พบผู้โจมตีกำลังใช้ไฟล์แนบ RPMSG ที่เข้ารหัส ซึ่งจะถูกส่งผ่านบัญชี Microsoft 365 เพื่อใช้ในการขโมยข้อมูล credentials ด้วยการโจมตีฟิชชิ่งแบบกำหนดเป้าหมาย ซึ่งถูกออกแบบมาเพื่อหลบเลี่ยงการตรวจจับโดยอีเมลเกตเวย์
ไฟล์ RPMSG (restricted permission message files) เป็นไฟล์แนบข้อความอีเมลเข้ารหัสที่สร้างขึ้นโดยใช้ Microsoft's Rights Management Services (RMS) เพื่อการป้องกันเพิ่มเติมสำหรับข้อมูลที่มีความสำคัญ โดยการจำกัดการเข้าถึงเฉพาะผู้รับที่ได้รับอนุญาตเท่านั้น

ผู้รับที่ต้องการอ่านอีเมล จะต้องถูกตรวจสอบสิทธิ์โดยใช้บัญชี Microsoft หรือขอรับ one-time passcode เพื่อถอดรหัส   โดย Trustwave พบว่า ข้อกำหนดสำหรับการตรวจสอบสิทธิ์ของ RPMSG กำลังถูกใช้เพื่อหลอกเป้าหมายให้ส่งข้อมูล credentials ของ Microsoft โดยใช้แบบฟอร์มเข้าสู่ระบบปลอม

ลักษณะการทำงาน

เริ่มต้นด้วยอีเมลที่จะถูกส่งมาจากบัญชี Microsoft 365 ที่ถูกโจมตี ในกรณีนี้มาจากบริษัท Talus Pay ซึ่งเป็นบริษัทประมวลผลการชำระเงิน
ผู้รับคือผู้ใช้งานในแผนกเรียกเก็บเงินของบริษัทผู้รับ ซึ่งอีเมลจะแสดงข้อความที่มีการเข้ารหัสจาก Microsoft
อีเมลของผู้โจมตีจะขอให้เป้าหมายคลิกปุ่ม "Read the message" เพื่อถอดรหัส และเปิดข้อความที่ได้รับการป้องกัน โดยจะถูกเปลี่ยนเส้นทางไปยังหน้าเว็บ Office 365 พร้อมกับคำขอให้ลงชื่อเข้าใช้บัญชี Microsoft
หลังจากผ่านการตรวจสอบสิทธิ์แล้ว ผู้รับก็จะเห็นอีเมลของผู้โจมตี ซึ่งหลังจากคลิกปุ่ม "Click here to Continue" ก็จะถูกนำไปสู่เอกสาร SharePoint ปลอม ที่อยู่บนบริการ InDesign ของ Adobe

จากนั้นเมื่อคลิก "Click Here to View Document" ก็จะถูกนำไปสู่หน้าว่าง และข้อความว่า "Loading.

Microsoft แจ้งเตือนพบการโจมตี phishing campaign ที่กำลังมุ่งเป้าหมายไปยัง บริษัทบัญชี และผู้จัดการทางด้านภาษี ด้วยมัลแวร์ Remcos Remote Access Trojan (RAT) เพื่อโจมตี และเข้าถึงระบบของเป้าหมายได้จากระยะไกล

โดยแคมเปญดังกล่าวที่มุ่งเป้าหมายไปยัง บริษัทบัญชี และผู้จัดการทางด้านภาษีนั้น เป็นช่วงเวลาเดียวกับช่วงสิ้นสุดฤดูกาลภาษีประจำปีของสหรัฐอเมริกา ซึ่งนักบัญชีต่างพยายามรวบรวมเอกสารภาษีของลูกค้าเพื่อกรอก และยื่นแบบแสดงรายการภาษี จึงเป็นโอกาสที่ Hacker จะสามารถส่ง Phishing Mail ไปโดยที่เป้าหมายไม่ได้ระวังตัว (more…)

Microsoft ได้ออกประกาศการป้องกันไฟล์แนบบน Microsoft OneNote โดยการบล็อก 120 นามสกุลไฟล์ที่เป็นอันตราย เพื่อป้องกันการโจมตีจากการโจมตีแบบ Phishing

ทาง Microsoft จะทำการปรับปรุง OneNote ให้มีระดับการรักษาความปลอดภัยที่สูงขึ้น ตามแผนงานของ Microsoft 365 ในวันที่ 10 มีนาคมที่ผ่านมา ภายหลังจากที่พบว่า OneNote ได้กลายเป็นเครื่องมือใหม่ของ Hacker ที่ใช้ในการโจมตีแบบฟิชชิ่งเพื่อแพร่กระจายมัลแวร์

โดย Microsoft เริ่มพบการโจมตีโดยการใช้ OneNote ในการฝังไฟล์ และสคริปต์ที่เป็นอันตราย และส่ง phishing email ไปหาเป้าหมาย ภายหลังจากที่ในเดือนธันวาคม 2022 Microsoft ได้ออกอัปเดตแพตซ์ด้านความปลอดภัยเพื่อแก้ไขช่องโหว่ zero-day การ bypass MoTW ที่ถูกนำมาใช้เพื่อแพร่กระจายมัลแวร์ผ่านไฟล์ ISO และ ZIP รวมไปถึงการปิดใช้งาน macro ใน Word และ Excel เป็นค่าเริ่มต้น

การบล็อกนามสกุลไฟล์ที่เป็นอันตราย

Microsoft ได้เผยแพร่รายละเอียดเพิ่มเติมเกี่ยวกับนามสกุลไฟล์ที่จะถูกบล็อก หลังจากแพตซ์อัปเดตความปลอดภัยของ OneNote ใหม่เปิดตัว ทั้งนี้ยังรวมไปถึงไฟล์ที่ถูกบล็อกโดย Outlook, Word, Excel และ PowerPoint โดยประกอบด้วย 120 รายการตามเอกสารการสนับสนุนของ Microsoft 365 ดังนี้

ซึ่งก่อนหน้านี้ทาง OneNote จะมีการแจ้งเตือนด้านความปลอดภัยเมื่อมีการเปิดไฟล์ที่เป็นอันตรายจาก OneNote ว่าไฟล์แนบที่เปิดอาจเป็นไฟล์อันตราย แต่ผู้ใช้งานส่วนใหญ่ก็ยังกดเปิดอยู่ดี แต่หลังจากนี้ OneNote จะทำการบล็อกนามสกุลไฟล์ที่เป็นอันตรายโดยทันที โดยจะแจ้งว่า "Your administrator has blocked your ability to open this file type in OneNote.

แคมเปญฟิชชิ่ง Emotet รูปแบบใหม่ ที่มุ่งเป้าไปยังผู้เสียภาษีในสหรัฐฯ โดยการปลอมแปลงเป็นแบบฟอร์ม W-9 ที่ถูกส่งโดยหน่วยงาน Internal Revenue Service และบริษัทของเหยื่อ

Emotet เป็นมัลแวร์ที่มักแพร่กระจายผ่านทางอีเมลฟิชชิ่ง โดยในอดีตมีการใช้งานเอกสาร Microsoft Word และ Excel ที่มีการฝังมาโครไว้เพื่อทำการติดตั้งมัลแวร์

อย่างไรก็ตาม หลังจากที่ Microsoft ได้ทำการแก้ไขโดยการบล็อกมาโครเป็นค่าเริ่มต้นบน office ทาง Emotet ก็เปลี่ยนไปใช้ไฟล์ Microsoft OneNote ที่มีการฝังสคริปต์แทน เพื่อทำการติดตั้งมัลแวร์

เมื่อ Emotet ถูกติดตั้งแล้ว มัลแวร์จะทำหน้าที่ขโมยอีเมลของเหยือเพื่อใช้ในการโจมตีแบบ reply-chain, ส่งอีเมลสแปมเพิ่มเติม รวมถึงติดตั้งมัลแวร์อื่น ๆ เพื่อเปิดช่องทางการเข้าถึงระบบของเหยื่อสำหรับกลุ่มผู้โจมตีอื่น ๆ หรือกลุ่ม Ransomware

Emotet เตรียมพร้อมสำหรับช่วงเก็บภาษีของสหรัฐฯ

การทำงานของ Emotet มักใช้แคมเปญฟิชชิ่งที่มีธีมให้สอดคล้องกับวันหยุดพิเศษ และกิจกรรมทางธุรกิจที่เกิดขึ้นทุกปี เช่น ช่วงเวลาการเก็บภาษีของสหรัฐฯ ในปัจจุบัน

ในแคมเปญฟิชชิ่งล่าสุด (more…)

Independent Living Systems (ILS) ซึ่งเป็นผู้ให้บริการด้านการดูแลสุขภาพในไมอามี่ ยืนยันการรั่วไหลของข้อมูลส่วนบุคคลของผู้ใช้งานกว่า 4,226,508 ราย

จำนวนผู้ใช้งานที่ได้รับผลกระทบถือว่าเป็นจำนวนมากที่สุดในภาคการดูแลสุขภาพที่มีการเปิดเผยออกมาในปีนี้จากการแจ้งเตือนที่ถูกส่งไปยังสำนักงานอัยการสูงสุด โดยบริษัทพบว่าเครือข่ายถูกโจมตีในวันที่ 5 กรกฎาคม 2022

ในระหว่างการตรวจสอบ บริษัทพบว่าผู้โจมตีสามารถเข้าถึงระบบ ILS ได้ระหว่างวันที่ 30 มิถุนายนถึง 5 กรกฎาคม 2022 และสามารถเข้าถึงข้อมูลในช่วงเวลาดังกล่าวได้ โดยจากการตรวจสอบของ ILS พบว่าผู้โจมตีสามารถเข้าถึงระบบ ILS ได้บางระบบ (more…)

เมื่อเร็ว ๆ นี้ ทีม Security Intelligence ของ Microsoft ได้ทำการตรวจสอบการโจมตีแบบ business email compromise (BEC) และพบว่าผู้โจมตีใช้เวลาในการปฏิบัติการอย่างรวดเร็ว โดยบางขั้นตอนใช้เวลาเพียงไม่กี่นาทีเท่านั้น

โดยนับตั้งแต่การ login เข้าใช้งาน โดยใช้ข้อมูล credentials ที่ขโมยมา การลงทะเบียน Domain ปลอมที่ใกล้เคียงกับโดเมนจริง และการปลอมตัวเป็นคู่สนทนาในอีเมล แฮ็กเกอร์ใช้เวลาเพียงไม่กี่ชั่วโมงเท่านั้น

ลักษณะการโจมตี

BEC เป็นประเภทของการโจมตีทางไซเบอร์ที่ผู้โจมตีสามารถเข้าถึงบัญชีอีเมลขององค์กรเป้าหมายผ่านทาง Phishing, Social Engineering หรือการซื้อข้อมูล credentials บัญชีบน dark web

จากนั้นแฮ็กเกอร์จะปลอมเป็นบุคคลที่น่าเชื่อถือ เช่น ผู้บริหารระดับสูง หรือซัพพลายเออร์ เพื่อหลอกพนักงานที่ทำงานในแผนกการเงิน หรือบริษัทคู่ค้าให้โอนเงินไปยังบัญชีของแฮ็กเกอร์

จากข้อมูลของ FBI ตั้งแต่เดือนมิถุนายน 2016 จนถึงเดือนกรกฎาคม 2019 การโจมตีในรูปแบบ BEC ส่งผลให้เกิดความเสียหายมูลค่ากว่า 43 พันล้านดอลลาร์ ซึ่งนับเฉพาะกรณีที่ถูกรายงานต่อหน่วยงานบังคับใช้กฎหมายเท่านั้น

Twitter ของนักวิเคราะห์จาก Microsoft อธิบายการโจมตีแบบ BEC ที่ได้ทำการการตรวจสอบพบว่า เริ่มต้นจากแฮ็กเกอร์ทำการโจมตีแบบ adversary-in-the-middle (AITM) เพื่อขโมย session cookie ของเป้าหมาย ทำให้หลบเลี่ยงการป้องกันจาก MFA ได้

แฮ็กเกอร์เข้าสู่ระบบบัญชีของเหยื่อเมื่อวันที่ 5 มกราคม 2023 และใช้เวลาสองชั่วโมงในการค้นหา mailbox เพื่อหาหัวข้ออีเมลที่เหมาะสำหรับการหลอกลวงแบบ Thread hijacking

Thread hijacking คือการปลอมตัวด้วยการส่งอีเมลในหัวข้อที่อยู่ระหว่างการติดต่อพูดคุยกัน ทำให้วิธีนี้เป็นเทคนิคที่มีประสิทธิภาพมาก เนื่องจากทำให้ผู้รับมีแนวโน้มที่จะเชื่อถือมากขึ้น

หลังจากนั้นแฮ็กเกอร์ได้ลงทะเบียน Domain ปลอมโดยใช้ตัวอักษร homoglyph เพื่อทำให้ดูเหมือนกับเว็บไซต์ขององค์กรเป้าหมาย 5 นาทีต่อมา แฮ็กเกอร์ได้สร้าง inbox rule เพื่อดึงอีเมลจากองค์กรเป้าหมายไปยังโฟลเดอร์เฉพาะ

ในนาทีต่อมา แฮ็กเกอร์ได้ส่งอีเมลที่เป็นอันตรายไปยังคู่ค้าทางธุรกิจเพื่อขอเปลี่ยนบัญชีสำหรับการโอนเงิน และลบข้อความที่ส่งออกทันทีเพื่อลดโอกาสที่ผู้ใช้จะพบการส่งอีเมลดังกล่าว ซึ่งหากนับตั้งแต่การลงชื่อเข้าใช้ครั้งแรกจนถึงการลบอีเมลที่ส่งออก เวลาผ่านไปทั้งหมดเพียง 127 นาที ซึ่งสะท้อนให้เห็นถึงการปฏิบัติการอย่างรวดเร็วของแฮ็กเกอร์

Microsoft 365 Defender แจ้งเตือนเกี่ยวกับการหลอกลวงแบบ BEC ภายใน 20 นาที หลังจากที่แฮ็กเกอร์ลบอีเมลที่ทำการส่งออกไป และขัดขวางการโจมตีด้วยการ disable การใช้งานบัญชีของผู้ใช้

ในการทดสอบ และประเมินผลการตรวจจับของ BEC ใน environments ของลูกค้าองค์กรหลายสิบแห่งพบว่าได้รับการป้องกันที่ดีขึ้น เมื่อบัญชีถูกปิดใช้งานอัตโนมัติโดย Microsoft 365 Defender

ความสามารถในการทำงานอัตโนมัติแบบใหม่ดังกล่าว ทำให้ทีม SOC สามารถควบคุม และตรวจสอบการดำเนินการทั้งหมดที่ดำเนินการโดย Microsoft 365 Defender

Microsoft ระบุว่าได้หยุดการโจมตีในลักษณะ BEC ได้ทั้งหมด 38 ครั้ง ที่มีการกำหนดเป้าหมายไปยัง 27 องค์กร โดยการใช้ eXtended Detection and Response (XDR) ทั้งอุปกรณ์ Endpoint, Identity, Email และ SaaS

 

ที่มา : bleepingcomputer

นักวิจัยของ Cyble บริษัทด้านความปลอดภัยทางไซเบอร์ เปิดเผยการพบกลุ่มตลาดซื้อขายข้อมูลเครดิตการ์ดชื่อ BidenCash market ได้ออกมาประกาศปล่อยข้อมูลบัตรเดบิตและบัตรเครดิตกว่า 2,165,700 ใบ โดยไม่คิดค่าบริการ เพื่อฉลองวันครบรอบการดำเนินการ 1 ปี โดยพบว่าได้รับความสนใจจากกลุ่ม Hacker ต่าง ๆ เป็นจำนวนมาก

BidenCash market เปิดตัวในวันที่ 28 กุมภาพันธ์ 2022 และขึ้นสู่อันดับที่ 5 ของแหล่งซื้อขายข้อมูลเครดิตการ์ด ซึ่งถูกจัดอันดับโดย Flashpoint บริษัทด้าน threat intel

จากการตรวจสอบพบว่า ข้อมูลเครดิตการ์ดที่ถูกปล่อยออกมานั้น เป็นบัตรเครดิตการ์ดอย่างน้อย 740,858 ใบ บัตรเดบิตการ์ด 811,676 ใบ และชาร์จการ์ด (บัตรเครดิตประเภทหนึ่งที่กำหนดให้ผู้ถือบัตรต้องชำระยอดคงเหลือเต็มจำนวนในแต่ละเดือน มีวงเงินเครดิตสูงกว่า และให้สิทธิประโยชน์พิเศษมากกว่าบัตรเครดิตทั่วไป) 293 ใบ โดยเป็นรายการที่ไม่ซ้ำกันถึง 2,141,564 รายการ ซึ่งชุดข้อมูลที่ถูกปล่อยออกมานั้น ประกอบด้วยข้อมูลที่สามารถระบุตัวบุคคลได้ Personally Identifiable Information (PII) เช่น ชื่อ อีเมล หมายเลขโทรศัพท์ ที่อยู่บ้าน และรายละเอียดบัตรชำระเงิน รวมถึงวันหมดอายุของบัตร และรหัส CVV โดยวันหมดอายุของบัตรยาวไปจนถึงปี 2052

รวมไปถึงยังพบว่าข้อมูลที่ถูกเผยแพร่ดังกล่าวมี Email address ที่ไม่ซ้ำกันประมาณ 497,000 อีเมล โดยเป็น Email domain ที่ไม่ซ้ำกันมากกว่า 28,000 โดเมน ซึ่งมีความเสี่ยงที่จะกลายเป็นเป้าหมายในการโจมตี phishing ของเหล่า Hacker อีกด้วย

ซึ่งนี่ไม่ใช่ครั้งแรกที่ BidenCash market ทำการปล่อยข้อมูลเครดิตการ์ดโดยไม่คิดค่าบริการ โดยก่อนหน้านี้ในเดือนตุลาคม 2022 ก็ได้มีการปล่อยข้อมูลบัตรเครดิตฟรี 1,221,551 ใบ เช่นกัน โดยการเปิดเผยข้อมูลโดยไม่เสียค่าบริการ ถือเป็นการโฆษณาตัวเองให้เป็นที่รู้จักของกลุ่ม Hacker ซึ่งเป็นวิธีที่แหล่งซื้อขายข้อมูลใช้อยู่เป็นประจำ เช่นกันกับกลุ่ม All World Cards ที่ได้ปล่อยข้อมูลเครดิตการ์ดกว่า 1,000,000 ใบฟรี ในฟอรัมต่าง ๆ ของ Hacker

 

ที่มา : bleepingcomputer

Trezor แจ้งเตือนแคมเปญฟิชชิ่งที่ปลอมเป็นการแจ้งเตือนการละเมิดข้อมูลของ Trezor โดยมีเป้าหมายเพื่อขโมยกระเป๋าเงินดิจิทัล และทรัพย์สินของเป้าหมาย

โดย Trezor เป็นฮาร์ดแวร์วอลเล็ต (Hardware Wallet) ที่ผู้ใช้งานสามารถจัดเก็บเงินดิจิทัลแบบออฟไลน์ได้ แทนที่จะเก็บในกระเป๋าเงินบนคลาวด์ หรือกระเป๋าเงินที่จัดเก็บไว้ในอุปกรณ์ของตน การใช้กระเป๋าเงินแบบฮาร์ดแวร์ เช่น Trezor จัดเป็นกระเป๋าเงินดิจิทัลประเภทหนึ่งที่มีความปลอดภัยจากมัลแวร์ และจากการถูกโจมตีอุปกรณ์ของผู้ใช้งาน เนื่องจากกระเป๋าเงินไม่ได้ออกแบบมาเพื่อเชื่อมต่อกับอุปกรณ์ของผู้ใช้งาน

โดยหากมีการตั้งค่า Trezor wallet ใหม่ ผู้ใช้จะได้รับ word recovery seed สำหรับการกู้คืน 12 หรือ 24 คำ ที่สามารถใช้เพื่อกู้คืน wallet ได้ หากอุปกรณ์ถูกขโมย สูญหาย หรือทำงานผิดปกติ ทำให้ใครก็ตามที่สามารถเข้าถึง recovery seed ก็จะสามารถกู้คืนกระเป๋าเงินในอุปกรณ์ของตนเองได้ ทำให้เหตุการณ์นี้จึงตกเป็นเป้าหมายของผู้โจมตี (more…)

Reddit ถูกโจมตี ซึ่งทำให้ hacker สามารถเข้าถึงระบบภายใน และขโมยข้อมูล รวมไปถึง source code ออกมาได้

โดยบริษัทระบุว่า hacker ใช้การโจมตีแบบ phishing ในการหลอกให้พนักงานของ Reddit เชื่อว่าเป็นหน้า intranet site ของตนเอง และพยายามขโมยข้อมูลประจำตัวของพนักงาน และ two-factor authentication tokens ซึ่งหลังจากมีพนักงานตกเป็นเหยื่อในการ phishing ทำให้ hacker สามารถเข้าถึงข้อมูลของระบบภายใน เพื่อขโมยข้อมูล และ source code ได้ (more…)

แคมเปญ phishing รูปแบบใหม่ที่มุ่งเป้าหมายไปหน้า login ของ Amazon Web Services (AWS) โดยการใช้ Google ads เพื่อดันหน้าเว็บไซต์ phishing ขึ้นมาติดอันดับใน Google Search เพื่อขโมยข้อมูลการ login ของเหยื่อที่ไม่ระมัดระวัง

ในช่วงแรกผู้โจมตีจะใช้วิธี link โฆษณาไปยังหน้าเพจ phishing โดยตรง แต่ในภายหลังได้ใช้วิธีการเปลี่ยนเส้นทางไปยังหน้าเพจ phishing แทน เพื่อหลีกเลี่ยงการตรวจจับโดยระบบตรวจจับ fraud ของ Google ads (more…)