แฮ็กเกอร์รัสเซียใช้วิธีการ Social engineering แอบอ้างเป็นเจ้าหน้าที่กระทรวงการต่างประเทศสหรัฐฯ เพื่อ Bypass MFA และเข้าถึงบัญชี Gmail โดยอาศัย app-specific passwords โดยแฮ็กเกอร์กลุ่มนี้มีเป้าหมายเป็นนักวิชาการ และนักวิจารณ์รัฐบาลรัสเซีย โดยใช้เทคนิคที่มีความซับซ้อน ปรับแต่งเฉพาะบุคคล และไม่ใช้วิธีการกดดันให้เหยื่อรีบดำเนินการอย่างใดอย่างหนึ่ง (more…)
แฮ็กเกอร์รัสเซีย bypass ระบบ MFA ของ Gmail โดยใช้รหัสผ่านที่ขโมยมาจากแอป
Infostealer Malware ภัยคุกคามที่อันตรายมากกว่ามัลแวร์ธรรมดา
Infostealer Malware คืออะไร
Infostealer เป็นมัลแวร์ที่มีเป้าหมายเฉพาะเจาะจงไปที่การขโมยข้อมูลภายในเครื่องที่ติดมัลแวร์ โดยการใช้ Infostealer เป็นที่นิยมในกลุ่ม Hacker เพื่อใช้เก็บรวบรวมบัญชีผู้ใช้ และรหัสผ่าน เพื่อนำมาใช้เป็นขั้นตอนแรกในการเข้าสู่ระบบภายในองค์กร (Intial Access) ซึ่งหลังจากเข้าถึงระบบได้แล้ว ก็อาจจะทำการโจมตีในรูปแบบ Ransomware หรือขโมยข้อมูลที่มีความสำคัญอื่น ๆ ออกไปได้
(more…)
ผู้ไม่หวังดีใช้โปรโตคอลเก่าใน Microsoft Entra ID เพื่อ Bypass MFA และ Conditional Access
Guardz Research พบแคมเปญการโจมตีทางไซเบอร์ที่มีความซับซ้อน และมีการประสานงานอย่างดี (more…)
PayPal จ่ายค่าชดเชย 2 ล้านดอลลาร์จากการถูกละเมิดข้อมูลในปี 2022
รัฐนิวยอร์กได้ประกาศการชำระเงินจำนวน 2,000,000 ดอลลาร์ของ PayPal หลังจากที่ถูกกล่าวหาว่าละเมิดข้อกำหนดด้านความปลอดภัยทางไซเบอร์ของรัฐ ซึ่งนำไปสู่การถูกละเมิดข้อมูลในปี 2022 (more…)
Google Cloud จะบังคับให้ใช้งาน MFA ภายในสิ้นปี 2025
Google ประกาศว่า การยืนยันตัวตนแบบหลายปัจจัย (MFA) จะเป็นข้อบังคับในทุกบัญชีของ Google Cloud ภายในสิ้นปี 2025 เพื่อเสริมความปลอดภัย (more…)
Microsoft เริ่มบังคับใช้การยืนยันตัวตนแบบ multi-factor สำหรับ Azure ในเดือนกรกฎาคมนี้
ตั้งแต่เดือนกรกฎาคมเป็นต้นไป Microsoft จะเริ่มบังคับใช้การยืนยันตัวตนแบบหลายปัจจัย (MFA) สำหรับผู้ที่ลงทะเบียนเข้าใช้งาน Azure ทุกคน
(more…)
Okta แจ้งเตือนกลุ่มแฮ็กเกอร์มุ่งเป้าการโจมตีไปยังแผนก IT help desks เพื่อเข้าถึง User Admin และปิดการใช้งาน MFA
Okta บริษัทจัดการข้อมูลประจำตัว และการเข้าถึงข้อมูล ออกมาแจ้งเตือนการโจมตีรูปแบบ Social Engineering ที่มีการกำหนดเป้าหมายไปที่ฝ่าย IT service desk ในสหรัฐอเมริกา โดยมีการพยายามหลอกให้พวกเขารีเซ็ต multi-factor authentication (MFA) ของผู้ใช้งานที่มีสิทธิ์สูง ซึ่งเป้าหมายของผู้โจมตีคือขโมย Super Administrator ที่มีสิทธิ์สูง เพื่อเข้าถึง และใช้ข้อมูลส่วนตัวของผู้ที่ถูกโจมตีมาแอบอ้าง (more…)
Coinbase ถูกโจมตีด้วยการมุ่งเป้าไปที่พนักงานจากการแจ้งเตือนทาง SMS ปลอม [EndUser]
Coinbase แพลตฟอร์มการแลกเปลี่ยน cryptocurrency ชื่อดัง ออกมายอมรับว่าถูกแฮ็กเกอร์ขโมยข้อมูลการเข้าสู่ระบบของพนักงาน เพื่อพยายามเข้าถึงระบบของบริษัทจากภายนอก
ผลจากการโจมตีทำให้แฮ็กเกอร์ได้ข้อมูลติดต่อของพนักงาน Coinbase จำนวนหนึ่ง โดยข้อมูลทางการเงิน และข้อมูลของลูกค้ายังไม่ได้รับผลกระทบ
รายละเอียดการโจมตี
แฮ็กเกอร์มุ่งเป้าไปที่ engineer ของ Coinbase จำนวนมาก ในวันอาทิตย์ที่ 5 กุมภาพันธ์ โดยมีการส่งข้อความแจ้งเตือนทาง SMS เพื่อให้ล็อกอินเข้าสู่บัญชีของบริษัทเพื่ออ่านข้อความสำคัญ โดยที่พนักงานส่วนใหญ่ไม่ได้สนใจข้อความ แต่มีพนักงานคนหนึ่งคลิกลิงก์ไปยังหน้าฟิชชิ่ง และมีการป้อนข้อมูล credentials
ขั้นตอนต่อไป แฮ็กเกอร์พยายามเข้าสู่ระบบภายในของ Coinbase โดยใช้ข้อมูล credentials ที่ถูกขโมยไป แต่ล้มเหลวเนื่องจากการเข้าถึงได้รับการป้องกันด้วย multi-factor authentication (MFA) และ 20 นาทีต่อมา แฮ็กเกอร์ก็เปลี่ยนไปใช้กลยุทธ์อื่น โดยโทรหาพนักงาน และอ้างว่าติดต่อมาจากทีม IT ของ Coinbase และสั่งให้เหยื่อลงชื่อเข้าใช้งานระบบ และทำตามคำแนะนำ
CSIRT ของ Coinbase ตรวจพบพฤติกรรมที่ผิดปกติภายใน 10 นาทีนับตั้งแต่เริ่มการโจมตี และติดต่อเหยื่อเพื่อสอบถามเกี่ยวกับพฤติกรรมล่าสุดที่ผิดปกติจากบัญชี หลังจากนั้นพนักงานก็ตระหนักว่ามีบางอย่างผิดปกติ และหยุดการสื่อสารกับผู้โจมตี
การป้องกัน
Coinbase ได้แชร์ TTPs ที่สามารถใช้เพื่อระบุการโจมตีที่คล้ายกัน และเพื่อป้องกันการโจมตีดังกล่าว:
การเข้าใช้งาน web traffic ไปยังที่อยู่ : sso-[.]com, sso[.]com, login.
ฟิชชิ่งรูปแบบใหม่สามารถ Bypass MFA ได้ โดยใช้แอปพลิเคชัน Microsoft WebView2
เทคนิคการโจมตีด้วยฟิชชิ่งรูปแบบใหม่มีการใช้แอปพลิเคชัน Microsoft Edge WebView2 เพื่อขโมยคุกกี้ของเหยื่อ ทำให้ผู้โจมตีสามารถ Bypass multi-factor authentication ได้ เมื่อลงชื่อเข้าใช้บัญชีที่ถูกขโมยมา
จากเหตุการณ์การรั่วไหลของข้อมูลจากการโจมตีด้วย Remote access trojan และแคมเปญฟิชชิ่งต่างๆ จึงทำให้มีข้อมูล login credential ที่ถูกขโมยมาเป็นจำนวนมาก (more…)
Escobar มัลแวร์บน Android สามารถขโมย MFA จาก Google Authenticator ได้
Aberebot banking trojan บน Android กลับมาอีกครั้งในชื่อ 'Escobar' พร้อมคุณสมบัติใหม่สามารถขโมยรหัส multi-factor authentication จาก Google Authenticator ได้
คุณสมบัติใหม่ของ Aberebot เวอร์ชันล่าสุดคือสามารถควบคุมอุปกรณ์ Android ที่ติดมัลแวร์โดยใช้ VNC และยังสามารถบันทึกเสียง และแอบถ่ายภาพได้ โดยเป้าหมายหลักของมันคือการขโมยข้อมูลเพื่อเข้าถึงบัญชีธนาคารของเหยื่อ แอบทำธุรกรรม และขโมยเงินในบัญชีของเหยื่อ
แพลตฟอร์ม DARKBEAST ของ KELA ผู้พัฒนา Aberebot มีการโปรโมทมัลแวร์ในเวอร์ชันใหม่ที่ชื่อว่า 'Escobar Bot Android Banking Trojan' โดยผู้ใดสนใจสามารถเช่ามัลแวร์รุ่นเบต้าได้ในราคา 3,000 ดอลลาร์/เดือน และวางแผนที่จะเพิ่มราคาเป็น 5,000 ดอลลาร์ หลังจากพัฒนาเสร็จแล้ว
(more…)
- 1
- 2