นักวิจัยของ Cyble บริษัทด้านความปลอดภัยทางไซเบอร์ เปิดเผยการพบกลุ่มตลาดซื้อขายข้อมูลเครดิตการ์ดชื่อ BidenCash market ได้ออกมาประกาศปล่อยข้อมูลบัตรเดบิตและบัตรเครดิตกว่า 2,165,700 ใบ โดยไม่คิดค่าบริการ เพื่อฉลองวันครบรอบการดำเนินการ 1 ปี โดยพบว่าได้รับความสนใจจากกลุ่ม Hacker ต่าง ๆ เป็นจำนวนมาก

BidenCash market เปิดตัวในวันที่ 28 กุมภาพันธ์ 2022 และขึ้นสู่อันดับที่ 5 ของแหล่งซื้อขายข้อมูลเครดิตการ์ด ซึ่งถูกจัดอันดับโดย Flashpoint บริษัทด้าน threat intel

จากการตรวจสอบพบว่า ข้อมูลเครดิตการ์ดที่ถูกปล่อยออกมานั้น เป็นบัตรเครดิตการ์ดอย่างน้อย 740,858 ใบ บัตรเดบิตการ์ด 811,676 ใบ และชาร์จการ์ด (บัตรเครดิตประเภทหนึ่งที่กำหนดให้ผู้ถือบัตรต้องชำระยอดคงเหลือเต็มจำนวนในแต่ละเดือน มีวงเงินเครดิตสูงกว่า และให้สิทธิประโยชน์พิเศษมากกว่าบัตรเครดิตทั่วไป) 293 ใบ โดยเป็นรายการที่ไม่ซ้ำกันถึง 2,141,564 รายการ ซึ่งชุดข้อมูลที่ถูกปล่อยออกมานั้น ประกอบด้วยข้อมูลที่สามารถระบุตัวบุคคลได้ Personally Identifiable Information (PII) เช่น ชื่อ อีเมล หมายเลขโทรศัพท์ ที่อยู่บ้าน และรายละเอียดบัตรชำระเงิน รวมถึงวันหมดอายุของบัตร และรหัส CVV โดยวันหมดอายุของบัตรยาวไปจนถึงปี 2052

รวมไปถึงยังพบว่าข้อมูลที่ถูกเผยแพร่ดังกล่าวมี Email address ที่ไม่ซ้ำกันประมาณ 497,000 อีเมล โดยเป็น Email domain ที่ไม่ซ้ำกันมากกว่า 28,000 โดเมน ซึ่งมีความเสี่ยงที่จะกลายเป็นเป้าหมายในการโจมตี phishing ของเหล่า Hacker อีกด้วย

ซึ่งนี่ไม่ใช่ครั้งแรกที่ BidenCash market ทำการปล่อยข้อมูลเครดิตการ์ดโดยไม่คิดค่าบริการ โดยก่อนหน้านี้ในเดือนตุลาคม 2022 ก็ได้มีการปล่อยข้อมูลบัตรเครดิตฟรี 1,221,551 ใบ เช่นกัน โดยการเปิดเผยข้อมูลโดยไม่เสียค่าบริการ ถือเป็นการโฆษณาตัวเองให้เป็นที่รู้จักของกลุ่ม Hacker ซึ่งเป็นวิธีที่แหล่งซื้อขายข้อมูลใช้อยู่เป็นประจำ เช่นกันกับกลุ่ม All World Cards ที่ได้ปล่อยข้อมูลเครดิตการ์ดกว่า 1,000,000 ใบฟรี ในฟอรัมต่าง ๆ ของ Hacker

 

ที่มา : bleepingcomputer

Cyble บริษัทวิจัยด้านความปลอดภัยทางไซเบอร์ เปิดเผยการพบ Medusa DDoS (distributed denial of service) botnet เวอร์ชันใหม่ ที่พัฒนาจาก Mirai code based ซึ่งประกอบไปด้วยความสามารถของ ransomware และ Telnet brute-forcer ซึ่งสามารถกำหนดเป้าหมายบน Linux และสามารถโจมตี DDoS ได้หลากหลายรูปแบบ

และในตอนนี้ Medusa ได้กลายเป็น MaaS (malware-as-a-service) สำหรับการโจมตีในรูปแบบ DDoS หรือการขุดเหรียญคริปโต โดยได้รับประกันความเสถียรของบริการ รวมทั้งการไม่เปิดเผยตัวตนของลูกค้า มี API ที่ใช้งานได้ง่าย และค่าใช้จ่ายที่ปรับได้ตามความต้องการของผู้ใช้บริการ

Medusa เป็นมัลแวร์ที่มีมาอย่างยาวนาน ซึ่งมีการโฆษณาขายในตลาดมืดตั้งแต่ปี 2015 และต่อมาได้เพิ่มความสามารถในการโจมตี DDoS ผ่าน HTTP protocol ในปี 2017

ฟังก์ชันของ Ransomware

สิ่งที่น่าสนใจสำหรับ Medusa รูปแบบใหม่นี้คือฟังก์ชันของ Ransomware ที่ช่วยให้สามารถค้นหาไดเร็กทอรีทั้งหมดสำหรับประเภทไฟล์ที่กำหนดสำหรับการเข้ารหัสข้อมูล โดยรายการประเภทไฟล์เป้าหมายนั้นประกอบด้วยไฟล์เอกสาร และไฟล์ vector design เป็นหลัก

โดยไฟล์ที่เป็นเป้าหมายจะถูกเข้ารหัสด้วย AES 256 บิต และนามสกุล .medusastealer ต่อท้ายชื่อไฟล์ที่ถูกเข้ารหัส

ซึ่งพบว่ามันไม่เพียงแต่เข้ารหัสข้อมูลเท่านั้น แต่ยังเป็น data wiper ที่มุ่งทำลายข้อมูลบนเครื่องที่ถูกโจมตีอีกด้วย โดยพบว่าหลังจากเข้ารหัสไฟล์บนเครื่องเหยื่อแล้ว มัลแวร์จะเข้าสู่โหมดสลีปเป็นเวลา 86,400 วินาที (24 ชั่วโมง) หลังจากนั้นจะทำการลบไฟล์ทั้งหมดในไดรฟ์บนระบบ หลังจากลบไฟล์แล้ว มันจะแสดงข้อความเรียกค่าไถ่ที่ขอให้ชำระเงิน 0.5 BTC ($11,400)

Cyble วิเคราะห์ว่า การที่ Medusa ทำการลบข้อมูลทิ้งหลังจากการเข้ารหัสข้อมูลเป็นข้อผิดพลาดของคำสั่งการ เนื่องจากทำลายข้อมูลบนเครื่องที่ถูกโจมตี จะทำให้เหยื่อไม่สามารถใช้งานระบบของตน รวมถึงการเปิดอ่านข้อความเรียกเหตุค่าไถ่ได้ ซึ่งข้อผิดพลาดนี้แสดงให้เห็นว่า Medusa รูปแบบใหม่ หรืออย่างน้อยฟีเจอร์นี้ยังอยู่ในระหว่างการพัฒนา

รวมไปถึงจุดสังเกตุที่พบว่า ถึงแม้ Medusa รูปแบบใหม่จะมีเครื่องมือในการขโมยข้อมูล แต่มันกลับไม่ขโมยไฟล์ข้อมูลของเหยื่อก่อนทำการเข้ารหัส แต่จะมุ่งเน้นไปที่การรวบรวมข้อมูลระบบพื้นฐานที่ช่วยในการระบุตัวตนของเหยื่อ และประเมินทรัพยากรของเครื่องสำหรับการขุดเหรียญคริปโต และการโจมตี DDoS

การโจมตีด้วย Telnet

Medusa รูปแบบใหม่ยังมีฟังก์ชั่น brute force ในการสุ่มชื่อ และรหัสผ่านที่ใช้ทั่วไป ซึ่งหาก brute force สำเร็จ ก็จะทำการดาวน์โหลดเพย์โหลดที่เป็นอันตรายเพิ่มเติม

รวมถึงการใช้คำสั่ง "zmap" เพื่อค้นหาอุปกรณ์อื่นที่มีบริการ Telnet ที่ทำงานบน port 23 จากนั้นจะพยายามเชื่อมต่อกับอุปกรณ์เหล่านั้นโดยใช้ที่อยู่ IP, ชื่อผู้ใช้ และรหัสผ่านที่ดึงออกมาจากเครื่องที่ถูกโจมตี

สุดท้ายเมื่อสามารถเชื่อมต่อผ่าน Telnet ได้สำเร็จ ก็จะทำการเรียกใช้งานเพย์โหลด ("infection_medusa_stealer") อีกทั้งพบว่าเพย์โหลดสุดท้ายของ Medusa ยังคงรองรับคำสั่ง "FivemBackdoor" และ "sshlogin" ได้ไม่สมบูรณ์ เนื่องจากยังอยู่ในระหว่างการพัฒนา

IOC

ที่มา :

bleepingcomputer

blog.

นักวิจัยพบแคมเปญมัลแวร์ใหม่ที่มุ่งเป้าไปยังกลุ่ม infoSec community ด้วย Proof of Concept exploits ** ปลอมเพื่อแอบติดตั้ง Cobalt Strike beacon

นักวิจัยจากบริษัทข่าวกรองภัยคุกคาม Cyble ค้นพบแคมเปญมัลแวร์ที่กำหนดเป้าหมายไปยัง infoSec community โดยผู้เชี่ยวชาญพบโพสต์ที่มีนักวิจัยแชร์โค้ดบน GitHub ที่อ้างว่าเป็น Proof of Concept (POC) สำหรับช่องโหว่ RPC Runtime Library Remote Code Execution (CVE-2022-26809 CVSS 9.8) ซึ่งจริงๆแล้วเป็นมัลแวร์

“จากการตรวจสอบเพิ่มเติมพบว่ามัลแวร์ที่ปลอมเป็น exploits ดังกล่าวคล้ายกับที่เคยพบก่อนหน้านี้กับมัลแวร์ที่ปลอมเป็น POC ของช่องโหว่ CVE-2022-24500 โดย Cyble พบว่ามัลแวร์ทั้งสองตัวถูกเผยแพร่อยู่บน GitHub และน่าสนใจว่ามัลแวร์ทั้งสองตัวอยู่ใน profile ของผู้ใช้คนเดียวกัน ซึ่งแสดงให้เห็นว่าผู้โจมตีในครั้งนี้ตั้งใจที่จะมุ่งเป้าการโจมตีไปยัง infoSec community"

จากการวิเคราะห์มัลแวร์พบว่าเป็นไบนารี .Net ที่อยู่ใน ConfuserEX ซึ่งเป็นฟรี open-source protector สำหรับแอปพลิเคชัน .NET โดยตัวมัลแวร์จะไม่มีโค้ดที่ใช้สำหรับโจมตีช่องโหว่อยู่จริงๆ โดยตัวมันจะทำเหมือนว่ากำลังโจมตี และรัน shell code แต่จริงๆแล้วเพียงแค่ print ข้อความหลอกๆโชว์ออกมาเท่านั้น

ซึ่งจริงๆแล้วมัลแวร์จะรันคำสั่งบน PowerShell ผ่าน cmd.

นักวิจัยด้านความปลอดภัยทางไซเบอร์จากบริษัท Cyble ได้พบการแชร์ข้อมูลซึ่งคาดว่าอาจเกิดจากการรั่วไหลของบริษัท Airlink International UAE ภายในฟอรั่มบน dark web

ข้อสันนิฐานจากนักวิจัยซึ่งคาดว่าข้อมูลถูกรั่วไหลนี้เป็นผลมาจากการคอนฟิกของเซิร์ฟเวอร์ที่ถูกกำหนดค่าไม่ถูกต้อง ซึ่งภายในเซิร์ฟเวอร์นั้นมี 60 ไดเรกทอรีที่มีไฟล์ประมาณ 5,000 ไฟล์ โดยการรั่วไหลของข้อมูลชุดนี้ถูกรายงานวันที่ 30 พฤษภาคม 2020 โดยทีม KelvinSecTeam

จากข้อมูลของ Cyble ข้อมูลที่รั่วไหลนั้นประกอบไปด้วยภาพสแกนหนังสือเดินทาง, การจองเที่ยวบิน, การจองโรงแรม, ข้อมูลการสื่อสารทางอีเมลระหว่างพนักงานและลูกค้าของ Airlink International Group และกรมธรรม์สำหรับการเดินทางระหว่างประเทศ

Cyble ได้ออกคำเเนะนำเพื่อการป้องกันเซิร์ฟเวอร์ โดยผู้ดูแลระบบควรทำการตรวจสอบดังนี้

ทำการกำหนดค่าเซิร์ฟเวอร์และทดสอบให้เเน่ใจว่าผู้ที่ไม่มีสิทธ์ในรายการไดเรกทอรีไม่สามารถเข้าถึงโดยไม่ได้รับอนุญาต
ตรวจสอบข้อมูลการ backup และไฟล์ที่ไม่ได้ถูกอ้างอิงสำหรับข้อมูลที่ละเอียดอ่อน
ทดสอบสิทธิ์การเข้าถึงของไฟล์
ทำลิสต์รายการโครงสร้างพื้นฐานและแอปพลิเคชันอินเตอร์เฟสของผู้ดูแลระบบ
ลองใช้การสแกนและทำการตรวจสอบเป็นระยะๆ เพื่อช่วยในการตรวจหาการกำหนดค่าที่ผิดพลาดในอนาคตหรือแพตช์ที่หายไป

ที่มา : securityaffairs

ผู้เชี่ยวชาญจากบริษัท Cyble ได้เปิดเผยว่าได้พบบันทึกของผู้เดินทางกว่า 45 ล้านคนที่เดินทางมายังประเทศไทยและมาเลเซียจากหลายประเทศโผล่ใน Darkweb

ผู้เชี่ยวชาญกล่าวว่าข้อมูลจำนวนมหาศาลถูกค้นพบนั้น ถูกพบระหว่างที่พวกเขาทำการติดตามตรวจสอบกิจกรรมต่างๆ ใน Deepweb และ Darkweb โดยบันทึกของผู้เดินทางที่รั่วไหลนั้น ได้แก่ รหัสผู้โดยสาร, ชื่อเต็ม, หมายเลขโทรศัพท์มือถือ, รายละเอียดหนังสือเดินทาง, ที่อยู่, เพศและรายละเอียดเที่ยวบิน

ผู้เชี่ยวชาญได้ทำการวิเคราะห์ข้อมูลที่ถูกค้นพบและได้จัดทำข้อมูลเพื่อใช้ในการตรวจสอบข้อมูลที่รั่วไหลแล้วที่ AmiBreached.

นักวิจัยจาก Cyble ค้นพบการเปิดเผยข้อมูลของบริษัท LG Electronics ซึ่งเป็นผู้ผลิตอุปกรณ์อิเล็กทรอนิกส์รายใหญ่โดยกลุ่ม Maze ransomware คาดว่าการเปิดเผยข้อมูลในครั้งนี้เป็นการเปิดเผยเพื่อยืนยันการโจมตีกลุ่มบริษัท LG Electronics

Maze ransomware โดยปกติแล้วจะข่มขู่เหยื่อให้จ่ายค่าไถ่เพื่อแลกกับการที่กลุ่ม Maze จะไม่ปล่อยข้อมูลอื่นๆ ที่ยึดมาได้จากการเข้าถึงระบบออกสู่สาธารณะ และทางกลุ่มจะมีการเปิดเผยข้อมูลบางส่วนออกมาก่อนเพื่อยืนยันการโจมตีว่าได้เกิดขึ้นจริง โดยสำหรับในกรณีของ LG Electronics นั่้น ข้อมูลที่มีการเปิดเผยออกมาข้างต้นเพื่อยืนยันการโจมตีมีลักษณะเป็นรูปภาพ 3 ภาพที่แสดงให้เห็นถึงการรายละเอียดข้อมูลเฟิร์มแวร์และฮาร์ดแวร์ซึ่งกำลังคิดค้นและวิจัยกันภายใน

ที่มา: securityaffairs

บัญชี Zoom มากกว่า 500,000 บัญชีถูกวางขายในแฮกเกอร์ฟอรัมบน Dark Web
บริษัท Cyble ผู้เชี่ยวชาญด้านไซเบอร์ซีเคียวริตี้พบมีบัญชี Zoom มากกว่า 500,000 รายการถูกวางขายในแฮกเกอร์ฟอรัมบน Dark Web ในราคา $0.0020 หรือ 0.065 บาท บัญชีที่ถูกขายประกอบไปด้วยรายชื่อ, ที่อยู่, อีเมลและรหัสผ่านที่เกี่ยวข้อง

Cyble ได้ระบุว่าบัญชีที่พบเหล่านี้เป็นบัญชีที่ใช้ที่อยู่, อีเมลและรหัสผ่านรวมกันผ่านเว็บไซต์ โดยข้อมูลที่พบไม่ได้ถูกขโมยจาก Zoom แต่มาจากการโจมตีด้วยเทคนิค Credential Stuffing Attacks ที่ใช้ Botnets ในการโจมตีและรวมรวมข้อมูล

Cyble ได้ทำการซื้อบัญชีมากกว่า 530,000 ที่อ้างว่าเป็นบัญชีแอคเคาท์ของ Zoom ในแฮกเกอร์ฟอรัมบน Dark Web และทำการตรวจสอบข้อมูลพบที่อยู่, อีเมล, รหัสผ่าน, Personal Meeting URL และ HostKey โดยพบว่าบัญชีเหล่านี้เป็นบัญชีของวิทยาลัยหลายแห่ง นอกจากนี้บัญชีเหล่านี้ยังมีบัญชีของบริษัททางด้านการเงิน Chase และ Citibank จากการตรวจสอบข้อมูลทางบริษัทยังสามารถยืนยันได้ว่าบัญชีเหล่านี้เป็นข้อมูลบัญชีที่ถูกต้อง

เมื่อเร็ว ๆ นี้นักวิจัยจาก IntSights ก็ได้ค้นพบฐานข้อมูลแอคเคาท์ของ Zoom ที่มี Meeting IDs, ชื่อผู้ใช้งานและ Host Key ถูกวางขายอยู่ในฟอรัมใน Dark Web เช่นกันและมีข้อมูลมากกว่า 2,300 รายการ

ผู้เชี่ยวชาญแนะนำให้ผู้ใช้ Zoom เปลี่ยนรหัสผ่านและเปลี่ยนรหัสผ่านในเว็บไซต์อื่นที่ใช้ข้อมูล ID เดียวกันกับ Zoom ผู้เชี่ยวชาญยังได้เเนะนำให้แยกข้อมูล ID ทางการใช้งานออนไลน์และการใช้รหัสผ่านที่ไม่ซ้ำกันในทุกๆ เว็บไซต์เพื่อป้องกันการละเมิดข้อมูลจากเว็บไซต์หนึ่งจะที่ส่งผลกระทบต่อคุณในเว็บไซต์อื่นๆ

ที่มา: bleepingcomputer