แพลตฟอร์มให้บริการฟิชชิ่ง (PhaaS) ที่ชื่อว่า ‘Lucid’ ได้กำหนดเป้าหมายการโจมตีไปที่หน่วยงาน 169 แห่งใน 88 ประเทศ โดยใช้ข้อความที่ออกแบบมาอย่างแนบเนียนผ่าน iMessage (iOS) และ RCS (Android)

Lucid ซึ่งดำเนินการโดยกลุ่มอาชญากรไซเบอร์ชาวจีนที่รู้จักกันในชื่อ ‘XinXin’ มาตั้งแต่กลางปี 2023 ถูกขายให้กับแฮ็กเกอร์รายอื่นในรูปแบบการสมัครสมาชิก ซึ่งจะได้รับสิทธิ์เข้าถึงโดเมนฟิชชิ่งมากกว่า 1,000 รายการ เว็บไซต์ฟิชชิ่งที่สร้างขึ้นแบบ auto-generated และเครื่องมือส่งสแปมระดับมืออาชีพ

นักวิจัยจาก Prodaft ระบุว่า กลุ่ม XinXin ยังใช้แพลตฟอร์ม Darcula v3 สำหรับการดำเนินงาน ซึ่งอาจแสดงให้เห็นถึงความเชื่อมโยงระหว่างแพลตฟอร์ม PhaaS ทั้งสอง

การสมัครสมาชิก Lucid ดำเนินการผ่านช่องทาง Telegram เฉพาะ (มีสมาชิกประมาณ 2,000 คน) โดยลูกค้าจะได้รับสิทธิ์การใช้งานแบบรายสัปดาห์ผ่าน licenses การอนุญาต

ปฏิบัติการฟิชชิ่งครั้งใหญ่

กลุ่มผู้โจมตีอ้างว่าสามารถส่งข้อความหลอกลวงได้มากถึง 100,000 ข้อความต่อวัน ผ่านบริการ Rich Communication Services (RCS) หรือ Apple iMessage ซึ่งมีการเข้ารหัสแบบ end-to-end ทำให้สามารถหลบเลี่ยงการตรวจจับของระบบกรองสแปมได้

Prodaft อธิบายว่า “แพลตฟอร์มนี้ใช้กลไกการส่งข้อความแบบอัตโนมัติ โดยนำเว็บไซต์ฟิชชิ่งที่ปรับแต่งได้มาเผยแพร่ผ่านข้อความ SMS เป็นหลัก”

“เพื่อเพิ่มประสิทธิภาพในการโจมตี Lucid ใช้เทคโนโลยีของ Apple iMessage และ RCS บน Android ในการเลี่ยงระบบกรองสแปมของ SMS แบบดั้งเดิม ส่งผลให้อัตราการส่งถึงเป้าหมาย และความสำเร็จของการโจมตีเพิ่มขึ้นอย่างมาก”

นอกจากการหลบเลี่ยงระบบรักษาความปลอดภัยแล้ว การใช้ข้อความเหล่านี้ยังช่วยให้การดำเนินการมีต้นทุนต่ำ เนื่องจากการส่ง SMS ในปริมาณที่เทียบเท่ากันนั้นมีค่าใช้จ่ายสูง

ผู้ดำเนินการของ Lucid ใช้ฟาร์มอุปกรณ์ iOS และ Android ขนาดใหญ่ในการส่งข้อความ โดยสำหรับ iMessage แพลตฟอร์มนี้ใช้ Apple ID แบบชั่วคราว และในกรณีของ RCS กลุ่มผู้โจมตีอาศัยช่องโหว่ในการใช้งานของผู้ให้บริการในการตรวจสอบผู้ส่ง

ในวิดีโอที่ Prodaft เผยแพร่ แสดงให้เห็นกลุ่มผู้โจมตีกำลังทำแคมเปญฟิชชิ่งจากรถที่กำลังเคลื่อนที่ ซึ่งอาจเป็นวิธีเพิ่มความปลอดภัยในการปฏิบัติการ และยังแสดงให้เห็นว่าแพลตฟอร์มนี้ใช้งานได้ง่ายเพียงใด

Prodaft ให้ข้อมูลกับ BleepingComputer เพิ่มเติมว่า “วัตถุประสงค์หลักของการแสดงข้อความฟิชชิ่งจากอุปกรณ์ของเหยื่อระหว่างที่ขับรถ ก็เพื่อแสดงให้เห็นว่าบุคคลทั่วไปสามารถมีส่วนร่วมในปฏิบัติการแบบนี้ได้ง่ายเพียงใด”

“แฮ็กเกอร์บางรายอาจสนใจแคมเปญสแปมที่มีความเสี่ยงต่ำ และผลตอบแทนต่ำ ซึ่งไม่ต้องใช้ทักษะด้านเทคนิค หรือโครงสร้างพื้นฐานมากนัก โดยมักจะพึ่งพาเครื่องมือ virtualization หรืออุปกรณ์จริงที่ดัดแปลงมาใช้เพื่อส่งข้อความในปริมาณมากโดยอัตโนมัติ”

ข้อความฟิชชิ่งบนมือถือมักปลอมตัวเป็นการแจ้งเตือนเกี่ยวกับการจัดส่งพัสดุ, การเสียภาษี, ค่าผ่านทางที่ค้างชำระ โดยจะมีการใส่โลโก้ หรือแบรนด์ที่ออกแบบเฉพาะ ใช้ภาษาที่เหมาะสมกับกลุ่มเป้าหมาย และมีการคัดกรองเหยื่อโดยอิงตามตำแหน่งทางภูมิศาสตร์

เมื่อเหยื่อคลิกลิงก์ฟิชชิ่ง พวกเขาจะถูกเปลี่ยนเส้นทางไปยังหน้าเว็บไซต์ปลอมที่แอบอ้างเป็นหน่วยงานเก็บค่าผ่านทาง และที่จอดรถของรัฐบาล หรือองค์กรเอกชน เช่น USPS, DHL, Royal Mail, FedEx, Revolut, Amazon, American Express, HSBC, E-ZPass, SunPass, Transport for London และอื่น ๆ

หน้าเว็บไซต์ฟิชชิ่งถูกออกแบบมาเพื่อขโมยข้อมูลส่วนตัว และข้อมูลทางการเงิน รวมถึง ชื่อนามสกุล, อีเมล, ที่อยู่ และรายละเอียดบัตรเครดิต

แพลตฟอร์ม Lucid มีฟีเจอร์ตรวจสอบบัตรเครดิตในตัว ซึ่งช่วยให้ผู้โจมตีสามารถทดสอบความถูกต้องของบัตรที่ขโมยมาได้ หากบัตรยังใช้งานได้ จะถูกนำไปขายต่อให้กับอาชญากรไซเบอร์รายอื่น หรือใช้ในการฉ้อโกงโดยตรง

แพลตฟอร์มอย่าง Lucid ทำให้การเข้าร่วมในการดำเนินการทางอาชญากรรมไซเบอร์เป็นเรื่องง่ายขึ้น และยังมอบคุณภาพในระดับหนึ่งให้กับการโจมตีแบบฟิชชิ่ง ซึ่งเพิ่มโอกาสความสำเร็จของผู้โจมตีอย่างมาก

เมื่อรวมกับโครงสร้างพื้นฐานที่มีความแข็งแกร่ง และยืดหยุ่นสูง กลุ่มผู้โจมตีสามารถใช้ประโยชน์เพื่อดำเนินการแคมเปญฟิชชิ่งในระดับใหญ่ และเป็นระบบได้อย่างมีประสิทธิภาพ

หากได้รับข้อความบนอุปกรณ์ที่เร่งให้คลิกลิงก์ หรือให้ตอบกลับ อย่าโต้ตอบหรือคลิกใด ๆ ควรเข้าสู่ระบบของบริการนั้นโดยตรงผ่านช่องทางอย่างเป็นทางการ และตรวจสอบการแจ้งเตือน หรือใบเรียกเก็บเงินด้วยตนเองแทน

ที่มา : bleepingcomputer

Apple ออกอัปเดตด้านความปลอดภัยเพื่อแก้ไขช่องโหว่ Zero-Day รายการแรกของปี 2025 ซึ่งถูกระบุว่ากำลังถูกใช้ในการโจมตีอย่างต่อเนื่องโดยกำหนดเป้าหมายไปที่ผู้ใช้ iPhone (more…)

 

Apple ได้แก้ไขช่องโหว่สองรายการที่อาจส่งผลกระทบกับเจ้าของ iPhone และ iPad ที่ให้ความสำคัญกับความเป็นส่วนตัว

ช่องโหว่แรก เป็นปัญหาที่เกี่ยวข้องกับฟีเจอร์การเข้าถึง VoiceOver ของ Apple ซึ่งอาจทำให้ iPhone หรือ iPad ออกเสียงรหัสผ่านที่สำคัญได้ ส่วนข้อผิดพลาดอีกรายการส่งผลกระทบกับข้อความเสียงใน iPhone รุ่นใหม่ ซึ่งอาจทำให้บันทึกเสียงผู้ใช้งานในช่วงเวลาสั้น ๆ ก่อนที่พวกเขาจะรู้ว่ากำลังถูกบันทึกเสียงอยู่

ระบบปฏิบัติการเวอร์ชันใหม่พร้อมใช้งานสำหรับทั้ง iOS และ iPadOS (18.0.1) ซึ่งได้แก้ไขช่องโหว่ด้วยการปรับปรุงการตรวจสอบ และการยืนยันตามลำดับ ผู้ใช้ควรอัปเดตอุปกรณ์ของตนเพื่อหลีกเลี่ยงความเสี่ยงที่อาจเกิดขึ้น

ตามที่ Michael Covington รองประธานฝ่าย portfolio strategy ของ Jamf ระบุว่า "ข่าวดีคือช่องโหว่ทั้งสองรายการนั้น ไม่เกี่ยวข้องกับการโจมตี แต่เป็นช่องโหว่ที่เกิดขึ้นจากการใช้งานอุปกรณ์ และความเป็นส่วนตัวของผู้ใช้"

อย่างไรก็ตาม สำหรับธุรกิจที่ใช้มือถือในการทำงาน ขอแนะนำให้ให้ความสำคัญกับช่องโหว่ทั้งสองรายการนี้ และดำเนินการที่เหมาะสมเพื่ออัปเดตอุปกรณ์ให้เร็วที่สุดเท่าที่จะเป็นไปได้

ช่องโหว่ #1: การอ่านออกเสียงรหัสผ่าน

ช่องโหว่แรกเกี่ยวข้องกับ VoiceOver ซึ่งเป็นฟีเจอร์การเข้าถึงที่ให้คำบรรยายเสียงแก่ผู้ใช้ที่มีความบกพร่องทางการมองเห็นเกี่ยวกับองค์ประกอบต่าง ๆ บนหน้าจอ เช่น ข้อความ, ปุ่ม, รูปภาพ และอื่น ๆ นอกจากนี้ VoiceOver ยังอนุญาตให้ผู้ใช้สามารถนำทางอุปกรณ์ของตนด้วยคำสั่งเสียง และท่าทางต่าง ๆ ได้อีกด้วย

อย่างไรก็ตาม อาจไม่ใช่ทุกอย่างในอุปกรณ์ที่จะต้องอ่านออกเสียง เช่น รหัสผ่าน เมื่อเดือนที่แล้ว ในส่วนของ iOS และ iPadOS 18 แอปพลิเคชันใหม่ชื่อ 'Passwords' ได้ถูกเปิดตัวโดย Apple ซึ่งช่วยให้ผู้ใช้งานสามารถเก็บ และจัดการข้อมูลการเข้าสู่ระบบได้อย่างง่ายดาย โดย CVE-2024-44204 เป็นช่องโหว่ด้าน logic ที่อาจทำให้ VoiceOver อ่านรหัสผ่านของผู้ใช้งานออกมาได้

VoiceOver ปิดใช้งานโดยค่าเริ่มต้น ซึ่งหมายความว่าผู้ใช้ iPhone เพียงบางกลุ่มเท่านั้นที่อาจได้รับผลกระทบ

Covington ระบุไว้ว่า "เหตุการณ์นี้ไม่ใช่ครั้งแรกที่พบการใช้ accessibility ฟีเจอร์ในทางที่ผิด ตัวอย่างก่อนหน้านี้รวมถึงเทคโนโลยีอ่านหน้าจอที่ถูกใช้โดยแอปพลิเคชันที่ทำงานผิดปกติเพื่อดึงข้อมูลรายละเอียดบนหน้าจอ และขโมยข้อมูลจากอุปกรณ์ โชคดีที่ accessibility ฟีเจอร์ส่วนใหญ่ต้องผ่านการทดสอบด้านความปลอดภัย และความเป็นส่วนตัวอย่างเข้มงวด ดังนั้นเหตุการณ์เหล่านี้จึงไม่ค่อยเกิดขึ้นบ่อยนัก"

ช่องโหว่ #2: เริ่มต้นบันทึกเสียงก่อนเวลา

หากผู้ใช้ iPhone อยู่ระหว่างเดินทาง มีอะไรจะพูดมากมาย หรืออาจจะไม่อยากพิมพ์ พวกเขาอาจเลือกที่จะบันทึกข้อความเสียงใน iMessage แทนการพิมพ์ข้อความธรรมดา หลังจากที่พวกเขากดเครื่องหมายบวกที่ด้านซ้ายของกล่องข้อความ และเลือก "เสียง" อุปกรณ์จะแจ้งว่าเริ่มบันทึกโดยมีคลื่นเสียงสีแดงที่แสดงแทนกล่องข้อความ และมีจุดสีส้มเล็ก ๆ ที่ด้านบนของหน้าจอ

นักวิจัยด้านความปลอดภัยเพิ่งค้นพบว่าข้อความเสียงอาจบันทึกเสียงได้ไม่กี่วินาทีก่อนที่ผู้ใช้จะรู้ว่ามีการเปิดไมโครโฟนอยู่ โดยช่องโหว่ CVE-2024-44207 ส่งผลกระทบกับ iPhone 16 รุ่นใหม่ทั้งหมด

แม้ว่าจะดูเหมือนเป็นปัญหาที่เล็กน้อย แต่ Covington แสดงให้เห็นว่า "การขาดการเชื่อมต่อระหว่างฟังก์ชั่นของอุปกรณ์ และ visual indicators ที่เกี่ยวข้องนี้ เป็นสิ่งที่ทีมวิจัยภัยคุกคามของ Jamf ได้เชื่อมโยงกับเทคนิคการแฝงตัวที่ใช้โดยผู้ไม่หวังดีเพื่อรักษาการมีอยู่บนอุปกรณ์หลังจากการโจมตีสำเร็จ การแก้ไขช่องโหว่นี้ก่อนที่มันจะถูกนำไปใช้ในทางที่ผิดถือเป็นความสำเร็จครั้งใหญ่ของ Apple"

ทั้งนี้ช่องโหว่ VoiceOver และช่องโหว่การส่งข้อความเสียงยังไม่ได้รับการจัดอันดับในระบบการให้คะแนนช่องโหว่ทั่วไป (CVSS) ในขณะนี้ และยังไม่มีรายละเอียดเพิ่มเติมที่เผยแพร่ออกมาในเวลานี้

ที่มา : https://www.

ตั้งแต่เดือนพฤษภาคม 2024 นักวิเคราะห์ของ Group-IB ได้ตรวจพบแอปพลิเคชันมือถือปลอมจำนวนมากที่ปลอมเป็นแพลตฟอร์มการซื้อขายในหลายภูมิภาค แอปพลิเคชันทั้งหมดนี้ได้รับการพัฒนาสำหรับแพลตฟอร์ม Android โดยใช้เฟรมเวิร์กการพัฒนาข้ามแพลตฟอร์มเดียวกัน หนึ่งในแอปพลิเคชันที่พบถูกปล่อยให้ดาวน์โหลดได้ผ่าน Google Play store อย่างเป็นทางการ ขณะที่แอปพลิเคชันที่คล้ายกันซึ่งมุ่งเป้าไปที่อุปกรณ์ iOS ก็ถูกพบในเวลาต่อมา โดยแตกต่างจากโทรจันบนมือถือทั่วไป เช่น GoldPickaxe ซึ่งนักวิเคราะห์ของ Group-IB พบครั้งแรกในเดือนกุมภาพันธ์ 2024 แอปพลิเคชันที่น่าสงสัยเหล่านี้โดยทั่วไปไม่พบคุณสมบัติที่เป็นอันตราย โดยผู้ไม่หวังดีได้สร้างส่วนหน้าของแพลตฟอร์มการซื้อขายที่ถูกลิขสิทธิ์เพื่อหลอกลวงเหยื่อ

แม้ว่าเทคนิคการหลอกลวงประเภทนี้ ซึ่งตอนนี้รู้จักกันในชื่อ "pig butchering" จะไม่ใช่เรื่องใหม่ แต่กลยุทธ์ และเทคนิคที่ใช้โดยผู้ไม่หวังดียังคงมีการพัฒนาอย่างต่อเนื่อง

Pig Butchering เป็นคำที่ใช้เพื่ออธิบายการหลอกลวงที่ซับซ้อน ซึ่งผู้ไม่หวังดีจะหลอกเหยื่อให้เข้ามามีส่วนร่วมในแผนการลงทุนปลอม โดยส่วนใหญ่จะเกี่ยวกับสกุลเงินดิจิทัล หรือเครื่องมือทางการเงินอื่น ๆ ชื่อของการหลอกลวงนี้อ้างอิงถึงการเลี้ยงสุกรให้เติบโตขึ้นก่อนการขาย ซึ่งเป็นสัญลักษณ์ของการที่ผู้ไม่หวังดีสร้างความไว้วางใจ และดึงดูดการลงทุนจากเหยื่อก่อนที่จะลงมือทำการหลอกลวง

การหลอกลวงเหล่านี้ส่วนใหญ่เริ่มต้นด้วยเทคนิค social engineering เช่น การพบปะในแอปหาคู่, แพลตฟอร์มโซเชียลมีเดีย หรือผ่านทางโทรศัพท์ ผู้ไม่หวังดีส่วนใหญ่จะใช้เวลาหลายสัปดาห์จนไปถึงหลายเดือนในการสร้างความไว้วางใจจากเหยื่อ โดยจะแกล้งทำเป็นที่ปรึกษาด้านการซื้อขาย หรือการลงทุน เมื่อเหยื่อลงทุนเงินจำนวนมากเพียงพอแล้ว ผู้ไม่หวังดีก็จะขโมยเงินออกไป โดยไม่หลงเหลือร่องรอยอะไรไว้เลย

การหลอกลวงส่วนใหญ่จะจบลงด้วยการที่เหยื่อสูญเสียเงินการลงทุนเริ่มต้น และในบางกรณีก็ถูกกดดันให้จ่ายค่าธรรมเนียม หรือภาษีเพิ่มเติม ซึ่งเป็นเพียงการพยายามในการเรียกเอาเงินของเหยื่อเพิ่มเติม วิธีการนี้ได้รับการอธิบายอย่างชัดเจนจากเหยื่อในฟอรัมเฉพาะทางต่าง ๆ

ในขณะที่วิธีการของ Pig Butchering จะได้รับการบันทึกไว้อย่างกว้างขวาง การวิจัยล่าสุดของ Group-IB ได้ตรวจพบเหยื่อในภูมิภาคเอเชียแปซิฟิก, ยุโรป และตะวันออกกลาง รวมถึงแอฟริกา ซึ่งขอบเขตที่แท้จริงอาจกว้างกว่านี้มาก ในการวิจัยนี้เราจะมุ่งเน้นไปที่แคมเปญ Pig Butchering ที่มุ่งเป้าไปที่ผู้ใช้ Apple iOS

Infection chain

ในระหว่างการตรวจสอบ นักวิจัยไม่สามารถระบุวิธีการที่แน่ชัดที่ผู้ไม่หวังดีใช้ในการมุ่งเป้าไปยังบุคคลที่อาจเป็นเหยื่อได้ อย่างไรก็ตาม มีแนวโน้มว่าพวกเขาใช้เทคนิค social engineering ตามที่ได้แจ้งไว้ก่อนหน้านี้

เราได้ค้นพบสองวิธีในการหลอกลวง ในเบื้องต้นผู้ไม่หวังดีจะใช้วิธีการอัปโหลดแอปพลิเคชัน iOS ปลอมไปยัง Apple Store อย่างเป็นทางการได้สำเร็จ ทำให้สามารถใช้ประโยชน์จากความไว้วางใจที่ผู้ใช้มีต่อระบบของ Apple ความไว้วางใจนี้ทำให้เหยื่อไม่ระมัดระวังตัว ทำให้เสี่ยงต่อการถูกหลอกมากยิ่งขึ้น

แอปพลิเคชันปลอมยังคงอยู่ใน Apple App Store เป็นเวลาหลายสัปดาห์ก่อนที่จะถูกลบออก โดยหลังจากถูกลบออก ผู้ไม่หวังดีได้เปลี่ยนไปเผยแพร่แอปพลิเคชันผ่านเว็บไซต์ฟิชชิงแทน โดยสามารถดาวน์โหลดได้ทั้ง Android และ iOS สำหรับผู้ใช้ iOS การกดปุ่มดาวน์โหลดจะทำให้ไฟล์ .plist ถูกดาวน์โหลด ซึ่งจะแจ้งเตือนขอให้ iOS อนุญาตติดตั้งแอปพลิเคชัน อย่างไรก็ตาม หลังจากดาวน์โหลดเสร็จสิ้น แอปพลิเคชันจะไม่สามารถเปิดใช้งานได้ทันที โดยเหยื่อจะได้รับคำแนะนำจากผู้ไม่หวังดีให้ Trust developer profile ของบริษัท เมื่อขั้นตอนนี้เสร็จสิ้น แอปพลิเคชันปลอมจะสามารถทำงานได้ปกติ

คำอธิบายของแอปพลิเคชันอ้างว่าออกแบบมาเพื่อสูตรคณิตศาสตร์พีชคณิต และการคำนวณปริมาตรกราฟิก 3 มิติ อย่างไรก็ตามเมื่อเหยื่อเปิดแอปพลิเคชันขึ้นมา จะพบกับหน้าล็อกอินเพื่อที่จะลงทะเบียนในแอปพลิเคชันที่เหยื่อต้องกรอกรหัสเชิญ วิธีการนี้แสดงให้เห็นว่าผู้ไม่หวังดีไม่ได้ดำเนินการเป็นจำนวนมาก แต่มุ่งเป้าไปที่บุคคลเฉพาะเจาะจงแทน

เมื่อผู้ใช้ลงทะเบียนกับแอปพลิเคชันปลอมแล้ว ผู้ใช้จะถูกหลอกให้ดำเนินการหลายขั้นตอน ขั้นตอนแรกผู้ใช้จะถูกขอให้อัปโหลดเอกสารประจำตัว เช่น บัตรประจำตัวประชาชน หรือพาสปอร์ต จากนั้นผู้ใช้จะถูกขอให้ระบุข้อมูลส่วนตัว ตามด้วยรายละเอียดที่เกี่ยวข้องกับงาน หลังจากที่ยอมรับข้อกำหนด และเงื่อนไข และการเปิดเผยข้อมูลแล้ว ผู้ใช้จะได้รับคำแนะนำให้เติมเงินเข้าบัญชีของตน เมื่อลงทุนเสร็จสิ้น ผู้ไม่หวังดีจะเข้าควบคุม และให้คำแนะนำเพิ่มเติม ซึ่งส่งผลให้เกิดการขโมยเงินของเหยื่อไปในที่สุด

รายละเอียดทางเทคนิค

แอปพลิเคชันสำหรับ iOS และ Android มีความแตกต่างกันเพียงเล็กน้อย เนื่องจากฟังก์ชันการทำงานหลักใช้ระบบเว็บ และให้บริการผ่าน URL เว็บแอปพลิเคชันสร้างขึ้นบนเฟรมเวิร์ก UniApp ซึ่งช่วยให้นักพัฒนาสามารถสร้างแอปพลิเคชันข้ามแพลตฟอร์มโดยใช้ Vue.

Apple ได้เพิ่มความสามารถของ iMessage ใหม่ โดยเป็น post-quantum cryptographic protocol ในชื่อ PQ3 ซึ่งได้รับการออกแบบมาเพื่อปกป้องการเข้ารหัสจากการโจมตี quantum attacks (more…)

ช่องโหว่ใหม่ใน Bluetooth ทำให้แฮ็กเกอร์สามารถเข้าควบคุมอุปกรณ์ iOS, Android, Linux และ MacOS

ช่องโหว่ในระบบ Bluetooth บน Android, Linux, macOS, iOS และ Windows เป็นเรื่องสำคัญ เนื่องจากแฮ็กเกอร์สามารถใช้ช่องโหว่เหล่านี้เพื่อเข้าถึงอุปกรณ์ที่มีช่องโหว่โดยไม่ได้รับอนุญาต

โดยช่องโหว่ในโปรโตคอล Bluetooth ทำให้ผู้ไม่หวังดีสามารถทำการขโมยข้อมูลที่มีความสำคัญ, ดักฟังการสื่อสารอย่างลับ ๆ และดำเนินการที่เป็นอันตรายได้

โดยล่าสุดผู้เชี่ยวชาญด้านความปลอดภัยทางไซเบอร์ 'Marc Newlin' ได้ค้นพบช่องโหว่ใหม่ในระบบ Bluetooth ที่ทำให้ผู้ไม่หวังดีสามารถเข้าควบคุมอุปกรณ์ iOS, Android, Linux และ MacOS ได้

ช่องโหว่ Bluetooth ใน Android, Linux, macOS, iOS

ผู้ไม่หวังดีสามารถใช้ช่องโหว่ใหม่นี้ โดยไม่ต้องมีการการยืนยันจากผู้ใช้ เพื่อที่จะเชื่อมต่อกับ Bluetooth keyboard Emulated และควบคุมการใช้งานคีย์บอร์ด

ทุกช่องโหว่ที่ถูกพบโดยนักวิจัยด้านความปลอดภัย และมีผลกระทบต่อระบบ iOs, Android, Linux, และ macOS มีดังนี้

CVE-2024-0230
CVE-2023-45866
CVE-2024-21306

อุปกรณ์ HID (Human Interface Device) ใช้รายงานสำหรับการสื่อสาร โดยการรวมข้อมูลเข้าไปในหมวดหมู่ต่าง ๆ เช่น รายงานข้อมูล input (keypresses, mouse actions), รายงานข้อมูล output (commands, state changes), และรายงานคุณสมบัติ (device settings)

รายงานเหล่านี้ไม่ขึ้นอยู่กับช่องทางการสื่อสาร เพราะมีการส่งถึงโฮสต์ผ่านทาง USB หรือ Bluetooth โดยระบบ Bluetooth HID ใช้ L2CAP sockets กับพอร์ต 17 สำหรับ HID Control (feature reports, high latency) และพอร์ต 19 สำหรับ HID Interrupt (input/output reports, low latency)

การเชื่อมต่อ Bluetooth HID ที่เป็นที่รู้จัก จำเป็นต้องมีการเชื่อมต่อกับทั้งสองพอร์ต การเชื่อมต่อคีย์บอร์ดไปที่พอร์ต 17 และ 19 นั้นมักเกี่ยวข้องกับการจับคู่ และการสร้างคีย์เชื่อมต่อ (link key) เพื่อการเข้ารหัสข้อมูล โดยการทำ bonding จะทำให้ระบบบันทึกคีย์เพื่อให้สามารถใช้ในครั้งถัดไปได้

ในขณะเดียวกัน การจับคู่นอกย่านความถี่ช่วยให้สามารถจับคู่ และเชื่อมต่อผ่านช่องสัญญาณที่ไม่ใช่ Bluetooth เช่น NFC หรือ USB ความสามารถในการจับคู่มีการตรวจสอบความถูกต้องที่โฮสต์ หรืออุปกรณ์ต่อพ่วง

ระบบปฏิบัติการ Linux ที่ได้รับผลกระทบ

Ubuntu
Debian
Redhat
Amazon Linux
Fedora
Gentoo
Arch
OpenEmbedded
Yocto
NixOS

อุปกรณ์ที่มีช่องโหว่จะอนุญาตให้ทำการจับคู่ได้โดยไม่ต้องมีการยืนยันจากผู้ใช้ โดยรองรับการจับคู่แป้นพิมพ์ที่ไม่ผ่านการรับรองความถูกต้อง

ความสำเร็จในการบังคับจับคู่ และการกดแป้นพิมพ์ ขึ้นอยู่กับความสามารถในการค้นหาโฮสต์, ความสามารถในการจับคู่ NoInputNoOutput และการเข้าถึง L2CAP ที่เป็นพอร์ต 17 และ 19

Linux และ Android จะเปิดเผยพอร์ตเมื่ออยู่ในโหมด Discoverable ในขณะที่ macOS, iOS, และ Windows จะจำกัดการเข้าถึงอุปกรณ์ที่รู้จักเท่านั้น การโจมตีบน Linux และ Android ส่วนใหญ่สามารถทำงานได้กับอะแดปเตอร์ Bluetooth, ในขณะที่ macOS, iOS, และ Windows จำเป็นต้องใช้อะแดปเตอร์ที่ใช้เทคโนโลยี Broadcom

ที่มา : cybersecuritynews.

Apple ประกาศว่านักวิจัยด้านความปลอดภัยของ iOS สามารถสมัครขอรับ Security Research Device (SRD) หรืออุปกรณ์วิจัยความปลอดภัยได้ภายในสิ้นเดือนตุลาคมนี้

SRD คือ iPhone 14 Pro ที่มีคุณสมบัติด้านความปลอดภัยที่ถูกปิดการใช้งาน และการเข้าถึง shell access ซึ่งทำให้การวิจัยช่องโหว่เป็นไปได้บนแพลตฟอร์มที่ถูกล็อคของ Apple (more…)

Apple ออกแพตซ์อัปเดตด้านความปลอดภัยสำหรับ iOS, iPadOS, macOS, tvOS, watchOS, และ Safari เพื่อแก้ไขช่องโหว่ด้านความปลอดภัยจำนวนมาก ซึ่งรวมไปถึงช่องโหว่แบบ Zero-day ที่กำลังถูกนำมาใช้ในการโจมตีอยู่ในปัจุบัน

โดย Zero-Day ดังกล่าวมีหมายเลข CVE-2023-38606 ซึ่งจะเข้าไปจัดการในส่วนของ kernel และจะอนุญาติให้ Application ที่เป็นอันตรายสามารถแก้ไข kernel state ที่มีความสำคัญได้ โดยทาง Apple ระบุว่าได้ทำการแก้ไขด้วยการปรับปรุง state management

โดย Apple ได้เร่งทำการอัปเดตแพตซ์แก้ไขช่องโหว่นี้ เนื่องจากได้รับรายงานว่าพบการโจมตีอย่างต่อเนื่องตั้งแต่เวอร์ชั่นก่อนหน้า iOS 15.7.1

น่าสังเกตว่า CVE-2023-38606 เป็นช่องโหว่ด้านความปลอดภัยลำดับที่สี่ ที่ถูกพบว่าเกี่ยวข้องกับ Operation Triangulation ซึ่งเป็นแคมเปญจารกรรมทางไซเบอร์บนมือถือที่มีความซับซ้อน ซึ่งกำหนดเป้าหมายไปยังอุปกรณ์ iOS ตั้งแต่ปี 2019 โดยใช้การโจมตีแบบ Zero-click exploit chain ส่วนอีก 2 ช่องโหว่ Zero-Day ที่ได้รับการแก้ไขโดย Apple เมื่อเดือนที่แล้วคือ CVE-2023-32434 และ CVE-2023-32435 ส่วนช่องโหว่ที่สาม CVE-2022-46690 ได้รับการแก้ไขโดยเป็นส่วนหนึ่งของการอัปเดตด้านความปลอดภัยที่เผยแพร่ในเดือนธันวาคม 2022 หกเดือนก่อนหน้าที่จะมีการเปิดเผยรายละเอียดการโจมตีออกสู่สาธารณะ

โดยนักวิจัยของ Kaspersky Valentin Pashkov, Mikhail Vinogradov, Georgy Kucherin, Leonid Bezvershenko และ Boris Larin ได้รับเครดิตในการค้นพบ และรายงานช่องโหว่ดังกล่าว

อัปเดตนี้สำหรับอุปกรณ์ และระบบปฏิบัติการต่อไปนี้

iOS 16.6 และ iPadOS 16.6 - iPhone 8 และใหม่กว่า, iPad Pro (ทุกรุ่น), iPad Air รุ่นที่ 3 และใหม่กว่า, iPad รุ่นที่ 5 และใหม่กว่า และ iPad mini รุ่นที่ 5 และใหม่กว่า
iOS 15.7.8 และ iPadOS 15.7.8 - iPhone 6s (ทุกรุ่น), iPhone 7 (ทุกรุ่น), iPhone SE (รุ่นที่ 1), iPad Air 2, iPad mini (รุ่นที่ 4) และ iPod touch (รุ่นที่ 7)
macOS Ventura 13.5, macOS Monterey 12.6.8 และ macOS Big Sur 11.7.9
tvOS 16.6 - Apple TV 4K (ทุกรุ่น) และ Apple TV HD
watchOS 9.6 - Apple Watch Series 4 และใหม่กว่า

การอัปเดตล่าสุดนี้ Apple ได้แก้ไขช่องโหว่ Zero-days ทั้งหมด 11 รายการ ที่ส่งผลกระทบต่อซอฟต์แวร์ตั้งแต่ต้นปี 2023 นอกจากนี้ยังเกิดขึ้นสองสัปดาห์หลังจากที่ Apple เผยแพร่การอัปเดตฉุกเฉินสำหรับช่องโหว่ที่กำลังถูกนำมาใช้โจมตีใน WebKit ซึ่งอาจนำไปสู่การสั่งรันโค้ดที่เป็นอันตรายตามที่ต้องการ (CVE-2023-37450)

ที่มา : https://thehackernews.

นักวิจัยด้านความปลอดภัยทางไซเบอร์เปิดตัวเครื่องมือใหม่ชื่อว่า 'Snappy' ที่สามารถช่วยตรวจจับจุดเชื่อมต่อ WiFi ปลอม หรือหลอกลวงที่พยายามขโมยข้อมูลที่ถูกติดตั้งจากผู้ไม่หวังดี

โดยผู้โจมตีสามารถสร้างจุดเชื่อมต่อปลอมในซูเปอร์มาร์เก็ต, ร้านกาแฟ และห้างสรรพสินค้า เพื่อหลอกว่าเป็น access points จริงที่ติดตั้งไว้แล้วในสถานที่นั้น ซึ่งเป็นการทำขึ้นเพื่อหลอกให้ผู้ใช้เชื่อมต่อกับจุดเชื่อมต่อที่เป็นอันตราย และส่งต่อข้อมูลที่มีความสำคัญผ่านอุปกรณ์ของผู้โจมตี

ในขณะที่ผู้โจมตีควบคุมเราเตอร์ไว้ ทำให้สามารถดักจับภาพหน้าจอ ทำการวิเคราะห์ข้อมูล และส่งข้อมูลออกไปได้ ผ่านการโจมตีแบบ MiTM (Man-in-the-middle attacks.

เมื่อวันศุกร์ที่ผ่านมา (7 เม.ย. 2566) Apple ออกแพตซ์อัปเดตด้านความปลอดภัยสำหรับ iOS, iPadOS, macOS และเว็บเบราว์เซอร์ Safari เพื่อแก้ไขช่องโหว่ Zero-day สองรายการที่กำลังถูกใช้ในการโจมตีอยู่ในปัจจุบัน (more…)