Cisco ยืนยันเมื่อวันที่ 10 สิงหาคม 2565 ว่าถูกกลุ่มแรนซัมแวร์ Yanluowang โจมตีเครือข่ายขององค์กรเมื่อปลายเดือนพฤษภาคม และผู้โจมตีมีการข่มขู่ว่าจะเผยแพร่ไฟล์ที่ถูกขโมยออกไปจากโฟลเดอร์ Box ที่เชื่อมต่อกับบัญชีของพนักงานที่ถูกโจมตี และในวันเดียวกันนี้ ผู้โจมตีได้เผยแพร่ตัวอย่างรายการไฟล์ที่ได้ขโมยออกมาจาก Cisco บน Dark Web

ข้อมูลประจำตัวของพนักงานที่ถูกขโมย และถูกใช้ในการโจมตีเครือข่ายของ Cisco

กลุ่ม Yanluowang เข้าถึงเครือข่ายของ Cisco โดยการใช้ข้อมูลประจำตัวที่ถูกขโมยมาจากพนักงาน หลังจากสามารถเข้าถึงบัญชี Google ส่วนตัวของพนักงาน และมีข้อมูลข้อมูลประจำตัวบางอย่างถูกเก็บไว้บนเบราว์เซอร์

จากนั้นผู้โจมตีพยายามใช้วิธี voice phishing โดยการแอบอ้างเป็นองค์กรที่น่าเชื่อถือ เพื่อให้พนักงานของ Cisco กดลิงค์ยืนยัน MFA ทำให้ผู้โจมตีจึงสามารถเข้าถึงบัญชี VPN ของพนักงานคนดังกล่าวได้

เมื่อเข้าถึงเครือข่ายของ Cisco ได้แล้ว กลุ่ม Yanluowang จึงเชื่อมต่อเข้าไปยังเซิร์ฟเวอร์ Citrix และ domain controllers เพื่อให้ได้รับสิทธิ์ในการเข้าควบคุมระบบ

หลังจากได้รับสิทธิ์ผู้ดูแลระบบบนโดเมนแล้ว ผู้โจมตีมีการใช้เครื่องมือต่างๆ เช่น ntdsutil, adfind และ secretsdump เพื่อเก็บรวบรวมข้อมูลเพิ่มเติม และพยายามติดตั้งเพย์โหลดของมัลแวร์ไปยังระบบที่ถูกโจมตี รวมถึงแบ็คดอร์ด้วย

สุดท้าย Cisco สามารถตรวจพบ และจัดการผู้โจมตีออกจากระบบได้ แต่ยังมีการพยายามในการกลับมาโจมตีอีกครั้งในสัปดาห์ถัดไป แต่ยังไม่สำเร็จ

(more…)

ผู้เชี่ยวชาญตรวจพบแคมเปญที่เป็นอันตราย โดยพบการส่งมัลแวร์ 'Matanbuchus' ผ่าน Phishing Email เพื่อติดตั้ง Cobalt Strike บนเครื่องที่ถูกบุกรุก ซึ่ง Cobalt Strike เป็นซอร์ฟแวร์ที่ใช้สำหรับการทดสอบการเจาะระบบ แต่ปัจจุบันมักถูกใช้ในการโจมตีเพื่อหาช่องทางการปล่อย Payloads อื่นๆที่เป็นอันตรายได้

รายละเอียดเบื้องต้น

Matanbuchus เป็นโครงการ Malware-as-a-Service (MaaS) ที่ถูกพบครั้งแรกในเดือนกุมภาพันธ์ 2564 มีการโฆษณาบน Dark Web โดยโปรโมตว่าสามารถรันไฟล์ exe ได้โดยตรงบน System ของเครื่อง

จากนั้นผู้เชี่ยวชาญจาก Palo Alto Networks ได้ทำวิเคราะห์มัลแวร์เมื่อเดือนมิถุนายน พ.ศ. 2564 และทำการรวบรวมข้อมูลเพื่อทำการ Mapping Network Path และ Infrastructure ของมัลแวร์ รวมไปถึงคำสั่งบน PowerShell ที่ใช้ในการติดตั้ง Payloads

ลักษณะการโจมตี

ปัจจุบัน ผู้เชี่ยวชาญชื่อ Brad Duncan ได้นำตัวอย่างมัลแวร์มาตรวจสอบการทำงาน สรุปได้ดังนี้

1. หัวข้อของ Subject จะขึ้นต้นด้วยคำว่า RE: เพื่อหลอกให้ผู้ใช้งานว่าเป็นอีเมลตอบกลับการสนทนาที่เกิดขึ้นก่อนหน้า
2. ในอีเมลจะมีไฟล์ ZIP ที่ข้างในมีไฟล์ HTML อยู่ มันจะทำหน้าที่สร้างไฟล์ ZIP ใหม่อีกอัน ซึ่งข้างในเป็นไฟล์ MSI ที่มีลายเซ็นแบบดิจิทัลด้วยใบรับรองที่ออกโดย DigiCert ให้กับ "Westeast Tech Consulting, Corp"

3. หากผู้ใช้งานคลิกติดตั้งไฟล์ .MSI จะมีหน้า Install ขึ้นมา ซึ่งลักษณะ Fonts จะเป็น Adobe Acrobat catalog update จากนั้นจะมีรายงานว่ามีการติดตั้งผิดพลาด เพื่อเบี่ยงเบนความสนใจของเป้าหมายจากสิ่งที่เกิดขึ้นเบื้องหลัง
4. สิ่งที่เกิดขึ้นเบื้องหลังการติดตั้งไฟล์ MSI ปลอมคือ Payloads Matanbuchus สองรายการ ("main.

 

 

 

 

 

 

 

 

แฮ็กเกอร์ผู้พัฒนา REvil ransomware-as-a-service (RaaS) กลับมามีปฏิบัติการอีกครั้งหลังจากหายไปถึง 2 เดือน จากครั้งล่าสุดที่มีการโจมตีผู้ให้บริการทางด้านเทคโนโลยีรายใหญ่อย่างบริษัท Kaseya เมื่อวันที่ 4 กรกฎาคมที่ผ่านมา

Portals ของ Dark Web สองแห่ง รวมถึง "Happy Blog" เว็ปไซต์ที่ใช้สำหรับแจ้งข้อมูลที่รั่วไหลออกมา เว็ปไซต์การชำระเงิน และเจรจาค่าไถ่ได้กลับมาออนไลน์อีกครั้ง โดยมีข้อมูลผู้เคราะห์ร้ายรายล่าสุดเมื่อวันที่ 8 กรกฎาคม ซึ่งเป็น 5 วันก่อนที่ไซต์ดังกล่าวจะปิดตัวลงอย่างลึกลับในวันที่ 13 กรกฎาคม และยังไม่แน่ชัดว่า REvil กลับมาในปฏิบัติการ หรือว่าจะเปิดตัวการโจมตีครั้งใหม่

"โชคไม่ดีเลยที่ Happy Blog กลับมาออนไลน์แล้ว" นักวิจัยด้านภัยคุกคามของ Emsisoft นาม Erett Callow ทวีตไว้เมื่อวันอังคารที่ผ่านมา

ความเคลื่อนไหวล่าสุดเกิดขึ้นในช่วง 2 เดือนต่อมาหลังจากการโจมตีด้วย Ransomware ด้วยวิธีการ Supply Chain Attack โดยมุ่งเป้าไปที่ Kaseya ซึ่งเห็นกลุ่มผู้โจมตีเข้ารหัสผู้ให้บริการ (MSPs) ราว 60 ราย และธุรกิจที่เกี่ยวข้องอีกกว่า 1500 แห่งโดยใช้ช่องโหว่ zero-day ในซอฟต์แวร์การจัดการระยะไกล Kaseya VSA

ในปลายเดือนพฤษาคม REvil ยังเป็นผู้นำในการโจมตี JBS ผู้ผลิตเนื้อสัตว์รายใหญ่ที่สุดของโลกด้วย ทำให้บริษัทต้องจ่ายเงินค่าไถ่ 11 ล้านดอลลาร์ให้กับผู้โจมตีเพื่อฟื้นฟูความเสียหายจากเหตุการณ์ดังกล่าว

หลังเหตุการณ์การถูกโจมตี มีการตรวจสอบ และกดดันอย่างหนักจากหลายๆหน่วยงานทั่วโลกเพื่อจัดการกับวิกฤต ramsomware กลุ่มแฮ็กเกอร์ได้ปิดตัว Dark Web ลง ซึ่งคาดว่าอาจจะหยุดดำเนินการชั่วคราวโดยมีเป้าหมายเพื่อรีแบรนด์ภายใต้ตัวตนใหม่เพื่อทำให้เป็นที่สนใจน้อยลง

REvil หรือที่รู้จักกันในนาม Sodinokibi กลายเป็น ransomware สายพันธุ์ที่พบการรายงานบ่อยที่สุดอันดับ 5 ในไตรมาสที่ 1 ปี 2564 ซึ่งคิดเป็น 4.60% ของการโจมตีทั้งหมดในไตรมาสนี้ ตามสถิติที่รวบรวมโดย Emsisoft

ทีมา : thehackernews.

จากเหตุการณ์เมื่อวันที่ 5 กันยายน ที่ผ่านมาเกี่ยวกับพบข้อมูลที่อ้างว่าเป็นข้อมูลของหน่วยงานทางการแพทย์ในประเทศไทย ถูกประกาศขายอยู่บน Darkweb ขนาด 3.75 GBจากข้อมูล และประกาศที่กล่าวอ้าง ยังไม่มีการประกาศอย่างเป็นทางการหรือออกมายอมรับว่าเป็นข้อมูลจริง นอกจากนี้ยังไม่ทราบแหล่งที่มาว่าเป็นแฮกเกอร์กลุ่มใดหรือโจมตีด้วยวิธีใด สำหรับเหตุการณ์นี้อัพเดทล่าสุดเมื่อเช้าวันนี้ 7 กันยายน ทาง รมว.สธ ได้ออกมายอมรับแล้วว่าข้อมูลที่หลุดออกมานั้นเป็นข้อมูลจริง โดยจากข้อมูลที่ประกาศออกมาระบุว่า ต้นเหตุเกิดขึ้นที่โรงพยาบาลของรัฐแห่งหนึ่งในจังหวัดเพชรบูรณ์ และได้ประสานงานกับ หน่วยงานที่เกี่ยวข้อง เร่งตรวจสอบเหตุการณ์ดังกล่าว

 

ที่มา: thaipbs

เมื่อวันอาทิตย์ที่ 5 กันยายน ที่ผ่านมาพบข้อมูลที่อ้างว่าเป็นข้อมูลของหน่วยงานทางการแพทย์ใน ประเทศไทย ถูกประกาศขายอยู่บน Dark Web ขนาด 3.75 GB

โดยข้อมูลที่ถูกขายประกอบด้วย ข้อมูลผู้ป่วย ที่อยู่ เบอร์โทรศัพท์ เลขบัตรประชาชน วันเกิด ชื่อบิดา โรงพยาบาล ข้อมูลของหมอทั้งหมด รวมถึงพาสเวิร์ดทั่วไปของระบบในโรงพยาบาล

จากข้อมูล และประกาศที่กล่าวอ้าง ยังไม่มีการประกาศอย่างเป็นทางการหรือออกมายอมรับจากหน่วยงานว่าเป็นข้อมูลจริง นอกจากนี้ยังไม่ทราบแหล่งที่มาว่าเป็นแฮกเกอร์กลุ่มใดหรือโจมตีด้วยวิธีใด สำหรับเหตุการณ์นี้

Reference :  Raidforums

บริษัท WildWorks ผู้พัฒนาและจัดจำหน่ายเกม Animal Jam ได้ออกแถลงการณ์ถึงการถูกละเมิดเซิร์ฟเวอร์ฐานข้อมูลของบริษัทที่มีบัญชีผู้ใช้จำนวน 46 ล้านคนหลุดออกไปและถูกนำไปขาย Dark Web

ตามคำแถลงการณ์ระบุว่าแฮกเกอร์ได้ทำการละเมิดเซิร์ฟเวอร์ฐานข้อมูลของบริษัทที่ถูกดูแลด้วยบริษัท third-party โดยการบุกรุกอยู่ในช่วงระหว่างวันที่ 10 ถึง 12 ตุลาคมที่ผ่านมา ซึ่งในขณะนั้นไม่ปรากฏว่ามีการเข้าถึงฐานข้อมูลของชื่อบัญชีอันเป็นผลมาจากการบุกรุกและระบบที่เกี่ยวข้องทั้งหมด อย่างไรก็ดี WildWorks ได้ทราบข่าวการขโมยฐานข้อมูล ในวันที่ 11 พฤศจิกายน 2020 เมื่อนักวิจัยด้านความปลอดภัยที่ตรวจสอบฟอรัมแฮกเกอร์ได้เห็นข้อมูลบัญชีผู้ใช้จำนวนจำนวน 7 ล้านรายการในฟอรัมของ Dark Web และทำการแจ้งเตือน WildWorks

WildWorks กล่าวว่าผู้ประสงค์ร้ายสามารถขโมย Email addresses ของบัญชีผู้ปกครองได้เป็นจำนวน 7 ล้านรายการและชื่อผู้ใช้ 32 ล้านชื่อที่เชื่อมโยงกับบัญชีผู้ปกครอง ซึ่งมีรหัสผ่านที่เข้ารหัสไว้, วันเกิด, เพศของผู้เล่นและข้อมูลอื่น ๆ ทั้งนี้ไม่มีชื่อจริงของเด็กๆ ที่เป็นส่วนหนึ่งของการละเมิดครั้งนี้

ทั้งนี้ Boris Cipot วิศวกรฝ่ายขายอาวุโสของ Synopsys ได้ออกเเจ้งเตือนผู้ใช้ให้อัปเดตรหัสผ่านทันที เพื่อเป็นการป้องกันผู้ประสงค์ร้ายใช้ประโยชน์จากบัญชีที่ถูกละเมิดทำการหาประโยชน์จากผู้ใช้

ที่มา: threatpost

แฮกเกอร์ปล่อยข้อมูลของบริษัท Ubisoft และ Crytek ที่ถูกบุกรุกลงบนเว็บพอร์ทัลใน dark web

กลุ่มปฏิบัติการแรนซัมแวร์ “Egregor” ได้ปล่อยข้อมูลที่อ้างว่าได้รับจากเครือข่ายภายในของบริษัท Ubisoft และ Crytek ลงบนเว็บพอร์ทัลของกลุ่มตนเองใน dark web

โดยรายละเอียดของข้อมูลที่ปล่อยลงในเว็บพอร์ทัลนั้นเป็นข้อมูลที่มีการอ้างว่าเป็นข้อมูลของบริษัท Ubisoft และ Crytek ซึ่งข้อมูลที่ถูกปล่อยของบริษัท Ubisoft นั้นคือซอร์สโค้ดจากเกม Watch Dogs ภาค Legion ที่มีกำหนดจะออกวางจำหน่ายภายในปลายเดือนนี้ จำนวน20 MB ส่วนข้อมูลที่ถูกปล่อยของบริษัท Crytek นั้นปรากฏเป็นเอกสารที่ถูกขโมยจากแผนกพัฒนาเกมจำนวน 300 MB โดยภายในเอกสารมีแหล่งข้อมูลและข้อมูลเกี่ยวกับกระบวนการพัฒนาเกมเช่น Arena of Fate และ Warface อีกทั้งยังมีข้อมูลที่เกี่ยวกับเกม Gface อีกด้วย

ทั้งนี้บริษัท Ubisoft และ Crytek ยังไม่มีการเเสดงความคิดเห็นใดๆ เกี่ยวกับการปล่อยข้อมูลชุดนี้ สำหรับกลุ่มปฏิบัติการแรนซัมแวร์ “Egregor” นั้นเป็นกลุ่มที่มักจะทำการบุกรุกเพื่อทำการละเมิดข้อมูลของบริษัทต่างๆ เพื่อทำการขโมยข้อมูล, เข้ารหัสไฟล์และเรียกค่าไถ่เพื่อถอดรหัสข้อมูลที่ถูกล็อก

ที่มา: zdnet

นักวิจัยด้านความปลอดภัยทางไซเบอร์จากบริษัท Cyble ได้พบการแชร์ข้อมูลซึ่งคาดว่าอาจเกิดจากการรั่วไหลของบริษัท Airlink International UAE ภายในฟอรั่มบน dark web

ข้อสันนิฐานจากนักวิจัยซึ่งคาดว่าข้อมูลถูกรั่วไหลนี้เป็นผลมาจากการคอนฟิกของเซิร์ฟเวอร์ที่ถูกกำหนดค่าไม่ถูกต้อง ซึ่งภายในเซิร์ฟเวอร์นั้นมี 60 ไดเรกทอรีที่มีไฟล์ประมาณ 5,000 ไฟล์ โดยการรั่วไหลของข้อมูลชุดนี้ถูกรายงานวันที่ 30 พฤษภาคม 2020 โดยทีม KelvinSecTeam

จากข้อมูลของ Cyble ข้อมูลที่รั่วไหลนั้นประกอบไปด้วยภาพสแกนหนังสือเดินทาง, การจองเที่ยวบิน, การจองโรงแรม, ข้อมูลการสื่อสารทางอีเมลระหว่างพนักงานและลูกค้าของ Airlink International Group และกรมธรรม์สำหรับการเดินทางระหว่างประเทศ

Cyble ได้ออกคำเเนะนำเพื่อการป้องกันเซิร์ฟเวอร์ โดยผู้ดูแลระบบควรทำการตรวจสอบดังนี้

ทำการกำหนดค่าเซิร์ฟเวอร์และทดสอบให้เเน่ใจว่าผู้ที่ไม่มีสิทธ์ในรายการไดเรกทอรีไม่สามารถเข้าถึงโดยไม่ได้รับอนุญาต
ตรวจสอบข้อมูลการ backup และไฟล์ที่ไม่ได้ถูกอ้างอิงสำหรับข้อมูลที่ละเอียดอ่อน
ทดสอบสิทธิ์การเข้าถึงของไฟล์
ทำลิสต์รายการโครงสร้างพื้นฐานและแอปพลิเคชันอินเตอร์เฟสของผู้ดูแลระบบ
ลองใช้การสแกนและทำการตรวจสอบเป็นระยะๆ เพื่อช่วยในการตรวจหาการกำหนดค่าที่ผิดพลาดในอนาคตหรือแพตช์ที่หายไป

ที่มา : securityaffairs

กลุ่ม APT อิหร่าน "Pioneer Kitten" เร่ขายข้อมูลการเเฮกเครือข่ายให้กับแฮกเกอร์รายอื่นใน Dark Web

Crowdstrike ได้ออกรายงานถึงกลุ่ม APT อิหร่านที่ชื่อว่า Pioneer Kitten หรือที่รู้จักกันในชื่อ Fox Kitten และ Parisite ได้กำลังพยายามขายข้อมูลการเข้าถึงเครือข่ายขององค์กรต่างๆ ที่ทางกลุ่มได้ทำการบุกรุกแล้วให้กับแฮกเกอร์รายอื่นใน Dark Web

ตามรายงานที่เผยแพร่โดย Crowdstrike ระบุว่ากลุ่มแฮกเกอร์ชาวอิหร่านได้ทำการโจมตี VPN ขององค์กรต่างๆ ในช่วงหลายเดือนที่ผ่านมา โดยทำการกำหนดเป้าหมายการโจมตีและหาประโยชน์จากช่องโหว่ต่างๆ ที่เกี่ยวข้องกับ VPN เช่น CVE-2018-13379 Fortinet VPN servers, CVE-2019-1579 (Palo Alto Network), CVE-2019-11510 (Pulse Secure), CVE-2019-19781 (Citrix) และ CVE-2020-5902 (F5 Networks) เมื่อสามารถบุกรุกเครือข่ายที่เป็นเป้าหมายได้แล้วกลุ่มแฮกเกอร์จะใช้ประโยชน์จาก SSH tunneling ผ่านเครื่องมือโอเพ่นซอร์สเช่น Ngrok และ SSHMinion เพื่อใช้ในการเชื่อมต่อกับมัลแวร์ที่ติดตั้งในเครือข่ายเป้าหมาย

Crowdstrike ที่ได้ติดตามกิจกรรมของกลุ่ม Pioneer Kitten พบว่าในขณะนี้กลุ่มเเฮกเกอร์ได้เริ่มทำการโฆษณาที่ทำการขายข้อมูลใน Dark Web

ทั้งนี้ผู้ดูแลระบบควรทำการตรวจสอบอัปเดตเเพตซ์ของซอฟต์แวร์บนอุปกรณ์ VPN ให้เป็นเวอร์ชันล่าสุดเพื่อป้องกันผู้ประสงค์ร้ายทำการใช้ประโยชน์จากช่องโหว่ทำการโจมตีระบบ

ที่มา : securityaffairs

ZDNet ได้ทำการเปิดเผยถึงการค้นพบข้อมูลที่มีรายละเอียดของลูกค้าของโรงแรม MGM จำนวนกว่า 142,479,937 ล้านคนบน Dark web ซึ่งถูกขายในราคาเพียง $2,900 หรือประมาณ 91,886 บาท

แฮกเกอร์อ้างว่าข้อมูลของโรงแรม MGM ที่ถูกวางขายนั้นได้รับข้อมูลมาหลังจากที่พวกเขาทำการโจมตีบริการ Data Viper ซึ่งเป็นบริการตรวจสอบการรั่วไหลของข้อมูลที่ให้บริการโดย Night Lion Security ซึ่ง Vinny Troia ผู้ก่อตั้ง Night Lion Security บอกกับทาง ZDNet ว่าบริษัทของเขาไม่เคยเป็นเจ้าของฐานข้อมูลโรงแรม MGM และแฮกเกอร์พยายามทำลายชื่อเสียงของบริษัทของเขา

อย่างไรก็ดีในปี 2019 ข้อมูลของโรงแรม MGM ได้มีการรั่วไหลจากการโจมตีจริง โดยแฮกเกอร์สามารถเข้าถึงเซิร์ฟเวอร์คลาวด์ของโรงแรมและขโมยข้อมูลเกี่ยวกับแขกของโรงแรมในที่เคยมาใช้บริการ โดยข้อมูลที่ถูกขโมยไปนั้นคือข้อมูลการติดต่อซึ่งประกอบไปด้วย ชื่อ, ที่อยู่ทางไปรษณีย์และอีเมล เเค่นั้นยังไม่พอแฮกเกอร์ยังสามารถทำการขโมยข้อมูลทางการเงินซึ่งประกอบไปด้วย หมายเลขประจำตัวประชาชนหรือหมายเลขประกันสังคมและรายละเอียดการจองห้องพัก ทั้งนี้ข้อมูลที่ถูกขโมยไปนี้มีจำนวน 10.6 ล้านคน

Irina Nesterovsky หัวหน้าฝ่ายวิจัยของ KELA ได้กล่าวว่าข้อมูลของโรงแรม MGM นั้นถูกเผยแพร่และถูกขายใน Dark web อย่างน้อยตั้งแต่กรกฎาคม 2562 โดยถูกขายบนฟอรัมแฮกของแฮกเกอร์รัสเซียและคาดว่าข้อมูลของ MGM เป็นข้อมูลที่เกี่ยวข้องกับแขกที่มาใช้บริการของโรงเเรมมากว่า 200 ล้านคน

ที่มา: zdnet