Hoya บริษัทผู้ผลิตอุปกรณ์เกี่ยวกับการมองห็นและเลนส์สายตาของญี่ปุ่น ได้รับผลกระทบจากการโจมตีทางไซเบอร์เมื่อปลายเดือนกุมภาพันธ์ที่ผ่านมา ทำให้ต้องหยุดการผลิตบางส่วนในประเทศไทยเป็นเวลาสามวัน

ทางบริษัทเปิดเผยว่าเครื่องคอมพิวเตอร์ประมาณ 100 เครื่องของบริษัทติดมัลแวร์ที่ถูกออกแบบมาเพื่อขโมยข้อมูลส่วนตัวของผู้ใช้จากเครื่องที่มีช่องโหว่และทำการฝังมัลแวร์ขุดสกุลเงินดิจิตอล จากรายงานระบุว่าทางบริษัทสามารถหยุดยั้งกระบวนการทำงานของมัลแวร์ขุดสกุลเงินดิจิตอลได้ หลังจากสังเกตพบพฤติกรรมการพยายามขโมยข้อมูลสำคัญ (credential) ของมัลแวร์ในระบบเครือข่าย

ไม่ใช่เพียงแค่ระบบคอมพิวเตอร์ของโรงงานในประเทศไทยที่ตกเป็นเหยื่อเท่านั้น แต่มีการตรวจพบว่าระบบคอมพิวเตอร์ในสำนักงานใหญ่ของญี่ปุ่นก็ได้รับผลกระทบเช่นกัน ซึ่งถือว่าการโจมตีในครั้งนี้มีผลกระทบต่อการดำเนินธุรกิจเป็นอย่างมาก ส่งผลให้เกิดความล่าช้าในการผลิต แต่ไม่พบการรั่วไหลของข้อมูลของบริษัท

ที่มา : bleepingcomputer

DarkHydrus ใช้ Open-Source เป็นเครื่องมือสำหรับช่วยการโจมตี spear-phishing ซึ่งออกแบบมาเพื่อขโมยข้อมูล Credential จากรัฐบาลและสถาบันการศึกษาในตะวันออกกลาง

นักวิจัยของ Palo Alto Networks Unit 42 พบว่ากลุ่มที่มีชื่อว่า "DarkHydrus" ได้ใช้เครื่องมือ Open-Source จาก GitHub ที่ชื่อว่า "Phishery" ช่วยในการโจมตีเพื่อขโมยมูล Credential โดยก่อนหน้านี้เคยใช้เป็น Meterpreter, Cobalt Strike, Invoke-Obfuscation, Mimikatz, PowerShellEmpire และ Veil ร่วมกับเอกสารที่เป็น Microsoft Office เพื่อรับคำสั่งจากระยะไกล

ย้อนกลับไปเมื่อเดือนมิถุนายนพบว่ากลุ่มดังกล่าวได้ทำการโจมตีสถาบันการศึกษา โดยการส่งอีเมลล์ที่ใช้ Subject ว่า "Project Offer" และแนบเอกสารไฟล์ Word เพื่อหลอกให้ผู้ใช้กรอกชื่อผู้ใช้และรหัสผ่าน จากนั้นจึงส่งกลับไปยังเซิร์ฟเวอร์ที่เตรียมไว้

การโจมตีในลักษณะนี้ไม่ใช่วิธีการใหม่ ตัวอย่างเช่น WannaCry และ NotPetya เมื่อปีที่แล้ว ก็ได้มีการใช้ Mimikatz ช่วยในการขโมยข้อมูล Credential และใช้ PsExec เพื่อรับคำสั่งจากระยะไกล

ที่มา: bleepingcomputer