Shopify ได้เปิดเผยถึงเหตุการณ์ที่เจ้าหน้าที่สองคนของบริษัทได้ทำการเข้าถึงข้อมูลลูกค้าโดยไม่ได้รับอนุญาต ซึ่งจากการตรวจสอบทั้งคู่ได้ทำการละเมิดสิทธิ์ในการเข้าถึงข้อมูลที่เกี่ยวข้องกับธุรกรรมของลูกค้าจำนวนหนึ่งซึ่งคาดว่าน่าจะมีน้อยกว่า 200 ราย

เมื่อทำการตรวจพบ Shopify ได้ตัดการเข้าถึงเครือข่าย Shopify ของบุคคลทั้งสองโดยทันที โดยข้อมูลที่คาดว่าพนักงานเข้าถึงได้โดยไม่ได้รับอนุญาตนั้นประกอบไปด้วย ชื่อ, อีเมล, ที่อยู่และรายละเอียดการสั่งซื้อของบริษัท ซึ่งบริษัทได้ทำการยืนยันว่าข้อมูลทางการเงินนั้นจะไม่ได้รับผลกระทบ

หลังจากการสอบสวนเหตุการณ์ Shopify ได้ดำเนินการแจ้งผู้ที่ได้รับผลกระทบทั้งหมดแล้วและได้ไล่พนักงานทั้งสองคนออกทันที ทั้งนี้ผู้ใช้ที่ได้รับอีเมลเเจ้งเตือนถึงการละเมิดข้อมูลควรทำการเปลื่ยนรหัสผ่านเพื่อป้องกันการเข้าถึงบัญชีของผู้ใช้และควรระมัดระวังการ Phishing ข้อมูลของผู้ใช้ในอนาคต

ที่มา : bleepingcomputer

กลุ่ม APT จากอิหร่านใช้วิธีการ Social Engineering โดยปลอมตัวเป็นนักข่าวเพื่อหลอกเหยื่อ

นักวิจัยจาก ClearSky ออกรายงานล่าสุดซึ่งมีการเปิดเผยการโจมตีที่เกิดขึ้นในช่วงเดือนกรกฎาคมถึงสิงหาคม 2020 ที่ผ่านมา โดยรายงานดังกล่าวพุ่งประเด็นไปที่พฤติกรรมของกลุ่มแฮกเกอร์อิหร่าน CharmingKitten (APT35) ที่มุ่งโจมตีนักวิชาการ กลุ่มสิทธิมนุษยชน และนักข่าวที่มีเชี่ยวชาญเกี่ยวกับอิหร่าน

หนึ่งในเทคนิคการเข้าถึงเป้าหมายที่ถูกเปิดเผยออกมานั้นคือพฤติกรรมที่แฮกเกอร์อิหร่านปลอมตัวเป็นนักข่าวเพื่อหลอกล่อเหยื่อ โดยพยายามติดต่อเหยื่อผ่านทาง LinkedIn จากนั้นมีการโทรคุยผ่าน WhatsApp เพื่อหลอกให้เหยื่อเชื่อใจ ก่อนจะส่ง phishing หรือมัลแวร์ให้กับเหยื่อ

ในอดีตกลุ่ม CharmingKitten เคยมีการปลอมตัวในลักษณะนี้มาก่อน แต่ใช้เพียงแค่อีเมลกับ SMS นักวิจัยระบุว่าการพยายามโทรหาเหยื่อเสี่ยงต่อการเปิดเผยตัวผู้โจมตี แต่ถ้าสำเร็จจะทำให้เหยื่อเชื่อใจได้มากขึ้น

ที่มา: zdnet

อ้างอิงจากข่าวการรั่วไหลข้อมูลของ SANS Institute จากการโจมตีในลักษณะ Phishing ที่ไอ-ซีเคียวได้นำเสนอข่าวไปก่อนหน้า (ดูเพิ่มเติม https://www.

SANS ออกมาประกาศการตรวจพบการโจมตีซึ่งเป็นผลมาจากการอีเมลฟิชชิ่งที่พุ่งเป้าโจมตีบัญชีพนักงานภายในและส่งผลให้เกิดการเข้าถึงและรั่วไหลของข้อมูลส่วนบุคคลกว่า 28,000 รายการ โดยข้อมูลส่วนบุคคลที่รั่วไหลนั้นประกอบไปด้วยชื่อ, อีเมล, หมายเลขโทรศัพท์, ตำแหน่งงาน, ชื่อบริษัท, ที่อยู่และรหัสไปรษณีย์

จากการตรวจสอบในเบื้องต้น SANS ยืนยันว่าไม่มีระบุหรือบัญชีใดนอกเหนือจาก 28,000 รายการดังกล่าวที่ได้รับผลกระทบ โดย SANS ได้มีการส่งอีเมลไปยังบุคคลซึ่งได้รับผลกระทบแล้ว (ตามตัวอย่างรูปด้านล่าง) ทาง SANS ยังได้มีการอัปเดตข้อมูลกับ The Register เพิ่มเติมว่าข้อมูลที่ได้รับผลกระทบจากการโจมตีนั้นคือข้อมูลของผู้ที่เข้ากรอกเพื่อเข้าร่วมกิจกรรมสัมมนาออนไลน์ DFIR Summit ซึ่งพึ่งมีการจัดกิจกรรมไป

ทีม SANS DFIR กำลังเข้าตรวจสอบเหตุการณ์ดังกล่าวและเสริมความปลอดภัยระบบ โดยจะมีการจัดทำ Webcast เพื่อแถลงถึงความโปร่งใสในการดำเนินการและผลกระทบเพิ่มเติมให้สาธารณะได้รับทราบอีกครั้ง

ที่มา:

sans.

พบแคมเปญอีเมลฟิชชิ่งที่กำหนดเป้าหมายไปยังผู้ใช้ cPanel โดยการส่งอีเมลคำเเนะนำด้านความปลอดภัยปลอมเเจ้งเตือนให้ผู้ใช้ทำการอัปเดตเวอร์ชั่นเพื่อเเก้ไขช่องโหว่ในส่วนการจัดการ WebHost Manager (WHM) และ cPanel

อีเมลฟิชชิ่งที่ทำการปลอมเเปลงนั้นใช้หัวเรื่องอีเมลชื่อว่า "cPanel Urgent Update Request" โดยอีเมลคำเเนะนำปลอมนั้นมีข้อความระบุว่ามีการเผยแพร่เเพตซ์การอัปเดตเพื่อแก้ไขช่องโหว่แล้วและเพื่อป้องกันการใช้ประโยชน์จากช่องโหว่ใน cPanel และ WHM เวอร์ชัน 88.0.3+, 86.0.21+ และ 78.0.49+ ผู้ใช้ควรทำการอัปเดตการติดตั้งให้เป็นเวอร์ชั่นล่าสุด

จากการวิเคราะห์ของ BleepingComputer พบว่าผู้โจมตีได้จดโดเมน “cpanel7831.com” เพื่อใช้เป็นอีเมลในการปลอมเเปลงคำเเนะนำด้านความปลอดภัยจาก cPanel และใช้ Amazon Simple Email Service (SES) เพื่อส่งอีเมลฟิชชิ่ง หากผู้รับอีเมลฟิชชิ่งหลงเชื่อและทำการคลิกที่ “อัปเดตการติดตั้ง cPanel & WHM ของคุณ” ลิงก์จะนำผู้ใช้ไปยังเว็บไซต์ที่ผู้โจมตีได้ทำการปลอมเเปลงเพื่อให้ผู้ใช้ล็อกอินเข้าสู่ระบบด้วยบัญชีของ cPanel และหลังจากผู้ใช้ทำการล็อกอินเข้าสู้ระบบด้วยบัญชีของ cPanel เว็บไซต์จะทำการ landing page ไปยังหน้า Google search ที่ใช้คำค้นหาด้วย cpanel

หากผู้ใช้หลงกรอกอีเมลและรหัสผ่าน ควรทำการเปลี่ยนรหัสผ่านทันที ทั้งนี้ผู้ใช้ควรทำการตรวจสอบอีเมลทุกครั้งก่อนทำการคลิกลิงก์ในอีเมลเพื่อป้องกันการฟิชชิ่งด้วยอีเมล

ที่มา: bleepingcomputer.

นักวิจัยของ Check Point ได้ทำการเปิดเผยช่องโหว่ Zero-Day ใหม่ในแอปพลิเคชันยอดนิยม Zoom ซึ่งช่องโหว่จะเปิดทางให้ผู้โจมตีสามารถปลอมเเปลงเป็นองค์กรเพื่อหลอกพนักงานหรือหุ้นส่วนธุรกิจให้เปิดเผยข้อมูลส่วนบุคคลหรือข้อมูลลับอื่น ๆ โดยใช้กลวิธีทาง Social-engineering

นักวิจัยของ Check Point กล่าวว่าช่องโหว่นี้อยู่ในฟีเจอร์ Vanity URL ของ Zoom ซึ่งฟีเจอร์นี้ได้เปิดให้ผู้ใช้งานในรูปเเบบบริษัทสามารถทำการกำหนดโดเมน Zoom meeting ที่เชื่อมโยงไปยังห้องการประชุม Zoom ได้เช่น https://organization_name.

Zoom มีโดเมน Phishing ที่จดทะเบียนใหม่ประมาณ 2,000 โดเมนในหนึ่งเดือน

บริษัท BrandShield พบว่าเดือนมีนาคมที่เป็นช่วงวิกฤต COVID-19 ระบาดใหญ่นั้นได้มีการจดทะเบียนโดเมนที่เกี่ยวข้องกับ Zoom มากถึง 2,000 โดเมนถ้านับรวมทั้งหมดอาจมีมากถึง 3300 โดเมน ซึ่งโดเมน เกือบ 30% เปิดใช้งานอีเมลเซิร์ฟเวอร์ จากการวิเคราะห์ของบริษัทคาดว่าโดเมนเหล่านี้ใช้เพื่ออำนวยความสะดวกในการโจมตีแบบ phishing หรือพยายามทำให้ผู้ใช้ดาวน์โหลด แอพพลิเคชั่นที่อ้างว่าเป็น Zoom และแฝงมัลแวร์ลงในเครื่องของเหยื่อ เพื่อขโมยข้อมูลจากผู้ใช้

ผู้ใช้งานควรเพิ่มความระมัดระวังความเสี่ยงนี้โดยหมั่นตรวจสอบชื่ออีเมลที่ส่งรวมถึง URL ของเว็บไซต์ที่เข้าชมเพื่อป้องกันการหลงเชื่อการโจมตีในลักษณะนี้

ที่มา: infosecurity-magazine

The Cofense Phishing Defense Center (PDC) ได้สังเกตเห็นแคมเปญฟิชชิ่งใหม่ที่มีเป้าหมายเพื่อพยายามใช้ช่องโหว่เพื่อล่อลวงผู้ใช้ Cisco WebEx ด้วยอีเมลข้อความฟิชชิ่งหรือการแจ้งเตีอนที่มาจากอีเมลปลอมและเรียกร้องให้ผู้เหยื่อทำการติดตั้ง “อัปเดต” แอปพลิเคชันที่แฝงมัลแวร์เข้าไปเพื่อใช้ขโมยข้อมูลบนแพลตฟอร์มการประชุมทางไกล Cisco WebEx ท่ามกลางการระบาดของ COVID-19 ที่ผู้คนนับล้านกำลังทำงานจากที่บ้าน

นักวิจัยพบการส่งอีเมลฟิชชิงด้วยหัวเรื่องที่ดึงดูดความสนใจเช่น "Critical Update" หรือ "Alert!" จากอีเมลปลอม "meetings @ webex [.] Com" เนื้อหาของอีเมลจะระบุ “เพื่อแก้ไขข้อผิดพลาดนี้เราขอแนะนำให้คุณอัปเดตเวอร์ชันของ Cisco Meetings Desktop App สำหรับ Windows ” และชี้ไปที่ปุ่ม “เข้าร่วม” เพื่อเรียนรู้เพิ่มเติมเกี่ยวกับ “อัพเดต” จากนั้นจะแนบลิงค์มากับอีเมลที่ปลอมเเปลงเเจ้งเตือนด้านความปลอดภัย

เมื่อผู้ใช้ที่ตกเป็นเหยื่อที่คลิกที่ปุ่ม "เข้าร่วม" จะพายังหน้า Landing Page ฟิชชิ่งซึ่งเหมือนกับหน้าล็อกอินจริงของ Cisco WebEx

ผู้ใช้ควรสังเกตทุกครั้งที่ทำการคลิกลิงค์จากอีเมลที่แนะนำการติดตั้งหรือเเจ้งเตือนเพราะอีเมลนั้นอาจเป็นอีเมลฟิชชิ่งก็เป็นไปได้

ที่มา: cofense

รัฐบาลสหรัฐแบ่งปันเคล็ดลับในการรักษาความปลอดภัย VPN สำหรับทำงานจากระยะไกล

หน่วยงานความมั่นคงปลอดภัยไซเบอร์ของกระทรวงความมั่นคงแห่งมาตุภูมิสหรัฐอเมริกา (CISA) ได้แบ่งปันเคล็ดลับเกี่ยวกับวิธีการรักษาความปลอดภัยเครือข่ายส่วนตัวเสมือน (VPN) ขององค์กรอย่างถูกต้อง หลังจากที่เห็นว่าองค์กรจำนวนมากกำลังเปลี่ยนไปเป็นการทำงานจากที่บ้าน เพื่อตอบสนองต่อการระบาดของ COVID-19

คาดว่าผู้โจมตีจะให้ความสำคัญกับการโจมตีการทำงานจากระยะไกล เนื่องจากพนักงานจำนวนมากได้เปลี่ยนไปใช้ VPN ขององค์กรเพื่อการทำงานทางไกล ผู้โจมตีเองก็จะเน้นการโจมตีข้อบกพร่องด้านความปลอดภัย VPN มากขึ้น ซึ่งมีโอกาสน้อยมากที่ VPN จะถูกแพตช์ทันเวลาโดยเฉพาะองค์กรที่มีการทำงานทั้งกลางวันและเเละกลางคืน

CISA ยังเน้นถึงความจริงที่ว่าผู้โจมตีอาจเพิ่มการโจมตีแบบ Phishing เพื่อขโมยข้อมูลประจำตัวของพนักงานที่ทำงานจากที่บ้าน ซึ่งองค์กรที่ยังไม่ได้ใช้การพิสูจน์ตัวตนด้วยหลายปัจจัย (MFA) สำหรับการเข้าถึงระยะไกลจะมีความเสี่ยงมากที่สุด

เมื่อถูกโจมตี องค์กรอาจมีการเชื่อมต่อ VPN จำนวนจำกัด หลังจากนั้นจะไม่มีพนักงานคนใดสามารถทำงาน จากระยะไกลได้อีก CISA กล่าว เมื่อความพร้อมใช้งาน VPN ลดลง การดำเนินธุรกิจที่สำคัญอาจประสบปัญหา เจ้าหน้าที่รักษาความปลอดภัยด้านไอทีอาจปฏิบัติงานด้านความปลอดภัยทางไซเบอร์ได้จำกัด

CISA เสนอให้ดำเนินการต่อไปนี้เพื่อเพิ่มความปลอดภัยให้ VPN ขององค์กร

– ดูเเลรักษา VPN อุปกรณ์โครงสร้างพื้นฐานเครือข่ายและอุปกรณ์ที่ใช้สำหรับการทำงานระยะไกลให้เป็นปัจจุบัน (ใช้เเพตช์แก้ไขล่าสุด และตั้งค่าให้ปลอดภัย)
– แจ้งให้พนักงานทราบถึงความพยายาม Phishing ที่เพิ่มขึ้น
– ตรวจสอบให้แน่ใจว่าพนักงานรักษาความปลอดภัยไอทีมีความพร้อมสำหรับการตรวจสอบ Log การรีโมทระยะไกล การตรวจจับการโจมตี และการตอบสนองและกู้คืนเหตุการณ์
– นำ MFA ไปใช้กับการเชื่อมต่อ VPN ทั้งหมด หรือต้องการให้พนักงานใช้รหัสผ่านที่คาดเดายากเพื่อป้องกันการโจมตีในอนาคต
– ทดสอบข้อจำกัดโครงสร้างพื้นฐาน VPN ในการเตรียมพร้อมสำหรับการใช้งานจำนวนมาก และใช้มาตรการต่างๆ เช่น Rate-limiting เพื่อจัดลำดับความสำคัญของผู้ใช้ที่ต้องการแบนด์วิดท์ที่สูงขึ้น

ที่มา: bleepingcomputer

Paradise Ransomware แพร่กระจายด้วยไฟล์แนบอีเมลแบบใหม่

ผู้โจมตีได้เริ่มส่งไฟล์แนบ Excel Web Query (ไฟล์นามสกุล IQY) ในแคมเปญ Phishing เพื่อดาวน์โหลดและติดตั้ง Paradise Ransomware บนเหยื่อที่ไม่ระวัง ทั้งนี้ Paradise Ransomware ค่อนข้างเก่าแก่ เกิดขึ้นตั้งเเต่ช่วงเดือนกันยายน 2017 มีการรายงานครั้งแรกโดยเหยื่อในเว็บบอร์ด BleepingComputer ตั้งแต่นั้นมาก็มีผู้ตกเป็นเหยื่ออย่างต่อเนื่องจาก ransomware ตัวนี้ในแคมเปญสแปมใหม่ที่ตรวจพบโดย บริษัทรักษาความปลอดภัยทางอินเทอร์เน็ต LastLine ผู้โจมตีที่ใช้ Paradise Ransomware ถูกพบว่ากำลังส่งอีเมลที่อ้างว่าเป็น offers orders หรือ keys โดยไฟล์แนบคือไฟล์ IQY ที่เมื่อเปิดการเชื่อมต่อกับ URL ที่มีคำสั่ง PowerShell ที่จะถูกดำเนินการเพื่อดาวน์โหลดและติดตั้ง Paradise Ransomware

ไฟล์แนบ IQY มันเป็นเพียงไฟล์ข้อความที่สั่งให้ Excel เรียกใช้คำสั่ง และแสดงผลลัพธ์ใน Excel spreadsheet ปัญหาคือไฟล์เหล่านี้ยังสามารถนำเข้าข้อมูลจาก URLs ที่มีสูตร Excel ที่สามารถเปิดใช้งาน local applications เช่น คำสั่ง PowerShell บนคอมพิวเตอร์ของเหยื่อ
ไฟล์แนบ IQY แบบนี้มีประสิทธิภาพมาก เนื่องจากสิ่งที่แนบมาเป็นเพียงไฟล์ข้อความที่ไม่มีรหัสที่เป็นอันตราย ซึ่งอาจทำให้ตรวจจับได้ยากขึ้นโดยซอฟต์แวร์ความปลอดภัย

เนื่องจาก IQY เหล่านี้ไม่มี Payload (เป็นแค่ URL) พวกมันเป็นสิ่งท้าทายให้องค์กรตรวจจับ องค์กรอาจต้องพึ่งพาบริการด้าน URL ของ 3rd party ที่มีชื่อเสียง หากพวกเขาไม่มีเครื่องมือในการวิเคราะห์และตรวจสอบ URL เหล่านี้ LastLine อธิบายไว้ในรายงานของพวกเขา นอกจากว่าคุณใช้ไฟล์ IQY โดยเฉพาะในองค์กรของคุณหรือที่บ้าน ขอแนะนำให้คุณบล็อคไฟล์เหล่านั้นด้วยซอฟต์แวร์ความปลอดภัย หรือลบอีเมลที่ใช้มันเป็นไฟล์แนบ ไฟล์แนบ IQY ที่ส่งทางอีเมลจากคนที่ไม่รู้จักมักจะเป็นอันตรายและควรถูกลบทิ้ง

ที่มา : bleepingcomputer