Ivanti แจ้งเตือนช่องโหว่ระดับ Critical ใน EPM ที่ทำให้ผู้โจมตีสามารถเข้าควบคุมเครื่องได้

Ivanti แก้ไขช่องโหว่การเรียกใช้โค้ดที่เป็นอันตรายจากระยะไกล (RCE) ระดับ Critical ใน Endpoint Management software (EPM) ที่ทำให้ Hacker สามารถเข้าควบคุมเครื่อง enrolled devices หรือ core server ได้

Ivanti EPM เป็นซอฟต์แวร์ช่วยจัดการอุปกรณ์ไคลเอนต์ที่ใช้แพลตฟอร์มที่หลากหลาย ตั้งแต่ Windows และ macOS ไปจนถึง Chrome OS และระบบปฏิบัติการ IoT โดย Ivanti เป็นบริษัทจัดการสินทรัพย์ และระบบไอที ที่มีบริษัทใช้งานมากกว่า 40,000 แห่งทั่วโลก

ช่องโหว่ CVE-2023-39336 (คะแนน CVSS 9.6/10 ความรุนแรงระดับ Critical) ส่งผลกระทบต่อ Ivanti EPM ทุกเวอร์ชัน และได้รับการแก้ไขไปแล้วในเวอร์ชัน 2022 Service Update 5

โดยผู้โจมตีที่สามารถเข้าถึงเครือข่ายภายในของเป้าหมาย สามารถใช้ประโยชน์จากช่องโหว่ในการโจมตีที่มีความซับซ้อนต่ำ รวมถึงไม่ต้องการสิทธิ์ที่สูง หรือการโต้ตอบจากผู้ใช้งาน

โดย Ivanti ระบุว่า “ผู้โจมตีที่สามารถเข้าถึงเครือข่ายภายใน สามารถใช้ประโยชน์จากการโจมตีแบบ SQL injection เพื่อสั่งการ SQL queries และดึงข้อมูลออกมาได้โดยไม่จำเป็นต้องผ่านการตรวจสอบสิทธิ์ รวมถึงอาจทำให้ผู้โจมตีสามารถเข้าควบคุมเครื่องที่มีการติดตั้ง EPM agent ได้ หาก core server ได้รับการกำหนดค่าให้ใช้ SQL express ซึ่งเป็นสาเหตุให้สามารถเรียกใช้โค้ดที่เป็นอันตรายจากระยะไกล (RCE) บน core server ได้”

(more…)

พบมัลแวร์ KamiKakaBot ถูกใช้โดยกลุ่ม Dark Pink APT เพื่อมุ่งเป้าหมายการโจมตีไปยังองค์กรในเอเชียตะวันออกเฉียงใต้

EclecticIQ บริษัทความปลอดภัยทางไซเบอร์ของเนเธอร์แลนด์ ได้เผยแพร่รายงานการค้นพบการโจมตีโดยกลุ่ม APT ในชื่อ Dark Pink ที่ได้ใช้มัลแวร์ KamiKakaBot โจมตีเป้าหมาย โดยมุ่งเป้าหมายการโจมตีไปยังหน่วยงานรัฐบาล และหน่วยงานทางทหารในประเทศแถบเอเชียตะวันออกเฉียงใต้

Dark Pink หรือ Saaiwc ถูกพบครั้งแรกโดย Group-IB เมื่อต้นปี 2023 โดยเป็นกลุ่ม Advanced Persistent Threat (APT) ที่มีการใช้ Malware ที่สร้างขึ้นมาเอง เช่น TelePowerBot และ KamiKakaBot เพื่อโจมตี และควบคุมเป้าหมายจากระยะไกล รวมไปถึงการขโมยข้อมูลสำคัญออกไป ซึ่งมีการคาดการณ์ว่ากลุ่มผู้โจมตีมีฐานปฏิบัติการอยู่ที่เอเชียแปซิฟิก โดยเริ่มพบการโจมตีครั้งแรกในปี 2021 และเริ่มพบการโจมตีจำนวนมากขึ้นในปี 2022

การโจมตีของ KamiKakaBot

EclecticIQ พบการโจมตีครั้งล่าสุดในเดือนกุมภาพันธ์ 2023 โดยพบว่ามัลแวร์ KamiKakaBot ได้มีการพัฒนา และถูกปรับปรุงให้มีความสามารถในการหลบเลี่ยงการตรวจจับจากอุปกรณ์ป้องกันด้านความปลอดภัย

โดยใช้วิธีการโจมตีด้วยการใช้ Phishing Email หลอกล่อให้เหยื่อทำการเปิดอีเมลที่แนบไฟล์อันตราย .ISO image ซึ่งในตัวไฟล์นั้นจะประกอบไปด้วย ไฟล์สั่งการ (Winword.

Revamped DLL side-load attack hits Myanmar

Sophos ออกรายงานการโจมตีทางไซเบอร์ในพม่า ใช้โปรแกรมของ Windows Defender ทำ "DLL side-loading" ในการโจมตี

Sophos ออกรายงานแจ้งเตือนพฤติกรรมการโจมตีโดยกลุ่ม APT จีนในพม่า พุ่งเป้าโจมตีบริษัทเอกชนและด้านการค้าในประเทศพม่า จุดน่าสนใจของการโจมตีอยู่ที่การใช้เทคนิคการโจมตีซึ่งถูกค้นพบในปี 2013 ในชื่อ DLL side-loading เพื่อหลอกให้ระบบเมื่อมีการเอ็กซีคิวต์โปรแกรมใดๆ แล้ว ให้เรียกใช้ DLL ปลอมซึ่งเป็นอันตรายแทน DLL จริง

ในกรณีของการโจมตีที่ตรวจพบ แฮกเกอร์จีนมีการใช้โปรแกรม MsMpEng.

FireEye/Mandiant ออกรายงานความเคลื่อนไหวกลุ่ม APT “UNC1945” ใช้ Zero-day ใน Solaris ในการโจมตี

FireEye/Mandiant ออกรายงานเมื่อวานที่ผ่านมาถึงพฤติกรรมของกลุ่ม APT ใหม่ภายใต้ชื่อ UNC1945 กลุ่มนี้มีพฤติกรรมโจมตีบริษัทด้านโทรคมนาคม, สถาบันทางด้านการเงินและบริษัทให้คำปรึกษา ไฮไลท์สำคัญของพฤติกรรมอยู่ที่การใช้ช่องโหว่ Zero-day ใน Solaris ซึ่ง FireEye/Mandiant มีการแจ้งไปในรอบแพตช์เดือนตุลาคมในการโจมตี

จุดน่าสนใจในพฤติกรรมของภัยคุกคามจากข้อมูล Threat intelligence มีตามประเด็นดังนี้

กลุ่มผู้โจมตีมีการหลบหลีกการตรวจจับโดยการปฏิบัติการใน virtual machine กับซอฟต์แวร์ QEMU ซึ่งกลุ่มฯ พัฒนามาใช้สำหรับช่วยโจมตีโดยเฉพาะ
มีการใช้ช่องโหว่ CVE-2020-14871 ใน Solaris เพื่อเข้าถึงและติดตั้งมัลแวร์สำหรับสร้างช่องทางลับ
กลุ่มผู้โจมตีมีความเชี่ยวชาญในระบบตระกูล Unix สูง มีการใช้เทคนิค SSH port forwarding เพื่อสร้างช่องทางในการติดต่อ C&C และโอนถ่ายไฟล์
ยังไม่มีการตรวจพบการขโมยข้อมูลออกจากระบบที่ถูกโจมตี แต่มีการติดตั้ง Ransomware เมื่อเสร็จสิ้นปฏิบัติการด้วย
ผู้ที่สนใจสามารถดูข้อมูลเพิ่มเติมของกลุ่ม UNC1945 ได้ที่ https://www.

พบกลุ่ม APT ใช้วิธี OAuth Consent Phishing โจมตีบัญชีผู้ใช้ Microsoft Office 365

นักวิจัยด้านความปลอดภัยจาก Proofpoint ได้เผยการตรวจพบกลุ่ม APT ที่ชื่อ TA2552 ใช้วิธีฟิชชิงโดยการใช้ระบบ OAuth2 (มาตรฐานของระบบการยืนยันตัวตนและจัดการสิทธิ์การเข้าใช้งานในระบบต่างๆ ที่จะเปิดให้ third-party application เข้าถึงและจัดการสิทธิ์บัญชี) ในการเข้าถึงบัญชี Office 365 เพื่อขโมยรายชื่อติดต่อและอีเมลของผู้ใช้

กลุ่ม TA2552 ได้ทำการแอบอ้างเป็น Servicio de Administración Tributaria (SAT) ซึ่งเป็นหน่วยงานด้านภาษีของเม็กซิโก, Netflix Mexico และ Amazon Prime Mexico ทำการส่งอีเมลที่สร้างขึ้นมาเป็นพิเศษและมีเนื้อหาอีเมลที่เกี่ยวข้องภาษีและเนื้อหาที่เกี่ยวข้องกับการพบปัญหาในบัญชีผู้ใช้ Netflix Mexico และ Amazon Prime Mexic เมื่อเหยื่อทำการคลิกลิงก์ที่อยู่ภายใน เหยื่อจะถูกรีไดเร็คไปยังการลงชื่อเข้าใช้บัญชี O365 (Office 365) และเมื่อลงชื่อเข้าใช้ O365 เว็บไซต์ของผู้ประสงค์ร้าย ที่ถูกสร้างด้วยการลงทะเบียนผ่าน Namecheap และโฮสต์บน Cloudflare จะร้องขอสิทธิ์การเข้าถึงแอปพลิเคชันแบบ read-only เมื่อผู้ใช้กดยอมรับก็จะเปิดทางให้ผู้ประสงค์ร้ายสามารถเข้าถึงรายชื่อผู้ติดต่อ, โปรไฟล์และอีเมลของผู้ใช้

จาการอนุญาตสิทธิ์ในการเข้าถึงข้อมูลจะทำให้ผู้ประสงค์ร้ายสามารถสอดแนมในบัญชีเพื่อทำการขโมยข้อมูลหรือแม้แต่การขัดขวางข้อความการร้องขอรีเซ็ตรหัสผ่านจากบัญชีอื่น เช่น Online Banking

ทั้งนี้ผู้ใช้ควรมีความระมัดระวังในการใช้งานอีเมล เมื่อพบข้อความและเนื้อหาอีเมลมาจากหน่วยงานหรือระบบที่เราไม่รู้จักควรทำการตรวจสอบเเหล่งที่มาของอีเมลเพื่อเป็นการป้องกันการตกเป็นเหยื่อของผู้ประสงค์ร้าย

ที่มา : threatpost

 

 

เหมือนจริงกว่าทำ Pentest!? MITRE ปล่อยแผนการจำลองพฤติกรรมกลุ่ม APT “FIN6” เพื่อให้องค์กรได้ทดสอบความปลอดภัยต่อภัยคุกคามจริง

MITRE เปิดตัวโครงการใหม่ Adversary Emulation Library พร้อมแผนสำหรับการจำลองพฤติกรรมกลุ่ม APT "FIN6" ซึ่งทำให้ผู้ที่สนใจสามารถจำลองพฤติกรรมของกลุ่ม APT ในแต่ละขั้นตอนเพื่อประเมินความปลอดภัยระบบได้จริง

FIN6 เป็นกลุ่ม APT ที่พุ่งเป้าโจมตีกลุ่มธุรกิจเพื่อการขโมยเงิน โดยมีพฤติกรรมสำคัญคือการโจมตีระบบ Point of Sale (PoS) ด้วยมัลแวร์ที่ออกแบบมาพิเศษเพื่อขโมยเลขบัตรเครดิต และยังเกี่ยวข้องกับปฏิบัติการของ Ransomware "Ryuk" ด้วย

แผนจำลองการโจมตีนี้เริ่มต้นตั้งแต่วิธีการที่กลุ่ม FIN6 หาข้อมูลของระบบที่จะโจมตี ทำการโจมตีเข้าไปจนถึงการกระจายในระบบภายใน (lateral movement) เพื่อหาระบบเป้าหมายที่จะขโมยข้อมูล คู่มือยังบอกวิธีการจำลองถึงระดับของคำสั่งที่ผู้โจมตีจะใช้จริงด้วย

ผู้ที่สนใจสามารถดู Adversary Emulation Library ได้ที่ https://github.

Iranian hacker group becomes first known APT to weaponize DNS-over-HTTPS (DoH)

นักวิจัยจาก Kaspersky พบกลุ่ม APT จากอิหร่านเริ่มนำ DNS-over-HTTPS (DoH) มาใช้เป็นเครื่องมือในการโจมตี

Vincente Diaz นักวิเคราะห์มัลแวร์และนักวิจัยโปรแกรมป้องกันไวรัสจาก Kaspersky ได้กล่าวถึงกลุ่ม APT จากอิหร่านหรือที่รู้จักกันในชื่อ OilRig หรือ APT34 ในงาน webinar ว่ากลุ่ม OilRig นี้ได้นำโปรโตคอล DNS-over-HTTPS (DoH) มาพัฒนาในเครื่องมือที่ใช้ในการโจมตีเป็นกลุ่มเเรก เพื่อใช้ exfiltration หรือขโมยข้อมูลออกจากระบบ

Diaz กล่าวว่ากลุ่ม OilRig นั้นได้เริ่มใช้ยูทิลิตี้ใหม่ที่เรียกว่า DNSExfiltrator เป็นส่วนหนึ่งของการบุกรุกเครือข่ายที่ถูกแฮก โดย DNSExfiltrator เป็นโอเพนซอร์สที่มีอยู่ใน GitHub โดย DNSExfiltrator จะสร้างช่องทางการสื่อสารที่ซ่อนตัวอย่างลับๆ โดยการใช้ funneling data และจะซ่อนช่องทางไว้ภายในโปรโตคอลที่ไม่ได้มาตรฐาน ซึ่งจะสามารถถ่ายโอนข้อมูลระหว่างสองจุดโดยใช้ DNS requests หรือ DNS-over-HTTPS (DoH) ในการดำเนินการ

Diaz ยังกล่าวอีกว่ากลุ่ม OilRig หรือ APT34 ได้ใช้ DNSExfiltrator ในการย้ายข้อมูลภายในเครือข่ายจากนั้นจะทำการ exfiltration ไฟล์ไปยังเครือข่ายภายนอกอีกครั้ง โดยกลุ่ม OilRig น่าจะนำเทคนิคนี้มาใช้เพื่อหลีกเลี่ยงการตรวจจับในขณะทำการขโมยข้อมูลออกสู่เครือข่ายภายนอก

ทั้งนี้กลุ่ม OilRig หรือ APT34 นั้นเป็นกลุ่มเเรกที่ใช้เทคนิคขโมยข้อมูลผ่าน DNS มาก่อน จึงไม่แปลกที่กลุ่มนี้จะหันมาพัฒนาเทคนิคเป็นการขโมยข้อมูลผ่าน DNS-over-HTTPS (DoH)

Kaspersky กล่าวว่าเมื่อเดือนพฤษภาคมที่ผ่านมานั้นพบกลุ่ม OilRig มีความเชื่อมโยงกับการ exfiltration ข้อมูลผ่าน DoH ไปยังโดเมนที่เกี่ยวข้องกับ COVID-19

ที่มา: zdnet

Alert (AA20-126A) APT Groups Target Healthcare and Essential Services

กลุ่ม APT กำหนดเป้าหมายโจมตีระบบการดูแลสุขภาพและการบริการ

กระทรวงความมั่นคงแห่งมาตุภูมิสหรัฐอเมริกา (DHS), สำนักงานความมั่นคงทางอินเทอร์เน็ตและโครงสร้างพื้นฐาน (CISA) และศูนย์ความมั่นคงปลอดภัยไซเบอร์แห่งชาติของสหราชอาณาจักร (NCSC) ได้ออกประกาศคำเตือนถึงภัยคุกคามจากกลุ่ม APT ที่กำลังใช้ประโยชน์จากการระบาดของโรค Coronavirus 2019 (COVID-19) ในการทำปฏิบัติการไซเบอร์

CISA และ NCSC ระบุว่ากลุ่ม APT กำลังใช้ประโยชน์ที่เกี่ยงเนื่องจาก COVID-19 และกำลังมุ่งเป้าหมายไปที่องค์กรหรือหน่วยงานที่เกี่ยวข้องกับการดูแลสุขภาพ, บริษัทยา, สถาบันการศึกษา, องค์กรวิจัยทางการแพทย์และรัฐบาลท้องถิ่นที่อยู่ในระดับชาติและระดับนานาชาติ เพื่อรวบรวมและขโมยข้อมูลส่วนบุคคลทรัพย์สินทางปัญญา

CISA และ NCSC กำลังตรวจสอบแคมเปญ Password Spraying ที่ดำเนินการโดยกลุ่ม APT โดยใช้ประโยชน์ที่เกี่ยงเนื่องจาก COVID-19 ทำการโจมตีหน่วยงานด้านการดูแลสุขภาพในหลายประเทศรวมถึงสหราชอาณาจักรและสหรัฐอเมริกา

Password Spraying เป็นวิธีการโจมตีลักษณะเดียวกับ Brute force attack ที่รู้จักกันดี แต่ข้อแตกต่างคือ Password Spraying จะใช้รหัสผ่านทีละตัวในการไล่โจมตีแต่ละบัญชีผู้ใช้งาน (account) เมื่อไล่ครบทุกบัญชีแล้ว จึงค่อยใช้รหัสผ่านตัวต่อไปในการไล่โจมตี ต่างกับ Brute force ที่จะใช้วิธีการไล่ใส่รหัสผ่านในบัญชีผู้ใช้งานเพียงบัญชีเดียวจนกว่าจะสำเร็จ วิธีการนี้จึงไม่สามารถป้องกันได้ด้วยการ Lock บัญชีเมื่อมีการกรอกรหัสผ่านผิดเกินจำนวนที่กำหนดไว้ (account-lockout)

CISA และ NCSC ได้ออกคำเเนะนำในการป้องกันความปลอดภัยของข้อมูลดังนี้

ทำการอัปเดตแพตช์และการกำหนดค่าซอฟต์แวร์ให้เป็นเวอร์ชั่นล่าสุดบนอุปกรณ์เน็ตเวิร์ค, อุปกรณ์ที่ใช้ในการทำรีโมตและ VPN
ใช้ Multi-Factor Authentication (MFA) เพื่อลดผลกระทบจากการถูกโจมตี Password
ป้องกันการจัดการอินเทอร์เฟซของระบบปฏิบัติเพื่อป้องกันไม่ให้ผู้โจมตีได้รับสิทธิ์ในการเข้าถึงทรัพย์สินที่หรือข้อมูลที่สำคัญอย่างง่ายดาย
ทำการสร้างระบบ Security Monitor เพื่อรวบรวมข้อมูลและทำการวิเคราะห์การบุกรุกเครือข่ายที่จะเข้าสู่ระบบเพื่อความปลอดภัย
ทำการตรวจสอบสิ่งที่ผิดปกติในระบบอยู่เป็นประจำ
ใช้ระบบและซอฟต์แวร์ที่ทันสมัยเพื่อลดปัญหาช่องโหว่ของระบบและซอฟต์แวร์
ติดตามข้อมูลข่าวสารด้านความปลอดภัยสารสนเทศอยู่เป็นประจำเพื่อทำการอัพเดตความรู้และวิธีการป้องกันต่างๆ

ที่มา: us-cert

Multiple nation-state groups are hacking Microsoft Exchange servers

กลุ่มเเฮกเกอร์ที่ได้รับการสนับสนุนจากรัฐหลายกลุ่มกำลังแฮกเซิร์ฟเวอร์ Microsoft Exchange

กลุ่มที่ได้รับการสนับสนุนจากรัฐบาลหรือที่เรียกกันว่า Advanced Persistent Threat (APT) กำลังโจมตีช่องโหว่ CVE-2020-0688 ที่เพิ่งได้รับการแก้ไขในเซิร์ฟเวอร์อีเมล Microsoft Exchange ความพยายามในการโจมตีช่องโหว่ได้ถูกพบครั้งแรกโดย Volexity บริษัทรักษาความปลอดภัยในโลกไซเบอร์แห่งสหราชอาณาจักร และถูกยืนยันในเวลาต่อมาต่อ ZDNet โดยแหล่งข่าวใน DOD โดย Volexity ไม่ได้เปิดเผยชื่อของกลุ่มแฮกเกอร์ที่ใช้ช่องโหว่ของ Exchange นี้ รวมถึงแหล่งข่าวใน DOD เองก็ไม่ได้ระบุชื่อกลุ่ม เพียงแต่ระบุว่าเป็นกลุ่มที่เป็นที่โด่งดังในด้านนี้อยู่แล้ว
กลุ่มแฮกเกอร์ที่ได้รับการสนับสนุนจากรัฐเหล่านี้กำลังโจมตีช่องโหว่ในเซิร์ฟเวอร์อีเมล Microsoft Exchange ที่ Microsoft ได้ทำการแก้ไขในแพตช์เดือนกุมภาพันธ์ 2020
ช่องโหว่ดังกล่าวมีการติดตามภายใต้ตัวรหัส CVE-2020-0688 ด้านล่างนี้เป็นบทสรุปของรายละเอียดทางเทคนิคของช่องโหว่
ระหว่างการติดตั้งเซิร์ฟเวอร์ Microsoft Exchange ไม่สามารถสร้างคีย์การเข้ารหัสลับเฉพาะสำหรับ Exchange control panel ซึ่งหมายความว่าเซิร์ฟเวอร์อีเมล Microsoft Exchange ทั้งหมดที่เปิดตัวในช่วง 10 ปีที่ผ่านมา ใช้คีย์การเข้ารหัสที่เหมือนกันทั้ง validationKey และ decryptionKey สำหรับ Exchange control panel
ผู้โจมตีสามารถส่งคำขอที่มีรูปแบบไม่ถูกต้องและมีข้อมูลที่เป็นอันตรายไปยังแผงควบคุม Exchange อย่างต่อเนื่อง เนื่องจากแฮกเกอร์รู้จักคีย์การเข้ารหัสของแผงควบคุม พวกเขาสามารถมั่นใจได้ว่าข้อมูลที่ส่งไปจะไม่ได้รับการตรวจสอบ ทำให้โค้ดอันตรายทำงานได้ด้วยสิทธิ์ของ SYSTEM ทำให้ผู้โจมตีสามารถควบคุมเซิร์ฟเวอร์ได้อย่างสมบูรณ์
Volexity อธิบายว่าการสแกนเซิร์ฟเวอร์ Exchange ได้กลายเป็นการโจมตีที่เกิดขึ้นจริงเเล้ว CVE-2020-0688 เป็น bug ที่ถูกเรียกว่า post-authentication แฮกเกอร์ต้องเข้าสู่ระบบก่อน จากนั้นจึงเรียกใช้เพย์โหลดที่เป็นอันตราย ซึ่งสามารถ hijacks เซิร์ฟเวอร์อีเมลของเหยื่อได้
APT และผู้โจมตีด้วย ransomware มักเริ่มต้นการโจมตีด้วยการทำแคมเปญฟิชชิ่ง เพื่อหลอกเอาข้อมูล หลังจากที่พวกเขาได้รับข้อมูลประจำตัวอีเมลสำหรับพนักงานของบริษัทเเล้ว หากองค์กรบังคับใช้การรับรองความถูกต้องด้วย two-factor authentication (2FA) สำหรับบัญชีอีเมล ข้อมูลประจำตัวเหล่านั้นก็ไร้ประโยชน์ เนื่องจากแฮกเกอร์ไม่สามารถ bypass 2FA ได้
Bug CVE-2020-0688 ทำให้ APT สามารถตั้งจุดมุ่งหมายสำหรับบัญชีที่มีการป้องกัน 2FA ที่เก่ากว่า ซึ่งพวกเขาเคยทำฟิชชิงเมื่อหลายเดือนก่อน พวกเขาสามารถใช้ข้อมูลประจำตัวเก่า ๆ เหล่านี้เป็นส่วนหนึ่งของการโจมตีช่องโหว่ CVE-2020-0688 โดยไม่จำเป็นต้อง bypass 2FA แต่ยังคงใช้เซิร์ฟเวอร์ Exchange ของเหยื่อ องค์กรที่สนใจระวังภัยคุกคามจากควรอัปเดตเซิร์ฟเวอร์อีเมล Exchange ด้วยการอัปเดตความปลอดภัยกุมภาพันธ์ 2020 โดยเร็วที่สุด
เซิร์ฟเวอร์ Microsoft Exchange ทั้งหมดได้รับการพิจารณาว่ามีความเสี่ยง แม้แต่รุ่นที่หมดอายุการใช้งาน (EoL) อย่างรุ่น 2008 ซึ่งไม่ถูกพูดถึงในรายงานคำแนะนำจากไมโครซอฟต์ว่าได้รับผลกระทบหรือไม่ ซึ่งสำหรับรุ่น EoL องค์กรควรตรวจสอบการอัปเดตเป็น Exchange เวอร์ชันที่ใหม่กว่า หากการอัปเดตเซิร์ฟเวอร์ Exchange ไม่ใช่ตัวเลือก บริษัทต่างๆ ควรบังคับให้รีเซ็ตรหัสผ่านสำหรับบัญชี Exchange ทั้งหมด

ที่มา : zdnet

 

Mitsubishi Electric discloses security breach, China is main suspect

Mitsubishi Electric ตรวจพบการบุกรุกเครือข่ายและการรั่วไหลของข้อมูล เชื่อจีนเป็นผู้โจมตี
จากการแถลงการณ์ที่เผยแพร่บนเว็บไซต์ของ บริษัท มิตซูบิชิ อิเล็คทริค ซึ่งเป็นหนึ่งในบริษัทผู้ผลิตอุปกรณ์ไฟฟ้าและอิเล็กทรมนิกส์ที่ใหญ่ที่สุดในโลก บริษัทฯ ได้มีการประกาศถึงการตรวจพบการโจมตีและการรั่วไหลของข้อมูลซึ่งเกิดขึ้นเมื่อ 28 มิถุนายน ปี 2019 และได้มีการสอบสวนภายในอย่างเป็นทางการเมื่อเดือนกันยายนปีเดียวกัน

บริษัทฯ ยังได้มีการประกาศถึงการโจมตีลงในหนังสือพิมพ์ท้องถิ่นสองฉบับคือ Asahi Shimbun และ Nikkei โดยเป็นการกล่าวโทษไปยังกลุ่มจารกรรมไซเบอร์ของจีนชื่อ Tick (Bronze Butler) ซึ่งเป็นที่รูจักว่าเป็นกลุ่ม APT ที่พุ่งเป้าไปที่อุตสาหกรรมในประเทศญี่ปุ่นและเคยมีประวัติการโจมตีมาแล้วย้อนหลังไปหลายปี

อ้างอิงจากประกาศดังกล่าว ทางมิตซูบิชิเชื่อว่าต้นกำเนิดการแฮกมาจากบริษัทพันธมิตรทางธุรกิจซึ่งอยู่ในจีน โดยผู้โจมตีได้มีการใช้บัญชีของพนักงานในการติดตั้งไฟล์ที่เป็นอันตรายในระบบ และเข้าถึงระบบซึ่งอยู่ในประเทศญี่ปุ่น และท้ายที่สุดนำไปสู่การเข้าถึงและการขโมยไฟล์ที่เป็นเอกสารทางธุรกิจกว่า 200 MB อีกทั้งยังมีการใช้เทคนิคการโจมตีหลายรายการพบลบหลักฐานดิจิตอล ส่งผลให้การตรวจสอบและวิเคราะห์การโจมตีทำได้ยากอีกด้วย

ในขณะนี้ทางสำนักงานใหญ่ของมิตซูบิชิได้ทำการแจ้งไปรัฐบาลญี่ปุ่นรวมไปถึงกระทรวงกลาโหมแล้วถึงสถานะและควบคืบหน้าในการตรวจสอบ สืบเนื่องจากมิตซูบิชิเป็นหนึ่งในผู้ถือสัมปทานรายใหญ่กับกระทรวงกลาโหม รวมไปถึงมีโปรเจคด้านการสื่อสารและสาธารณูปโภค ซึ่งอาจทำให้การรั่วไหลของข้อมูลรอบนี้เป็นประเด็นเรื่องความมั่นคงด้วย

ที่มา : ZDNet