พบผู้ไม่หวังดีพุ่งเป้าโจมตีผู้ใช้งาน LinkedIn ด้วยการหลอกเสนองาน

การโจมตีเริ่มต้นด้วยการกำหนดเป้าหมายก่อนจะส่งข้อความไปเสนองาน (spear-phishing) โดยจะส่งไฟล์ zip ที่ถูกตั้งชื่อให้ตรงกับตำแหน่งงานของเป้าหมายที่แสดงใน LinkedIn เมื่อเปิดไฟล์จะถูกติดตั้ง backdoor ที่มีชื่อว่า "more_egg" ซึ่งเป็น fileless ลงบนเครื่องโดยไม่รู้ตัว จากนั้นจะทำการยึดโปรเซสที่ถูกต้องของ Windows เพื่อหลบหลีกการตรวจจับ แต่ในระหว่างนั้นจะมีการเบี่ยงเบียนความสนใจด้วยการวางเหยื่อล่อ ด้วยการให้เหยื่อสนใจใบสมัครปลอมที่สร้างขึ้นมา มัลแวร์ตัวนี้สามารถถูกใช้เป็นช่องทางในการส่งมัลแวร์อื่น ๆ เข้ามาที่เครื่องเหยื่อก็ได้ ยกตัวอย่างเช่น banking trojan, ransomware, มัลแวร์ขโมยข้อมูล หรือถูกใช้เพื่อวาง backdoor ตัวอื่น ๆ เพื่อขโมยข้อมูลออกไปก็ได้

รายงานระบุว่า more_egg เป็นมัลแวร์ที่เคยถูกพบมาตั้งแต่ปี 2018 ผู้ไม่หวังดีที่ต้องการใช้งานจะสามารถหาซื้อได้จากบริการ malware-as-a-service (MaaS) ที่มีชื่อว่า "Golden Chicken" ได้ เคยถูกใช้โดย Threat Actor หลายกลุ่ม เช่น Cobalt, Fin6 และ EvilNum แต่สำหรับเหตุการณ์นี้ยังไม่สามารถระบุชัดเจนได้ว่า Threat Actor กลุ่มไหนเป็นผู้อยู่เบื้องหลัง

ที่มา: thehackernews

Security Testing Company NSS Labs Ceases Operations

ถึงคราวต้องโบกมือลา NSS Labs บริษัทประเมินคุณภาพโปรดักส์ความปลอดภัยชื่อดังยุติการให้บริการ

NSS Labs บริษัทประเมินคุณภาพโปรดักส์ความปลอดภัยชื่อดังประกาศยุติการให้บริการเมื่อวันอังคารที่ผ่านมา แถลงการณ์เบื้องต้นของบริษัทหน้าเว็บไซต์มีการกล่าวถึงผลกระทบจากการแพร่กระจายของ COVID-19 การยุติการให้บริการมีผลแล้วในวันที่ 15 ตุลาคมที่ผ่านมา

นอกเหนือประกาศอย่างเป็นทางการ ซีอีโอของ NSS Labs "Jason Brvenik" ออกมาประกาศเพิ่มเติมใน LinkedIn ของเขาโดยมีการช่วยโปรโมตอดีตพนักงานของ NSS Labs ในการหางานใหม่ด้วย

ที่มา : securityweek

กลุ่มเเฮกเกอร์ Lazarus กำหนดเป้าหมายการโจมตีในบริษัท Cryptocurrency โดยทำการโจมตีผ่านข้อความ LinkedIn

กลุ่มเเฮกเกอร์ Lazarus กำหนดเป้าหมายการโจมตีในบริษัท Cryptocurrency โดยทำการโจมตีผ่านข้อความ LinkedIn

นักวิจัยด้านความปลอดภัยจาก F-Secure Labs ได้เปิดเผยถึงแคมเปญใหม่จากกลุ่มแฮกเกอร์เกาหลีเหนือ “Lazarus” หรือที่รู้จักในชื่อ HIDDEN COBRA ทำการใช้ LinkedIn ในทำแคมเปญการโจมตีด้วย Spear phishing โดยเป้าหมายของแคมเปญครั้งนี้คือกลุ่มบริษัทที่ทำธุรกรรมประเภท Cryptocurrency และสกุลเงินดิจิทัลที่อยู่ในประเทศสหรัฐอเมริกา, สหราชอาณาจักร, เยอรมนี, สิงคโปร์, เนเธอร์แลนด์, ญี่ปุ่นและประเทศอื่น ๆ

นักวิจัยด้านความปลอดภัยกล่าวว่าแคมเปญการโจมตีของกลุ่ม Lazarus นั้นได้พุ่งเป้าโจมตีบริษัท Cryptocurrency โดยการแนบ Microsoft Word ที่ฝังโค้ดมาโครไว้ จากนั้นส่งผ่านบริการ LinkedIn ไปยังเป้าหมาย เมื่อเป้าหมายเปิดเอกสาร ลิงค์ของ bit[.]ly ที่ฝังอยุ่จะทำงานและทำการดาวน์โหลดมัลแวร์และทำการติดต่อ C&C เพื่อใช้ในการควมคุมเหยื่อ ซึ่งเมื่อสามารถเข้าควบคุมเครื่องของเหยื่อได้แล้ว กลุ่มเเฮกเกอร์จะทำการปิด Credential Guard จากนั้นจะใช้ Mimikatz เพื่อรวบรวม Credential ของผู้ใช้และทำการใช้ข้อมูลดังกล่าวเพื่อเข้าสู่ระบบและหาประโยชน์ต่อไป

ทั้งนี้ผู้ใช้งานควรทำการตรวจสอบไฟล์ที่เเนบมากับลิงค์หรืออีเมลทุกครั้งที่ทำการเปิดเพื่อป้องกันการตกเป็นเหยื่อของผู้ประสงค์ร้าย ซึ่งอาจจะทำให้เกิดความเสียหายต่อระบบและอาจต้องสูญเสียทรัพย์สิน

ที่มา:

bleepingcomputer.

711 million email addresses ensnared in “largest” spambot

พบว่า Spambot ที่ถูกเรียกว่า "Onliner" ได้ทำการรวบรวมชื่อผู้ใช้, รหัสผ่าน และข้อมูลการเข้าสู่ระบบ Email Server หลายล้านรายการ เพื่อใช้ในการส่งสแปมผ่านเซิร์ฟเวอร์ที่ "ถูกต้องตามกฎหมาย" และสามารถหลบหลีกการตรวจจับจากตัวกรองสแปมได้

นักวิจัยด้านความปลอดภัยจาก Paris ที่ใช้ชื่อว่า "Benkow" ระบุว่าค้นพบ Web Server ในประเทศเนเธอร์แลนด์ ซึ่งเก็บไฟล์ข้อมูลจำนวนมากประกอบด้วยข้อมูล Email Address , Password และ Email Server จำนวนมากที่ใช้ในการส่งสแปม ข้อมูลดังกล่าวทั้งหมดนี้ได้รับการรวบรวมมาจากแหล่งต่างๆ เช่น จากการแฮก LinkedIn และ Badoo(เครือข่ายการหาคู่เดท) รวมถึงแหล่งข้อมูลที่ไม่รู้จักอื่นๆรวมแล้วประมาณ 80 ล้านบัญชี

Spambot เหล่านี้จะถูกใช้ในการกระจาย Banking Malware ที่มีชื่อว่า "Ursnif" โดยจะมีการแนบไฟล์ เช่น ใบแจ้งหนี้จากโรงแรม หรือบริษัทประกันภัย เมื่อไฟล์ถูกเปิด malware จะถูกดาวน์โหลดมาลงในเครื่อง เพื่อทำการขโมยข้อมูลส่วนบุคคลต่างๆ เช่น ชื่อผู้ใช้งาน, รหัสผ่าน และข้อมูลเครดิตการ์ด โดยเป้าหมายหลักคือเครื่องที่เป็น Windows และปัจจุบันอาจมี Email ที่โดนโจมตีไปแล้วมากถึง 711 ล้านบัญชี

ที่มา:zdnet

Mark Zuckerberg hacked by the hacking crew OurMine Team

มีรายงานว่า CEO ของเฟสบุ๊คเครือข่ายสังคมออนไลน์ระดับโลก Mark Zuckerberg ถูกแฮกบัญชีผู้ใช้ในเว็บไซต์ต่างๆ ได้แก่ Pinterest, Twitter, Instagram และ Linkedin

โดยวันที่ 5 มิถุนายนที่ผ่านมา กลุ่มของแฮกเกอร์ที่ใช้ชื่อ OurMine Team ชาวซาอุดิอาราเบีย อ้างว่าสามารถแฮกบัญชีทวิตเตอร์ของ Mark Zuckerberg (@finkd) ได้และอธิบายว่านำรหัสผ่านที่เป็น SHA-1 ของ Mark มาจากไฟล์ที่รวมรหัสผ่านของ Linkedin ที่เป็นข่าวถูกแฮกตั้งแต่ปี 2012 ที่ผ่านมา นำมา Crack จนได้รหัส “dadada” และ Mark ใช้รหัสผ่านเดียวกันกับเว็บไซต์อื่นๆ ทำให้ถูกแฮก

อย่างไรก็ตามบัญชีทวิตเตอร์ของ Mark ไม่ได้ถูกใช้งานมาตั้งแต่ปี 2012 แล้วสำหรับผู้ใช้งานทั่วไปควรตั้งรหัสผ่านให้มีความแข็งแกร่ง ซับซ้อน และไม่ซ้ำกันกับเว็บไซต์อื่นๆ

ที่มา : thehackernews

Ham-fisted phishing attack seeks LinkedIn logins

Symantec ได้ค้นพบอีเมล Phishing แบบใหม่ในสัปดาห์ที่ผ่านมาเริ่มแพร่กระจายไปยังผู้ใช้บริการ Linkedin ทั่วโลก ซึ่งในเนื้อหาอีเมลล์ระบุมาจาก Linkedin Support ต้องการให้ผู้ใช้บริการอัพเดทความปลอดภัยของบัญชีรายชื่อ แล้วแอบขโมยข้อมูลส่วนตัว พร้อมทั้งรหัสผ่านของผู้ใช้บริการไปแทน