Oracle ออกมาปฏิเสธว่าไม่ได้ถูกโจมตีระบบ หลังจากที่ Hacker อ้างว่าสามารถขโมยข้อมูลจาก SSO login servers ของ Oracle Cloud กว่า 6 ล้านรายการ

Oracle ให้ข้อมูลกับ BleepingComputer ว่า ไม่มีการโจมตีเกิดขึ้นกับ Oracle Cloud ข้อมูลที่ถูกเผยแพร่นั้นไม่ใช่ข้อมูลของ Oracle Cloud รวมถึงลูกค้าของ Oracle Cloud ไม่มีรายใดที่พบการโจมตี หรือสูญเสียข้อมูลใด ๆ

การปฏิเสธนี้ออกมาหลังจากที่ Hacker ในชื่อ rose87168 เปิดเผยข้อมูล text file จำนวนมากในวันที่ 20 มีนาคม 2025 โดยประกอบไปด้วยตัวอย่างข้อมูลในฐานข้อมูล, ข้อมูล LDAP และรายชื่อบริษัทที่ขโมยไปจาก SSO platform ของ Oracle Clouds

รวมถึง Hacker ได้แสดงหลักฐานว่าสามารถเข้าถึง Oracle Cloud servers ได้ โดยแสดง URL ของ Internet Archive ซึ่งระบุว่าได้อัปโหลดไฟล์ .txt ที่มีที่อยู่อีเมล ProtonMail ไปยัง login.

Microsoft แจ้งเตือนกลุ่มแฮ็กเกอร์จากจีนที่ชื่อว่า Silk Typhoon ได้เปลี่ยนกลยุทธ์การโจมตี โดยมุ่งเป้าไปที่เครื่องมือ remote management และ cloud services ผ่านการโจมตีแบบ Supply chain ซึ่งช่วยให้พวกเขาเข้าถึงระบบของลูกค้าได้ (more…)

Microsoft รายงานการพบกลุ่ม Hacker จากเกาหลีเหนือในชื่อ Moonstone Sleet ได้นำเพย์โหลดของ Qilin ransomware ไปใช้ในการโจมตีเป้าหมายอย่างต่อเนื่อง (more…)

พบกลุ่ม Ransomware ที่กำลังมุ่งเป้าหมายการโจมตีไปยัง Hypervisors ของ ESXi โดยใช้ SSH tunneling เพื่อเข้าถึง และแฝงตัวในระบบของเป้าหมายได้โดยไม่ถูกตรวจจับ (more…)

Ivanti แจ้งเตือนการพบ Hacker กำลังมุ่งเป้าการโจมตีโดยใช้ช่องโหว่การเรียกใช้คำสั่งที่เป็นอันตรายจากระยะไกล (RCE) ของ Connect Secure หมายเลข CVE-2025-0282 ซึ่งเป็นช่องโหว่ Zero-Day ที่ถูกใช้เพื่อติดตั้งติดตั้งมัลแวร์บนอุปกรณ์

Ivanti พบช่องโหว่ดังกล่าว หลังจากที่ Ivanti Integrity Checker Tool (ICT) ตรวจพบพฤติกรรมที่เป็นอันตรายบนอุปกรณ์ของลูกค้า Ivanti จึงได้เริ่มการสอบสวน และยืนยันว่าพบ Hacker ใช้ช่องโหว่ CVE-2025-0282 โจมตีเป้าหมายในรูปแบบ Zero-Day

CVE-2025-0282 (คะแนน CVSS 9.0/10 ความรุนแรงระดับ Critical) เป็นช่องโหว่ Stack-Based Buffer Overflow ใน Ivanti Connect Secure ก่อนเวอร์ชัน 22.7R2.5, Ivanti Policy Secure ก่อนเวอร์ชัน 22.7R1.2 และ Ivanti Neurons สำหรับเกตเวย์ ZTA ก่อนเวอร์ชัน 22.7R2.3 ซึ่งทำให้ Hacker ที่ไม่ผ่านการยืนยันตัวตนสามารถเรียกใช้คำสั่งที่เป็นอันตรายจากระยะไกลได้

แม้ว่าช่องโหว่ดังกล่าวจะส่งผลกระทบต่อผลิตภัณฑ์ทั้ง 3 รายการ แต่ Ivanti เปิดเผยว่าพบเห็นการโจมตีในอุปกรณ์ Ivanti Connect Secure เท่านั้น โดย Ivanti ได้ออกอัปเดตเพื่อแก้ไขช่องโหว่ในเฟิร์มแวร์เวอร์ชัน 22.7R2.5 ในส่วนของอัปเดตเพื่อแก้ไขช่องโหว่สำหรับ Ivanti Policy Secure และ Ivanti Neurons สำหรับ ZTA Gateway จะถูกปล่อยในวันที่ 21 มกราคม 2025 ซึ่งจะพร้อมใช้งานใน Standard Download Portal

Ivanti Policy Secure เนื่องจากโซลูชันนี้ไม่ได้ถูกออกแบบให้เชื่อมต่อกับอินเทอร์เน็ต ซึ่งทำให้ความเสี่ยงในการถูกโจมตีช่องโหว่นี้ลดลงอย่างมาก ทั้งนี้ลูกค้าควรตรวจสอบให้แน่ใจเสมอว่าอุปกรณ์ IPS ของตนได้รับการกำหนดค่าตามคำแนะนำของ Ivanti และไม่เปิดให้เข้าถึงได้จากอินเทอร์เน็ต เนื่องจาก Ivanti Policy Secure อาจถูกโจมตีจากช่องโหว่ดังกล่าวได้

Ivanti Neurons for ZTA Gateways ไม่สามารถถูกโจมตีได้ เมื่ออยู่ในการใช้งานบน production แต่หากมีการสร้าง gateway สำหรับโซลูชันนี้ และไม่ได้เชื่อมต่อกับ ZTA controller ก็มีความเสี่ยงที่ gateway ที่ถูกสร้างขึ้นจะถูกโจมตีจากช่องโหว่ได้

Ivanti แนะนำให้ผู้ดูแลระบบ Ivanti Connect Secure ดำเนินการทำ ICT scan ทั้งภายใน และภายนอก หากสแกนพบสัญญาณของการโจมตี Ivanti แนะนำให้ผู้ดูแลระบบทำการ factory reset ก่อนอัปเดตเป็น Ivanti Connect Secure 22.7R2.5 แต่ถึงแม้หากผลการสแกนออกมาไม่พบสัญญาณของการโจมตี Ivanti ก็ยังคงแนะนำให้ผู้ดูแลระบบทำการ factory reset ก่อนอัปเดตเป็น Ivanti Connect Secure 22.7R2.5 เช่นเดียวกัน

ทั้งนี้ Ivanti ยังได้ออกอัปเดตช่องโหว่อีกรายการ คือ CVE-2025-0283 ซึ่งเป็นช่องโหว่ที่ทำให้ Hacker สามารถยกระดับสิทธิ์ได้ ซึ่งช่องโหว่นี้ไม่ได้เกี่ยวข้องกับช่องโหว่ CVE-2025-0282 และปัจจุบันยังไม่พบการโจมตีจากช่องโหว่ดังกล่าว

โดย Ivanti กำลังทำงานร่วมกับ Mandiant และ Microsoft Threat Intelligence Center เพื่อสืบสวนการโจมตี ซึ่งอาจจะมีรายงานที่เกี่ยวกับมัลแวร์ที่ตรวจพบเร็ว ๆ นี้

ในเดือนตุลาคม 2023 Ivanti ได้ออกอัปเดตด้านความปลอดภัยเพื่อแก้ไขการโจมตีช่องโหว่ Zero-Day บน Cloud Services Appliance (CSA) จำนวน 3 รายการที่กำลังถูกใช้ในการโจมตีอย่างต่อเนื่อง

ที่มา : bleepingcomputer

Microsoft ออก Patch Tuesday ประจำเดือนพฤศจิกายน 2024 โดยแก้ไขช่องโหว่ 91 รายการ รวมถึงช่องโหว่ zero-days 4 รายการ ที่พบว่ากำลังถูกนำมาใช้ในการโจมตีอีกด้วย (more…)

Cyble Research and Intelligence Lab (CRIL) ได้เปิดเผยแคมเปญที่ใช้ไฟล์ .LNK ที่น่าสงสัยเป็น attack vector ในการโจมตีเบื้องต้น โดยไฟล์นี้อาจถูกส่งผ่านอีเมล spam และดาวน์โหลดแพ็คเกจ Python ซึ่งจากนั้นจะใช้เพื่อรันสคริปต์ Python ที่ถูก obfuscated ซึ่งถูกดึงมาจากเว็บไซต์ paste.

สำนักงานคณะกรรมการกำกับหลักทรัพย์ และตลาดหลักทรัพย์ของสหรัฐฯ (SEC) ได้ตั้งข้อกล่าวหาโรเบิร์ต บี. เวสต์บรู๊ค ซึ่งเป็นพลเมืองอังกฤษ ในข้อหาแฮ็กระบบคอมพิวเตอร์ของบริษัทมหาชนของสหรัฐฯ 5 แห่ง เพื่อเข้าถึงข้อมูลรายได้ที่เป็นความลับ และดำเนินการซื้อขายข้อมูลภายใน

จากนั้นเวสต์บรู๊คก็ใช้ข้อมูลนี้เพื่อทำการซื้อขายก่อนที่จะมีการประกาศรายได้ 14 รายการ ระหว่างเดือนมกราคม 2019 ถึงสิงหาคม 2020 และได้รับกำไรจากการขาย และกระทำผิดกฎหมายประมาณ 3,750,000 ดอลลาร์

กิจกรรมนี้เรียกว่า insider trading ซึ่งบุคคลที่ไม่ได้รับอนุญาตจะทำการลงทุนโดยอาศัยข้อมูลลับของบริษัทที่ไม่สามารถเปิดเผยต่อภายนอกได้

แฮ็กเกอร์ชาวอังกฤษถูกกล่าวหาว่าเจาะระบบของบริษัทต่าง ๆ โดยการรีเซ็ตรหัสผ่านของผู้บริหารระดับสูงขององค์กรที่เป็นเป้าหมาย จากนั้นแฮ็กเกอร์จึงเข้าถึงเอกสาร หรืออีเมลที่มีรายงานทางการเงิน และผลประกอบการ

การเข้าถึงบัญชีอีเมลจะช่วยให้แฮ็กเกอร์ลบร่องรอยของกิจกรรมนี้ได้อย่างง่าย รวมถึงลบการแจ้งเตือนของการรีเซ็ตรหัสผ่าน หรือการใช้วิธีการส่งต่อข้อความ

นอกจากนี้ เวสต์บรู๊คยังใช้บัญชีอีเมลที่ไม่เปิดเผยตัวตน คือ บริการ VPN และ Bitcoin เพื่อทำการลงทุนที่ผิดกฎหมายโดยปกปิดตัวตน อย่างไรก็ตาม ก.ล.ต. ระบุว่าสามารถติดตามตัวผู้ก่อเหตุได้โดยใช้การวิเคราะห์ข้อมูล

สำนักงาน ก.ล.ต. สหรัฐฯ ระบุว่า แม้ว่าเวสต์บรู๊คจะใช้วิธีการต่าง ๆ มากมายในการปกปิดตัวตน ซึ่งรวมถึงการใช้บัญชีอีเมลที่ไม่เปิดเผยตัวตน คือ บริการ VPN และการใช้บิตคอยน์ แต่ระบบวิเคราะห์ข้อมูลขั้นสูงได้มีการติดตามสินทรัพย์ดิจิทัลอยู่ตลอด และต่อมาเทคโนโลยีของคณะกรรมาธิการก็สามารถเปิดเผยการฉ้อโกงได้ แม้แต่ในกรณีที่เกี่ยวข้องกับการแฮ็กข้อมูลที่ซับซ้อนในระดับนานาชาติก็สามารถติดตามตรวจจับได้

ขณะนี้ เวสต์บรู๊คต้องเผชิญกับข้อกล่าวหาทางแพ่งจากสำนักงานคณะกรรมการกำกับหลักทรัพย์ และตลาดหลักทรัพย์สหรัฐ (SEC) และข้อกล่าวหาทางอาญาจากสำนักงานอัยการสหรัฐประจำเขตนิวเจอร์ซี

ก.ล.ต. ได้ยื่นฟ้อง Westbrook ว่าได้ทำผิดกฎหมายการต่อต้านการฉ้อโกงภายใต้พระราชบัญญัติการแลกเปลี่ยนหลักทรัพย์ พ.ศ. 2477 ในขณะที่ข้อกล่าวหาทางอาญาอาจประกอบไปด้วยการฉ้อโกงทางโทรศัพท์ และการฉ้อโกงในหลักทรัพย์ รวมไปถึงการเข้าถึงระบบคอมพิวเตอร์โดยไม่ได้รับอนุญาต

การกระทำข้างต้นอาจมีโทษจำคุกหลายปี และปรับเงินจำนวนมาก โดยการปรับมักจะมีการปรับเงินมากกว่าเงินที่ได้จากการทำผิดกฎหมาย รวมทั้งมีคำสั่งห้าม Westbrook ซื้อขายหลักทรัพย์ในอนาคตอีกด้วย

ที่มา : bleepingcomputer

วันที่ 21 สิงหาคม 2024 ที่ผ่านมา Google ออกแพตซ์อัปเดตความปลอดภัยฉุกเฉินสำหรับ Chrome เพื่อแก้ไขช่องโหว่ zero-day ที่กำลังถูกใช้ในการโจมตี

โดย Google ระบุว่า "Google ได้รับข้อมูลว่ากำลังมีการโจมตีโดยใช้ประโยชน์จากช่องโหว่ CVE-2024-7971"

(more…)

ผู้โจมตีได้เริ่มทำการโจมตีโดยใช้ช่องโหว่ระดับ Critical ที่ส่งผลกระทบต่อ LiteSpeed ​​Cache ซึ่งเป็นปลั๊กอินของ WordPress ที่ใช้สำหรับการเร่ง response times เพียงหนึ่งวันหลังจากที่รายละเอียดทางเทคนิคถูกเปิดเผย

(more…)