พบแคมเปญ EvilProxy phishing กำลังมุ่งเป้าหมายการโจมตีไปยังผู้ใช้งาน Microsoft 365 กว่า 120,000 รายการ

Proofpoint บริษัทรักษาความปลอดภัยทางไซเบอร์ เปิดเผยรายงานการค้นพบแคมเปญ EvilProxy phishing ซึ่งป็น phishing platform ที่กำลังได้รับความนิยม ได้มุ่งเป้าหมายการโจมตีไปยังบัญชีที่มีการป้องกันด้วย MFA โดยทำการส่ง phishing email กว่า 120,000 รายการไปยังองค์กรกว่าร้อยแห่ง เพื่อขโมยบัญชี Microsoft 365 โดยการเลียนแบบแบรนด์ของ Email, การหลบเลี่ยงการตรวจจับ Bot และการเปลี่ยนเส้นทาง open redirection ซึ่งจะส่งผลกระทบต่อบัญชีผู้บริหารระดับสูงเป็นหลัก (more…)

Microsoft บังคับใช้ฟังก์ชัน number matching เพื่อป้องกันการโจมตีแบบ MFA fatigue attacks [EndUser]

Microsoft จะเริ่มบังคับใช้ฟังก์ชัน number matching ใน Microsoft Authenticator เพื่อป้องกันการโจมตีแบบ multi-factor authentication (MFA) fatigue attacks

ในการโจมตีดังกล่าว ซึ่งถูกเรียกอีกแบบว่า Push Bombing หรือ MFA push spam ผู้โจมตีจะหลอกเหยื่อด้วยการทำให้เกิดการแจ้งเตือนแบบ push notifications เพื่อให้ผู้ใช้งานอนุมัติการเข้าสู่ระบบบัญชีขององค์กรจำนวนมาก โดยใช้ข้อมูล credentials ที่ขโมยมา (more…)

Okta ระบุพบการพยายามโจมตีด้วยวิธีการ Credential stuffing กับบัญชีผู้ใช้งานกว่า 34% ของการเข้าใช้งานทั้งหมด

การโจมตีในรูปแบบ Credential stuffing ถูกพบเพิ่มขึ้นเป็นจำนวนมากในช่วงไตรมาสแรกของปี 2565 ซึ่งปริมาณการพยายามเข้าใช้งานบัญชีในลักษณะดังกล่าวแซงหน้าการพยายามเข้าสู่ระบบตามปกติจากผู้ใช้งานทั่วไปในบางประเทศ

การโจมตีประเภทนี้เป็นการใช้ประโยชน์จากรหัสผ่านที่รั่วไหลออกมาจากบริการต่าง ๆ ก่อนหน้านี้ เพื่อพยายามเข้าสู่ระบบในบริการอื่น ๆ ที่ผู้ใช้งานอาจใช้ login name และ password เดียวกัน

รายงานจาก FBI เมื่อเร็ว ๆ นี้พบว่า การโจมตีลักษณะนี้มีจำนวนเพิ่มขึ้นเนื่องจากปริมาณข้อมูลบัญชีผู้ใช้งานจากระบบต่าง ๆ ที่รั่วไหลมากขึ้น และเครื่องมือของแฮ็กเกอร์ที่สามารถนำบัญชีเหล่านั้นนำมาใช้ทดสอบกับเว็บไซต์ต่าง ๆ ได้ง่ายขึ้น

ความพยายามในการเข้าสู่ระบบมากกว่า 1 หมื่นล้านครั้ง

Okta รายงานว่าพบพฤติกรรมการพยายามเข้าสู่ระบบมากกว่า 1 หมื่นล้านครั้งบนแพลตฟอร์มของพวกเขาในช่วง 3 เดือนแรกของปี 2022 โดยคิดเป็นประมาณ 34% ของการเข้าใช้งานทั้งหมด ซึ่งหมายความว่าหนึ่งในสามของความพยายามเข้าสู่ระบบเป็นพฤติกรรมที่เป็นอันตราย

เนื่องจากการโจมตีส่วนใหญ่เป็นการพยายามสุ่มใช้ข้อมูลส่วนตัวจำนวนมากในระยะเวลาอันสั้น แพลตฟอร์มที่ถูกโจมตีจะมีปริมาณของการใช้งานเพิ่มขึ้นอย่างรวดเร็วถึงสิบเท่า

ตัวอย่างในรายงานของ Okta คือการโจมตีอย่างต่อเนื่องเกือบสองเดือน จนสิ้นสุดในเดือนมกราคม 2022

Okta รายงานว่าส่วนใหญ่ความพยายามจะมุ่งเป้าไปที่บัญชีของบริษัทประเภท ค้าปลีก, eCommerce นอกจากนี้ยังมีบัญชีของบริษัทที่เกี่ยวข้องกับการศึกษา พลังงาน บริการทางการเงิน และซอฟต์แวร์

ตัวอย่างล่าสุดของการโจมตีด้วยวิธี credential stuffing บนแพลตฟอร์ม e-commerce กับลูกค้าของ North Face ซึ่งทำให้ผู้โจมตีสามารถเข้าถึงบัญชีของผู้ใช้ได้ประมาณ 200,000 บัญชี

การป้องกันการโจมตีด้วยวิธี credential stuffing เป็นความรับผิดชอบหลักของแพลตฟอร์มต่าง ๆ ที่ควรใช้การตรวจสอบในเชิงรุก เช่น การแบนบัญชีผู้ใช้งานชั่วคราวสำหรับบัญชีที่น่าสงสัย

ส่วนในฝั่งของผู้ใช้งาน ควรเปิดการใช้งาน multi-factor authentication และการตั้งค่ารหัสผ่านที่รัดกุม และไม่ซ้ำกันสำหรับบัญชีออนไลน์ทั้งหมด ซึ่งส่วนใหญ่สามารถป้องกันได้เพียงพอต่อการโจมตีด้วยวิธีนี้

ที่มา : bleepingcomputer

แฮ็กเกอร์แฝงตัวอยู่บนระบบ SQL Server โดยการใช้ Built-in Utility

เมื่อวันอังคารที่ 17 พ.ค. ที่ผ่านมา Microsoft ได้แจ้งเตือนการตรวจพบแคมเปญที่เป็นอันตราย โดยมีเป้าหมายการโจมตีไปยัง SQL Server โดยการใช้ Built-in PowerShell binary เพื่อพยายามแฝงตัวอยู่บนเครื่องเหยื่อให้ได้นานที่สุด

รายละเอียดการโจมตี

การโจมตีดังกล่าวเกิดจากยูทิลิตี้ชื่อ sqlps.

T-Mobile เปิดเผยถึงการละเมิดข้อมูลหลังจากที่ลูกค้าไม่ทราบจำนวนได้รับผลกระทบจากการโจมตีด้วยเทคนิค SIM Swap Attack

T-Mobile ผู้ให้บริการโทรคมนาคมสัญชาติอเมริกันได้เปิดเผยถึงการละเมิดข้อมูลหลังจากที่ลูกค้าไม่ทราบจำนวนได้รับผลกระทบจากการโจมตีด้วยเทคนิค SIM Swap Attack

T-Mobile ได้ทำการแจ้งเตือนเรื่องการละเมิดข้อมูลถึงลูกค้าที่ได้รับผลกระทบเมื่อวันที่ 9 กุมภาพันธ์ 2564 และยื่นคำร้องต่อสำนักงานอัยการสูงสุดของสหรัฐอเมริกาเพื่อขออนุมัติการหยุดให้บริการช่วยคราวกับลูกค้าที่ได้รับผลกระทบเพื่อสืบสวนเหตุต่อเหตุการณ์การโจมตีและเพื่อป้องกันข้อมูลของลูกค้ารั่วไหล

T-Mobile เปิดเผยว่าผู้โจมตีสามารถเข้าถึงข้อมูลบัญชีของลูกค้ารวมถึงข้อมูลส่วนบุคคลและหมายเลขประจำตัวส่วนบุคคล (PIN) และยังไม่เเน่ชัดว่าผู้โจมตีสามารถเข้าถึงบัญชีของพนักงานหรือเข้าถึงผ่านบัญชีของผู้ใช้ที่ถูกบุกรุกได้หรือไม่ เนื่องจากผู้โจมตีสามารถโอนข้อมูลหมายเลขโทรศัพท์ของลูกค้าไปยังผู้โจมตี ซึ่งจะทำให้ผู้โจมตีสามารถเข้าถึง SMS-based multi-factor authentication (MFA) ของลูกค้าได้และยังสามารถทำการโอนเงินจากบัญชีบริการออนไลน์ของเหยื่อไปยังบัญชีของผู้โจมตี

T-Mobile ได้ให้ความเห็นต่อว่าข้อมูลที่แฮกเกอร์เข้าถึงอาจรวมไปถึงชื่อ - นามสกุลของลูกค้า, อีเมล,หมายเลขบัญชีหมายเลขประกันสังคม (SSN), หมายเลขประจำตัวของบัญชี (PIN), คำถามและคำตอบด้านความปลอดภัยของบัญชี, วันเดือนปีเกิดและข้อมูลแผน

ทั้งนี้ T-Mobile ได้หยุดให้บริการชั่วคราวกับลูกค้าที่ได้รับผลกระทบและได้ออกคำแนะนำให้ผู้ที่ได้รับผลกระทบทำการเปลี่ยน PIN และรหัสผ่านของบัญชีผู้ใช้ตลอดจนคำถามและคำตอบเพื่อความปลอดภัยของบัญชี

ที่มา: bleepingcomputer

NCC Group พบผู้ประสงค์ร้ายพยายามใช้ประโยชน์จากช่องโหว่ Zero-day ของ SonicWall SMA ซีรีส์ 100 เพื่อทำการโจมตีในวงกว้าง

NCC Group บริษัทรักษาความปลอดภัยทางไซเบอร์ได้ออกมาเปิดเผยถึงการพบการใช้ประโยชน์จากช่องโหว่ Zero-day ของ SonicWall SMA ซีรีส์ 100 เป็นจำนวนมาก

สืบเนื่องมาจากวันที่ 22 มกราคมที่ผ่านมา บริษัท SonicWall ได้เปิดเผยถึงเหตุการณ์การโจมตีระบบภายในเครือข่ายของบริษัทโดยใช้ช่องโหว่ Zero-day ที่อยู่ภายในในอุปกรณ์เครือข่ายของ SonicWall และจากการตรวจสอบพบช่องโหว่ Zero-day ที่จะส่งผลกระทบต่อชุดอุปกรณ์ SMA ซีรีส์ 100 ที่ใช้เฟิร์มแวร์ 10.x

ในช่วงสุดสัปดาห์ที่ผ่านมา NCC Group ได้ตรวจพบการพยายามใช้ประโยชน์จากช่องโหว่ Zero-day ของอุปกรณ์ SonicWall SMA ซีรีส์ 100 เป็นจำนวนมาก ซึ่งยังไม่แน่ชัดว่าช่องโหว่ที่ถูกพยายามใช้ประโยชน์นี้จะเป็นช่องโหว่เดียวกันกับที่ SonicWall ได้ทำการเปิดเผยเมื่อเร็วๆ นี้หรือไม่ โดย NCC Group ไม่ได้ให้รายละเอียดของการใช้ประโยชน์จากช่องโหว่ Zero-day เพื่อป้องกันการใช้ในทางที่ผิด

ทั้งนี้ SonicWall ได้ออกประกาศว่าแพตช์แก้ไขความปลอดภัยของช่องโหว่จะพร้อมใช้งานในวันที่ 2 กุมภาพันธ์ 2021 โดยในขณะรอเเพตช์ความปลอดภัย SonicWall ได้แนะนำให้ลูกค้าทำการดาวน์เกรดอุปกรณ์เพื่อใช้เฟิร์มแวร์ 9.x และหาก SMA 100 ซีรีส์ (10.x) อยู่หลังไฟร์วอลล์ให้ทำการบล็อกการเข้าถึง SMA 100 ทั้งหมดบนไฟร์วอลล์ จากนั้นเปิดใช้งาน Multi Factor Authentication (MFA) บนอุปกรณ์และที่สำคัญยิ่งไปกว่านั้น คือจำกัดการเข้าถึงอินเทอร์เฟซการจัดการระบบเฉพาะ IP ที่อนุญาตพิเศษเท่านั้นเพื่อป้องกันผู้ประสงค์ร้ายใช้ประโยชน์จากช่องโหว่ทำการโจมตีระบบ

ที่มา: bleepingcomputer | zdnet

SonicWall ออกมาเเถลงถึงการถูกโจมตีด้วยช่องโหว่ Zero-days บนผลิตภัณฑ์ของบริษัท

SonicWall ผู้ให้บริการความปลอดภัยทางอินเทอร์เน็ตยอดนิยม เช่น ผลิตภัณฑ์ไฟร์วอลล์และ VPN ได้ออกเเถลงถึงเหตุการณ์ที่บริษัทตกเป็นเหยื่อของการโจมตีระบบภายใน

บริษัทระบุว่าแฮกเกอร์ได้ใช้ช่องโหว่ Zero-day บนอุปกรณ์ VPN Secure Mobile Access (SMA) เวอร์ชัน 10.x และ NetExtender VPN เวอร์ชัน 10.x ในการโจมตีระบบเพื่อเข้าถึงเครือข่ายจากระยะไกล ซึ่งขณะนี้ SonicWall กำลังตรวจสอบอย่างละเอียดว่าอุปกรณ์หรือระบบใดบ้างที่ได้รับผลกระทบจากโจมตีจากการใช้ช่องโหว่นี้ โดยเบื้องต้นผลิตภัณฑ์ที่ได้รับผลกระทบคือ

Secure Mobile Access (SMA) เวอร์ชัน 10.x ที่รันบนอุปกรณ์ SMA 200, SMA 210, SMA 400, SMA 410 ซึ่งเป็น Physical Appliances และอุปกรณ์ Virtual SMA 500v Appliances
NetExtender ซึ่งเป็น VPN Client เวอร์ชัน 10.x ถูกใช้เพื่อเชื่อมต่อกับอุปกรณ์ SMA 100 Series และไฟร์วอลล์ SonicWall
ทาง SonicWall ได้ออกมาแนะนำให้ทางผู้ดูแลระบบของเเต่และองค์กรและบริษัททำการสร้าง Firewall Rule, เปิดใช้งาน Multi-Factor Authentication (MFA) สำหรับ VPN Client ที่ทำการเข้าถูกระบบ, ปิดการใช้ NetExtender ในการเข้าถึงไฟร์วอลล์และอนุญาตให้เข้าถึงผ่าน SSL-VPN Connection จาก Whitelist IP เท่านั้นสำหรับการเชื่อมต่อ ทั้งนี้ทาง SonicWall ยังคงอยู่ในส่วนของการตรวจสอบผลกระทบที่เกิดขึ้น ผู้ดุแลระบบควรทำการติดตามข่าวสารอย่างต่อเนื่องและเมื่อทาง SonicWall ออกแพตช์การแก้ไขช่องโหว่แล้วผู้ดูแลระบบควรรีบทำการแพตช์ความปลอดภัยเป็นการด่วน

ที่มา: thehackernews | bleepingcomputer