ศูนย์ความมั่นคงปลอดภัยทางไซเบอร์แห่งชาติสวิส (NCSC) กำลังเตือนเจ้าของ iPhone เกี่ยวกับข้อความหลอกลวงที่อ้างว่าพบ iPhone ที่สูญหาย หรือถูกขโมยไป แต่แท้จริงแล้วพยายามที่จะขโมยข้อมูล credentials ของ Apple ID ของคุณ

เมื่อลูกค้า iPhone ทำโทรศัพท์หาย หรือถูกขโมย พวกเขาสามารถตั้งค่าข้อความที่กำหนดเองในแอป Find My ของ Apple ซึ่งจะปรากฏบนหน้าจอล็อก เมื่อทำหาย ข้อความนี้อาจมีอีเมล หรือหมายเลขโทรศัพท์เพื่อติดต่อเจ้าของ

จากข้อมูลของ NCSC ผู้ไม่หวังดีอาจใช้ข้อมูลนี้ส่งข้อความฟิชชิ่ง (smishing) แบบเจาะจงผ่านทาง SMS หรือ iMessage ไปยังข้อมูลติดต่อที่แสดงไว้ โดยอ้างว่ามาจากทีม Find My ของ Apple และระบุว่าพบโทรศัพท์ของพวกเขาแล้ว

NCSC อธิบายว่า การทำ iPhone หายถือเป็นเรื่องที่น่ารำคาญ ไม่เพียงแต่อุปกรณ์จะหายไป แต่ข้อมูลส่วนตัวของคุณก็อาจสูญหายไปด้วย

หลังจากทำโทรศัพท์หาย คนส่วนใหญ่ยังหวังว่าจะมีคนหามันเจอ แต่ถ้ามิจฉาชีพได้โทรศัพท์ของคุณไป พวกเขาอาจพยายามใช้ประโยชน์จากความหวังนี้ โดยส่งข้อความตัวอักษร หรือ iMessages ที่ดูเหมือนว่ามาจาก Apple โดยอ้างว่า iPhone ที่หายไปถูกพบในต่างประเทศ

ข้อความฟิชชิ่งมีรายละเอียดที่น่าเชื่อถือ เช่น รุ่นของโทรศัพท์ สี และข้อมูลอื่นใดที่สามารถดึงออกมาได้โดยตรงจากอุปกรณ์ที่ล็อกอยู่

ข้อความฟิชชิ่ง ระบุว่า "เรายินดีที่จะแจ้งให้คุณทราบว่า iPhone 14 128GB สี Midnight ที่หายไปของคุณ ถูกค้นพบเรียบร้อยแล้ว"

"หากต้องการดูตำแหน่งปัจจุบันของอุปกรณ์ของคุณ โปรดคลิกลิงก์ด้านล่าง: <phishing url>"

"หากคุณไม่ได้เป็นผู้รายงานอุปกรณ์หาย หรือเชื่อว่าข้อความนี้ถูกส่งมาโดยผิดพลาด โปรดเพิกเฉยต่อข้อความนี้ หรือติดต่อทีมสนับสนุนของเราทันที"

ข้อความฟิชชิ่งมีลิงก์ไปยังเว็บไซต์ Find My ที่อ้างว่าแสดงตำแหน่งของอุปกรณ์

อย่างไรก็ตาม แทนที่จะนำไปสู่เว็บไซต์ทางการของ Apple มันกลับเปลี่ยนเส้นทางไปยังหน้าฟิชชิ่งที่มีหน้าแจ้งให้ล็อกอินซึ่งเลียนแบบเว็บไซต์ Find My ของ Apple เมื่อเหยื่อกรอก Apple ID และรหัสผ่าน ข้อมูล credentials เหล่านั้นจะถูกส่งไปยังผู้โจมตี ทำให้พวกเขาเข้าถึงบัญชีได้อย่างเต็มรูปแบบ

หน่วยงานความมั่นคงปลอดภัยทางไซเบอร์อธิบายว่า เป้าหมายที่แท้จริงของมิจฉาชีพคือการปลดล็อกการเปิดใช้งาน (Activation Lock) ของ Apple คุณสมบัติด้านความปลอดภัยนี้ใช้เพื่อเชื่อมโยง iPhone เข้ากับ Apple ID ของเจ้าของ และป้องกันไม่ให้ผู้อื่นลบข้อมูล หรือนำไปขายต่อ

เนื่องจากไม่มีวิธีในการ Bypass การล็อกนี้ อาชญากรจึงอาศัยการโจมตีแบบฟิชชิ่งเพื่อหลอกลวงให้ผู้ใช้เปิดเผยข้อมูลประจำตัวของตน

NCSC ระบุว่า ยังไม่รู้แน่ชัดว่าผู้โจมตีได้หมายเลขโทรศัพท์ของเป้าหมายมาได้อย่างไร แต่อาจมาจากซิมการ์ดในอุปกรณ์ หรือจากข้อความที่กำหนดเองที่แสดงบนหน้าจอล็อกเมื่ออุปกรณ์นั้นถูกรายงานว่าสูญหาย

หน่วยงานแนะนำให้ทำสิ่งต่อไปนี้:

ห้ามคลิกลิงก์ในข้อความที่คุณไม่ได้ร้องขอ หรือกรอกรายละเอียด Apple ID บนเว็บไซต์ภายนอก
หากอุปกรณ์สูญหาย ให้เปิดใช้งานโหมดสูญหาย (Lost Mode) ทันทีผ่านแอป Find My หรือ iCloud.

ศูนย์ความมั่นคงปลอดภัยไซเบอร์แห่งชาติของเนเธอร์แลนด์ (NCSC-NL) ได้ออกคำเตือนเกี่ยวกับการโจมตีทางไซเบอร์ที่กำลังใช้ประโยชน์จากช่องโหว่ระดับ Critical ที่เพิ่งถูกเปิดเผยไม่นานนี้ ซึ่งส่งผลกระทบต่อผลิตภัณฑ์ Citrix NetScaler ADC และกำลังถูกใช้เพื่อโจมตีองค์กรต่าง ๆ ในประเทศ (more…)

รัฐบาลสหราชอาณาจักรออกแนวทางใหม่ในการช่วยให้องค์กรจัดการกระบวนการรายงานช่องโหว่ให้มีประสิทธิภาพมากยิ่งขึ้น และเพื่อเป้าหมายในการลดความเสี่ยงอย่างแท้จริง

คู่มือดังกล่าวมีการพูดถึง 3 องค์ประกอบหลักที่องค์กรจำเป็นต้องมีคือการสื่อสารอย่างมีประสิทธิภาพ (Communcation), กระบวนการที่ครอบคลุม (Policy), และช่องทางในการติดต่อ โดย NCSC ซึ่งเป็นหน่วยงานที่ออกคู่มือนั้นยังได้มีการพูดถึงการทำไฟล์ Security.

หน่วยงานความมั่นคงปลอดภัยไซเบอร์ของสหรัฐอเมริกาและโครงสร้างพื้นฐาน (CISA) และศูนย์รักษาความปลอดภัยไซเบอร์แห่งชาติของสหราชอาณาจักร (NCSC) ได้ออกแจ้งเตือนเกี่ยวกับการโจมตีด้วยมัลเเวร์ QSnatch ไปยังอุปกรณ์ QNAP NAS หลังพบทวีความรุนเเรงมากขึ้นจากการพบผู้ติดเชื้อจำนวน 7,000 เครื่องในเดือนตุลาคม 2562 ซึ่งปัจุบันนั้นพบว่าได้เพิ่มจำนวนมากขึ้นเป็น 62,000 เครื่องในปัจจุบัน

ในรายงานของ CISA และ NCSC ได้ระบุว่า QSnatch ถูกพบครั้งเเรกในปี 2014 โดยมัลเเวร์ QSnatch พุ่งเป้าไปที่ QNAP NAS โดยปัจจุบัน มิถุนายน 2563 มีอุปกรณ์ติดเชื้อประมาณ 62,000 เครื่องทั่วโลกซึ่งประมาณ 7,600 เครื่องอยู่ในสหรัฐอเมริกาและ 3,900 เครื่องอยู่ในสหราชอาณาจักรและจากการค้นพบล่าสุดพบว่ามัลเเวร์ QSnatch นั้นได้เพิ่มความสามารถดังนี้

สร้างการเข้าสู่ระบบของผู้ดูแลระบบอุปกรณ์ปลอมและทำการบันทึกข้อมูลหลังจากนั้นจะส่งต่อไปยังหน้าเข้าสู่ระบบที่ถูกต้อง
การสแกน Credential
SSH backdoor
Exfiltration
Webshell สำหรับการเข้าถึงระยะไกล

ทั้งนี้ CISA และ NCSC ยังไม่พบสาเหตุหรือช่องโหว่ที่มัลเเวร์ QSnatch ใช้ในการระบาด แต่ CISA และ NCSC ได้ระบุว่าเมื่อมัลแวร์ QSnatch เข้ามาสู่ระบบ มัลแวร์จะทำการ Inject เข้าสู่ Firmware เพื่อที่จะสามารถควบคุมอุปกรณ์ได้อย่างสมบูรณ์และจะทำการบล็อกฟีเจอร์การอัปเดต Firmware เพื่อทำการฝังตัวและเปิดช่องทางให้สามาถกลับเข้ามาใช้ช่องโหว่อีกครั้ง

ทั้งนี้ผู้ที่สนใจสามารถอ่านข้อมูลเพิ่มเติมได้ที่: https://us-cert.

กลุ่มแฮกเกอร์รัสเซียกำหนดเป้าหมายมุ่งโจมตีสถาบันพัฒนาวัคซีนต้านไวรัส COVID-19 ด้วยมัลแวร์

ศูนย์รักษาความปลอดภัยไซเบอร์แห่งชาติของสหราชอาณาจักร หรือ National Cyber Security Centre (NCSC) ได้เปิดเผยถึงรายละเอียดของกลุ่มเเฮกเกอร์รัสเซียซึ่งได้ทำการโจมตีองค์กรที่เกี่ยวข้องในการวิจัยและพัฒนาวัคซีนต่อต้าน Coronavirus หรือ COVID-19 ซึ่งกิจกรรมการโจมตีดังกล่าวกำลังถูกดำเนินการด้วยกลุ่มภัยคุกคาม APT29

รายงานดังกล่าวประกอบด้วยข้อมูลจากหลายแหล่งซึ่งเป็นความพยายามร่วมมือกันของศูนย์รักษาความปลอดภัยไซเบอร์แห่งชาติของสหราชอาณาจักร (NCSC), สำนักงานความมั่นคงด้านการสื่อสารของแคนาดา (CSE), สำนักงานความมั่นคงแห่งชาติสหรัฐอเมริกา (NSA) และ หน่วยงานด้านความมั่นคงปลอดภัยและโครงสร้างพื้นฐานทางไซเบอร์ (CISA ) โดยรายละเอียดของรายงานพบว่ากลุ่ม Cozy Bear นั้นพยายามทำการ Spear Phishing รวมไปถึงการใช้ประโยชน์จากช่องโหว่ Citrix (CVE-2019-19781), Pulse Secure (CVE-2019-11510), Fortigate (CVE-2019-13379) และ Zimbra Collaboration Suite (CVE-2019-9670)

รายงานยังกล่าวอีกว่าหลังจากกลุ่มเเฮกเกอร์สามารถเข้าถึงเครือข่ายภายในองค์กรที่ตกเป็นเหยื่อแล้วพวกเขาจะทำการดาวน์โหลดและติดตั้งมัลแวร์ SoreFang, WellMess และ WellMail

ผู้ดูแลระบบควรทำการรีบอัพเดตเเพตซ์การเเก้ไขช่องโหว่ที่กล่าวมาข้างต้นเพื่อป้องกันการโจมตีและการหาประโยชน์จากช่องโหว่ โดยกลุ่มผู้ประสงค์ร้ายต่างๆ ทั้งนี้ผู้ที่สนใจ IOCs ของมัลแวร์ข้างต้นสามารถเข้าไปดูรายละเอียดได้ที่: ncsc.

กลุ่ม APT กำหนดเป้าหมายโจมตีระบบการดูแลสุขภาพและการบริการ

กระทรวงความมั่นคงแห่งมาตุภูมิสหรัฐอเมริกา (DHS), สำนักงานความมั่นคงทางอินเทอร์เน็ตและโครงสร้างพื้นฐาน (CISA) และศูนย์ความมั่นคงปลอดภัยไซเบอร์แห่งชาติของสหราชอาณาจักร (NCSC) ได้ออกประกาศคำเตือนถึงภัยคุกคามจากกลุ่ม APT ที่กำลังใช้ประโยชน์จากการระบาดของโรค Coronavirus 2019 (COVID-19) ในการทำปฏิบัติการไซเบอร์

CISA และ NCSC ระบุว่ากลุ่ม APT กำลังใช้ประโยชน์ที่เกี่ยงเนื่องจาก COVID-19 และกำลังมุ่งเป้าหมายไปที่องค์กรหรือหน่วยงานที่เกี่ยวข้องกับการดูแลสุขภาพ, บริษัทยา, สถาบันการศึกษา, องค์กรวิจัยทางการแพทย์และรัฐบาลท้องถิ่นที่อยู่ในระดับชาติและระดับนานาชาติ เพื่อรวบรวมและขโมยข้อมูลส่วนบุคคลทรัพย์สินทางปัญญา

CISA และ NCSC กำลังตรวจสอบแคมเปญ Password Spraying ที่ดำเนินการโดยกลุ่ม APT โดยใช้ประโยชน์ที่เกี่ยงเนื่องจาก COVID-19 ทำการโจมตีหน่วยงานด้านการดูแลสุขภาพในหลายประเทศรวมถึงสหราชอาณาจักรและสหรัฐอเมริกา

Password Spraying เป็นวิธีการโจมตีลักษณะเดียวกับ Brute force attack ที่รู้จักกันดี แต่ข้อแตกต่างคือ Password Spraying จะใช้รหัสผ่านทีละตัวในการไล่โจมตีแต่ละบัญชีผู้ใช้งาน (account) เมื่อไล่ครบทุกบัญชีแล้ว จึงค่อยใช้รหัสผ่านตัวต่อไปในการไล่โจมตี ต่างกับ Brute force ที่จะใช้วิธีการไล่ใส่รหัสผ่านในบัญชีผู้ใช้งานเพียงบัญชีเดียวจนกว่าจะสำเร็จ วิธีการนี้จึงไม่สามารถป้องกันได้ด้วยการ Lock บัญชีเมื่อมีการกรอกรหัสผ่านผิดเกินจำนวนที่กำหนดไว้ (account-lockout)

CISA และ NCSC ได้ออกคำเเนะนำในการป้องกันความปลอดภัยของข้อมูลดังนี้

ทำการอัปเดตแพตช์และการกำหนดค่าซอฟต์แวร์ให้เป็นเวอร์ชั่นล่าสุดบนอุปกรณ์เน็ตเวิร์ค, อุปกรณ์ที่ใช้ในการทำรีโมตและ VPN
ใช้ Multi-Factor Authentication (MFA) เพื่อลดผลกระทบจากการถูกโจมตี Password
ป้องกันการจัดการอินเทอร์เฟซของระบบปฏิบัติเพื่อป้องกันไม่ให้ผู้โจมตีได้รับสิทธิ์ในการเข้าถึงทรัพย์สินที่หรือข้อมูลที่สำคัญอย่างง่ายดาย
ทำการสร้างระบบ Security Monitor เพื่อรวบรวมข้อมูลและทำการวิเคราะห์การบุกรุกเครือข่ายที่จะเข้าสู่ระบบเพื่อความปลอดภัย
ทำการตรวจสอบสิ่งที่ผิดปกติในระบบอยู่เป็นประจำ
ใช้ระบบและซอฟต์แวร์ที่ทันสมัยเพื่อลดปัญหาช่องโหว่ของระบบและซอฟต์แวร์
ติดตามข้อมูลข่าวสารด้านความปลอดภัยสารสนเทศอยู่เป็นประจำเพื่อทำการอัพเดตความรู้และวิธีการป้องกันต่างๆ

ที่มา: us-cert

NCSC ออกคำเตือนให้ระวังการโจมตี DNS Hijacking

เนื่องจากมีรายงานการโจมตีมีจุดประสงค์เพื่อแก้ไข DNS record หรือที่เรียกกันว่า DNS Hijacking ออกมาเป็นจำนวนมาก หน่วยงาน National Cyber Security Centre (NCSC) ของสหราชอาณาจักรมีประกาศคำเตือนพร้อมทั้งวิธีการแก้ไขเพื่อลดผลกระทบเหตุการณ์ประเภทนี้

DNS คือบริการที่ส่งต่อข้อมูลเมื่อผู้ใช้งานพิมพ์ domain ในเว็บเบราว์เซอร์ไปยัง IP ของเซิร์ฟเวอร์เว็บไซต์ ซึ่ง DNS hijacking จะหมายถึงการโจมตีเพื่อการเปลี่ยนการตั้งค่า DNS เพื่อให้ไปยัง IP ที่เป็นอันตรายแทน ทำให้ผู้ใช้งานไม่สามารถเข้าไปยังเว็บที่ถูกต้องได้

รายงานจาก Avast แสดงให้เห็นว่าในช่วงเดือนกุมภาพันธ์ - มิถุนายน มีผู้ใช้งานอย่างน้อย 180,000 คนในบราซิล ที่อุปกรณ์ router ถูกทำการแก้ไขการตั้งค่า DNS และในช่วงปลายมีนาคม Avast Web Shield ได้ช่วยบล็อกการโจมตีแบบ cross-site request forgery (CSRF) ที่โจมตีเพื่อเปลี่ยนการตั้งค่า DNS บน router มากกว่า 4.6 ล้านครั้ง

NCSC ประกาศคำเตือนเกี่ยวกับ DNS Hijacking เมื่อ 12 กรกฎาคม 2019 ที่สรุปความเสี่ยงที่มาพร้อมกับความพยายามใน DNS hijacking และให้คำแนะนำองค์กรเพื่อปกป้องตัวเองจากอันตรายประเภทนี้ ได้แก่
# บัญชีที่ใช้จดทะเบียนกับ domain registrar มักตกเป็นเป้าหมายการโจมตีด้วยวิธี phishing หรือวิธี social engineering อื่นๆ ป้องกันโดยใช้รหัสผ่านที่ไม่ซ้ำกับบริการอื่น และเปิดการใช้งานการยืนยันตัวตนหลายขั้นตอน
# ตรวจสอบรายละเอียดที่เชื่อมโยงกับบัญชีที่ใช้จดทะเบียนกับ domain registrar เป็นประจำและเพื่อแน่ใจว่าข้อมูลเหล่านั้นเป็นข้อมูลล่าสุดและชี้ไปที่องค์กรจริงๆ
# จำกัดการเข้าถึงบัญชีดังกล่าวเฉพาะกับบุคคลภายในองค์กร
# ถ้าองค์กรมีการทำ DNS ของตัวเอง NCSC ขอแนะนำให้ใช้งานระบบควบคุมการเข้าถึงฟังก์ชันสำรองและกู้คืน DNS records รวมถึงจำกัดการเข้าถึงเครื่องเซิร์ฟเวอร์ที่ดูแล DNS
# ใช้งาน SSL monitoring และ Domain Name System Security Extensions (DNSSEC)
โดยผู้ที่สนใจสามารถอ่านประกาศเตือนโดยละเอียดได้จาก https://www.