Microsoft เปิดเผยว่า กลุ่มแฮ็กเกอร์ Storm-1977 ได้ดำเนินการโจมตีแบบ Password spraying กับผู้ใช้บริการคลาวด์ในภาคการศึกษาในช่วงปีที่ผ่านมา
ทีม Threat Intelligence ของ Microsoft ระบุในการวิเคราะห์ว่า การโจมตีนี้เกี่ยวข้องกับการใช้ AzureChecker.
Microsoft เปิดเผยว่า กลุ่มแฮ็กเกอร์ Storm-1977 ได้ดำเนินการโจมตีแบบ Password spraying กับผู้ใช้บริการคลาวด์ในภาคการศึกษาในช่วงปีที่ผ่านมา
ทีม Threat Intelligence ของ Microsoft ระบุในการวิเคราะห์ว่า การโจมตีนี้เกี่ยวข้องกับการใช้ AzureChecker.
เมื่อวันพุธที่ผ่านมา (16 เมษายน 2025) หน่วยงานด้านความมั่นคงปลอดภัยทางไซเบอร์ของสหรัฐฯ (CISA) ได้ออกคำเตือนเกี่ยวกับความเสี่ยงจากการถูกเจาะระบบที่เพิ่มสูงขึ้น อันเป็นผลจากเหตุการณ์การถูกโจมตีเซิร์ฟเวอร์ Oracle Cloud ที่ Oracle ระบุว่าเป็นระบบเก่าในช่วงต้นปีที่ผ่านมา พร้อมเน้นย้ำว่าเหตุการณ์ดังกล่าวก่อให้เกิดภัยคุกคามที่สำคัญต่อเครือข่ายขององค์กรต่าง ๆ (more…)
นักวิจัยพบระบบจัดการการเข้าถึง (Access Management Systems - AMS) ที่ตั้งค่าผิดพลาด และถูกเปิดเผยกว่า 49,000 รายการในหลายอุตสาหกรรม และหลายประเทศ ซึ่งอาจส่งผลกระทบต่อความเป็นส่วนตัว และความปลอดภัยทางกายภาพในภาคส่วนที่สำคัญ (more…)
RyotaK นักวิจัยชาวญี่ปุ่นจาก GMO Flatt Security ได้เปิดเผยข้อมูล และรายงานเกี่ยวกับช่องโหว่ที่เรียกว่า 'Clone2Leak' ซึ่งประกอบด้วยการโจมตี 3 รูปแบบที่แตกต่างกัน แต่เชื่อมโยงกัน โดยสามารถเข้าถึงข้อมูลส่วนตัวของผู้ใช้งานได้ โดยการใช้ประโยชน์จากช่องโหว่ของ Credential Helpers ซึ่งเป็นเครื่องมือที่ช่วยในการจัดการ authentication requests ต่าง ๆ บน Git (more…)
UnitedHealth เปิดเผยว่าข้อมูลส่วนตัว และข้อมูลด้านสุขภาพของชาวอเมริกันจำนวน 190 ล้านราย ถูกโจรกรรมในการโจมตีด้วย Ransomware ที่เกี่ยวข้องกับ Change Healthcare ซึ่งเกือบเป็นสองเท่าของตัวเลขที่เคยเปิดเผยก่อนหน้านี้ (more…)
พบ Hacker ชาวจีน ใช้ชุดเครื่องมือ post-exploitation toolkit ในชื่อ "DeepData" เพื่อโจมตีช่องโหว่ Zero-Day ใน FortiClient Windows VPN client เพื่อโมยข้อมูล credentials (more…)
ADT ผู้ให้บริการด้านความปลอดภัยสำหรับที่อยู่อาศัย และธุรกิจขนาดเล็ก ได้เปิดเผยถึงการถูกโจมตีทางไซเบอร์ หลังจากที่ผู้ไม่หวังดีเข้าถึงระบบของตนโดยใช้ข้อมูล Credentials ** ที่ถูกโจมตีมาจากพันธมิตรทางธุรกิจของตน ในเอกสาร Form 8-K ที่ยื่นต่อสำนักงานคณะกรรมการกำกับหลักทรัพย์ และตลาดหลักทรัพย์ (SEC) ในวันจันทร์ ADT ยืนยันว่ามีการโจมตีทางไซเบอร์เกิดขึ้น ซึ่งนำไปสู่การขโมยข้อมูลบัญชีพนักงานที่เข้ารหัสไว้ (more…)
VMware ออกแพตซ์แก้ไขช่องโหว่ที่ถูกนำไปใช้ในการเปิดเผยข้อมูลบน VMware Tanzu Application Service for VMs (TAS for VMs) และ Isolation Segment โดยเกิดจากการถูกขโมยข้อมูล Credentials ซึ่งมีการเปิดเผยผ่านทาง Audit Logs
TAS (Tanzu Application Service) เป็นแพลตฟอร์มที่พัฒนาโดย VMware ซึ่งช่วยให้องค์กรสามารถจัดการแอปพลิเคชันได้โดยอัตโนมัติทั่วทั้งภายในองค์กร รวมทั้งระบบคลาวด์สาธารณะ และระบบคลาวด์ส่วนตัว เช่น vSphere, AWS, Azure, GCP, OpenStack
โดยช่องโหว่มีหมายเลข CVE-2023-20891 ซึ่งเป็นช่องโหว่ที่ทำให้ผู้โจมตีที่ไม่ได้รับอนุญาตสามารถเข้าถึงข้อมูล Credentials ของผู้ดูแลระบบ Cloud Foundry (CF) API บนระบบที่มีช่องโหว่ได้อย่างง่ายดาย ส่งผลให้ผู้โจมตีสามารถใช้ข้อมูล Credentials ที่ได้มาเพื่อติดตั้งโปรแกรมที่เป็นอันตรายได้
โดยบริษัทแนะนำให้ผู้ใช้งาน TAS ทั้งหมดที่ได้รับผลกระทบจากช่องโหว่ CVE-2023-20891 ให้ทำการเปลี่ยนแปลงข้อมูล Credentials ของผู้ดูแลระบบ CF API เพื่อให้แน่ใจว่าผู้โจมตีไม่สามารถใช้รหัสผ่านที่อาจรั่วไหลได้
VMware ให้คำแนะนำโดยละเอียดเกี่ยวกับการเปลี่ยนบัญชีผู้ใช้งาน Cloud Foundry และการรับรองความถูกต้องของผู้ดูแลระบบ (UAA) ใน VMware tanzu support hub
ที่มา : bleepingcomputer
Coinbase แพลตฟอร์มการแลกเปลี่ยน cryptocurrency ชื่อดัง ออกมายอมรับว่าถูกแฮ็กเกอร์ขโมยข้อมูลการเข้าสู่ระบบของพนักงาน เพื่อพยายามเข้าถึงระบบของบริษัทจากภายนอก
ผลจากการโจมตีทำให้แฮ็กเกอร์ได้ข้อมูลติดต่อของพนักงาน Coinbase จำนวนหนึ่ง โดยข้อมูลทางการเงิน และข้อมูลของลูกค้ายังไม่ได้รับผลกระทบ
รายละเอียดการโจมตี
แฮ็กเกอร์มุ่งเป้าไปที่ engineer ของ Coinbase จำนวนมาก ในวันอาทิตย์ที่ 5 กุมภาพันธ์ โดยมีการส่งข้อความแจ้งเตือนทาง SMS เพื่อให้ล็อกอินเข้าสู่บัญชีของบริษัทเพื่ออ่านข้อความสำคัญ โดยที่พนักงานส่วนใหญ่ไม่ได้สนใจข้อความ แต่มีพนักงานคนหนึ่งคลิกลิงก์ไปยังหน้าฟิชชิ่ง และมีการป้อนข้อมูล credentials
ขั้นตอนต่อไป แฮ็กเกอร์พยายามเข้าสู่ระบบภายในของ Coinbase โดยใช้ข้อมูล credentials ที่ถูกขโมยไป แต่ล้มเหลวเนื่องจากการเข้าถึงได้รับการป้องกันด้วย multi-factor authentication (MFA) และ 20 นาทีต่อมา แฮ็กเกอร์ก็เปลี่ยนไปใช้กลยุทธ์อื่น โดยโทรหาพนักงาน และอ้างว่าติดต่อมาจากทีม IT ของ Coinbase และสั่งให้เหยื่อลงชื่อเข้าใช้งานระบบ และทำตามคำแนะนำ
CSIRT ของ Coinbase ตรวจพบพฤติกรรมที่ผิดปกติภายใน 10 นาทีนับตั้งแต่เริ่มการโจมตี และติดต่อเหยื่อเพื่อสอบถามเกี่ยวกับพฤติกรรมล่าสุดที่ผิดปกติจากบัญชี หลังจากนั้นพนักงานก็ตระหนักว่ามีบางอย่างผิดปกติ และหยุดการสื่อสารกับผู้โจมตี
การป้องกัน
Coinbase ได้แชร์ TTPs ที่สามารถใช้เพื่อระบุการโจมตีที่คล้ายกัน และเพื่อป้องกันการโจมตีดังกล่าว:
การเข้าใช้งาน web traffic ไปยังที่อยู่ : sso-[.]com, sso[.]com, login.
พบการโจมตีทางไซเบอร์แบบหลายขั้นตอนที่ไม่ค่อยได้พบเห็นมาก่อน ซึ่งจะมีการพยายามหลอกให้ผู้ใช้เล่น Malicious Video และหลังจากนั้นก็จะนำผู้ใช้งานไปยังหน้า Microsoft ที่ปลอมขึ้นมาเพื่อใช้ในการขโมย credentials
บริษัท Perception Point ได้เผยแพร่รายงานเกี่ยวกับแคมเปญ Phishing ให้เห็นว่าการโจมตีจะเริ่มต้นจากอีเมลใบแจ้งหนี้จากบริษัทรักษาความปลอดภัยทางด้านการสื่อสารของอังกฤษ (Egress) โดยอีเมลนั้นมาจากผู้ส่งที่ถูกต้องของ Egress ซึ่งอาจเป็นไปได้ว่าพนักงานรายนั้นโดนแฮ็กเกอร์ Take over Email ไปเรียบร้อยแล้ว และนำมาใช้ในการโจมตีแบบ Phishing email
สรุปรายละเอียดการโจมตี
แฮ็กเกอร์ได้มีการเข้าควบคุมอีเมลของหนึ่งในพนักงานของบริษัทรักษาความปลอดภัยทางด้านการสื่อสารของอังกฤษ (Egress)
จากนั้นจะทำการส่งอีเมลโดยมีใจความว่าเป็นใบ invoice จาก Egress
เมื่อเหยื่อทำการคลิกที่ไฟล์นั้นจะถูก Redirect ไปที่ Powtoon ที่เป็น Video-Platform เพื่อเล่น Video ที่เป็นอันตราย
เมื่อ Video เล่นเสร็จจะนำไปยังหน้า Microsoft ที่มีการปลอมแปลงขึ้นมาเพื่อขโมยข้อมูลของเหยื่อ
ค่อนข้างเป็นที่แน่ชัดว่าเป็น account takeover แน่นอน เนื่องจากว่าอีเมลมีลายเซ็นของพนักงานจาก Egress ที่ถูกต้อง และอีเมลนั้นผ่านการตรวจสอบสิทธิ์อีเมลตามมาตรฐาน (SPF: Sender Policy Framework) และถูกส่งมาจาก Microsoft Outlook ทำให้มีความน่าเชื่อถือสูง และการโจมตีนี้จะเป็นอันตรายมากขึ้น หากผู้รับนั้นรู้จักผู้ส่ง ซึ่งจะทำให้ผู้รับนั้นเกิดความไว้วางใจ และไม่เกิดความสงสัย
แนวทางการป้องกัน
ไม่ควรใช้อีเมลของบริษัทไปทำการสมัครบริการต่าง ๆ ที่นอกเหนือจากการใช้งานของบริษัท
สร้าง Awareness ให้กับพนักงาน
ติดตามข่าวสารอยู่อย่างสม่ำเสมอ
ที่มา : darkreading