นักวิจัยพบกลุ่ม Hacker ที่เกี่ยวข้องกับรัฐบาลรัสเซีย เกาหลีเหนือ อิหร่าน และจีน กำลังทดลองใช้ปัญญาประดิษฐ์ (AI) และแบบจำลองภาษาขนาดใหญ่ (LLM) เพื่อเสริมการโจมตีทางไซเบอร์ที่กำลังดำเนินอยู่

(more…)

Marina Bay Sands (MBS) รีสอร์ท และคาสิโนหรูในสิงคโปร์ได้เปิดเผยการละเมิดข้อมูล ซึ่งส่งผลกระทบต่อข้อมูลส่วนบุคคลของลูกค้า 665,000 คน

ตามแถลงการณ์ เหตุการณ์การโจมตีเกิดขึ้นในวันที่ 20 ตุลาคม และผู้ไม่หวังดีสามารถเข้าถึงข้อมูลของสมาชิก MBS loyalty ได้

โดยแถลงการณ์ระบุว่า “Marina Bay Sands ได้รับทราบเกี่ยวกับเหตุการณ์ด้านความปลอดภัยของข้อมูลในวันที่ 20 ตุลาคม 2023 โดยพบว่าผู้ไม่หวังดีสามารถเข้าถึงข้อมูลสมาชิกโปรแกรมสะสมแต้มของลูกค้าบางส่วนประมาณ 665,000 คนในวันที่ 19 และ 20 ตุลาคม 2023”

ประเภทของข้อมูลที่เปิดเผยในการละเมิดข้อมูลมีดังต่อไปนี้:

ชื่อ
ที่อยู่อีเมล
หมายเลขโทรศัพท์มือถือ
หมายเลขโทรศัพท์
ประเทศที่อยู่อาศัย
หมายเลขสมาชิก และระดับ
ข้อมูลดังกล่าวอาจช่วยให้ผู้โจมตีสามารถกำหนดเป้าหมายลูกค้า MBS ในการหลอกลวงประเภทต่าง ๆ เช่น การฟิชชิง และการโจมตีแบบ social engineering
โดยบริษัทระบุว่าจากหลักฐานในปัจจุบันคาดว่าสมาชิกคาสิโน (Sands Rewards Club) ไม่ได้รับผลกระทบจากเหตุการณ์นี้ โดยลูกค้า MBS ที่ข้อมูลส่วนบุคคลของตนรั่วไหลจะได้รับแจ้งเกี่ยวกับการละเมิด และผลกระทบเป็นรายบุคคล

โดยหลังจากการพบเหตุการณ์นี้ MBS ได้รายงานต่อเจ้าหน้าที่ในสิงคโปร์ และประเทศอื่น ๆ ที่เกี่ยวข้อง

แม้ว่าขอบเขตของการโจมตีจะไม่ได้รับการชี้แจงต่อสาธารณะ แต่การโจมตีอาจเกี่ยวข้องกับการโจมตีด้วย ransomware ซึ่งผู้ไม่หวังดีมักขโมยข้อมูลจากเครือข่ายของบริษัทจากนั้นจึงพยายามขู่กรรโชกทรัพย์จากเหยื่อ

อย่างไรก็ตาม ยังไม่มีกลุ่ม ransomware รายใดที่ออกมาอ้างความรับผิดชอบว่าเป็นผู้โจมตี Marina Bay Sands

BleepingComputer ได้ติดต่อ MBS เพื่อขอข้อมูลเพิ่มเติมเกี่ยวกับเหตุการณ์ที่เกิดขึ้น แต่ทาง MBS ปฏิเสธที่จะให้ความเห็นเพิ่มเติมจากรายละเอียดในแถลงการณ์อย่างเป็นทางการ

ที่มา: bleepingcomputer

นักวิจัยด้านความปลอดภัยของ BlackBerry พบ Hacker ชาวบราซิลที่ยังไม่เป็นที่รู้จัก ได้กำหนดเป้าหมายการโจมตีไปที่ชาวสเปน และโปรตุเกสเพื่อขโมยข้อมูลบัญชีธนาคารออนไลน์ในเม็กซิโก เปรู และโปรตุเกส

Hacker รายนี้ใช้กลวิธีเช่น LOLBaS (living-off-the-land binaries and scripts) ร่วมกับสคริปต์ที่ใช้ CMD-based เพื่อดำเนินกิจกรรมที่เป็นอันตราย และหลีกเลี่ยงการตรวจจับด้วยมาตรการรักษาความปลอดภัยแบบดั้งเดิม โดยแคมเปญนี้มีชื่อว่า “Operation CMDStealer” ที่มี Hacker ชาวบราซิลอยู่เบื้องหลัง

การโจมตีส่วนใหญ่จะเป็นการใช้วิธีการ social engineering ด้วยอีเมลที่เกี่ยวข้องกับการธนาคาร และภาษี หรือการละเมิดกฎจราจร เพื่อหลอกล่อให้เหยื่อหลงกล และกดเปิดอีเมลที่เป็นอันตราย

ซึ่งอีเมลดังกล่าวมาพร้อมกับไฟล์แนบ HTML ที่มีโค้ดที่ถูกซ่อนไว้ เพื่อดาวน์โหลดเพย์โหลดขั้นต่อไปจากเซิร์ฟเวอร์ภายนอกในรูปแบบของ RAR archive file ซึ่งไฟล์เหล่านี้ได้กำหนดขอบเขตการโจมตีไปยังประเทศใดประเทศหนึ่ง รวมถึงไฟล์ .CMD ที่มีสคริปต์ AutoIt เพื่อดาวน์โหลด Visual Basic Script ในการขโมยข้อมูล Microsoft Outlook และรหัสผ่านของเบราว์เซอร์ หลังจากนั้นข้อมูลที่รวบรวม และขโมยออกมาได้จะถูกส่งกลับไปยัง C2 server ของ Hacker ผ่าน HTTP POST

การค้นพบนี้เกิดขึ้นพร้อมกับที่ ESET ได้ออกมาเปิดโปงกลยุทธ์ของเครือข่ายอาชญากรไซเบอร์ในไนจีเรีย ที่ดำเนินการหลอกลวงฉ้อโกงทางการเงินด้วยวิธีการที่ซับซ้อน โดยกำหนดเป้าหมายเป็นบุคคล ธนาคาร และธุรกิจในสหรัฐอเมริกา และที่อื่น ๆ ระหว่างเดือนธันวาคม 2011 ถึงมกราคม 2017 ด้วยการโจมตีแบบฟิชชิ่งเพื่อเข้าถึงบัญชีอีเมลของบริษัท และหลอกให้หุ้นส่วนธุรกิจส่งเงินไปยังบัญชีธนาคารที่ควบคุมโดย Hacker โดยเป็นเทคนิคที่ถูกเรียกว่า business email compromise

 

ที่มา : thehackernews

Independent Living Systems (ILS) ซึ่งเป็นผู้ให้บริการด้านการดูแลสุขภาพในไมอามี่ ยืนยันการรั่วไหลของข้อมูลส่วนบุคคลของผู้ใช้งานกว่า 4,226,508 ราย

จำนวนผู้ใช้งานที่ได้รับผลกระทบถือว่าเป็นจำนวนมากที่สุดในภาคการดูแลสุขภาพที่มีการเปิดเผยออกมาในปีนี้จากการแจ้งเตือนที่ถูกส่งไปยังสำนักงานอัยการสูงสุด โดยบริษัทพบว่าเครือข่ายถูกโจมตีในวันที่ 5 กรกฎาคม 2022

ในระหว่างการตรวจสอบ บริษัทพบว่าผู้โจมตีสามารถเข้าถึงระบบ ILS ได้ระหว่างวันที่ 30 มิถุนายนถึง 5 กรกฎาคม 2022 และสามารถเข้าถึงข้อมูลในช่วงเวลาดังกล่าวได้ โดยจากการตรวจสอบของ ILS พบว่าผู้โจมตีสามารถเข้าถึงระบบ ILS ได้บางระบบ (more…)

พบการประกาศขายข้อมูลของผู้ใช้งาน WhatsApp เกือบ 500 ล้านราย ในฟอรั่มของ Dark Web ชื่อดัง โดยในฟอรั่มได้อ้างว่าเป็นฐานข้อมูลของผู้ใช้งาน WhatsApp ในปี 2022 จำนวนกว่า 487 ล้านหมายเลข

โดย WhatsApp ถือว่าเป็นหนึ่งในแอพพลิเคชัน Instant messaging และ VoIP ยอดนิยม ที่มีผู้ใช้งานมากกว่า 2,000 ล้านคนต่อเดือนทั่วโลก

โดยในรายละเอียดของข้อมูลที่ถูกประกาศขาย ประกอบไปด้วยชุดข้อมูลของผู้ใช้ WhatsApp จากกว่า 84 ประเทศ เช่น

ผู้ใช้ในประเทศสหรัฐอเมริกา จำนวน 32 ล้านรายชื่อ
ผู้ใช้ในประเทศอียิปต์ จำนวน 45 ล้านรายชื่อ
ผู้ใช้ในประเทศอิตาลี จำนวน 35 ล้านรายชื่อ
ผู้ใช้ในประเทศซาอุดีอาระเบีย จำนวน 29 ล้านรายชื่อ
ผู้ใช้ในประเทศฝรั่งเศส จำนวน 20 ล้านรายชื่อ
ผู้ใช้ในประเทศตุรกี จำนวน 20 ล้านรายชื่อ
ผู้ใช้ในประเทศรัสเซีย จำนวน 10 ล้านรายชื่อ
ผู้ใช้ในประเทศอังกฤษ จำนวน 11 ล้านรายชื่อ

โดย Hacker ได้เสนอขายชุดข้อมูลเหล่านี้ แยกเป็นรายประเทศ เช่น ข้อมูลผู้ใช้ในประเทศสหรัฐอเมริกา ขายในราคา 7,000 ดอลลาร์, ข้อมูลผู้ใช้ในประเทศอังกฤษ ขายในราคา 2,500 ดอลลาร์ และข้อมูลผู้ใช้ในประเทศเยอรมนี ขายในราคา 2,000 ดอลลาร์ รวมไปถึง Hacker ยังได้ปล่อยตัวอย่างชุดข้อมูลที่มีข้อมูลผู้ใช้งานของประเทศอังกฤษ 1,097 ราย และประเทศสหรัฐอเมริกา 817 ราย เพื่อพิสูจน์ว่าข้อมูลเหล่านี้เป็นของจริง และนำไปใช้งานได้

จากการตรวจสอบของ Cybernews พบว่าชุดข้อมูลตัวอย่างที่ได้มานั้นเป็นข้อมูลของผู้ใช้งานจริง และสามารถติดต่อไปยังผู้ใช้งานได้ โดย Hacker ที่ขายข้อมูลไม่ได้บอกว่าได้ชุดข้อมูลเหล่านี้มาด้วยวิธีการใด โดยระบุเพียงว่าพวกเขามีวิธีการที่สามารถเข้าถึงฐานข้อมูล เพื่อให้ได้ข้อมูลดังกล่าวมา รวมทั้งยังยืนยันกับ Cybernews ว่าข้อมูลดังกล่าวทั้งหมดสามารถนำไปใช้ได้จริง

ปัจจุบัน Cybernews ได้ติดต่อไปยังบริษัท Meta ซึ่งเป็นบริษัทแม่ของ WhatsApp เพื่อสอบถามถึงเหตุการณ์ที่เกิดขึ้น แต่ยังไม่ได้รับการตอบกลับ โดยเมื่อไม่กี่วันก่อนหน้านี้ก็จะพบว่ามีการรั่วไหลของข้อมูลภายในของ LinkedIn และ Facebook Business accounts ซึ่งอยู่ภายใต้บริษัท Meta ที่ถูกนำมาขายในฟอรั่มของ Dark Web ชื่อดังเช่นเดียวกัน

ผลกระทบ

โดยชุดข้อมูลที่รั่วไหลเหล่านี้ อาจถูกเหล่า Hackers นำไปใช้ประโยชน์ในการโจมตีในรูปแบบ Social Engineering ได้ ไม่ว่าจะเป็นการหลอกลวงผ่านข้อความ หรือการโทร (Smishing and Vishing Attacks), การโจมตีผ่าน Email (Phishing Attack) รวมไปถึงการโจมตีในรูปแบบ Business Email Compromise

การป้องกัน

ระมัดระวังการเปิดข้อความ SMS อีเมลล์ หรือไฟล์แนบที่ถูกส่งมา ถึงแม้ผู้ส่งจะเป็นบุคคลใกล้ชิด เพื่อนร่วมงาน หรือบุคคลที่มีชื่อเสียงก็ตาม

ที่มา : cybernews

แคมเปญฟิชชิ่งทาง SMS มุ่งเป้าการโจมตีไปยังลูกค้าของธนาคารอินเดีย โดยการปลอมเป็นแอปพลิเคชันของธนาคารเพื่อที่จะใช้มัลแวร์ในการขโมยข้อมูล

ทีมนักวิจัยจาก Microsoft 365 Defender ระบุว่า ข้อความฟิชชิ่งจะมีลิงก์ที่เปลี่ยนเส้นทางของผู้ใช้งานไปยังเว็บไซต์ที่จะทำให้ผู้ใช้งานดาวน์โหลดแอปพลิเคชันปลอมของธนาคาร ICICI Bank

นักวิจัย Shivang Desai, Abhishek Pustakala และ Harshita Tripathi ระบุว่า "ความสามารถของมัลแวร์ทำให้ผู้โจมตีสามารถดักจับการแจ้งเตือนที่สำคัญของอุปกรณ์ เช่น ข้อความเข้า ซึ่งเป็นความพยายามในการดักจับข้อความจาก two-factor authentication (2FA)

รูปแบบการโจมตีเป็นรูปแบบเดียวกันกับ Social Engineering โดยปกติ เช่นใช้โลโก้ และชื่อแบรนด์ที่คุ้นเคย เพื่อหลอกให้ผู้ใช้งานติดตั้งแอปพลิเคชันปลอม

การโจมตีนี้เกิดขึ้นในลักษณะเดียวกันกับการเผยแพร่แอปธนาคารปลอมที่เกิดขึ้นกับธนาคารอินเดียอื่น ๆ เช่น State Bank of India (SBI) และ Axis Bank ในอดีต

เมื่อติดตั้งแล้ว แอปพลิเคชันปลอมไม่เพียงแต่ขอการอนุญาตในการเข้าถึงบัญชี แต่ยังขอให้ผู้ใช้งานป้อนข้อมูลบัตรเครดิต/เดบิตของตนซึ่งเป็นส่วนหนึ่งของกระบวนการลงชื่อเข้าใช้ ซึ่งในขณะนั้นโทรจันจะรอคำสั่งเพิ่มเติมจากผู้โจมตี

คำสั่งเหล่านี้จะทำให้มัลแวร์สามารถรวบรวมข้อมูลของระบบ บันทึกการโทร ดักจับการโทร ตลอดจนขโมยข้อมูลประจำตัวสำหรับบัญชีอีเมล เช่น Gmail, Outlook และ Yahoo

ที่มา : thehackernews

อีเมลฟิชชิ่งปลอมเป็น WeTransfer โดยมีการแชร์ไฟล์สองไฟล์ให้กับเหยื่อ และลิงก์สำหรับดูไฟล์เหล่านั้น

Armorblox รายงานว่า ผู้โจมตีทำการปลอมแปลงเป็นอีเมลจากระบบของ WeTransfer เพื่อโจมตีแบบ credential phishing โดยอีเมลที่ถูกปลอมแปลงขึ้นมาจะนำไปสู่หน้าฟิชชิ่งที่มีรูปแบบของ Microsoft Excel ซึ่งเป้าหมายหลักของการโจมตีครั้งนี้ คือการขโมยข้อมูล email credentials Office 365 ของเหยื่อ

WeTransfer เป็นเว็บไซต์ให้บริการถ่ายโอนไฟล์ มักถูกใช้สำหรับการแชร์ไฟล์ที่มีขนาดใหญ่เกินไปที่จะส่งผ่านทางอีเมล

การโจมตี

อีเมลฟิชชิ่งจะถูกส่งโดย WeTransfer เนื่องจากมีชื่อผู้ส่งเป็น Wetransfer และมีชื่อไฟล์ที่แสดงการส่งผ่าน WeTransfer โดยมีความคล้ายคลึงกันกับอีเมล WeTransfer ของจริง และเนื้อหาของอีเมลยังอ้างอิงถึงองค์กรเพื่อให้ดูเหมือนถูกต้องอีกด้วย จึงสามารถหลอกผู้ใช้ที่ไม่ระวังได้อย่างง่าย

เนื้อหาอีเมลแจ้งว่า WeTransfer ได้แชร์ไฟล์สองไฟล์กับเหยื่อ และมีลิงก์สำหรับดูไฟล์เหล่านั้น เมื่อเหยื่อคลิกดูไฟล์ ลิงก์จะนำไปยังหน้าฟิชชิ่งที่คาดว่าน่าจะเป็นของ Microsoft Excel นอกจากนี้ยังมี spreadsheet ที่เบลอเป็นพื้นหลัง และแสดงแบบฟอร์มกำหนดให้เหยื่อต้องป้อนข้อมูลการเข้าสู่ระบบ

โดเมนของผู้ส่งอีเมลเป็นผู้ให้บริการเว็บโฮสติ้งชื่อ 'valueserver[.]jp.

จากรายงานของ McAfee ปัจจุบันผู้ไม่หวังดีใช้ Browser Push Notifications ซึ่งมีลักษณะที่คล้ายกับ Windows Push Notifications มาใช้ในการหลอกล่อให้เหยื่อดำเนินการตามที่ต้องการ

โดยจะปลอมการแจ้งเตือนที่มีลักษณะเหมือนการแจ้งเตือนปกติ เพื่อให้เหยื่อหลงเชื่อ และดำเนินการกดติดตั้ง ซอฟต์แวร์ ที่เป็นอันตราย ซึ่งซอฟต์แวร์เหล่านั้นจะทำหน้าที่ในการเก็บรวบรวมข้อมูลของผู้ใช้งาน

ในรายงานผู้เชี่ยวชาญอธิบายวิธีการโจมตีในรูปแบบ Social Engineering นี้ จะหลอกให้เหยื่อนั้นทำการติดตั้ง Windows Defender ปลอม ซึ่งความจริงแล้วเป็นซอฟต์แวร์อันตราย

แทนที่จะใช้วิธีส่งอีเมลล์สำหรับโจมตีด้วยวิธีการ Phishing ผู้โจมตีจะแฮ็คการแจ้งเตือนแบบ Pop-up ของเว็ปไซต์ และใช้ข้อความโดยใช้ชื่อ และ Logo ของ McAfee โดยทำเหมือนว่าเป็น Windows Defender Update และเมื่อเหยื่อกดที่ข้อความแจ้งเตือนนั้น ก็จะเป็นการนำเหยื่อให้เข้าสู่หน้าเว็บไซต์ปลอม หลังจากนั้นก็จะเป็นการแจ้งข้อมูลหลอกเหยื่อต่างๆ เช่น McAfee ของพวกเขาหมดอายุ, McAfee ตรวจพบภัยคุกคามในระบบของพวกเขา, หรือ ข้อความที่อ้างว่าเป็นลิงก์โดยตรงที่ใช้ในการสมัครสมาชิก McAfee

Craig Schmugar วิศวกรอาวุโสของ McAfee ได้เขียนอธิบายวิธีการไว้ใน blog post "ในการหลอกเหยื่อ ผู้ไม่หวังดีจะใช้ปุ่มลบโฆษณา, ปุ่มลบเเจ้งเตือน หรือ ปุ่มที่คล้ายๆ กันนำเหยื่อไปยังเว็บไซต์ที่ผู้ไม่หวังดีต้องการ ซึ่งส่วนใหญ่จะเป็นเว็บไซต์ที่ต้องการให้ผู้ใช้อนุญาตให้มีการแจ้งเตือนเพิ่มเติม ซึ่งหากเหยื่อเข้าไปยังเว็บไซต์เหล่านั้นก็จะทำให้เกิด pop-up แจ้งเตือนขึ้นจำนวนมาก"

ซอฟต์แวร์ ที่เป็นอันตรายถ้าหากถูกติดตั้งไปแล้วนั้นสามารถที่จะขโมยข้อมูลระบบได้ซึ่งประกอบไปด้วย ข้อมูล process, ข้อมูลของไดรฟ์, Serial numbers, ข้อมูลของ Ram และ ข้อมูลของ Graphics card
นอกจากนี้ยังสามารถเข้าถึงข้อมูลโปรไฟล์แอปพลิเคชันเช่น Chrome, Exodus wallets, Ethereum wallets, Opera และ Telegram Desktops และข้อมูลบัตรเครดิตของเหยื่อได้

"ในขณะที่การ Phishing ด้วยอีเมลนั้นยังเป็นที่นิยมในโจมตีของเหล่าผู้ไม่หวังดี แต่พวกเขานั้นก็ยังพยายามที่จะแสวงหาช่องทางอื่นๆ อีกในการโจมตี เช่น ทางโซเชียลมีเดีย หรือ ในเหตุการณ์นี้ที่พวกเขานั้นใช้ Windows Push Notifications เพื่อหวังว่าเหยื่อนั้นจะหลงเชื่อ และกดติดตั้ง ซอฟต์แวร์ ที่เป็นอันตรายตามที่พวกเขาต้องการ" Javvad Malik security awareness advocate ของ KnowBe4. กล่าว

ผลกระทบในภายภาคหน้า
Malik กล่าวว่า "หากเหยื่อเชื่อว่าไฟล์ที่ดาวน์โหลดมานั้นเป็นไฟล์ที่ถูกต้อง พวกเขาก็อาจจะมองข้ามคำเตือนด้านความปลอดภัย หรือแจ้งเตือนด้านความปลอดภัย ในบางกรณีพวกเขาอาจจะทำการปิดการทำงานของ ซอฟต์แวร์รักษาความปลอดภัย เพื่อที่จะให้การดาวน์โหลดนั้นดำเนินการได้สะดวก เมื่อซอฟต์แวร์ที่เป็นอันตรายทำการติดตั้งสำเร็จ ผู้ไม่หวังดีก็จะสามารถเข้าถึงเครื่องของเหยื่อได้ และสามารถทำอะไรก็ได้ตามที่พวกเขาต้องการไม่ว่าจะเป็น ปล่อย Ransomware, ขโมยข้อมูล, หรือ การเคลื่อนย้ายจากเครื่องของเหยื่อเข้าไปยังองค์กรของพวกเขา เพื่อวัตถุประสงค์อื่นๆ อีกต่อไป"

นักวิจัยตั้งข้อสังเกตว่า "เว็บไซต์ปลอมของผู้ไม่หวังดีนั้นจะมีไฟล์ ms-appinstaller (MSIX) ให้ดาวน์โหลด เมื่อไฟล์ถูกดาวน์โหลด และถูกเรียกใช้ เหยื่อก็จะได้รับแจ้งให้ติดตั้ง Defender Update จาก 'Publisher: Microsoft' หลังจากติดตั้งแอปพลิเคชัน 'Defender Update' จะปรากฏในเมนูเริ่มต้นเหมือนกับแอป Windows อื่นๆ"

แทนที่จะไปอัปเดตจริง ผู้ไม่หวังดีก็จะหลอกให้เหยื่อคลิ้กผ่านทางลัดที่เป็นซอฟต์แวร์อันตรายที่ถูกติดตั้งไป หลังนั้นซอฟต์แวร์ดังกล่าวก็จะไปดาวน์โหลดโทรจันเพื่อมาขโมยข้อมูลของเหยื่อ

คำแนะนำในการลดความเสี่ยง

เหล่านักวิจัยเรียกร้องให้องค์กรต่างๆ ให้ความรู้แก่พนักงานในการอ่านข้อความแจ้งเตือน รวมไปถึงการอนุญาตให้สิทธ์ต่างๆ อย่างถี่ถ้วน และคลิก "อนุญาต" บนไซต์ที่เชื่อถือได้เท่านั้น นอกจากนี้พวกเขายังแนะนำให้ปิดการใช้งานการแจ้งเตือนบนหน้าเว็บเพื่อลดความเสี่ยง

"ในปัจจุบันกลโกงต่างๆ นั้นทำได้แนบเนียน และน่าเชื่อถือ ดังนั้นสิ่งที่จะดีกว่าการ Block ที่รวดเร็วคือการอ่าน และทำความเข้าใจอย่างช้าๆ ก่อนที่จะอนุญาตอะไรไป" Schmugar กล่าว และ เขาแนะนำเพิ่มเติมว่า สำหรับการอัปเดตระบบปฏิบัติการ Windows นั้นพนักงานควรทำการตรวจสอบด้วยตนเอง และอัปเดตผ่านเมนูเริ่มต้น หรือป้อนที่อยู่เว็บที่ถูกต้องด้วยตนเอง แทนที่จะคลิกลิงก์ที่ได้รับมา

ที่มา : bankinfosecurity

Google ออกแจ้งเตือนถึงกลุ่มแฮกเกอร์ชาวเกาหลีเหนือซึ่งได้กำหนดเป้าหมายการโจมตีไปยังนักวิจัยความปลอดภัยทางไซเบอร์ โดยการชักชวนให้เข้าร่วมในการวิจัยช่องโหว่ ซึ่งการโจมตีดังกล่าวได้รับการตรวจพบโดยทีม Google Threat Analysis Group (TAG) ซึ่งเป็นทีมรักษาความปลอดภัยของ Google ที่เชี่ยวชาญในการตามล่ากลุ่มภัยคุกคาม

ตามรายงานของ TAG ระบุว่ากลุ่มแฮกชาวเกาหลีเหนือได้ใช้เทคนิค Social engineering attack ในการโจมตีกลุ่มเป้าหมาย โดยการสร้างโปรไฟล์บนเครือข่าย Social ต่าง ๆ เช่น Twitter, LinkedIn, Telegram, Discord และ Keybase เพื่อติดต่อกับนักวิจัยด้านความปลอดภัยโดยใช้รูปและที่อยู่ของบุคคลปลอม หลังจากการสร้างความน่าเชื่อถือเบื้องต้นกลุ่มเเฮกเกอร์จะเชิญชวนให้นักวิจัยทำการช่วยเหลือในการวิจัยเกี่ยวกับช่องโหว่ ซึ่งภายในโครงการวิจัยช่องโหว่นั้นจะมีโค้ดที่เป็นอันตราย ซึ่งถูกสั่งให้ติดตั้งมัลแวร์บนระบบปฏิบัติการของนักวิจัยที่ตกเป็นเป้าหมาย จากนั้น มัลแวร์ทำหน้าที่เป็นแบ็คดอร์ในการรับคำสั่งระยะไกลจากเซิร์ฟเวอร์ Command and Control (C&C) ของกลุ่มแฮกเกอร์

ตามรายงานเพิ่มเติมระบุว่ามัลแวร์ที่ถูกติดตั้งนี้มีความเชื่อมโยงกับ Lazarus Group ซึ่งเป็นกลุ่มแฮกเกอร์ปฏิบัติการที่ได้รับการสนับสนุนจากรัฐบาลเกาหลีเหนือ นอกจากการแจกจ่ายโค้ดที่เป็นอันตรายแล้วในบางกรณีกลุ่มเเฮกเกอร์ได้ขอให้นักวิจัยด้านความปลอดภัยเยี่ยมชมบล็อกผลงานการวิจัยของกลุ่มคือ blog[.]br0vvnn[.]io ซึ่งภายในบล็อกมีโค้ดที่เป็นอันตรายซึ่งทำให้คอมพิวเตอร์ของนักวิจัยด้านความปลอดภัยติดไวรัสหลังจากเข้าถึงเว็บไซต์

ทั้งนี้ผู้ที่สนใจรายละเอียดของข้อมูลและ IOC ของกลุ่มเเฮกเกอร์ดังกล่าวสามารถดูเพิ่มเติมได้ที่: blog.

CISA ออกประกาศรหัส AA20-301A เมื่อวันที่ 27 ที่ผ่านมาโดยมีเนื้อหาสำคัญถึงการพูดถึงพฤติกรรมและความเคลื่อนไหวของกลุ่มแฮกเกอร์สัญชาติเกาหลีเหนือ Kimsuky ซึ่งมีเป้าหมายการโจมตีอยู่ทั่วโลก

จากรายงานที่เผยแพร่ออกมา กลุ่ม Kimsuky เริ่มการเคลื่อนไหวตั้งแต่ปี 2012 โดยถูกควบคุมและสั่งการจากรัฐบาลเกาหลีเพื่อการสืบหาข่าวกรอง เป้าหมายของการโจมตีโดยส่วนใหญ่เป็นบุคคลและองค์กรในเกาหลีใต้ ญี่ปุ่นและสหรัฐอเมริกา พฤติกรรมของกลุ่มไม่มีความแตกต่างเท่าใดนักหากเทียบกับแฮกเกอร์กลุ่มอื่น โดย Kimsuky จะโจมตีเป้าหมายโดยวิธีการแบบ Social engineering และ Watering hole ก่อนจะเข้าถึงและเคลื่อนย้ายตัวเองในเครือข่ายของเป้าหมาย เมื่อถึงจุดหนึ่ง กลุ่ม Kimsuky จะรวบรวมข้อมูลและลักลอบส่งออกมาทั้งทางอีเมลหรือติดต่อไปยัง C&C

CISA มีการระบุถึงพฤติกรรมเชิงลึกของกลุ่มพร้อมกับ TTP และ IOC ข้อมูลเพื่อช่วยในลดความเสี่ยงที่จะถูกโจมตีเหล่านี้สามารถดูเพิ่มเติมได้จากแหล่งที่มา

ที่มา: us-cert.