เมื่อวันศุกร์ที่ผ่านมา (2 กันยายน 2565) กลุ่มแฮ็กเกอร์ที่ใช้ชื่อว่า ‘AgainstTheWest’ ได้อ้างว่าทำการขโมยข้อมูลของทั้ง TikTok และ WeChat มาจาก Cloud instance ของ Alibaba โดยมีข้อมูลผู้ใช้งานของทั้ง 2 แพลตฟอร์ม อยู่กว่า 2.05 พันล้านรายการในฐานข้อมูลขนาด 790 GB ประกอบไปด้วย ข้อมูลของผู้ใช้, สถิติการใช้งานของแพลตฟอร์ม, source code ** ของ Software, auth tokens, ข้อมูลของเซิร์ฟเวอร์ และอื่น ๆ อีกมากมาย

แม้ว่าชื่อ ‘AgainstTheWest’ จะดูเหมือนเป็นกลุ่มแฮ็กเกอร์ที่มุ่งเป้าโจมตีไปยังประเทศแถบตะวันตก แต่เป้าหมายจริง ๆ ของทางกลุ่มกลับเป็นประเทศที่เป็นภัยคุกคามต่อประเทศทางฝั่งตะวันตกมากกว่า โดยกลุ่มดังกล่าวจะมุ่งเป้าโจมตีไปที่จีน และรัสเซีย อีกทั้งยังมีแผนที่จะเพิ่มเป้าหมายไปยังเกาหลีเหนือ เบลารุส และอิหร่านในอนาคต

หลังจากนั้น TikTok ได้ออกมาปฏิเสธข่าวการรั่วไหลของ Source Code และข้อมูลผู้ใช้งานที่แฮ็กเกอร์อ้างว่าได้ขโมยไปจากบริษัท ซึ่งทาง TikTok ให้ข้อมูลกับ BleepingComputer ว่าข้อมูลนั้นไม่มีความเกี่ยวข้องกับทางบริษัท และข้อมูล Source Code ที่แชร์อยู่บนแพลตฟอร์มข้อมูลรั่วไหลก็ไม่ได้เป็นส่วนหนึ่งของ TikTok ซึ่ง TikTok ยืนยันว่ามีการป้องกันระบบที่เพียงพอ และมีการป้องกันการใช้สคริปต์สำหรับการเก็บรวบรวมข้อมูลของผู้ใช้งาน

แม้ว่า WeChat และ TikTok เป็นบริษัทจากประเทศจีนเหมือนกัน แต่ก็ไม่ได้อยู่ภายใต้บริษัทแม่บริษัทเดียวกัน โดย WeChat นั้นเป็นของ Tencent ส่วน TikTok เป็นของ ByteDance ดังนั้นหากมีข้อมูลรั่วไหลของทั้งสองบริษัทจากฐานข้อมูลเดียวกัน จึงมีความเป็นไปได้ว่าไม่ใช่การรั่วไหลจากแพลตฟอร์มโดยตรง ซึ่งอาจเป็นไปได้ว่าฐานข้อมูลที่เผยแพร่ออกมานั้นมาจากบุคคลที่ 3 หรือโบรกเกอร์ที่มีการคัดลอกข้อมูลจากทั้งสองแพลตฟอร์มลงไปในฐานข้อมูลเดียวกัน

อีกทั้ง Troy Hunt ผู้สร้าง HaveIBeenPwned และ Bob Diachenko, Database hunter ได้ให้ความเห็นใกล้เคียงกันว่าข้อมูลผู้ใช้งานนั้นเป็นของจริง แต่ไม่พบหลักฐานที่พิสูจน์ได้ว่าได้มาจาก TikTok ซึ่งไม่สามารถสรุปที่มาของข้อมูลให้เป็นรูปธรรมได้

หากมีการวิเคราะห์เพิ่มเติม และพบว่าข้อมูลทั้งหมดนั้นถูกต้อง TikTok จะถูกบังคับให้ดำเนินการลดผลกระทบของการรั่วไหลของข้อมูล ถึงแม้ว่าเหตุการณ์ข้อมูลรั่วไหลจะไม่ได้เกิดจาก TikTok เองก็ตาม

ที่มา : bleepingcomputer

กลุ่มแฮ็กเกอร์ TA558 เพิ่มวิธีการโจมตีรูปแบบใหม่ในปีนี้ โดยการใช้แคมเปญฟิชชิ่งที่กำหนดเป้าหมายเป็นกลุ่มธุรกิจโรงแรม และบริษัทหลายแห่งในด้านการบริการ และการท่องเที่ยว

แฮ็กเกอร์ใช้ remote access trojans (RATs) ในการเข้าถึงระบบเป้าหมาย เพื่อขโมยข้อมูลสำคัญ และขโมยเงินจากเหยื่อ โดยกลุ่ม TA558 ถูกพบพฤติกรรมครั้งแรกตั้งแต่ปี 2018 แต่เมื่อเร็วๆ Proofpoint พบว่ากลุ่มดังกล่าวมีปริมาณการโจมตีที่สูงขึ้น ซึ่งอาจเชื่อมโยงกับการฟื้นตัวของการท่องเที่ยวหลังจาก COVID-19

แคมเปญของกลุ่ม TA558 ล่าสุด
ในปี 2022 กลุ่ม TA558 ได้เปลี่ยนจากการใช้มาโครในไฟล์เอกสารอีเมลฟิชชิ่ง มาเป็นใช้ไฟล์แนบในรูปแบบ RAR และ ISO หรือ URL ที่ฝังอยู่ในข้อความ

แฮ็กเกอร์รายอื่นๆ ก็มีการเปลี่ยนมาใช้รูปแบบดังกล่าวมากขึ้นเช่นเดียวกัน เนื่องจาก Microsoft มีการบล็อก block VBA และ XL4 macros ใน Office เป็นค่าเริ่มต้น

อีเมลฟิชชิ่งที่ถูกใช้ในการโจมตีจะมีข้อความเป็นภาษาอังกฤษ, สเปน และ โปรตุเกส โดยจะกำหนดเป้าหมายไปยังบริษัทในอเมริกาเหนือ, ยุโรปตะวันตก และละตินอเมริกา

หัวข้ออีเมลจะเกี่ยวกับการจองโรงแรม และบริการกับบริษัทท่องเที่ยว โดยอ้างว่ามาจากผู้จัดประชุม, ตัวแทนสำนักงานท่องเที่ยว และอื่นๆ ที่ผู้รับอาจให้ความสนใจ เมื่อเหยื่อคลิก URL ในเนื้อหาข้อความซึ่งระบุว่าเป็นลิงก์การจอง มันจะทำการดาวน์โหลดไฟล์ ISO มาจากเซิร์ฟเวอร์ภายนอก

ภายในไฟล์ ISO จะมีไฟล์แบตช์ที่จะเรียกใช้สคริปต์ PowerShell เพื่อโหลด RAT ลงมาติดตั้งบนคอมพิวเตอร์ของเหยื่อ และสร้าง scheduled task เพื่อให้มีนสามารถแฝงตัวอยู่บนระบบได้อย่างต่อเนื่อง

หลังจากติดตั้ง RAT แล้ว กลุ่ม TA558 จะเจาะเข้าไปในเครือข่ายของเหยื่อเพื่อขโมยข้อมูลลูกค้า, ข้อมูลบัตรเครดิต และเปลี่ยนแปลงเว็บไซต์ที่เกี่ยวข้องกับการชำระเงิน

ในเดือนกรกฎาคม พ.ศ. 2565 The Marino Boutique Hotel ในเมืองลิสบอน ประเทศโปรตุเกส ถูกแฮ็กบัญชี Booking.

เทคนิคการโจมตีด้วยฟิชชิ่งรูปแบบใหม่มีการใช้แอปพลิเคชัน Microsoft Edge WebView2 เพื่อขโมยคุกกี้ของเหยื่อ ทำให้ผู้โจมตีสามารถ Bypass multi-factor authentication ได้ เมื่อลงชื่อเข้าใช้บัญชีที่ถูกขโมยมา

จากเหตุการณ์การรั่วไหลของข้อมูลจากการโจมตีด้วย Remote access trojan และแคมเปญฟิชชิ่งต่างๆ จึงทำให้มีข้อมูล login credential ที่ถูกขโมยมาเป็นจำนวนมาก (more…)

นักวิจัยมัลแวร์ได้สังเกตเห็นเครื่องมือใหม่ที่ช่วยให้ผู้โจมตีสร้างไฟล์ .LNK ที่เป็นอันตรายเพื่อส่งเพย์โหลดสำหรับเริ่มการโจมตี

LNKs คือไฟล์ shortcut ของ Windows ที่อาจมีโค้ดอันตรายเพื่อใช้เครื่องมือในระบบอย่างไม่ถูกต้อง เช่น ไบนารีที่เรียกว่า living-off-the-land (LOLBins) เช่น PowerShell หรือ MSHTA ที่ใช้ในการรันไฟล์ Microsoft HTML Application (HTA) ด้วยเหตุนี้ LNK จึงถูกใช้สำหรับการแพร่กระจายมัลแวร์ โดยเฉพาะอย่างยิ่งในแคมเปญฟิชชิ่งโดยกลุ่มมัลแวร์บางกลุ่มที่กำลังใช้ Emotet, Bumblebee, Qbot และ IcedID (more…)

กลุ่มผู้โจมตีในเครือข่ายของ LockBit ransomware กำลังใช้วิธีใหม่เพื่อให้เหยื่อติด ransomware ในอุปกรณ์ของพวกเขาโดยการปลอมอีเมลล์แจ้งเตือนการละเมิดลิขสิทธิ์

ผู้รับอีเมลเหล่านี้จะถูกเตือนว่าละเมิดลิขสิทธิ์ และถูกกล่าวหาว่าใช้ไฟล์สื่อโดยไม่ได้รับอนุญาตจากผู้สร้าง อีเมลเหล่านี้จะแจ้งให้ลบเนื้อหาละเมิดลิขสิทธิ์จากเว็บไซต์ของพวกเขาไม่เช่นนั้นพวกเขาจะถูกดำเนินคดีทางกฎหมาย โดยนักวิเคราะห์จาก AhnLab ของเกาหลีใต้ ไม่ได้ระบุถึงชื่อไฟล์ หรือรายละเอียดของข้อความที่ผู้โจมตีบอกว่าเป็นการละเมิดลิขสิทธิ์ แต่แจ้งเตือนให้ผู้ที่ได้รับอีเมลอย่าดาวน์โหลด และเปิดไฟล์ที่แนบมาเพื่อดูเนื้อหาที่ถูกแจ้งว่าละเมิดลิขสิทธิ์ (more…)

นักวิเคราะห์ด้านความปลอดภัยจาก 2 องค์กร พบเหตุการณ์ที่แฮกเกอร์มุ่งเป้าโจมตีไปยังแฮกเกอร์ด้วยกันผ่าน Clipboard stealers ปลอม ซึ่งจริงๆ แล้วเป็น RATs (Remote Access Trojan) และมัลแวร์ที่ถูกสร้างขึ้น

Clipboard stealers โดยทั่วไปแล้วจะใช้ในการ monitor clipboard content ของเหยื่อ เพื่อระบุ cryptocurrency wallet addresses และแทนที่ด้วยของผู้โจมตีแทน วิธีการนี้ทำให้แฮกเกอร์สามารถเข้าถึงธุรกรรมทางการเงิน และโอนเงินไปยังบัญชีของตนได้ทันที โดยตัว stealers จะมุ่งเน้นไปที่ cryptocurrencies ที่ได้รับความนิยม เช่น Bitcoin, Ethereum และ Monero (more…)

เมื่อวันพุธที่ผ่านมา ( 9 มิถุนายน 2564 ) พบฐานข้อมูลบนคลาวด์เป็นข้อมูลที่ถูกขโมยมากว่า 1.2 TB ประกอบไปด้วยข้อมูล cookie และ credentials ที่มาจากคอมพิวเตอร์ที่ใช้ระบบปฏิบัติการ Windows จำนวน 3.2 ล้านเครื่อง จากมัลแวร์ที่ไม่เคยพบมาก่อน ที่เรียกว่า “nameless”

ในบล็อกของ NordLocker บริษัทซอฟต์แวร์เข้ารหัสไฟล์ที่รวมกับที่เก็บข้อมูลบนคลาวด์ที่เข้ารหัสแบบ end-to-end ได้กล่าวไว้ว่า ไวรัสสามารถหลบซ่อนการตรวจจับพร้อมกับข้อมูลที่ขโมยกว่า 6 ล้านไฟล์ ที่ขโมยมาจากเครื่องเดสก์ท็อป และยังสามารถถ่ายภาพผู้ใช้งานได้หากอุปกรณ์นั้นมีเว็บแคม โดยมัลแวร์จะแพร่กระจายผ่านซอฟต์แวร์ Adobe PhotoShop ที่ละเมิดลิขสิทธิ์ เครื่องมือ Crack Windows และเกมส์ละเมิดลิขสิทธิ์ต่าง ๆ ซึ่งกลุ่มแฮ็กเกอร์ได้ทำการเปิดเผยข้อมูลดังกล่าวโดยไม่ได้ตั้งใจและผู้ให้บริการคลาวด์ได้รับแจ้งว่าให้ทำการ take down โฮสต์ดังกล่าวไป ซึ่งข้อมูลที่ถูกขโมยนั้นอยู่ระหว่าง ปี 2018 ถึง 2020 โดยมี cookie กว่า 2 พันล้านรายการ

Sean Nikkel นักวิเคราะห์ภัยคุกคามทางไซเบอร์อาวุโสของ Digital Shadows ได้กล่าวว่า เรายังคงต้องประสบกับปัญหาทางข้อมูลถูกโจมตีหรือรั่วไหล ตราบใดที่ผู้คนไม่ได้ใช้แนวทางปฏิบัติด้านความปลอดภัยที่ดีทั้งหมด ซึ่งหากบริษัทจัดเก็บข้อมูลไว้บนระบบคลาวด์ จะมีตัวเลือกมากมายสำหรับการรักษาความปลอดภัยบนคลาวด์ และควรจัดหมวดหมู่ของข้อมูลว่าข้อมูลนั้นจำเป็นหรือเป็นข้อมูลที่ไม่ควรเปิดเผย และควรจัดเก็บข้อมูลให้เป็นไปตามการปฏิบัติตามข้อกำหนดด้านความปลอดภัย และตรวจสอบอย่างสม่ำเสมอเพื่อไม่ให้เกิดช่องโหว่ต่าง ๆ และอย่างน้อยที่สุด ให้ทำการเข้ารหัสที่ปลอดภัยให้กับข้อมูล และตรวจสอบ หรือทดสอบระบบเป็นระยะ ๆ

Law Floyd ผู้อำนวยการฝ่ายบริการคลาวด์ของ Telos กล่าวเสริมว่า ผู้เชี่ยวชาญด้านความปลอดภัยควรใช้การควบคุมการเข้าถึงที่เข้มงวดกับฐานข้อมูล และตรวจสอบให้แน่ใจว่า port ที่เปิดให้เข้าถึงฐานข้อมูลนั้นเป็น port ที่จำเป็นเท่านั้น และควรสร้าง policy ที่เหมาะสม รวมทั้งตรวจสอบให้แน่ใจว่าบุคลากรได้รับการศึกษาเกี่ยวกับ policy เหล่านี้อย่างเหมาะสม

ที่มา : scmagazine

เมื่อวันที่ 16 กุมภาพันธ์ 2021 ที่ผ่านมาทาง Walmart ได้รับแจ้งจากซัพพลายเออร์รายหนึ่งว่าโฮสต์ที่ให้บริการข้อมูลถูกบุกรุกในวันที่ 20 มกราคม 2021 จากบุคคลที่ไม่ได้รับอนุญาตให้เข้าถึงข้อมูลบุคคลดังกล่าวยังได้ทำการขโมยข้อมูลบางส่วน รวมถึงข้อมูลเกี่ยวกับผู้ป่วยของร้านขายยาออกไปด้วย

เหตุการณ์นี้ Walmart ได้ระบุว่าระบบข้อมูลหลักของ Walmart ไม่ได้รับผลกระทบจากเหตุการณ์นี้ แต่ทาง Walmart ได้เริ่มตรวจสอบเหตุการณ์ทันทีเพื่อตรวจสอบว่าข้อมูลส่วนบุคคลใด ๆ บ้างจากผู้ใช้บริการโดยซัพพลายเออร์ที่ได้รับผลกระทบ

จากการตรวจสอบของ Walmart พบในเบื้องต้นว่าข้อมูลที่ได้คาดว่าได้รับผลกระทบคือ ชื่อผู้ป่วย, ที่อยู่, วัน/เดือน/ปีเกิด, หมายเลขโทรศัพท์, ข้อมูลเกี่ยวกับยา เช่น ชื่อยาและความแรงของยา, หมายเลขใบสั่งยาข้อมูลผู้ใช้ยา, ข้อมูลการวางขาย, หมายเลขประจำตัวสมาชิก โดยหมายเลขประกันสุขภาพก็ได้รับผลกระทบเช่นกัน

ทั้งนี้ Walmart กำลังสอบสวนข้อมูลเพิ่มเติมและได้ให้ซัพพลายเออร์ดังกล่าวหยุดการให้บริการแล้ว โดย Walmart กำลังส่งการแจ้งเตือนเป็นรายบุคคลไปยังผู้ป่วยที่ได้รับผลกระทบเกี่ยวกับเหตุการณ์นี้ อย่างไรก็ตามผู้ที่ได้รับการแจ้งเตือนเกี่ยวกับข้อมูลที่ถูกรั่วไหลควรระมัดระวังเกี่ยวกับการคำขอให้ข้อมูลส่วนบุคคลหรือข้อมูลทางการเงินทางโทรศัพท์หรือทางข้อความและทางอีเมล ซึ่งควรตรวจสอบแหล่งที่มาของคำขอสำหรับข้อมูลดังกล่าวเสมอ

ที่มา: databreaches

Malaysia Airlines ประกาศการตรวจพบการละเมิดข้อมูลซึ่งส่งผลกระทบต่อโครงการ Enrich ซึ่งเป็นโครงการสิทธิพิเศษของสายการบินเมื่อช่วงต้นเดือนที่ผ่านมา โดยการละเมิดข้อมูลในครั้งนี้นั้นกระทบกับข้อมูลของผู้โดยสารที่อยู่ในโครงการ Enrich ย้อนหลังกว่า 9 ปี

อ้างอิงจากสายการบิน จุดเริ่มต้นของการละเมิดข้อมูลนั้นเกิดจากการโจมตีระบบของบริษัท IT ที่ให้บริการแก่สายการบินซึ่งได้มีการแจ้งเตือนว่าข้อมูลของผู้โดยสารระหว่างเดือนมีนาคม 2019 จนถึงเดือนมิถุนายน 2019 นั้นได้รับผลกระทบ สถานการณ์ด้านความปลอดภัยที่เกิดขึ้นไม่กระทบต่อระบบของทางสายการบินแต่อย่างใด

ในส่วนของข้อมูลที่ได้รับผลกระทบนั้น ข้อมูลที่ได้รับผลกระทบนั้น ได้แก่ ชื่อผู้โดยสาร, ข้อมูลในการติดต่อ, วันเกิดและสถานะในโครงการสิทธิพิเศษดังกล่าว การละเมิดข้อมูลในครั้งนี้ไม่ปรากฎว่าข้อมูลเกี่ยวกับการเดินทางได้รับผลกระทบไปด้วย โดยในขณะนี้ทางสายการบินได้มีการประสานงานกับผู้ได้รับผลกระทบไปแล้วหลังจากที่ทางสายการบินบังคับเปลี่ยนรหัสผ่านแล้ว

ที่มา: bleepingcomputer

กระทรวงยุติธรรมสหรัฐ (Department of Justice - DoJ) ได้แจ้งข้อหาแฮกเกอร์ชาวเกาหลีเหนือ 3 คนที่ถูกกล่าวหาว่าสมคบคิดกัน ขโมยและรีดไถเงินสดและเงินสกุลดิจิตอลกว่า 1.3 พันล้านดอลลาร์จากสถาบันการเงินและกลุ่มธุรกิจอื่น ๆ

จำเลยเป็นแฮกเกอร์ชาวเกาหลีเหนือที่ได้รับการสนับสนุนจากรัฐและเป็นสมาชิกของหน่วยลาดตระเวน (Reconnaissance General Bureau - RGB) หรือที่รู้จักกันในโลกไซเบอร์คือกลุ่ม Lazarus group, Hidden Cobra หรือ Advanced Persistent Threat 38 (APT 38) ซึ่งเป็นหน่วยข่าวกรองทางทหารของเกาหลีเหนือที่มีส่วนร่วมในปฏิบัติการอาชญากรรมทางไซเบอร์

จำเลยทั้งสามคือ Jon Chang Hyok (31 ปี), Kim Il (27 ปี); และ Park Jin Hyok (36 ปี) ถูกกล่าวหาว่าได้ทำการเข้าร่วมในการสมคบคิดทางอาชญากรรมทางไซเบอร์ เพื่อดำเนินการโจมตีทางไซเบอร์ในวงกว้างและเพื่อขโมยและรีดไถเงินสกุลเงินดิจิทัลมากกว่า 1.3 พันล้านดอลลาร์จากสถาบันการเงินและบริษัทต่าง ๆ ซึ่งสำนวนฟ้องดังกล่าวได้ขยายไปถึงข้อหาที่ฟ้องในปี 2018 ที่มีต่อ Park Jin Hyok ซึ่งเป็นหนึ่งในแฮกเกอร์ที่ถูกตั้งข้อหาเกี่ยวข้องกับการโจมตีทางอินเทอร์เน็ตในปี 2014 ที่ได้ทำการโจมตีบริษัท Sony Pictures Entertainment

ทั้งนี้ผู้ที่สนใจรายละเอียดสำนวนการฟ้องของกระทรวงยุติธรรมสหรัฐที่มีต่อเเฮกเกอร์ทั้งสามสามารถอ่านต่อได้ที่: justice

ที่มา: zdnet, bleepingcomputer, thehackernews