กลุ่ม Cyber Unified Coordination Group (UCG) ซึ่งเป็นการจัดตั้งขึ้นโดยการรวม FBI, CISA, ODNI และ NSA เฉพาะกิจได้มีการออกแถลงการณ์ยืนยันว่าการโจมตีที่เกิดขึ้นนั้นอาจมีชาวรัสเซียหรือผู้ที่ใช้ภาษารัสเซียเป็นหลักอยู่เบื้องหลัง

นอกเหนือจากการเปิดเผยข้อยืนยันในส่วนของผู้อยู่เบื้องหลังการโจมตีแล้ว UCG ยังออกมาเปิดเผยถึงหน่วยงานรัฐฯ ที่ได้รับผลกระทบว่ามีน้อยกว่า 10 ราย แม้จะมีการระบุจาก SolarWinds แก่ SEC ว่ามีองค์กรที่ดาวโหลดอัปเดตที่มีมัลแวร์ไปกว่า 18,000 ราย ข้อเท็จจริงนี้มีความเป็นไปได้สูงด้วยกลไกการทำงานของมัลแวร์ SUNBURST ที่ทำให้ผู้โจมตีสามารถเลือกเป้าหมายที่ติดมัลแวร์เพื่อโจมตีต่อไปได้

UCG เชื่อว่าเป้าหมายของการโจมตีนั้นมีจุดประสงค์เพื่อการรวบรวมข้อมูลข่าวกรอง ซึ่งอาจทำให้เราสามารถอนุมานได้ว่าผู้ที่อยู่เบื้องหลังการโจมตีจะสามารถใช้ประโยชน์จากข้อมูลข่าวกรองได้ ซึ่งก็หมายถึงหน่วยความข่าวกรองซึ่งเป็นปฏิปักษ์ต่อสหรัฐอเมริกานั่นเอง

ที่มา: www.

Cisco Talos แจ้งเตือนการปลอมแปลงอีเมล SEC เพื่อแพร่กระจายมัลแวร์ DNSMessenger

Cisco Talos ออกรายงานการวิเคราะห์เมื่อกลางสัปดาห์ที่ผ่านมาหลังจากมีการตรวจพบลักษณะการโจมตีใหม่ที่ผู้โจมตีมีการใช้เว็บไซต์ทางราชการสหรัฐฯ เป็นเครื่องมือเพื่อช่วยในการโจมตี โดยมีจุดประสงค์เพื่อแพร่กระจายมัลแวร์ DNSMessenger ซึ่งมีการติดต่อกับเซิร์ฟเวอร์ที่ใช้ออกคำสั่งและควบคุม (C&C server) ผ่านโปรโตคอล DNS เป็นหลัก

แคมเปญการโจมตีมีจุดเริ่มต้นที่อีเมลสแปมที่ใช้ในการแพร่กระจายมัลแวร์ ผู้โจมตีจะทำการปลอมแปลงที่มาของอีเมลว่ามาจากระบบ EDGAR ของสำนักงานคณะกรรมการกำกับหลักทรัพย์และตลาดหลักทรัพย์สหรัฐฯ (SEC) ซึ่งเป็นระบบจัดการเอกสารรูปแบบหนึ่ง ไฟล์มัลแวร์จะถูกแพร่กระจายในรูปแบบของไฟล์เอกสาร

จุดน่าสนใจของวิธีการที่ผู้โจมตีใช้คือผู้โจมตีไม่ได้มีการใช้ลักษณะมาโครสคริปต์ในไฟล์เอกสารเพื่อดาวโหลดและติดตั้งมัลแวร์ แต่ผู้โจมตีมีการใช้ฟีเจอร์ที่เก่าแก่กว่ามาโครสคริปต์ Dynamic Data Exchange (DDE) เพื่อดาวโหลดและสั่งรันมัลแวร์ ด้วยรูปแบบใหม่นี้ระบบป้องกันที่เน้นไปที่การตรวจจับและป้องกันมาโครสครติป์จะไม่สามารถป้องกันการโจมตีในรูปแบบนี้ได้

เมื่อไฟล์เอกสารถูกเปิดและมีการอนุญาตให้ไฟล์เอกสารเรียกโปรแกรมอื่น (ผู้ใช้งานจำเป็นต้องกดอนุญาตเอง) มัลแวร์จะถูกดาวโหลดและติดตั้งที่เครื่องของผู้ใช้งาน โดยจะมีการแก้ไขค่าของรีจีสทรีและ Scheduled Tasks ให้รันตัวเองโดยอัตโนมัติเมื่อมีการเริ่มต้นการทำงานของระบบด้วย

แนะนำให้ผู้ใช้งานระมัดระวังเมื่อมีการเปิดไฟล์เอกสารใดๆ และควรตรวจสอบแหล่งที่มาให้ดีก่อนดาวโหลดไฟล์แนบจากอีเมล

ที่มา: zdnet

ตามที่สำนักงานคณะกรรมการกำกับหลักทรัพย์และตลาดหลักทรัพย์สหรัฐอเมริกาถูกเข้าถึงระบบและขโมยข้อมูลภายใน ล่าสุดตรวจพบข้อมูลส่วนบุคคลของผู้ใช้บริการ ก.ล.ต. รั่วไหลจำนวน 2 ราย ซึ่งก่อนหน้านี้ Clayton เคยกล่าวว่า "ไม่มีการเข้าถึงข้อมูลที่สามารถระบุตัวตนได้ในการละเมิดข้อมูลที่เกิดขึ้น" จากการเข้าถึงข้อมูลในครั้งนี้

Jay Clayton ประธานสำนักงานคณะกรรมการกำกับหลักทรัพย์ฯ ได้ออกมาแถลงการณ์เมื่อวันจันทร์ที่ผ่านมาว่าหลังจากการวิเคราะห์หลักฐานดิจิตอลเพิ่มเติมพบ หมายเลขประกันสังคม, วันเดือนปีเกิด และชื่อของผู้ใช้บริการ 2 ราย ถูกเข้าถึงโดยแฮกเกอร์หลังจากที่สามารถเข้าถึงระบบจัดเก็บข้อมูลของ SEC ที่เรียกว่า EDGAR ได้สำเร็จ และกำลังติดต่อผู้บุคคลเหล่านั้นเพื่อเสนอบริการป้องกันการโจรกรรมข้อมูลประจำตัว และหน่วยงานยังคงทำการตรวจสอบเพิ่มเติมว่ามีข้อมูลของบุคคลอื่นถูกบุกรุกด้วยหรือไม่"

นอกจากนี้ทางสำนักงานคณะกรรมการ ก.ล.ต. กำลังจ้างพนักงานเพิ่มเติมและที่ปรึกษาด้านเทคโนโลยีภายนอกเพื่อทบทวนและปรับปรุงนโยบายและแนวทางปฏิบัติด้านความปลอดภัยในโลกไซเบอร์ที่มีอยู่ รวมถึงทำการตรวจสอบระบบจัดเก็บข้อมูล (EDGAR) อย่างละเอียด

ที่มา : REUTERS

คณะกรรมการกำกับหลักทรัพย์สหรัฐฯ (U.S. Securities and Exchange Commision) ได้ออกมาเปิดเผยเมื่อวานนี้ว่าทางองค์กรกำลังดำเนินการตรวจสอบกรณีที่มีการตรวจพบว่าระบบจัดการเอกสาร "EDGAR" ถูกแฮกและอาจมีการเข้าถึงข้อมูลที่ไม่ได้มีการเปิดเผยสู่สาธารณะ โดยในเบื้องต้นนั้นการแฮกครั้งนี้ถูกตรวจพบเมื่อปี 2016 และเพิ่งมีข้อสรุปออกมาเมื่อเดือนสิงหาคมเกี่ยวกับความเสียหายที่เกิดขึ้น จากแถลงการณ์ของ S.E.C. ผู้โจมตีไม่ได้มีการเข้าถึงส่วนบุคคลหรือสร้างความเสียหายให้กับระบบ แต่ก็มีโอกาสที่ผู้โจมตีอาจนำข้อมูลที่เข้าถึงบางส่วนได้จากการแฮกมาใช้เพื่อหาประโยชน์ในการลงทุนได้

S.E.C. ยังไม่มีการระบุรายละเอียดใดๆ ที่ชัดเจนนอกเหนือจากนี้ รวมไปถึงปริมาณข้อมูลที่รั่วไหลและรายละเอียดของกลุ่มผู้โจมตี อย่างไรก็ตาม S.E.C. กล่าวว่าช่องโหว่ในระบบ EDGAR ซึ่งถูกโจมตีนั้นได้ถูกแพตช์เป็นที่เรียบร้อยแล้วและจะดำเนินร่วมกับหน่วยงานอื่นเพื่อสอบสวนต่อไป

ที่มา : nytimes

กรรมการกำกับดูแลตลาดหลักทรัพย์สหรัฐฯ (US Securities and Exchange Commission - SEC) สั่งปรับ Citigroup เป็นเงิน 7 ล้านดอลลาร์หลังจากพบว่าธนาคารส่งรายงานการซื้อขายไม่ครบถ้วนตั้งแต่ปี 1999 ไปจนถึงปี 2014
สาเหตุของความผิดพลาดเนื่องจากระบบการออกรายงานที่เขียนในช่วงปี 1995 มีการกรองหมายเลขสาขา 089 ถึง 100 ออกไป เนื่องจากเลขสาขาเหล่านี้เป็นสาขาปลอมที่สร้างขึ้นเพื่อทดสอบระบบ โค้ดนี้รันต่อเนื่องมาโดยตลอดและทาง Citigroup สร้างสาขาใหม่ๆ เป็นหมายเลขที่มีตัวอักษรได้ด้วย เช่น 10B, 10C ปรากฏว่าโค้ดเดิมกลับกรองสาขาเหล่านี้ออกไปด้วย ทำให้รายงานจากสาขาเหล่านั้นไม่ถูกส่งไปยัง SEC ตลอดระยะเวลาที่บั๊กนี้มีผล ทำให้ SEC ไม่ได้รับรายงานการซื้อขาย 26,810 รายการ จากการขอข้อมูล 2,300 ครั้ง
บั๊กนี้ถูกพบหลังจาก Citigroup ส่งรายงานการซื้อขายชุดใหญ่ไปยังทีมเทคนิคของ SEC เพื่อสอบถามการให้หมายเลขการซื้อขาย แต่ SEC พบว่าในรายงานมีเลขสาขาที่ไม่ปรากฏอยู่ในรายงานก่อนหน้านี้

ที่มา : blognone