เมื่อสัปดาห์ที่ผ่านมาพบกลุ่มมิจฉาชีพกำลังใช้เทคนิค Phishing ใหม่บน LinkedIn ด้วยวิธีการโพสต์ตอบกลับในช่องคอมเมนต์ ซึ่งทำหน้าตาเหมือนเป็นข้อความเตือนจากระบบของ LinkedIn เอง โดยอ้างว่าบัญชีของคุณทำผิดกฎนโยบายบางอย่าง และเร่งให้รีบกด Link ภายนอกที่แนบมาเพื่อตรวจสอบ

ความน่ากลัวคือ ข้อความเหล่านี้เลียนแบบรูปแบบของ LinkedIn ได้เหมือนจริงมาก ในบางกรณียังใช้ระบบ URL shortener ที่เป็น lnkd.

แฮ็กเกอร์กำลังใช้ LinkedIn เพื่อมุ่งเป้าโจมตีผู้บริหารทางด้านการเงิน ด้วยการโจมตีแบบฟิชชิงผ่าน direct-message โดยปลอมแปลงเป็นคำเชิญให้เข้าร่วมคณะกรรมการบริหาร โดยมีเป้าหมายเพื่อขโมยข้อมูล credentials ของ Microsoft

แคมเปญนี้ถูกตรวจพบโดย Push Security ซึ่งระบุว่าเมื่อเร็ว ๆ นี้ บริษัทได้บล็อกหนึ่งในการโจมตีแบบฟิชชิงเหล่านี้ซึ่งเริ่มต้นจากข้อความ LinkedIn ที่มีลิงก์อันตราย

BleepingComputer ได้รับข้อมูลว่า ข้อความฟิชชิงเหล่านี้อ้างว่าเป็นคำเชิญให้ผู้บริหารเข้าร่วมคณะกรรมการบริหารของกองทุนรวม 'Common Wealth' ที่จัดตั้งขึ้นใหม่

ข้อความฟิชชิงบน LinkedIn ระบุว่า "ผมรู้สึกตื่นเต้นที่จะมอบคำเชิญสุดพิเศษให้คุณเข้าร่วมเป็นคณะกรรมการบริหารของกองทุนรวม Common Wealth ในอเมริกาใต้ โดยร่วมมือกับ AMCO สาขาการจัดการสินทรัพย์ของเรา ซึ่งเป็นกองทุนร่วมลงทุนใหม่ที่โดดเด่น ซึ่งกำลังเปิดตัวกองทุนเพื่อการลงทุนในอเมริกาใต้"

ข้อความฟิชชิงเหล่านี้จะจบลงด้วยการบอกให้ผู้รับคลิกลิงก์เพื่อเรียนรู้เพิ่มเติมเกี่ยวกับโอกาสดังกล่าว

อย่างไรก็ตาม Push Security ระบุว่า เมื่อผู้รับคลิกลิงก์ พวกเขาจะถูกเปลี่ยนเส้นทางหลายขั้นตอน การเปลี่ยนเส้นทางครั้งแรกจะผ่าน Google open redirect ซึ่งจะนำไปสู่เว็บไซต์ที่ผู้โจมตีควบคุม จากนั้นจะเปลี่ยนเส้นทางไปยังหน้า landing page ที่สร้างขึ้นเองซึ่งโฮสต์อยู่บน firebasestorage.

กลุ่มผู้โจมตีจากเกาหลีเหนือถูกพบว่าใช้ LinkedIn เป็นช่องทางในการโจมตีนักพัฒนาซอฟต์แวร์ โดยใช้วิธีการล่อลวงเหยื่อจากเรื่องของการรับสมัครงานปลอม

Mandiant บริษัทในเครือของ Google ระบุในรายงานฉบับใหม่เกี่ยวกับภัยคุกคาม Web3 sector ว่า การโจมตีเหล่านี้ใช้การทดสอบการเขียนโค้ดเป็นวิธีหลักในการเริ่มต้นการแพร่กระจายมัลแวร์

(more…)

Microsoft แจ้งเตือนกลุ่มแฮ็กเกอร์ BlueNoroff วางแผนการโจมตีเพื่อขโมยเงิน crypto ครั้งใหม่

Microsoft แจ้งเตือนกลุ่มแฮ็กเกอร์ BlueNoroff จากเกาหลีเหนือกำลังสร้างระบบในการโจมตีครั้งใหม่สำหรับแคมเปญ social engineering บน LinkedIn (more…)

Cyberint เปิดเผยการค้นพบ LinkedIn กำลังตกเป็นเป้าหมายการโจมตี ส่งผลให้หลายบัญชีถูก Lock ไม่ให้เข้าใช้ด้วยเหตุผลด้านความปลอดภัย รวมถึงพบการถูกขโมยข้อมูลบัญชีผู้ใช้งานโดย Hacker

โดยนักวิจัยพบว่า ผู้ใช้งาน LinkedIn จำนวนมากได้มีการร้องเรียนเกี่ยวกับปัญหาการใช้งานบัญชี หรือการถูก Lockout ซึ่งไม่สามารถแก้ไขปัญหาได้เองผ่าน LinkedIn support รวมไปถึงยังพบว่าผู้ใช้งานบางรายได้ถูกเรียกค่าไถ่ เพื่อแลกกับการไม่ถูกลบบัญชี

แม้ว่า LinkedIn จะยังไม่ได้ออกประกาศอย่างเป็นทางการ แต่พบว่า LinkedIn support นั้นมีช่วงเวลาที่นานขึ้น สะท้อนให้เห็นการร้องเรียนที่เพิ่มขึ้น ซึ่งการตอบสนองที่ล่าช้าดังกล่าวทำให้ผู้ใช้งานเกิดความไม่พอใจเป็นจำนวนมาก (more…)

Smart Links เป็นบริการหนึ่งสำหรับ LinkedIn Sales Navigator และ Enterprise users ที่สามารถส่งเอกสารได้ถึง 15 ชุดโดยใช้ลิงก์ที่สร้างจาก LinkedIn และยังสามารถติดตามสถานะว่าใครเข้าเปิดดูลิงก์แล้วหรือยัง
Smart Link ของ LinkedIn จึงถูกนำไปใช้ประโยชน์ในการส่ง Phishing เพราะสามารถหลีกเลี่ยงการตรวจสอบจากอุปกรณ์ security ต่าง ๆ ได้ โดยทีมวิเคราะห์ภัยคุกคาม Cofense พบว่าแคมเปญนี้มุ่งเป้าไปที่ประเทศสโลวาเกีย โดยอ้างว่าเป็นบริการไปรษณีย์ของรัฐในสโลวาเกีย

(more…)

รายละเอียดการโจมตี

เมื่อช่วงปลายมีนาคมที่ผ่านมา แพลตฟอร์ม Ronin Bridge ที่ใช้สำหรับโอนเหรียญของเกมส์ Axie Infinity ถูกแฮ็ก ส่งผลให้เกิดความเสียหาย 540 ล้านดอลลาร์

ส่วนสาเหตุทั้งหมดตามรายงานของ The Block เกิดจากอดีตพนักงานคนหนึ่งของบริษัทที่ถูกหลอกผ่านข้อเสนองานปลอมบน LinkedIn ซึ่งอ้างว่าเป็นการสัมภาษณ์หลายรอบ โดยมีค่าตอบแทนที่สูงมาก จากนั้นจึงให้พนักงานคนดังกล่าวทำการโหลดเอกสารสมัครงานที่เป็นไฟล์ .PDF ที่แฝงสคริปอันตรายมาด้วย ทำให้ผู้ไม่หวังดีเข้าถึงเครือข่ายได้ในที่สุด ซึ่งข้อมูลต่างๆของพนักงานที่เป็นเป้าหมายนั้น ถูกหามาจากช่องทาง Social Media ต่างๆ หลังจากเหตุการณ์ดังกล่าวส่งผลให้พนักงานคนนี้ถูกไล่ออก

ในรายงานภัยคุกคาม T1 ของ ESET ประจำปี 2565 ได้ระบุว่ากลุ่มแฮกเกอร์ Lazarus ได้ใช้ข้อเสนองานปลอมผ่านโซเชียลมีเดีย เช่น LinkedIn มากขึ้น นอกจากนี้ กลุ่ม Lazarus ก็ถูกสงสัยว่าอยู่เบื้องหลังการขโมย altcoin มูลค่า 100 ล้านดอลลาร์จาก Harmony Horizon Bridge เช่นกัน

แนวทางการป้องกัน

ตรวจสอบไฟล์ที่ได้รับมาทุกครั้งก่อนทำการดาวน์โหลด หรือเปิดใช้งาน
หลีกเลี่ยงการโพสต์ข้อมูลส่วนตัวลงในพื้นที่สาธารณะ เช่น Social Media

ที่มา : thehackernews

การโจมตีเริ่มต้นด้วยการกำหนดเป้าหมายก่อนจะส่งข้อความไปเสนองาน (spear-phishing) โดยจะส่งไฟล์ zip ที่ถูกตั้งชื่อให้ตรงกับตำแหน่งงานของเป้าหมายที่แสดงใน LinkedIn เมื่อเปิดไฟล์จะถูกติดตั้ง backdoor ที่มีชื่อว่า "more_egg" ซึ่งเป็น fileless ลงบนเครื่องโดยไม่รู้ตัว จากนั้นจะทำการยึดโปรเซสที่ถูกต้องของ Windows เพื่อหลบหลีกการตรวจจับ แต่ในระหว่างนั้นจะมีการเบี่ยงเบียนความสนใจด้วยการวางเหยื่อล่อ ด้วยการให้เหยื่อสนใจใบสมัครปลอมที่สร้างขึ้นมา มัลแวร์ตัวนี้สามารถถูกใช้เป็นช่องทางในการส่งมัลแวร์อื่น ๆ เข้ามาที่เครื่องเหยื่อก็ได้ ยกตัวอย่างเช่น banking trojan, ransomware, มัลแวร์ขโมยข้อมูล หรือถูกใช้เพื่อวาง backdoor ตัวอื่น ๆ เพื่อขโมยข้อมูลออกไปก็ได้

รายงานระบุว่า more_egg เป็นมัลแวร์ที่เคยถูกพบมาตั้งแต่ปี 2018 ผู้ไม่หวังดีที่ต้องการใช้งานจะสามารถหาซื้อได้จากบริการ malware-as-a-service (MaaS) ที่มีชื่อว่า "Golden Chicken" ได้ เคยถูกใช้โดย Threat Actor หลายกลุ่ม เช่น Cobalt, Fin6 และ EvilNum แต่สำหรับเหตุการณ์นี้ยังไม่สามารถระบุชัดเจนได้ว่า Threat Actor กลุ่มไหนเป็นผู้อยู่เบื้องหลัง

ที่มา: thehackernews

ถึงคราวต้องโบกมือลา NSS Labs บริษัทประเมินคุณภาพโปรดักส์ความปลอดภัยชื่อดังยุติการให้บริการ

NSS Labs บริษัทประเมินคุณภาพโปรดักส์ความปลอดภัยชื่อดังประกาศยุติการให้บริการเมื่อวันอังคารที่ผ่านมา แถลงการณ์เบื้องต้นของบริษัทหน้าเว็บไซต์มีการกล่าวถึงผลกระทบจากการแพร่กระจายของ COVID-19 การยุติการให้บริการมีผลแล้วในวันที่ 15 ตุลาคมที่ผ่านมา

นอกเหนือประกาศอย่างเป็นทางการ ซีอีโอของ NSS Labs "Jason Brvenik" ออกมาประกาศเพิ่มเติมใน LinkedIn ของเขาโดยมีการช่วยโปรโมตอดีตพนักงานของ NSS Labs ในการหางานใหม่ด้วย

ที่มา : securityweek

กลุ่มเเฮกเกอร์ Lazarus กำหนดเป้าหมายการโจมตีในบริษัท Cryptocurrency โดยทำการโจมตีผ่านข้อความ LinkedIn

นักวิจัยด้านความปลอดภัยจาก F-Secure Labs ได้เปิดเผยถึงแคมเปญใหม่จากกลุ่มแฮกเกอร์เกาหลีเหนือ “Lazarus” หรือที่รู้จักในชื่อ HIDDEN COBRA ทำการใช้ LinkedIn ในทำแคมเปญการโจมตีด้วย Spear phishing โดยเป้าหมายของแคมเปญครั้งนี้คือกลุ่มบริษัทที่ทำธุรกรรมประเภท Cryptocurrency และสกุลเงินดิจิทัลที่อยู่ในประเทศสหรัฐอเมริกา, สหราชอาณาจักร, เยอรมนี, สิงคโปร์, เนเธอร์แลนด์, ญี่ปุ่นและประเทศอื่น ๆ

นักวิจัยด้านความปลอดภัยกล่าวว่าแคมเปญการโจมตีของกลุ่ม Lazarus นั้นได้พุ่งเป้าโจมตีบริษัท Cryptocurrency โดยการแนบ Microsoft Word ที่ฝังโค้ดมาโครไว้ จากนั้นส่งผ่านบริการ LinkedIn ไปยังเป้าหมาย เมื่อเป้าหมายเปิดเอกสาร ลิงค์ของ bit[.]ly ที่ฝังอยุ่จะทำงานและทำการดาวน์โหลดมัลแวร์และทำการติดต่อ C&C เพื่อใช้ในการควมคุมเหยื่อ ซึ่งเมื่อสามารถเข้าควบคุมเครื่องของเหยื่อได้แล้ว กลุ่มเเฮกเกอร์จะทำการปิด Credential Guard จากนั้นจะใช้ Mimikatz เพื่อรวบรวม Credential ของผู้ใช้และทำการใช้ข้อมูลดังกล่าวเพื่อเข้าสู่ระบบและหาประโยชน์ต่อไป

ทั้งนี้ผู้ใช้งานควรทำการตรวจสอบไฟล์ที่เเนบมากับลิงค์หรืออีเมลทุกครั้งที่ทำการเปิดเพื่อป้องกันการตกเป็นเหยื่อของผู้ประสงค์ร้าย ซึ่งอาจจะทำให้เกิดความเสียหายต่อระบบและอาจต้องสูญเสียทรัพย์สิน

ที่มา:

bleepingcomputer.