SEC spoofed, malware hosted on US gov’t server in new DNS attack

Cisco Talos แจ้งเตือนการปลอมแปลงอีเมล SEC เพื่อแพร่กระจายมัลแวร์ DNSMessenger

Cisco Talos ออกรายงานการวิเคราะห์เมื่อกลางสัปดาห์ที่ผ่านมาหลังจากมีการตรวจพบลักษณะการโจมตีใหม่ที่ผู้โจมตีมีการใช้เว็บไซต์ทางราชการสหรัฐฯ เป็นเครื่องมือเพื่อช่วยในการโจมตี โดยมีจุดประสงค์เพื่อแพร่กระจายมัลแวร์ DNSMessenger ซึ่งมีการติดต่อกับเซิร์ฟเวอร์ที่ใช้ออกคำสั่งและควบคุม (C&C server) ผ่านโปรโตคอล DNS เป็นหลัก

แคมเปญการโจมตีมีจุดเริ่มต้นที่อีเมลสแปมที่ใช้ในการแพร่กระจายมัลแวร์ ผู้โจมตีจะทำการปลอมแปลงที่มาของอีเมลว่ามาจากระบบ EDGAR ของสำนักงานคณะกรรมการกำกับหลักทรัพย์และตลาดหลักทรัพย์สหรัฐฯ (SEC) ซึ่งเป็นระบบจัดการเอกสารรูปแบบหนึ่ง ไฟล์มัลแวร์จะถูกแพร่กระจายในรูปแบบของไฟล์เอกสาร

จุดน่าสนใจของวิธีการที่ผู้โจมตีใช้คือผู้โจมตีไม่ได้มีการใช้ลักษณะมาโครสคริปต์ในไฟล์เอกสารเพื่อดาวโหลดและติดตั้งมัลแวร์ แต่ผู้โจมตีมีการใช้ฟีเจอร์ที่เก่าแก่กว่ามาโครสคริปต์ Dynamic Data Exchange (DDE) เพื่อดาวโหลดและสั่งรันมัลแวร์ ด้วยรูปแบบใหม่นี้ระบบป้องกันที่เน้นไปที่การตรวจจับและป้องกันมาโครสครติป์จะไม่สามารถป้องกันการโจมตีในรูปแบบนี้ได้

เมื่อไฟล์เอกสารถูกเปิดและมีการอนุญาตให้ไฟล์เอกสารเรียกโปรแกรมอื่น (ผู้ใช้งานจำเป็นต้องกดอนุญาตเอง) มัลแวร์จะถูกดาวโหลดและติดตั้งที่เครื่องของผู้ใช้งาน โดยจะมีการแก้ไขค่าของรีจีสทรีและ Scheduled Tasks ให้รันตัวเองโดยอัตโนมัติเมื่อมีการเริ่มต้นการทำงานของระบบด้วย

แนะนำให้ผู้ใช้งานระมัดระวังเมื่อมีการเปิดไฟล์เอกสารใดๆ และควรตรวจสอบแหล่งที่มาให้ดีก่อนดาวโหลดไฟล์แนบจากอีเมล

ที่มา: zdnet

Private information of two people compromised in SEC hack: chairman

ตามที่สำนักงานคณะกรรมการกำกับหลักทรัพย์และตลาดหลักทรัพย์สหรัฐอเมริกาถูกเข้าถึงระบบและขโมยข้อมูลภายใน ล่าสุดตรวจพบข้อมูลส่วนบุคคลของผู้ใช้บริการ ก.ล.ต. รั่วไหลจำนวน 2 ราย ซึ่งก่อนหน้านี้ Clayton เคยกล่าวว่า "ไม่มีการเข้าถึงข้อมูลที่สามารถระบุตัวตนได้ในการละเมิดข้อมูลที่เกิดขึ้น" จากการเข้าถึงข้อมูลในครั้งนี้

Jay Clayton ประธานสำนักงานคณะกรรมการกำกับหลักทรัพย์ฯ ได้ออกมาแถลงการณ์เมื่อวันจันทร์ที่ผ่านมาว่าหลังจากการวิเคราะห์หลักฐานดิจิตอลเพิ่มเติมพบ หมายเลขประกันสังคม, วันเดือนปีเกิด และชื่อของผู้ใช้บริการ 2 ราย ถูกเข้าถึงโดยแฮกเกอร์หลังจากที่สามารถเข้าถึงระบบจัดเก็บข้อมูลของ SEC ที่เรียกว่า EDGAR ได้สำเร็จ และกำลังติดต่อผู้บุคคลเหล่านั้นเพื่อเสนอบริการป้องกันการโจรกรรมข้อมูลประจำตัว และหน่วยงานยังคงทำการตรวจสอบเพิ่มเติมว่ามีข้อมูลของบุคคลอื่นถูกบุกรุกด้วยหรือไม่"

นอกจากนี้ทางสำนักงานคณะกรรมการ ก.ล.ต. กำลังจ้างพนักงานเพิ่มเติมและที่ปรึกษาด้านเทคโนโลยีภายนอกเพื่อทบทวนและปรับปรุงนโยบายและแนวทางปฏิบัติด้านความปลอดภัยในโลกไซเบอร์ที่มีอยู่ รวมถึงทำการตรวจสอบระบบจัดเก็บข้อมูล (EDGAR) อย่างละเอียด

ที่มา : REUTERS

ระบบภายในของคณะกรรมการกำกับหลักทรัพย์สหรัฐฯ (S.E.C.) โดนแฮ็ก ข้อมูลอาจถูกเข้าถึงโดยผู้โจมตี

คณะกรรมการกำกับหลักทรัพย์สหรัฐฯ (U.S. Securities and Exchange Commision) ได้ออกมาเปิดเผยเมื่อวานนี้ว่าทางองค์กรกำลังดำเนินการตรวจสอบกรณีที่มีการตรวจพบว่าระบบจัดการเอกสาร "EDGAR" ถูกแฮกและอาจมีการเข้าถึงข้อมูลที่ไม่ได้มีการเปิดเผยสู่สาธารณะ โดยในเบื้องต้นนั้นการแฮกครั้งนี้ถูกตรวจพบเมื่อปี 2016 และเพิ่งมีข้อสรุปออกมาเมื่อเดือนสิงหาคมเกี่ยวกับความเสียหายที่เกิดขึ้น จากแถลงการณ์ของ S.E.C. ผู้โจมตีไม่ได้มีการเข้าถึงส่วนบุคคลหรือสร้างความเสียหายให้กับระบบ แต่ก็มีโอกาสที่ผู้โจมตีอาจนำข้อมูลที่เข้าถึงบางส่วนได้จากการแฮกมาใช้เพื่อหาประโยชน์ในการลงทุนได้

S.E.C. ยังไม่มีการระบุรายละเอียดใดๆ ที่ชัดเจนนอกเหนือจากนี้ รวมไปถึงปริมาณข้อมูลที่รั่วไหลและรายละเอียดของกลุ่มผู้โจมตี อย่างไรก็ตาม S.E.C. กล่าวว่าช่องโหว่ในระบบ EDGAR ซึ่งถูกโจมตีนั้นได้ถูกแพตช์เป็นที่เรียบร้อยแล้วและจะดำเนินร่วมกับหน่วยงานอื่นเพื่อสอบสวนต่อไป

ที่มา : nytimes