X ยังไม่ถูกตรวจพบโดยเครื่องมือป้องกันไวรัสใด ๆ บน VirusTotal และการที่แอปไม่มีการขอสิทธิ์ที่เสี่ยง หรือฟีเจอร์ที่เป็นการโจมตีที่ชัดเจน เช่น การทับซ้อนหน้าจอ (screen overlaying) ทำให้มันสามารถหลบเลี่ยงการตรวจจับจากการสแกนพฤติกรรม (heuristic scans) ได้อย่างมีประสิทธิภาพ

การจำลองบัตรนั้นใช้เทคโนโลยี ATR-based (Answer to Reset) ซึ่งทำให้บัตรดูเหมือนจริง และสามารถทำงานร่วมกับเครื่องชำระเงินได้ นอกจากนี้ยังสะท้อนให้เห็นถึงความชำนาญทางเทคนิค และความเข้าใจในโปรโตคอลของสมาร์ตการ์ดอีกด้วย

อีกหนึ่งแง่มุมทางเทคนิคที่สำคัญคือการใช้ mutual TLS (mTLS) สำหรับการยืนยันตัวตนระหว่างไคลเอนต์ และเซิร์ฟเวอร์ที่ใช้ certificate-based ซึ่งช่วยป้องกันการเชื่อมต่อกับ C2 จากการ interception และการวิเคราะห์จากนักวิจัย หรือเจ้าหน้าที่ทางกฎหมาย

BleepingComputer ได้ติดต่อไปยัง Google เพื่อขอความคิดเห็นเกี่ยวกับกิจกรรมของ SuperCard X และโฆษกของ Google ได้ระบุคำแถลงการณ์ดังนี้:

“จากการตรวจสอบปัจจุบันของเรา ยังไม่พบแอปพลิเคชันที่มีมัลแวร์นี้อยู่บน Google Play ผู้ใช้ Android จะได้รับการปกป้องโดยอัตโนมัติจาก Google Play Protect ซึ่งเปิดใช้งานโดยค่าเริ่มต้นบนอุปกรณ์ Android ที่มี Google Play Services โดย Google Play Protect สามารถเตือนผู้ใช้หรือบล็อกแอปที่มีพฤติกรรมเป็นอันตราย แม้ว่าแอปเหล่านั้นจะมาจากแหล่งภายนอก Google Play ก็ตาม”

ที่มา : bleepingcomputer

เมื่อวันพุธที่ผ่านมา (16 เมษายน 2025) หน่วยงานด้านความมั่นคงปลอดภัยทางไซเบอร์ของสหรัฐฯ (Cybersecurity and Infrastructure Security Agency - CISA) ได้ออกคำเตือนให้หน่วยงานรัฐบาลกลางดำเนินการป้องกันอุปกรณ์ SonicWall Secure Mobile Access (SMA) 100 series จากการโจมตีด้วยช่องโหว่ระดับ High ซึ่งสามารถทำให้ผู้โจมตีสามารถรันโค้ดที่เป็นอันตรายจากระยะไกลได้

ช่องโหว่นี้มีหมายเลข CVE-2021-20035 โดยส่งผลกระทบต่ออุปกรณ์รุ่น SMA 200, SMA 210, SMA 400, SMA 410 และ SMA 500v (บนแพลตฟอร์ม ESX, KVM, AWS และ Azure) ซึ่งหากสามารถโจมตีได้ความสำเร็จ อาจทำให้ผู้ไม่หวังดีจากภายนอกที่มีสิทธิ์เข้าถึงเพียงแค่ในระดับต่ำสามารถเรียกใช้รันโค้ดใด ๆ ก็ได้ ด้วยเทคนิคการโจมตีที่ไม่ซับซ้อน

SonicWall ได้อธิบายในคำแนะนำด้านความปลอดภัยที่มีการอัปเดตในสัปดาห์นี้ว่า:

“การจัดการ special elements ที่ไม่เหมาะสมใน management interface ของ SMA100 อาจทำให้ผู้โจมตีที่ผ่านการยืนยันตัวตนแล้ว สามารถแทรกคำสั่งใด ๆ ได้ในฐานะผู้ใช้งาน 'nobody' ซึ่งอาจนำไปสู่การรันโค้ดที่เป็นอันตรายบนอุปกรณ์ได้”

SonicWall ได้แก้ไขช่องโหว่นี้ตั้งแต่เดือนกันยายน 2021 หรือเกือบสี่ปีที่ผ่านมา โดยในขณะนั้นบริษัทระบุว่าช่องโหว่ดังกล่าวสามารถใช้เพียงเพื่อก่อให้เกิดการโจมตีแบบปฏิเสธการให้บริการ (Denial-of-Service หรือ DoS) เท่านั้น

อย่างไรก็ตาม เมื่อวันจันทร์ที่ผ่านมา (14 เมษายน 2025) SonicWall ได้อัปเดตคำแนะนำเกี่ยวกับช่องโหว่นี้โดยระบุว่า ขณะนี้ช่องโหว่กำลังถูกใช้ในการโจมตีจริง พร้อมทั้งปรับระดับความรุนแรง CVSS จากระดับปานกลางเป็นระดับสูง และขยายขอบเขตของผลกระทบให้รวมถึง code execution

SonicWall ระบุว่า “ช่องโหว่นี้กำลังถูกใช้ในการโจมตีจริง เพื่อเป็นมาตรการเชิงป้องกัน ทีม PSIRT ของ SonicWall ได้ปรับปรุงข้อมูลสรุป และปรับระดับความรุนแรง CVSS เป็น 7.2”

CISA ได้ยืนยันว่าช่องโหว่ดังกล่าวถูกใช้ในการโจมตีจริงแล้ว โดยเพิ่มช่องโหว่นี้เข้าไปในแคตตาล็อกช่องโหว่ที่กำลังถูกใช้ในการโจมตี (Known Exploited Vulnerabilities catalog) ซึ่งเป็นรายการช่องโหว่ที่หน่วยงานฯ ยืนยันว่ามีการใช้งานในการโจมตีทางไซเบอร์

ภายใต้คำสั่ง Binding Operational Directive (BOD) 22-01 ซึ่งออกเมื่อเดือนพฤศจิกายน 2021 หน่วยงานในสังกัดฝ่ายบริหารพลเรือนของรัฐบาลกลางสหรัฐฯ (Federal Civilian Executive Branch – FCEB) จะต้องดำเนินการแก้ไขช่องโหว่นี้ภายในเวลาสามสัปดาห์ หรือภายในวันที่ 7 พฤษภาคม 2025

แม้ว่าคำสั่ง BOD 22-01 จะใช้บังคับกับหน่วยงานของรัฐบาลกลางสหรัฐฯ เท่านั้น แต่ CISA ก็แนะนำให้ผู้ดูแลระบบเครือข่ายทุกแห่งเร่งดำเนินการแก้ไขช่องโหว่นี้ทันที เพื่อป้องกันความพยายามในการเจาะระบบ

CISA เตือนว่า “ช่องโหว่ประเภทนี้มักถูกใช้เป็นช่องทางหลักในการโจมตีของผู้ไม่หวังดีทางไซเบอร์ และก่อให้เกิดความเสี่ยงอย่างมีนัยสำคัญต่อโครงสร้างพื้นฐานของหน่วยงานรัฐบาล”

เมื่อเดือนกุมภาพันธ์ที่ผ่านมา SonicWall ยังได้แจ้งเตือนถึงช่องโหว่ Authentication Bypass ที่กำลังถูกใช้ในการโจมตีจริงในไฟร์วอลล์รุ่น Gen 6 และ Gen 7 ซึ่งอาจทำให้แฮ็กเกอร์สามารถเข้าถึง VPN sessions ได้

ก่อนหน้านั้นหนึ่งเดือน บริษัทได้แนะนำให้ลูกค้ารีบติดตั้งแพตช์เพื่อแก้ไขช่องโหว่ระดับ Critical ในอุปกรณ์ SMA1000 secure access gateways หลังจากมีรายงานว่าช่องโหว่นั้นถูกใช้ในเหตุการณ์โจมตีแบบ zero-day แล้ว

ที่มา : bleepingcomputer

 

Legends International บริษัทบริหารจัดการสถานบันเทิง แจ้งเกิดเหตุการณ์ข้อมูลรั่วไหลในเดือนพฤศจิกายน 2024 ซึ่งส่งผลกระทบต่อพนักงาน และบุคคลที่เคยเข้าใช้บริการในสถานที่ต่าง ๆ ภายใต้การดูแลของบริษัท

ในจดหมายแจ้งเตือนที่ส่งให้กับหน่วยงานที่เกี่ยวข้องบริษัทได้ระบุว่า ตรวจพบกิจกรรมที่ผิดปกติในระบบไอทีเมื่อวันที่ 9 พฤศจิกายน 2024 และได้ดำเนินการสอบสวนโดยร่วมมือกับผู้เชี่ยวชาญด้านความปลอดภัยไซเบอร์จากภายนอก

ผลการสอบสวนยืนยันว่า ผู้โจมตีได้ทำการขโมยไฟล์ข้อมูลส่วนบุคคลออกไป แม้ว่าในจดหมายแจ้งเตือนไม่ได้ระบุประเภทของข้อมูลที่ถูกเปิดเผยอย่างชัดเจน

Legends International เป็นบริษัทระดับโลกที่ให้บริการด้านกีฬา และความบันเทิง โดยครอบคลุมบริการวางแผนสถานที่, การขาย, การสร้างพันธมิตรทางธุรกิจ, การบริการลูกค้า, สินค้าที่ระลึก และโซลูชันด้านเทคโนโลยี โดยมีรายได้ต่อปีมากกว่า 1.1 พันล้านดอลลาร์สหรัฐ

บริษัทฯ บริหารจัดการสถานที่มากกว่า 350 แห่งใน 5 ทวีป รวมถึงสนาม SoFi Stadium ในลอสแอนเจลิส, One World Observatory ในนิวยอร์ก, AT&T Stadium ในรัฐเท็กซัส, สนามกีฬา Santiago Bernabeu และ Camp Nou ในประเทศสเปน รวมถึงสนาม Anfield และ OVO Arena Wembley ในสหราชอาณาจักร

เมื่อไม่นานมานี้ บริษัทได้ขยายการดำเนินงานเพิ่มเติมโดยการเข้าซื้อกิจการ ASM Global ซึ่งเป็นบริษัทบริหารจัดการสถานที่ชั้นนำที่มีเครือข่ายทั่วโลก

ขอบเขตของเหตุการณ์ข้อมูลรั่วไหล และจำนวนบุคคลที่ได้รับผลกระทบยังไม่เป็นที่แน่ชัด อย่างไรก็ตาม เมื่อพิจารณาจากขนาดการดำเนินงานของบริษัท และข้อมูลที่มีความสำคัญจำนวนมากที่บริษัทจัดการ จึงมีเหตุผลที่น่ากังวล

BleepingComputer ได้ติดต่อบริษัทเพื่อขอข้อมูลเพิ่มเติมเกี่ยวกับเหตุการณ์ แต่ยังไม่ได้รับคำชี้แจงใด ๆ ในทันที

ในจดหมายที่ส่งถึงผู้ที่ได้รับผลกระทบ Legends International ระบุว่า บริษัทมีมาตรการด้านความปลอดภัยอยู่แล้วก่อนเกิดเหตุ และได้เพิ่มมาตรการเพิ่มเติมเมื่อมีการกู้คืนระบบจากการโจมตีทางไซเบอร์ อย่างไรก็ตาม ไม่มีการเปิดเผยรายละเอียดที่ชัดเจนของมาตรการเหล่านั้น

ผู้ที่ได้รับจดหมายจะได้รับสิทธิ์ในการใช้บริการตรวจจับการโจรกรรมข้อมูลระบุตัวตนจาก Experian เป็นระยะเวลา 24 เดือน โดยสามารถลงทะเบียนได้ถึงวันที่ 31 กรกฎาคม 2025

Legends International ระบุในจดหมายว่า ขณะนี้ยังไม่พบหลักฐานว่าข้อมูลส่วนบุคคลได้ถูกนำไปใช้ในทางที่ผิดจากเหตุการณ์ครั้งนี้ แต่ก็แนะนำให้ทุกคนเพิ่มความระมัดระวัง

ณ เวลานี้ ยังไม่มีกลุ่มแรนซัมแวร์ใดออกมาแสดงความรับผิดชอบต่อการโจมตี Legends International ดังนั้นลักษณะของการโจมตี และผู้ก่อเหตุยังคงไม่ทราบแน่ชัด

ที่มา : bleepingcomputer

Yosry Barsoum รองประธาน MITRE ออกมาเตือนว่าเงินทุนของรัฐบาลสหรัฐฯ สำหรับโครงการ Common Vulnerabilities and Exposures (CVE) และ Common Weakness Enumeration (CWE) จะสิ้นสุดลงในวันที่ 16 เมษายน 2025 ซึ่งอาจส่งผลกระทบต่ออุตสาหกรรมการรักษาความปลอดภัยทางไซเบอร์ทั่วโลก (more…)

นักวิจัยด้านความปลอดภัยทางไซเบอร์ได้เปิดเผยถึงการแก้ไขช่องโหว่ที่ไม่สมบูรณ์ สำหรับช่องโหว่ด้านความปลอดภัยที่เคยได้รับการแก้ไขไปแล้วใน NVIDIA Container Toolkit ซึ่งหากช่องโหว่นี้ถูกโจมตีสำเร็จ อาจทำให้ข้อมูลสำคัญตกอยู่ในความเสี่ยง

ช่องโหว่ดังกล่าวมีหมายเลข CVE-2024-0132 (คะแนน CVSS: 9.0) ซึ่งเป็นช่องโหว่ประเภท Time-of-Check Time-of-Use (TOCTOU) ที่สามารถนำไปสู่การโจมตีแบบ container escape และสามารถทำผู้โจมตีสามารถเข้าถึงระบบโฮสต์โดยไม่ได้รับอนุญาต

แม้ว่าช่องโหว่นี้จะได้รับการแก้ไขจาก NVIDIA ในเดือนกันยายน 2024 แต่การวิเคราะห์ล่าสุดโดย Trend Micro ได้เปิดเผยว่าแพตช์ที่ออกมายังไม่สมบูรณ์ และยังพบช่องโหว่ด้านประสิทธิภาพที่เกี่ยวข้อง ซึ่งส่งผลกระทบต่อ Docker บนระบบปฏิบัติการ Linux และอาจนำไปสู่สถานการณ์ Denial-of-service (DoS) ได้

นักวิจัยจาก Trend Micro, Abdelrahman Esmail ระบุในรายงานใหม่ที่เผยแพร่ในวันนี้ว่า "ปัญหาดังกล่าวอาจทำให้ผู้โจมตีสามารถ escape container เพื่อเข้าถึงทรัพยากรสำคัญบนโฮสต์ และทำให้เกิดการหยุดชะงักในการดำเนินงานได้"

การที่ช่องโหว่ TOCTOU ยังคงมีอยู่หมายความว่า container ที่ได้รับการสร้างขึ้นอย่างเฉพาะเจาะจง สามารถถูกใช้เพื่อเข้าถึง file system {}ของโฮสต์ และดำเนินการคำสั่งต่าง ๆ ด้วยสิทธิ์ของผู้ดูแลระบบ (root) ช่องโหว่นี้ส่งผลกระทบต่อเวอร์ชัน 1.17.4 หากฟีเจอร์ allow-cuda-compat-libs-from-container ถูกเปิดใช้งานเท่านั้น

Trend Micro ระบุว่า "ช่องโหว่เฉพาะนี้พบในฟังก์ชัน mount_files ซึ่งปัญหาเกิดจากการขาดกลไกการ locking ที่เหมาะสมในระหว่างดำเนินการกับอ็อบเจ็กต์ ซึ่งผู้โจมตีสามารถใช้ประโยชน์จากช่องโหว่นี้เพื่อยกระดับสิทธิ์ และรันโค้ดตามต้องการภายใต้บริบทของโฮสต์"

อย่างไรก็ตาม การยกระดับสิทธิ์ผ่านช่องโหว่นี้จะสามารถเกิดขึ้นได้ ก็ต่อเมื่อผู้โจมตีมีความสามารถในการรันโค้ดภายในคอนเทนเนอร์อยู่ก่อนแล้ว

ช่องโหว่นี้มีหมายเลข CVE-2025-23359 (คะแนน CVSS: 9.0) ซึ่งก่อนหน้านี้บริษัทด้านความปลอดภัยบนคลาวด์ Wiz ได้แจ้งเตือนว่า ช่องโหว่นี้ยังสามารถใช้เพื่อ bypass การป้องกันของช่องโหว่ CVE-2024-0132 ได้อีกด้วย โดยรายงานดังกล่าวถูกเปิดเผยเมื่อเดือนกุมภาพันธ์ 2025 โดยช่องโหว่นี้ได้รับการแก้ไขแล้วในเวอร์ชัน 1.17.4

บริษัทด้านความปลอดภัยทางไซเบอร์ระบุว่า ระหว่างการวิเคราะห์ช่องโหว่ CVE-2024-0132 ได้ตรวจพบปัญหาด้านประสิทธิภาพเพิ่มเติม ซึ่งอาจนำไปสู่ช่องโหว่ DoS บนเครื่องโฮสต์ โดยช่องโหว่นี้มีผลกระทบต่อ Docker ที่ใช้งานบนระบบปฏิบัติการ Linux

Esmail อธิบายว่า เมื่อมีการสร้าง container ใหม่พร้อมกำหนดค่าเมาท์หลายรายการที่กำหนดค่าโดยใช้ (bind-propagation=shared) จะมีการสร้างเส้นทาง parent/child หลายรายการ อย่างไรก็ตาม เมื่อ container ถูก terminate รายการเหล่านี้จะไม่ถูกลบออกจาก Linux mount table

ผลลัพธ์คือ mount table จะขยายตัวอย่างรวดเร็ว และไม่สามารถควบคุมได้ ส่งผลให้ทรัพยากร file descriptors (fd) ถูกใช้งานจนหมด ซึ่งนำไปสู่ปัญหาที่ Docker ไม่สามารถสร้าง container ใหม่ได้ นอกจากนี้ mount table ที่มีขนาดใหญ่อย่างมาก ยังส่งผลกระทบต่อประสิทธิภาพของระบบ และอาจทำให้ผู้ใช้ไม่สามารถเชื่อมต่อกับเครื่องโฮสต์ได้ เช่น ผ่าน SSH

เพื่อลดปัญหาดังกล่าว มีคำแนะนำให้ดำเนินมาตรการต่าง ๆ ได้แก่ การตรวจสอบ mount table ของ Linux อย่างสม่ำเสมอเพื่อหาการเพิ่มขึ้นที่ผิดปกติ, จำกัดการเข้าถึง Docker API เฉพาะบุคคลที่ได้รับอนุญาต, บังคับใช้นโยบายควบคุมการเข้าถึงที่เข้มงวด, ดำเนินการตรวจสอบการเชื่อมโยงระหว่างไฟล์ระบบของคอนเทนเนอร์กับโฮสต์, volume mounts และ socket connections

ที่มา : thehackernews

 

Microsoft กำลังทดสอบฟีเจอร์ใหม่ใน Defender for Endpoint ที่สามารถบล็อกการรับส่งข้อมูลระหว่าง undiscovered endpoints เพื่อป้องกันไม่ให้ผู้โจมตีสามารถโจมตีต่อไปภายในเครือข่ายได้

(more…)

Palo Alto Networks เปิดเผยว่า ขณะนี้บริษัทกำลังเฝ้าติดตามความพยายามเข้าสู่ระบบด้วยวิธี brute-force ที่มุ่งเป้าไปยัง GlobalProtect gateways บน PAN-OS ซึ่งเกิดขึ้นเพียงไม่กี่วันหลังจากนักวิเคราะห์ด้านภัยคุกคามออกมาเตือนถึงแนวโน้มของการสแกนเพื่อพยายามเข้าสู่ระบบในลักษณะที่ผิดปกติ และมีเป้าหมายไปที่อุปกรณ์ของบริษัทอย่างต่อเนื่อง

โฆษกของ Palo Alto Networks ให้ข้อมูลกับ The Hacker News ว่า ทีมงานตรวจพบพฤติกรรมที่เข้าข่ายการโจมตีด้วยรหัสผ่าน เช่น การพยายามเข้าสู่ระบบแบบ brute-force แต่ยังไม่พบหลักฐานว่ามีการเจาะระบบผ่านช่องโหว่ใดโดยตรง โดยทางบริษัทกำลังติดตามสถานการณ์อย่างใกล้ชิด พร้อมวิเคราะห์พฤติกรรมที่เกี่ยวข้อง เพื่อประเมินผลกระทบที่อาจเกิดขึ้น และพิจารณาความจำเป็นในการใช้มาตรการป้องกันเพิ่มเติม

เหตุการณ์นี้เกิดขึ้นหลังจากบริษัท GreyNoise ซึ่งเชี่ยวชาญด้านข่าวกรองภัยคุกคาม ออกมาแจ้งเตือนถึงการเพิ่มขึ้นอย่างผิดปกติของการสแกนเพื่อพยายามเข้าสู่ระบบในลักษณะที่ผิดปกติ โดยมุ่งเป้าไปยัง GlobalProtect portals บน PAN-OS

GreyNoise ระบุว่า การดำเนินการดังกล่าวเริ่มต้นเมื่อวันที่ 17 มีนาคม 2025 และพุ่งขึ้นถึงจุดสูงสุดด้วยจำนวน IP addresses ไม่ซ้ำกันกว่า 23,958 รายการ ก่อนที่แนวโน้มจะเริ่มลดลงในช่วงปลายเดือน รูปแบบของการดำเนินการนี้สะท้อนให้เห็นถึงความพยายามที่มีการประสานงานกันในการสำรวจระบบเครือข่าย เพื่อค้นหาระบบที่เปิดให้เข้าถึง หรือมีช่องโหว่ที่สามารถใช้โจมตีได้

การสแกนเพื่อพยายามเข้าสู่ระบบในครั้งนี้ มุ่งเป้าไปที่ระบบในสหรัฐอเมริกา, สหราชอาณาจักร, ไอร์แลนด์, รัสเซีย และสิงคโปร์เป็นหลัก

ปัจจุบันยังไม่สามารถยืนยันได้ว่าความพยายามเหล่านี้มีการแพร่กระจายไปในวงกว้างแค่ไหน หรือเกี่ยวข้องกับกลุ่มผู้ผู้โจมตีรายใดเป็นพิเศษ โดย The Hacker News ได้ติดต่อไปยัง Palo Alto Networks เพื่อขอความคิดเห็นเพิ่มเติม และจะมีการอัปเดตเนื้อหาเมื่อได้รับข้อมูลตอบกลับ

ในระหว่างนี้ บริษัทแนะนำให้ผู้ใช้งานตรวจสอบให้แน่ใจว่าระบบกำลังใช้ PAN-OS เวอร์ชันล่าสุด พร้อมทั้งดำเนินมาตรการเสริมเพื่อเพิ่มความปลอดภัย เช่น การบังคับใช้การยืนยันตัวตนแบบหลายปัจจัย (MFA), การตั้งค่า GlobalProtect ให้รองรับการแจ้งเตือน MFA, การกำหนดนโยบายด้านความปลอดภัยเพื่อช่วยตรวจจับ และป้องกันการโจมตีแบบ brute-force, รวมถึงการจำกัดการเปิดให้สามารถเข้าถึงระบบจากอินเทอร์เน็ตเท่าที่จำเป็นเท่านั้น

ที่มา : thehackernews

 

 

ช่องโหว่ในฟีเจอร์ Call Filter ของ Verizon ทำให้ลูกค้าสามารถเข้าถึงบันทึกการโทรเข้าของหมายเลข Verizon Wireless อื่น ๆ ได้ ผ่าน API request ที่ไม่ปลอดภัย

ช่องโหว่นี้ถูกพบโดยนักวิจัยด้านความปลอดภัย Evan Connelly เมื่อวันที่ 22 กุมภาพันธ์ 2025 และ Verizon ได้แก้ไขช่องโหว่นี้ในเดือนถัดมา อย่างไรก็ตาม ระยะเวลาที่ช่องโหว่นี้เปิดเผยต่อสาธารณะยังไม่เป็นที่ทราบแน่ชัด

แอปพลิเคชัน Call Filter ของ Verizon เป็นเครื่องมือฟรีที่ช่วยให้ผู้ใช้งานสามารถตรวจจับสแปม และบล็อกสายเรียกเข้าโดยอัตโนมัติ ส่วนเวอร์ชันแบบเสียเงินจะเพิ่มความสามารถในการค้นหาหมายเลขที่เป็นสแปม, มีตัววัดความเสี่ยง, บล็อกสายโทรเข้าตามประเภทของผู้โทร และแสดงหมายเลขโทรเข้าแม้ไม่อยู่ในรายชื่อผู้ติดต่อ

อุปกรณ์ Android และ iOS ที่มีคุณสมบัติตรงตามเงื่อนไขซึ่งซื้อโดยตรงจาก Verizon จะมีแอปพลิเคชันเวอร์ชันฟรีถูกติดตั้งไว้ และเปิดใช้งานเป็นค่าเริ่มต้น และคาดว่ามีการใช้งานบนอุปกรณ์หลายล้านเครื่อง

Connelly เปิดเผยกับ BleepingComputer ว่า เขาทดสอบเฉพาะแอปพลิเคชันบน iOS เท่านั้น อย่างไรก็ตามแอปพลิเคชันบน Android อาจได้รับผลกระทบเช่นกัน เนื่องจากปัญหาอยู่ที่ API ของฟีเจอร์ ไม่ใช่ตัวแอปพลิเคชันโดยตรง

การเปิดเผยประวัติการโทร

ขณะใช้งานแอป Call Filter Connelly พบว่าแอปพลิเคชันเชื่อมต่อกับ API ที่ https://clr-aqx.

แพลตฟอร์มให้บริการฟิชชิ่ง (PhaaS) ที่ชื่อว่า ‘Lucid’ ได้กำหนดเป้าหมายการโจมตีไปที่หน่วยงาน 169 แห่งใน 88 ประเทศ โดยใช้ข้อความที่ออกแบบมาอย่างแนบเนียนผ่าน iMessage (iOS) และ RCS (Android)

Lucid ซึ่งดำเนินการโดยกลุ่มอาชญากรไซเบอร์ชาวจีนที่รู้จักกันในชื่อ ‘XinXin’ มาตั้งแต่กลางปี 2023 ถูกขายให้กับแฮ็กเกอร์รายอื่นในรูปแบบการสมัครสมาชิก ซึ่งจะได้รับสิทธิ์เข้าถึงโดเมนฟิชชิ่งมากกว่า 1,000 รายการ เว็บไซต์ฟิชชิ่งที่สร้างขึ้นแบบ auto-generated และเครื่องมือส่งสแปมระดับมืออาชีพ

นักวิจัยจาก Prodaft ระบุว่า กลุ่ม XinXin ยังใช้แพลตฟอร์ม Darcula v3 สำหรับการดำเนินงาน ซึ่งอาจแสดงให้เห็นถึงความเชื่อมโยงระหว่างแพลตฟอร์ม PhaaS ทั้งสอง

การสมัครสมาชิก Lucid ดำเนินการผ่านช่องทาง Telegram เฉพาะ (มีสมาชิกประมาณ 2,000 คน) โดยลูกค้าจะได้รับสิทธิ์การใช้งานแบบรายสัปดาห์ผ่าน licenses การอนุญาต

ปฏิบัติการฟิชชิ่งครั้งใหญ่

กลุ่มผู้โจมตีอ้างว่าสามารถส่งข้อความหลอกลวงได้มากถึง 100,000 ข้อความต่อวัน ผ่านบริการ Rich Communication Services (RCS) หรือ Apple iMessage ซึ่งมีการเข้ารหัสแบบ end-to-end ทำให้สามารถหลบเลี่ยงการตรวจจับของระบบกรองสแปมได้

Prodaft อธิบายว่า “แพลตฟอร์มนี้ใช้กลไกการส่งข้อความแบบอัตโนมัติ โดยนำเว็บไซต์ฟิชชิ่งที่ปรับแต่งได้มาเผยแพร่ผ่านข้อความ SMS เป็นหลัก”

“เพื่อเพิ่มประสิทธิภาพในการโจมตี Lucid ใช้เทคโนโลยีของ Apple iMessage และ RCS บน Android ในการเลี่ยงระบบกรองสแปมของ SMS แบบดั้งเดิม ส่งผลให้อัตราการส่งถึงเป้าหมาย และความสำเร็จของการโจมตีเพิ่มขึ้นอย่างมาก”

นอกจากการหลบเลี่ยงระบบรักษาความปลอดภัยแล้ว การใช้ข้อความเหล่านี้ยังช่วยให้การดำเนินการมีต้นทุนต่ำ เนื่องจากการส่ง SMS ในปริมาณที่เทียบเท่ากันนั้นมีค่าใช้จ่ายสูง

ผู้ดำเนินการของ Lucid ใช้ฟาร์มอุปกรณ์ iOS และ Android ขนาดใหญ่ในการส่งข้อความ โดยสำหรับ iMessage แพลตฟอร์มนี้ใช้ Apple ID แบบชั่วคราว และในกรณีของ RCS กลุ่มผู้โจมตีอาศัยช่องโหว่ในการใช้งานของผู้ให้บริการในการตรวจสอบผู้ส่ง

ในวิดีโอที่ Prodaft เผยแพร่ แสดงให้เห็นกลุ่มผู้โจมตีกำลังทำแคมเปญฟิชชิ่งจากรถที่กำลังเคลื่อนที่ ซึ่งอาจเป็นวิธีเพิ่มความปลอดภัยในการปฏิบัติการ และยังแสดงให้เห็นว่าแพลตฟอร์มนี้ใช้งานได้ง่ายเพียงใด

Prodaft ให้ข้อมูลกับ BleepingComputer เพิ่มเติมว่า “วัตถุประสงค์หลักของการแสดงข้อความฟิชชิ่งจากอุปกรณ์ของเหยื่อระหว่างที่ขับรถ ก็เพื่อแสดงให้เห็นว่าบุคคลทั่วไปสามารถมีส่วนร่วมในปฏิบัติการแบบนี้ได้ง่ายเพียงใด”

“แฮ็กเกอร์บางรายอาจสนใจแคมเปญสแปมที่มีความเสี่ยงต่ำ และผลตอบแทนต่ำ ซึ่งไม่ต้องใช้ทักษะด้านเทคนิค หรือโครงสร้างพื้นฐานมากนัก โดยมักจะพึ่งพาเครื่องมือ virtualization หรืออุปกรณ์จริงที่ดัดแปลงมาใช้เพื่อส่งข้อความในปริมาณมากโดยอัตโนมัติ”

ข้อความฟิชชิ่งบนมือถือมักปลอมตัวเป็นการแจ้งเตือนเกี่ยวกับการจัดส่งพัสดุ, การเสียภาษี, ค่าผ่านทางที่ค้างชำระ โดยจะมีการใส่โลโก้ หรือแบรนด์ที่ออกแบบเฉพาะ ใช้ภาษาที่เหมาะสมกับกลุ่มเป้าหมาย และมีการคัดกรองเหยื่อโดยอิงตามตำแหน่งทางภูมิศาสตร์

เมื่อเหยื่อคลิกลิงก์ฟิชชิ่ง พวกเขาจะถูกเปลี่ยนเส้นทางไปยังหน้าเว็บไซต์ปลอมที่แอบอ้างเป็นหน่วยงานเก็บค่าผ่านทาง และที่จอดรถของรัฐบาล หรือองค์กรเอกชน เช่น USPS, DHL, Royal Mail, FedEx, Revolut, Amazon, American Express, HSBC, E-ZPass, SunPass, Transport for London และอื่น ๆ

หน้าเว็บไซต์ฟิชชิ่งถูกออกแบบมาเพื่อขโมยข้อมูลส่วนตัว และข้อมูลทางการเงิน รวมถึง ชื่อนามสกุล, อีเมล, ที่อยู่ และรายละเอียดบัตรเครดิต

แพลตฟอร์ม Lucid มีฟีเจอร์ตรวจสอบบัตรเครดิตในตัว ซึ่งช่วยให้ผู้โจมตีสามารถทดสอบความถูกต้องของบัตรที่ขโมยมาได้ หากบัตรยังใช้งานได้ จะถูกนำไปขายต่อให้กับอาชญากรไซเบอร์รายอื่น หรือใช้ในการฉ้อโกงโดยตรง

แพลตฟอร์มอย่าง Lucid ทำให้การเข้าร่วมในการดำเนินการทางอาชญากรรมไซเบอร์เป็นเรื่องง่ายขึ้น และยังมอบคุณภาพในระดับหนึ่งให้กับการโจมตีแบบฟิชชิ่ง ซึ่งเพิ่มโอกาสความสำเร็จของผู้โจมตีอย่างมาก

เมื่อรวมกับโครงสร้างพื้นฐานที่มีความแข็งแกร่ง และยืดหยุ่นสูง กลุ่มผู้โจมตีสามารถใช้ประโยชน์เพื่อดำเนินการแคมเปญฟิชชิ่งในระดับใหญ่ และเป็นระบบได้อย่างมีประสิทธิภาพ

หากได้รับข้อความบนอุปกรณ์ที่เร่งให้คลิกลิงก์ หรือให้ตอบกลับ อย่าโต้ตอบหรือคลิกใด ๆ ควรเข้าสู่ระบบของบริการนั้นโดยตรงผ่านช่องทางอย่างเป็นทางการ และตรวจสอบการแจ้งเตือน หรือใบเรียกเก็บเงินด้วยตนเองแทน

ที่มา : bleepingcomputer

จากรายงานล่าสุดพบว่าอุปกรณ์ Clevo หลายรุ่น มีช่องโหว่ที่อาจทำให้เกิดการรั่วไหลของ Private Key ของ Boot Guard ซึ่งเป็นเทคโนโลยีความปลอดภัยของ Intel ที่ใช้ตรวจสอบในระหว่างการบูตระบบ ที่จะมีเพียงเฟิร์มแวร์ที่ได้รับอนุญาตเท่านั้นที่สามารถทำงานได้ เพื่อป้องกันโค้ดที่ไม่ได้รับอนุญาต

ช่องโหว่นี้ถูกเปิดเผยครั้งแรกบนฟอรัม Win-Raid โดยพบว่ามี Private Key ของ Boot Guard Key Manifest (KM) และ Boot Policy Manifest (BPM) ฝังอยู่ในไฟล์ Firmware Update

ซึ่งหาก Private Key นี้รั่วไหล ผู้โจมตีสามารถใช้ Key เหล่านั้นในการ sign เฟิร์มแวร์ที่เป็นอันตราย ซึ่งสามารถผ่านการตรวจสอบความปลอดภัยของ Boot Guard ได้

รายละเอียดการตรวจสอบ

ทีมวิจัยจาก Binarly ซึ่งมีชื่อเสียงในการค้นหาช่องโหว่ในระบบ UEFI ได้รับการแจ้งเตือนเกี่ยวกับช่องโหว่นี้จากโพสต์ในฟอรัม Win-Raid ซึ่งเปิดเผยการพบ Boot Guard key ในการอัปเดตเฟิร์มแวร์ของอุปกรณ์ Clevo ที่มีการฝัง Private Key ไว้

หลังจากการตรวจสอบ ทีมวิจัยยืนยันว่ามี Private Key สองชุดที่ถูกฝังอยู่ในไฟล์ BootGuardKey.