แฮ็กเกอร์กำลังใช้ประโยชน์จากช่องโหว่ความปลอดภัยระดับ Critical ใน PHP เพื่อติดตั้งโปรแกรมขุดสกุลเงินดิจิทัล และโทรจันการเข้าถึงระยะไกล (RATs) เช่น Quasar RAT

ช่องโหว่นี้มีหมายเลข CVE-2024-4577 ซึ่งเป็นช่องโหว่ Argument Injection ใน PHP บนระบบ Windows ที่รันในโหมด CGI โดยทำให้ผู้โจมตีสามารถรันโค้ดที่เป็นอันตรายจากระยะไกลได้

บริษัทด้านความปลอดภัยทางไซเบอร์ Bitdefender ระบุว่า มีความพยายามโจมตีโดยใช้ช่องโหว่ CVE-2024-4577 เพิ่มขึ้นอย่างมากตั้งแต่ปลายปีที่แล้ว โดยมีการโจมตีมากที่สุดในไต้หวัน (54.65%), ฮ่องกง (27.06%), บราซิล (16.39%), ญี่ปุ่น (1.57%) และอินเดีย (0.33%)

ประมาณ 15% ของความพยายามโจมตีโดยใช้ช่องโหว่ที่ตรวจพบ เกี่ยวข้องกับการตรวจสอบช่องโหว่พื้นฐาน โดยใช้คำสั่งเช่น "whoami" และ "echo <test_string>" อีก 15% เกี่ยวข้องกับการตรวจสอบระบบ ซึ่งรวมถึงการตรวจสอบ Process Enumeration, การค้นหาเครือข่าย, ข้อมูลผู้ใช้ และโดเมน และการเก็บข้อมูลของระบบ

Martin Zugec ผู้อำนวยการฝ่ายโซลูชันทางเทคนิคของ Bitdefender เปิดเผยว่า อย่างน้อย 5% ของการโจมตีที่ตรวจพบ นำไปสู่การติดตั้ง XMRig เครื่องขุดสกุลเงินดิจิทัล

Zugec เสริมว่า "อีกหนึ่งแคมเปญเล็ก ๆ ที่เกี่ยวข้องกับการติดตั้ง Nicehash Miners ซึ่งเป็นแพลตฟอร์มที่ช่วยให้ผู้ใช้งานสามารถขาย computing power เพื่อแลกกับคริปโตฯ"

"กระบวนการขุดถูกปลอมแปลงเป็นแอปพลิเคชันที่ดูเหมือนถูกต้องตามปกติ เช่น javawindows.

กลุ่มแฮ็กเกอร์ที่ได้รับการสนับสนุนจากรัฐบาลอย่างน้อย 11 กลุ่มจาก เกาหลีเหนือ, อิหร่าน, รัสเซีย และจีน ได้ใช้ช่องโหว่ zero-day ใหม่ของ Windows ในการขโมยข้อมูลมาตั้งแต่ปี 2017

อย่างไรก็ตาม นักวิจัยด้านความปลอดภัย Peter Girnus และ Aliakbar Zahravi จาก Zero Day Initiative (ZDI) ของบริษัท Trend Micro รายงานเมื่อวันที่ 18 มีนาคม 2025 ว่า ทาง Microsoft ได้พิจารณาแล้วว่าช่องโหว่นี้ "ไม่เข้าข่ายที่ต้องได้รับการแก้ไข" ในช่วงปลายเดือนกันยายน และตัดสินใจไม่ออกอัปเดตความปลอดภัยเพื่อแก้ไขปัญหานี้

นักวิจัยระบุว่า "ได้พบตัวอย่างไฟล์ Shell Link (.lnk) กว่า 1,000 ไฟล์ ที่ใช้ช่องโหว่ ZDI-CAN-25373 แต่มีความเป็นไปได้สูงว่าจำนวนการโจมตีที่เกิดขึ้นจริงอาจมากกว่านี้" หลังจากนั้นนักวิจัยได้ส่ง Proof-of-Concept exploit ผ่านโปรแกรม Bug Bounty ของ Trend ZDI ไปยัง Microsoft แต่ทาง Microsoft ปฏิเสธที่จะออกแพตช์ความปลอดภัยเพื่อแก้ไขช่องโหว่นี้

แม้ว่า Microsoft จะยังไม่ได้กำหนด CVE-ID ให้กับช่องโหว่นี้ แต่ Trend Micro กำลังติดตามช่องโหว่นี้ภายในองค์กรภายใต้หมายเลข ZDI-CAN-25373 โดยระบุว่า ช่องโหว่นี้ทำให้ผู้โจมตีสามารถรันโค้ดที่เป็นอันตรายบนระบบ Windows ที่ได้รับผลกระทบได้

จากการตรวจสอบของนักวิจัย พบว่าช่องโหว่ ZDI-CAN-25373 ถูกใช้ในการโจมตีอย่างแพร่หลายโดยกลุ่มผู้โจมตีที่ได้รับการสนับสนุนจากรัฐบาล และกลุ่มอาชญากรรมไซเบอร์ เช่น Evil Corp, APT43 (Kimsuky), Bitter, APT37, Mustang Panda, SideWinder, RedHotel, Konni และกลุ่มอื่น ๆ

แม้ว่าแคมเปญดังกล่าวจะมีเป้าหมายไปทั่วโลก แต่ส่วนใหญ่เน้นไปที่ อเมริกาเหนือ, อเมริกาใต้, ยุโรป, เอเชียตะวันออก และออสเตรเลีย และจากการวิเคราะห์การโจมตีทั้งหมดพบว่าเกือบ 70% เชื่อมโยงกับการจารกรรม และขโมยข้อมูล ขณะที่เพียง 20% มีเป้าหมายเพื่อผลประโยชน์ทางการเงิน

Trend Micro ระบุเพิ่มเติมว่า แคมเปญโจมตีเหล่านี้มีการใช้มัลแวร์ และเป็นมัลแวร์ในรูปแบบ loaders หลากหลายประเภท เช่น Ursnif, Gh0st RAT และ Trickbot

ช่องโหว่ Zero-day ของ Windows (ZDI-CAN-25373)

ช่องโหว่ใหม่ที่ถูกพบใน Windows (ภายใต้หมายเลข ZDI-CAN-25373) เกิดจากช่องโหว่ User Interface (UI) Misrepresentation of Critical Information (CWE-451) ซึ่งทำให้แฮ็กเกอร์สามารถใช้ช่องโหว่นี้ของ Windows ในการแสดงผลไฟล์ shortcut (.lnk) เพื่อหลบเลี่ยงการตรวจจับ และรันโค้ดบนอุปกรณ์ที่มีช่องโหว่โดยที่ผู้ใช้ไม่รู้ตัว

กลุ่มผู้โจมตีใช้ช่องโหว่ ZDI-CAN-25373 โดยซ่อน arguments คำสั่งที่เป็นอันตรายไว้ในไฟล์ shortcut (.LNK) ซึ่งใช้ช่องว่างพิเศษเพื่อซ่อนคำสั่งในโครงสร้าง COMMAND_LINE_ARGUMENTS

นักวิจัยระบุว่าช่องว่างพิเศษที่ใช้ในไฟล์ .lnk สามารถอยู่ในรูปแบบของ hex codes สำหรับ Space (\x20), Horizontal Tab (\x09), Linefeed (\x0A), Vertical Tab (\x0B), Form Feed (\x0C), และ Carriage Return (\x0D) ซึ่งสามารถใช้เป็นการเติมช่องว่างได้

หากผู้ใช้ Windows ตรวจสอบไฟล์ .lnk ดังกล่าว arguments คำสั่งที่เป็นอันตรายจะไม่แสดงในอินเทอร์เฟซของ Windows เนื่องจากช่องว่างที่เพิ่มเข้าไป ดังนั้น arguments คำสั่งที่เพิ่มโดยผู้โจมตีจะยังคงซ่อนอยู่จากการมองเห็นของผู้ใช้

Trend Micro ได้ออกคำเตือนในวันที่ 18 มีนาคม 2025 โดยระบุว่า จำเป็นต้องมีการโต้ตอบของผู้ใช้ในการโจมตีโดยใช้ช่องโหว่นี้ โดยเป้าหมายจะต้องเข้าไปเยี่ยมชมหน้าเว็บที่เป็นอันตราย หรือเปิดไฟล์ที่เป็นอันตราย

ข้อมูลที่สร้างขึ้นในไฟล์ .LNK อาจทำให้เนื้อหาอันตรายในไฟล์ไม่สามารถมองเห็นได้จากผู้ใช้ที่ตรวจสอบไฟล์ผ่านอินเทอร์เฟซของ Windows และผู้โจมตีสามารถใช้ช่องโหว่นี้เพื่อรันโค้ดด้วยสิทธิ์ของของผู้ใช้งานปัจจุบันได้

ช่องโหว่นี้มีความคล้ายกับอีกช่องโหว่ที่มีหมายเลข CVE-2024-43461 ซึ่งทำให้ผู้โจมตีสามารถใช้ 26 encoded braille whitespace characters (%E2%A0%80) เพื่อซ่อนไฟล์ HTA ที่สามารถดาวน์โหลดมัลแวร์ที่เป็นอันตรายในรูปแบบ PDF ได้ โดยช่องโหว่ CVE-2024-43461 ถูกพบโดย Peter Girnus นักวิจัยด้านภัยคุกคามอาวุโสจาก Trend Micro's Zero Day และได้รับการแก้ไขโดย Microsoft ในการอัปเดต Patch Tuesday ประจำเดือนกันยายน 2024

กลุ่มผู้โจมตี Void Banshee APT ได้ใช้ประโยชน์จาก CVE-2024-43461 ในการโจมตีแบบ Zero-day เพื่อติดตั้งมัลแวร์ขโมยข้อมูล ในแคมเปญโจมตีองค์กรต่าง ๆ ในอเมริกาเหนือ, ยุโรป และเอเชียตะวันออกเฉียงใต้

เมื่อวันที่ 18 มีนาคม 2025 ที่ผ่านมา โฆษกของ Microsoft ระบุว่า บริษัทกำลังพิจารณาที่จะแก้ไขช่องโหว่นี้ในอนาคต

Microsoft ระบุว่า ขอขอบคุณ ZDI ที่ได้ส่งรายงานนี้ภายใต้ coordinated vulnerability disclosure และ Microsoft Defender มีการตรวจจับเพื่อค้นหา และบล็อกพฤติกรรมภัยคุกคามนี้อยู่แล้ว และ Smart App Control จะช่วยเพิ่มการป้องกันโดยการบล็อกไฟล์อันตรายจากอินเทอร์เน็ต ในฐานะที่เป็นแนวทางปฏิบัติที่ดีที่สุดด้านความปลอดภัย ขอแนะนำให้ลูกค้าใช้ความระมัดระวังเมื่อดาวน์โหลดไฟล์จากแหล่งที่ไม่รู้จักตามคำเตือนด้านความปลอดภัย ซึ่งได้รับการออกแบบมาเพื่อระบุ และเตือนผู้ใช้เกี่ยวกับไฟล์ที่อาจเป็นอันตราย แม้ว่าประสบการณ์ของ UI ที่อธิบายไว้ในรายงานนี้ จะไม่เข้าข่ายที่ต้องได้รับการแก้ไขในทันทีตามแนวทางการจัดประเภทความรุนแรงของบริษัท แต่ Microsoft จะพิจารณาในการแก้ไขช่องโหว่นี้ในการอัปเดตฟีเจอร์ในอนาคต

ที่มา : bleepingcomputer

 

Google กำลังทำการเข้าซื้อกิจการครั้งใหญ่ที่สุดในประวัติศาสตร์ของบริษัท โดยเข้าซื้อบริษัทด้านความปลอดภัยบนระบบคลาวด์ Wiz ด้วยจำนวนเงินมูลค่า 32 พันล้านดอลลาร์

Google ระบุในวันนี้ว่า "การเข้าซื้อกิจการครั้งนี้เป็นการลงทุนของ Google Cloud เพื่อเร่งตอบสนองต่อสองแนวโน้มในยุค AI คือ 1. การเพิ่มความปลอดภัยในระบบคลาวด์ และ 2. ความสามารถในการใช้คลาวด์หลากหลายรูปแบบ (multicloud)"

Google ยังเสริมอีกว่าการเข้าซื้อกิจการครั้งนี้ ยังต้องรอการอนุมัติจากหน่วยงานกำกับดูแล โดยมีวัตถุประสงค์เพื่อมอบ "แพลตฟอร์มความปลอดภัยที่ครอบคลุม" (comprehensive security platform) ที่จะช่วยรักษาความปลอดภัยให้กับ modern IT environments แก่ลูกค้า

Thomas Kurian CEO ของ Google Cloud ระบุว่า การนำบริการคลาวด์ของพวกเขามารวมเข้ากับ Wiz จะช่วย "กระตุ้นการใช้งานความปลอดภัยทางไซเบอร์บนระบบ multicloud, การนำระบบ multicloud มาใช้ รวมถึงการแข่งขัน และการเติบโตในอุตสาหกรรม cloud computing"

Assaf Rappaport CEO ของ Wiz ระบุว่า บริษัทจะยังคงเป็นแพลตฟอร์ม multicloud ที่เป็นอิสระแม้หลังจากการเข้าซื้อกิจการเสร็จสิ้น และจะยังคงทำงานร่วมกับบริษัทคลาวด์อื่น ๆ เช่น Amazon Web Services (AWS), Microsoft Azure และ Oracle Cloud

ความเคลื่อนไหวในครั้งนี้เกิดขึ้นเพียงสามปีหลังจากที่ Google เข้าซื้อกิจการ Mandiant ด้วยมูลค่า 5.4 พันล้านดอลลาร์ และเกิดขึ้นเพียงเจ็ดเดือนหลังจากบริษัทพยายามเข้าซื้อกิจการ Wiz ด้วยข้อเสนอมูลค่า 23 พันล้านดอลลาร์ แต่ไม่สำเร็จ

นอกจากนี้ ที่ผ่านมา Google ยังได้เข้าซื้อกิจการที่เกี่ยวข้องกับความปลอดภัยอื่น ๆ ได้แก่ VirusTotal (ในเดือนกันยายน 2012) และ Siemplify (ในเดือนมกราคม 2022)

ที่มา : thehackernews

Ransomware Black Basta ได้สร้าง Automated Brute-forcing Framework เรียกว่า "BRUTED" เพื่อเจาะอุปกรณ์เครือข่ายไฟร์วอลล์ และ VPN โดย Büyükkaya นักวิจัยที่ค้นพบระบุว่า Black Basta ได้ใช้ BRUTED มาตั้งแต่ปี 2023 เพื่อโจมตีแบบ Credential-stuffing

จากการวิเคราะห์ Code แสดงให้เห็นว่า Framework นี้ได้รับการออกแบบมาเพื่อ Brute-force Credentials บนระบบ VPN และการเข้าถึงจากระยะไกลบนบนผลิตภัณฑ์ SonicWall NetExtender, Palo Alto GlobalProtect, Cisco AnyConnect, Fortinet SSL VPN, Citrix NetScaler (Citrix Gateway), Microsoft RDWeb (Remote Desktop Web Access) และ WatchGuard SSL VPN

Framework จะค้นหาอุปกรณ์ที่เข้าถึงได้จาก Public ที่ตรงกับรายการเป้าหมาย โดยการใช้ Subdomain Enumeration หรือการระบุที่อยู่ IP และการเพิ่มคำนำหน้าเช่น ".vpn" หรือ "remote" และข้อมูลจะถูกส่งกลับไปยังเซิร์ฟเวอร์ C2 ของผู้โจมตี

เมื่อระบุเป้าหมายได้ BRUTED จะดึงข้อมูลรหัสผ่านที่น่าจะเป็นไปได้จาก remote server และร่วมกับการคาดเดารหัส โดย Framework สามารถดึงชื่อ Common Name (CN) และ Subject Alternative Names (SAN) ออกจาก SSL certificates ของอุปกรณ์เป้าหมายได้ ซึ่งจะช่วยสร้างการคาดเดารหัสผ่านที่น่าจะเป็นไปได้เพิ่มเติมตามโดเมน และการตั้งชื่อของเป้าหมาย

ต่อมาคือการทำ Authentication ทดลอง Login หลายครั้ง ผ่าน CPU หลายตัว ซึ่งมี Code ตัวอย่างจากนักวิจัย แสดงให้เห็นว่ามี Code เฉพาะของแต่ละอุปกรณ์ที่เป็นเป้าหมาย โดยที่มีการใช้ Proxy SOCKS5 เพื่อหลีกเลี่ยงการตรวจจับเพิ่มเติม

BRUTED ยังช่วยเพิ่มประสิทธิภาพการทำงานของกลุ่ม Ransomware เนื่องจากความสามารถในการพยายามเจาะเครือข่ายจำนวนมากพร้อมกัน ส่งผลให้มีโอกาสโจมตีสำเร็จมากขึ้น

แนวทางการป้องกันที่สำคัญคือ การบังคับใช้รหัสผ่านที่คาดเดาได้ยาก และไม่ซ้ำกันของแต่ละอุปกรณ์ รวมถึงบัญชี VPN ทั้งหมด และใช้การยืนยันตัวตนแบบหลายปัจจัย (MFA) เพื่อบล็อกการเข้าถึง แม้ว่า Credential จะถูก Compromise ไปแล้วก็ตาม นอกจากนี้ควร Monitor การ Authentication จากตำแหน่งที่ผิดปกติ และการพยายามเข้าสู่ระบบไม่สำเร็จปริมาณมาก รวมถึงกำหนด Policy สำหรับจำกัดการ Login

ที่มา : bleepingcomputer

แคมเปญฟิชชิ่งขนาดใหญ่ได้โจมตี repositories บน GitHub เกือบ 12,000 รายการ โดยสร้าง "Security Alert" ปลอมเพื่อหลอกให้นักพัฒนาอนุญาตให้แอป OAuth ที่เป็นอันตรายเข้าถึงบัญชีของพวกเขา ซึ่งทำให้ผู้โจมตีสามารถเข้าควบคุมบัญชี และโค้ดได้อย่างเต็มที่

โดยข้อความในฟิชชิ่งบน GitHub จะระบุว่า "Security Alert: Unusual Access Attempt เราตรวจพบความพยายามเข้าสู่ระบบบัญชี GitHub ของคุณจากตำแหน่งที่ตั้ง หรืออุปกรณ์ใหม่"

ข้อความฟิชชิ่งทั้งหมดบน GitHub มีข้อความลักษณะเดียวกัน โดยเตือนผู้ใช้งานว่ามีการเข้าสู่ระบบที่ผิดปกติจากเมืองเรคยาวิก ประเทศไอซ์แลนด์ และจาก IP Address 53.253.117.8

นักวิจัยด้านความปลอดภัยทางไซเบอร์ Luc4m เป็นคนแรกที่พบการแจ้งเตือนความปลอดภัยปลอม ซึ่งเตือนผู้ใช้ GitHub ว่าบัญชีของพวกเขาถูกบุกรุก และแนะนำให้เปลี่ยนรหัสผ่าน ตรวจสอบ และจัดการเซสชันที่ใช้งานอยู่ และเปิดใช้งานตรวจสอบสิทธิ์สองขั้นตอน (2FA) เพื่อรักษาความปลอดภัยให้กับบัญชีของตน

อย่างไรก็ตาม ลิงก์ทั้งหมดที่แนบมากับคำแนะนำเหล่านี้กลับนำผู้ใช้ไปยังหน้าการให้สิทธิ์ ของ GitHub สำหรับแอป OAuth ชื่อ "gitsecurityapp" ซึ่งร้องขอสิทธิ์การเข้าถึงที่มีความเสี่ยงสูง และจะทำให้ผู้โจมตีสามารถเข้าควบคุมบัญชี และ repositories ของผู้ใช้ได้อย่างสมบูรณ์

รายการสิทธิ์ที่ขอ และการเข้าถึงที่ได้รับ

repo: ให้สิทธิ์เข้าถึง repositories สาธารณะ และส่วนตัวได้อย่างเต็มที่
user: สามารถอ่าน และเขียนข้อมูลโปรไฟล์ของผู้ใช้
read:org: อ่านข้อมูลสมาชิกองค์กร, โปรเจกต์ขององค์กร และการเป็นสมาชิกทีม
read:discussion, write:discussion: อ่าน และเขียนเพื่อการเข้าถึงการสนทนา
gist: เข้าถึง GitHub Gists
delete_repo: มีสิทธิ์ลบ repositories
workflows, workflow, write:workflow, read:workflow, update:workflow: ควบคุม GitHub Actions workflows ได้

หากผู้ใช้ GitHub ลงชื่อเข้าใช้ และอนุญาตให้แอป OAuth ที่เป็นอันตรายเข้าถึง ระบบจะสร้างโทเค็นการเข้าถึง และส่งกลับไปยัง callback address ของแอป ซึ่งในแคมเปญนี้พบว่าเป็นหน้าเว็บเพจที่โฮสต์บน onrender.

GSM หรือ GSMA ได้ประกาศอย่างเป็นทางการถึงการสนับสนุนการเข้ารหัสแบบ End-to-End (E2EE) เพื่อเพิ่มความปลอดภัยในการส่งข้อความผ่านโปรโตคอล Rich Communications Services (RCS) โดยเฉพาะสำหรับการสื่อสารข้ามแพลตฟอร์มระหว่าง Android และ iOS

ด้วยเหตุนี้ ข้อกำหนดใหม่ของ GSMA สำหรับ RCS รวมถึง E2EE ที่ใช้โปรโตคอล Messaging Layer Security (MLS) ผ่านสิ่งที่เรียกว่า RCS Universal Profile 3.0

Tom Van Pelt ผู้อำนวยการด้านเทคนิคของ GSMA ระบุว่า "ข้อกำหนดใหม่นี้กำหนดวิธีการใช้ MLS ในบริบทของ RCS โดยกระบวนการเหล่านี้ช่วยให้แน่ใจว่าข้อความ และเนื้อหาอื่น ๆ เช่น ไฟล์ จะยังคงเป็นความลับ และปลอดภัยในระหว่างการส่งผ่านข้อมูลของผู้ใช้งาน"

นอกจากนี้ ยังหมายความว่า RCS จะกลายเป็นบริการส่งข้อความขนาดใหญ่ (large-scale messaging service) รายแรก ที่รองรับการเข้ารหัสแบบ End-to-End (E2EE) ที่สามารถทำงานร่วมกันได้ระหว่างไคลเอนต์ต่าง ๆ จากผู้ให้บริการที่แตกต่างกันในอนาคตอันใกล้

มีข้อสังเกตว่า RCS ของ Google ที่ใช้ในแอป Messages บน Android ใช้โปรโตคอล Signal เพื่อรักษาความปลอดภัยในการสนทนา เนื่องจากยังไม่มีการป้องกันแบบ E2EE ในตัว อย่างไรก็ตาม การเข้ารหัสดังกล่าวยังคงจำกัดเฉพาะข้อความที่แลกเปลี่ยนผ่านแอป Messages เท่านั้น และยังไม่รองรับการเข้ารหัสสำหรับข้อความที่ส่งถึงผู้ใช้ iOS Messages หรือผู้ใช้ RCS รายอื่น ๆ บน Android

การพัฒนานี้เกิดขึ้นเมื่อประมาณ 6 เดือนแล้วหลังจากที่ GSMA ระบุว่า กำลังดำเนินการนำการเข้ารหัสแบบ End-to-End (E2EE) มาใช้ เพื่อเพิ่มความปลอดภัยในการส่งข้อความระหว่างระบบ Android และ iOS โดยการเคลื่อนไหวครั้งนี้เกิดขึ้นหลังจากที่ Apple ตัดสินใจเพิ่มการรองรับ RCS ในแอป Messages ของตนเองบน iOS 18

ในเดือนกรกฎาคม 2023 ที่ผ่านมา Google เปิดเผยว่ามีแผนที่จะเพิ่มการรองรับโปรโตคอล MLS ให้กับบริการ Messages ของตน รวมถึงการพัฒนาโอเพนซอร์สตามข้อกำหนดดังกล่าวอีกด้วย

Van Pelt ระบุว่า "RCS ยังคงรองรับฟังก์ชันการส่งข้อความที่สามารถทำงานร่วมกันได้ระหว่างผู้ใช้ iOS และ Android เช่น การส่งข้อความกลุ่ม, การแชร์ข้อมูล Media ที่มีความละเอียดสูง"

Google ได้แสดงความคิดเห็นโดยระบุว่า "เราให้ความสำคัญกับการมอบประสบการณ์การส่งข้อความที่ปลอดภัยมาโดยตลอด และผู้ใช้ Google Messages สามารถใช้งาน RCS ที่เข้ารหัสแบบ End-to-End (E2EE) ได้มาหลายปีแล้ว เรารู้สึกตื่นเต้นกับข้อกำหนดใหม่จาก GSMA และจะทำงานร่วมกับ mobile ecosystem อื่น ๆ ให้เร็วที่สุดเท่าที่จะเป็นไปได้ เพื่อปรับใช้ และขยายการป้องกันนี้ไปยังการส่งข้อความ RCS ระหว่างแพลตฟอร์ม"

ที่มา : thehackernews

Microsoft ประกาศว่าจะยุติการสนับสนุน Remote Desktop app ซึ่งสามารถดาวน์โหลดได้ผ่าน Microsoft Store ในวันที่ 27 พฤษภาคม 2025 และแทนที่ด้วย Windows App
โดยการเชื่อมต่อกับ Windows 365, Azure Virtual Desktop และ Microsoft Dev Box ผ่านแอป Remote Desktop จาก Microsoft Store จะถูกบล็อคหลังจากวันที่ 27 พฤษภาคม 2025 ซึ่งสามารถตรวจสอบข้อจำกัดในการย้ายจาก Remote Desktop app ไปยัง Windows App ได้จาก Known issues and limitations of Windows App

Windows App ได้รับการออกแบบมาสำหรับ Account แบบ work และ school และช่วยเชื่อมต่อกับ Azure Virtual Desktop, Windows 365, Microsoft Dev Box, Remote Desktop Services และ remote PCs โดยสามารถใช้งานได้จาก PCs, tablets, smartphones และ web browsers เพื่อเชื่อมต่อกับ cloud PCs, virtual desktops, local PCs across Windows 365, Remote Desktop, Remote Desktop Services, Azure Virtual Desktop และ Microsoft Dev Box ที่ถือว่าเป็น gateway to Windows ซึ่งได้เปิดทดลองให้ใช้งานตั้งแต่ปี 2023 และเปิดตัวอย่างเป็นทางการในเดือนกันยายน 2024

อย่างไรก็ตาม แม้ว่าจะอยู่ระหว่างการพัฒนาเป็นเวลาหลายปี แต่ Windows App ก็ยังไม่รองรับบริการ Remote Desktop และการเชื่อมต่อ Remote PC บน Windows แม้ว่าจะรองรับบนแพลตฟอร์มอื่น ๆ ทั้งหมดก็ตาม (เช่น macOS, iOS/iPadOS, Android, Chrome OS, เว็บ และ Meta Quest) จึงแนะนำให้ผู้ใช้ Remote Desktop และ Remote Desktop Services ใช้แอป Remote Desktop Connection ในตัวของ Windows เพื่อเชื่อมต่อกับ remote desktop

ทั้งนี้ผู้ใช้ที่เชื่อมต่อกับ remote desktops จาก Remote Desktop app ควรใช้การเชื่อมต่อ Remote Desktop Connection จนกว่าจะมีการรองรับประเภทการเชื่อมต่อนี้ใน Windows App
หากต้องการเชื่อมต่อกับอุปกรณ์ระยะไกลโดยใช้ Remote Desktop Connection ให้ค้นหา Remote Desktop Connection ในเมนู Start ของ Windows คลิกรายการ จากนั้นพิมพ์ชื่อพีซีที่คุณต้องการเชื่อมต่อ แล้วคลิก "Connect"

ที่มา : bleepingcomputer

อาชญากรไซเบอร์กำลังโปรโมตแอป Microsoft OAuth ที่เป็นอันตราย โดยปลอมตัวเป็นแอปของ Adobe และ DocuSign เพื่อติดตั้งมัลแวร์ และขโมยข้อมูล credentials ของบัญชี Microsoft 365

แคมเปญเหล่านี้ถูกพบโดยนักวิจัยจาก Proofpoint ซึ่งโพสต์ผ่านบน X โดยระบุว่า การโจมตีนี้เป็น "highly targeted" อย่างชัดเจน

แอป OAuth ที่เป็นอันตรายในแคมเปญนี้จะปลอมตัวเป็น Adobe Drive, Adobe Drive X, Adobe Acrobat และ DocuSign

แอปเหล่านี้จะขอการเข้าถึงสิทธิ์แบบ less sensitive permissions เช่น profile, email และ openid เพื่อหลีกเลี่ยงการถูกตรวจจับ และสร้างความสงสัย

หากได้รับอนุญาตให้เข้าถึงสิทธิ์เหล่านี้ ผู้โจมตีจะสามารถเข้าถึงข้อมูลต่อไปนี้

Profile : ชื่อ-นามสกุล, User ID, รูปโปรไฟล์, Username
Email : Email address หลัก (แต่ไม่สามารถเข้าถึงกล่องจดหมายได้)
Openid : ช่วยให้สามารถยืนยันตัวตนของผู้ใช้ และดึงข้อมูลรายละเอียดบัญชี Microsoft ได้

Proofpoint ให้ข้อมูลกับ BleepingComputer ว่า แคมเปญฟิชชิ่งเหล่านี้ถูกส่งจากองค์กรการกุศล หรือบริษัทขนาดเล็กที่ถูกโจมตีบัญชีอีเมล ซึ่งน่าจะเป็นบัญชี Office 365

อีเมลฟิชชิ่งเหล่านี้มุ่งเป้าไปยังหลายอุตสาหกรรมในสหรัฐอเมริกา และยุโรป รวมไปถึง government, healthcare, supply chain และ retail โดยอีเมลบางฉบับที่ Proofpoint พบ มีการใช้เทคนิคหลอกล่อผู้ใช้งาน เช่น RFPs และ สัญญาทางธุรกิจ เพื่อหลอกให้ผู้รับคลิกลิงก์

แม้ว่าสิทธิ์ที่ได้รับจากแอป Microsoft OAuth จะให้ข้อมูลกับผู้โจมตีเพียงบางส่วน แต่ข้อมูลดังกล่าวก็สามารถนำไปใช้ในการโจมตีแบบ targeted attacks ได้

นอกจากนี้ เมื่อผู้ใช้ให้สิทธิ์แอป OAuth แล้ว ระบบจะเปลี่ยนเส้นทางผู้ใช้ไปยังหน้า Landing Page ซึ่งอาจแสดงแบบฟอร์มฟิชชิ่งเพื่อขโมย Microsoft 365 credentials หรือแพร่กระจายมัลแวร์

Proofpoint ให้ข้อมูลกับ BleepingComputer ว่า "เหยื่อจะถูก redirect หลายครั้ง และหลายขั้นตอนหลังจากการอนุญาตแอป O365 OAuth ก่อนที่จะถูกนำไปยังการติดมัลแวร์ หรือหน้าเว็บฟิชชิ่งที่อยู่เบื้องหลัง"

ในบางกรณี เหยื่อถูกเปลี่ยนเส้นทางไปยังหน้า "O365 login" ปลอม ซึ่งโฮสต์อยู่บนโดเมนที่เป็นอันตราย และภายในเวลาไม่ถึงนาทีหลังจากการอนุญาตแอป OAuth ทาง Proofpoint พบว่าจะมีการ Login เข้าสู่ระบบที่น่าสงสัยในบัญชีของเหยื่อ

Proofpoint ระบุว่า ไม่สามารถระบุได้ว่ามัลแวร์ที่ถูกแพร่กระจายเป็นมัลแวร์แบบใด แต่พบว่าผู้โจมตีใช้เทคนิค ClickFix ซึ่งเป็นเทคนิคหนึ่งในการโจมตีแบบ Social Engineering ที่ได้รับความนิยมอย่างมากในช่วงปีที่ผ่านมา

การโจมตีเหล่านี้คล้ายกับเหตุการณ์ที่เคยถูกรายงานเมื่อหลายปีก่อน แสดงให้เห็นว่าแอป OAuth ยังคงเป็นวิธีที่มีประสิทธิภาพในการเข้าควบคุมบัญชี Microsoft 365 โดยไม่ต้องขโมยข้อมูล credentials

ขอแนะนำให้ผู้ใช้งานระมัดระวัง permission requests จากแอป OAuth และตรวจสอบแหล่งที่มา รวมถึงความน่าเชื่อถือของแอปก่อนที่จะอนุมัติการให้สิทธิ์

หากต้องการตรวจสอบการอนุมัติที่มีอยู่แล้ว ให้ไปที่ 'My Apps' (myapplications.

CISA แจ้งเตือนปฏิบัติการของกลุ่มแรนซัมแวร์ Medusa ได้ส่งผลกระทบต่อองค์กรมากกว่า 300 แห่งในภาคส่วนโครงสร้างพื้นฐานที่สำคัญในสหรัฐอเมริกาจนถึงเมื่อเดือนที่ผ่านมา

ข้อมูลนี้ถูกเปิดเผยในคำแนะนำที่ออกมาในวันนี้ (12 มีนาคม 2025) โดยประสานงานกับสำนักงานสอบสวนกลาง (FBI) และ ศูนย์แบ่งปัน และวิเคราะห์ข้อมูลจากหลายรัฐ (MS-ISAC)

CISA, FBI และ MS-ISAC ระบุว่า "เมื่อเดือนกุมภาพันธ์ 2025 กลุ่ม Medusa และพันธมิตร โจมตีเหยื่อมากกว่า 300 รายจากหลายภาคส่วนของโครงสร้างพื้นฐานที่สำคัญ โดยอุตสาหกรรมที่ได้รับผลกระทบประกอบด้วย การแพทย์, การศึกษา, กฎหมาย, ประกันภัย, เทคโนโลยี และการผลิต"

“FBI, CISA และ MS-ISAC สนับสนุนให้องค์กรต่าง ๆ ดำเนินการตามคำแนะนำในส่วนของการลดผลกระทบตามคำแนะนำฉบับนี้ เพื่อลดโอกาส และผลกระทบจากเหตุการณ์ที่เกี่ยวข้องกับแรนซัมแวร์ Medusa”

ตามที่คำแนะนำระบุไว้ เพื่อป้องกันการโจมตีจากแรนซัมแวร์ Medusa ผู้ป้องกันระบบควรใช้มาตรการต่อไปนี้ :

ลดความเสี่ยงจากช่องโหว่ด้านความปลอดภัยที่เป็นที่รู้จัก โดยควรดำเนินการให้ระบบปฏิบัติการ ซอฟต์แวร์ และเฟิร์มแวร์ได้รับการอัปเดตแพตช์ให้เป็นเวอร์ชันล่าสุดภายในระยะเวลาที่เหมาะสม
ดำเนินการทำ Networks Segment เพื่อลดการโจมตีในลักษณะ Lateral Movement ระหว่างอุปกรณ์ที่ติดมัลแวร์ และอุปกรณ์อื่น ๆ ภายในองค์กร
Filter Network Traffic โดยปิดกั้นการเข้าถึงจากแหล่งที่มาที่ไม่รู้จัก หรือไม่น่าเชื่อถือจาก remote services มายังระบบภายใน

ปฏิบัติการของแรนซัมแวร์กลุ่มนี้ ถูกพบครั้งแรกเมื่อ 4 ปีก่อนในเดือนมกราคม 2021 แต่การดำเนินการของกลุ่มนี้เพิ่งกลับมาเพิ่มขึ้นอีกครั้งเมื่อสองปีที่แล้วในปี 2023 เมื่อพวกเขาเปิดตัวเว็บไซต์ Medusa Blog เพื่อกดดันเหยื่อให้จ่ายค่าไถ่โดยใช้ข้อมูลที่ถูกขโมยมาเป็นเครื่องมือในการต่อรอง

Medusa เปิดตัวครั้งแรกในรูปแบบแรนซัมแวร์แบบปิด โดยที่กลุ่มผู้โจมตีเพียงกลุ่มเดียวจะรับผิดชอบในการพัฒนา และการดำเนินงานทั้งหมด แม้ว่า Medusa จะพัฒนาไปเป็น Ransomware-as-a-Service (RaaS) และนำเอาโมเดลพันธมิตรมาใช้ในภายหลัง แต่ผู้พัฒนายังคงดูแลการดำเนินการที่สำคัญ รวมถึงการเจรจาค่าไถ่

“นักพัฒนาของ Medusa มักจะรับสมัคร initial access brokers (IABs) จากฟอรัมของอาชญากรไซเบอร์เพื่อขอสิทธิ์ในการเข้าถึงเหยื่อที่มีศักยภาพ อาจมีการจ่ายเงินระหว่าง 100 ดอลลาร์สหรัฐฯ ถึง 1 ล้านดอลลาร์สหรัฐฯ สำหรับพันธมิตรที่ให้ข้อมูลเหล่านี้ พร้อมเสนอโอกาสทำงานกับ Medusa โดยเฉพาะ"

นอกจากนี้ยังพบว่ากลุ่มมัลแวร์หลายกลุ่ม และปฏิบัติการอาชญากรรมทางไซเบอร์ มีการใช้ชื่อ Medusa รวมถึง botnet ที่มีพื้นฐานจาก Mirai ซึ่งมีความสามารถในการโจมตีแรนซัมแวร์ และปฏิบัติการมัลแวร์ Malware-as-a-service (MaaS) สำหรับ Android ที่ค้นพบในปี 2020 (ที่รู้จักกันในชื่อ TangleBot)

เนื่องจากการใช้ชื่อที่พบบ่อยนี้ จึงมีรายงานที่ทำให้เกิดความสับสนเกี่ยวกับแรนซัมแวร์ Medusa โดยหลายคนคิดว่าเป็นการปฏิบัติการเดียวกับ MedusaLocker ซึ่งเป็นแรนซัมแวร์ที่รู้จักกันอย่างแพร่หลาย แม้ว่าทั้งสองจะเป็นการปฏิบัติการที่แตกต่างกันโดยสิ้นเชิง

การโจมตีด้วยแรนซัมแวร์ Medusa มีแนวโน้มเพิ่มขึ้น

ตั้งแต่ที่มีการเปิดโปง กลุ่ม Medusa ได้อ้างว่ามีเหยื่อกว่า 400 รายทั่วโลก และได้รับความสนใจมากขึ้นในเดือนมีนาคม 2023 หลังจากอ้างความรับผิดชอบในการโจมตีเขตการศึกษาของรัฐมินนีแอโพลิส (MPS) และมีการแชร์วิดีโอของข้อมูลที่ถูกขโมยออกมา

กลุ่ม Medusa ยังได้ปล่อยไฟล์ที่อ้างว่าเป็นข้อมูลที่ขโมยมาจาก Toyota Financial Services ซึ่งเป็นบริษัทในเครือของ Toyota Motor Corporation บน Dark Extortion Portal ในเดือนพฤศจิกายน 2023 หลังจากที่บริษัทปฏิเสธที่จะจ่ายค่าไถ่ 8 ล้านดอลลาร์สหรัฐฯ และแจ้งลูกค้าเกี่ยวกับการละเมิดข้อมูล

ทีม Threat Hunter ของ Symantec ระบุเมื่อสัปดาห์ที่แล้ว "การโจมตีด้วยแรนซัมแวร์ Medusa เพิ่มขึ้น 42% ระหว่างปี 2023 และ 2024 และปฏิบัติการนี้ยังคงเพิ่มสูงขึ้นอย่างต่อเนื่อง โดยการโจมตีด้วย Medusa ในเดือนมกราคม และกุมภาพันธ์ 2025 เพิ่มขึ้นเกือบสองเท่าเมื่อเทียบกับสองเดือนแรกของปี 2024"

เมื่อเดือนที่แล้ว CISA และ FBI เคยได้ออกการแจ้งเตือนร่วมกัน โดยเตือนว่าผู้เสียหายจากหลายอุตสาหกรรมทั่วโลกกว่า 70 ประเทศ รวมถึงโครงสร้างพื้นฐานที่สำคัญ ได้ถูกละเมิดในเหตุการณ์โจมตีของ Ghost ransomware

ที่มา : bleepingcomputer

การโจมตีแบบ SIM swapping ยังคงเป็นภัยคุกคามที่สำคัญต่อบุคคล และสถาบันการเงิน แม้จะมีความพยายามอย่างต่อเนื่องจากผู้ให้บริการโทรคมนาคม และหน่วยงานกำกับดูแลในการเพิ่มมาตรการด้านความปลอดภัย

การโจมตีประเภทนี้เกี่ยวข้องกับผู้ไม่หวังดีที่ควบคุมหมายเลขโทรศัพท์ของเหยื่อจากการแลกเปลี่ยน หรือย้ายหมายเลข SIM โดยส่วนใหญ่จะใช้ข้อมูลส่วนตัว และข้อมูลทางการเงินที่ถูกขโมยมา ผ่านการโจมตีแบบฟิชชิ่ง หรือ social engineering

การพัฒนากลยุทธ์การโจมตีแบบ SIM swapping

โดยทั่วไปแล้ว ผู้ไม่หวังดีจะเริ่มการขอเปลี่ยน SIM โดยการใช้ช่องโหว่ในระบบของผู้ให้บริการโทรคมนาคม โดยส่วนมากจะใช้แอปพลิเคชันมือถือในการยื่นคำขอเปลี่ยน SIM

เพื่อหลีกเลี่ยงมาตรการป้องกันความปลอดภัย เช่น แพลตฟอร์มการยืนยันตัวตนทางอิเล็กทรอนิกส์ของรัฐบาลที่ต้องการการยืนยันตัวตนด้วยลายนิ้วมือ หรือการอนุมัติการเข้าสู่ระบบ ผู้ไม่หวังดีจะหลอกเหยื่อให้อนุมัติการแลกเปลี่ยน SIM โดยที่เหยื่อไม่รู้ตัว

การหลอกลวงนี้มักจะทำได้โดยการแอบอ้างเป็นตัวแทนจากบริการที่น่าเชื่อถือ เช่น การสมัครงาน หรือการอัปเดตบัญชี

เมื่อ SIM ของเหยื่ออยู่ภายใต้การควบคุมแล้ว ผู้ไม่หวังดีสามารถดักจับรหัสการยืนยันตัวตนแบบสองขั้นตอน (2FA) ผ่าน SMS ซึ่งทำให้สามารถทำธุรกรรมที่ไม่ได้รับอนุญาต และเข้าถึงบัญชีที่มีข้อมูลสำคัญได้

เว็บไซต์ฟิชชิ่งมีบทบาทสำคัญในการโจมตีแบบ SIM swapping เนื่องจากเว็บไซต์เหล่านี้ถูกออกแบบมาเพื่อเลียนแบบบริการที่น่าเชื่อถือ เช่น บริการที่เกี่ยวข้องกับรถยนต์, แพลตฟอร์มการจ้างงาน และสถาบันของรัฐบาล

ตามรายงานของ Group-IB เว็บไซต์เหล่านี้จะเก็บข้อมูลที่สำคัญจากผู้ใช้งานที่ไม่ทันระวัง ซึ่งข้อมูลเหล่านี้จะถูกนำไปใช้ในการดำเนินการแลกเปลี่ยน SIM และการเข้ายึดบัญชี

กรณีที่น่าสนใจเกี่ยวข้องกับเครือข่ายฟิชชิ่งที่มุ่งเป้าไปที่ลูกค้าประกันภัย ซึ่งมีหลายโดเมนที่เชื่อมโยงกับเครือข่ายของเว็บไซต์ปลอม แสดงให้เห็นถึงความจำเป็นในการร่วมมือกันในอุตสาหกรรม และการใช้ข้อมูลภัยคุกคามเชิงรุกเพื่อขัดขวางการดำเนินการเหล่านี้ตั้งแต่เนิ่น ๆ

ผลกระทบทางการเงิน

ผลกระทบทางการเงินจากการโจมตีแบบ SIM swapping อาจทำให้สูญเสียเงินตั้งแต่ไม่กี่ร้อยดอลลาร์จนถึงมากกว่า 160,000 ดอลลาร์ในกรณีที่ร้ายแรง

เพื่อลดความเสี่ยงเหล่านี้ สถาบันการเงินได้รับคำแนะนำให้ทำการระงับธุรกรรมที่มีความเสี่ยงสูงโดยอัตโนมัติเมื่อมีการตรวจพบการแลกเปลี่ยน SIM และต้องการการยืนยันตัวตนเพิ่มเติม

ผู้ใช้งานสามารถป้องกันได้โดยการเปลี่ยนการยืนยันตัวตนแบบสองขั้นตอนที่ใช้ SMS เป็นแอปพลิเคชันยืนยันตัวตนแทน และควรระมัดระวังการแจ้งเตือนด้านความปลอดภัยที่ผิดปกติ

ที่มา : gbhackers