จากรายงานของ McAfee ปัจจุบันผู้ไม่หวังดีใช้ Browser Push Notifications ซึ่งมีลักษณะที่คล้ายกับ Windows Push Notifications มาใช้ในการหลอกล่อให้เหยื่อดำเนินการตามที่ต้องการ

โดยจะปลอมการแจ้งเตือนที่มีลักษณะเหมือนการแจ้งเตือนปกติ เพื่อให้เหยื่อหลงเชื่อ และดำเนินการกดติดตั้ง ซอฟต์แวร์ ที่เป็นอันตราย ซึ่งซอฟต์แวร์เหล่านั้นจะทำหน้าที่ในการเก็บรวบรวมข้อมูลของผู้ใช้งาน

ในรายงานผู้เชี่ยวชาญอธิบายวิธีการโจมตีในรูปแบบ Social Engineering นี้ จะหลอกให้เหยื่อนั้นทำการติดตั้ง Windows Defender ปลอม ซึ่งความจริงแล้วเป็นซอฟต์แวร์อันตราย

แทนที่จะใช้วิธีส่งอีเมลล์สำหรับโจมตีด้วยวิธีการ Phishing ผู้โจมตีจะแฮ็คการแจ้งเตือนแบบ Pop-up ของเว็ปไซต์ และใช้ข้อความโดยใช้ชื่อ และ Logo ของ McAfee โดยทำเหมือนว่าเป็น Windows Defender Update และเมื่อเหยื่อกดที่ข้อความแจ้งเตือนนั้น ก็จะเป็นการนำเหยื่อให้เข้าสู่หน้าเว็บไซต์ปลอม หลังจากนั้นก็จะเป็นการแจ้งข้อมูลหลอกเหยื่อต่างๆ เช่น McAfee ของพวกเขาหมดอายุ, McAfee ตรวจพบภัยคุกคามในระบบของพวกเขา, หรือ ข้อความที่อ้างว่าเป็นลิงก์โดยตรงที่ใช้ในการสมัครสมาชิก McAfee

Craig Schmugar วิศวกรอาวุโสของ McAfee ได้เขียนอธิบายวิธีการไว้ใน blog post "ในการหลอกเหยื่อ ผู้ไม่หวังดีจะใช้ปุ่มลบโฆษณา, ปุ่มลบเเจ้งเตือน หรือ ปุ่มที่คล้ายๆ กันนำเหยื่อไปยังเว็บไซต์ที่ผู้ไม่หวังดีต้องการ ซึ่งส่วนใหญ่จะเป็นเว็บไซต์ที่ต้องการให้ผู้ใช้อนุญาตให้มีการแจ้งเตือนเพิ่มเติม ซึ่งหากเหยื่อเข้าไปยังเว็บไซต์เหล่านั้นก็จะทำให้เกิด pop-up แจ้งเตือนขึ้นจำนวนมาก"

ซอฟต์แวร์ ที่เป็นอันตรายถ้าหากถูกติดตั้งไปแล้วนั้นสามารถที่จะขโมยข้อมูลระบบได้ซึ่งประกอบไปด้วย ข้อมูล process, ข้อมูลของไดรฟ์, Serial numbers, ข้อมูลของ Ram และ ข้อมูลของ Graphics card
นอกจากนี้ยังสามารถเข้าถึงข้อมูลโปรไฟล์แอปพลิเคชันเช่น Chrome, Exodus wallets, Ethereum wallets, Opera และ Telegram Desktops และข้อมูลบัตรเครดิตของเหยื่อได้

"ในขณะที่การ Phishing ด้วยอีเมลนั้นยังเป็นที่นิยมในโจมตีของเหล่าผู้ไม่หวังดี แต่พวกเขานั้นก็ยังพยายามที่จะแสวงหาช่องทางอื่นๆ อีกในการโจมตี เช่น ทางโซเชียลมีเดีย หรือ ในเหตุการณ์นี้ที่พวกเขานั้นใช้ Windows Push Notifications เพื่อหวังว่าเหยื่อนั้นจะหลงเชื่อ และกดติดตั้ง ซอฟต์แวร์ ที่เป็นอันตรายตามที่พวกเขาต้องการ" Javvad Malik security awareness advocate ของ KnowBe4. กล่าว

ผลกระทบในภายภาคหน้า
Malik กล่าวว่า "หากเหยื่อเชื่อว่าไฟล์ที่ดาวน์โหลดมานั้นเป็นไฟล์ที่ถูกต้อง พวกเขาก็อาจจะมองข้ามคำเตือนด้านความปลอดภัย หรือแจ้งเตือนด้านความปลอดภัย ในบางกรณีพวกเขาอาจจะทำการปิดการทำงานของ ซอฟต์แวร์รักษาความปลอดภัย เพื่อที่จะให้การดาวน์โหลดนั้นดำเนินการได้สะดวก เมื่อซอฟต์แวร์ที่เป็นอันตรายทำการติดตั้งสำเร็จ ผู้ไม่หวังดีก็จะสามารถเข้าถึงเครื่องของเหยื่อได้ และสามารถทำอะไรก็ได้ตามที่พวกเขาต้องการไม่ว่าจะเป็น ปล่อย Ransomware, ขโมยข้อมูล, หรือ การเคลื่อนย้ายจากเครื่องของเหยื่อเข้าไปยังองค์กรของพวกเขา เพื่อวัตถุประสงค์อื่นๆ อีกต่อไป"

นักวิจัยตั้งข้อสังเกตว่า "เว็บไซต์ปลอมของผู้ไม่หวังดีนั้นจะมีไฟล์ ms-appinstaller (MSIX) ให้ดาวน์โหลด เมื่อไฟล์ถูกดาวน์โหลด และถูกเรียกใช้ เหยื่อก็จะได้รับแจ้งให้ติดตั้ง Defender Update จาก 'Publisher: Microsoft' หลังจากติดตั้งแอปพลิเคชัน 'Defender Update' จะปรากฏในเมนูเริ่มต้นเหมือนกับแอป Windows อื่นๆ"

แทนที่จะไปอัปเดตจริง ผู้ไม่หวังดีก็จะหลอกให้เหยื่อคลิ้กผ่านทางลัดที่เป็นซอฟต์แวร์อันตรายที่ถูกติดตั้งไป หลังนั้นซอฟต์แวร์ดังกล่าวก็จะไปดาวน์โหลดโทรจันเพื่อมาขโมยข้อมูลของเหยื่อ

คำแนะนำในการลดความเสี่ยง

เหล่านักวิจัยเรียกร้องให้องค์กรต่างๆ ให้ความรู้แก่พนักงานในการอ่านข้อความแจ้งเตือน รวมไปถึงการอนุญาตให้สิทธ์ต่างๆ อย่างถี่ถ้วน และคลิก "อนุญาต" บนไซต์ที่เชื่อถือได้เท่านั้น นอกจากนี้พวกเขายังแนะนำให้ปิดการใช้งานการแจ้งเตือนบนหน้าเว็บเพื่อลดความเสี่ยง

"ในปัจจุบันกลโกงต่างๆ นั้นทำได้แนบเนียน และน่าเชื่อถือ ดังนั้นสิ่งที่จะดีกว่าการ Block ที่รวดเร็วคือการอ่าน และทำความเข้าใจอย่างช้าๆ ก่อนที่จะอนุญาตอะไรไป" Schmugar กล่าว และ เขาแนะนำเพิ่มเติมว่า สำหรับการอัปเดตระบบปฏิบัติการ Windows นั้นพนักงานควรทำการตรวจสอบด้วยตนเอง และอัปเดตผ่านเมนูเริ่มต้น หรือป้อนที่อยู่เว็บที่ถูกต้องด้วยตนเอง แทนที่จะคลิกลิงก์ที่ได้รับมา

ที่มา : bankinfosecurity

เมื่อวันที่ 20 มีนาคมที่ผ่านมา VMGoA (Volkswagen Group of America, Inc.) ได้รับแจ้งจาก Vendor ว่ามีการเข้าถึงข้อมูลจากบุคคลที่ไม่ได้รับอนุญาต และได้ข้อมูลของลูกค้าของ Audi, Volkswagen และตัวแทนจำหน่ายบางราย โดยทาง VWGoA ได้ระบุว่าข้อมูลที่รัวไหลออกไปนั้น มีข้อมูลที่เกี่ยวข้องกับลูกค้า 3.3 ล้านคน โดย 97% เป็นของ Audi ซึ่งข้อมูลที่รั่วไหลนั้นประกอบไปด้วย ข้อมูลการติดต่อไปจนถึงข้อมูลหมายเลขประกันสังคมและหมายเลขเงินกู้

โดยทาง TechCrunch ได้รายงานเกี่ยวกับข้อมูลที่รั่วไหลออกไปนั้นจะประกอบไปด้วย ชื่อและนามสกุล ที่อยู่ส่วนบุคคลหรือทางธุรกิจ อีเมล หมายเลขโทรศัพท์ ข้อมูลเกี่ยวกับรถที่ซื้อหรือเช่า หมายเลขรถ (VIN) ยี่ห้อ รุ่น ปี สี และชุดแต่ง โดยข้อมูลดังกล่าว ยังมีข้อมูลที่มีความละเอียดอ่อนมากยิ่งขึ้นที่เกี่ยวข้องกับสิทธิ์ในการซื้อ เงินกู้ หรือสัญญาเช่า โดยมากกว่า 95% เป็นหมายเลขใบขับขี่ นอกจากนี้ยังมีข้อมูลของ วันเกิด ประกันสังคม เลขที่ประกัน เลขที่บัญชีหรือเงินกู้ และเลขประจำตัวผู้เสียภาษี อีกด้วย และสำหรับลูกค้า 90,000 ราย ที่มีการรั่วไหลของข้อมูลที่ละเอียดอ่อน ทาง Volkswagen จะให้การคุ้มครองเครดิต และบริการตรวจสอบฟรี ซึ่งรวมถึงประกันการโจรกรรมอีก 1 ล้านเหรียญสหรัฐ

แต่เป็นที่น่าสนใจ ข้อมูลที่รั่วไหลนั้นไม่ได้มาจาก Server ของทาง Volkswagen หรือ Audi แต่เป็นข้อมูลที่ทาง Vendor ของพวกเขาเก็บรวบรวมไว้ในช่วง 5 ปีระหว่าง 2014 ถึง 2019 โดยพวกเขากล่าวว่าข้อมูลดังกล่าวได้เก็บรวบรวมไว้เพื่อวัตถุประสงค์ทางการตลาดทั่วไป แต่ที่น่าเศร้าคือข้อมูลเหล่านั้นไม่ได้ถูกป้องกันและมีช่องโหว่

เนื่องจากข้อมูลของ Audi และ Volkswagen ไม่มีความปลอดภัยมาเป็นระยะเวลาหนึ่งแล้ว จึงไม่สามารถบอกได้ว่ามีข้อมูลใดบ้างที่ถูกเข้าถึงโดยไม่ได้รับอนุญาต ดังนั้นหากมีข้อความ อีเมล หรือการติดต่อใด ๆ ที่อ้างว่ามาจากทาง Audi หรือ Volkswagen ให้ถือว่าเป็นพฤติกรรมที่น่าสงสัยไว้เป็นอันดับแรก โดยเฉพาะอีเมลหรือข้อความ sms

ที่มา : bleepingcomputer

โทรจัน Qakbot หรือที่เรียกว่า QBot หรือ Pinkslipbot เป็นโทรจันที่ถูกใช้กลุ่มผู้ไม่หวังดีที่มีเป้าหมายหลักในการโจมตีทางด้านธนาคารและการเงิน พบการใช้งานตั้งแต่ปี 2017 มีการแพร่กระจายผ่าน payload เชื่อมต่อ Server C&C และ ปัจจุบันเริ่มมีการใช้งานไปในวงกว้างมากขึ้น

นักวิจัยด้านความปลอดภัย Alien Labs สังเกตเห็นแคมเปญที่พึ่งเกิดขึ้นใหม่ซึ่งเหยื่อที่ตกเป็นเป้าหมายด้วยอีเมลล์ล่อลวงที่เป็นอันตราย จากผู้รับที่มีความน่าเชื่อถือ หรือมีการติดต่อสื่อสารระหว่างกันอยู่แล้ว

โดย email account และข้อมูลภายในเมล์ที่ถูกขโมยออกไป สามารถสร้างผลกระทบได้ตั้งแต่ขนาดเล็กไปจนถึงขนาดใหญ่ ซึ่งหลายๆองค์กรสามารถถูกกำหนดเป็นเป้าหมาย จาก email ของผู้ตกเป็นเหยื่อก่อนหน้า

เมื่อเปิดไฟล์ที่เป็นอันตราย โดยสถานะไฟล์จะถูกเรียกว่า DocuSign โดยซอฟต์แวร์ยอดนิยมที่ใช้ในการแพร่กระจาย malicious คือ Excel ใช้ประโยชน์จาก Macros Excel 4.0 (XML macros) ทำการซ่อน sheets ดาวน์โหลด QakBot และ payload จากอินเทอเน็ตเชื่อมต่อกับเซิร์ฟเวอร์ผู้โจมตี ก่อนที่จะเข้าสู่ Payload หลัก QakBot loader จะทำการทดสอบสิ่งที่เกิดขึ้นกับเครื่องที่ติดตั้งอยู่เพื่อเลือกว่าจะทำการดาวน์โหลดไฟล์อะไรมาติดตั้งบนเครื่องของเหยื่อต่อไป โดย Qakbot จะมีการเช็คสภาพแวดล้อมของเครื่องว่าเป็น Virtual Machine และหาว่าเครื่องดังกล่าวมีการลงโปรแกรม Antivirus หรือ common security researcher tools ไว้ภายในเครื่องหรือไม่

เพื่อให้การตรวจจับและวิเคราะห์ยากขึ้น QakBot จะเข้ารหัส String และถอดรหัสเมื่อมีการรันโปรเซส เมื่อดำเนินการเสร็จ จะดำเนินการลบข้อมูลออกจาก memory ทันที จุดเด่นของ โทรจัน QakBot ที่ใช้ในการ phishing ในอีเมล์ปลอมจะมีข้อมูล เช่นการจัดส่งใบสั่งงานคำขอเร่งด่วนใบแจ้งหนี้การอ้างสิทธิ์ ฯลฯ อีเมลฟิชชิ่งจะมีรูปแบบสลับกันระหว่าง ไฟล์แนบและลิงค์ QakBot มักใช้เป็นทางคล้ายกับ TrickBot หรือ Emotet ซึ่งนำไปสู่การใช้ประโยชน์ในการติดตั้ง Ransomware ต่อไป

ที่มา : ehackingnews

นักวิจัยพบเทคนิคใหม่ของเว็บไซต์ฟิชชิงที่กำลังใช้ JavaScript เพื่อหลบเลี่ยงการตรวจจับ

นักวิจัยจากทีม MalwareHunter ตรวจพบเว็บไซต์ฟิชชิงกำลังใช้ JavaScript เพื่อหลบเลี่ยงการตรวจจับโดยใช้ JavaScript ดังกล่าวทำจะการตรวจสอบว่าผู้เยี่ยมชมกำลังเช้าชมเว็บไซต์จากเครื่อง Virtual machine (VM) หรืออุปกรณ์ headless device หรือไม่ ถ้าตรวจสอบว่าใช่จะแสดงหน้าเพจที่ว่างเปล่าให้กับผู้เยี่ยมชม

นักวิจัยกล่าวว่าเทคนิคที่ใช้ในการหลีกเลี่ยงการตรวจสอบเว็บไซต์ฟิชชิงจะใช้ JavaScript เพื่อตรวจสอบว่าเบราว์เซอร์ทำงานภายใต้เครื่อง VM หรือเข้าสู่เว็บไซต์โดย Command-line interface (CLI) หากพบสัญญาณของความพยายามในการวิเคราะห์ข้อมูลบนเว็บไซต์ฟิชชิงดังกล่าวจะแสดงหน้าเพจว่างแทนที่จะแสดงหน้าฟิชชิงปกติ

นักวิจัยกล่าวอีกว่าสคริปต์จะทำการตรวจสอบความกว้างและความสูงของหน้าจอของผู้เยี่ยมชมและใช้ WebGL API เพื่อสืบค้นเว็บเอ็นจิ้นสำหรับการแสดงผลที่เบราว์เซอร์ใช้ นอกจากนี้สคริปต์ยังตรวจสอบด้วยว่าหน้าจอของผู้เยี่ยมชมมีความลึกของสีน้อยกว่า 24 บิตหรือไม่ หรือความสูงและความกว้างของหน้าจอน้อยกว่า 100 พิกเซล ซึ่งหากตรวจพบเงื่อนไขใดๆ เหล่านี้หน้าเพจฟิชชิงจะแสดงหน้าเพจที่ว่างเปล่าให้กับผู้เยี่ยมชม อย่างไรก็ตามหากเบราว์เซอร์ใช้เครื่องมือและการแสดงผลฮาร์ดแวร์ปกติและขนาดหน้าจอมาตรฐานสคริปต์จะแสดงหน้า Landing Page ของฟิชชิ่ง

ทั้งนี้นักวิจัยคาดว่าผู้ประสงค์ร้ายได้นำโค้ดมาจากบทความปี 2019 ที่อธิบายถึงวิธีใช้ JavaScript เพื่อตรวจจับเครื่อง VM สำหรับผู้ที่สนใจบทความสามารถดูได้ที่นี่: https://bannedit.

เมื่อวันที่ 16 กุมภาพันธ์ 2021 ที่ผ่านมาทาง Walmart ได้รับแจ้งจากซัพพลายเออร์รายหนึ่งว่าโฮสต์ที่ให้บริการข้อมูลถูกบุกรุกในวันที่ 20 มกราคม 2021 จากบุคคลที่ไม่ได้รับอนุญาตให้เข้าถึงข้อมูลบุคคลดังกล่าวยังได้ทำการขโมยข้อมูลบางส่วน รวมถึงข้อมูลเกี่ยวกับผู้ป่วยของร้านขายยาออกไปด้วย

เหตุการณ์นี้ Walmart ได้ระบุว่าระบบข้อมูลหลักของ Walmart ไม่ได้รับผลกระทบจากเหตุการณ์นี้ แต่ทาง Walmart ได้เริ่มตรวจสอบเหตุการณ์ทันทีเพื่อตรวจสอบว่าข้อมูลส่วนบุคคลใด ๆ บ้างจากผู้ใช้บริการโดยซัพพลายเออร์ที่ได้รับผลกระทบ

จากการตรวจสอบของ Walmart พบในเบื้องต้นว่าข้อมูลที่ได้คาดว่าได้รับผลกระทบคือ ชื่อผู้ป่วย, ที่อยู่, วัน/เดือน/ปีเกิด, หมายเลขโทรศัพท์, ข้อมูลเกี่ยวกับยา เช่น ชื่อยาและความแรงของยา, หมายเลขใบสั่งยาข้อมูลผู้ใช้ยา, ข้อมูลการวางขาย, หมายเลขประจำตัวสมาชิก โดยหมายเลขประกันสุขภาพก็ได้รับผลกระทบเช่นกัน

ทั้งนี้ Walmart กำลังสอบสวนข้อมูลเพิ่มเติมและได้ให้ซัพพลายเออร์ดังกล่าวหยุดการให้บริการแล้ว โดย Walmart กำลังส่งการแจ้งเตือนเป็นรายบุคคลไปยังผู้ป่วยที่ได้รับผลกระทบเกี่ยวกับเหตุการณ์นี้ อย่างไรก็ตามผู้ที่ได้รับการแจ้งเตือนเกี่ยวกับข้อมูลที่ถูกรั่วไหลควรระมัดระวังเกี่ยวกับการคำขอให้ข้อมูลส่วนบุคคลหรือข้อมูลทางการเงินทางโทรศัพท์หรือทางข้อความและทางอีเมล ซึ่งควรตรวจสอบแหล่งที่มาของคำขอสำหรับข้อมูลดังกล่าวเสมอ

ที่มา: databreaches

นักวิจัยด้านความปลอดภัยโชว์ใช้เทคนิค Bitsquatting เพื่อขโมยทราฟิกจากโดเมน windows.com

นักวิจัยด้านความปลอดภัย Remy Hax ได้มีการสาธิตหนึ่งในเทคนิคการโจมตีที่ถูกนำเสนอในปี 2011 ในงาน Blackhat ชื่อ Bitsquatting กับโดเมน windows.

กลุ่มนักวิจัยจาก Malwarebytes ออกรายงานแจ้งเตือนกลุ่ม APT ใหม่ภายใต้ชื่อ LazyScripter ซึ่งมีความเคลื่อนไหวมาตั้งแต่ปี 2018 โดยมีจุดน่าสนใจสำคัญคือการมีเป้าหมายการโจมตีอยู่ในอุตสาหกรรมและสายการบิน

สำหรับเทคนิคการโจมตีของ LazyScripter นั้น กลุ่มผู้โจมตีจะมีการใช้อีเมลฟิชชิ่งในการหลอกลวงเหยื่อ เนื้อหาของอีเมลจะเน้นไปที่โครงการ Immigration ที่รัฐบาลแคนาดาสนับสนุนและอีเมลเกี่ยวกับปฏิบัติการของสายการบินเพื่อหลอกให้มีการดาวน์โหลดไฟล์เอกสารอันตราย LazyScripter มีการใช้มัลแวร์ในลักษณะของโทรจันซึ่งเป็นมัลแวร์แบบโอเพนซอร์ส อาทิ Octopus และ Koadic ในปฏิบัติการเป็นส่วนใหญ่ ผู้โจมตียังมีการใช้ GitHub ในการจัดเก็บไฟล์มัลแวร์สำหรับดาวน์โหลดมาใช้อีกด้วย

เนื่องลักษณะของการใช้มัลแวร์แบบโอเพนซอร์ส รวมไปถึงใช้เครื่องมือในการทดสอบเจาะระบบอย่าง Empire framework ในปฏิบัติการ การเชื่อมโยงกลุ่มผู้โจมตีกลุ่มใหม่นี้ให้เข้ากับฐานข้อมูลภัยคุกคามที่เป็นที่รู้จักนั้นย่อมทำได้ยาก ทั้งนี้ Malwarebytes มีการตั้งสมมติฐานเกี่ยวกับความเกี่ยวข้องของ LazyScripter ออกเป็น 2 แนวทาง โดยแนวทางแรกนั้นเกี่ยวข้องกับกลุ่ม MuddyWater ของประเทศอิหร่าน และอีกแนวทางหนึ่งนั้นเกี่ยวข้องกับกลุ่ม APT28 จากรัสเซีย ซึ่งในขณะนี้น้ำหนักค่อนข้างเทไปที่ฝั่งของ MuddyWater มากกว่าทั้งในเรื่องเครื่องมือที่ใช้ พฤติกรรมและเป้าหมาย

ผู้ที่สนใจสามารถอ่านรายงานต้นฉบับของ MalwareBytes ได้ที่ malwarebytes

ที่มา: bleepingcomputer

ทีมนักวิจัยจาก vpnMentor เปิดเผยปฏิบัติการ Phishing และการหลอกลวงเอาข้อมูลบัตรเครดิคจากผู้ใช้งาน Facebook และหลังจากมีการตรวจระบบ ElasticSearch ของกลุ่มแฮกเกอร์ที่ถูกตั้งค่าไว้อย่างไม่ปลอดภัย ทำให้ทีมนักวิจัยสามารถเข้าถึงข้อมูลของเหยื่อได้

กลุ่มแฮกเกอร์ใช้วิธีการหลอกเป้าหมายใน Facebook เพื่อเข้ายึดครองบัญชีผู้ใช้งานโดยการหลอกให้ผู้ใช้งานกรอกข้อมูลสำหรับยืนยันตัวตนใส่โปรแกรมที่อ้างว่าจะช่วยให้ผู้ใช้งานทราบว่าใครเข้ามาดูหน้าโปรไฟล์ของพวกเขาได้ จากนั้น กลุ่มแฮกเกอร์จะนำข้อมูลบัญชีผู้ใช้ Facebook ที่ได้มาไปสแปมในโพสต์ต่าง ๆ ของ Facebook เพื่อหลอกลวงด้วยสถานการณ์อื่น ๆ

ในส่วนของระบบ ElasticSearch ของผู้โจมตีนั้น ทีมนักวิจัยจาก vpnMentor ระบุว่าข้อมูลซึ่งอยู่ในระบบ ElasticSearch มีขนาดประมาณ 5.5 กิกะไบต์, เก็บข้อมูลทั้งหมด 13,521,774 รายการ และมีข้อมูลของบัญชีผู้ใช้งานที่ไม่ซ้ำกันทั้งหมด 100,000 บัญชี ประวัติการใช้งานระบุว่าระบบดังกล่าวถูกเปิดใช้งานมาตั้งแต่เดือนมิถุนายนก่อนที่จะถูกตรวจพบในช่วงปลายเดือนกันยายนที่ผ่านมา

ข้อมูลในระบบ ElasticSearch ประกอบไปด้วยข้อมูลสำหรับยืนยันตัวตนของบัญชี Facebook เหยื่อ, หมายเลขไอพีแอดเดรส, เทมเพลตข้อความเพื่อใช้ในการคอมเมนต์โดยผู้โจมตี, และข้อมูลส่วนตัวอื่นๆ ในขณะนี้ทางทีมวิจัยได้มีการติดต่อไปยัง Facebook เพื่อประสานงานและแจ้งให้ผู้ใช้ได้รับทราบแล้ว

ที่มา: threatpost

Bitdefender เผยแพร่รายงานล่าสุดเกี่ยวกับความเคลื่อนไหวของกลุ่มแฮกเกอร์จีนที่พุ่งเป้าโจมตีระบบหน่วยงานรัฐฯ ในภูมิภาคเอเชียตะวันออกเฉียงใต้ โดยเชื่อว่าความเคลื่อนไหวของกลุ่มแฮกเกอร์กลุ่มนี้เริ่มต้นตั้งแต่ปี 2018 และมีเป้าหมายในการจารกรรมข้อมูล

ในรายละเอียดของปฏิบัติการ กลุ่มแฮกเกอร์มีการใช้งานมัลแวร์หลายตัวซึ่งคาดว่ามีการพัฒนาขึ้นมาใช้งานเอง ได้แก่ Chinoxy, PcShare RAT และ FunnyDream จากข้อมูลในซอร์สโค้ดและการตั้งค่าภาษาต่าง ๆ Bitdefender จึงมีความมั่นใจว่ากลุ่มแฮกเกอร์นี้ใช้ภาษาจีนเป็นหลัก การโจมตีจะเริ่มขึ้นจากการใช้ phishing เพื่อหลอกให้เหยื่อติดตั้งโปรแกรมที่เป็นอันตราย มัลแวร์ Chinoxy และ PcShare จะถูกใช้หลังจากนั้นเพื่อให้แฮกเกอร์สามารถฝังตัวและเชื่อมต่อเข้าสู่ระบบที่โจมตีได้แล้วในภายหลัง หลังจากนั้นแฮกเกอร์จะมีการใช้เครื่องมือและโปรแกรมในระบบเพื่อลักลอบเก็บข้อมูลก่อนส่งออกไปยังเซิร์ฟเวอร์ของแฮกเกอร์ภายนอก

การแกะรอยพฤติกรรมและการเคลื่อนไหวยังเปิดเผยอีกว่า มัลแวร์ FunnyDream ซึ่งถูกใช้ในปฏิบัติการนั้นถูกเริ่มใช้ในเดือนพฤษภาคม 2019 และปรากฎเซิร์ฟเวอร์ที่ใช้ออกคำสั่งและควบคุม (C&C) ของ FunnyDream อยู่ในฮ่องกง, จีน, เกาหลีใต้และเวียดนาม

รายงานของ Bitdefender เชื่อว่ากลุ่มแฮกเกอร์ได้มีการโจมตีหน่วยงานรัฐฯ ในประเทศมาเลเซีย, ไต้หวัน, ฟิลิปปินส์และเวียดนามไปแล้ว ยังไม่พบการโจมตีในประเทศไทย

รายงานของ Bitdefender ได้มีการให้รายละเอียดข้อมูลพฤติกรรมของผู้โจมตีและ IOC เอาไว้แล้ว โดยสามารถเข้าถึงได้ที่ bitdefender 

ที่มา: thehackernews | zdnet

บริษัทด้านความปลอดภัย Gemini Advisory เปิดเผยพฤติกรรมการซื้อขายเครื่องมือสำหรับการโจมตีทางอีเมลใหม่ซึ่งกำลังมีการปล่อยขายในเว็บบอร์ดใต้ดินและใน Darknet ภายใต้ชื่อ Email Appender โดยเครื่องมือดังกล่าวสามารถนำมาใช้ในการโจมตีแบบ Phishing, BEC และใช้ในการแพร่กระจายมัลแวร์ได้โดยเนื้อหาของอีเมลจะปราศจากจุดสังเกตความผิดปกติใด ๆ

Email Appender ใช้วิธีการโจมตีโดยการนำข้อมูลสำหรับเข้าสู่ระบบอีเมลมาดำเนินการเข้าระบบของผู้ให้บริการซ้ำด้วยวิธีการแบบ Credential stuffing หากสามารถเข้าถึงได้ผ่านโปรโตคอล IMAP โปรแกรม Email Appender จะใช้คำสั่ง APPEND เพื่อแทรกข้อมูลเสมือนกับมีอีเมลใหม่เข้ามาในบัญชีอีเมลของเป้าหมาย ส่งผลให้เมื่อเหยื่อเข้ามาตรวจสอบใน Inbox จะพบกับอีเมลซึ่งมีลักษณะเหมือนของจริงอยู่ภายใน

เทคนิคการใช้ APPEND ใน IMAP ถูกใช้มานานแล้ว อย่างไรก็ตามความนิยมของเทคนิคค่อนข้างต่ำเนื่องจากผู้โจมตีจะต้องมีข้อมูลของบัญชีอีเมลที่ถูกต้องเพื่อผ่านการยืนยันตัวตนของโปรโตคอลที่เกี่ยวข้องกับอีเมลให้ได้ก่อนจึงจะสามารถทำการโจมตีได้

Email Appender ถูกขายแบบ Subscription โดยมีราคาต่ำสุดอยู่ที่ 50 เหรียญสหรัฐฯ สำหรับการใช้งานหนึ่งวัน

ในมุมของผู้ใช้งานที่ช่วยในการป้องกันการโจมตีได้คือการเปิดใช้ฟีเจอร์การยืนยันตัวตนหลายขั้นตอน (Multi-factor authentication หรือ MFA) เพื่อป้องกันการนำ credential มาใช้ซ้ำ รวมไปถึงหมั่นตรวจสอบการรั่วไหลของข้อมูลสำหรับยืนยันตัวตนและพฤติกรรมการใช้งานบัญชีอย่างสม่ำเสมอ

ที่มา: bleepingcomputer.