กลุ่มแฮ็กเกอร์ FIN7 เปิดตัวเว็บไซต์สร้างภาพเปลือยแบบ Deepfake เพื่อแพร่กระจาย Malware

กลุ่มแฮ็กเกอร์ที่มีชื่อเสียงอย่าง FIN7 ได้เปิดตัวเครือข่ายเว็บไซต์ปลอมที่ใช้เทคโนโลยี AI ในการสร้างภาพนู้ดปลอม เพื่อใช้ในการแพร่กระจายมัลแวร์ที่ขโมยข้อมูลให้กับผู้เข้าใช้งานเว็บไซต์

FIN7 เป็นกลุ่มแฮ็กเกอร์ชาวรัสเซียที่ได้ดำเนินการฉ้อโกงทางการเงิน และอาชญากรรมทางไซเบอร์มาตั้งแต่ปี 2013 โดยมีความเชื่อมโยงกับกลุ่มแรนซัมแวร์ เช่น DarkSide, BlackMatter และ BlackCat ซึ่งเมื่อไม่นานมานี้ได้ทำการหลอกลวงเครือข่ายพันธมิตร ด้วยการขโมยเงินค่าไถ่จำนวน 20 ล้านดอลลาร์ที่ได้มาจาก UnitedHealth

FIN7 เป็นที่รู้จักในด้านการโจมตีแบบฟิชชิ่ง และการใช้เทคนิค social engineering ที่ซับซ้อน เช่น การปลอมตัวเป็น BestBuy เพื่อส่ง USB keys ที่มีมัลแวร์ หรือการสร้างบริษัทความปลอดภัยปลอมเพื่อจ้างนักทดสอบระบบความปลอดภัย (pentesters) และนักพัฒนาซอฟต์แวร์มาทำการโจมตีด้วยแรนซัมแวร์โดยที่พวกเขาไม่รู้ตัว

ดังนั้นจึงไม่น่าแปลกใจที่พบว่าพวกเขาได้ถูกเชื่อมโยงกับเครือข่ายเว็บไซต์ ที่อ้างว่ามีโปรแกรมสร้างภาพเปลือยที่ขับเคลื่อนด้วย AI โดยอ้างว่าสามารถสร้างภาพเปลือยปลอมจากภาพถ่ายของบุคคลที่สวมใส่เสื้อผ้าได้

เทคโนโลยีนี้เป็นที่ถกเถียงกันอย่างมากเนื่องจากอาจสร้างความเสียหายให้กับผู้ถูกกระทำโดยการสร้างภาพที่ไม่เหมาะสมโดยไม่ได้รับความยินยอม และในหลายประเทศทั่วโลกเทคโนโลยีนี้ถูกห้ามใช้อย่างเด็ดขาด อย่างไรก็ตาม ความสนใจในเทคโนโลยีนี้ยังคงมีอยู่มาก

เครือข่ายของ deepnude generators

เว็บไซต์ deepnude ปลอมของ FIN7 ทำหน้าที่เป็นกับดักสำหรับผู้ที่สนใจในการสร้างภาพเปลือยปลอมของคนดังหรือบุคคลอื่น ๆ ในปี 2019 ผู้โจมตีได้ใช้เว็บไซต์คล้ายกันนี้ในการแพร่กระจายมัลแวร์ขโมยข้อมูล แม้จะเป็นช่วงก่อนที่ AI จะมีการเติบโตอย่างรวดเร็ว

เครือข่าย deepnude generators นี้ดำเนินการภายใต้แบรนด์เดียวกันที่ชื่อว่า "AI Nude" และถูกโปรโมตผ่านเทคนิค black hat SEO เพื่อดันให้เว็บไซต์เหล่านี้ติดอันดับสูงในการค้นหา

ตามรายงานของ Silent Push กลุ่ม FIN7 อยู่เบื้องหลังการดำเนินการเว็บไซต์ต่าง ๆ เช่น "aiNude[.]ai", "easynude[.]website" และ nude-ai[.]pro" โดยตรง ซึ่งเสนอ "การทดลองใช้ฟรี" หรือ "ดาวน์โหลดฟรี" แต่ในความเป็นจริงแล้ว FIN7 เพียงใช้เว็บไซต์เพื่อแพร่กระจายมัลแวร์

เว็บไซต์ทั้งหมดใช้การออกแบบที่คล้ายกันซึ่งรับประกันว่าสามารถสร้างภาพเปลือย AI ได้ฟรีจากรูปถ่ายที่อัปโหลดขึ้นไป

เว็บไซต์ปลอมเหล่านี้อนุญาตให้ผู้ใช้สามารถอัปโหลดรูปถ่ายที่ต้องการสร้างเป็นภาพ deepfake นู้ดได้ อย่างไรก็ตาม หลังจากที่อ้างว่าภาพ "deepnude" ได้ถูกสร้างขึ้นแล้ว ภาพนั้นจะไม่แสดงบนหน้าจอ แต่ผู้ใช้จะได้รับแจ้งให้คลิกลิงก์เพื่อดาวน์โหลดภาพที่สร้างขึ้น

เมื่อคลิกลิงก์ดังกล่าว ผู้ใช้จะถูกพาไปยังอีกเว็บไซต์หนึ่งที่แสดงรหัสผ่าน และลิงก์สำหรับไฟล์ที่ถูกป้องกันด้วยรหัสผ่านซึ่งถูกโฮสต์บน Dropbox แม้ว่าปัจจุบันเว็บไซต์นี้ยังคงทำงานอยู่ แต่ลิงก์ Dropbox นั้นไม่สามารถใช้งานได้แล้ว

อย่างไรก็ตาม แทนที่จะเป็นภาพ deepnude ไฟล์ที่ถูกเก็บอยู่ในไฟล์ archive นั้น แท้จริงแล้วคือมัลแวร์ขโมยข้อมูลที่ชื่อ Lumma Stealer เมื่อถูกเรียกใช้งาน มัลแวร์นี้จะขโมยข้อมูล credentials และคุกกี้ที่ถูกบันทึกในเว็บเบราว์เซอร์, กระเป๋าเงินคริปโต และข้อมูลอื่น ๆ จากคอมพิวเตอร์

Silent Push ยังพบว่าเว็บไซต์บางแห่งโปรโมตโปรแกรมสร้าง deepnude สำหรับระบบ Windows ซึ่งจะติดตั้งมัลแวร์ Redline Stealer และ D3F@ck Loader แทน โดยมัลแวร์เหล่านี้ก็ใช้ในการขโมยข้อมูลจากอุปกรณ์ที่ถูกโจมตีเช่นกัน

เว็บไซต์ทั้งเจ็ดที่ Silent Push ตรวจพบได้ถูกปิดไปแล้ว แต่ผู้ใช้ที่อาจดาวน์โหลดไฟล์จากเว็บไซต์เหล่านี้ควรพิจารณาว่าตนเองอาจติดมัลแวร์แล้ว

แคมเปญ FIN7 อื่น ๆ

Silent Push ยังตรวจพบแคมเปญอื่น ๆ ของ FIN7 ที่ปล่อยมัลแวร์ NetSupport RAT ผ่านเว็บไซต์ที่หลอกให้ผู้เข้าชมติดตั้ง extension ของเบราว์เซอร์

ในกรณีอื่น ๆ FIN7 ใช้ payloads ที่ดูเหมือนจะปลอมแปลงเป็นแบรนด์ และแอปพลิเคชันที่เป็นที่รู้จัก เช่น Cannon, Zoom, Fortnite, Fortinet VPN, Razer Gaming, และ PuTTY

Payloads เหล่านี้อาจถูกแพร่กระจายไปยังเหยื่อโดยใช้กลยุทธ์ SEO และการโฆษณาที่มีมัลแวร์หลอกให้เหยื่อดาวน์โหลดโปรแกรมติดตั้งที่แฝงโทรจันไว้

FIN7 ถูกเปิดโปงเมื่อไม่นานมานี้จากการขายเครื่องมือ "AvNeutralizer" ที่พัฒนาขึ้นเพื่อปิดการทำงานของระบบ EDR ให้กับอาชญากรไซเบอร์อื่น ๆ โดยมุ่งเป้าไปที่พนักงานไอทีของผู้ผลิตรถยนต์ในการโจมตีแบบฟิชชิ่ง และได้ใช้แรนซัมแวร์ Cl0p ในการโจมตีองค์กรต่าง ๆ

ที่มา : https://www.

พบกลุ่ม Akira และ Fog Ransomware กำลังใช้ช่องโหว่ RCE ระดับ Critical ของ Veeam ในการโจมตีเป้าหมาย

พบกลุ่ม Ransomware กำลังใช้ช่องโหว่ CVE-2024-40711 ในการโจมตีเป้าหมาย ที่ทำให้สามารถเรียกใช้คำสั่งที่เป็นอันตรายจากระยะไกล (RCE) บนเซิร์ฟเวอร์ Veeam Backup & Replication (VBR) ที่มีช่องโหว่ได้ (more…)

กลุ่ม Black Basta ransomware ทำรายได้จากการเรียกค่าไถ่กว่า 100 ล้านดอลลาร์

กลุ่ม Black Basta ransomware จากรัสเซีย กวาดรายได้จากการเรียกค่าไถ่ไปแล้วอย่างน้อย 100 ล้านดอลลาร์ จากเหยื่อมากกว่า 90 รายที่ยอมจ่ายค่าไถ่ นับตั้งแต่เปิดตัวครั้งแรกในเดือนเมษายน 2022 (more…)

กลุ่มแฮกเกอร์ FIN7 ใช้เอกสารอันตรายที่หลอกว่าเป็น ‘Windows 11 Alpha’ เพื่อวาง JavaScript Backdoor

การโจมตีจะเริ่มต้นด้วยฟิชชิ่งอีเมล หรือแคมเปญสเปียร์ฟิชชิ่งที่มีเอกสาร Microsoft Word ที่เป็นอันตราย (.doc) พร้อมด้วยรูปภาพหลอกลวงที่ระบุว่าเป็น Windows 11 Alpha

เมื่อเหยื่อเปิดใช้งานฟังก์ชันการแก้ไขเนื้อหา (Enable Editing and Content) ก็จะเข้าสู่กระบวนการติดตั้ง โดยไฟล์ที่ฝังอยู่กับรูปภาพนั้นคือ VBA macro เมื่อเหยื่อเปิดใช้งานเนื้อหา VBA macro ก็จะทำงานทันที

VBA macro ประกอบไปด้วยข้อมูลขยะมากมาย เป็นกลยุทธ์ทั่วไปที่แฮกเกอร์ใช้เพื่อขัดขวางการวิเคราะห์ข้อมูล เมื่อดึงข้อมูลขยะออกแล้วจะเหลือเพียง VBA macro เมื่อวิเคราะห์ JavaScript เพิ่มเติมนักวิจัยได้พบว่ามี Strings ที่ซับซ้อนควบคู่ไปกับฟังก์ชันการถอดรหัสที่ซับซ้อน

นักวิจัยพบว่าแฮกเกอร์ที่อยู่เบื้องหลังแคมเปญนี้ สั่งให้การโจมตีนี้ไม่ทำงานสำหรับบางประเทศ ได้แก่ รัสเซีย ยูเครน ซอร์เบีย สโลวีเนีย เอสโตเนีย ซึ่งหากตรวจพบภาษาเหล่านี้ จะเรียกใช้ฟังก์ชัน me2XKr เพื่อหยุดการทำงาน

กลุ่ม FIN7 จะมุ่งเป้าการโจมตีไปที่ ภาคโทรคมนาคม การศึกษา การค้าปลีก การเงิน และการบริการในสหรัฐฯ ผ่านการโจมตีที่สร้างขึ้นอย่างตั้งใจ

นอกจากนี้ FIN7 ยังหาวิธีการหลีกเลี่ยงการตรวจจับ และบังคับใช้กฎหมายเพื่อเอาผิดพวกเขา โดยการใช้เทคนิคขั้นสูง และแปลกใหม่เพื่อขัดขวางการตรวจจับอยู่ตลอดเวลา

ในบางครั้งพบว่ากลุ่มนี้เป็นที่รู้จักกันในอีกชื่อว่า Carbanak และมีการเพิ่มกลยุทธ์การสร้างรายได้ที่หลากหลายมากขึ้น ซึ่งทำให้กลุ่มของ FIN7 สามารถขยายผลกระทบของการโจมตีได้ ส่งผลให้แฮกเกอร์กลุ่มนี้มีความได้เปรียบในการแข่งขันกับกลุ่มอื่น ๆ และยังสามารถกำหนดเป้าหมายไปยังอุตสาหกรรมที่หลากหลายได้

แม้ว่า FIN7 จะมีเทคนิคที่โดดเด่นในการขโมยข้อมูลบัตรเครดิตจำนวนมาก แต่ความทะเยอทะยานของพวกเขาไม่ได้จำกัดอยู่เพียงการขโมยข้อมูลบัตรเครดิต เพราะในขณะที่ปัจจุบันมีการเข้ารหัสแบบ end-to-end encryption (E2EE) เพื่อป้องกันไม่ให้ผู้โจมตี หรือแฮกเกอร์ได้ข้อมูลบัตรเครดิตไปได้โดยง่าย พวกเขาจึงหันไปโจมตีแผนกการเงินขององค์กรเป้าหมายแทน

จากการวิเคราะห์ของ Anomali Threat Research ที่ลงไว้เมื่อ 2 กันยายน พ.ศ. 2564 กล่าวว่า "การกำหนดเป้าหมายเฉพาะของโดเมน Clearmind ดูจะเป็นวิธีการทำงานที่ FIN7 ต้องการ" "เป้าหมายของกลุ่มคือการใช้แบ็คดอร์ในรูปแบบ JavaScript ที่คาดว่า FIN7 น่าจะใช้มาตั้งแต่ปี 2561

ที่มา : ehackingnews

U.S. Declares Emergency in 17 States Over Fuel Pipeline Cyber Attack

สหรัฐออกกฎหมายฉุกเฉินหลัง Colonial Pipeline บริษัทผู้ดูแลท่อส่งน้ำมันฝั่งตะวันออกรายใหญ่ของสหรัฐฯ ออกประกาศว่าถูกโจมตีระบบเครือข่ายด้วย DarkSide Ransomware ส่งผลกระทบต่อการจัดหา น้ำมันเบนซิน, ดีเซล, น้ำมันเครื่องบินและผลิตภัณฑ์ปิโตรเลียมกลั่นอื่น ๆ และต้องทำการปิดท่อส่งเชื้อเพลิง 5,500 ไมล์จากเมืองฮุสตันของเท็กซัสไปยังท่าเรือนิวยอร์ก

Colonial Pipeline เป็นบริษัทที่ทำการขนส่งน้ำมันเชื้อเพลิงปริมาณ 2.5 ล้านบาร์เรลต่อวันหรือคิดเป็น 45% ของปริมาณการใช้น้ำมันดีเซล น้ำมันเบนซินและเชื้อเพลิงอากาศยานในฝั่งตะวันออกของสหรัฐฯ การโจมตีทำให้กลุ่มแฮกเกอร์ได้ข้อมูลภายในของบริษัทเกือบ 100 กิกะไบต์ และทำการเข้ารหัสคอมพิวเตอร์และเซิร์ฟเวอร์บางส่วนเพื่อเรียกค่าไถ่ ซึ่งหากบริษัทไม่ยอมจ่ายเงิน ก็จะทำการปล่อยข้อมูลดังกล่าวสู่สาธารณะ

จากรายงานของ Crowdstrike คาดว่า DarkSide เป็นฝีมือแฮกเกอร์ที่เรียกว่า Carbon Spider (aka Anunak, Carbanak หรือ FIN7) ซึ่งผู้จัดการระดับสูงและผู้ดูแลระบบเพิ่งถูกตัดสินจำคุกในสหรัฐฯเป็นเวลา 10 ปี และจากการตรวจสอบบนเว็บไซต์ของกลุ่มแฮกเกอร์ ที่ชื่อว่า DarkSide's data leak ยังพบการเผยแพร่ข้อมูลของธุรกิจน้ำมันและก๊าซอื่นๆ เช่น Forbes Energy Services และ Gyrodata
ปัจจุบันบริษัทและหน่วยงานที่เกี่ยวข้องกำลังเร่งกู้คืนระบบ และพยายามทำให้ระบบบางส่วนกลับมาให้บริการได้อย่างเต็มรูปแบบอีกครั้ง

ที่มา : thehackernews

Details for 1.3 million Indian payment cards put up for sale on Joker’s Stash

รายละเอียดของบัตรชำระเงินอินเดีย 1.3 ล้านใบวางขายที่ Joker's Stash
รายละเอียดบัตรในชำระเงินมากกว่า 1.3 ล้านใบถูกวางขายใน Joker's Stash โดยข้อมูลส่วนใหญ่มาจากผู้ถือบัตรในอินเดีย นักวิจัยด้านความปลอดภัยที่ Group-IB บอกกับ ZDNet ในวันนี้หลังจากพบการอัปโหลดใหม่เมื่อไม่กี่ชั่วโมงก่อน
Group-IB กล่าวว่าบัตรเหล่านี้ถูกวางขายในราคาสูงสุดที่ 100 ดอลลาร์สหรัฐต่อ 1 ใบทำให้แฮกเกอร์สามารถทำเงินได้มากกว่า 130 ล้านดอลลาร์จากรายการครั้งล่าสุด
ยังไม่ทราบแหล่งที่มาของบัตร Group-IB กล่าวว่าพวกเขาไม่สามารถวิเคราะห์และดูแหล่งที่มาของการละเมิดที่อาจเกิดขึ้น เนื่องจากมีเวลาวิเคราะห์ไม่พอ ซึ่งการวิเคราะห์เบื้องต้นชี้ให้เห็นว่าอาจได้รับรายละเอียดการ์ดผ่านอุปกรณ์ skimming ที่ติดตั้งบน ATM หรือระบบ PoS เพราะข้อมูลบนบัตรที่วางขายมีข้อมูล Track 2 ซึ่งมักจะพบบนแถบแม่เหล็กของบัตรชำระเงิน ทำให้ตัดความเป็นไปได้ที่ข้อมูลจะมาจาก skimmers ที่ติดตั้งบนเว็บไซต์ซึ่งจะไม่มีพบข้อมูล Track 2 ดังกล่าว
ยิ่งไปกว่านั้นบัตรแต่ละใบแตกต่างกันอย่างมากในแง่ของการดำเนินการที่มาจากหลายธนาคารไม่ใช่เพียงแค่ธนาคารเดียว
"ในขณะนี้ทีมงาน Threat Intelligence ของ Group-IB ได้วิเคราะห์บัตรมากกว่า 550K จากฐานข้อมูล" Group-IB ซึ่งเขียนในรายงานที่แชร์เฉพาะกับ ZDNet และ บริษัท วางแผนที่จะเผยแพร่ในวันพรุ่งนี้
โดยเป็นของธนาคารอินเดียมากกว่า 98% ส่วน 1% เป็นของธนาคารโคลอมเบีย และมากกว่า 18% ของข้อมูล 550K ในบัตร ได้รับการวิเคราะห์จนถึงขณะนี้ว่าเป็นของธนาคารอินเดียแห่งหนึ่งในอินเดียเพียงธนาคารเดียว
Joker's Stash เป็นสิ่งที่นักวิจัยด้านความปลอดภัยเรียกว่า "card shop" เป็นคำที่ใช้อธิบายถึงตลาดออนไลน์ในเว็บมืดและเป็นที่รู้จักกันว่าเป็นสถานที่ที่กลุ่มอาชญากรไซเบอร์หลักเช่น FIN6 และ FIN7 ทำการขายและซื้อรายละเอียดบัตรชำระเงินซึ่งจะเรียกว่า card dump
ที่มา zdnet

FIN7 Hackers Change Attack Techniques

กลุ่มแฮกเกอร์โจมตีสถาบันการเงิน "FIN7" เปลี่ยนขั้นตอนการแพร่กระจายมัลแวร์
กลุ่มแฮกเกอร์ FIN7 (หรือรู้จักกันในชื่อ Anunak หรือ Carbanak) ซึ่งพุ่งไปที่การโจมตีสถาบันการเงิน ได้มีการเปลี่ยนรูปแบบการแพร่กระจายมัลแวร์จากเดิมที่ใช้ไฟล์ LNK หรือไฟล์ลิงค์ฝังเข้าไปในไฟล์เอกสาร เป็นการใช้ไฟล์ CMD ทำให้หลีกเลี่ยงกระบวนการตรวจจับได้
เมื่อเหยื่อทำการเปิดไฟล์เอกสารซึ่งมักถูกส่งมากับอีเมล ไฟล์เอกสารดังกล่าวจะทำการถอดรหัสตัวเองก่อนจะทำการดาวโหลดมัลแวร์มาติดตั้งบนระบบของเหยื่อ มัลแวร์ดังกล่าวทำหน้าที่เป็นช่องทางลับทำให้ผู้โจมตีสามารถเข้าถึง สั่งการและควบคุมเครื่องของเหยื่อได้ในภายหลัง การเปลี่ยนแปลงพฤติกรรมของ FIN7 ล่าสุดอาจทำให้ขั้นตอนเหล่านี้ตรวจจับได้ยากขึ้นด้วย นอกเหนือจากนั้นภายในฟังก์ชันการทำงานของมัลแวร์เอง มัลแวร์ยังสามารถที่จะดึงข้อมูลรายการผู้ติดต่ออัตโนมัติจาก Outlook ได้อีกด้วย
แนะนำให้ผู้ใช้งานระมัดระวังก่อนเปิดไฟล์แนบที่มากับอีเมล รวมไปถึงตรวจสอบแหล่งที่มาของอีเมลทุกครั้ง

ที่มา : Securityweek

FIN7 Hackers Change Attack Techniques

กลุ่มแฮกเกอร์โจมตีสถาบันการเงิน "FIN7" เปลี่ยนขั้นตอนการแพร่กระจายมัลแวร์

กลุ่มแฮกเกอร์ FIN7 (หรือรู้จักกันในชื่อ Anunak หรือ Carbanak) ซึ่งพุ่งไปที่การโจมตีสถาบันการเงิน ได้มีการเปลี่ยนรูปแบบการแพร่กระจายมัลแวร์จากเดิมที่ใช้ไฟล์ LNK หรือไฟล์ลิงค์ฝังเข้าไปในไฟล์เอกสาร เป็นการใช้ไฟล์ CMD ทำให้หลีกเลี่ยงกระบวนการตรวจจับได้

เมื่อเหยื่อทำการเปิดไฟล์เอกสารซึ่งมักถูกส่งมากับอีเมล ไฟล์เอกสารดังกล่าวจะทำการถอดรหัสตัวเองก่อนจะทำการดาวโหลดมัลแวร์มาติดตั้งบนระบบของเหยื่อ มัลแวร์ดังกล่าวทำหน้าที่เป็นช่องทางลับทำให้ผู้โจมตีสามารถเข้าถึง สั่งการและควบคุมเครื่องของเหยื่อได้ในภายหลัง การเปลี่ยนแปลงพฤติกรรมของ FIN7 ล่าสุดอาจทำให้ขั้นตอนเหล่านี้ตรวจจับได้ยากขึ้นด้วย นอกเหนือจากนั้นภายในฟังก์ชันการทำงานของมัลแวร์เอง มัลแวร์ยังสามารถที่จะดึงข้อมูลรายการผู้ติดต่ออัตโนมัติจาก Outlook ได้อีกด้วย

แนะนำให้ผู้ใช้งานระมัดระวังก่อนเปิดไฟล์แนบที่มากับอีเมล รวมไปถึงตรวจสอบแหล่งที่มาของอีเมลทุกครั้ง

ที่มา: securityweek