แฮ็กเกอร์กำลังใช้เทคนิคใหม่ โดยการใช้ตัวอักษรฟอนต์ขนาดศูนย์ในอีเมล เพื่อทำให้อีเมลที่เป็นอันตรายดูเหมือนถูกสแกนอย่างปลอดภัยโดยเครื่องมือรักษาความปลอดภัยใน Microsoft Outlook

แม้ว่าเทคนิคการฟิชชิงแบบ ZeroFont จะเคยถูกใช้มาแล้วในอดีต แต่นี่เป็นครั้งแรกที่มีการบันทึกว่าถูกใช้ในรูปแบบนี้

ในรายงานใหม่ของนักวิเคราะห์จาก ISC Sans ชื่อ Jan Kopriva นักวิจัยเตือนว่าเทคนิคนี้อาจมีผลต่อประสิทธิภาพในการดำเนินการการโจมตีฟิชชิงอย่างมาก และผู้ใช้ควรรับรู้ถึงวิธีการดังกล่าว และการใช้งานในการโจมตีจริง

การโจมตีแบบ ZeroFont

วิธีการโจมตี ZeroFont ซึ่งจัดทำเอกสารโดย Avanan ในปี 2018 เป็นเทคนิคการฟิชชิงที่ใช้ประโยชน์จากช่องโหว่ที่ใช้ AI และnatural language processing (NLP) ในแพลตฟอร์มความปลอดภัยของอีเมล

วิธีการโจมตีนี้เกี่ยวข้องกับการแทรกคำ หรืออักขระที่ซ่อนอยู่ในอีเมลโดยการตั้งค่าขนาดฟอนต์เป็นศูนย์ ซึ่งทำให้เป้าหมายไม่สามารถมองเห็นข้อความนั้นได้ แต่ยังคงอ่านได้ด้วย NLP algorithms

การโจมตีนี้มุ่งเน้นการหลีกเลี่ยงอุปกรณ์ตรวจสอบด้านความปลอดภัยโดยการแทรกคำ หรือข้อความที่ไม่เป็นอันตราย แต่เป็นคำศัพท์ที่มองไม่เห็นลงในเนื้อหาที่เป็นข้อความที่มองเห็นได้ ซึ่งส่งผลให้ AI ตีความเนื้อหา และตรวจสอบความปลอดภัยผิดพลาด

ในรายงานปี 2018 Avanan เตือนว่า ZeroFont สามารถหลีกเลี่ยง Advanced Threat Protection (ATP) ของ Microsoft Office 365 ได้ แม้ว่าอีเมลจะมีคำที่เป็นอันตรายก็ตาม

การซ่อนการสแกนไวรัสปลอม

ในอีเมลฟิชชิ่งตัวใหม่ที่ Kopriva พบ ผู้โจมตีใช้การโจมตีแบบ ZeroFont เพื่อปรับแต่งการแสดงตัวอย่างข้อความบนโปรแกรมอีเมลที่ใช้กันอย่างแพร่หลาย เช่น Microsoft Outlook

อีเมลที่ระบุถึงนั้น แสดงข้อความที่เป็นอันตรายปรากฏขึ้นเป็นข้อความปกติในอีเมลของ Outlook แต่มีเนื้อหาที่แตกต่างกันเมื่อดูตัวอย่างอีเมล

หน้าต่างรายการอีเมลจะแสดงข้อความ 'Scanned and secured by Isc®Advanced Threat protection (APT): 9/22/2023T6:42 AM' ในขณะที่ส่วนเริ่มต้นของอีเมลในมุมมองการดูตัวอย่าง/อ่าน แสดงข้อความว่า 'Job Offer | Employment Opportunity.

ปัจจุบันมีจำนวนเว็บไซต์ WordPress มากถึง 200,000 เว็บไซต์ที่มีความเสี่ยงต่อการโจมตีโดยใช้ช่องโหว่ด้านความปลอดภัยระดับ Critical ที่ยังไม่ได้รับการแก้ไขในปลั๊กอิน Ultimate Member

ช่องโหว่นี้มีหมายเลข CVE-2023-3460 (คะแนน CVSS: 9.8) มีผลกระทบต่อเวอร์ชันทั้งหมดของปลั๊กอิน Ultimate Member รวมถึงเวอร์ชันล่าสุด (เวอร์ชัน 2.6.6) ที่ปล่อยออกมาเมื่อวันที่ 29 มิถุนายน 2023

Ultimate Member เป็นปลั๊กอินที่ได้รับความนิยมสำหรับการสร้างโปรไฟล์ผู้ใช้งาน และชุมชนบนเว็บไซต์ WordPress โดยยังมีฟีเจอร์การจัดการบัญชีให้ใช้งานอีกด้วย

WPScan บริษัทความปลอดภัยของ WordPress ได้แจ้งเตือนว่า "ช่องโหว่ดังกล่าวมีความอันตรายมาก เนื่องจากผู้โจมตีที่ไม่ผ่านการตรวจสอบสิทธิ์อาจใช้ช่องโหว่นี้เพื่อสร้างบัญชีผู้ใช้ใหม่ที่มีสิทธิ์ของผู้ดูแลระบบ ซึ่งจะทำให้พวกเขามีสิทธิ์ในการควบคุมเว็บไซต์ที่ได้รับผลกระทบ"

แม้ว่าจะยังไม่มีรายละเอียดเกี่ยวกับช่องโหว่ แต่ช่องโหว่นี้เกิดจาก blocklist logic ที่ไม่เหมาะสม ซึ่งถูกนำเข้ามาเพื่อเปลี่ยนค่าของ wp_capabilities ในข้อมูลของผู้ใช้งานใหม่ให้เป็นผู้ดูแลระบบ และทำให้ผู้โจมตีได้รับสิทธิ์การเข้าถึงเต็มรูปแบบของเว็บไซต์

นักวิจัยจาก Wordfence ชื่อ Chloe Chamberland ระบุว่า "แม้ว่าปลั๊กอินจะมีรายการคีย์ที่ถูกห้ามตามที่กำหนดไว้ล่วงหน้า ซึ่งผู้ใช้งานไม่ควรสามารถอัปเดตได้ แต่ก็มีวิธีเล็ก ๆ น้อย ๆ ในการเลี่ยงผ่านการตรวจสอบ เช่นการใช้ตัวอักษรต่าง ๆ, slashes และการเข้ารหัสตัวอักษรในค่า meta key ที่มีช่องโหว่ในเวอร์ชันของปลั๊กอิน"

ช่องโหว่นี้ถูกเปิดเผยขึ้นภายหลังจากที่มีรายงานเกี่ยวกับการเพิ่มบัญชีผู้ดูแลระบบที่ไม่ถูกต้องไปยังเว็บไซต์ที่ได้รับผลกระทบ ส่งผลให้ผู้ดูแลปลั๊กอินต้องออกเวอร์ชันแก้ไขบางส่วนในเวอร์ชัน 2.6.4, 2.6.5, และ 2.6.6 โดยการอัปเดตใหม่คาดว่าจะถูกปล่อยในเร็ว ๆ นี้

Ultimate Member ระบุในบันทึกการอัปเดตว่า "ช่องโหว่ในการยกระดับสิทธิพิเศษที่ใช้ผ่าน UM Forms ทำให้ผู้โจมตีสามารถสร้างผู้ใช้งาน WordPress ระดับผู้ดูแลระบบได้"

WPScan ระบุว่าการแก้ไขช่องโหว่ยังไม่สมบูรณ์ และพบวิธีการหลีกเลี่ยงการตรวจสอบที่สามารถใช้ได้ ซึ่งหมายความว่าช่องโหว่ยังคงสามารถถูกนำมาใช้ประโยชน์ในการโจมตีได้อย่างต่อเนื่อง

ในการโจมตีที่ตรวจพบ ช่องโหว่ถูกนำมาใช้ในการลงทะเบียนบัญชีใหม่ในชื่อ apadmins, se_brutal, segs_brutal, wpadmins, wpengine_backup, และ wpenginer เพื่ออัปโหลดปลั๊กอินที่เป็น malware และ themes ผ่านทาง administration panel ของเว็บไซต์

ผู้ใช้งาน Ultimate Member ควรปิดการใช้งานปลั๊กอินจนกว่าจะมีการแก้ไขที่เหมาะสม ในการปิดช่องโหว่ด้านความปลอดภัยได้อย่างสมบูรณ์ นอกจากนี้ยังแนะนำให้ตรวจสอบผู้ใช้งานระดับผู้ดูแลระบบทั้งหมดบนเว็บไซต์เพื่อตรวจสอบว่ามีบัญชีที่ไม่ได้รับอนุญาตถูกเพิ่มเข้ามาหรือไม่

Ultimate Member เวอร์ชัน 2.6.7 ถูกปล่อยออกมาแล้ว

Ultimate Member ได้ปล่อยแพตซ์อัปเดตเวอร์ชัน 2.6.7 ของปลั๊กอิน เมื่อวันที่ 1 กรกฎาคม 2023 เพื่อแก้ไขช่องโหว่การเพิ่มสิทธิ์ที่กำลังถูกนำมาใช้ในการโจมตีอย่างต่อเนื่อง ในมาตรการความปลอดภัยเพิ่มเติม ผู้พัฒนายังวางแผนที่จะเพิ่มคุณสมบัติใหม่ในปลั๊กอินเพื่อให้ผู้ดูแลเว็บไซต์สามารถรีเซ็ตรหัสผ่านสำหรับผู้ใช้งานทั้งหมดได้

ผู้พัฒนาระบุว่า "ในเวอร์ชัน 2.6.7 ได้ทำการเพิ่มรายการที่อนุญาตให้ใช้งานเฉพาะ (whitelisting) สำหรับ meta keys ที่เก็บไว้ขณะที่ sending forms" และยังแยกข้อมูลการตั้งค่าแบบฟอร์ม, ข้อมูลที่ส่งเข้ามาแยกกัน และดำเนินการด้วยตัวแปรสองตัวที่แตกต่างกัน

ที่มา: https://thehackernews.

พบ ESXiArgs Ransomware ตัวใหม่ ปรากฏขึ้นหลังจากสำนักงานความมั่นคงปลอดภัยทางไซเบอร์ และโครงสร้างพื้นฐานของสหรัฐ CISA เปิดตัวเครื่องมือถอดรหัสเพื่อกู้คืนข้อมูล สำหรับเหยื่อที่ได้รับผลกระทบจากการโจมตีของ ESXiArgs Ransomware

โดยรายงานจากผู้ดูแลระบบในฟอรัมออนไลน์ พบว่าไฟล์ที่มีขนาดใหญ่กว่า 128MB จะมีการเข้ารหัสข้อมูลแบบ 50% ทำให้กระบวนการกู้คืนมีความลำบากยิ่งขึ้น รวมถึงการลบที่อยู่ Bitcoin ออกจากบันทึกเรียกค่าไถ่ เพื่อให้เหยื่อติดต่อพวกเขาบน Tox แทน เพื่อรับข้อมูลสำหรับการชำระค่าไถ่ เนื่องจากกลุ่ม Hacker รู้ว่าตนเองกำลังถูกติดตามอยู่ รวมถึงวิธีการโจมตีที่ใช้นั้นสามารถป้องกันได้อย่างง่ายดาย จึงได้มีการปรับปรุงรูปแบบการโจมตี (more…)

นักวิจัยของ Unit 42 หน่วยงานวิจัยด้านความปลอดภัยของ Palo Alto Networks ได้ออกเผยแพร่รายงานการพบช่องโหว่บน jsonwebtoken (JWT) ที่มีหมายเลข CVE-2022-23529 ซึ่งส่งผลให้ Hackers ที่สามารถโจมตีได้สำเร็จสามารถสั่งรันโค้ดที่เป็นอันตรายจากระยะไกลได้

CVE-2022-23529 (คะแนน CVSS: 7.6 ระดับความรุนแรงสูง) เป็นช่องโหว่ของ JSON web token (JWT) ที่สามารถสั่งรันโค้ดที่เป็นอันตรายจากระยะไกล (Remote Code Execution RCE) บนเซิร์ฟเวอร์เป้าหมายได้

jsonwebtoken ถูกพัฒนาและดูแลโดย Auth0 ของ Okta โดยเป็นโมดูล JavaScript ที่ช่วยให้ผู้ใช้สามารถถอดรหัส ตรวจสอบ และสร้างโทเค็นเว็ป JSON เพื่อเป็นวิธีการส่งข้อมูลอย่างปลอดภัยระหว่างสองฝ่าย เพื่อการตรวจสอบสิทธิ์การใช้งาน และการตรวจสอบความถูกต้อง โดยมีการดาวน์โหลดไปแล้วมากกว่า 10 ล้านครั้งต่อสัปดาห์ใน npm software และมีการใช้งานมากกว่า 22,000 โครงการ

การโจมตี

Hackers จะทำการโจมตีบนเซิร์ฟเวอร์เป้าหมายผ่านทาง jsonwebtoken ที่มีช่องโหว่ เพื่อสั่งรันโค้ดที่เป็นอันตรายจากระยะไกล รวมไปถึงการเขียนข้อมูลทับ หรือเข้ารหัสไฟล์บนเครื่องที่ถูกโจมตีผ่านทาง secret management process โดยใช้ secretOrPublicKey value ที่มีช่องโหว่

jsonwebtoken เวอร์ชันที่ได้รับผลกระทบ

jsonwebtoken ตั้งแต่เวอร์ชัน 8.5.1 ลงไป

วิธีการป้องกัน

ดำเนินการอัปเดตเป็น jsonwebtoken เวอร์ชัน 9.0.0 เพื่อป้องกันความเสี่ยงจากการถูกโจมตี

ที่มา : thehackernews

Kaspersky บริษัทด้านความปลอดภัยจากรัสเซียได้เปิดเผยการค้นพบเทคนิคใหม่ในการโจมตีของกลุ่ม BlueNoroff ที่ใช้ในการ bypass การตรวจจับจาก Windows MotW (Mark of the Web) ซึ่งรวมถึงการใช้ไฟล์ .ISO และ .VHD ในการโจมตีเหยื่อ

การโจมตี

โดยกลุ่ม BlueNoroff จะโจมตีเป้าหมายด้วยการส่งไฟล์ .ISO ที่แนบมากับ Phishing Email ซึ่งภายในมีไฟล์ Microsoft PowerPoint (.PPSX) ที่ถูกฝัง Visual Basic Script (VBScript) เอาไว้ที่จะทำงานเมื่อเป้าหมายเปิดไฟล์ PowerPoint

อีกวิธีการหนึ่งคือการใช้ Windows batch file โดยการใช้ประโยชน์จากเทคนิค living-off-the-land binary (LOLBin) เพื่อทำการดาวน์โหลดเพย์โหลดสำหรับการโจมตีขั้นต่อไป

นอกจากนี้ Kaspersky ยังพบไฟล์ .VHD ซึ่งภายในมีไฟล์ PDF ใบสมัครงานปลอม เมื่อเป้าหมายเปิดไฟล์ PDF จะทำการดาวน์โหลดมัลแวร์ที่ปลอมเป็นโปรแกรม Anti-Virus เพื่อทำการปิดระบบ User-Mode Hooks/ NTDLL.dll hooking ของ Anti-Virus หรือ EDR (Endpoint Detection and Response ) ที่ติดตั้งอยู่บนเครื่อง ทำให้ไม่สามารถตรวจจับการโจมตีได้

กลุ่ม BlueNoroff

BlueNoroff ** ซึ่งมีชื่อเรียกอีกอย่างว่า APT38 เป็นส่วนหนึ่งของกลุ่ม Lazarus threat group ซึ่งเป็นกลุ่ม Hackers ขนาดใหญ่ที่ได้รับการสนับสนุนจากรัฐบาลเกาหลีเหนือ (Nation-State Threat Actor) มีเป้าหมายในการโจมตีคือ การเรียกค่าไถ่จากเหยื่อ โดยได้แทรกซึม และเกี่ยวข้องกับเหตุการณ์โจมตีในหลายภูมิภาคทั้งอเมริกาเหนือและใต้ ยุโรป แอฟริกา และเอเชีย

กลุ่ม BlueNoroff ได้เริ่มต้นโจมตีเป้าหมายในอุตสาหกรรมการเงิน ไม่ว่าจะเป็นเหตุการณ์โจมตีเครือข่ายธนาคาร SWIFT ในปี 2015 และการโจมตีธนาคารในบังคลาเทศ ซึ่งมีมูลค่าความเสียหายถึง 81 ล้านดอลลาร์ ต่อมากลุ่ม BlueNoroff ได้เปลี่ยนเป้ามายการโจมตีมายังอุตสาหกรรม Cryptocurrency ในปี 2018

โดยทาง Kaspersky ได้ค้นพบแคมเปญการโจมตีที่ชื่อ SnatchCrypto เพื่อขโมยเงินจาก cryptocurrency wallets ของเหยื่อ รวมถึงการการสร้างแอป Cryptocurrency ปลอม เพื่อให้เหยื่อดาวน์โหลดแอปพลิเคชั่นซึ่งได้ฝังแบ็คดอร์ในชื่อ “AppleJeus” ที่สามารถขโมย Cryptocurrency ของเหยื่อได้

ในปี 2022 นี้ พบว่ากลุ่ม BlueNoroff ได้สร้างโดเมนปลอมจำนวนมากโดยแอบอ้างเป็นบริษัทร่วมทุน และธนาคารของญี่ปุ่นที่ถูกต้องตามกฎหมาย แสดงให้เห็นว่าบริษัทการเงินในประเทศญี่ปุ่น กำลังตกเป็นเป้าหมายในการโจมตีของกลุ่ม BlueNoroff

จากรายงานของ National Intelligence Service (NIS) ของเกาหลีใต้ กลุ่ม BlueNoroff หรือ APT38 ซึ่งเป็นกลุ่ม Hacker ที่ได้รับการสนับสนุนจากรัฐบาลเกาหลีเหนือ ได้สร้างความเสียหาย และขโมยเงินดิจิทัล และสินทรัพย์ดิจิทัลอื่น ๆ มูลค่ากว่า 1.2 พันล้านดอลลาร์จากเป้าหมายทั่วโลกในช่วงห้าปีที่ผ่านมา

ที่มา : thehackernews

แฮ็กเกอร์ใช้วิธีการซ่อนมัลแวร์ใน Windows Event Logs

นักวิจัยด้านความปลอดภัยได้ตรวจพบแคมเปญการโจมตีซึ่งใช้ Windows event logs เพื่อจัดเก็บมัลแวร์ ซึ่งเป็นเทคนิคที่ไม่เคยถูกใช้ในการโจมตีมาก่อน โดยวิธีการนี้ทำให้ผู้โจมตีสามารถวาง fileless มัลแวร์ บน file system ได้ ซึ่งวิธีการนี้จะประกอบไปด้วยเทคนิค และโมดูลที่ออกแบบมาเพื่อหลบเลี่ยงการตรวจจับเป็นจำนวนมาก

การเพิ่ม Payload ไปยัง Windows event logs

นักวิจัยจาก Kaspersky ได้รวบรวมตัวอย่างมัลแวร์ที่สามารถตรวจจับได้ และถูกระบุว่าเป็นภัยคุกคามบนคอมพิวเตอร์ของผู้ใช้งาน จากการตรวจสอบพบว่ามัลแวร์เป็นส่วนหนึ่งของแคมเปญ “very targeted” และมีการใช้ชุดเครื่องมือจำนวนมากที่เป็นทั้งแบบ Custom และที่มีจำหน่ายในเชิงพาณิชย์

โดยส่วนที่น่าสนใจของการโจมตีคือการ injecting shellcode payloads เข้าไปใน Windows event logs สำหรับ Key Management Services (KMS) ซึ่งเป็นการดำเนินการโดย custom malware dropper

Denis Legezo หัวหน้านักวิจัยด้านความปลอดภัยของ Kaspersky กล่าวว่าวิธีนี้ถูกใช้เป็นครั้งแรกในแคมเปญการโจมตีจากมัลแวร์

โดยตัว Dropper จะคัดลอกไฟล์จัดการ OS error ที่ชื่อไฟล์ว่า WerFault.

StormShield บริษัทด้าน Cybersecurity สัญชาติฝรั่งเศสประกาศการตรวจพบการโจมตีและการรั่วไหลข้อมูลซึ่งส่งผลให้ซอร์สโค้ดของผลิตภัณฑ์ด้านความปลอดภัยของบริษัทได้รับผลกระทบจากการโจมตี

บริษัท StormShield เป็นผู้ผลิตโซลูชันด้านความปลอดภัย Unified Threat Management (UTM), อุปกรณ์ไฟร์วอลล์, โซลูชัน Endpoint protection และระบบจัดการไฟล์ที่เน้นด้านความปลอดภัย ลูกค้าส่วนใหญ่ของ StormShield นั้นอยู่ในกลุ่มหน่วยงานราชการของฝรั่งเศส, กองทัพรวมไปถึงลูกค้าแบบ SMB

ในรายละเอียดเกี่ยวกับเหตุการณ์นั้น StormShield ตรวจพบการบุกรุกผ่านทาง Technical portal ซึ่งใช้สำหรับการซัพพอร์ตกับลูกค้า ซึ่งส่งผลให้ส่วนแรกให้ข้อมูลสำหรับยืนยันตัวตนใน Technical portal นั้นได้รับผลกระทบ ต่อมา StormShield ตรวจพบการเข้าถึงซอร์สโค้ดของ Stormshield Network Security (SNS) ซึ่งคาดว่าเป็นการเข้าถึงจากการใช้ข้อมูลยืนยันตัวตนที่ได้มา ในเบื้องต้นไม่พบว่ามีการแก้ไขซอร์สโค้ดโดยผู้โจมตี

ในเบื้องต้น ทาง StormShield ได้มีการจัดการบัญชีใน Technical portal ที่ได้รับผลกระทบแล้ว รวมไปถึงที่มีการเปลี่ยนใบรับรองที่ใช้รับรองผลิตภัณฑ์ของ StormShield ใหม่ ผลลัพธ์ของการโจมตีอาจทำให้ผู้โจมตีซึ่งเข้าถึงซอร์สโค้ดของอุปกรณ์ได้นั้นสามารถใช้ซอร์สโค้ดเพื่อศึกษาการมีอยู่ของช่องโหว่ และนำไปใช้ในการโจมตีต่อไปได้

ที่มา:

bleepingcomputer.

บัญชี GitHub ของบริษัท Canonical Ltd. ผู้ผลิต Ubuntu Linux ถูกแฮก

บัญชี GitHub ของบริษัท Canonical Ltd. ผู้ผลิต Ubuntu Linux ถูกแฮกเมื่อวันเสาร์ที่ 6 กรกฎาคม
ทีมรักษาความปลอดภัยของ Ubuntu กล่าวในแถลงการณ์ว่า “เมื่อ 6 กรกฏาคม 2019 มีบัญชี GitHub ที่ใช้ดูแล Canonical ถูกบุกรุกและถูกใช้ไปสร้าง Repository ใหม่ๆ แต่ในตอนนี้ Canonical ได้ทำการลบบัญชีนั้นออกไปแล้ว และยังคงตรวจสอบเรื่อยๆ แต่ยังไม่พบซอร์สโค้ดหรือข้อมูลส่วนบุคคล (PII) ใด ๆ ที่ได้รับผลกระทบ นอกจากนี้โครงสร้างพื้นฐาน Launchpad ที่สร้างและแจกจ่าย Ubuntu นั้นถูกตัดการเชื่อมต่อจาก GitHub และไม่มีข้อบ่งชี้ว่าได้รับผลกระทบ ทีม Ubuntu มีแผนที่จะอัพเดทเมื่อเสร็จสิ้นการตรวจสอบเหตุการณ์ และหลังจากดำเนินการตรวจสอบแก้ไขปัญหาที่จำเป็น โดยก่อนนี้คนร้ายได้ใช้บัญชีที่ได้มาไปสร้าง 11 Repository ใหม่

สองวันก่อนเกิดเหตุการณ์ บริษัท Bad Packets ตรวจพบการการสแกนหาไฟล์คอนฟิคของ Git ผ่านอินเทอร์เน็ตเพื่อหาไฟล์อาจมีการเก็บ Credentials เช่น ไฟล์ที่ใช้ในการจัดการรหัสใน GitHub.

กลุ่มแฮกเกอร์ชื่อว่า "Sea Turtle" ที่เชื่อว่าได้รับการสนับสนุนจากรัฐบาล โจมตีเพื่อทำการควบคุม DNS ในหลายประเทศ (DNS Hijacking) และใช้เป็นเครื่องมือในการเปลี่ยนเส้นทาง เพื่อหลอกลวงเหยื่อไปยังเว็บไซต์ปลอมและขโมยข้อมูลสำคัญ

เมื่อสัปดาห์ที่ผ่านมามีรายงานจาก Cisco Talos ระบุว่าพบมีหน่วยงานและองค์กรทั้งจากภาครัฐและเอกชนประมาณ 40 แห่งใน 13 ประเทศของตะวันออกกลางและอเมริกาเหนือตกเป็นเหยื่อการโจมตีที่ยาวนานมาตั้งแต่เมื่อประมาณสองปีที่แล้ว โดยผู้โจมตีจะทำการควบคุม DNS Server ของเหยื่อ เพื่อกำหนดเส้นทางการรับส่งข้อมูลไปยังเว็บไซต์ที่ถูกสร้างขึ้นให้เหมือนเว็บไซต์จริงที่ถูกต้อง เพื่อขโมยข้อมูลสำคัญ อย่างเช่นชื่อผู้ใช้งาน และรหัสผ่านสำหรับเข้าสู่ระบบ เพื่อนำไปใช้ขโมยข้อมูลสำคัญในองค์กรต่อไป อย่างเช่น SSL Certificate เป็นต้น

ทั้งนี้เชื่อว่าวิธีการที่กลุ่มแฮกเกอร์ใช้ในการโจมตีครั้งนี้มีทั้งการหลอกให้พนักงานที่อยู่ในบริษัทที่รับจดทะเบียนโดเมนติดตั้งมัลแวร์ผ่านอีเมลหลอกลวงที่ส่งมา (Spear Phishing) และอาศัยช่องโหว่ในระบบเพื่อเข้าถึงระบบ โดยหนึ่งในช่องโหว่ที่เชื่อว่าถูกนำมาใช้คือ ช่องโหว่ที่อนุญาตให้สามารถรันคำสั่งอันตราย (RCE) ผ่าน Telnet ใน Cluster Management Protocol ของ Cisco IOS และ IOS XE Router (CVE-2017-3881)

Cisco Talos ได้แนะนำให้องค์กรที่มีการใช้งาน DNS Record เลือกที่จะใช้งาน Registry Lock Service เพื่อแจ้งให้ทราบเมื่อพบว่ามีความพยายามเปลี่ยนแปลง DNS Record หรือเลือกใช้งาน multi-factor authentication เช่น DUO เพื่อเข้าถึง DNS Record ขององค์กร นอกเหนือจากนี้ไม่ควรมองข้ามการแพทช์เครื่อง server ให้อัพเดทอย่างสม่ำเสมอ

สามารถอ่านข้อมูล IOCs ได้จากรายงานฉบับเต็ม:blog.

หลังจากเกิดเหตุการณ์แฮกเว็บไซต์หลายแห่งในประเทศฟิลิปปินส์เมื่อปีที่แล้ว ล่าสุดลามไปถึงประเทศจีนแล้ว เมื่อมีการแฮกเว็บไซต์กว่า 200 เว็บในจีน เพื่อขู่ยึดดินแดน
ตามรายงานข่าวกลุ่มชาวฟิลิปปินส์ที่ก่อเหตุแฮกเว็บไซต์ในจีนเมื่อสัปดาห์ที่ผ่านมา มีชื่อเรียกกันว่า "Anonymous Philippines" หรือรู้จักกันในนาม "Pinoys" หลังจากเคยก่อเหตุมาแล้วกับเว็บไซต์ในฟิลิปปินส์เมื่อปีที่แล้ว สาเหตุมาจากความไม่พอใจต่อกรณีพิพาทเหนือเกาะในทะเลจีนใต้ที่มีชื่อว่า "Huangyan" ที่ฟิลิปปินส์และจีนมีปัญหากันมาตั้งแต่ปี 2012
อย่างไรก็ตามรายงานข่าวกล่าวว่า นี่ไม่ใช่ครั้งแรกที่แฮกเกอร์กลุ่มนี้แฮกเว็บไซต์ในจีน หลังจากเมื่อปี 2012 มีการแฮกเว็บไซต์ในจีน เพื่อเป็นการตอบโต้ที่แฮกเกอร์ชาวจีนเคยแฮกเว็บไซต์ของมหาวิทยาลัยในฟิลิปปินส์

ที่มา : The Washington Post