กลุ่มผู้โจมตีทางไซเบอร์ที่คาดว่าอยู่ในกาซา ถูกเชื่อมโยงเข้ากับการโจมตีทางไซเบอร์หลายครั้ง ที่มุ่งเป้าไปที่องค์กรพลังงาน, การป้องกัน และการสื่อสารโทรคมนาคมของภาคเอกชนของอิสราเอล

Microsoft เปิดเผยรายละเอียดของการโจมตีในรายงาน Digital Defense ประจำปีฉบับที่สี่ และติดตามแคมเปญนี้ภายใต้ชื่อ Storm-1133

Microsoft ประเมินว่ากลุ่มผู้โจมตีกลุ่มนี้ทำงานเพื่อส่งเสริมผลประโยชน์ของกลุ่มฮามาส ซึ่งเป็นกลุ่มติดอาวุธนิกายซุนนีที่เป็นหน่วยงานที่เป็นผู้ปกครองในฉนวนกาซา เนื่องจากพฤติกรรมที่เชื่อมโยงกับการโจมตีกลุ่มนี้ ได้ส่งผลกระทบต่อองค์กรต่าง ๆ ที่ถูกมองว่าเป็นศัตรูของฮามาสเป็นส่วนใหญ่

เป้าหมายของแคมเปญนี้เป็นองค์กรในภาคพลังงาน และกลุ่มป้องกัน และรักษาความมั่นคงของอิสราเอล และหน่วยงานที่จงรักภักดีต่อกลุ่มฟาตาห์ ซึ่งเป็นพรรคชาตินิยมปาเลสไตน์ และมีสำนักงานใหญ่อยู่ในภูมิภาคเวสต์แบงก์

การโจมตีได้ใช้เทคนิคการผสมผสานระหว่าง social engineering และบัญชีปลอมบน LinkedIn ที่ปลอมตัวเป็นผู้จัดการฝ่ายทรัพยากรบุคคล ผู้ควบคุมโครงการ และนักพัฒนาซอฟต์แวร์ชาวอิสราเอล เพื่อติดต่อ และส่งข้อความฟิชชิ่ง ทำการสอดแนม และส่งมัลแวร์ให้กับพนักงานองค์กรในอิสราเอล

Microsoft ยังพบว่ากลุ่ม Storm-1133 พยายามแทรกซึมองค์กร third-party ที่มีความสัมพันธ์กับอิสราเอล

การโจมตีเหล่านี้ถูกออกแบบมาเพื่อติดตั้ง backdoor ควบคู่ไปกับการกำหนดค่าที่ทำให้ผู้โจมตีสามารถอัปเดตการสั่งการจาก C2 ที่อยู่บน Google Drive

รายงานนี้มาพร้อมกับการยกระดับความขัดแย้งระหว่างอิสราเอลกับปาเลสไตน์ ซึ่งสอดคล้องกับการเพิ่มขึ้นของการดำเนินการของกลุ่มแฮ็กเกอร์จากปาเลสไตน์ เช่น Ghosts of Palestine ซึ่งมีเป้าหมายเพื่อปิดเว็บไซต์รัฐบาล และระบบไอทีในอิสราเอล สหรัฐอเมริกา และอินเดีย

"Falconfeeds.

กลุ่มแฮ็กเกอร์ Desorden อ้างว่าสามารถขโมยข้อมูลขนาด 198GB ได้สำเร็จจากบริษัท AIS ผู้ให้บริการโทรคมนาคมที่ใหญ่ที่สุดในประเทศไทย

โดยกลุ่ม Desorden ระบุว่า ได้ทำการโจมตี และขโมยข้อมูลของบริษัทแอดวานซ์ อินโฟร์ เซอร์วิส จำกัด (มหาชน) ผู้ให้บริการเครือข่ายโทรศัพท์มือถือ และอินเทอร์เน็ตในประเทศไทยในเดือนสิงหาคมที่ผ่านมา ซึ่ง AIS ถือเป็นบริษัทจดทะเบียนในตลาดหลักทรัพย์แห่งประเทศไทยอีกด้วย โดยอ้างว่าเป็นการโจมตีด้วยการเจาะระบบเซิร์ฟเวอร์ PBX ของ AIS และขโมยฐานข้อมูล กับข้อมูลของลูกค้าออกมาได้

ข้อมูลที่ Desorden อ้างว่าได้จากการโจมตี AIS ประเทศไทย

1. ไฟล์เสียงบันทึกเสียง (wav files)
2. บันทึกการโทรเข้า จำนวน 7.2 ล้านรายการ
3. บันทึกการโทรออกของลูกค้าองค์กร จำนวน 8.1 ล้านรายการ

Desorden ได้ยกตัวอย่างกลุ่มลูกค้าองค์กรบางส่วนที่ถูกเข้าถึงข้อมูล เช่น Asian Property, Loreal, SC Assets, DHL, Lazada, SCG, Unilever, Singer Thai, Jaymart, Central Group, Kerry Logistics, AIG Insurance, Exxon Mobil เป็นต้น และยังนำตัวอย่างข้อมูลที่ถูกแฮ็กในระหว่างการโจมตี AIS แพลตฟอร์ม Threat Intelligence ชื่อ Falcon Feeds รวมถึงยังได้ทำการทวีตภาพหน้าจอดังกล่าวจากฟอรัมของแฮ็กเกอร์พร้อมกับข้อมูลตัวอย่างที่ถูกเบลอไว้ และยังโพสต์บน Twitter ว่า AIS เคยประสบปัญหาข้อมูลรั่วไหลในปี 2020 แต่ข่าวนี้ยังไม่ได้รับการยืนยันอย่างเป็นทางการ

เบอร์โทรศัพท์ของคนไทยจำนวน 1000 หมายเลขถูกใช้ในการหลอกลวง

ในรายงานปี 2022 จาก The Nation บริษัท Advanced Info Service เปิดเผยว่ามีหมายเลขโทรศัพท์มากกว่า 1,000 หมายเลขของบริษัทถูกมิจฉาชีพนำมาใช้ในการฉ้อโกง และการโจรกรรม

จากเหตุการณ์ดังกล่าวทาง AIS เปิดให้บริการ AIS Spam Report Center hotline ที่เบอร์ 1185 เพื่อแจ้งเหตุการณ์ดังกล่าว

The Nation ระบุว่า ลูกค้า AIS ได้มีแจ้งเหตุการณ์การโทร และข้อความที่น่าสงสัยจำนวนมาก ทางศูนย์บริการได้ติดตามหมายเลขมากกว่า 1,000 หมายเลขไปยังมิจฉาชีพที่ถูกกล่าวหา

พล.ต.ท.กรไชย คล้ายคลึง ผู้ช่วยผู้บัญชาการตำรวจแห่งชาติระบุว่า บริการนี้ของ AIS ได้กระตุ้นให้บริษัทเอกชนอื่น ๆ ร่วมมือกับตำรวจเพื่อต่อต้านมิจฉาชีพอย่างแก๊งคอลเซ็นเตอร์

นับตั้งแต่นั้นเป็นต้นมา AIS ประเทศไทยได้เข้าร่วมโครงการด้านไซเบอร์หลายโครงการ เช่น โครงการ Aunjai Cyber ซึ่งเผยแพร่วิดีโอให้ความรู้สั้น ๆ แก่ประชาชนเพื่ออธิบายการโจมตีทางไซเบอร์ และวิธีการป้องกันการโจมตีทางไซเบอร์

โดยแคมเปญล่าสุดนี้ดำเนินภายใต้ธีม “Wisdom to Survive” มุ่งเน้นการให้ความคุ้มครองเพิ่มเติมให้กับผู้คนเพื่อเผชิญกับความท้าทายต่าง ๆ ที่เกิดขึ้นจากความเสี่ยงทางไซเบอร์ โดยวิดีโอสั้น ๆ ได้รับการออกแบบตามธีมคอมเมดี้ และสยองขวัญที่ตัวละครแสดงเป็นเหยื่อของอาชญากรรมในโลกไซเบอร์

การโจมตีทางไซเบอร์โดย Desorden

เหตุการณ์ก่อนหน้านี้ Desorden สามารถขโมยข้อมูล Know Your Customer (KYC) จากลูกค้าของ The Icon Group ในประเทศไทยในช่วงปี 2022 ประมาณ 70,000 รายการ

นอกจากนี้ ในปี 2021 เว็บไซต์ของ Centara Hotels & Resorts ในประเทศไทยก็เคยตกเป็นเหยื่อการโจรกรรมข้อมูลสองครั้งโดยกลุ่ม Desorden ซึ่งส่งผลให้เกิดการขโมยไฟล์ขนาด 400GB ที่เก็บข้อมูลส่วนบุคคลของลูกค้าภายในระยะเวลาเพียง 10 วัน

Desorden ทำการแฮ็ก Acer ในประเทศอินเดีย และไต้หวันในปี 2021 สองครั้งในสัปดาห์เดียวกันซึ่งส่งผลให้ข้อมูลผู้ใช้ในอินเดียถูกละเมิด

ทาง Acer ได้แสดงจุดยืนที่ชัดเจนต่อ Desorden ในแถลงการณ์ว่า “จะไม่เจรจา และนโยบายของบริษัทคือจะไม่ยอมจ่ายค่าไถ่ให้กับแฮ็กเกอร์”

โดยในวันที่ 7 กันยายน 2023 ทาง AIS ได้ออกมาชี้แจงแล้วว่า

บริษัท แอดวานซ์ ไวร์เลส เน็ทเวอร์ค จำกัด (AWN) ในกลุ่มของเอไอเอส ได้รับแจ้งจากบริษัท ไอซอฟเทล (ประเทศไทย) จำกัด (ไอซอฟเทล) ผู้ให้บริการระบบ Mobile PBX แก่ลูกค้าบริษัทนิติบุคคลของ AWN ว่า มีการเข้าถึงข้อมูลสารสนเทศในระบบดังกล่าวโดยไม่ชอบด้วยกฎหมาย และโดยไม่ได้รับอนุญาต ซึ่งหลังจากได้รับแจ้ง AWN ไม่ได้นิ่งนอนใจกับเหตุการณ์ที่เกิดขึ้น และได้เร่งทำงานร่วมกับไอซอฟเทล และผู้เชี่ยวชาญในการตรวจสอบข้อมูลที่ถูกอ้างถึงอย่างเร่งด่วน ซึ่งในเบื้องต้นกรณีนี้ ไม่เกี่ยวข้องกับระบบฐานข้อมูล และบริการของลูกค้าทั่วไป รวมทั้งลูกค้านิติบุคคลอื่น ๆ ของ AWN ที่ไม่ได้ใช้บริการ Mobile PBX

ที่มา : thecyberexpress

Group-IB เปิดโปงกลุ่มแฮกเกอร์กลุ่มใหม่ มุ่งโจมตีสถาบันทางการเงิน

นักวิจัยจาก Group-IB ออกรายงานชื่อ Silence: Moving into the darkside เปิดเผยกลุ่มแฮกเกอร์กลุ่มใหม่ชื่อ Silence เชื่อมโยงกับการขโมยเงินจากธนาคารในรัสเซีย, ธนาคารในยุโรปตะวันออก และสถาบันทางการเงิน

Group-IB ค้นพบการเคลื่อนไหวของกลุ่ม Silence ตั้งแต่เดือนกรกฏาคมปี 2016 โดยกลุ่ม Silence พยายามทำการถอนเงินผ่านระบบกลางที่เชื่อมระหว่างแต่ละธนาคารในรัสเซีย (AWS CBR: Automated Work Station Client of the Russian Central Bank) แต่ไม่ประสบความสำเร็จ จากนั้นกลุ่ม Silence มีการพัฒนาเทคนิคการโจมตีและทดลองอีกหลายครั้งจนกระทั่งทำการโจมตีสำเร็จในเดือนตุลาคมปี 2017 และทำการโจมตีต่อมาอีกหลายครั้งในปี 2018 รวมเป็นเงินกว่า 800,000 ดอลลาร์สหรัฐฯ

Group-IB คาดว่ากลุ่ม Silence ประกอบด้วยบุคคลเพียงสองคน ทำให้ดำเนินการได้ช้ากว่ากลุ่มอื่นๆ อย่าง Cobalt หรือ MoneyTraper ที่สามารถขโมยเงินได้หลายล้านดอลลาร์สหรัฐ การโจมตีของกลุ่ม Silence จะเริ่มต้นจากการใช้ spear-phishing อีเมลที่โจมตีผ่านช่องโหว่ของ Windows และ Office อย่าง CVE-2017-0199, CVE-2017-11882+CVE-2018-0802, CVE-2017-0262, CVE-2017-0263 และ CVE-2018-8174 ตามด้วยการโจมตีด้วยมัลแวร์ โดย Group-IB ตั้งสมมติฐานว่ากลุ่ม Silence น่าจะมีสมาชิกเป็นอดีตพนักงานหรือพนักงานปัจจุบันที่ทำงานในบริษัทด้านการรักษาความปลอดภัยทางไซเบอร์เนื่องจากมีความสามารถในการดัดแปลงมัลแวร์อื่นๆ ที่ไม่ได้เขียนขึ้นเอง เช่น Kikothac backdoor, the Smoke downloader และ the Undernet DDoS bot มาใช้งาน

ในปัจจุบันกลุ่ม Silence ประสบความสำเร็จในการโจมตีจำกัดแค่ประเทศรัสเซียและประเทศในแถบยุโรปตะวันออก แต่ได้มีการพยายามส่ง spear-phishing อีเมลไปกว่า 25 ประเทศซึ่งรวมไปถึงเยอรมัน สหราชอาณาจักร มาเลเซีย และอิสราเอล โดยผู้ที่สนใจสามารถอ่านรายละเอียดในรายงานดังกล่าวได้จาก https://www.

Cobalt Dickens ซึ่งเป็นกลุ่มที่เชื่อมโยงกับรัฐบาลอิหร่านตกเป็นผู้ต้องสงสัยอยู่เบื้องหลังการโจมตีมหาวิทยาลัยทั่วโลกเพื่อขโมยข้อมูลประจำตัว

กลุ่มนักวิจัยของ Secureworks ได้เปิดเผยการโจมตีหลังจากเริ่มพบ URL ปลอมแปลงในหน้าเว็บเข้าสู่ระบบของมหาวิทยาลัย หลังจากนำหมายเลข IP ไปวิเคราะห์เพิ่มเติมพบการโจมตีขนาดใหญ่ที่เกี่ยวข้องกับ 16 โดเมนที่มีเว็บไซต์ปลอมแปลงมากกว่า 300 แห่งและหน้าเว็บเข้าสู่ระบบของ 76 มหาวิทยาลัยใน 14 ประเทศ ผู้บุกรุกมุ่งเป้าไปที่โรงเรียนในสหรัฐอเมริกา, สหราชอาณาจักร, ออสเตรเลีย, แคนาดา, จีน, อิสราเอล, ญี่ปุ่นและตุรกี เป็นต้น และได้แจ้งเตือนไปยังเป้าหมายดังกล่าว

ผู้ที่ตกเป็นเหยื่อจะถูกหลอกให้ป้อนข้อมูลเข้าสู่ระบบในหน้าเข้าสู่ระบบปลอม หลังจากนั้นจะเปลี่ยนเส้นทางไปยังหน้าเว็บที่ถูกต้อง เพื่อให้เหยื่อป้อนข้อมูลเข้าสู่ระบบเป็นครั้งที่สอง โดเมนส่วนใหญ่ในเหตุการณ์ดังกล่าวจะเชื่อมต่อกับบาง IP และ DNS ซึ่งโดเมนหนึ่งถูกจดทะเบียนในเดือนพฤษภาคมปีพ.ศ. 2561 เพื่อนำโดเมนย่อยที่ออกแบบมาใช้หลอกเป้าหมายของมหาวิทยาลัยและเปลี่ยนเส้นทางผู้เข้าชมไปยังหน้าการเข้าสู่ระบบปลอมบนโดเมนอื่นที่ควบคุมโดยผู้บุกรุก เพื่อใช้ข้อมูลประจำตัวที่ได้มาขโมยทรัพย์สินทางปัญญาอย่างงานวิจัยต่างๆ

ที่มา: DARKReading , INDEPENDENT

การโจมตีทางคอมพิวเตอร์ หรือ cyber attack อาจสร้างความเสียหายต่อเศรษฐกิจโลกถึง $121.4bn สอดคล้องกับรายงานจาก Lloyd’s of London หนึ่งในบริษัทประกันที่ใหญ่ที่สุดในโลก โดยในรายงานซึ่งเป็นการเขียนร่วมกันกับทาง Cyence (analytics platform provider) การที่เศรษฐกิจได้รับผลกระทบจาก cyber attack โดยตรงจะทำให้เกิดการสูญเสียเป็นวงกว้าง ถ้า cloud service หากเกิดความเสียหาย หรือถูกรบกวนให้ใช้งานไม่ได้ ความเสียหายอาจสูงถึง $4.6bn ไปจนถึง $53.1bn แต่ความเสียหายของเศรษฐกิจจะสูงหรือต่ำนั้นขึ้นอยู่กับปัจจัยต่างๆ
CEO ของทาง Lloyd ออกมาบอกว่ารายงานนี้ได้ทำให้มีการตระหนักถึงผลกระทบที่อาจเกิดขึ้นได้ และอาจยกระดับไปถึงขนาดสร้างผลกระทบเศรฐกิจโลกได้ และอาจทำให้เกิดการเรียกร้องค่าประกันกันมากขึ้น
ที่มา : infosecurity