Checkout.com บริษัทเทคโนโลยีด้านการเงินจากสหราชอาณาจักรประกาศว่า กลุ่มผู้โจมตีที่ชื่อ ShinyHunters ได้โจมตีระบบจัดเก็บข้อมูลบนคลาวด์เวอร์ชันเก่าของบริษัท และกำลังข่มขู่เพื่อเรียกค่าไถ่อยู่ในขณะนี้ (more…)

ช่องโหว่ระดับ Critical ใน Microsoft Teams ซึ่งเป็นแพลตฟอร์มศูนย์กลางการสื่อสารในที่มีผู้ใช้งานกว่า 320 ล้านคนทั่วโลก ทำให้ผู้โจมตีสามารถปลอมตัวเป็นผู้บริหาร และแก้ไขข้อความได้

ช่องโหว่เหล่านี้ (ปัจจุบัน Microsoft ได้แก้ไขไปแล้ว) สามารถทำให้ทั้งบุคคลภายนอก และบุคคลภายในสามารถปลอมแปลงตัวตนในการแชท, การแจ้งเตือน และการโทร ซึ่งอาจนำไปสู่การฉ้อโกง, การแพร่กระจายมัลแวร์ และการเผยแพร่ข้อมูลเท็จได้

Check Point ได้เปิดเผยช่องโหว่นี้ต่อ Microsoft ในเดือนมีนาคม 2024 ซึ่งปัญหาเหล่านี้แสดงให้เห็นว่าความไว้วางใจในเครื่องมือที่ใช้ในการทำงานร่วมกัน สามารถถูกใช้เป็นอาวุธโดยผู้โจมตี ซึ่งมุ่งเป้าไปที่โครงสร้างพื้นฐานสำหรับการทำงานจากระยะไกล

Teams ซึ่งเปิดตัวในปี 2017 ในฐานะส่วนหนึ่งของ Microsoft 365 ได้ผสานรวมการแชท, การประชุมทางวิดีโอ, การแชร์ไฟล์ และแอปพลิเคชันต่าง ๆ เข้าไว้ด้วยกัน ทำให้กลายเป็นเครื่องมือที่ขาดไม่ได้สำหรับธุรกิจตั้งแต่ระดับสตาร์ทอัพไปจนถึงบริษัทในกลุ่ม Fortune 500

การตรวจสอบของ Check Point มุ่งเน้นไปที่สถาปัตยกรรมแบบ JSON ของเวอร์ชันเว็บ ซึ่งข้อความประกอบด้วยพารามิเตอร์ต่าง ๆ เช่น content, messagetype, clientmessageid และ imdisplayname

ผู้โจมตีใช้ประโยชน์จากสิ่งเหล่านี้ในการแก้ไขข้อความโดยไม่ปรากฏ label กำกับว่า “Edited” ด้วยการใช้ clientmessageid ซ้ำ ซึ่งเปรียบเสมือนการเขียนข้อความใหม่โดยไม่ทิ้งร่องรอย

ส่วนการแจ้งเตือนก็สามารถถูกปลอมแปลงได้โดยการแก้ไขค่า imdisplayname ทำให้การแจ้งเตือนดูเหมือนว่าส่งมาจากผู้บริหารระดับสูง เช่น CEO ซึ่งเป็นการใช้ประโยชน์จากความไว้วางใจโดยสัญชาตญาณของผู้ใช้ที่มีต่อการส่งข้อความด่วน

ในการแชทส่วนตัว การแก้ไขหัวข้อการสนทนาผ่าน PUT endpoint จะเปลี่ยน displayName ซึ่งทำให้ผู้เข้าร่วมเข้าใจผิดเกี่ยวกับตัวตนของผู้ส่ง ดังที่แสดงในภาพหน้าจอก่อนและหลังของอินเทอร์เฟซที่ถูกเปลี่ยนแปลงไป

การเริ่มต้นการโทรผ่าน POST /api/v2/epconv ทำให้สามารถปลอมแปลง displayName ในส่วนรายชื่อผู้เข้าร่วม ซึ่งเป็นการปลอมแปลงตัวตนของผู้โทรระหว่างการสนทนาด้วยเสียง หรือวิดีโอ

หนึ่งในช่องโหว่คือการปลอมแปลงการแจ้งเตือน ซึ่งมีหมายเลข CVE-2024-38197 โดยเป็นช่องโหว่ที่มีความรุนแรงระดับปานกลาง (CVSS 6.5) ซึ่งส่งผลกระทบต่อ iOS เวอร์ชัน 6.19.2 และเวอร์ชันต่ำกว่า ซึ่งช่องข้อมูลผู้ส่งขาดการตรวจสอบความถูกต้องอย่างเหมาะสม

สถานการณ์การโจมตีช่องโหว่ Microsoft Teams

ช่องโหว่เหล่านี้ทำลายความไว้วางใจที่มีต่อ Teams และทำให้มันกลายเป็นช่องทางในการหลอกลวงสำหรับกลุ่ม APTs, ผู้โจมตีที่ได้รับการสนับสนุนจากรัฐฯ และอาชญากรไซเบอร์

บุคคลภายนอกสามารถแทรกซึมเข้ามาในฐานะบุคคลภายใน โดยปลอมตัวเป็นหัวหน้าฝ่ายการเงินเพื่อขโมยข้อมูลยืนยันตัวตน หรือส่งลิงก์ที่มีมัลแวร์ปลอมแปลงมาในรูปแบบคำสั่งจากผู้บริหาร

บุคคลภายในอาจขัดขวางการบรรยายสรุปด้วยการปลอมแปลงการโทร, สร้างความสับสนในการสนทนาที่ละเอียดอ่อน หรือเปิดช่องให้เกิดแผนการหลอกลวงทางอีเมล (BEC)

ความเสี่ยงที่เกิดขึ้นจริง ได้แก่ การฉ้อโกงทางการเงิน โดยที่การแจ้งเตือนปลอมจาก CEO ที่สามารถหลอกให้เกิดการโอนเงิน, การละเมิดความเป็นส่วนตัวจากการสนทนาที่ถูกปลอมแปลงขึ้น และการจารกรรมข้อมูลผ่านประวัติการสนทนาที่ถูกแก้ไขในการโจมตีแบบ Supply Chain

ผู้โจมตี รวมถึงกลุ่มต่าง ๆ อย่าง Lazarus ได้มุ่งเป้าโจมตีแพลตฟอร์มเหล่านี้ด้วยวิธี social engineering มาอย่างยาวนาน ดังที่เห็นในรายงานล่าสุดเกี่ยวกับการโจมตีผ่าน Teams ด้วย ransomware และการขโมยข้อมูล

ความง่ายดายในการใช้ช่องโหว่นี้ต่อเนื่องกัน เช่น การปลอมแปลงการแจ้งเตือนตามด้วยการโทรปลอม ยิ่งเพิ่มความอันตราย ซึ่งอาจหลอกลวงผู้ใช้ให้เปิดเผยความลับ หรือดำเนินการที่เป็นอันตราย

Check Point ได้เปิดเผยช่องโหว่เมื่อวันที่ 23 มีนาคม 2024 โดย Microsoft รับทราบปัญหาในวันที่ 25 มีนาคม และยืนยันการแก้ไขตามลำดับ

ช่องโหว่การแก้ไขข้อความได้รับการแก้ไขภายในวันที่ 8 พฤษภาคม 2024, ช่องโหว่การแก้ไขแชทส่วนตัวภายในวันที่ 31 กรกฎาคม, ช่องโหว่การแจ้งเตือน (CVE-2024-38197) ภายในวันที่ 13 กันยายน หลังจากแพตซ์อัปเดตในเดือนสิงหาคม และช่องโหว่การปลอมแปลงสายภายในเดือนตุลาคม 2025

ปัจจุบันช่องโหว่ทั้งหมดได้รับการแก้ไขแล้ว โดยผู้ใช้ไม่จำเป็นต้องดำเนินการใด ๆ นอกจากการอัปเดต อย่างไรก็ตาม องค์กรควรมีการป้องกันหลายชั้น, ใช้การตรวจสอบแบบ zero-trust สำหรับข้อมูล identities และอุปกรณ์, ใช้ระบบป้องกันภัยคุกคามขั้นสูงเพื่อสแกน payloads ใน Teams, บังคับใช้นโยบายการป้องกันข้อมูลรั่วไหล (DLP) และฝึกอบรมพนักงานเกี่ยวกับการตรวจสอบแบบ out-of-band สำหรับคำขอที่มาจากผู้บริหารระดับสูง

การคิดแบบ Critical thinking ยังคงเป็นกุญแจสำคัญในการตรวจสอบการสื่อสารที่น่าสงสัยเสมอ แม้ว่าจะมาจากแหล่งที่ดูน่าเชื่อถือก็ตาม ในขณะที่เครื่องมือการทำงานร่วมกันพัฒนาขึ้น การรักษาความไว้วางใจของมนุษย์ก็มีความสำคัญเทียบเท่ากับการแก้ไขโค้ดเช่นเดียวกัน

ที่มา : cybersecuritynews

นักวิจัยด้านความปลอดภัยไซเบอร์ได้ค้นพบเทคนิค Social Engineering ที่ชื่อว่า ClickFix ซึ่งได้รับความนิยมอย่างรวดเร็วในหมู่ผู้โจมตีตั้งแต่ต้นปี 2024

การโจมตีนี้มีเป้าหมายทั้งอุปกรณ์ Windows และ macOS โดยหลอกให้ผู้ใช้รันคำสั่งที่เป็นอันตรายผ่านขั้นตอนการแก้ไขปัญหาทางเทคนิคที่ดูเหมือนถูกต้องตามปกติ (more…)

สำนักงานสอบสวนกลางสหรัฐฯ (FBI) เปิดเผยว่า กลุ่มอาชญากรรมไซเบอร์ชื่อดังอย่าง Scattered Spider กำลังขยายเป้าหมายการโจมตีไปยังภาคการบิน

FBI แถลงผ่านโพสต์บน X ว่า กลุ่มผู้กระทำผิดใช้เทคนิค social engineering โดยแอบอ้างเป็นพนักงาน หรือบริษัทผู้รับจ้าง เพื่อหลอกให้ IT Helpdesk อนุญาตให้เข้าถึงระบบ โดยเทคนิคนี้มักใช้เพื่อหลีกเลี่ยงการยืนยันตัวตนหลายขั้นตอน (MFA) โดย FBI ระบุว่า ขณะนี้กำลังร่วมมือกับพันธมิตรในอุตสาหกรรมการบิน และภาคธุรกิจอื่น ๆ เพื่อรับมือกับการโจมตี และให้ความช่วยเหลือองค์กรที่ได้รับผลกระทบ

ผู้เชี่ยวชาญจาก Unit 42 และ Mandiant เตือนว่า Scattered Spider กำลังขยายการโจมตีไปยังภาคการบิน และขนส่ง ด้วยวิธี social engineering และการรีเซ็ตรหัส MFA ซึ่งคล้ายกับกรณีในอุตสาหกรรมประกันภัยของสหรัฐฯ พร้อมแนะนำให้องค์กรเพิ่มความเข้มงวดในการยืนยันตัวตน โดยเฉพาะก่อนเพิ่มหมายเลขโทรศัพท์ หรืออุปกรณ์ MFA ให้บัญชีพนักงาน หรือบริษัทผู้รับจ้าง เพื่อป้องกันการเข้าถึงโดยไม่ได้รับอนุญาต

หนึ่งในสาเหตุที่ทำให้กลุ่ม Scattered Spider ประสบความสำเร็จอย่างต่อเนื่องคือความเข้าใจเชิงลึกเกี่ยวกับพฤติกรรมมนุษย์ แม้จะมีมาตรการป้องกันทางเทคนิค เช่น MFA กลุ่มนี้จะเล็งเป้าไปที่บุคลากรเบื้องหลังระบบ โดยเฉพาะพนักงาน IT Helpdesk ซึ่งสามารถตกเป็นเหยื่อของเรื่องราวที่น่าเชื่อถือได้เหมือนกับบุคคลทั่วไป

การโจมตีนี้ไม่ใช่การโจมตีแบบ brute-force แต่เป็นการสร้างความไว้วางใจในระยะเวลาอันสั้นเพื่อแทรกซึมเข้าสู่ระบบ และเมื่อเผชิญกับข้อจำกัดด้านเวลา หรือความกดดันสูง การโจมตีที่เริ่มต้นจากการแอบอ้างเป็นพนักงานก็สามารถเล็ดลอดผ่านไปได้ ด้วยเหตุนี้ องค์กรจึงควรพิจารณามากกว่าการป้องกัน endpoint แบบดั้งเดิม และทบทวนกระบวนการยืนยันตัวตนแบบเรียลไทม์อย่างละเอียดรอบคอบ

เดิมที Scattered Spider ใช้การโจมตีแบบ SIM swapping แต่ปัจจุบันกลุ่มนี้ได้ขยายการโจมตีโดยใช้เทคนิคที่หลากหลายขึ้น เช่น social engineering, helpdesk phishing และการเข้าถึงจากภายใน ซึ่งทั้งหมดนี้เป็นกลยุทธ์เบื้องต้นในการแทรกซึมเข้าสู่ระบบแบบไฮบริด

Halcyon ระบุว่า Scattered Spider เป็นการพัฒนาครั้งสำคัญในความเสี่ยงของแรนซัมแวร์ โดยการผสมผสานเทคนิค social engineering ขั้นสูง, เทคนิคที่มีความซับซ้อนหลายระดับ และความสามารถในการขู่กรรโชก กลุ่มนี้สามารถเจาะระบบ สร้างการเข้าถึงอย่างต่อเนื่อง ขโมยข้อมูลที่มีความสำคัญ ปิดการทำงานของระบบ recovery และใช้แรนซัมแวร์ในทั้งระบบที่อยู่ on-premises และคลาวด์ได้ภายในเวลาไม่กี่ชั่วโมง

สิ่งที่ทำให้ Scattered Spider เป็นอันตรายคือการผสมผสานระหว่างการวางแผนที่รอบคอบ และการขยายตัวอย่างรวดเร็ว กลุ่มนี้ไม่เพียงแค่ขโมยข้อมูลจากบัญชีผู้ใช้ แต่ยังใช้เวลาในการรวบรวมข้อมูลจากสื่อสังคมออนไลน์ และข้อมูลรั่วไหลต่าง ๆ เพื่อแอบอ้างเป็นบุคคลได้อย่างแม่นยำ การโจมตีที่ผสมผสานเทคนิค Social engineering กับ cloud infrastructure sabotage ทำให้สามารถหลุดรอดจากการตรวจจับจนกระทั่งมันสายเกินไป

ในรายงานที่เผยแพร่เมื่อวันศุกร์ที่ผ่านมา ReliaQuest เปิดเผยว่า Scattered Spider ได้เจาะระบบองค์กรหนึ่งเมื่อปลายเดือนที่แล้ว โดยมุ่งเป้าหมายไปที่ประธานเจ้าหน้าที่ฝ่ายการเงิน (CFO) เป็นหลัก ซึ่งกลุ่มผู้โจมตีได้ใช้การเข้าถึงระดับสูงเพื่อดำเนินการโจมตีอย่างแม่นยำ และมีการวางแผนมาอย่างดี

ผู้โจมตีได้ทำการศึกษาข้อมูลอย่างละเอียดเพื่อเลือกเป้าหมายที่มีมูลค่าสูง โดยเฉพาะอย่างยิ่งการแอบอ้างเป็น CFO เพื่อโทรศัพท์ติดต่อ IT Helpdesk ของบริษัท และหลอกให้รีเซ็ตรหัส MFA และข้อมูลการเข้าสู่ระบบที่เชื่อมโยงกับบัญชีของ CFO

นอกจากนี้ กลุ่มผู้โจมตียังใช้ข้อมูลที่ได้จากการสอดแนม เช่น วันเกิดของ CFO และหมายเลขสี่หลักสุดท้ายของหมายเลขประกันสังคม (SSN) เพื่อกรอกลงในพอร์ทัลการเข้าสู่ระบบของบริษัท ซึ่งเป็นส่วนหนึ่งของกระบวนการเข้าสู่ระบบ และยืนยันรหัสพนักงานพร้อมกับข้อมูลที่ได้มา

Scattered Spider พุ่งเป้าโจมตีบัญชีระดับ C-Suite ด้วยเหตุผลสองประการหลัก ประการแรก บัญชีเหล่านี้มักมีสิทธิ์การเข้าถึงระบบที่กว้างขวาง และประการที่สอง คำขอที่มาจากบัญชีเหล่านี้ไปยัง IT Helpdesk มักได้รับการดำเนินการอย่างเร่งด่วน ซึ่งเพิ่มโอกาสที่การโจมตีทาง social engineering จะประสบความสำเร็จ

หลังจากเข้าถึงบัญชี CFO กลุ่ม Scattered Spider ได้แสดงให้เห็นถึงความสามารถในการปรับตัว และขยายการโจมตีอย่างรวดเร็วในสภาพแวดล้อมเป้าหมาย โดยดำเนินการดังนี้:

ค้นหาข้อมูลบัญชี และกลุ่มที่มีสิทธิ์พิเศษใน Entra ID รวมถึง service principals เพื่อใช้ในการยกระดับสิทธิ์ และแฝงตัวอยู่ในระบบอย่างต่อเนื่อง
ตรวจสอบไฟล์สำคัญ และทรัพยากรที่ใช้ร่วมกันใน SharePoint เพื่อทำความเข้าใจกระบวนการทำงาน, ระบบ IT และ cloud architectures ขององค์กร เพื่อปรับแผนการโจมตีให้เหมาะสม
เข้าถึงแพลตฟอร์ม Horizon Virtual Desktop Infrastructure (VDI) โดยใช้ข้อมูล CFO ที่ได้มา จากนั้นจึงขโมยข้อมูลสำคัญเพิ่มเติมจากอีกสองบัญชีโดยเทคนิค social engineering ซึ่งเป็นการสร้างช่องทางเข้าถึงถาวร เพื่อให้สามารถกลับเข้ามาในระบบได้ซ้ำ ๆ
เจาะระบบ VPN ขององค์กรเพื่อให้สามารถเข้าถึงทรัพยากรภายในได้อย่างต่อเนื่อง
กู้คืนเครื่อง Virtual machines (VMs) ที่ถูกยกเลิก จากนั้นสร้างเครื่องใหม่เพื่อเข้าถึงโครงสร้าง VMware vCenter เพื่อปิดการทำงานของ virtualized production domain controller และดึงข้อมูลจากไฟล์ฐานข้อมูล NTDS.dit
ใช้สิทธิ์ที่เพิ่มขึ้นในการเจาะเข้า CyberArk password vault และขโมยข้อมูลสำคัญมากกว่า 1,400 รายการ
ขยายการโจมตีอย่างต่อเนื่อง โดยใช้บัญชีที่มีสิทธิ์พิเศษ ซึ่งรวมถึงการให้สิทธิ์ผู้ดูแลระบบแก่บัญชีผู้ใช้ที่ถูกบุกรุก
ใช้เครื่องมือที่ถูกต้อง เช่น ngrok เพื่อการควบคุมเครื่อง VMs ของเหยื่ออย่างต่อเนื่อง
หลังจากทีมรักษาความปลอดภัยขององค์กรตรวจพบการโจมตี กลุ่ม Scattered Spider ได้ใช้กลยุทธ์ทำลายทุกอย่าง โดยให้ความสำคัญกับความเร็ว เพื่อลบ Azure Firewall policy rule และขัดขวางการดำเนินธุรกิจตามปกติ

ReliaQuest ได้บรรยายถึงการต่อสู้ที่ดุเดือดระหว่างทีมตอบสนองเหตุการณ์กับผู้โจมตี เพื่อแย่งชิงการควบคุม Global Administrator ภายใน Entra ID tenant โดยการต่อสู้ดังกล่าวได้สิ้นสุดลงเมื่อ Microsoft เข้ามาให้ความช่วยเหลือในการฟื้นฟูการควบคุม tenant นั้น

สรุปประเด็นสำคัญ การโจมตีแบบ social engineering ได้พัฒนาไปสู่การควบคุมทางอัตลักษณ์ที่มีความซับซ้อน โดยผู้โจมตีอย่าง Scattered Spider ใช้กลวิธีหลากหลาย เช่น การ SIM swapping, vishing และการยกระดับสิทธิ์ เพื่อเจาะระบบป้องกัน และโจมตีได้อย่างรวดเร็วเมื่อเข้าถึงช่องทางโจมตีได้

สำหรับองค์กรส่วนใหญ่ การรับมือไม่จำเป็นต้องลงทุนในเครื่องมือใหม่ แต่ควรมุ่งเน้นที่การปรับปรุงกระบวนการภายใน โดยเฉพาะอย่างยิ่งในเรื่องการอนุมัติของ help desk และการกู้คืนบัญชี การให้ความสำคัญกับการตัดสินใจของบุคลากรเกี่ยวกับข้อมูลอัตลักษณ์ ยิ่งทำให้การฝึกอบรมพนักงานด้วยสถานการณ์จริงมีความสำคัญมากขึ้น

Alexa Feminella และ James Xiang นักวิจัยด้านความปลอดภัย ระบุว่า Scattered Spider เปิดเผยจุดอ่อนสำคัญจากการพึ่งพากระบวนการตรวจสอบอัตลักษณ์ที่เน้นมนุษย์ ซึ่งผู้โจมตีใช้ความไว้วางใจนี้หลบเลี่ยงการป้องกันทางเทคนิค และบิดเบือนกระบวนการเดิมได้ง่าย ข้อเปราะบางนี้เน้นย้ำว่าธุรกิจต้องเร่งประเมิน และเสริมโปรโตคอลตรวจสอบอัตลักษณ์ เพื่อลดความเสี่ยงจากข้อผิดพลาดของมนุษย์ที่อาจเปิดช่องทางโจมตี

ที่มา : thehackernews

แฮ็กเกอร์รัสเซียใช้วิธีการ Social engineering แอบอ้างเป็นเจ้าหน้าที่กระทรวงการต่างประเทศสหรัฐฯ เพื่อ Bypass MFA และเข้าถึงบัญชี Gmail โดยอาศัย app-specific passwords โดยแฮ็กเกอร์กลุ่มนี้มีเป้าหมายเป็นนักวิชาการ และนักวิจารณ์รัฐบาลรัสเซีย โดยใช้เทคนิคที่มีความซับซ้อน ปรับแต่งเฉพาะบุคคล และไม่ใช้วิธีการกดดันให้เหยื่อรีบดำเนินการอย่างใดอย่างหนึ่ง (more…)

ตามรายงานของ Insikt Group จาก Recorded Future เมื่อวันศุกร์ที่ผ่านมาพบว่า กลุ่ม GrayAlpha กลุ่มผู้ไม่หวังดีที่มีความเชื่อมโยงกับกลุ่ม FIN7 ได้ดำเนินการเปิดเว็บไซต์ที่มีโปรแกรม 7-Zip ปลอม และซอฟต์แวร์อื่น ๆ เพื่อแพร่กระจายมัลแวร์ NetSupport ซึ่งเป็น Remote Access Trojan (RAT) (more…)

แบรนด์แฟชั่นชื่อดัง Victoria's Secret ได้ปิดเว็บไซต์ และบริการบางส่วนในร้านค้าเนื่องจากเหตุการณ์ด้านความปลอดภัยทางไซเบอร์ที่กำลังดำเนินการแก้ไขอยู่

Victoria's Secret เปิดสาขาให้บริการประมาณ 1,380 แห่งในเกือบ 70 ประเทศ และรายงานรายได้ประจำปีอยู่ที่ 6.23 พันล้านดอลลาร์สหรัฐ สำหรับปีงบประมาณที่สิ้นสุดเมื่อวันที่ 1 กุมภาพันธ์ 2025

(more…)

บริษัทแลกเปลี่ยนสกุลเงินดิจิทัล Coinbase เปิดเผยว่า มีผู้โจมตีเจาะระบบของบริษัท และขโมยข้อมูลบัญชีของลูกค้าบางส่วนออกไป

บริษัทระบุในแถลงการณ์ว่า "กลุ่มผู้โจมตีมุ่งเป้าไปที่เจ้าหน้าที่ฝ่าย customer support ของเราที่อยู่ในต่างประเทศ พวกเขาใช้ข้อเสนอเป็นเงินสดเพื่อโน้มน้าวกลุ่มคนวงในกลุ่มเล็ก ๆ ให้คัดลอกข้อมูลจากระบบ customer support ของเรา ซึ่งทำให้ส่งผลกระทบกับลูกค้าประมาณ 1% ของผู้ใช้งานที่ทำธุรกรรมรายเดือนกับ Coinbase"

เป้าหมายสุดท้ายของแคมเปญนี้คือการรวบรวมรายชื่อลูกค้า และติดต่อไปโดยแอบอ้างว่าเป็น Coinbase เพื่อหลอกให้ลูกค้าส่ง cryptocurrency assets ของตนให้กับพวกเขา

Coinbase ระบุว่า ผู้โจมตีพยายามเรียกค่าไถ่จากบริษัทจำนวน 20 ล้านดอลลาร์ในวันที่ 11 พฤษภาคม 2025 แต่ไม่ประสบความสำเร็จ โดยผู้โจมตีอ้างว่าตนมีข้อมูลของบัญชีลูกค้าบางราย รวมถึงเอกสารภายใน รวมถึงแถลงการณ์ที่ส่งให้กับ Fortune บริษัท Coinbase ระบุว่า เจ้าหน้าที่ที่มีส่วนเกี่ยวข้องนั้นทำงานอยู่ที่ประเทศอินเดีย และทุกคนถูกไล่ออกแล้ว

Coinbase ย้ำว่า "ไม่มีการเปิดเผยรหัสผ่าน, private keys หรือเงินทุนใด ๆ และบัญชี Coinbase Prime ไม่ได้รับผลกระทบ" โดยสิ่งที่ผู้โจมตีได้ข้อมูลไปมีดังต่อไปนี้ :

ชื่อ, ที่อยู่, เบอร์โทรศัพท์ และอีเมล
หมายเลขประกันสังคมที่ถูกปิดบังไว้ (4 หลักท้ายเท่านั้น)
หมายเลขบัญชีธนาคารที่ถูกปิดบังไว้
รูปภาพบัตรประจำตัวประชาชน (เช่น ใบขับขี่, หนังสือเดินทาง)
ข้อมูลบัญชี (ยอดเงินในบัญชี และประวัติการทำธุรกรรม)
ข้อมูลระดับองค์กรบางส่วน เช่น เอกสาร, สื่อการฝึกอบรม และการสื่อสารที่เปิดให้เจ้าหน้าที่ฝ่าย support เข้าถึงได้

Coinbase ระบุว่า บริษัทจะคืนเงินให้ลูกค้าที่ถูกหลอกให้โอนเงินให้กับผู้โจมตี เนื่องจากการโจมตีด้วยเทคนิค social engineering โดยยังไม่ชัดเจนว่ามีลูกค้าจำนวนเท่าใดที่ตกเป็นเหยื่อ แต่บริษัทแจ้งกับ TechCrunch ว่ามีลูกค้าน้อยกว่า 1% ของลูกค้า 9.7 ล้านรายต่อเดือนที่ได้รับผลกระทบ

บริษัทกำลังบังคับใช้การตรวจสอบ ID เพิ่มเติม สำหรับบัญชีที่ถูกทำเครื่องหมายไว้บางบัญชีเมื่อทำการถอนเงินจำนวนมาก และกำลังเพิ่มความแข็งแกร่งให้กับระบบป้องกันภัยจากภัยคุกคามภายในองค์กร อีกทั้งยังตั้งกองทุนรางวัลมูลค่า 20 ล้านดอลลาร์สำหรับผู้ที่ให้เบาะแสนำไปสู่การจับกุม และดำเนินคดีกับผู้โจมตี

เพื่อเป็นการลดผลกระทบ แนะนำให้ผู้ใช้งานเปิดใช้งานรายการอนุญาตการถอนเงิน เพื่ออนุญาตให้โอนได้เฉพาะที่อยู่ที่ระบุไว้ใน address books ของตนเอง รวมถึงเปิดใช้งานการยืนยันตัวตนแบบสองขั้นตอน (2FA) และระมัดระวังบุคคลที่แอบอ้างเป็นเจ้าหน้าที่เพื่อหลอกให้โอนเงินไปยัง wallet ที่อ้างว่าปลอดภัย

อัปเดต #

Coinbase ได้ออกแถลงการณ์ร่วมกับ Bloomberg โดยระบุว่า ได้เริ่มสังเกตเห็นกิจกรรมที่ผิดปกติจากตัวแทนฝ่ายบริการลูกค้าบางรายตั้งแต่เมื่อเดือนมกราคมที่ผ่านมา นอกจากนี้ Coinbase ยังได้โต้แย้งข้อกล่าวอ้างที่รายงานว่า ผู้โจมตีได้ติดสินบนตัวแทนฝ่ายบริการลูกค้ามากพอที่จะสามารถเข้าถึงข้อมูลลูกค้าของ Coinbase ได้ตามต้องการในช่วง 5 เดือนที่ผ่านมา

Philip Martin หัวหน้าฝ่ายรักษาความปลอดภัยของ Coinbase ระบุว่า "สิ่งที่ผู้โจมตีทำคือค้นหาพนักงาน และ contractors ของ Coinbase ที่อยู่ในอินเดีย ซึ่งเป็นการเอาท์ซอร์สทางธุรกิจ หรือการดำเนินการฝ่าย support ของเรา และติดสินบนพวกเขาเพื่อให้ได้ข้อมูลลูกค้ามา"

"มีเหตุการณ์ติดสินบนเฉพาะเจาะจงจำนวนหนึ่ง ที่ผู้โจมตีอ้างว่าเกี่ยวข้องในช่วงเวลาดังกล่าว แต่พวกเขาไม่ได้เข้าถึงข้อมูลอย่างต่อเนื่องตลอดช่วงเวลาดังกล่าว"

ที่มา : thehackernews

พบแคมเปญการโจมตีใหม่ที่ใช้เทคนิค ClickFix โดยมีการโจมตีทั้งระบบปฏิบัติการ Windows และ Linux ผ่านคำสั่งที่ออกแบบมาให้สามารถติดมัลแวร์ได้บนทั้งสองระบบปฏิบัติการ (more…)

ตั้งแต่ต้นปีที่ผ่านมา กลุ่มแฮ็กเกอร์ ColdRiver ที่ได้รับการสนับสนุนจากรัฐบาลรัสเซีย ได้ใช้มัลแวร์ตัวใหม่ที่มีชื่อว่า LostKeys เพื่อขโมยไฟล์ข้อมูล โดยมีเป้าหมายเป็นรัฐบาลชาติตะวันตก, นักข่าว, ศูนย์วิจัยนโยบาย และองค์กรพัฒนาเอกชน (NGOs) (more…)