การโจมตีแบบ "Polymorphic" ที่ถูกคิดค้นขึ้นใหม่ทำให้ Chrome extensions ที่เป็นอันตรายสามารถเปลี่ยนรูปแบบเป็น extensions อื่น ๆ ได้ รวมถึง Password managers, Crypto wallets และแอปพลิเคชันธนาคาร เพื่อขโมยข้อมูลที่สำคัญ

(more…)

CISA ได้แจ้งเตือนหน่วยงานของรัฐบาลกลางสหรัฐฯ ให้ตรวจสอบ และแก้ไขความปลอดภัยระบบของตนจากการโจมตีโดยใช้ช่องโหว่ของ Cisco และ Windows ถึงแม้ว่า CISA จะระบุว่าช่องโหว่เหล่านี้กำลังถูกใช้ในการโจมตีอย่างแพร่หลาย แต่ก็ยังไม่ได้ให้รายละเอียดที่เจาะจงเกี่ยวกับการโจมตีนี้ และใครอยู่เบื้องหลัง

(more…)

พบช่องโหว่ใน 7-Zip ที่สามารถทำให้ผู้ไม่หวังดี bypass การป้องกันแบบ Mark of the Web (MotW) ของ Windows โดยผู้ไม่หวังดีจากรัสเซียใช้ในการโจมตีแบบ zero-day มาตั้งแต่เดือนกันยายน 2024

นักวิจัยจาก Trend Micro ระบุว่า ช่องโหว่นี้ถูกใช้ในแคมเปญมัลแวร์ SmokeLoader ที่มุ่งเป้าไปยังหน่วยงานของรัฐบาลยูเครน และองค์กรเอกชนในประเทศ

Mark of the Web เป็นฟีเจอร์ความปลอดภัยของ Windows ที่ออกแบบมาเพื่อแจ้งเตือนผู้ใช้งานว่าไฟล์ที่กำลังเรียกใช้งานมาจากแหล่งที่ไม่น่าเชื่อถือ โดยจะแสดงกล่องข้อความให้ยืนยันเพิ่มเติม การ Bypass การป้องกัน MoTW ทำให้ไฟล์อันตรายสามารถทำงานบนเครื่องของเหยื่อได้โดยไม่มีการแจ้งเตือน

เมื่อดาวน์โหลดเอกสาร หรือไฟล์ executables จากเว็บ หรือได้รับเป็นไฟล์แนบทางอีเมล Windows จะเพิ่ม 'Zone.

Zyxel ออกประกาศด้านความปลอดภัยเกี่ยวกับช่องโหว่ที่ถูกโจมตีในอุปกรณ์ CPE Series โดยแจ้งเตือนว่าไม่มีแผนที่จะออกแพตช์แก้ไข และแนะนำให้ผู้ใช้ย้ายไปใช้อุปกรณ์ที่ยังได้รับการสนับสนุน

VulnCheck ค้นพบช่องโหว่ทั้งสองรายการในเดือนกรกฎาคม 2024 แต่เมื่อสัปดาห์ที่ผ่านมา GreyNoise รายงานว่าได้เริ่มพบการพยายามในการโจมตีจริงแล้ว

ตามข้อมูลจากเครื่องมือสแกนเครือข่าย FOFA และ Censys พบว่าอุปกรณ์ Zyxel CPE Series กว่า 1,500 เครื่องที่เปิดให้เข้าถึงผ่านอินเทอร์เน็ต ซึ่งทำให้อุปกรณ์ที่อาจถูกโจมตีมีจำนวนมากขึ้น

ในโพสต์ใหม่วันนี้ VulnCheck ได้นำเสนอรายละเอียดทั้งหมดของช่องโหว่ทั้งสองรายการที่พบในการโจมตีที่มุ่งเป้าไปที่การเข้าถึงเครือข่ายในเบื้องต้น

CVE-2024-40891 เป็นช่องโหว่ที่สามารถทำให้ผู้ใช้งานที่ผ่านการยืนยันตัวตนแทรกคำสั่ง Telnet ได้ เนื่องจากการตรวจสอบคำสั่งที่ไม่เหมาะสมใน libcms_cli.

Netgear ได้แก้ไขช่องโหว่ระดับ Critical สองรายการที่ส่งผลกระทบต่อเราเตอร์ WiFi หลายรุ่น และขอให้ลูกค้าทำการอัปเดตเฟิร์มแวร์ของอุปกรณ์เป็นเวอร์ชันล่าสุดโดยเร็วที่สุด

ช่องโหว่ด้านความปลอดภัยส่งผลกระทบต่อเราเตอร์ WiFi 6 หลายรุ่น (WAX206, WAX214v2, และ WAX220) และเราเตอร์รุ่น Nighthawk Pro Gaming (XR1000, XR1000v2, XR500)

แม้ว่า Netgear จะไม่ได้เปิดเผยรายละเอียดเพิ่มเติมเกี่ยวกับช่องโหว่ทั้งสองรายการ แต่ก็ได้เปิดเผยว่า ผู้ไม่หวังดีที่ไม่จำเป็นต้องผ่านการยืนยันตัวตนสามารถใช้ประโยชน์จากช่องโหว่เหล่านี้เพื่อเรียกใช้โค้ดที่เป็นอันตรายจากระยะไกล (PSV-2023-0039) และ bypass การยืนยันตัวตน (PSV-2021-0117) ในการโจมตีที่มีความซับซ้อนต่ำ และไม่ต้องมีการโต้ตอบจากผู้ใช้

บริษัทระบุในคำแนะนำด้านความปลอดภัยที่เผยแพร่เมื่อสุดสัปดาห์ที่ผ่านมาว่า "Netgear แนะนำให้ดาวน์โหลด และอัปเดตเฟิร์มแวร์ให้เป็นเวอร์ชันล่าสุดโดยเร็วที่สุด"

รายการรุ่นเราเตอร์ที่มีช่องโหว่ และเวอร์ชันเฟิร์มแวร์ที่มีการอัปเดตแพตช์ความปลอดภัย

ขั้นตอนการดาวน์โหลด และติดตั้งเฟิร์มแวร์เวอร์ชันล่าสุดสำหรับเราเตอร์ Netgear

1. ไปที่เว็บไซต์ NETGEAR Support : https://www.

AMD ออกมาตรการลดผลกระทบ และอัปเดตเฟิร์มแวร์เพื่อแก้ไขช่องโหว่ระดับความรุนแรงสูง ที่สามารถถูกใช้เพื่อโหลด Microcode ของ CPU ที่เป็นอันตรายบนอุปกรณ์ที่ยังไม่ได้อัปเดตแพตช์

ช่องโหว่ด้านความปลอดภัย (CVE-2024-56161) มีสาเหตุมาจากความบกพร่องจากการตรวจสอบ Signature ที่ไม่เหมาะสมใน microcode patch loader ใน CPU ROM ของ AMD

ผู้ไม่หวังดีที่มีสิทธิ์ระดับผู้ดูแลระบบ สามารถใช้ช่องโหว่นี้ในการโจมตี โดยอาจส่งผลให้เกิดการสูญเสียการรักษาความลับ และความถูกต้องของข้อมูลในระบบของ guest ที่ทำงานภายใต้ AMD Secure Encrypted Virtualization-Secure Nested Paging (SEV-SNP)

ตามแหล่งข้อมูลการพัฒนาของ AMD "SEV ทำหน้าที่แยก guest และ hypervisor ออกจากกัน ขณะที่ SEV-SNP เพิ่มการป้องกันความถูกต้องของหน่วยความจำ โดยสร้างสภาพแวดล้อมการทำงานที่แยกจากกัน เพื่อช่วยป้องกันการโจมตี hypervisor เช่น data replay, memory re-mapping และอื่น ๆ"

AMD ได้ออกมาตรการลดผลกระทบ โดยกำหนดให้มีการอัปเดต Microcode บนแพลตฟอร์มที่ได้รับผลกระทบทั้งหมด เพื่อป้องกันการเรียกใช้ Microcode ที่เป็นอันตราย

แพลตฟอร์มบางส่วนยังต้องการการอัปเดตเฟิร์มแวร์ SEV สำหรับการตรวจสอบความถูกต้องของ SEV-SNP โดยผู้ใช้งานต้องอัปเดตระบบ BIOS และรีบูตเครื่องเพื่อเปิดใช้งานการตรวจสอบมาตรการลดผลกระทบ

เพื่อยืนยันว่าได้ติดตั้งมาตรการลดผลกระทบอย่างถูกต้อง ให้ตรวจสอบว่าเวอร์ชันของ Microcode ตรงกับเวอร์ชันที่ระบุในตารางด้านล่างนี้

ทีมความปลอดภัยของ Google ระบุว่า "เราได้แสดงให้เห็นถึงความสามารถในการสร้างแพตช์ Microcode ที่เป็นอันตรายได้ตามต้องการบน CPU ตั้งแต่ Zen 1 ถึง Zen 4 ช่องโหว่นี้เกิดจากการที่ CPU ใช้ฟังก์ชันแฮชที่ไม่ปลอดภัยในการตรวจสอบ Signature สำหรับการอัปเดต Microcode"

ช่องโหว่นี้สามารถถูกใช้โดยผู้ไม่หวังดีเพื่อโจมตี Workloads การประมวลผลที่เป็นความลับที่ได้รับการป้องกันโดย AMD Secure Encrypted Virtualization เวอร์ชันล่าสุด (SEV-SNP) หรือเพื่อโจมตีระบบ Dynamic Root of Trust Measurement"

นักวิจัยด้านความปลอดภัยของ Google ซึ่งได้รับเครดิตในการค้นพบช่องโหว่ และรายงานช่องโหว่นี้ให้ AMD ทราบ ได้เผยแพร่ PoC สำหรับการโจมตี ซึ่งผ่านการทดสอบบน CPU AMD EPYC และ AMD Ryzen 9 โดยแสดงให้เห็นว่าผู้ไม่หวังดีสามารถสร้างแพตช์ Microcode ตามต้องการได้

PoC ของพวกเขาทำให้คำสั่ง RDRAND บนโปรเซสเซอร์ AMD Zen ที่มีช่องโหว่คืนค่าคงที่เป็น 4 เสมอ ซึ่งตั้งค่าสถานะ carry flag (CF) เป็น 0 ด้วยเช่นกัน ซึ่งแสดงให้เห็นถึงว่าค่าที่ส่งคืนไม่ถูกต้อง และทำให้มั่นใจว่าผู้ไม่หวังดีไม่สามารถใช้การโจมตีนี้ "เพื่อโจมตี Workloads การประมวลผลที่เป็นความลับที่ทำงานได้อย่างถูกต้อง"

สัปดาห์นี้ AMD ได้รับรายงานจาก Li-Chung Chiang ที่ NTU (National Taiwan University) ซึ่งอธิบายถึงการโจมตีแบบ side-channel ที่ใช้ cache-based ต่อ Secure Encrypted Virtualization (SEV) ที่ส่งผลกระทบต่อโปรเซสเซอร์ในศูนย์ข้อมูล (1st Gen ถึง 4th Gen AMD EPYC) และโปรเซสเซอร์แบบฝังตัว (AMD EPYC 3000/7002/7003/9004)

AMD แนะนำให้นักพัฒนาปฏิบัติตามแนวทางที่ดีที่สุดสำหรับการโจมตีแบบ prime and probe (เช่น อัลกอริธึมที่ใช้เวลาเท่ากัน) หลีกเลี่ยงการใช้ข้อมูลที่ขึ้นอยู่กับ secret-dependent และปฏิบัติตามคำแนะนำเกี่ยวกับการโจมตีประเภท Spectre

ที่มา : bleepingcomputer 

Casio ผู้ผลิตอุปกรณ์อิเล็กทรอนิกส์จากญี่ปุ่น เปิดเผยว่าเหตุการณ์การโจมตีจากแรนซัมแวร์ในเดือนตุลาคม 2024 ได้ทำให้ข้อมูลส่วนบุคคลประมาณ 8,500 รายการรั่วไหล

บุคคลที่ได้รับผลกระทบส่วนใหญ่เป็นพนักงานของ Casio และพันธมิตรทางธุรกิจ แต่ก็มีข้อมูลส่วนบุคคลของลูกค้าจำนวนเล็กน้อยที่รั่วไหลออกมาด้วย

การโจมตีของ Underground ransomware

การโจมตีเกิดขึ้นเมื่อวันที่ 5 ตุลาคม 2024 เมื่อกลุ่มผู้โจมตีแรนซัมแวร์ได้ใช้วิธีการฟิชชิงเพื่อโจมตีเครือข่ายของบริษัท ส่งผลให้ระบบ IT ไม่สามารถใช้งานได้

ในวันที่ 10 ตุลาคม กลุ่มแรนซัมแวร์ Underground ได้อ้างว่าเป็นผู้ทำการโจมตีครั้งนี้ พร้อมขู่ว่าจะเปิดเผยเอกสารลับ, ไฟล์ทางการเงิน, ข้อมูลโครงการ และข้อมูลพนักงาน หากไม่ได้รับการจ่ายค่าไถ่

ไม่นานหลังจากนั้น Casio ยืนยันว่ากลุ่ม Underground ได้ขโมยข้อมูลส่วนบุคคลของพนักงาน พันธมิตร และลูกค้า อย่างไรก็ตามบริษัทไม่ได้ระบุจำนวนผู้ที่ได้รับผลกระทบในตอนนั้น

เมื่อการสืบสวนเสร็จสิ้น Casio จึงสามารถเปิดเผยรายละเอียดทั้งหมดเกี่ยวกับขอบเขตของการละเมิดข้อมูลได้

ในประกาศล่าสุดของบริษัทได้ระบุข้อมูลที่รั่วไหลดังนี้:

ข้อมูลพนักงาน (6,456 คน): ชื่อ, หมายเลขพนักงาน, ที่อยู่อีเมล, หน่วยงานที่สังกัด, เพศ, วันเกิด, ข้อมูลครอบครัว, ที่อยู่, หมายเลขโทรศัพท์, หมายเลขผู้เสียภาษี และข้อมูลบัญชีระบบของสำนักงานใหญ่
ข้อมูลพันธมิตรทางธุรกิจ (1,931 คน): ชื่อ, ที่อยู่อีเมล, หมายเลขโทรศัพท์, ชื่อบริษัท, ที่อยู่บริษัท และข้อมูลบัตรประชาชนในบางกรณี
ข้อมูลลูกค้า (91 คน): ที่อยู่สำหรับจัดส่ง, ชื่อ, หมายเลขโทรศัพท์, วันที่ซื้อสินค้า และชื่อสินค้าที่ต้องการการจัดส่ง และติดตั้ง
ข้อมูลอื่นที่รั่วไหล: เอกสารภายใน เช่น ใบแจ้งหนี้, สัญญา และเอกสารประกอบการประชุม
เมื่อระบุตัวบุคคลที่ได้รับผลกระทบได้แล้ว พวกเขาจะได้รับการแจ้งเตือนส่วนบุคคลเกี่ยวกับเหตุการณ์ดังกล่าวจาก Casio

แม้ว่าพนักงานบางคนจะได้รับอีเมลซึ่งเชื่อว่ามีความเกี่ยวข้องกับเหตุการณ์แรนซัมแวร์ และการเปิดเผยข้อมูลที่มีความสำคัญ แต่บริษัทระบุว่ายังไม่มีความเสียหายใดเกิดขึ้นกับพวกเขา พันธมิตร หรือลูกค้า

Casio ระบุว่าไม่มีข้อมูลลูกค้า หรือข้อมูลบัตรเครดิตใดที่ถูกโจมตีจากแรนซัมแวร์ Underground เนื่องจากฐานข้อมูลที่เก็บข้อมูลลูกค้าไม่ได้รับผลกระทบจากเหตุการณ์นี้

Casio ยังชี้แจงอย่างชัดเจนว่าไม่ได้มีการเจรจากับกลุ่มผู้โจมตี

โดย Casio ระบุว่า "หลังจากปรึกษากับหน่วยงานบังคับใช้กฎหมาย ที่ปรึกษาภายนอก และผู้เชี่ยวชาญด้านความปลอดภัย Casio ไม่ได้ตอบสนองต่อข้อเรียกร้องที่ไม่สมเหตุสมผลใด ๆ จากกลุ่มแรนซัมแวร์ที่ดำเนินการเข้าถึงระบบของบริษัทโดยไม่ได้รับอนุญาต"

ที่มา : bleepingcomputer

หน่วยงานความมั่นคงทางไซเบอร์ และความปลอดภัยของโครงสร้างพื้นฐานของสหรัฐอเมริกา (CISA) ได้เพิ่มช่องโหว่ Oracle WebLogic Server และ Mitel MiCollab ลงในแค็ตตาล็อก Known Exploited Vulnerabilities (KEV)

CVE-2020-2883 (คะแนน CVSS 9.8) เป็นช่องโหว่ใน Oracle WebLogic Server (เวอร์ชัน 10.3.6.0.0, 12.1.3.0.0, 12.2.1.3.0, 12.2.1.4.0) โดยผู้โจมตีที่ไม่ผ่านการยืนยันตัวตนที่สามารถเข้าถึงเครือข่ายผ่าน IIOP หรือ T3 สามารถใช้ประโยชน์จากช่องโหว่นี้เพื่อโจมตี Oracle WebLogic Server ได้

รายงานที่เผยแพร่โดย ZDI ระบุว่า “ช่องโหว่นี้ทำให้ผู้โจมตีสามารถเรียกใช้โค้ดที่เป็นอันตรายจากระยะไกลบน Oracle WebLogic ที่มีช่องโหว่ โดยไม่ต้องผ่านการยืนยันตัวตน โดยช่องโหว่นี้เกิดขึ้นในกระบวนการจัดการ T3 protocol โดยข้อมูลที่ถูกสร้างขึ้นใน T3 protocol message สามารถ trigger การ deserialization ข้อมูลที่ไม่น่าเชื่อถือได้ ทำให้ผู้โจมตีสามารถใช้ช่องโหว่นี้ในการรันโค้ดตามที่ต้องการด้วยสิทธิ์ของ Process ปัจจุบัน”

CVE-2024-41713 (คะแนน CVSS 9.8) เป็นช่องโหว่ Path Traversal ใน Mitel MiCollab (จนถึงเวอร์ชัน 9.8 SP1 FP2) โดยเป็นช่องโหว่ NuPoint Unified Messaging ที่ทำให้เกิดการโจมตีแบบ path traversal ได้โดยไม่ต้องผ่านการยืนยันตัวตน ซึ่งอาจเสี่ยงต่อความถูกต้องของข้อมูล และการกำหนดค่า

“ช่องโหว่ Path Traversal CVE-2024-41713 ใน NuPoint Unified Messaging (NPM) component ของ Mitel MiCollab อาจทำให้ผู้โจมตีที่ไม่ผ่านการยืนยันตัวตนสามารถทำการโจมตีแบบ path traversal ได้ เนื่องจากการตรวจสอบอินพุตที่ไม่เหมาะสม หากสามารถโจมตีช่องโหว่นี้ได้สำเร็จอาจทำให้ผู้โจมตีสามารถเข้าถึงระบบได้ ซึ่งอาจส่งผลต่อความถูกต้องสมบูรณ์ของข้อมูล รวมถึงความพร้อมใช้งานของระบบ ซึ่งช่องโหว่นี้สามารถถูกโจมตีได้โดยไม่ต้องผ่านการยืนยันตัวตน”

ในรายงานระบุเพิ่มเติมว่า “หากช่องโหว่นี้ถูกโจมตีได้สำเร็จ ผู้โจมตีอาจเข้าถึงข้อมูลการตั้งค่าที่ไม่ต้องผ่านการยืนยันตัวตน ซึ่งรวมถึงข้อมูลผู้ใช้ และเครือข่าย และดำเนินการที่เป็นอันตรายบนเซิร์ฟเวอร์ MiCollab ได้ โดยช่องโหว่นี้ถูกจัดระดับความรุนแรงเป็นระดับ Critical”

CVE-2024-55550 (คะแนน CVSS 9.8) เป็นช่องโหว่ Path Traversal ใน Mitel MiCollab (จนถึงเวอร์ชัน 9.8 SP2) ช่องโหว่นี้ทำให้ผู้โจมตีที่ผ่านการยืนยันตัวตน และมีสิทธิ์ระดับผู้ดูแลระบบสามารถอ่านไฟล์ภายในระบบได้ อย่างไรก็ตามการโจมตีโดยใช้ช่องโหว่นี้จำกัดเฉพาะข้อมูลที่ไม่มีความสำคัญเท่านั้น

“ช่องโหว่ Path Traversal, CVE-2024-55550, ใน Mitel MiCollab อาจทำให้ผู้โจมตีที่ผ่านการยืนยันตัวตน และมีสิทธิ์ระดับผู้ดูแลระบบสามารถอ่านไฟล์ในระบบได้ เนื่องจากการตรวจสอบข้อมูลอินพุตที่ไม่เพียงพอ”

ตามคำสั่งปฏิบัติการ (BOD) 22-01: การลดความเสี่ยงของช่องโหว่ที่กำลังถูกใช้ในการโจมตีอยู่ในปัจจุบัน หน่วยงาน FCEB จำเป็นต้องแก้ไขช่องโหว่ที่ระบุภายในระยะเวลาที่กำหนด เพื่อปกป้องเครือข่ายจากการโจมตีโดยใช้ช่องโหว่เหล่านี้

CISA ยังแนะนำให้องค์กรภาคเอกชนตรวจสอบช่องโหว่ที่อยู่ในแคตตาล็อก และแก้ไขช่องโหว่ในระบบของพวกเขาเช่นเดียวกัน

โดย CISA ได้สั่งให้หน่วยงานรัฐบาลกลางแก้ไขช่องโหว่นี้ภายในวันที่ 28 มกราคม 2025

ที่มา : securityaffairs.

นักวิจัยของ Check Point เผยแพร่รายงานการค้นพบมัลแวร์ Banshee Stealer เวอร์ชันใหม่สำหรับ macOS ในช่วง 2 เดือนที่ผ่านมา ที่สามารถหลีกเลี่ยงการตรวจจับได้โดยใช้การเข้ารหัส XProtect ของ Apple

Banshee เป็น information stealer ที่ใช้โจมตีระบบ macOS โดยเปิดตัวในช่วงกลางปี 2024 ในรูปแบบ stealer-as-a-service โดยให้บริการแก่ Hacker ในราคา 3,000 ดอลลาร์ ซึ่งต่อมา source code ของ Banshee ได้ถูกปล่อยออกมาบน XSS forums ในเดือนพฤศจิกายน 2024 ส่งผลให้โปรเจ็กต์ปิดตัวลง และเปิดโอกาสให้กับนักพัฒนามัลแวร์รายอื่นได้นำมาพัฒนาต่อไป

ตามรายงานการวิจัยของ Check Point ซึ่งค้นพบมัลแวร์ใหม่ชนิดหนึ่ง ซึ่งใช้วิธีการเข้ารหัสที่มีอยู่ใน Banshee ทำให้มัลแวร์สามารถผสานเข้ากับการทำงานปกติ และดูเหมือนว่าเป็นการใช้งานปกติ ขณะที่มัลแวร์กำลังรวบรวมข้อมูลที่มีความสำคัญจากโฮสต์ที่ถูกโจมตี รวมถึงการเปลี่ยนแปลงอีกประการหนึ่งคือจะไม่หลีกเลี่ยงการโจมตีระบบที่เป็นของผู้ใช้รัสเซียอีกต่อไป

การเข้ารหัส XProtect

XProtect ของ Apple เป็นเทคโนโลยีตรวจจับมัลแวร์ที่ติดตั้งมาใน macOS โดยใช้ set of rules ที่คล้ายกับ antivirus signatures เพื่อระบุ และบล็อกมัลแวร์ที่เป็นที่รู้จัก

โดย Banshee Stealer เวอร์ชันล่าสุดใช้อัลกอริธึมการเข้ารหัสสตริงที่ XProtect ใช้เพื่อปกป้องข้อมูลของมันเอง

การขโมยข้อมูลที่มีความสำคัญ

เวอร์ชันล่าสุดของ Banshee Stealer ได้ถูกเผยแพร่ผ่าน GitHub repositories ที่กำหนดเป้าหมายการโจมตีไปยังผู้ใช้ macOS ผ่านการแอบอ้างเป็นซอฟต์แวร์อื่น ทั้งนี้กลุ่ม Hacker ดังกล่าวยังได้กำหนดเป้าหมายการโจมตีไปยังผู้ใช้ Windows ด้วย แต่ใช้ Lumma Stealer แทน

Check Point รายงานว่าแม้ Banshee malware-as-a-service จะไม่พบการทำงานมาตั้งแต่เดือนพฤศจิกายน 2024 แต่ยังพบว่า phishing campaign หลายกลุ่มยังคงแพร่กระจายมัลแวร์ต่อไปนับตั้งแต่ที่ source code รั่วไหล

infostealer ได้กำหนดเป้าหมายการโจมตีไปที่ข้อมูลที่จัดเก็บไว้ในเบราว์เซอร์ยอดนิยม (เช่น Chrome, Brave, Edge และ Vivaldi) รวมถึง passwords, two-factor authentication extensions และ cryptocurrency wallet extensions

นอกจากนี้ยังรวบรวมข้อมูลระบบ และเครือข่ายพื้นฐานเกี่ยวกับโฮสต์ และหลอกล่อให้เหยื่อเข้าสู่ระบบเพื่อขโมยรหัสผ่านบน macOS อีกด้วย

ที่มา : bleepingcomputer

ในวันที่ 6 มกราคม 2025 องค์กรการบินพลเรือนระหว่างประเทศ (United Nations' International Civil Aviation Organization - ICAO) ประกาศว่าทางองค์กรกำลังอยู่ระหว่างการดำเนินการสืบสวนข้อเท็จจริงที่มาจากการรายงานการถูกเจาะระบบขององค์กร

ICAO ถูกก่อตั้งเมื่อปี 1944 ในรูปแบบขององค์กรรัฐบาลระหว่างประเทศ โดยที่หน่วยงานแห่งสหประชาชาตินี้ได้ร่วมมือกับอีก 193 ประเทศเพื่อสนับสนุนการพัฒนามาตรฐานเชิงเทคนิคให้เป็นที่ยอมรับร่วมกัน

ICAO ระบุในแถลงการณ์ว่า “ICAO อยู่ระหว่างการสืบสวนรายงานเกี่ยวกับเหตุการณ์ด้านความปลอดภัยของข้อมูล ซึ่งอาจมีความเชื่อมโยงกับผู้ก่อการร้ายที่มีเป้าหมายในการโจมตีองค์กรระหว่างประเทศ” “เรามีความจริงจังกับเรื่องนี้เป็นอย่างมาก และได้ดำเนินการตามมาตรฐานความปลอดภัยเรียบร้อยแล้ว พร้อมทั้งกำลังดำเนินการสืบสวนสอบสวนอย่างละเอียด”

หน่วยงานสหประชาชาติ (UN) ได้ระบุเพิ่มเติมว่า จะให้ข้อมูลเพิ่มเติมหลังจากการสืบสวนขั้นต้นที่เกี่ยวข้องกับการละเมิดความปลอดภัยที่อาจเกิดขึ้นนี้นั้นแล้วเสร็จ

ถึงแม้ว่า ICAO ยังไม่ได้ให้รายละเอียดเฉพาะเจาะจงเกี่ยวกับสาเหตุหลักที่ทำให้เกิดการสืบสวนนี้ แต่ก็มีข่าวซึ่งประกาศหลังจากการแถลงของ ICAO สองวัน โดยกลุ่มแฮ็กเกอร์ชื่อ “natohub” ประกาศว่ามีข้อมูลกว่า 42,000 รายการที่ขโมยมาจาก ICAO ใน BreachForums สำหรับแฮ็กเกอร์

หากเป็นไปตามที่ “natohub” กล่าวอ้างไว้ ข้อมูลที่ถูกโจรกรรมมาได้นั้นจะประกอบไปด้วย ชื่อ, วันเดือนปีเกิด, ที่อยู่, เบอร์โทรศัพท์, อีเมล และข้อมูลการศึกษา และประวัติการทำงาน ซึ่งมีกลุ่มแฮ็กเกอร์อีกรายแจ้งว่าไฟล์ข้อมูลกว่า 2GB นี้มีข้อมูลอีเมลที่แตกต่างกันกว่า 57,240 รายการ

ทาง BleepingComputer ได้มีการติดต่อไปที่ ICAO แต่ทางโฆษกของ ICAO ยังไม่สามารถให้รายละเอียดได้ในตอนนี้

ก่อนหน้าเหตุการณ์ของ ICAO ก็มีอีกหน่วยงานของสหประชาชาติที่ถูกโจรกรรมข้อมูล ซึ่งก็คือหน่วยงานโครงการพัฒนาแห่งสหประชาชาติ (UNDP) โดยมีการสืบสวนเหตุการณ์การโจมตีทางไซเบอร์มาตั้งแต่เดือนเมษายน 2024 หลังจากมีกลุ่มแรนซัมแวร์ชื่อ 8Base อ้างว่าเป็นผู้ก่อเหตุ ทั้งนี้ UNDP ยังไม่ได้มีการอัปเดตเกี่ยวกับการสอบสวนแต่อย่างใด

เดือนมกราคม 2021 หน่วยงานโครงการสิ่งแวดล้อมแห่งสหประชาชาติ (United Nations Environmental Programme - UNEP) ยอมรับว่าถูกละเมิดข้อมูลพนักงานกว่า 100,000 รายการ พร้อมทั้งข้อมูลส่วนบุคคลที่สามารถระบุตัวตนได้ (Personally Identifiable Information - PII) ซึ่งถูกนำไปเผยแพร่ทางออนไลน์อีกด้วย

ระบบเครือข่ายของสหประชาชาติในกรุงเวียนนา (Vienna) และกรุงเจนีวา (Geneva) เคยถูกละเมิดเมื่อเดือนกรกฎาคม 2019 ผ่านการโจมตี Sharepoint โดยทางผู้โจมตีได้รับสิทธิ์ในการเข้าถึงข้อมูลต่าง ๆ ซึ่งประกอบไปด้วย รายชื่อพนักงาน, ประกันสุขภาพ และสัญญาทางการค้า ซึ่งในส่วนนี้ทางสหประชาชาติได้อธิบายอย่างเป็นทางการว่าถือเป็นเหตุการณ์ร้ายแรงขององค์กร

ที่มา: bleepingcomputer