พบแพ็กเกจอันตรายสองรายการใน npm ซึ่งเป็น JavaScript package index โดยแพ็กเกจทั้งสองนี้ถูกออกแบบมาให้ดูเหมือนเครื่องมือยูทิลิตี้ที่มีประโยชน์ แต่ที่จริงแล้วเป็นมัลแวร์สำหรับลบข้อมูล ที่สามารถลบไดเรกทอรีแอปพลิเคชันได้ทั้งหมด

(more…)

บริษัทสื่อยักษ์ใหญ่ Lee Enterprises แจ้งเตือนผู้ใช้งานเกือบ 40,000 รายว่าข้อมูลส่วนบุคคลถูกขโมยจากเหตุการณ์แรนซัมแวร์ในเดือนกุมภาพันธ์ 2025 โดยบริษัทเป็นผู้จัดพิมพ์หนังสือพิมพ์รายวัน 77 ฉบับ และสิ่งพิมพ์รายสัปดาห์กว่า 350 ฉบับ ครอบคลุม 26 รัฐ มีผู้อ่านฉบับพิมพ์กว่า 1.2 ล้านรายต่อวัน และผู้อ่านดิจิทัลนับสิบล้านรายต่อเดือน

Lee Enterprises ได้ยื่นเอกสารต่อสำนักงานอัยการรัฐเมนเมื่อสัปดาห์นี้ โดยเปิดเผยว่า จากเหตุการณ์ถูกโจมตีด้วยแรนซัมแวร์ในเดือนกุมภาพันธ์ 2025 แฮ็กเกอร์ได้ขโมยเอกสารที่มีข้อมูลส่วนบุคคลของผู้ใช้งานกว่า 39,779 ราย ซึ่งถูกเข้าถึงโดยไม่ได้รับอนุญาตเมื่อวันที่ 3 กุมภาพันธ์ โดยข้อมูลที่รั่วไหลประกอบไปด้วยชื่อ-นามสกุล และหมายเลขประกันสังคม

(more…)

Microsoft และ CrowdStrike ประกาศในวันนี้ว่าทั้งสองบริษัทได้ร่วมมือกัน เพื่อเชื่อมโยงนามแฝงที่ใช้สำหรับกลุ่มภัยคุกคามโดยเฉพาะ แม้ว่าจะไม่ได้ใช้มาตรฐานชื่อแบบเดียวกันก็ตาม

ตามที่ทั้งสองบริษัทได้อธิบายไว้เมื่อวันจันทร์ วิธีการนี้คือการจับคู่ (หรือเชื่อมโยง) ชื่อต่าง ๆ ที่นักวิเคราะห์ด้านความปลอดภัยใช้สำหรับกลุ่มแต่ละกลุ่มที่พวกเขาติดตามอยู่

(more…)

บริษัท Hewlett Packard Enterprise (HPE) ได้ออกอัปเดตด้านความปลอดภัยเพื่อแก้ไขช่องโหว่จำนวน 8 รายการ ในโซลูชันการสำรองข้อมูล และการลดความซ้ำซ้อนของข้อมูลที่ชื่อว่า StoreOnce ที่อาจทำให้ผู้ไม่หวังดีสามารถ bypass การยืนยันตัวตน และการเรียกใช้โค้ดที่เป็นอันตรายจากระยะไกลได้

HPE ได้ระบุว่า "ช่องโหว่เหล่านี้สามารถถูกโจมตีจากระยะไกล เพื่อทำให้ผู้ไม่หวังดีสามารถเรียกใช้โค้ดที่เป็นอันตรายจากระยะไกล, เปิดเผยข้อมูล, ปลอมแปลงคำขอฝั่งเซิร์ฟเวอร์ (SSRF), bypass ขั้นตอนการยืนยันตัวตน, ลบไฟล์โดยพลการ และเปิดเผยข้อมูลผ่านการเข้าถึงไดเรกทอรีโดยไม่ได้รับอนุญาต"

(more…)

แพ็กเกจ RubyGems ที่เป็นอันตราย 2 รายการ ซึ่งปลอมเป็นปลั๊กอินของ Fastlane CI/CD ยอดนิยม จะเปลี่ยนเส้นทาง API request ของ Telegram ไปยังเซิร์ฟเวอร์ที่ผู้โจมตีควบคุม เพื่อดักจับ และขโมยข้อมูล (more…)

เมื่อวันจันทร์ที่ผ่านมา Google ได้ออกแพตช์ฉุกเฉินเพื่อแก้ไขช่องโหว่ด้านความปลอดภัยจำนวน 3 รายการในเบราว์เซอร์ Chrome ซึ่งรวมถึงหนึ่งช่องโหว่ที่บริษัทพบว่าถูกนำไปใช้ในการโจมตีแล้ว (more…)

Qualcomm ออกแพตซ์อัปเดตด้านความปลอดภัยเพื่อแก้ไขช่องโหว่ Zero-Day จำนวน 3 รายการ ที่บริษัทระบุว่ากำลังถูกนำไปใช้ในการโจมตีจริงแบบกำหนดเป้าหมาย (more…)

แฮ็กเกอร์ใช้ประโยชน์จากช่องโหวในโมดูล Facebook ระดับพรีเมี่ยม สำหรับ PrestaShop ที่ชื่อว่า pkfacebook เพื่อติดตั้ง card skimmer บนเว็บไซต์ e-commerce ที่มีช่องโหว่ และขโมยข้อมูลการชำระเงินผ่านบัตรเครดิตของผู้ใช้งาน

PrestaShop เป็นแพลตฟอร์ม e-commerce แบบ open-source ที่ช่วยให้ผู้ใช้งาน และธุรกิจสามารถสร้าง และจัดการร้านค้าออนไลน์ได้ โดยในปี 2024 มีร้านค้าออนไลน์ประมาณ 300,000 แห่งทั่วโลกที่ใช้งานอยู่

pkfacebook เป็น add-on ของบริษัท Promokit เป็นโมดูลที่ช่วยให้ผู้เยี่ยมชมร้านค้าเข้าสู่ระบบได้โดยใช้บัญชี Facebook, แสดงความคิดเห็นในเพจของร้านค้า และสื่อสารกับฝ่าย support โดยใช้ Messenger

Promokit มียอดขายมากกว่า 12,500 ครั้ง แต่โมดูล Facebook จะถูกขายผ่านเว็บไซต์ของ Promokit เท่านั้น และไม่มีรายละเอียดอื่น ๆ เกี่ยวกับ sales number

ช่องโหว่ระดับ Critical หมายเลข CVE-2024-36680 เป็นช่องโหว่ SQL Injection ใน Ajax สคริปต์ facebookConnect.

พบเทคนิคการโจมตีรูปแบบใหม่ที่เรียกว่า 'GrimResource' โดยใช้ MSC ที่ถูกสร้างขึ้นมาเป็นพิเศษ (Microsoft Saved Console) และช่องโหว่ Windows XSS ที่ยังไม่ได้มีการอัปเดต เพื่อเรียกใช้คำสั่งผ่าน Microsoft Management Console

ในเดือนกรกฎาคม 2022 Microsoft ได้ปิดใช้งาน Macro เป็นค่าเริ่มต้นของ Office ทำให้ Hacker ต้องเปลี่ยนวิธีการไปใช้ไฟล์ประเภทใหม่ในการโจมตีแบบ phishing แทน

โดยพบว่า Hacker ได้เปลี่ยนมาใช้ ISO images และไฟล์ ZIP ที่มีการใส่รหัสผ่าน เนื่องจากไฟล์ประเภทดังกล่าวไม่สามารถถูกตรวจสอบได้จากฟีเจอร์ Mark of the Web (MoTW) ของ Windows

ต่อมา Microsoft ได้แก้ไขปัญหาดังกล่าวใน ISO files และ 7-Zip ทำให้ Hacker ต้องเปลี่ยนไปใช้ไฟล์แนบรูปแบบใหม่ เช่น Windows Shortcuts และ OneNote files

โดยปัจจุบัน Hacker ได้เปลี่ยนไปใช้ไฟล์ประเภทใหม่คือไฟล์ Windows MSC (.msc) ที่ถูกใช้ใน Microsoft Management Console (MMC) เพื่อจัดการแง่มุมต่าง ๆ ของระบบปฏิบัติการ หรือสร้างมุมมองที่กำหนดเองของ accessed tools

จากรายงานของ Genian บริษัทรักษาความปลอดภัยทางไซเบอร์ของเกาหลีใต้ ได้ค้นพบการใช้ไฟล์ MSC ในการโจมตีโดยการฝังมัลแวร์ไว้ในไฟล์ รวมถึงทางนักวิจัยจาก Elastic ได้ค้นพบเทคนิคใหม่ในการแพร่กระจายไฟล์ MSC และใช้ช่องโหว่ของ Windows XSS ที่ยังไม่ถูกแก้ไขใน apds.

นักวิจัยจาก ESET แจ้งเตือนแคมเปญการโจมตีของกลุ่ม Arid Viper ที่มุ่งเป้าหมายไปที่ผู้ใช้งาน Android ซึ่งแคมเปญเหล่านี้จะแพร่กระจายมัลแวร์ผ่านเว็บไซต์ที่เหยื่อสามารถดาวน์โหลด และติดตั้งแอปพลิเคชัน Android ได้ด้วยตนเอง

สามแอปพลิเคชันที่ให้บริการบนเว็บไซต์เหล่านี้เป็นแอปพลิเคชันที่ถูกต้อง แต่ถูกเพิ่มโค้ดที่เป็นอันตรายซึ่งเรียกว่า "AridSpy" ซึ่งมีวัตถุประสงค์เพื่อการสอดแนมผู้ใช้งาน

AridSpy ถูกพบครั้งแรกโดย Zimperium ในปี 2021 ในช่วงเวลานั้นมัลแวร์ยังมีเพียงขั้นตอนเดียว โดยมีโค้ดที่เป็นอันตรายทั้งหมดอยู่ในแอปพลิเคชันที่ถูกฝังโทรจันเข้าไป

ถัดมาในครั้งที่สอง นักวิจัยจาก ESET พบการใช้งานในปี 2022 (และต่อมาถูกวิเคราะห์โดย 360 Beacon Labs ในเดือนธันวาคม 2022) โดยผู้ไม่หวังดีได้มุ่งเป้าไปที่งาน FIFA World Cup ในกาตาร์ โดยแคมเปญนี้ใช้แอปพลิเคชัน Kora442 ที่มี AridSpy ฝังอยู่ โดยปลอมเป็นหนึ่งในแอป Kora หลายแอป เช่นเดียวกับตัวอย่างที่วิเคราะห์โดย Zimperium มัลแวร์ยังคงมีเพียงขั้นตอนเดียวในขณะนั้น

ในเดือนมีนาคม 2023 ทีมนักวิจัยจาก 360 Beacon Labs ได้วิเคราะห์แคมเปญ Android อีกหนึ่งแคมเปญที่ดำเนินการโดยกลุ่ม Arid Viper และพบความเชื่อมโยงระหว่างแคมเปญ Kora442 กับกลุ่ม Arid Viper โดยอ้างอิงจากการใช้ไฟล์ myScript.