นักวิจัยพบช่องโหว่ของ Outlook ทำให้รหัสผ่าน NTLM ของผู้ใช้รั่วไหลได้

พบช่องโหว่ด้านความปลอดภัยที่ได้รับการแก้ไขไปแล้วใน Microsoft Outlook ที่อาจถูกโจมตีเพื่อเข้าถึง hashed passwords ของ NT LAN Manager (NTLM) v2 เมื่อมีการเปิดไฟล์แนบที่ถูกสร้างขึ้นมาเป็นพิเศษ

ช่องโหว่นี้มีหมายเลข CVE-2023-35636 (คะแนน CVSS: 6.5) โดยได้รับการแก้ไขจาก Microsoft ไปแล้ว โดยเป็นส่วนหนึ่งของการอัปเดต Patch Tuesday ประจำเดือนธันวาคม 2023 ที่ผ่านมา

LastPass เผชิญกับการฟ้องร้องแบบกลุ่มเนื่องจากเหตุการณ์การละเมิดข้อมูล และรหัสผ่านของผู้ใช้งาน

ผู้ใช้งานได้ดำเนินการฟ้องร้อง LastPass ที่ทำให้ความปลอดภัย และความเป็นส่วนตัวของพวกเขาตกอยู่ในความเสี่ยง โดยมีผู้ใช้งานรายหนึ่งสูญเสียเงินในสกุลเงินดิจิทัลมูลค่ากว่า 53,000 ดอลลาร์ โดยได้มีการยื่นฟ้องในสัปดาห์นี้ที่ศาลแขวงสหรัฐในรัฐแมสซาชูเซตส์จากผู้ใช้ LastPass ที่ไม่ระบุตัวตนชื่อว่า John Doe ซึ่งได้สมัครใช้บริการในเดือนพฤษภาคม 2559 เขาเรียกร้องให้บริษัทจ่ายค่าเสียหายหลังจากที่ LastPass ประกาศเมื่อเดือนที่แล้วว่าได้เสียสำเนารหัสผ่านของผู้ใช้ทุกคนให้กับแฮ็กเกอร์

“โจทก์ และกลุ่มบุคคลมีความกังวลเนื่องจากพวกเขามีความเสี่ยงสูงที่จะถูกโจมตีด้วย Email Phishing และการหลอกลวงรูปแบบอื่น ๆ เนื่องจากความประมาทเลินเล่อ การละเมิดสัญญา และการกระทำที่เข้าข่ายหลอกลวง"

โดย LastPass มีผู้ใช้งานมากกว่า 30 ล้านคน ยังไม่ได้มีแถลงการณ์ตอบกลับต่อเหตุการณ์นี้ ซึ่งก่อนหน้านี้ LastPass พยายามให้ข้อมูลเพื่อลดระดับความรุนแรงของเหตุการณ์นี้ โดยกล่าวว่าแฮ็กเกอร์ขโมยได้เพียงรหัสผ่านที่มีการเข้ารหัสไว้สำหรับผู้ใช้เท่านั้น ดังนั้นแฮ็กเกอร์ยังคงต้องการ master password เพื่อที่จะสามารถเข้าถึงที่เก็บรหัสผ่านส่วนบุคคลได้ ซึ่งปกติแล้วมีแต่ผู้ใช้เท่านั้นที่รู้

อย่างไรก็ตาม การฟ้องร้องแบบกลุ่มชี้ให้เห็นว่าแฮ็กเกอร์สามารถขโมยข้อมูลที่เกี่ยวข้องกับผู้ใช้ซึ่งเป็นข้อมูลที่ไม่ได้เข้ารหัส เช่น ที่อยู่สำหรับการเรียกเก็บเงิน ที่อยู่อีเมล หมายเลขโทรศัพท์ รวมถึง Link URL ของเว็บไซต์ที่นำรหัสผ่านนั้น ๆ ไปใช้ ซึ่งแฮ็กเกอร์สามารถใช้ประโยชน์จากข้อมูลเหล่านี้เพื่อออกแบบ และกำหนดเป้าหมายในการส่ง Email Phishing ไปยังผู้ใช้รายนั้นได้โดยเฉพาะ

โจทก์ที่อยู่เบื้องหลังการดำเนินการทางกฎหมายกังวลว่าในที่สุดแฮ็กเกอร์ก็จะสามารถเดารหัสผ่านหลักของพวกเขา และนำไปใช้ได้ในที่สุด นอกจากนี้ผู้ใช้งานยังสงสัยว่าการละเมิดข้อมูลของ LastPass ครั้งนี้ ทำให้แฮ็กเกอร์สามารถขโมย Bitcoin มูลค่า 53,000 ดอลลาร์จากเขาออกไปได้ในช่วงสุดสัปดาห์ของวันขอบคุณพระเจ้าที่ผ่านมา เนื่องจากคีย์ส่วนตัวสำหรับธุรกรรม cryptocurrency ของเขาก็ถูกเก็บไว้ใน LastPass ด้วย

“หาก LastPass เปิดเผยขอบเขตทั้งหมดของการละเมิดข้อมูลในเดือนสิงหาคม แทนที่จะรอหลายเดือนก่อนที่จะเปิดเผย โจทก์ และสมาชิกในกลุ่มจะได้รับการแจ้งเตือนที่เข้มงวดขึ้น และดำเนินการเปลี่ยนรหัสผ่าน ซึ่งอาจจะทำให้หลีกเลี่ยงการโจรกรรมที่เกิดขึ้นได้”

โดยคดีฟ้องร้องแบบกลุ่มยังเป็นการเรียกร้องให้ศาลบังคับให้ LastPass ใช้แนวปฏิบัติด้านความปลอดภัยที่ดีกว่าเดิม นอกเหนือจากการจ่ายค่าเสียหายให้กับผู้บริโภคที่ได้รับผลกระทบอีกด้วย

 

ที่มา : pcmag

DHL, Microsoft และ LinkedIn ขึ้นแท่นบริษัทที่ถูกปลอมแปลงเพื่อโจมตีในรูปแบบ Phising มากที่สุด

บริษัท DHL, Microsoft และ LinkedIn ได้ถูกจัดอันดับให้เป็นบริษัทที่ถูกนำมาแอบอ้างเพื่อโจมตีในรูปแบบ Phising มากที่สุด โดยคำนวนจากการพยายามโจมตีในรูปแบบ Phishing ทั่วโลก ในไตรมาสที่ 3 (กรกฏาคม - กันยายน) ของปีนี้ ซึ่ง DHL มีค่าเฉลี่ยถูกนำมาใช้กว่า 22% รองลงมาเป็น Microsoft 16% และ LinkedIn 11% ตามลำดับ

ซึ่งในปีที่แล้วการโจมตีแบบ Phishing เป็นอาชญากรรมทางอินเทอร์เน็ตที่มีการรายงานบ่อยที่สุด โดยพบว่ามีการรายงานต่อ FBI กว่า 323,972 รายงาน และทำให้เหยื่อเสียหายกว่า 44.2 ล้านดอลลาร์

ลักษณะการโจมตี

ในการโจมตี Phishing นั้น ผู้ไม่หวังดีส่วนใหญ่จะมีการใช้ชื่อหัวข้ออีเมล เช่น Urgent requests, Change a password และ Delivery or Payment ซึ่งมีประสิทธิภาพอย่างมากในการหลอกให้เหยื่อเชื่อถือ และขโมยข้อมูลของเหยื่อ

ในการโจมตี ผู้ไม่หวังดีจะอ้างว่าเป็น DHL และจะส่งอีเมลจาก “info@lincssourcing[.]com” แต่ตั้งชื่อผู้ส่งให้เป็น DHL Express โดยตั้งชื่ออีเมลว่า “Undelivered DHL (Parcel/Shipment)”

และมีการพยายามเขียนข้อความหลอกล่อให้เยื่อคลิกลิงค์ที่เป็นอันตราย “https[:]//bafybeig4warxkemgy6mdzooxeeuglstk6idtz5dinm7yayeazximd3azai[.]ipfs[.]w3s[.]link/dshby[.]html/” โดยอ้างว่าให้ไปอัปเดตที่อยู่จัดส่งพัสดุ เพื่อรับพัสดุ ซึ่ง URL นั้นเป็นเว็บไซต์ปลอมของทางผู้ไม่หวังดีที่ต้องการให้เหยื่อกรอกข้อมูล ชื่อ และรหัสผ่าน

ซึ่งหากผู้ไม่หวังดีสามารถโจมตีสำเร็จ ก็อาจจะถูกนำข้อมูลประจำตัวที่ถูกขโมยเหล่านี้ไปใช้เพื่อดึงข้อมูลบัญชีอื่น ๆ เช่น รายละเอียดการชำระเงิน หรือนำไปขายบน Darkweb เป็นต้น

แนวทางการป้องกัน

ในการโจมตี Phishing ส่วนใหญ่จะเป็นการโจมตีโดยใช้ Email ดังนั้นองค์การส่วนใหญ่ควรมีการ Awareness Training ให้กับพนักงานภายในองค์กร
พิจารณาการใช้งาน mail gateway เพื่อป้องกันการส่งไฟล์ หรือลิงค์ที่เป็นอันตรายได้ในระดับหนึ่ง
พิจารณาใช้งาน Multi factor authentication เพื่อป้องกันหากมีข้อมูลบัญชีรั่วไหลออกไป

Ref: https://www.

Cuba ransomware มุ่งเป้าโจมตีหน่วยงานรัฐบาลของยูเครน

ทีมรับมือเหตุฉุกเฉินทางคอมพิวเตอร์ของประเทศยูเครน (CERT-UA) ได้แจ้งเตือนเกี่ยวกับการโจมตีของ Cuba Ransomware ที่อาจเกิดขึ้นกับระบบที่สำคัญในประเทศ

ตั้งแต่วันที่ 21 ตุลาคม CERT-UA สังเกตเห็นการโจมตีรูปแบบใหม่ของอีเมลฟิชชิ่งที่แอบอ้างเป็นบริการของกองทัพยูเครน เพื่อหลอกให้ผู้ใช้งานคลิก Link เพื่อติดตั้งมัลแวร์

อีเมลที่แพร่กระจายไปทั่วยูเครน (CERT-UA)

จากอีเมล์ที่ส่งมาจะมี Link ที่หลอกให้ผู้ใช้งานคลิกเพื่อดาวน์โหลดเอกสารชื่อ "Наказ_309.pdf" โดยจะแสดงการแจ้งเตือนปลอมที่ระบุว่าจำเป็นต้องอัปเดตซอฟต์แวร์สำหรับเปิดอ่าน PDF ก่อน

เว็บไซต์จะหลอกให้ผู้ใช้คลิกที่ปุ่ม "ดาวน์โหลด" ซึ่งจะนำไปสู่การดาวน์โหลดไฟล์ปฏิบัติการ ("AcroRdrDCx642200120169_uk_UA.exe") ที่คล้ายกับโปรแกรมติดตั้ง Acrobat Reader

โดยไฟล์ติดตั้ง และเรียกใช้ไฟล์ DLL "rmtpak.

LinkedIn Smart Links ถูกนำไปใช้ในการโจมตีแบบ Email Phishing

Smart Links เป็นบริการหนึ่งสำหรับ LinkedIn Sales Navigator และ Enterprise users ที่สามารถส่งเอกสารได้ถึง 15 ชุดโดยใช้ลิงก์ที่สร้างจาก LinkedIn และยังสามารถติดตามสถานะว่าใครเข้าเปิดดูลิงก์แล้วหรือยัง
Smart Link ของ LinkedIn จึงถูกนำไปใช้ประโยชน์ในการส่ง Phishing เพราะสามารถหลีกเลี่ยงการตรวจสอบจากอุปกรณ์ security ต่าง ๆ ได้ โดยทีมวิเคราะห์ภัยคุกคาม Cofense พบว่าแคมเปญนี้มุ่งเป้าไปที่ประเทศสโลวาเกีย โดยอ้างว่าเป็นบริการไปรษณีย์ของรัฐในสโลวาเกีย

(more…)

Quantum ransomware ถูกปรับใช้ในการโจมตีเครือข่ายอย่างรวดเร็ว

Ransomware Quantum เป็นสายพันธุ์ที่ค้นพบครั้งแรกในเดือนสิงหาคม พ.ศ. 2564 โดยพบว่าเป็นวิธีการโจมตีที่รวดเร็ว และทวีความรุนแรงขึ้นอย่างมาก เนื่องจากทำให้ทีม Security มีเวลาตอบสนองเพียงเล็กน้อยเท่านั้น

ผู้โจมตีกำลังใช้มัลแวร์ IcedID ในการทำเรื่อง Initial Access ซึ่งเป็นหนึ่งใน Attack Vectors ที่ใช้เพื่อติดตั้ง Cobalt Strike สำหรับการเข้าถึงจากระยะไกล และนำไปสู่การขโมยข้อมูล และการเข้ารหัสโดยใช้ Quantum Locke

รายละเอียดทางเทคนิคของการโจมตีของ Quantum ransomware ได้รับการวิเคราะห์โดยนักวิจัยด้านความปลอดภัยที่ The DFIR Report ซึ่งกล่าวว่าการโจมตีใช้เวลาเพียง 3 ชั่วโมง 44 นาทีตั้งแต่การโจมตีครั้งแรกไปจนถึงการเข้ารหัสที่เสร็จสมบูรณ์

(more…)

แคมเปญ Emotet tax-season phishing กลับมาอีกครั้ง ด้วยลูกเล่นใหม่

แคมเปญฟิชชิ่งในรูปแบบของกรมสรรพากร ซึ่งมักพบทุกปีในฤดูกาลเสียภาษีประจำปี จึงเป็นที่น่าสนใจว่ามีอะไรเปลี่ยนไปบ้างในปัจจุบัน

นักวิจัยที่ Cofense บริษัทรักษาความปลอดภัยทางไซเบอร์ได้กล่าวว่า "อีเมลปลอมมีความพยายามทำให้ตัวมันดูมีความน่าเชื่อถือมากขึ้น และมีเทคนิคที่มากกว่าปีก่อนหน้านี้ โดยแคมเปญฟิชชิ่งล่าสุดนี้จะมีการใส่โลโก้ IRS ไว้ มีการส่งให้โดยระบุเฉพาะบุคคลที่เป็นเป้าหมาย และไฟล์ที่แนบมากับอีเมลต้องใส่รหัสผ่านที่ระบุมาในเนื้อหาอีเมลจึงจะเปิดได้"

นักวิจัยที่ Cofense ยังกล่าวอีกว่า การเปิด และบันทึกแบบฟอร์ม W-9 (คำขอหมายเลขประจำตัวผู้เสียภาษีอากร และใบรับรอง) อาจส่งผลให้ Emotet แพร่กระจายตัวเองบนระบบของผู้รับเมื่อเปิดสเปรดชีต Office-macro-laden ที่อยู่ในไฟล์ ที่มีการเข้ารหัสไว้ด้วยรหัสผ่านที่แนบมาในอีเมล หาก Macro ถูกเปิดใช้งาน ไฟล์ Emotet.

อีเมลฟิชชิ่งปลอมเป็น WeTransfer โดยมีการแชร์ไฟล์สองไฟล์ให้กับเหยื่อ และลิงก์สำหรับดูไฟล์เหล่านั้น

อีเมลฟิชชิ่งปลอมเป็น WeTransfer โดยมีการแชร์ไฟล์สองไฟล์ให้กับเหยื่อ และลิงก์สำหรับดูไฟล์เหล่านั้น

Armorblox รายงานว่า ผู้โจมตีทำการปลอมแปลงเป็นอีเมลจากระบบของ WeTransfer เพื่อโจมตีแบบ credential phishing โดยอีเมลที่ถูกปลอมแปลงขึ้นมาจะนำไปสู่หน้าฟิชชิ่งที่มีรูปแบบของ Microsoft Excel ซึ่งเป้าหมายหลักของการโจมตีครั้งนี้ คือการขโมยข้อมูล email credentials Office 365 ของเหยื่อ

WeTransfer เป็นเว็บไซต์ให้บริการถ่ายโอนไฟล์ มักถูกใช้สำหรับการแชร์ไฟล์ที่มีขนาดใหญ่เกินไปที่จะส่งผ่านทางอีเมล

การโจมตี

อีเมลฟิชชิ่งจะถูกส่งโดย WeTransfer เนื่องจากมีชื่อผู้ส่งเป็น Wetransfer และมีชื่อไฟล์ที่แสดงการส่งผ่าน WeTransfer โดยมีความคล้ายคลึงกันกับอีเมล WeTransfer ของจริง และเนื้อหาของอีเมลยังอ้างอิงถึงองค์กรเพื่อให้ดูเหมือนถูกต้องอีกด้วย จึงสามารถหลอกผู้ใช้ที่ไม่ระวังได้อย่างง่าย

เนื้อหาอีเมลแจ้งว่า WeTransfer ได้แชร์ไฟล์สองไฟล์กับเหยื่อ และมีลิงก์สำหรับดูไฟล์เหล่านั้น เมื่อเหยื่อคลิกดูไฟล์ ลิงก์จะนำไปยังหน้าฟิชชิ่งที่คาดว่าน่าจะเป็นของ Microsoft Excel นอกจากนี้ยังมี spreadsheet ที่เบลอเป็นพื้นหลัง และแสดงแบบฟอร์มกำหนดให้เหยื่อต้องป้อนข้อมูลการเข้าสู่ระบบ

โดเมนของผู้ส่งอีเมลเป็นผู้ให้บริการเว็บโฮสติ้งชื่อ 'valueserver[.]jp.

ผู้เชี่ยวชาญเตือนให้ระวังเมลฟิชชิ่งในช่วงมหกรรมช้อปปิ้งประจำปีของอเมซอน – Amazon Prime Day

ผู้เชี่ยวชาญด้านความปลอดภัยได้เตือนนักช้อปออนไลน์ให้ระวังอีเมลฟิชชิ่งในช่วง Amazon Prime Day เป็นพิเศษ

เนื่องจาก Amazon Prime Day นั้นเป็นกิจกรรมลดราคาของทางร้านขายของออนไลน์ amazon.

แคมเปญการโจมตีฟิชชิ่ง “PerSwaysion” พบผู้บริหารระดับสูงของบริษัทตกเป็นเหยื่อกว่า 150 แห่ง

Group-IB Threat Intelligence ได้ทำการรายงานถึงแคมเปญที่ใช้ชื่อว่า “PerSwaysion” ซึ่งเป็นแคมเปญการโจมตีฟิชชิ่งที่ใช้ประโยชน์จากบริการของ Microsoft Sway, SharePoint และ OneNote เพื่อทำการโจมตีแบบฟิชชิ่งซึ่งพุ่งเป้าหมายไปยังผู้บริหารระดับสูงของบริษัทต่างๆ โดยเฉพาะธุรกิจการเงิน, กฎหมายและอสังหาริมทรัพย์ในเยอรมนี, อังกฤษ, เนเธอร์แลนด์, ฮ่องกงและสิงคโปร์ โดยพบว่าบัญชีอีเมลของผู้บริหารระดับสูงของบริษัทอย่างน้อย 156 คนตกเป็นเหยื่อแล้ว

Group-IB ยังกล่าวอีกว่าแคมเปญ “PerSwaysion” มีจุดประสงค์เพื่อทำการขโมยข้อมูลบัญชีของ Microsoft Office 365 ผู้โจมตีเลือกบริการแชร์เนื้อหาและใช้ลิงก์ที่เชื่อมกับบริการของ Microsoft Sway, Microsoft SharePoint และ OneNote เพื่อหลีกเลี่ยงการตรวจจับและสร้างความน่าเชื่อถือให้กับอีเมลฟิชชิ่ง

โดยอีเมลฟิชชิ่งที่ใช้นั้นจะแนบไฟล์ PDF ที่ถูกฝัง JavaScript ไว้เมื่อทำการเปิดอ่านไฟล์ JavaScript จะทำการเปลี่ยนเส้นทางผู้ใช้ไปยังเว็ปไซต์ฟิชชิ่งของผู้โจมตี โดย Group-IB พบว่าผู้โจมตีจากแคมเปญนี้ส่วนใหญ่มาจากไนจีเรียและแอฟริกาใต้

คำเเนะนำ

ผู้ที่สงสัยว่าตกเองได้ตกเป็นเหยื่อของแคมเปญ “PerSwaysion” นี้ Group-IB ได้ทำการรวบรวมข้อมูลและได้สร้างเว็ปไซต์เพื่อให้ผู้ที่สงสัยว่าตัวเองตกเป็นเหยื่อสามารถทำการตรวจสอบได้ที่ https://www.