บริษัทแลกเปลี่ยนสกุลเงินดิจิทัล Coinbase เปิดเผยว่า มีผู้โจมตีเจาะระบบของบริษัท และขโมยข้อมูลบัญชีของลูกค้าบางส่วนออกไป

บริษัทระบุในแถลงการณ์ว่า "กลุ่มผู้โจมตีมุ่งเป้าไปที่เจ้าหน้าที่ฝ่าย customer support ของเราที่อยู่ในต่างประเทศ พวกเขาใช้ข้อเสนอเป็นเงินสดเพื่อโน้มน้าวกลุ่มคนวงในกลุ่มเล็ก ๆ ให้คัดลอกข้อมูลจากระบบ customer support ของเรา ซึ่งทำให้ส่งผลกระทบกับลูกค้าประมาณ 1% ของผู้ใช้งานที่ทำธุรกรรมรายเดือนกับ Coinbase"

เป้าหมายสุดท้ายของแคมเปญนี้คือการรวบรวมรายชื่อลูกค้า และติดต่อไปโดยแอบอ้างว่าเป็น Coinbase เพื่อหลอกให้ลูกค้าส่ง cryptocurrency assets ของตนให้กับพวกเขา

Coinbase ระบุว่า ผู้โจมตีพยายามเรียกค่าไถ่จากบริษัทจำนวน 20 ล้านดอลลาร์ในวันที่ 11 พฤษภาคม 2025 แต่ไม่ประสบความสำเร็จ โดยผู้โจมตีอ้างว่าตนมีข้อมูลของบัญชีลูกค้าบางราย รวมถึงเอกสารภายใน รวมถึงแถลงการณ์ที่ส่งให้กับ Fortune บริษัท Coinbase ระบุว่า เจ้าหน้าที่ที่มีส่วนเกี่ยวข้องนั้นทำงานอยู่ที่ประเทศอินเดีย และทุกคนถูกไล่ออกแล้ว

Coinbase ย้ำว่า "ไม่มีการเปิดเผยรหัสผ่าน, private keys หรือเงินทุนใด ๆ และบัญชี Coinbase Prime ไม่ได้รับผลกระทบ" โดยสิ่งที่ผู้โจมตีได้ข้อมูลไปมีดังต่อไปนี้ :

ชื่อ, ที่อยู่, เบอร์โทรศัพท์ และอีเมล
หมายเลขประกันสังคมที่ถูกปิดบังไว้ (4 หลักท้ายเท่านั้น)
หมายเลขบัญชีธนาคารที่ถูกปิดบังไว้
รูปภาพบัตรประจำตัวประชาชน (เช่น ใบขับขี่, หนังสือเดินทาง)
ข้อมูลบัญชี (ยอดเงินในบัญชี และประวัติการทำธุรกรรม)
ข้อมูลระดับองค์กรบางส่วน เช่น เอกสาร, สื่อการฝึกอบรม และการสื่อสารที่เปิดให้เจ้าหน้าที่ฝ่าย support เข้าถึงได้

Coinbase ระบุว่า บริษัทจะคืนเงินให้ลูกค้าที่ถูกหลอกให้โอนเงินให้กับผู้โจมตี เนื่องจากการโจมตีด้วยเทคนิค social engineering โดยยังไม่ชัดเจนว่ามีลูกค้าจำนวนเท่าใดที่ตกเป็นเหยื่อ แต่บริษัทแจ้งกับ TechCrunch ว่ามีลูกค้าน้อยกว่า 1% ของลูกค้า 9.7 ล้านรายต่อเดือนที่ได้รับผลกระทบ

บริษัทกำลังบังคับใช้การตรวจสอบ ID เพิ่มเติม สำหรับบัญชีที่ถูกทำเครื่องหมายไว้บางบัญชีเมื่อทำการถอนเงินจำนวนมาก และกำลังเพิ่มความแข็งแกร่งให้กับระบบป้องกันภัยจากภัยคุกคามภายในองค์กร อีกทั้งยังตั้งกองทุนรางวัลมูลค่า 20 ล้านดอลลาร์สำหรับผู้ที่ให้เบาะแสนำไปสู่การจับกุม และดำเนินคดีกับผู้โจมตี

เพื่อเป็นการลดผลกระทบ แนะนำให้ผู้ใช้งานเปิดใช้งานรายการอนุญาตการถอนเงิน เพื่ออนุญาตให้โอนได้เฉพาะที่อยู่ที่ระบุไว้ใน address books ของตนเอง รวมถึงเปิดใช้งานการยืนยันตัวตนแบบสองขั้นตอน (2FA) และระมัดระวังบุคคลที่แอบอ้างเป็นเจ้าหน้าที่เพื่อหลอกให้โอนเงินไปยัง wallet ที่อ้างว่าปลอดภัย

อัปเดต #

Coinbase ได้ออกแถลงการณ์ร่วมกับ Bloomberg โดยระบุว่า ได้เริ่มสังเกตเห็นกิจกรรมที่ผิดปกติจากตัวแทนฝ่ายบริการลูกค้าบางรายตั้งแต่เมื่อเดือนมกราคมที่ผ่านมา นอกจากนี้ Coinbase ยังได้โต้แย้งข้อกล่าวอ้างที่รายงานว่า ผู้โจมตีได้ติดสินบนตัวแทนฝ่ายบริการลูกค้ามากพอที่จะสามารถเข้าถึงข้อมูลลูกค้าของ Coinbase ได้ตามต้องการในช่วง 5 เดือนที่ผ่านมา

Philip Martin หัวหน้าฝ่ายรักษาความปลอดภัยของ Coinbase ระบุว่า "สิ่งที่ผู้โจมตีทำคือค้นหาพนักงาน และ contractors ของ Coinbase ที่อยู่ในอินเดีย ซึ่งเป็นการเอาท์ซอร์สทางธุรกิจ หรือการดำเนินการฝ่าย support ของเรา และติดสินบนพวกเขาเพื่อให้ได้ข้อมูลลูกค้ามา"

"มีเหตุการณ์ติดสินบนเฉพาะเจาะจงจำนวนหนึ่ง ที่ผู้โจมตีอ้างว่าเกี่ยวข้องในช่วงเวลาดังกล่าว แต่พวกเขาไม่ได้เข้าถึงข้อมูลอย่างต่อเนื่องตลอดช่วงเวลาดังกล่าว"

ที่มา : thehackernews

นักวิจัยด้านความปลอดภัยทางไซเบอร์ได้ค้นพบแคมเปญมัลแวร์ใหม่ที่มุ่งเป้าการโจมตีไปยังระบบปฏิบัติการ Linux เพื่อใช้ทำการขุดเหรียญคริปโต และแพร่กระจาย botnet (more…)

นักวิจัยด้านความปลอดภัยทางไซเบอร์ พบเวอร์ชันอัปเดตของ stealer และ malware loader ที่ชื่อว่า BunnyLoader ซึ่งแยกส่วนฟังก์ชั่นต่าง ๆ ของตัวเองเป็นโมดูล และช่วยให้สามารถหลบเลี่ยงการตรวจจับได้ (more…)

การแพร่กระจายของ XPhase Clipper ตัวใหม่ผ่านเว็บไซต์ Cryptocurrency ปลอม และวิดีโอบน YouTube

Cyble วิเคราะห์ Clipper ตัวใหม่ชื่อ 'XPhase' ซึ่งมีเป้าหมายไปที่ผู้ใช้ Cryptocurrency และจะแพร่กระจายผ่านเว็บไซต์ปลอม และวิดีโอบน Youtube

(more…)

Microsoft แจ้งเตือนกลุ่มแฮ็กเกอร์ BlueNoroff วางแผนการโจมตีเพื่อขโมยเงิน crypto ครั้งใหม่

Microsoft แจ้งเตือนกลุ่มแฮ็กเกอร์ BlueNoroff จากเกาหลีเหนือกำลังสร้างระบบในการโจมตีครั้งใหม่สำหรับแคมเปญ social engineering บน LinkedIn (more…)

อาชญากรทางไซเบอร์ที่มีแรงจูงใจด้านการเงินจากอินโดนีเซียใช้บริการ Elastic Compute Cloud (EC2) บน Amazon Web Services (AWS) เพื่อดำเนินการขุดเหรียญ Cryptocurrency
บริษัทด้านความปลอดภัยในระบบคลาวด์ "Permiso P0 Labs" ตรวจพบกลุ่มดังกล่าวเป็นครั้งแรกในช่วงเดือนพฤศจิกายน 2021 ที่ผ่านมา และได้ตั้งชื่อกลุ่มดังกล่าวว่า 'GUI-vil'
บริษัทระบุในรายงานว่า ในเบื้องต้นกลุ่มดังกล่าวจะใช้เครื่องมือ Graphical User Interface (GUI) โดยเฉพาะ S3 Browser (เวอร์ชัน 9.5.5) ในการปฏิบัติการโดยตรงผ่านทางเบราว์เซอร์
การโจมตีของ GUI-vil เริ่มต้นโดยการนำ AWS keys ที่รั่วไหลจาก GitHub Repository หรือจากการสแกนหา GitLab instances ที่มีช่องโหว่ remote code execution เช่น ช่องโหว่ CVE-2021-22205 มาใช้เพื่อเข้าถึงระบบของเหยื่อ หลังจากที่เข้าถึงได้สำเร็จ ผู้โจมตีจะทำการเพิ่มสิทธิ์ และตรวจสอบข้อมูลของ S3 buckets ทั้งหมดที่มีอยู่ และใช้บริการที่สามารถเข้าถึงได้ผ่าน AWS web console

วิธีการที่น่าสนใจในการดำเนินการของกลุ่มดังกล่าว คือการพยายามที่จะแฝงตัวอยู่บนระบบโดยการแอบสร้างบัญชีผู้ใช้ใหม่ ที่ดูสอดคล้องกับชื่อของระบบ
โดยนักวิจัยจาก P0 Labs ระบุว่า "GUI-vil จะสร้าง access keys สำหรับบัญชีใหม่ที่ถูกสร้างขึ้น เพื่อให้สามารถใช้งาน S3 Browser กับบัญชีที่สร้างขึ้นต่อไปได้"
อีกหนึ่งวิธีที่กลุ่มนี้ใช้ คือ การสร้างโปรไฟล์เข้าสู่ระบบสำหรับชื่อผู้ใช้ที่มีอยู่ แต่ยังไม่มีโปรไฟล์ เพื่อเปิดใช้งาน AWS console โดยไม่ทำให้เกิดการแจ้งเตือนในระบบ
การเชื่อมโยงระหว่าง GUI-vil และประเทศอินโดนีเซียมาจากที่อยู่ IP ต้นทาง ที่เกี่ยวข้องกับ Autonomous System Numbers (ASNs) สองหมายเลขที่ตั้งอยู่ในเอเชียตะวันออกเฉียงใต้
เป้าหมายหลักของกลุ่มดังกล่าว คือการสร้าง EC2 instances เพื่อขุดเหรียญ Cryptocurrency โดยผลกำไรที่กลุ่มนี้ได้จากการขุดเหรียญ Cryptocurrency เป็นเพียงจำนวนเงินที่น้อยมาก เมื่อเทียบกับค่าใช้จ่ายที่องค์กรของเหยื่อต้องจ่ายสำหรับการเรียกใช้ EC2 instances ดังกล่าว

ที่มา : thehackernews

นักวิจัยด้านความปลอดภัยพบ extension ที่เป็นอันตรายตัวใหม่บนเบราว์เซอร์ที่ชื่อว่า 'Rilide' ซึ่งกำหนดเป้าหมายไปที่เบราว์เซอร์ที่ใช้ Chromium-based เช่น Google Chrome, Brave, Opera และ Microsoft Edge

โดยมัลแวร์ได้รับการออกแบบมาเพื่อตรวจสอบการใช้งานบนเบราว์เซอร์ บันทึกภาพหน้าจอ และขโมย cryptocurrency ผ่านทางสคริปต์ที่แทรกไว้ในหน้าเว็บ (more…)

Kaspersky เปิดเผยรายงานการพบ Gopuram Malware ซึ่งเป็นมัลแวร์ที่ถูกใช้ในการโจมตี 3CX supply chain attack โดยพบว่า Hacker ได้มุ่งเป้าหมายการโจมตีไปที่บริษัททางด้าน cryptocurrency

การโจมตี 3CX supply chain attack เกิดขึ้นจากการที่ Hacker ได้โจมตีระบบของ 3CX และทำการฝัง DLL สองตัวที่เป็นอันตราย คือ ffmpeg.

นักวิจัยด้านความปลอดภัยของ Mandiant บริษัทด้านความปลอดภัยทางไซเบอร์ เปิดเผยรายงานการพบกลุ่ม Hacker ชาวเกาหลีเหนือในชื่อ APT43 ที่เพิ่งถูกค้นพบ ได้มีการโจมตีโดยมีเป้าหมายไปยัง องค์กรรัฐบาล นักวิชาการ และศูนย์วิจัย ในสหรัฐอเมริกา ยุโรป ญี่ปุ่น และเกาหลีใต้ตั้งแต่ปี 2018

APT43 เป็นกลุ่มผู้โจมตีทางไซเบอร์ ที่มีเป้าหมายในการโจมตีเป็นการเรียกเงินค่าไถ่จากเหยื่อ รวมไปถึงยังพบว่ากลุ่ม APT 43 มีความเกี่ยวข้อง และได้รับการสนับสนุนจากรัฐบาลเกาหลีเหนือ (more…)

'Nexus' มัลแวร์ Banking Trojan ตัวใหม่บนระบบ Android กำลังถูกนำมาใช้โดยผู้ไม่หวังดีหลายราย โดยมุ่งเป้าการโจมตีไปที่แอปพลิเคชันทางด้านการเงินกว่า 450 แอปพลิเคชัน

บริษัทด้านความปลอดภัยทางไซเบอร์จากอิตาลี Cleafy ระบุในรายงานที่เปิดเผยต่อสาธารณะในสัปดาห์นี้ว่า "Nexus กำลังอยู่ในช่วงเริ่มต้นของการพัฒนา โดยมีฟีเจอร์หลักทั้งหมดสำหรับการโจมตีในรูปแบบ ATO (Account Takeover) กับ banking portals และบริการ cryptocurrency เช่น การขโมยข้อมูล credentials และการดักจับ SMS

โทรจันดังกล่าวถูกพบครั้งแรกโดย Cyble ในฟอรัมของกลุ่มแฮ็กเกอร์เมื่อช่วงต้นปีที่ผ่านมา โดยมีค่าบริการสำหรับสมัครสมาชิก 3,000 ดอลลาร์ต่อเดือน

อย่างไรก็ตามมีหลักฐานจากข้อมูลของ Rohit Bansal (@0xrb) นักวิจัยด้านความปลอดภัยทางไซเบอร์ และได้รับการยืนยันโดยผู้สร้างมัลแวร์บน Telegram ว่ามัลแวร์อาจถูกใช้ในการโจมตีจริงตั้งแต่เดือนมิถุนายน 2022 เป็นอย่างน้อย หรือหกเดือนก่อนที่จะมีการประกาศขายอย่างเป็นทางการบนฟอรัมของกลุ่มแฮ็กเกอร์

Nexus มีความคล้ายกับ banking trojan อีกตัวที่ชื่อ SOVA โดย Nexus ใช้ซอร์สโค้ดบางส่วนของ SOVA รวมกับโมดูลแรนซัมแวร์ที่อยู่ในระหว่างการพัฒนา (more…)