Nissan เปิดเผยเหตุการณ์ข้อมูลพนักงานรั่วไหล ซึ่งเชื่อมโยงกับการโจมตีผ่านช่องโหว่ Zero-day ของ Oracle

Nissan ออกประกาศแจ้งเตือนว่าบริษัทประสบเหตุการณ์ข้อมูลรั่วไหล ซึ่งส่งผลกระทบต่อพนักงานปัจจุบัน และอดีตพนักงาน หลังจากผู้ไม่หวังดีทางไซเบอร์ได้ใช้ประโยชน์จากช่องโหว่ของ Oracle PeopleSoft ในการโจมตีเพื่อขโมยข้อมูล ซึ่งก่อนหน้านี้พบว่ามีความเชื่อมโยงกับกลุ่มแฮ็กเกอร์ ShinyHunters

ในเอกสารแจ้งเหตุการณ์ข้อมูลรั่วไหลที่ Nissan ยื่นต่อสำนักงานอัยการรัฐแคลิฟอร์เนีย มีการระบุ (โดยอ้างอิงข้อมูลจาก Oracle) ว่า การโจมตีเพื่อขโมยข้อมูลเหล่านี้ส่งผลกระทบต่อบริษัทหลายร้อยแห่ง และ Nissan ตกเป็นเป้าหมายในแคมเปญการโจมตีครั้งนี้

"Nissan Americas ใช้ซอฟต์แวร์ Oracle PeopleSoft ในการจัดการข้อมูลพนักงาน ซึ่งรวมถึงบัญชีเงินเดือน, การจัดการด้านภาษี และบันทึกข้อมูลบุคลากรอื่น ๆ"

"Oracle ได้แจ้งให้เราทราบว่ามีเหตุการณ์ทางไซเบอร์เกิดขึ้น และบันทึกข้อมูลบุคลากรของบริษัทหลายร้อยแห่งอาจถูกดึงไปโดยกลุ่มผู้ไม่หวังดีทางไซเบอร์ ซึ่งต่อมาเราได้ทราบว่า Nissan ตกเป็นเป้าหมายในการโจมตีครั้งนี้ด้วย"

Nissan ระบุว่า ขณะนี้การสืบสวนยังคงอยู่ในช่วงเริ่มต้น และยังไม่สามารถระบุผลกระทบทั้งหมดจากเหตุการณ์ข้อมูลรั่วไหลได้ แต่เชื่อว่าผู้โจมตีได้เข้าถึงข้อมูลส่วนบุคคล ซึ่งอาจรวมถึง ข้อมูลการติดต่อของพนักงาน, ข้อมูลทางธนาคาร, หมายเลขประกันสังคม, หมายเลขประกันภัยสังคม, หมายเลขประจำตัวประชาชน, ข้อมูลทางการเงินและภาษี ตลอดจนข้อมูลของผู้ที่อยู่ในความอุปการะ และผู้รับผลประโยชน์

เชื่อว่าเหตุการณ์นี้ส่งผลกระทบต่อพนักงานปัจจุบัน และอดีตพนักงานของ Nissan ในสหรัฐอเมริกา, แคนาดา, เม็กซิโก และบราซิล

Nissan ระบุว่า บริษัทได้เริ่มใช้มาตรการตอบสนองต่อเหตุการณ์ทันทีหลังจากทราบว่าประสบเหตุการณ์ข้อมูลรั่วไหล โดยได้ว่าจ้างผู้เชี่ยวชาญด้านความปลอดภัยทางไซเบอร์จากภายนอก รักษาความปลอดภัยให้กับระบบที่ได้รับผลกระทบ และกำลังทำงานร่วมกับ Oracle เพื่อแก้ไขปัญหาดังกล่าว

บริษัทยังระบุด้วยว่าได้ดำเนินการเพื่อยุติการเข้าถึงที่ไม่ได้รับอนุญาต และป้องกันไม่ให้ข้อมูลของพนักงานถูกเปิดเผยไปมากกว่านี้ อีกทั้งจะเสนอบริการตรวจสอบเครดิต และตรวจสอบ Dark web ให้กับบุคคลที่ได้รับผลกระทบโดยไม่เสียค่าใช้จ่าย

เพื่อเป็นมาตรการป้องกันเพิ่มเติม Nissan ระบุว่า บริษัทกำลังจำกัดการเข้าถึงสลิปเงินเดือนของพนักงาน และการเปลี่ยนแปลงการโอนเงินเข้าบัญชีโดยตรง ให้สามารถทำได้เฉพาะบนคอมพิวเตอร์ในเครือข่ายของบริษัท หรือผ่านการเชื่อมต่อ VPN ที่ปลอดภัยเท่านั้น ในระหว่างที่กำลังดำเนินการเพิ่มมาตรการการยืนยันตัวตนก่อนที่จะประมวลผลคำขอต่าง ๆ ที่เกี่ยวข้องกับบัญชีเงินเดือน

ทางผู้ผลิตรถยนต์ระบุว่า พนักงานที่ได้รับการยืนยันในท้ายที่สุดว่าข้อมูลถูกเปิดเผย จะได้รับการแจ้งเตือนเพิ่มเติมซึ่งระบุรายละเอียดว่ามีข้อมูลใดบ้างที่ได้รับผลกระทบ

ความเชื่อมโยงกับการโจมตีผ่านช่องโหว่ Zero-day บน PeopleSoft โดยกลุ่ม ShinyHunters

เชื่อว่าการเปิดเผยข้อมูลเหตุการณ์นี้เป็นผลมาจากการลักลอบโจมตีเซิร์ฟเวอร์ Oracle PeopleSoft เป็นวงกว้าง ซึ่งรายงานเป็นครั้งแรกโดย BleepingComputer เมื่อต้นเดือนที่ผ่านมา

ตามที่มีการรายงานในครั้งแรก ผู้ไม่หวังดีทางไซเบอร์ได้ใช้ประโยชน์จากช่องโหว่ Zero-day ใน Oracle PeopleSoft เพื่อเจาะเข้าระบบ และขโมยข้อมูล

กลุ่ม ShinyHunters ได้ออกมาอ้างความรับผิดชอบต่อการโจมตีดังกล่าว โดยให้ข้อมูลกับ BleepingComputer ว่า มี Instances ของระบบ PeopleSoft มากกว่า 300 รายการใน 100 องค์กรที่ถูกเจาะระบบ

หลังจากนั้นไม่นาน Oracle ได้เปิดเผยถึงช่องโหว่ระดับ Critical ใน Oracle PeopleSoft PeopleTools หมายเลข CVE-2026-35273 และได้ปล่อยมาตรการลดผลกระทบฉบับฉุกเฉินออกมาแล้ว

แม้ว่า Oracle จะยังไม่ได้ออกมายืนยันต่อสาธารณะว่ามีการโจมตีโดยใช้ช่องโหว่ดังกล่าว แต่ในเวลาต่อมา Mandiant ได้ยืนยันว่า ผู้ไม่หวังดีได้ใช้ช่องโหว่ CVE-2026-35273 ของ Oracle PeopleSoft ในฐานะช่องโหว่ Zero-day เพื่อทำการโจมตี และขโมยข้อมูลระหว่างวันที่ 27 พฤษภาคม ถึง 9 มิถุนายน ที่ผ่านมา

การโจมตีเหล่านี้ส่งผลกระทบต่อองค์กรในภาคการศึกษาเป็นหลัก โดย Mandiant ระบุว่า ได้ทำการแจ้งเตือนองค์กรต่าง ๆ ไปแล้วกว่า 100 แห่ง ซึ่งเป็นการยืนยันข้อมูลที่ ShinyHunters เคยเปิดเผยออกมาก่อนหน้านี้

ตั้งแต่นั้นเป็นต้นมา ShinyHunters ก็ได้เริ่มนำข้อมูลที่ขโมยมาจากการโจมตีเหล่านี้ไปเผยแพร่บนเว็บไซต์ Data leak ของตน ซึ่งรวมถึงข้อมูลของ Nottingham University และ National Association of Insurance Commissioners (NAIC) ของสหรัฐฯ

ผู้ไม่หวังดีกลุ่มนี้เป็นกลุ่มแฮ็กเกอร์ที่เป็นที่รู้จักกันดี ซึ่งมักจะมุ่งเป้าการโจมตีไปที่ Salesforce, Snowflake, Third-party ที่ให้บริการเชื่อมต่อระบบภายนอก และ Cloud SaaS environments อื่น ๆ เพื่อทำการขโมยข้อมูล

เมื่อเร็ว ๆ นี้ ShinyHunters เพิ่งมุ่งเป้าการโจมตีไปที่ภาคการศึกษาในการโจมตีทางไซเบอร์ที่แยกต่างหากอีกเหตุการณ์หนึ่งซึ่งเกิดขึ้นกับ Instructure Canvas โดยได้ขโมยข้อมูลจำนวนกว่า 280 ล้านรายการของนักเรียน, ครู และบุคลากร ซึ่งในเวลาต่อมา Instructure ต้องยอมจ่ายค่าไถ่เพื่อป้องกันไม่ให้ข้อมูลดังกล่าวถูกนำไปเปิดเผย

ที่มา : bleepingcomputer.

NAIC เผย ข้อมูลที่ ShinyHunters ขโมยจากเหตุเจาะระบบ PeopleSoft เป็นข้อมูลที่เปิดเผยต่อสาธารณะอยู่แล้ว

สมาคมผู้กำกับดูแลธุรกิจประกันภัยแห่งชาติสหรัฐฯ (NAIC) เปิดเผยว่า กลุ่มเรียกค่าไถ่ ShinyHunters ขโมยข้อมูลที่เปิดเผยต่อสาธารณะ, Log เก่า และไฟล์ Configuration เท่านั้น หลังใช้ช่องโหว่ Zero-day เจาะระบบ Oracle PeopleSoft Server (more…)

กลุ่ม ShinyHunters แฮ็กเซิร์ฟเวอร์ Oracle PeopleSoft เพื่อขโมยข้อมูล

เซิร์ฟเวอร์ Oracle PeopleSoft กำลังตกเป็นเป้าหมายของการโจมตีเพื่อขโมยข้อมูลอย่างต่อเนื่องโดยกลุ่ม ShinyHunters ซึ่งอ้างว่าได้ทำการขโมยข้อมูลจากองค์กรต่าง ๆ ไปแล้วกว่า 100 แห่ง (more…)

7-Eleven สหรัฐอเมริกายืนยันเหตุการณ์ข้อมูลรั่วไหลตามที่กลุ่ม ShinyHunters ออกมาอ้างว่าเป็นผู้โจมตี

 

7-Eleven ยักษ์ใหญ่แห่งวงการร้านสะดวกซื้อ ออกมายืนยันว่าระบบของบริษัทถูกโจมตีทางไซเบอร์ ซึ่งกลุ่มแฮ็กเกอร์ ShinyHunters ได้ออกมาอ้างความรับผิดชอบเมื่อเดือนที่ผ่านมา (more…)

กลุ่ม ShinyHunters ออกมาอ้างความรับผิดชอบว่าเป็นผู้โจมตีระบบบริหารจัดการการเรียนรู้ออนไลน์ (LMS)

 

เหตุการณ์โจมตีทางไซเบอร์ที่มุ่งเป้าไปยังระบบบริหารจัดการการเรียนรู้ออนไลน์ (LMS) เมื่อเร็ว ๆ นี้ ได้รับการระบุว่าเป็นฝีมือของกลุ่มอาชญากรไซเบอร์ชื่อดังอย่าง 'ShinyHunters' ซึ่งทางกลุ่มได้ออกมายอมรับว่าเป็นผู้อยู่เบื้องหลังการโจมตีในครั้งนี้จริง (more…)

หน้า Portals สำหรับล็อกอินของ Canvas ถูกแฮ็กในแคมเปญเรียกค่าไถ่ครั้งใหญ่โดย ShinyHunters

กลุ่มแฮ็กเกอร์ ShinyHunters ได้ทำการโจมตีระบบของ Instructure ซึ่งเป็นยักษ์ใหญ่ด้านเทคโนโลยีการศึกษาอีกครั้ง โดยคราวนี้ได้อาศัยช่องโหว่เพื่อแฮ็กเปลี่ยนหน้าเว็บ Portals สำหรับล็อกอิน Canvas ของวิทยาลัย และมหาวิทยาลัยอีกหลายร้อยแห่ง (more…)

แฮ็กเกอร์มุ่งเป้าโจมตีบัญชี Microsoft Entra ผ่านการโจมตีแบบ Device Code Vishing

กลุ่มผู้โจมตีกำลังมุ่งเป้าไปที่องค์กรในกลุ่มเทคโนโลยี, การผลิต และการเงิน ด้วยแคมเปญที่ผสมผสานระหว่าง Device Code Phishing และ voice phishing (Vishing) เพื่อใช้ประโยชน์จากขั้นตอนการอนุญาตอุปกรณ์ OAuth 2.0 เพื่อเข้ายึดครองบัญชี Microsoft Entra

โดยแตกต่างจากการโจมตีครั้งก่อน ๆ ที่ใช้แอปพลิเคชัน OAuth ที่เป็นอันตรายเพื่อยึดบัญชี การโจมตีครั้งนี้มีการใช้ Client ID ของ Microsoft OAuth ที่ถูกต้องร่วมกับขั้นตอนการอนุญาตอุปกรณ์เพื่อหลอกล่อเหยื่อให้ยืนยันตัวตน

วิธีการนี้ช่วยให้ผู้โจมตีได้รับโทเค็นการยืนยันตัวตน ซึ่งสามารถใช้เข้าถึงบัญชีของเหยื่อได้โดยตรง โดยไม่ต้องพึ่งพาหน้าเว็บไซต์ฟิชชิงทั่วไปที่ใช้ขโมยรหัสผ่าน หรือการดักจับรหัส Multi-factor Authentication (MFA)

แหล่งข่าวรายหนึ่งระบุว่า กลุ่ม ShinyHunters อยู่เบื้องหลังการโจมตีแบบ Device Code Vishing ครั้งใหม่นี้ ซึ่งต่อมาทางกลุ่มผู้โจมตีก็ได้ออกมายืนยันด้วยตนเอง อย่างไรก็ตาม ยังไม่สามารถตรวจสอบข้อเท็จจริงนี้ได้อย่างสมบูรณ์

เมื่อไม่นานมานี้กลุ่ม ShinyHunters ถูกเชื่อมโยงกับการโจมตีแบบ vishing ที่ใช้ในการโจมตีบัญชี Okta และ Microsoft Entra SSO เพื่อขโมยข้อมูล

การโจมตีด้วยเทคนิค Device Code Social Engineering

เว็บไซต์ BleepingComputer ได้รับข้อมูลจากหลายแหล่งว่า กลุ่มผู้โจมตีได้เริ่มใช้การโจมตีแบบ vishing ซึ่งไม่จำเป็นต้องอาศัยโครงสร้างพื้นฐานที่ผู้โจมตีควบคุมอยู่ แต่หันไปใช้ประโยชน์จากหน้าล็อกอินที่ถูกต้องของ Microsoft และขั้นตอนการยืนยันตัวตนด้วย Device Code แบบมาตรฐานเพื่อโจมตีเข้าไปในบัญชีขององค์กร

การโจมตีแบบ Device Code Phishing คือการใช้ช่องโหว่ของกระบวนการให้สิทธิ์การเข้าถึงอุปกรณ์ OAuth 2.0 ที่ถูกต้อง เพื่อขอรับโทเค็นการยืนยันตัวตนสำหรับบัญชี Microsoft Entra ของเหยื่อ

จากนั้นสามารถใช้ข้อมูลนี้เพื่อเข้าถึงทรัพยากรของผู้ใช้ และแอปพลิเคชัน SSO ที่เชื่อมต่ออยู่ เช่น Microsoft 365, Salesforce, Google Workspace, Dropbox, Adobe, SAP, Slack, Zendesk, Atlassian และบริการอื่น ๆ

กระบวนการขอสิทธิ์นี้ถูกออกแบบมาเพื่อให้การเชื่อมต่ออุปกรณ์ที่ไม่มีตัวเลือกการป้อนข้อมูลที่เข้าถึงได้ง่าย เช่น อุปกรณ์ IoT, เครื่องพิมพ์, อุปกรณ์สตรีมมิง และสมาร์ททีวี

Microsoft ระบุว่า แพลตฟอร์มการระบุตัวตนของ Microsoft รองรับการให้สิทธิ์การเข้าถึงอุปกรณ์ ซึ่งช่วยให้ผู้ใช้สามารถลงชื่อเข้าใช้บนอุปกรณ์ที่มีข้อจำกัดด้านการป้อนข้อมูล เช่น สมาร์ททีวี อุปกรณ์ IoT หรือเครื่องพิมพ์

ในการใช้งานขั้นตอนนี้ อุปกรณ์จะให้ผู้ใช้เข้าไปยังหน้าเว็บผ่านเบราว์เซอร์บนอุปกรณ์เครื่องอื่นเพื่อลงชื่อเข้าใช้ และเมื่อผู้ใช้ลงชื่อเข้าใช้เรียบร้อยแล้ว อุปกรณ์ดังกล่าวก็จะสามารถรับ access tokens และ Refresh tokens ได้ตามต้องการ

ขั้นตอนการยืนยันตัวตนนี้คล้ายกับเวลาลงชื่อเข้าใช้บริการสตรีมมิง เช่น Netflix หรือ Apple TV ที่ตัวอุปกรณ์สตรีมมิงจะแสดงรหัสสั้น ๆ และแนะนำให้เข้าไปยังเว็บไซต์ผ่านโทรศัพท์ หรือคอมพิวเตอร์เพื่อทำการลงชื่อเข้าใช้ให้เสร็จสมบูรณ์

หลังจากที่ป้อนรหัส และยืนยันตัวตนแล้ว อุปกรณ์จะเชื่อมโยงกับบัญชีโดยอัตโนมัติ โดยไม่ต้องจัดการรหัสผ่านโดยตรง

ในการโจมตีแบบ Device-code Phishing นั้น กลุ่มผู้โจมตีจำเป็นต้องมี client_id ของแอปพลิเคชัน OAuth ที่มีอยู่แล้วก่อน ซึ่งอาจจะเป็นแอปที่สร้างขึ้นเอง หรือเป็นหนึ่งในแอปของ Microsoft ก็ได้

ผู้โจมตีใช้เครื่องมือโอเพนซอร์ส เพื่อสร้าง device_code และ user_code ซึ่งจะถูกส่งต่อไปยังเป้าหมายสำหรับแอป OAuth ที่ระบุไว้

จากนั้นผู้โจมตีจะติดต่อพนักงานที่เป็นเป้าหมาย และพยายามโน้มน้าวให้พวกเขากรอกรหัสผู้ใช้ที่สร้างขึ้นในหน้าการยืนยันตัวตนอุปกรณ์ของ Microsoft ที่ microsoft.

Nissan เปิดเผยเหตุการณ์ข้อมูลลูกค้าหลายพันรายรั่วไหล จากเหตุการณ์ Red Hat breach

บริษัท นิสสัน มอเตอร์ จำกัด (Nissan) ยืนยันว่าข้อมูลของลูกค้าหลายพันรายได้รับผลกระทบ หลังจากเกิดเหตุการณ์ข้อมูลรั่วไหลที่ Red Hat เมื่อเดือนกันยายนที่ผ่านมา

ผู้ผลิตรถยนต์สัญชาติญี่ปุ่นรายนี้ ซึ่งมีสำนักงานใหญ่อยู่ที่เมืองโยโกฮาม่า ประเทศญี่ปุ่น มีกำลังการผลิตรถยนต์มากกว่า 3.2 ล้านคันต่อปี บริษัทมีพนักงานรวม 120,000 คน และมีฐานธุรกิจที่แข็งแกร่งทั้งในญี่ปุ่น, อเมริกาเหนือ, ยุโรป และเอเชีย (more…)

Checkout.com ปฏิเสธจ่ายเงินเรียกค่าไถ่หลังถูกแฮ็กเกอร์ขโมยข้อมูล และประกาศว่าจะขอนำเงินเรียกค่าไถ่ไปบริจาคแทน

Checkout.com บริษัทเทคโนโลยีด้านการเงินจากสหราชอาณาจักรประกาศว่า กลุ่มผู้โจมตีที่ชื่อ ShinyHunters ได้โจมตีระบบจัดเก็บข้อมูลบนคลาวด์เวอร์ชันเก่าของบริษัท และกำลังข่มขู่เพื่อเรียกค่าไถ่อยู่ในขณะนี้ (more…)

กลุ่ม ShinyHunters เปิดตัวเว็บไซต์ Salesforce Data Leak เพื่อเรียกค่าไถ่เหยื่อกว่า 39 ราย

กลุ่ม ShinyHunters ได้เปิดตัวเว็บไซต์ Salesforce Data Leak เพื่อเรียกค่าไถ่บริษัทที่ได้รับผลกระทบจากการโจมตี Salesforce กว่า 39 ราย โดยเว็บไซต์ดังกล่าวได้เผยแพร่ตัวอย่างข้อมูลที่ขโมยมาจาก Salesforce instances ของเหยื่อ โดยกำหนดเส้นตายจนถึง 10 ตุลาคม 2025 ก่อนที่ข้อมูลจะถูกเปิดเผยออกสู่สาธารณะ (more…)