อาชญากรไซเบอร์กำลังโปรโมตแอป Microsoft OAuth ที่เป็นอันตราย โดยปลอมตัวเป็นแอปของ Adobe และ DocuSign เพื่อติดตั้งมัลแวร์ และขโมยข้อมูล credentials ของบัญชี Microsoft 365

แคมเปญเหล่านี้ถูกพบโดยนักวิจัยจาก Proofpoint ซึ่งโพสต์ผ่านบน X โดยระบุว่า การโจมตีนี้เป็น "highly targeted" อย่างชัดเจน

แอป OAuth ที่เป็นอันตรายในแคมเปญนี้จะปลอมตัวเป็น Adobe Drive, Adobe Drive X, Adobe Acrobat และ DocuSign

แอปเหล่านี้จะขอการเข้าถึงสิทธิ์แบบ less sensitive permissions เช่น profile, email และ openid เพื่อหลีกเลี่ยงการถูกตรวจจับ และสร้างความสงสัย

หากได้รับอนุญาตให้เข้าถึงสิทธิ์เหล่านี้ ผู้โจมตีจะสามารถเข้าถึงข้อมูลต่อไปนี้

Profile : ชื่อ-นามสกุล, User ID, รูปโปรไฟล์, Username
Email : Email address หลัก (แต่ไม่สามารถเข้าถึงกล่องจดหมายได้)
Openid : ช่วยให้สามารถยืนยันตัวตนของผู้ใช้ และดึงข้อมูลรายละเอียดบัญชี Microsoft ได้

Proofpoint ให้ข้อมูลกับ BleepingComputer ว่า แคมเปญฟิชชิ่งเหล่านี้ถูกส่งจากองค์กรการกุศล หรือบริษัทขนาดเล็กที่ถูกโจมตีบัญชีอีเมล ซึ่งน่าจะเป็นบัญชี Office 365

อีเมลฟิชชิ่งเหล่านี้มุ่งเป้าไปยังหลายอุตสาหกรรมในสหรัฐอเมริกา และยุโรป รวมไปถึง government, healthcare, supply chain และ retail โดยอีเมลบางฉบับที่ Proofpoint พบ มีการใช้เทคนิคหลอกล่อผู้ใช้งาน เช่น RFPs และ สัญญาทางธุรกิจ เพื่อหลอกให้ผู้รับคลิกลิงก์

แม้ว่าสิทธิ์ที่ได้รับจากแอป Microsoft OAuth จะให้ข้อมูลกับผู้โจมตีเพียงบางส่วน แต่ข้อมูลดังกล่าวก็สามารถนำไปใช้ในการโจมตีแบบ targeted attacks ได้

นอกจากนี้ เมื่อผู้ใช้ให้สิทธิ์แอป OAuth แล้ว ระบบจะเปลี่ยนเส้นทางผู้ใช้ไปยังหน้า Landing Page ซึ่งอาจแสดงแบบฟอร์มฟิชชิ่งเพื่อขโมย Microsoft 365 credentials หรือแพร่กระจายมัลแวร์

Proofpoint ให้ข้อมูลกับ BleepingComputer ว่า "เหยื่อจะถูก redirect หลายครั้ง และหลายขั้นตอนหลังจากการอนุญาตแอป O365 OAuth ก่อนที่จะถูกนำไปยังการติดมัลแวร์ หรือหน้าเว็บฟิชชิ่งที่อยู่เบื้องหลัง"

ในบางกรณี เหยื่อถูกเปลี่ยนเส้นทางไปยังหน้า "O365 login" ปลอม ซึ่งโฮสต์อยู่บนโดเมนที่เป็นอันตราย และภายในเวลาไม่ถึงนาทีหลังจากการอนุญาตแอป OAuth ทาง Proofpoint พบว่าจะมีการ Login เข้าสู่ระบบที่น่าสงสัยในบัญชีของเหยื่อ

Proofpoint ระบุว่า ไม่สามารถระบุได้ว่ามัลแวร์ที่ถูกแพร่กระจายเป็นมัลแวร์แบบใด แต่พบว่าผู้โจมตีใช้เทคนิค ClickFix ซึ่งเป็นเทคนิคหนึ่งในการโจมตีแบบ Social Engineering ที่ได้รับความนิยมอย่างมากในช่วงปีที่ผ่านมา

การโจมตีเหล่านี้คล้ายกับเหตุการณ์ที่เคยถูกรายงานเมื่อหลายปีก่อน แสดงให้เห็นว่าแอป OAuth ยังคงเป็นวิธีที่มีประสิทธิภาพในการเข้าควบคุมบัญชี Microsoft 365 โดยไม่ต้องขโมยข้อมูล credentials

ขอแนะนำให้ผู้ใช้งานระมัดระวัง permission requests จากแอป OAuth และตรวจสอบแหล่งที่มา รวมถึงความน่าเชื่อถือของแอปก่อนที่จะอนุมัติการให้สิทธิ์

หากต้องการตรวจสอบการอนุมัติที่มีอยู่แล้ว ให้ไปที่ 'My Apps' (myapplications.

CISA แจ้งเตือนปฏิบัติการของกลุ่มแรนซัมแวร์ Medusa ได้ส่งผลกระทบต่อองค์กรมากกว่า 300 แห่งในภาคส่วนโครงสร้างพื้นฐานที่สำคัญในสหรัฐอเมริกาจนถึงเมื่อเดือนที่ผ่านมา

ข้อมูลนี้ถูกเปิดเผยในคำแนะนำที่ออกมาในวันนี้ (12 มีนาคม 2025) โดยประสานงานกับสำนักงานสอบสวนกลาง (FBI) และ ศูนย์แบ่งปัน และวิเคราะห์ข้อมูลจากหลายรัฐ (MS-ISAC)

CISA, FBI และ MS-ISAC ระบุว่า "เมื่อเดือนกุมภาพันธ์ 2025 กลุ่ม Medusa และพันธมิตร โจมตีเหยื่อมากกว่า 300 รายจากหลายภาคส่วนของโครงสร้างพื้นฐานที่สำคัญ โดยอุตสาหกรรมที่ได้รับผลกระทบประกอบด้วย การแพทย์, การศึกษา, กฎหมาย, ประกันภัย, เทคโนโลยี และการผลิต"

“FBI, CISA และ MS-ISAC สนับสนุนให้องค์กรต่าง ๆ ดำเนินการตามคำแนะนำในส่วนของการลดผลกระทบตามคำแนะนำฉบับนี้ เพื่อลดโอกาส และผลกระทบจากเหตุการณ์ที่เกี่ยวข้องกับแรนซัมแวร์ Medusa”

ตามที่คำแนะนำระบุไว้ เพื่อป้องกันการโจมตีจากแรนซัมแวร์ Medusa ผู้ป้องกันระบบควรใช้มาตรการต่อไปนี้ :

ลดความเสี่ยงจากช่องโหว่ด้านความปลอดภัยที่เป็นที่รู้จัก โดยควรดำเนินการให้ระบบปฏิบัติการ ซอฟต์แวร์ และเฟิร์มแวร์ได้รับการอัปเดตแพตช์ให้เป็นเวอร์ชันล่าสุดภายในระยะเวลาที่เหมาะสม
ดำเนินการทำ Networks Segment เพื่อลดการโจมตีในลักษณะ Lateral Movement ระหว่างอุปกรณ์ที่ติดมัลแวร์ และอุปกรณ์อื่น ๆ ภายในองค์กร
Filter Network Traffic โดยปิดกั้นการเข้าถึงจากแหล่งที่มาที่ไม่รู้จัก หรือไม่น่าเชื่อถือจาก remote services มายังระบบภายใน

ปฏิบัติการของแรนซัมแวร์กลุ่มนี้ ถูกพบครั้งแรกเมื่อ 4 ปีก่อนในเดือนมกราคม 2021 แต่การดำเนินการของกลุ่มนี้เพิ่งกลับมาเพิ่มขึ้นอีกครั้งเมื่อสองปีที่แล้วในปี 2023 เมื่อพวกเขาเปิดตัวเว็บไซต์ Medusa Blog เพื่อกดดันเหยื่อให้จ่ายค่าไถ่โดยใช้ข้อมูลที่ถูกขโมยมาเป็นเครื่องมือในการต่อรอง

Medusa เปิดตัวครั้งแรกในรูปแบบแรนซัมแวร์แบบปิด โดยที่กลุ่มผู้โจมตีเพียงกลุ่มเดียวจะรับผิดชอบในการพัฒนา และการดำเนินงานทั้งหมด แม้ว่า Medusa จะพัฒนาไปเป็น Ransomware-as-a-Service (RaaS) และนำเอาโมเดลพันธมิตรมาใช้ในภายหลัง แต่ผู้พัฒนายังคงดูแลการดำเนินการที่สำคัญ รวมถึงการเจรจาค่าไถ่

“นักพัฒนาของ Medusa มักจะรับสมัคร initial access brokers (IABs) จากฟอรัมของอาชญากรไซเบอร์เพื่อขอสิทธิ์ในการเข้าถึงเหยื่อที่มีศักยภาพ อาจมีการจ่ายเงินระหว่าง 100 ดอลลาร์สหรัฐฯ ถึง 1 ล้านดอลลาร์สหรัฐฯ สำหรับพันธมิตรที่ให้ข้อมูลเหล่านี้ พร้อมเสนอโอกาสทำงานกับ Medusa โดยเฉพาะ"

นอกจากนี้ยังพบว่ากลุ่มมัลแวร์หลายกลุ่ม และปฏิบัติการอาชญากรรมทางไซเบอร์ มีการใช้ชื่อ Medusa รวมถึง botnet ที่มีพื้นฐานจาก Mirai ซึ่งมีความสามารถในการโจมตีแรนซัมแวร์ และปฏิบัติการมัลแวร์ Malware-as-a-service (MaaS) สำหรับ Android ที่ค้นพบในปี 2020 (ที่รู้จักกันในชื่อ TangleBot)

เนื่องจากการใช้ชื่อที่พบบ่อยนี้ จึงมีรายงานที่ทำให้เกิดความสับสนเกี่ยวกับแรนซัมแวร์ Medusa โดยหลายคนคิดว่าเป็นการปฏิบัติการเดียวกับ MedusaLocker ซึ่งเป็นแรนซัมแวร์ที่รู้จักกันอย่างแพร่หลาย แม้ว่าทั้งสองจะเป็นการปฏิบัติการที่แตกต่างกันโดยสิ้นเชิง

การโจมตีด้วยแรนซัมแวร์ Medusa มีแนวโน้มเพิ่มขึ้น

ตั้งแต่ที่มีการเปิดโปง กลุ่ม Medusa ได้อ้างว่ามีเหยื่อกว่า 400 รายทั่วโลก และได้รับความสนใจมากขึ้นในเดือนมีนาคม 2023 หลังจากอ้างความรับผิดชอบในการโจมตีเขตการศึกษาของรัฐมินนีแอโพลิส (MPS) และมีการแชร์วิดีโอของข้อมูลที่ถูกขโมยออกมา

กลุ่ม Medusa ยังได้ปล่อยไฟล์ที่อ้างว่าเป็นข้อมูลที่ขโมยมาจาก Toyota Financial Services ซึ่งเป็นบริษัทในเครือของ Toyota Motor Corporation บน Dark Extortion Portal ในเดือนพฤศจิกายน 2023 หลังจากที่บริษัทปฏิเสธที่จะจ่ายค่าไถ่ 8 ล้านดอลลาร์สหรัฐฯ และแจ้งลูกค้าเกี่ยวกับการละเมิดข้อมูล

ทีม Threat Hunter ของ Symantec ระบุเมื่อสัปดาห์ที่แล้ว "การโจมตีด้วยแรนซัมแวร์ Medusa เพิ่มขึ้น 42% ระหว่างปี 2023 และ 2024 และปฏิบัติการนี้ยังคงเพิ่มสูงขึ้นอย่างต่อเนื่อง โดยการโจมตีด้วย Medusa ในเดือนมกราคม และกุมภาพันธ์ 2025 เพิ่มขึ้นเกือบสองเท่าเมื่อเทียบกับสองเดือนแรกของปี 2024"

เมื่อเดือนที่แล้ว CISA และ FBI เคยได้ออกการแจ้งเตือนร่วมกัน โดยเตือนว่าผู้เสียหายจากหลายอุตสาหกรรมทั่วโลกกว่า 70 ประเทศ รวมถึงโครงสร้างพื้นฐานที่สำคัญ ได้ถูกละเมิดในเหตุการณ์โจมตีของ Ghost ransomware

ที่มา : bleepingcomputer

การโจมตีแบบ SIM swapping ยังคงเป็นภัยคุกคามที่สำคัญต่อบุคคล และสถาบันการเงิน แม้จะมีความพยายามอย่างต่อเนื่องจากผู้ให้บริการโทรคมนาคม และหน่วยงานกำกับดูแลในการเพิ่มมาตรการด้านความปลอดภัย

การโจมตีประเภทนี้เกี่ยวข้องกับผู้ไม่หวังดีที่ควบคุมหมายเลขโทรศัพท์ของเหยื่อจากการแลกเปลี่ยน หรือย้ายหมายเลข SIM โดยส่วนใหญ่จะใช้ข้อมูลส่วนตัว และข้อมูลทางการเงินที่ถูกขโมยมา ผ่านการโจมตีแบบฟิชชิ่ง หรือ social engineering

การพัฒนากลยุทธ์การโจมตีแบบ SIM swapping

โดยทั่วไปแล้ว ผู้ไม่หวังดีจะเริ่มการขอเปลี่ยน SIM โดยการใช้ช่องโหว่ในระบบของผู้ให้บริการโทรคมนาคม โดยส่วนมากจะใช้แอปพลิเคชันมือถือในการยื่นคำขอเปลี่ยน SIM

เพื่อหลีกเลี่ยงมาตรการป้องกันความปลอดภัย เช่น แพลตฟอร์มการยืนยันตัวตนทางอิเล็กทรอนิกส์ของรัฐบาลที่ต้องการการยืนยันตัวตนด้วยลายนิ้วมือ หรือการอนุมัติการเข้าสู่ระบบ ผู้ไม่หวังดีจะหลอกเหยื่อให้อนุมัติการแลกเปลี่ยน SIM โดยที่เหยื่อไม่รู้ตัว

การหลอกลวงนี้มักจะทำได้โดยการแอบอ้างเป็นตัวแทนจากบริการที่น่าเชื่อถือ เช่น การสมัครงาน หรือการอัปเดตบัญชี

เมื่อ SIM ของเหยื่ออยู่ภายใต้การควบคุมแล้ว ผู้ไม่หวังดีสามารถดักจับรหัสการยืนยันตัวตนแบบสองขั้นตอน (2FA) ผ่าน SMS ซึ่งทำให้สามารถทำธุรกรรมที่ไม่ได้รับอนุญาต และเข้าถึงบัญชีที่มีข้อมูลสำคัญได้

เว็บไซต์ฟิชชิ่งมีบทบาทสำคัญในการโจมตีแบบ SIM swapping เนื่องจากเว็บไซต์เหล่านี้ถูกออกแบบมาเพื่อเลียนแบบบริการที่น่าเชื่อถือ เช่น บริการที่เกี่ยวข้องกับรถยนต์, แพลตฟอร์มการจ้างงาน และสถาบันของรัฐบาล

ตามรายงานของ Group-IB เว็บไซต์เหล่านี้จะเก็บข้อมูลที่สำคัญจากผู้ใช้งานที่ไม่ทันระวัง ซึ่งข้อมูลเหล่านี้จะถูกนำไปใช้ในการดำเนินการแลกเปลี่ยน SIM และการเข้ายึดบัญชี

กรณีที่น่าสนใจเกี่ยวข้องกับเครือข่ายฟิชชิ่งที่มุ่งเป้าไปที่ลูกค้าประกันภัย ซึ่งมีหลายโดเมนที่เชื่อมโยงกับเครือข่ายของเว็บไซต์ปลอม แสดงให้เห็นถึงความจำเป็นในการร่วมมือกันในอุตสาหกรรม และการใช้ข้อมูลภัยคุกคามเชิงรุกเพื่อขัดขวางการดำเนินการเหล่านี้ตั้งแต่เนิ่น ๆ

ผลกระทบทางการเงิน

ผลกระทบทางการเงินจากการโจมตีแบบ SIM swapping อาจทำให้สูญเสียเงินตั้งแต่ไม่กี่ร้อยดอลลาร์จนถึงมากกว่า 160,000 ดอลลาร์ในกรณีที่ร้ายแรง

เพื่อลดความเสี่ยงเหล่านี้ สถาบันการเงินได้รับคำแนะนำให้ทำการระงับธุรกรรมที่มีความเสี่ยงสูงโดยอัตโนมัติเมื่อมีการตรวจพบการแลกเปลี่ยน SIM และต้องการการยืนยันตัวตนเพิ่มเติม

ผู้ใช้งานสามารถป้องกันได้โดยการเปลี่ยนการยืนยันตัวตนแบบสองขั้นตอนที่ใช้ SMS เป็นแอปพลิเคชันยืนยันตัวตนแทน และควรระมัดระวังการแจ้งเตือนด้านความปลอดภัยที่ผิดปกติ

ที่มา : gbhackers

GreyNoise บริษัทด้านข่าวกรองภัยคุกคาม ออกมาเตือนว่าช่องโหว่การเรียกใช้โค้ดที่เป็นอันตรายจากระยะไกล (RCE) ระดับ Critical ของ PHP ที่ส่งผลกระทบต่อระบบ Windows กำลังถูกใช้ในการโจมตีอย่างหนักอยู่ในปัจจุบัน (more…)

การโจมตีแบบ "Polymorphic" ที่ถูกคิดค้นขึ้นใหม่ทำให้ Chrome extensions ที่เป็นอันตรายสามารถเปลี่ยนรูปแบบเป็น extensions อื่น ๆ ได้ รวมถึง Password managers, Crypto wallets และแอปพลิเคชันธนาคาร เพื่อขโมยข้อมูลที่สำคัญ

(more…)

CISA ได้แจ้งเตือนหน่วยงานของรัฐบาลกลางสหรัฐฯ ให้ตรวจสอบ และแก้ไขความปลอดภัยระบบของตนจากการโจมตีโดยใช้ช่องโหว่ของ Cisco และ Windows ถึงแม้ว่า CISA จะระบุว่าช่องโหว่เหล่านี้กำลังถูกใช้ในการโจมตีอย่างแพร่หลาย แต่ก็ยังไม่ได้ให้รายละเอียดที่เจาะจงเกี่ยวกับการโจมตีนี้ และใครอยู่เบื้องหลัง

(more…)

Google ได้เผยแพร่ Android Security Bulletin หรือการอัปเดตด้านความปลอดภัย สำหรับเดือนมีนาคม 2025 เพื่อแก้ไขช่องโหว่ทั้งหมด 44 รายการ ซึ่งรวมถึงช่องโหว่ 2 รายการที่ Google ระบุว่ากำลังถูกใช้ในการโจมตีจริงอยู่ในปัจจุบัน

ช่องโหว่ที่มีระดับความรุนแรงสูง 2 รายการมีดังต่อไปนี้

CVE-2024-43093 - ช่องโหว่การยกระดับสิทธิ์ใน Framework component ซึ่งอาจส่งผลให้สามารถเข้าถึงไดเร็กทอรี "Android/data," "Android/obb," และ "Android/sandbox" และไดเร็กทอรีย่อยที่เกี่ยวข้องโดยไม่ได้รับอนุญาต
CVE-2024-50302 - ช่องโหว่การยกระดับสิทธิ์ใน HID USB component ของ Linux kernel ซึ่งอาจนำไปสู่การรั่วไหลของ kernel memory ที่ไม่ได้ถูกกำหนดค่า ไปยังผู้โจมตีในระดับ local ผ่าน HID reports ที่ถูกสร้างขึ้นมาเป็นพิเศษ

ที่น่าสังเกตคือ CVE-2024-43093 เคยถูก Google ระบุไว้ในคำแนะนำด้านความปลอดภัยประจำเดือนพฤศจิกายน 2024 ว่ากำลังถูกใช้ในการโจมตีเป็นวงกว้าง โดย Google ให้ข้อมูลกับ The Hacker News ว่า เป็นการเผยแพร่การแก้ไขที่อัปเดตสำหรับช่องโหว่นี้ จึงทำให้ CVE-2024-43093 อยู่ในคำแนะนำด้านความปลอดภัยสำหรับเดือนมีนาคม

ในทางกลับกัน CVE-2024-50302 เป็นหนึ่งในสามช่องโหว่ที่เชื่อมโยงกับช่องโหว่แบบ zero-day ที่ Cellebrite คิดค้นขึ้นเพื่อเจาะเข้าไปยังโทรศัพท์ Android ของนักเคลื่อนไหวเยาวชนชาวเซอร์เบียในเดือนธันวาคม 2024 และช่องโหว่นี้เกี่ยวข้องกับการใช้ CVE-2024-53104, CVE-2024-53197 และ CVE-2024-50302 เพื่อให้ได้รับสิทธิ์ที่สูงขึ้นด้วยการฝังสปายแวร์ที่เรียกว่า NoviSpy

โดยช่องโหว่ทั้งสามรายการอยู่ใน Linux kernel และได้รับการแก้ไขเมื่อปลายปีที่แล้ว ส่วน CVE-2024-53104 ได้รับการแก้ไขโดย Google ใน Android เมื่อเดือนที่ผ่านมา

ในคำแนะนำ Google ยอมรับว่าทั้ง CVE-2024-43093 และ CVE-2024-50302 เข้าข่ายการโจมตีที่มีเป้าหมายเฉพาะเจาะจง

Google ได้เผยแพร่แพตช์ความปลอดภัยสองระดับ คือ 1 มีนาคม 2025 และ 5 มีนาคม 2025 เพื่อให้ Android partners สามารถแก้ไขช่องโหว่บางส่วนที่คล้ายกันในอุปกรณ์ของ Android ทั้งหมดได้รวดเร็วขึ้น

ที่มา: thehackernews

ผลการค้นหาด้วยระบบปัญญาประดิษฐ์ (AI) ใหม่ของ Google อาจแนะนำเว็บไซต์ที่มีมัลแวร์ และการหลอกลวง

นักวิจัยพบว่าอัลกอริทึม "Search Generative Experience" (SGE) ใหม่ของ Google ซึ่งใช้ปัญญาประดิษฐ์ (AI) อาจแนะนำเว็บไซต์หลอกลวง ซึ่งเว็บไซต์เหล่านี้อาจทำให้ผู้เข้าชมถูกเปลี่ยนเส้นทางไปยังเว็บไซต์ที่ไม่ต้องการ เช่น Chrome extensions, แคมเปญแจก iPhone ปลอม, spam subscriptions ในเบราว์เซอร์, เว็บไซต์หลอกลวงด้านเทคนิคอื่น ๆ

(more…)

TheMoon malware แพร่กระจายไปยังเราเตอร์ ASUS กว่า 6,000 เครื่องภายใน 72 ชั่วโมงผ่าน proxy service

พบ malware botnet เวอร์ชันใหม่ในชื่อ "TheMoon" แพร่กระจายไปยังเราเตอร์ และอุปกรณ์ IoT ในสำนักงานขนาดเล็ก และโฮมออฟฟิศ (SOHO) ที่มีช่องโหว่หลายพันเครื่องใน 88 ประเทศ

(more…)

แคมเปญมัลแวร์ Sign1 แพร่กระจายไปยังเว็บไซต์ WordPress กว่า 39,000 แห่ง

พบแคมเปญมัลแวร์ในชื่อ Sign1 ได้แพร่กระจายไปยังเว็บไซต์มากกว่า 39,000 แห่งในช่วงหกเดือนที่ผ่านมา ทำให้ผู้ใช้งานจะถูก redirect และเห็นโฆษณา popup ads ที่ไม่ต้องการ

(more…)