พบ Spyware ในแอนดรอยด์ตัวใหม่ ที่ปลอมตัวเป็นแอปพลิเคชันรับส่งข้อความยอดนิยมเพื่อขโมยข้อมูลที่สำคัญของผู้ใช้งาน

โดย Cyble Research & Intelligence Labs (CRIL) พบสปายแวร์ในแอนดรอยด์ตัวใหม่ที่มุ่งเป้าเพื่อขโมยข้อมูลที่สำคัญของผู้ใช้งาน เนื่องจากมัลแวร์นี้มีความแปลกใหม่ ดังนั้นนักวิจัยจึงเรียกมัลแวร์ตัวนี้ว่า 'HelloTeacher' โดยอ้างอิงจากบริการทดสอบที่มีอยู่ในซอร์สโค้ด

มัลแวร์ HelloTeacher จะปลอมตัวเป็นแอปพลิเคชันรับส่งข้อความยอดนิยม เช่น Viber หรือ kik Messenger เพื่อหลอกให้เป้าหมายติดตั้งแอปพลิเคชันที่เป็นอันตราย โดยตัวมัลแวร์มีความสามารถที่หลากหลาย เช่น การดึงข้อมูลรายชื่อผู้ติดต่อ, ข้อความ SMS, รูปภาพ, รายการแอปพลิเคชันที่ติดตั้ง, การจับภาพหน้าจอ และบันทึกหน้าจอของอุปกรณ์ที่ติดมัลแวร์

นอกจากนี้ผู้พัฒนามัลแวร์ HelloTeacher ยังพยายามเพิ่มฟังก์ชันของ banking trojan โดยใช้ฟีเจอร์อย่าง Accessibility Service โดยเป้าหมายหลักในการโจมตีเป็นธนาคารชื่อดังสามแห่งในเวียดนาม:

Package name

com.

Misspelled Packages (แพ็คเกจที่จงใจตั้งชื่อให้ใกล้เคียงกับแพ็คเกจยอดนิยม) กำลังล่อลวงเหยื่อที่ไม่ได้ระมัดระวัง โดยเหตุการณ์นี้มาจากรายงานของผู้ดูแลระบบ PyPI ในวันที่ 20 พฤษภาคม 2023 ที่ประกาศการระงับการลงทะเบียนชื่อผู้ใช้ และโปรเจกต์ใหม่ชั่วคราว สาเหตุเกิดจากการมีผู้ใช้ และโปรเจกต์ที่เป็นอันตรายเพิ่มขึ้นจำนวนมากในช่วงสัปดาห์ที่ผ่านมา

ประกาศของผู้ดูแลระบบ PyPI ระบุว่า "ปริมาณของผู้ใช้งาน และโปรเจกต์ที่เป็นอันตรายที่ถูกสร้างขึ้นในช่วงสัปดาห์ที่ผ่านมาเพิ่มขึ้นเร็วกว่าที่เราจะสามารถตอบสนองได้ในเวลาที่เหมาะสม โดยเฉพาะเมื่อผู้ดูแลระบบของ PyPI หลายคนลาออก"

PyPI (Python Package Index) เป็นที่เก็บซอฟต์แวร์ third-party อย่างเป็นทางการสำหรับ Python ซึ่งเป็นเว็บไซต์ที่ให้บริการในการจัดเก็บ และแจกจ่ายแพ็คเกจที่ถูกพัฒนาขึ้นด้วยภาษา Python โดย PyPI เป็นที่นิยมอย่างแพร่หลายสำหรับการพัฒนาแพ็คเกจด้วยภาษา Python ซึ่งช่วยให้นักพัฒนาสามารถเข้าถึง และดาวน์โหลดแพ็คเกจ Python ที่สร้างไว้ล่วงหน้าได้อย่างง่ายดาย ช่วยลดเวลา และความพยายามในการสร้างโค้ดตั้งแต่เริ่มต้น

Cyble Research and Intelligence Labs (CRIL) ได้ดำเนินการติดตามแพ็คเกจ Python ที่เป็นอันตราย และเร็ว ๆ นี้ CRIL ยังได้รายงานเรื่อง InfoSteraler ที่ถูกเรียกว่า KEKW ซึ่งกำลังแพร่กระจายผ่านแพ็คเกจ Python ที่เป็นอันตรายหลายรายการ

หลังจากการประกาศแจ้งเตือนของ PyPI นักวิจัยจาก Cyble ได้ดำเนินการตรวจสอบเพิ่มเติมเกี่ยวกับเหตุการณ์ดังกล่าว โดยพบแพ็คเกจ Python ที่เป็นอันตรายมากกว่า 160 รายการ จากสถิติที่เรียกดูจาก PePy พบว่าแพ็คเกจเหล่านี้มีการดาวน์โหลดไปแล้วมากกว่า 45,000 ครั้ง และยังพบว่ามีการดาวน์โหลดแพ็คเกจ python ที่เป็นอันตรายเพิ่มขึ้นต่อเดือน ซึ่งแพ็คเกจทั้งหมดเหล่านี้ถูกลบออกโดย PyPI และป้องกันการติดมัลแวร์ใหม่แล้ว

ภาพที่ 1 - จำนวนแพคเกจที่เป็นอันตรายที่ถูกดาวน์โหลดในแต่ละเดือน

การวิเคราะห์รายละเอียดเกี่ยวกับแพ็คเกจ Python ที่เป็นอันตรายกว่า 160 รายการ งานวิจัยครอบคลุมประเด็นที่น่าสนใจต่าง ๆ ได้แก่

Misspelled packages ถูกใช้งานโดยผู้ไม่หวังดี
กระแพร่กระจายของมัลแวร์ตัวใหม่ แพร่กระจายผ่านแพ็คเกจที่เป็นอันตราย
การนำเทคนิคของ obfuscation แบบใหม่มาใช้โดย W4SP Stealer
เทคนิคที่ใช้โดยผู้ไม่หวังดีที่ใช้ประโยชน์จากโมดูล EvilPIP

การวิเคราะห์

แพ็คเกจ Python ที่เป็นอันตราย

Misspelled Packages

ในการตรวจสอบของ CRIL เปิดเผยว่าผู้ไม่หวังดี (Threat Actors) ได้อัปโหลด Misspelled Python Packages โดยมุ่งเป้าหมายไปที่ผู้ใช้ Python โดยเฉพาะ ตัวอย่างที่โดดเด่น คือ การพบแพ็คเกจที่เป็นอันตรายที่ชื่อว่า 'reaquests' แพ็คเกจนี้มีจุดประสงค์ที่จะปลอมเป็นแพ็คเกจ Python ที่ถูกต้อง และใช้กันอย่างแพร่หลายที่ชื่อ 'requests' ซึ่งเป็นเครื่องมือยอดนิยมสำหรับดำเนินการ HTTP request ระหว่างผู้ใช้งานหลายล้านคน

การอัปโหลด Misspelled Packages นี้เป็นการเปิดเผยความเสี่ยงที่สำคัญโดยเฉพาะอย่างยิ่งหากผู้โจมตีรายอื่นนำเทคนิคนี้มาใช้ ซึ่งวิธีการดังกล่าวอาจทำให้ผู้ใช้งานที่ไม่ได้ระมัดระวังติดมัลแวร์จำนวนมากได้อย่างง่ายดาย โดยปกติแพ็คเกจ Python จะติดตั้งโดยใช้คำสั่ง “pip install package_name” ในกรณีที่ผู้ใช้พิมพ์ชื่อแพ็คเกจผิดพลาดอย่างไม่ได้ตั้งใจ พวกเขาก็จะติดตั้งแพ็คเกจ Python ที่เป็นอันตรายโดยไม่รู้ตัว

reaquests-0.1-py3-none-any
ดาวน์โหลดทั้งหมด : 252

ภาพด้านล่างแสดงสถิติการดาวน์โหลดในช่วง 3 เดือนที่ผ่านมา

ภาพที่ 2 - แหล่งที่มา PePy

จากการวิเคราะห์แพ็คเกจที่เป็นอันตรายดังกล่าว จากการตรวจสอบพบว่ามีการออกแบบเพื่อแพร่กระจายมัลแวร์ด้วย InfoStealer ซึ่งมัลแวร์ประเภทนี้มุ่งเป้าหมายไปที่เว็บเบราว์เซอร์ Google Chrome ของผู้ใช้งาน และดึงข้อมูลการเข้าสู่ระบบ โดยข้อมูลที่ถูกขโมยมาจะถูกส่งออกไปผ่านทาง Discord Webhook

ภาพที่ 3 - Stealer Code

รูปแบบมัลแวร์

เครื่องมือดาวน์โหลด (Downloader)

ในระหว่างการตรวจสอบ พบชุดของแพ็คเกจต่อไปนี้ที่ใช้งานเครื่องมือดาวน์โหลดที่เหมือนกัน ที่น่าสงสัยคือชุดแพ็คเกจเหล่านี้มีบันทึกการดาวน์โหลดทั้งหมด 1,355 ครั้ง

pyou-0.0.1-py3-none-any
tasksaio-0.0.1-py3-none-any
taskaio-0.0.1-py3-none-any
libcolors-0.0.1-py3-none-any
colorlibs-0.0.1-py3-none-any
pipcolors-0.0.1-py3-none-any
pycolorings-0.0.1-py3-none-any

เครื่องมือดาวน์โหลดที่กล่าวถึง ทำงานโดยการเรียกสคริปต์ระยะไกลจาก URL ที่กำหนด และเรียกใช้ผ่านตัวแปร Python ในกระบวนการนี้ เครื่องมือใช้ไฟล์ชั่วคราวเพื่อเก็บ และดำเนินการทำงานของสคริปต์จากระยะไกล ในกรณีนี้ถูกชี้ไปที่โฮสต์ "https[:]//paste[.]fo/raw/" และถูกปกปิดโดยใช้ Hyperion ซึ่งเป็นเครื่องมือปกปิดรหัส Python แบบโอเพ่นซอร์สที่มีชื่อเสียงสำหรับความสามารถในการปรับใช้เลเยอร์หลาย ๆ ชั้นของการปกปิดรหัสสคริปต์

ภาพด้านล่างแสดงแผนผังการทำงานของสคริปต์ดาวน์โหลดในกระบวนการดึงเนื้อหาจากภายนอก

ภาพที่ 4 – เครื่องมือดาวน์โหลด

Creal Stealer

Creel Stealer เป็นเครื่องมือขโมยข้อมูลแบบโอเพ่นซอร์สที่ได้รับการใช้งานอย่างแพร่หลายจากผู้ไม่หวังดี ถึงแม้ CRIL จะพบว่ามีการแพร่กระจายของมัลแวร์ขโมยนี้ผ่านเว็บไซต์ฟิชชิ่ง แต่ไม่มีหลักฐานใด ๆ ที่พบว่ามีการแพร่กระจายผ่านแพ็คเกจ Python มาก่อน ในการวิเคราะห์ยังพบว่ามีแพ็คเกจ Python หลายรายการที่แพร่กระจายมัลแวร์ Creal Stealer

ด้านล่างเป็นตัวอย่างของแพ็คเกจเหล่านี้ ซึ่งถูกดาวน์โหลดกว่า 1300 ครั้ง

amazonpxnau-0.0.1-py3-none-any.

พบตัวอย่างใหม่ของ RapperBot Botnet มีการเพิ่มฟังก์ชัน cryptojacking ที่มีความสามารถในการขุด Cryptocurrency บนคอมพิวเตอร์ที่ใช้ CPU Intel x64

ด้วยการพัฒนาอย่างต่อเนื่อง ในช่วงแรกผู้พัฒนามัลแวร์ได้เพิ่มความสามารถในการขุด Cryptocurrency ซึ่งแยกออกจากการทำงานของ Botnet จนกระทั่งในช่วงปลายเดือนมกราคมที่ผ่านมาฟังก์ชันการขุด Cryptocurrency ก็ถูกรวมเข้ากับ Botnet ในที่สุด

แคมเปญการขุด Cryptocurrency ของ RapperBot

นักวิจัยของ Fortinet's FortiGuard Labs ติดตามปฏิบัติการของ RapperBot ตั้งแต่เดือนมิถุนายน 2565 และรายงานว่า RapperBot นั้นเน้นการโจมตีเซิร์ฟเวอร์ Linux SSH ด้วยวิธีการ brute-force และรวบรวมเซิร์ฟเวอร์เหล่านั้นเพื่อใช้ในการโจมตีแบบ DDoS

จากนั้นในเดือนพฤศจิกายน นักวิจัยพบการอัปเดตเวอร์ชันของ RapperBot ทีใช้การแพร่กระจายตัวเองผ่าน Telnet และรวบรวมคำสั่งที่เหมาะสมกับการโจมตีเซิฟเวอร์ของบริษัทเกม

โดยในสัปดาห์นี้ FortiGuard Labs มีการรายงานเกี่ยวกับเวอร์ชันของ RapperBot ที่มีการใช้ XMRig Monero เพื่อขุด Cryptocurrency บนเครื่องคอมพิวเตอร์ที่ใช้ CPU Intel x64

นักวิจัยระบุว่าแคมเปญนี้เริ่มถูกนำมาใช้งานตั้งแต่เดือนมกราคม และกำหนดเป้าหมายไปที่อุปกรณ์ IoT เป็นหลัก

ปัจจุบันโค้ดสำหรับการขุด Cryptocurrency ได้ถูกรวมเข้ากับ RapperBot และได้รับการเข้ารหัสแบบ double-layer XOR ซึ่งสามาถซ่อน mining pools และ Monero mining addresses จากนักวิเคราะห์ได้อย่างมีประสิทธิภาพ

FortiGuard Labs พบว่า Botnet ดังกล่าวได้มีการตั้งค่าการขุดจาก C2 เซิฟเวอร์ แทนการใช้งาน hardcoded static pool addresses และ multiple pool นอกจากนี้ยังมีการใช้กระเป่าเงินดิจิทัลหลายอันในการสำรองข้อมูล

IP ของ C2 มีการโฮสต์ mining proxy ไว้ 2 ตัว เพื่อให้การตรวจสอบ และติดตามยากยิ่งขึ้น นอกจากนี้หาก C2 เซิฟเวอร์ออฟไลน์ RapperBot เองก็มีการตั้งค่าให้ไปใช้ mining pool สาธารณะแทน

เพื่อเพิ่มประสิทธิภาพการขุดให้สูงสุด มัลแวร์ตัวนี้จะมีการตรวจสอบ และระบุ Process บนเครื่องของเหยื่อ หากพบ Process ของมัลแวร์ตัวอื่น ก็จะหยุดการทำงานของ Process ดังกล่าวอีกด้วย

ในการวิเคระห์ RapperBot เวอร์ชันล่าสุด binary network protocol ที่ใช้สำหรับการติดต่อกับ C2 เซิฟเวอร์ได้รับการปรับปรุงใหม่โดยใช้วิธีการเข้ารหัสแบบ two-layer เพื่อหลบหลีกการตรวจจับ นอกจากนี้ขนาด และช่วงเวลาของการส่ง request ไปยังเซิร์ฟเวอร์ C2 นั้นถูกสุ่มให้มีความแต่กต่างกันเพื่อให้การเชื่อมต่อนั้นตรวจพบได้ยากขึ้น

ในขณะที่นักวิจัยยังไม่สังเกตเห็นคำสั่ง DDoS ที่ส่งมาจากเซิร์ฟเวอร์ C2 ไปยังตัวอย่างที่วิเคราะห์ได้ แต่พวกเขาพบว่าเวอร์ชันล่าสุดของ Bot รองรับคำสั่งดังต่อไปนี้:

Perform DDoS attacks (UDP, TCP, and HTTP GET)
Stop DDoS attacks
Terminate itself (and any child processes)

RapperBot ดูเหมือนจะพัฒนาอย่างรวดเร็ว และเพิ่มความสามารถต่าง ๆ เพื่อเพิ่มรายได้ให้กับกลุ่มผู้โจมตี

เพื่อป้องกันอุปกรณ์จากการโจมตีของ RapperBot และมัลแวร์ที่คล้ายกัน

ผู้ใช้งานควรอัปเดตซอฟต์แวร์ให้เป็นปัจจุบันอยู่เสมอ และปิด Service ที่ไม่จำเป็นต้องใช้งาน
เปลี่ยนรหัสผ่านเริ่มต้นเป็นรหัสผ่านที่รัดกุม
ใช้ Firewall เพื่อ Block request ที่ไม่ได้รับอนุญาต

ที่มา : bleepingcomputer

Proof of concept (POC) exploit code ของช่องโหว่ที่มีระดับ critical ในไลบรารียอดนิยม 'VM2' JavaScript sandbox ซึ่งถูกนำไปใช้ในซอฟต์แวร์จำนวนมากเพื่อความปลอดภัยสำหรับการทำงานแบบ virtualized

โดยไลบรารีดังกล่าวออกแบบมาเพื่อทดสอบโค้ดที่อาจไม่น่าเชื่อถือ บนเซิร์ฟเวอร์แยกของ Node.

แคมเปญฟิชชิ่ง Emotet รูปแบบใหม่ ที่มุ่งเป้าไปยังผู้เสียภาษีในสหรัฐฯ โดยการปลอมแปลงเป็นแบบฟอร์ม W-9 ที่ถูกส่งโดยหน่วยงาน Internal Revenue Service และบริษัทของเหยื่อ

Emotet เป็นมัลแวร์ที่มักแพร่กระจายผ่านทางอีเมลฟิชชิ่ง โดยในอดีตมีการใช้งานเอกสาร Microsoft Word และ Excel ที่มีการฝังมาโครไว้เพื่อทำการติดตั้งมัลแวร์

อย่างไรก็ตาม หลังจากที่ Microsoft ได้ทำการแก้ไขโดยการบล็อกมาโครเป็นค่าเริ่มต้นบน office ทาง Emotet ก็เปลี่ยนไปใช้ไฟล์ Microsoft OneNote ที่มีการฝังสคริปต์แทน เพื่อทำการติดตั้งมัลแวร์

เมื่อ Emotet ถูกติดตั้งแล้ว มัลแวร์จะทำหน้าที่ขโมยอีเมลของเหยือเพื่อใช้ในการโจมตีแบบ reply-chain, ส่งอีเมลสแปมเพิ่มเติม รวมถึงติดตั้งมัลแวร์อื่น ๆ เพื่อเปิดช่องทางการเข้าถึงระบบของเหยื่อสำหรับกลุ่มผู้โจมตีอื่น ๆ หรือกลุ่ม Ransomware

Emotet เตรียมพร้อมสำหรับช่วงเก็บภาษีของสหรัฐฯ

การทำงานของ Emotet มักใช้แคมเปญฟิชชิ่งที่มีธีมให้สอดคล้องกับวันหยุดพิเศษ และกิจกรรมทางธุรกิจที่เกิดขึ้นทุกปี เช่น ช่วงเวลาการเก็บภาษีของสหรัฐฯ ในปัจจุบัน

ในแคมเปญฟิชชิ่งล่าสุด (more…)

นักวิจัยมัลแวร์ได้สังเกตเห็นเครื่องมือใหม่ที่ช่วยให้ผู้โจมตีสร้างไฟล์ .LNK ที่เป็นอันตรายเพื่อส่งเพย์โหลดสำหรับเริ่มการโจมตี

LNKs คือไฟล์ shortcut ของ Windows ที่อาจมีโค้ดอันตรายเพื่อใช้เครื่องมือในระบบอย่างไม่ถูกต้อง เช่น ไบนารีที่เรียกว่า living-off-the-land (LOLBins) เช่น PowerShell หรือ MSHTA ที่ใช้ในการรันไฟล์ Microsoft HTML Application (HTA) ด้วยเหตุนี้ LNK จึงถูกใช้สำหรับการแพร่กระจายมัลแวร์ โดยเฉพาะอย่างยิ่งในแคมเปญฟิชชิ่งโดยกลุ่มมัลแวร์บางกลุ่มที่กำลังใช้ Emotet, Bumblebee, Qbot และ IcedID (more…)

กลุ่มผู้โจมตีในเครือข่ายของ LockBit ransomware กำลังใช้วิธีใหม่เพื่อให้เหยื่อติด ransomware ในอุปกรณ์ของพวกเขาโดยการปลอมอีเมลล์แจ้งเตือนการละเมิดลิขสิทธิ์

ผู้รับอีเมลเหล่านี้จะถูกเตือนว่าละเมิดลิขสิทธิ์ และถูกกล่าวหาว่าใช้ไฟล์สื่อโดยไม่ได้รับอนุญาตจากผู้สร้าง อีเมลเหล่านี้จะแจ้งให้ลบเนื้อหาละเมิดลิขสิทธิ์จากเว็บไซต์ของพวกเขาไม่เช่นนั้นพวกเขาจะถูกดำเนินคดีทางกฎหมาย โดยนักวิเคราะห์จาก AhnLab ของเกาหลีใต้ ไม่ได้ระบุถึงชื่อไฟล์ หรือรายละเอียดของข้อความที่ผู้โจมตีบอกว่าเป็นการละเมิดลิขสิทธิ์ แต่แจ้งเตือนให้ผู้ที่ได้รับอีเมลอย่าดาวน์โหลด และเปิดไฟล์ที่แนบมาเพื่อดูเนื้อหาที่ถูกแจ้งว่าละเมิดลิขสิทธิ์ (more…)

TB Kawashima ซึ่งเป็นซัพพลายเออร์ ผู้ผลิตชิ้นส่วนยานยนต์ของญี่ปุ่น Toyota Boshoku ของกลุ่มบริษัท Toyota Group ประกาศว่าหนึ่งในบริษัทในเครือถูกโจมตีทางไซเบอร์ ยังไม่ได้มีการยืนยันจากบริษัทแต่มีข้อสังเกตว่าบริษัทกำลังดำเนินการจัดการกับการโจมตีจากกลุ่มแรนซัมแวร์ LockBit

TB Kawashima เป็นผู้ผลิตผ้าที่ใช้ตกแต่งภายในสำหรับรถยนต์ เครื่องบิน โรงภาพยนตร์ และรถไฟ โดยมีสำนักงาน และโรงงานในสหรัฐอเมริกา จีน ไทย อินโดนีเซีย และอินเดีย (more…)

นักวิจัยพบแคมเปญมัลแวร์ใหม่ที่มุ่งเป้าไปยังกลุ่ม infoSec community ด้วย Proof of Concept exploits ** ปลอมเพื่อแอบติดตั้ง Cobalt Strike beacon

นักวิจัยจากบริษัทข่าวกรองภัยคุกคาม Cyble ค้นพบแคมเปญมัลแวร์ที่กำหนดเป้าหมายไปยัง infoSec community โดยผู้เชี่ยวชาญพบโพสต์ที่มีนักวิจัยแชร์โค้ดบน GitHub ที่อ้างว่าเป็น Proof of Concept (POC) สำหรับช่องโหว่ RPC Runtime Library Remote Code Execution (CVE-2022-26809 CVSS 9.8) ซึ่งจริงๆแล้วเป็นมัลแวร์

“จากการตรวจสอบเพิ่มเติมพบว่ามัลแวร์ที่ปลอมเป็น exploits ดังกล่าวคล้ายกับที่เคยพบก่อนหน้านี้กับมัลแวร์ที่ปลอมเป็น POC ของช่องโหว่ CVE-2022-24500 โดย Cyble พบว่ามัลแวร์ทั้งสองตัวถูกเผยแพร่อยู่บน GitHub และน่าสนใจว่ามัลแวร์ทั้งสองตัวอยู่ใน profile ของผู้ใช้คนเดียวกัน ซึ่งแสดงให้เห็นว่าผู้โจมตีในครั้งนี้ตั้งใจที่จะมุ่งเป้าการโจมตีไปยัง infoSec community"

จากการวิเคราะห์มัลแวร์พบว่าเป็นไบนารี .Net ที่อยู่ใน ConfuserEX ซึ่งเป็นฟรี open-source protector สำหรับแอปพลิเคชัน .NET โดยตัวมัลแวร์จะไม่มีโค้ดที่ใช้สำหรับโจมตีช่องโหว่อยู่จริงๆ โดยตัวมันจะทำเหมือนว่ากำลังโจมตี และรัน shell code แต่จริงๆแล้วเพียงแค่ print ข้อความหลอกๆโชว์ออกมาเท่านั้น

ซึ่งจริงๆแล้วมัลแวร์จะรันคำสั่งบน PowerShell ผ่าน cmd.

วันที่ 11 พฤศจิกายนที่ผ่านมา มีรายงานจากสำนักข่าวในประเทศไทยระบุว่า เว็บไซต์ศาลรัฐธรรมนูญ ถูกแฮกโดยเปลี่ยนชื่อไซต์เป็น Kangaroo Court และเปลี่ยนแปลงการแสดงผลหน้าเว็บไซต์เป็นมิวสิกวิดีโอเพลง Guillotine (It Goes Yah) ของวงดนตรีแนวฮิปฮอปจากสหรัฐชื่อ Death Grips และทำให้ไม่สามารถเข้าได้นั้น ซึ่งต่อมาทางกระทรวงดิจิทัลฯ ประกาศว่ากำลังเร่งหาตัวผู้กระทำผิด

ล่าสุดวันที่ 13 พฤศจิกายน มีรายข่าวจากสำนักข่าวว่าเจ้าหน้าที่ตำรวจสามารถจับกุมมือแฮกได้แล้ว หลังจากแกะรอยจากไอพีจนสามารถจับกุมได้ที่ จ.อุบลราชธานี เป็นชายวัย 33 ปี จบปริญญาตรีด้านวิทยาศาสตร์การแพทย์ โดยผู้ที่ถูกจับกุมให้การรับสารภาพว่าเป็นผู้แฮกเว็บไซต์ศาลรัฐธรรมนูญจริง จึงมีการสอบปากคำพร้อมยึดอุปกรณ์คอมพิวเตอร์ที่เกี่ยวข้องกับการกระทำความผิดเพื่อส่งให้กลุ่มงานตรวจพิสูจน์พยานหลักฐานดิจิทัลต่อไป

หากมีความคืบหน้าเพิ่มเติมทาง i-secure จะอัปเดตข้อมูลให้ทราบอีกครั้ง