ElasticSearch ของแฮกเกอร์หลุด เผยปฏิบัติการขโมยข้อมูลจาก Facebook กับเหยื่อกว่า 100,000 ราย

ทีมนักวิจัยจาก vpnMentor เปิดเผยปฏิบัติการ Phishing และการหลอกลวงเอาข้อมูลบัตรเครดิคจากผู้ใช้งาน Facebook และหลังจากมีการตรวจระบบ ElasticSearch ของกลุ่มแฮกเกอร์ที่ถูกตั้งค่าไว้อย่างไม่ปลอดภัย ทำให้ทีมนักวิจัยสามารถเข้าถึงข้อมูลของเหยื่อได้

กลุ่มแฮกเกอร์ใช้วิธีการหลอกเป้าหมายใน Facebook เพื่อเข้ายึดครองบัญชีผู้ใช้งานโดยการหลอกให้ผู้ใช้งานกรอกข้อมูลสำหรับยืนยันตัวตนใส่โปรแกรมที่อ้างว่าจะช่วยให้ผู้ใช้งานทราบว่าใครเข้ามาดูหน้าโปรไฟล์ของพวกเขาได้ จากนั้น กลุ่มแฮกเกอร์จะนำข้อมูลบัญชีผู้ใช้ Facebook ที่ได้มาไปสแปมในโพสต์ต่าง ๆ ของ Facebook เพื่อหลอกลวงด้วยสถานการณ์อื่น ๆ

ในส่วนของระบบ ElasticSearch ของผู้โจมตีนั้น ทีมนักวิจัยจาก vpnMentor ระบุว่าข้อมูลซึ่งอยู่ในระบบ ElasticSearch มีขนาดประมาณ 5.5 กิกะไบต์, เก็บข้อมูลทั้งหมด 13,521,774 รายการ และมีข้อมูลของบัญชีผู้ใช้งานที่ไม่ซ้ำกันทั้งหมด 100,000 บัญชี ประวัติการใช้งานระบุว่าระบบดังกล่าวถูกเปิดใช้งานมาตั้งแต่เดือนมิถุนายนก่อนที่จะถูกตรวจพบในช่วงปลายเดือนกันยายนที่ผ่านมา

ข้อมูลในระบบ ElasticSearch ประกอบไปด้วยข้อมูลสำหรับยืนยันตัวตนของบัญชี Facebook เหยื่อ, หมายเลขไอพีแอดเดรส, เทมเพลตข้อความเพื่อใช้ในการคอมเมนต์โดยผู้โจมตี, และข้อมูลส่วนตัวอื่นๆ ในขณะนี้ทางทีมวิจัยได้มีการติดต่อไปยัง Facebook เพื่อประสานงานและแจ้งให้ผู้ใช้ได้รับทราบแล้ว

ที่มา: threatpost

แจ้งเตือนกลุ่มแฮกเกอร์จีนโจมตีระบบหน่วยงานรัฐฯ ในภูมิภาคเอเชียตะวันออกเฉียงใต้

Bitdefender เผยแพร่รายงานล่าสุดเกี่ยวกับความเคลื่อนไหวของกลุ่มแฮกเกอร์จีนที่พุ่งเป้าโจมตีระบบหน่วยงานรัฐฯ ในภูมิภาคเอเชียตะวันออกเฉียงใต้ โดยเชื่อว่าความเคลื่อนไหวของกลุ่มแฮกเกอร์กลุ่มนี้เริ่มต้นตั้งแต่ปี 2018 และมีเป้าหมายในการจารกรรมข้อมูล

ในรายละเอียดของปฏิบัติการ กลุ่มแฮกเกอร์มีการใช้งานมัลแวร์หลายตัวซึ่งคาดว่ามีการพัฒนาขึ้นมาใช้งานเอง ได้แก่ Chinoxy, PcShare RAT และ FunnyDream จากข้อมูลในซอร์สโค้ดและการตั้งค่าภาษาต่าง ๆ Bitdefender จึงมีความมั่นใจว่ากลุ่มแฮกเกอร์นี้ใช้ภาษาจีนเป็นหลัก การโจมตีจะเริ่มขึ้นจากการใช้ phishing เพื่อหลอกให้เหยื่อติดตั้งโปรแกรมที่เป็นอันตราย มัลแวร์ Chinoxy และ PcShare จะถูกใช้หลังจากนั้นเพื่อให้แฮกเกอร์สามารถฝังตัวและเชื่อมต่อเข้าสู่ระบบที่โจมตีได้แล้วในภายหลัง หลังจากนั้นแฮกเกอร์จะมีการใช้เครื่องมือและโปรแกรมในระบบเพื่อลักลอบเก็บข้อมูลก่อนส่งออกไปยังเซิร์ฟเวอร์ของแฮกเกอร์ภายนอก

การแกะรอยพฤติกรรมและการเคลื่อนไหวยังเปิดเผยอีกว่า มัลแวร์ FunnyDream ซึ่งถูกใช้ในปฏิบัติการนั้นถูกเริ่มใช้ในเดือนพฤษภาคม 2019 และปรากฎเซิร์ฟเวอร์ที่ใช้ออกคำสั่งและควบคุม (C&C) ของ FunnyDream อยู่ในฮ่องกง, จีน, เกาหลีใต้และเวียดนาม

รายงานของ Bitdefender เชื่อว่ากลุ่มแฮกเกอร์ได้มีการโจมตีหน่วยงานรัฐฯ ในประเทศมาเลเซีย, ไต้หวัน, ฟิลิปปินส์และเวียดนามไปแล้ว ยังไม่พบการโจมตีในประเทศไทย

รายงานของ Bitdefender ได้มีการให้รายละเอียดข้อมูลพฤติกรรมของผู้โจมตีและ IOC เอาไว้แล้ว โดยสามารถเข้าถึงได้ที่ bitdefender 

ที่มา: thehackernews | zdnet

แกะเครื่องมือทำ Phishing ใหม่ “Email Appender” ใช้ Credential stuffing เข้า IMAP ไปฝังอีเมลปลอม

บริษัทด้านความปลอดภัย Gemini Advisory เปิดเผยพฤติกรรมการซื้อขายเครื่องมือสำหรับการโจมตีทางอีเมลใหม่ซึ่งกำลังมีการปล่อยขายในเว็บบอร์ดใต้ดินและใน Darknet ภายใต้ชื่อ Email Appender โดยเครื่องมือดังกล่าวสามารถนำมาใช้ในการโจมตีแบบ Phishing, BEC และใช้ในการแพร่กระจายมัลแวร์ได้โดยเนื้อหาของอีเมลจะปราศจากจุดสังเกตความผิดปกติใด ๆ

Email Appender ใช้วิธีการโจมตีโดยการนำข้อมูลสำหรับเข้าสู่ระบบอีเมลมาดำเนินการเข้าระบบของผู้ให้บริการซ้ำด้วยวิธีการแบบ Credential stuffing หากสามารถเข้าถึงได้ผ่านโปรโตคอล IMAP โปรแกรม Email Appender จะใช้คำสั่ง APPEND เพื่อแทรกข้อมูลเสมือนกับมีอีเมลใหม่เข้ามาในบัญชีอีเมลของเป้าหมาย ส่งผลให้เมื่อเหยื่อเข้ามาตรวจสอบใน Inbox จะพบกับอีเมลซึ่งมีลักษณะเหมือนของจริงอยู่ภายใน

เทคนิคการใช้ APPEND ใน IMAP ถูกใช้มานานแล้ว อย่างไรก็ตามความนิยมของเทคนิคค่อนข้างต่ำเนื่องจากผู้โจมตีจะต้องมีข้อมูลของบัญชีอีเมลที่ถูกต้องเพื่อผ่านการยืนยันตัวตนของโปรโตคอลที่เกี่ยวข้องกับอีเมลให้ได้ก่อนจึงจะสามารถทำการโจมตีได้

Email Appender ถูกขายแบบ Subscription โดยมีราคาต่ำสุดอยู่ที่ 50 เหรียญสหรัฐฯ สำหรับการใช้งานหนึ่งวัน

ในมุมของผู้ใช้งานที่ช่วยในการป้องกันการโจมตีได้คือการเปิดใช้ฟีเจอร์การยืนยันตัวตนหลายขั้นตอน (Multi-factor authentication หรือ MFA) เพื่อป้องกันการนำ credential มาใช้ซ้ำ รวมไปถึงหมั่นตรวจสอบการรั่วไหลของข้อมูลสำหรับยืนยันตัวตนและพฤติกรรมการใช้งานบัญชีอย่างสม่ำเสมอ

ที่มา: bleepingcomputer.

เว็บ Phishing ใช้เทคนิคกลับสีรูปภาพและใช้ CSS เปลี่ยนสีเป็นสีเดิมเพื่อหลบการตรวจจับ

บริษัทด้านความปลอดภัย WMC Global เปิดเผยการค้นพบเทคนิคใหม่ซึ่งเว็บไซต์ Phishing จะมีการใช้เพื่อหลบเลี่ยงการถูกตรวจจับในลักษณะของการสแกนหน้าตาและอ็อบเจกต์บนเว็บไซต์ปลอม โดยอาศัยการเปลี่ยนสีรูปภาพให้กลายเป็นสีตรงข้าม (invert color) หลังจากนั้นใช้ CSS เปลี่ยนกลับเมื่อผู้ใช้งานเข้าถึงหน้าเว็บเพจ

หนึ่งในวิธีการระบุหา Phishing ในปัจจุบันนั้นคือการเปรียบเทียบออบเจ็กต์ อาทิ รูปภาพหรือวีดิโอ เพื่อระบุหาความคล้ายคลึงโดยบางครั้งอาจทำโดยการเปรียบเทียบค่าแฮชของรูปภาพที่แสดงบนเว็บไซต์ และเชื่อมโยงไปหาฐานข้อมูลเว็บไซต์ของจริงว่าตรงกับผู้ให้บริการหรือเซอร์วิสไหนบ้าง วิธีการเปลี่ยนสีรูปภาพให้เป็นสีตรงข้ามจะทำให้ค่าแฮชของรูปภาพเปลี่ยนแปลงและทำให้ไม่สามารถเชื่อมโยงด้วยวิธีการนี้ได้

WMC Global รายงานว่าพบการใช้เทคนิคดังกล่าวแล้วกับหน้าเข้าสู่ระบบของบริการ Microsoft ขอให้ผู้ใช้เพิ่มความระมัดระวังและตรวจสอบความผิดปกติของเว็บไซต์อยู่เสมอเพื่อลดความเสี่ยงที่จะตกเป็นเหยื่อในการหลอกลวง

ที่มา: bleepingcomputer.

Shopify เปิดเผยว่าพนักงานของบริษัทเข้าถึงข้อมูลลูกค้าโดยไม่ได้รับอนุญาต

Shopify ได้เปิดเผยถึงเหตุการณ์ที่เจ้าหน้าที่สองคนของบริษัทได้ทำการเข้าถึงข้อมูลลูกค้าโดยไม่ได้รับอนุญาต ซึ่งจากการตรวจสอบทั้งคู่ได้ทำการละเมิดสิทธิ์ในการเข้าถึงข้อมูลที่เกี่ยวข้องกับธุรกรรมของลูกค้าจำนวนหนึ่งซึ่งคาดว่าน่าจะมีน้อยกว่า 200 ราย

เมื่อทำการตรวจพบ Shopify ได้ตัดการเข้าถึงเครือข่าย Shopify ของบุคคลทั้งสองโดยทันที โดยข้อมูลที่คาดว่าพนักงานเข้าถึงได้โดยไม่ได้รับอนุญาตนั้นประกอบไปด้วย ชื่อ, อีเมล, ที่อยู่และรายละเอียดการสั่งซื้อของบริษัท ซึ่งบริษัทได้ทำการยืนยันว่าข้อมูลทางการเงินนั้นจะไม่ได้รับผลกระทบ

หลังจากการสอบสวนเหตุการณ์ Shopify ได้ดำเนินการแจ้งผู้ที่ได้รับผลกระทบทั้งหมดแล้วและได้ไล่พนักงานทั้งสองคนออกทันที ทั้งนี้ผู้ใช้ที่ได้รับอีเมลเเจ้งเตือนถึงการละเมิดข้อมูลควรทำการเปลื่ยนรหัสผ่านเพื่อป้องกันการเข้าถึงบัญชีของผู้ใช้และควรระมัดระวังการ Phishing ข้อมูลของผู้ใช้ในอนาคต

ที่มา : bleepingcomputer

Iranian hackers impersonate journalists to set up WhatsApp calls and gain victims’ trust

กลุ่ม APT จากอิหร่านใช้วิธีการ Social Engineering โดยปลอมตัวเป็นนักข่าวเพื่อหลอกเหยื่อ

นักวิจัยจาก ClearSky ออกรายงานล่าสุดซึ่งมีการเปิดเผยการโจมตีที่เกิดขึ้นในช่วงเดือนกรกฎาคมถึงสิงหาคม 2020 ที่ผ่านมา โดยรายงานดังกล่าวพุ่งประเด็นไปที่พฤติกรรมของกลุ่มแฮกเกอร์อิหร่าน CharmingKitten (APT35) ที่มุ่งโจมตีนักวิชาการ กลุ่มสิทธิมนุษยชน และนักข่าวที่มีเชี่ยวชาญเกี่ยวกับอิหร่าน

หนึ่งในเทคนิคการเข้าถึงเป้าหมายที่ถูกเปิดเผยออกมานั้นคือพฤติกรรมที่แฮกเกอร์อิหร่านปลอมตัวเป็นนักข่าวเพื่อหลอกล่อเหยื่อ โดยพยายามติดต่อเหยื่อผ่านทาง LinkedIn จากนั้นมีการโทรคุยผ่าน WhatsApp เพื่อหลอกให้เหยื่อเชื่อใจ ก่อนจะส่ง phishing หรือมัลแวร์ให้กับเหยื่อ

ในอดีตกลุ่ม CharmingKitten เคยมีการปลอมตัวในลักษณะนี้มาก่อน แต่ใช้เพียงแค่อีเมลกับ SMS นักวิจัยระบุว่าการพยายามโทรหาเหยื่อเสี่ยงต่อการเปิดเผยตัวผู้โจมตี แต่ถ้าสำเร็จจะทำให้เหยื่อเชื่อใจได้มากขึ้น

ที่มา: zdnet

SANS Institute เปิดเผยการรายละเอียดการ Phishing ส่งเมลเอกสารหลอกติดตั้งปลั๊กอิน Office 365 ฟอร์เวิร์ดเมลออก

อ้างอิงจากข่าวการรั่วไหลข้อมูลของ SANS Institute จากการโจมตีในลักษณะ Phishing ที่ไอ-ซีเคียวได้นำเสนอข่าวไปก่อนหน้า (ดูเพิ่มเติม https://www.

SANS โดนโจมตี ข้อมูล PII ของผู้เข้าร่วม DFIR Summit หลุดกว่า 28,000 รายการจาก Phishing

SANS ออกมาประกาศการตรวจพบการโจมตีซึ่งเป็นผลมาจากการอีเมลฟิชชิ่งที่พุ่งเป้าโจมตีบัญชีพนักงานภายในและส่งผลให้เกิดการเข้าถึงและรั่วไหลของข้อมูลส่วนบุคคลกว่า 28,000 รายการ โดยข้อมูลส่วนบุคคลที่รั่วไหลนั้นประกอบไปด้วยชื่อ, อีเมล, หมายเลขโทรศัพท์, ตำแหน่งงาน, ชื่อบริษัท, ที่อยู่และรหัสไปรษณีย์

จากการตรวจสอบในเบื้องต้น SANS ยืนยันว่าไม่มีระบุหรือบัญชีใดนอกเหนือจาก 28,000 รายการดังกล่าวที่ได้รับผลกระทบ โดย SANS ได้มีการส่งอีเมลไปยังบุคคลซึ่งได้รับผลกระทบแล้ว (ตามตัวอย่างรูปด้านล่าง) ทาง SANS ยังได้มีการอัปเดตข้อมูลกับ The Register เพิ่มเติมว่าข้อมูลที่ได้รับผลกระทบจากการโจมตีนั้นคือข้อมูลของผู้ที่เข้ากรอกเพื่อเข้าร่วมกิจกรรมสัมมนาออนไลน์ DFIR Summit ซึ่งพึ่งมีการจัดกิจกรรมไป

ทีม SANS DFIR กำลังเข้าตรวจสอบเหตุการณ์ดังกล่าวและเสริมความปลอดภัยระบบ โดยจะมีการจัดทำ Webcast เพื่อแถลงถึงความโปร่งใสในการดำเนินการและผลกระทบเพิ่มเติมให้สาธารณะได้รับทราบอีกครั้ง

ที่มา:

sans.

พบแคมเปญอีเมลฟิชชิ่งใช้คำเเนะนำให้อัปเดตด้านความปลอดภัยเพื่อหลอกลวงผู้ใช้ cPanel

พบแคมเปญอีเมลฟิชชิ่งที่กำหนดเป้าหมายไปยังผู้ใช้ cPanel โดยการส่งอีเมลคำเเนะนำด้านความปลอดภัยปลอมเเจ้งเตือนให้ผู้ใช้ทำการอัปเดตเวอร์ชั่นเพื่อเเก้ไขช่องโหว่ในส่วนการจัดการ WebHost Manager (WHM) และ cPanel

อีเมลฟิชชิ่งที่ทำการปลอมเเปลงนั้นใช้หัวเรื่องอีเมลชื่อว่า "cPanel Urgent Update Request" โดยอีเมลคำเเนะนำปลอมนั้นมีข้อความระบุว่ามีการเผยแพร่เเพตซ์การอัปเดตเพื่อแก้ไขช่องโหว่แล้วและเพื่อป้องกันการใช้ประโยชน์จากช่องโหว่ใน cPanel และ WHM เวอร์ชัน 88.0.3+, 86.0.21+ และ 78.0.49+ ผู้ใช้ควรทำการอัปเดตการติดตั้งให้เป็นเวอร์ชั่นล่าสุด

จากการวิเคราะห์ของ BleepingComputer พบว่าผู้โจมตีได้จดโดเมน “cpanel7831.com” เพื่อใช้เป็นอีเมลในการปลอมเเปลงคำเเนะนำด้านความปลอดภัยจาก cPanel และใช้ Amazon Simple Email Service (SES) เพื่อส่งอีเมลฟิชชิ่ง หากผู้รับอีเมลฟิชชิ่งหลงเชื่อและทำการคลิกที่ “อัปเดตการติดตั้ง cPanel & WHM ของคุณ” ลิงก์จะนำผู้ใช้ไปยังเว็บไซต์ที่ผู้โจมตีได้ทำการปลอมเเปลงเพื่อให้ผู้ใช้ล็อกอินเข้าสู่ระบบด้วยบัญชีของ cPanel และหลังจากผู้ใช้ทำการล็อกอินเข้าสู้ระบบด้วยบัญชีของ cPanel เว็บไซต์จะทำการ landing page ไปยังหน้า Google search ที่ใช้คำค้นหาด้วย cpanel

หากผู้ใช้หลงกรอกอีเมลและรหัสผ่าน ควรทำการเปลี่ยนรหัสผ่านทันที ทั้งนี้ผู้ใช้ควรทำการตรวจสอบอีเมลทุกครั้งก่อนทำการคลิกลิงก์ในอีเมลเพื่อป้องกันการฟิชชิ่งด้วยอีเมล

ที่มา: bleepingcomputer.

ช่องโหว่ Zero-Day ใหม่ที่อยู่ใน Vanity URL ของ Zoom ที่อาจทำให้ผู้โจมตีสามารถเลียนเเบบองค์กรได้

นักวิจัยของ Check Point ได้ทำการเปิดเผยช่องโหว่ Zero-Day ใหม่ในแอปพลิเคชันยอดนิยม Zoom ซึ่งช่องโหว่จะเปิดทางให้ผู้โจมตีสามารถปลอมเเปลงเป็นองค์กรเพื่อหลอกพนักงานหรือหุ้นส่วนธุรกิจให้เปิดเผยข้อมูลส่วนบุคคลหรือข้อมูลลับอื่น ๆ โดยใช้กลวิธีทาง Social-engineering

นักวิจัยของ Check Point กล่าวว่าช่องโหว่นี้อยู่ในฟีเจอร์ Vanity URL ของ Zoom ซึ่งฟีเจอร์นี้ได้เปิดให้ผู้ใช้งานในรูปเเบบบริษัทสามารถทำการกำหนดโดเมน Zoom meeting ที่เชื่อมโยงไปยังห้องการประชุม Zoom ได้เช่น https://organization_name.