Cyble Honeypot ตรวจพบการโจมตีผ่านปลั๊กอิน WordPress และ Banking Trojan ตัวใหม่

ในสัปดาห์ที่ผ่านมา Threat Hunting ของ Cyble ได้พบหลายกรณีที่มีความพยายามในการใช้ช่องโหว่, การโจมตีด้วยมัลแวร์, การหลอกลวงทางการเงิน และการโจมตีแบบ brute-force ผ่านเครือข่าย Honeypot sensors ของพวกเขา

ในระหว่างวันที่ 18-24 กันยายน นักวิจัยจาก Cyble ได้พบการโจมตีโดยใช้ช่องโหว่จำนวน 5 รายการ ซึ่งรวมถึงการโจมตีปลั๊กอินตัวใหม่ใน WordPress ที่มุ่งเป้าไปที่อุตสาหกรรมธนาคาร, การตรวจพบอีเมลสแปมใหม่กว่า 400 รายการ และการโจมตีแบบ brute-force หลายพันครั้ง

การโจมตีโดยใช้ช่องโหว่

Cyble sensors ตรวจพบช่องโหว่ใหม่ 5 รายการที่กำลังถูกโจมตีอย่างต่อเนื่อง นอกเหนือจากช่องโหว่เก่าจำนวนหนึ่งที่ยังคงถูกโจมตีอยู่

รายการที่ 1 : SQL Injection Attack

CVE-2024-27956 เป็นช่องโหว่ความรุนแรงระดับ 9.9 ที่เกิดจากการแก้ไข Special Elements ที่ไม่เหมาะสมในการใช้คำสั่ง SQL ที่พบในปลั๊กอิน ValvePress Automatic ของ WordPress โดยช่องโหว่นี้ทำให้เกิดการโจมตีแบบ SQL Injection ซึ่งช่องโหว่นี้ส่งผลกระทบกับเวอร์ชันของปลั๊กอิน Automatic ตั้งแต่เวอร์ชัน n/a ไปจนถึงเวอร์ชัน 3.92.0

รายการที่ 2 : PHP CGI Argument Injection Vulnerability

CVE-2024-4577 เป็นช่องโหว่ความรุนแรงระดับ 9.8 ใน PHP ที่ส่งผลกระทบกับการตั้งค่า CGI และถูกโจมตีมาตั้งแต่มีการประกาศในเดือนมิถุนายน ช่องโหว่นี้ทำให้ผู้ไม่หวังดีสามารถรันคำสั่งที่กำหนดเองผ่าน URL parameters ที่ถูกสร้างขึ้นเป็นพิเศษ ช่องโหว่นี้ส่งผลกระทบกับ PHP เวอร์ชัน 8.1.* ก่อน 8.1.29, 8.2.* ก่อน 8.2.20, และ 8.3.* ก่อน 8.3.8 เมื่อใช้ Apache และ PHP-CGI บนระบบ Windows

รายการที่ 3 : GeoServer Vulnerability Allows Remote Code Execution via Unsafe XPath Evaluation

CVE-2024-36401 เป็นช่องโหว่ความรุนแรงระดับ 9.8 ในการรันโค้ดที่เป็นอันตรายจากระยะไกล (RCE) ใน GeoServer เวอร์ชันก่อนหน้า 2.23.6, 2.24.4 และ 2.25.2 ช่องโหว่นี้เกิดจากการประมวลผล OGC request parameters (Open Geospatial Consortium) ในรูปแบบ XPath ที่ไม่ปลอดภัย ทำให้ผู้ใช้ที่ไม่ผ่านการยืนยันตัวตน สามารถรันโค้ดที่เป็นอันตรายได้ ช่องโหว่นี้ส่งผลกระทบกับ GeoServer ทั้งหมด เนื่องจากการจัดการประเภทฟีเจอร์ที่ไม่เหมาะสม ปัจจุบันมีการอัปเดตแพตช์เพื่อแก้ไขปัญหานี้แล้ว และการแก้ไขปัญหาชั่วคราวคือการลบไลบรารี gt-complex ที่มีช่องโหว่ ซึ่งอาจส่งผลกระทบกับฟังก์ชันการทำงานของระบบได้

รายการที่ 4 : Network Command Injection Vulnerability Without Authentication

CVE-2024-7029 เป็นช่องโหว่ความรุนแรงระดับ 8.7 ใน IP camera ของ AVTECH ที่ทำให้ผู้โจมตีจากภายนอกสามารถ inject และรันคำสั่งผ่านเครือข่ายโดยไม่ต้องผ่านการยืนยันตัวตน ช่องโหว่นี้ถือว่าร้ายแรง เนื่องจากทำให้สามารถเข้าควบคุมระบบที่ได้รับผลกระทบได้โดยไม่ได้รับอนุญาต

รายการที่ 5: Network Command Injection Vulnerability Without Authentication

ปลั๊กอิน porte_plume ที่ใช้ใน SPIP ก่อนเวอร์ชัน 4.30-alpha2, 4.2.13, และ 4.1.16 มีช่องโหว่ในการรันโค้ดที่เป็นอันตราย (arbitrary code execution) ที่มีความรุนแรงระดับ 9.8 (CVE-2024-7954) ผู้โจมตีจากภายนอกที่ไม่ต้องผ่านการยืนยันตัวตน สามารถรัน PHP ที่เป็นอันตรายในฐานะผู้ใช้ SPIP ได้โดยการส่ง HTTP request ที่ถูกสร้างขึ้นเป็นพิเศษ

Octo2: มัลแวร์ตัวใหม่ที่มุ่งเป้าหมายการโจมตีไปที่ธนาคารในยุโรป

Octo2 เป็น mobile banking trojan ตัวใหม่ซึ่งถูกพบเมื่อไม่นานมานี้ในการโจมตีธนาคารในยุโรป และคาดว่าจะมีการแพร่กระจายไปในภูมิภาคอื่น ๆ ทั่วโลกในอนาคต

Octo (หรือที่เรียกว่า ExobotCompact) ได้กลายเป็นหนึ่งในกลุ่มมัลแวร์ที่โดดเด่นที่สุดในแวดวงภัยคุกคามบนมือถือ โดยมีจำนวนตัวอย่างที่ไม่ซ้ำกันถูกตรวจพบในปีนี้ เมื่อไม่นานมานี้ ได้มีการค้นพบเวอร์ชันใหม่ชื่อ “Octo2” ซึ่งสร้างขึ้นโดยผู้ไม่หวังดีกลุ่มเดิม ซึ่งแสดงให้เห็นถึงการเปลี่ยนแปลงในกลยุทธ และเทคนิคของผู้ไม่หวังดี เวอร์ชันที่อัปเกรดนี้มีความสามารถในการดำเนินการจากระยะไกลที่ดีขึ้น โดยเฉพาะในการโจมตีในรูปแบบ Device Takeover ทำให้การดำเนินการมีความเสถียรมากขึ้น

แคมเปญใหม่ของ Octo2 ได้เริ่มมีการพบการโจมตีที่มุ่งเป้าไปยังหลายประเทศในยุโรป นอกจากนี้ Octo2 ยังใช้เทคนิคการหลีกเลี่ยงการตรวจจับขั้นสูง รวมถึงการนำเสนออัลกอริธึมการสร้างโดเมน (Domain Generation Algorithm - DGA) ซึ่งช่วยเพิ่มความสามารถในการแฝงตัวในระบบรักษาความปลอดภัยได้ดียิ่งขึ้น

Hashes และ IoCs ที่รู้จักผ่าน Threat Fabric

Cyble ได้ตรวจพบอีเมลสแปมใหม่จำนวน 410 รายการที่ถูกใช้ในแคมเปญ

การตรวจพบพอร์ตที่ถูกโจมตีด้วยวิธีการแบบ Brute-Force

จากการตรวจพบการโจมตีแบบ Brute-Force หลายพันครั้งโดย Cyble พอร์ตต่อไปนี้ถูกพบมากที่สุด โดยการกระจายของพอร์ตที่ถูกโจมตีตาม 5 ประเทศที่พบมากที่สุด

สหรัฐอเมริกา: Port 22 (40%), Port 3389 (32%), Port 445 (21%), Port 23 (4%), และ Port 80 (3%)
ตุรกีมุ่ง: Port 3389 (100%)
รัสเซีย: Port 5900 และ Port 445
จีน: Port 5900 และ Port 445
บัลแกเรีย: Port 5900 และ Port 445

นักวิเคราะห์ด้านความปลอดภัยแนะนำให้เพิ่มการบล็อกการเข้าถึงจากภายนอกในระบบรักษาความปลอดภัยสำหรับพอร์ตที่กำลังถูกใช้ในการโจมตี (เช่น 22, 3389, 443, 445, 5900, และ 3306)

คำแนะนำ

ดำเนินการ block Hashes URLs และข้อมูลอีเมลในระบบรักษาความปลอดภัย
อัปเดตแพตช์ช่องโหว่ทั้งหมด และตรวจสอบการแจ้งเตือน Suricata ที่สำคัญในเครือข่ายภายในอย่างสม่ำเสมอ
ตรวจสอบ ASN และ IP ของผู้โจมตีอย่างต่อเนื่อง
Block IP ที่ใช้ในการโจมตีแบบ Brute Force และพอร์ตที่ถูกโจมตีตามที่ระบุไว้
รีเซ็ตชื่อผู้ใช้ และรหัสผ่านเริ่มต้นทันทีเพื่อลดความเสี่ยงจากการโจมตีแบบ brute-force และบังคับให้มีการเปลี่ยนแปลงรหัสผ่านเป็นระยะ
สำหรับเซิร์ฟเวอร์ ควรตั้งรหัสผ่านที่รัดกุม และยากต่อการคาดเดา

ที่มา : CYBLE

 

มัลแวร์ Banking Trojan ตัวใหม่ชื่อ Antidot ปลอมเป็น Google Play Update ปลอม

Antidot เป็น Banking Trojan บน Android ที่กำลังปลอมตัวเป็นแอปพลิเคชัน "Google Play Update" โดยมุ่งเป้าไปที่ผู้ใช้ Android ในหลายภูมิภาค และใช้เทคนิค VNC (Virtual Network Computing) และ Overlay เพื่อเก็บรวบรวมข้อมูลที่สำคัญของผู้ใช้

ในเดือนเมษายนที่ผ่านมา ทาง Cyble Research and Intelligence Labs (CRIL) ได้เผยแพร่การวิเคราะห์รายละเอียดเกี่ยวกับ Android Banking Trojan ตัวใหม่ที่ชื่อ "Brokewell" ซึ่งถูกสร้างขึ้นโดยนักพัฒนามัลแวร์ชื่อ "Baron Samedit" ซึ่งโทรจันนี้มีความสามารในการเข้าควบคุมอุปกรณ์ได้อย่างสมบูรณ์

เมื่อไม่นานมานี้ ได้พบ Android Banking Trojan ตัวใหม่อีกหนึ่งตัวที่ชื่อว่า "Antidot" ซึ่งถูกพบครั้งแรกในวันที่ 6 May 2024 (a6f6e6fb44626f8e609b3ccb6cbf73318baf01d08ef84720706b205f2864b116) โดยโทรจันตัวนี้ใช้การโจมตีแบบ Overlay เป็นวิธีการหลัก เพื่อเก็บรวบรวมข้อมูลที่สำคัญของผู้ใช้

มัลแวร์ตัวนี้มีคุณสมบัติหลายอย่าง เช่น

VNC : การควบคุมอุปกรณ์จากระยะไกล
Keylogging : การบันทึกการกดแป้นพิมพ์
Overlay attack : การสร้างหน้าต่างปลอมซ้อนทับเพื่อขโมยข้อมูล
Screen recording : การบันทึกหน้าจอ
Call forwarding : การส่งต่อสายโทรศัพท์
Collecting contacts and SMSs : การเก็บรวบรวมรายชื่อผู้ติดต่อ และข้อความ SMS
Performing USSD requests : การส่งคำสั่ง USSD
Locking and unlocking the device : การล็อก และปลดล็อกอุปกรณ์

Antidot ได้ชื่อนี้เนื่องจากการพบสตริง “Antidot” ภายในโค้ดต้นฉบับ ซึ่งใช้สำหรับการบันทึกข้อมูลข้ามคลาสต่าง ๆ มัลแวร์นี้ใช้การเข้ารหัสแบบกำหนดเองเพื่อทำให้สตริงต่าง ๆ ไม่สามารถอ่านได้ รวมถึงการตั้งชื่อคลาสให้เป็นอักษรที่ไม่สามารถเข้าใจได้ ทำให้การวิเคราะห์มีความยากมากขึ้น

โดยมัลแวร์จะปลอมแปลงเป็นแอปพลิเคชัน "Google Play update" โดยแสดงหน้าการอัปเดต Google Play ปลอมเมื่อทำการติดตั้ง หน้าการอัปเดตปลอมนี้ถูกสร้างขึ้นในหลายภาษา เช่น ภาษาเยอรมัน, ฝรั่งเศส, สเปน, รัสเซีย, โปรตุเกส , โรมาเนีย, และอังกฤษ ซึ่งมุ่งเป้าไปที่ผู้ใช้ Android ในภูมิภาคที่ใช้ภาษาต่าง ๆ เหล่านี้

รายละเอียดทางเทคนิค

ตามที่ได้ระบุไว้ก่อนหน้านี้ หลังจากที่ติดตั้งมัลแวร์แล้ว มัลแวร์จะแสดงหน้าอัปเดตปลอมที่มีปุ่ม "ดำเนินการต่อ" ซึ่งจะเปลี่ยนเส้นทางผู้ใช้ไปยังการตั้งค่าการเข้าถึง (Accessibility settings) เช่นเดียวกันกับ Banking Trojans ตัวอื่น ๆ

Command and Control server communication

ในเบื้องหลัง มัลแวร์จะเริ่มการสื่อสารกับ C2 Server "hxxp://46[.]228.205.159:5055/" นอกจากการเชื่อมต่อด้วย HTTP แล้ว Antidot ยังเริ่มการสื่อสารผ่าน WebSocket โดยใช้ไลบรารี socket.

Android Trojan ตัวใหม่ ‘SoumniBot’ หลบหลีกการตรวจจับด้วยเทคนิคที่ชาญฉลาด

พบ Android Trojan ตัวใหม่ชื่อ SoumniBot ในกลุ่มผู้ใช้ที่ตกเป็นเป้าหมายในเกาหลีใต้ โดยการใช้จุดอ่อนในขั้นตอนการแยก และวิเคราะห์ไฟล์ Manifest ในระบบปฏิบัติการ Android (more…)

Group-IB ค้นพบ iOS Trojan ตัวแรกที่รวบรวมข้อมูลการจดจำใบหน้า ซึ่งใช้สำหรับการเข้าถึงบัญชีธนาคาร

ในเดือนตุลาคม 2023 นักวิจัยจาก Group-IB ได้เผยแพร่รายงานเกี่ยวกับโทรจันบน Android ที่เป็นที่ไม่รู้จักมาก่อน Link ซึ่งมุ่งเป้าโจมตีไปที่ธนาคาร และสถาบันการเงินมากกว่า 50 แห่งในเวียดนาม และตั้งชื่อว่า GoldDigger โดยหลังจากการค้นพบโทรจันดังกล่าวในครั้งแรก นักวิจัยได้ทำการติดตามภัยคุกคามดังกล่าวอย่างต่อเนื่อง และพบกลุ่ม Banking Trojans ที่มุ่งเป้าไปที่ภูมิภาคเอเชียแปซิฟิก โดยมุ่งเน้นเป็นพิเศษไปที่สองประเทศคือไทยกับเวียดนาม แต่ก็มีสัญญาณใหม่ ๆ ที่แสดงให้เห็นว่าพื้นที่การโจมตีอาจขยายออกไป ซึ่ง Group-IB มีการส่งการแจ้งเตือนไปยังหน่วยงานที่เป็นเป้าหมายในการโจมตีแล้ว (more…)

Microsoft เผย กลุ่ม Lazarus โจมตี CyberLink ด้วยการโจมตีแบบ supply chain attack

Microsoft ระบุว่ากลุ่ม Lazarus ** กลุ่มแฮ็กเกอร์ชาวเกาหลีเหนือได้โจมตีบริษัท CyberLink บริษัทซอฟต์แวร์ของไต้หวัน และติดตั้งโทรจันเพื่อใช้ในการโจมตีแบบ supply chain attack กับเหยื่อรายใหญ่ ๆ ทั่วโลก จากข้อมูลของ Microsoft Threat Intelligence พฤติกรรมต้องสงสัยเกี่ยวข้องกับไฟล์ติดตั้งของ CyberLink ที่ถูกเปลี่ยนแปลงแก้ไข ซึ่งเกิดขึ้นตั้งแต่วันที่ 20 ตุลาคม 2023

(more…)

Tick APT โจมตีบริษัทที่ให้บริการซอฟแวร์ Data-Loss Prevention(DLP) ทำให้สามารถโจมตีต่อไปยังลูกค้าของบริษัทได้

กลุ่มผู้โจมตีทางไซเบอร์ที่รู้จักกันในชื่อ Tick ทำการโจมตีไปยังบริษัทที่ให้บริการซอฟแวร์ Data-Loss Prevention(DLP)  ในเอเชียตะวันออก ที่ให้บริการกับหน่วยงานรัฐบาล และกองทัพ

นักวิจัยจาก ESET Facundo Muñoz ระบุว่า "ผู้โจมตีทำการโจมตีเซิร์ฟเวอร์สำหรับอัปเดตภายในของบริษัท DLP เพื่อส่งมัลแวร์เข้าไปภายในเครื่อข่ายของนักพัฒนา software และติดตั้ง trojan บนตัวติดตั้งของระบบ DLP ของทางบริษัท โดยอาจมีเป้าหมายเพื่อติดตั้งมัลแวร์ลงบนระบบของลูกค้าของบริษัทดังกล่าว" (more…)

PlugX Trojan ปลอมตัวเป็นเครื่องมือตรวจสอบข้อผิดพลาดของ Windows ในการโจมตีล่าสุด

PlugX Trojan ถูกพบว่าปลอมตัวเป็นเครื่องมือโอเพนซอร์สที่ใช้ตรวจสอบข้อผิดพลาดของ Windows ที่เรียกว่า x64dbg เพื่อหลบเลี่ยงการตรวจจับด้านความปลอดภัย และเข้าควบคุมระบบเป้าหมาย

โดย Buddy Tancio, Jed Valderama และ Catherine Loveria นักวิจัย Trend Micro ระบุในรายงานเมื่อสัปดาห์ที่ผ่านมาว่า "ไฟล์ดังกล่าวเป็นเครื่องมือโอเพนซอร์สที่ใช้สำหรับตรวจสอบข้อผิดพลาดบน Windows ในการตรวจสอบ kernel-mode, user-mode code, crash dumps, และ CPU registers"

PlugX หรือที่รู้จักกันในอีกชื่อว่า Korplug เป็น post-exploitation โมดูลที่มีความสามารถหลากหลาย เช่น การขโมยข้อมูล และความสามารถในการควบคุมเครื่องคอมพิวเตอร์ที่ถูกโจมตี

PlugX ถูกรายงานเป็นครั้งแรกในปี 2012 แต่ตัวอย่างตัวแรกของมัลแวร์ ถูกพบตั้งแต่เมื่อเดือนกุมภาพันธ์ 2008 จากรายงานของ Trend Micro ซึ่งในระหว่างนั้น PlugX ได้ถูกใช้โดยกลุ่มผู้โจมตีที่มีความเกี่ยวข้องกับรัฐบาลจีน รวมถึงกลุ่มอาชญากรรมทางด้านไซเบอร์ต่าง ๆ

หนึ่งในวิธีการหลักที่ PlugX ใช้คือ DLL side-loading เพื่อโหลด DLL ที่เป็นอันตรายจากซอฟแวร์ที่มี digital signed อย่างถูกต้อง ซึ่งในกรณีนี้คือเครื่องมือสำหรับ Debugging ที่ชื่อ x64dbg (x32dbg.

WhiskerSpy Backdoor แพร่กระจายผ่านตัวติดตั้ง trojan video codec

นักวิจัยจาก Trend Micro บริษัทรักษาความปลอดภัยทางไซเบอร์ พบ Backdoor ตัวใหม่ ในชื่อ WhiskerSpy ที่ถูกเผยแพร่โดยกลุ่ม Hacker ที่มีชื่อว่า Earth Kitsune ซึ่งมุ่งเป้าหมายการโจมตีไปยังกลุ่มผู้สนับสนุนประเทศเกาหลีเหนือ โดย Trend Micro ได้เริ่มติดตามการดำเนินกิจกรรมของกลุ่ม Hacker ดังกล่าวมาตั้งแต่ปี 2019 (more…)

Hacker ใช้ Google Ads เพื่อแพร่กระจาย Malware FatalRAT โดยการปลอมเป็น Apps ยอดนิยม [EndUser]

กลุ่มผู้ใช้งานที่ใช้ภาษาจีนเป็นหลักในเอเชียตะวันออกเฉียงใต้ และเอเชียตะวันออกกำลังตกเป็นเป้าหมายของแคมเปญ Google Ads เพื่อหลอกลวงให้ดาวน์โหลด trojans ที่ใช้ในการเข้าถึงจากระยะไกล เช่น FatalRAT ไปยังเครื่องเหยื่อ

ผู้โจมตีจะใช้การซื้อโฆษณา เพื่อให้แสดงในผลของการค้นหาบน Google เมื่อผู้ใช้พยายามดาวน์โหลด Application ที่เป็นที่นิยม จะถูกนำไปยังหน้าเว็บไซต์สำหรับดาวน์โหลดโปรแกรมซึ่งถูกฝัง Trojan เอาไว้ โดย ESET ระบุในรายงานว่าปัจจุบันโฆษณาดังกล่าวได้ถูกลบออกไปแล้ว

Google Chrome ก็เป็นหนึ่งใน Application ที่มีหน้าเว็บไซต์สำหรับดาวน์โหลดปลอมขึ้นมา รวมไปถึง Mozilla Firefox, Telegram, WhatsApp, LINE, Signal, Skype, Electrum, Sogou Pinyin Method, Youdao และ WPS Office

โดย ESET ระบุในรายงานที่พบในช่วงระหว่างเดือนสิงหาคม 2565 ถึงมกราคม 2566 ว่า "เว็บไซต์ และโปรแกรมที่ดาวน์โหลดจากเว็บไซต์ส่วนใหญ่เป็นภาษาจีน และในบางกรณีก็มีซอฟต์แวร์เวอร์ชั่นภาษาจีนที่ไม่สามารถใช้งานได้ในจีนด้วยเช่นกัน"

โดยเหยื่อส่วนใหญ่จะอาศัยอยู่ที่ ไต้หวัน จีน ฮ่องกง มาเลเซีย ญี่ปุ่น ฟิลิปปินส์ ไทย สิงคโปร์ อินโดนีเซีย และเมียนมาร์

สิ่งที่สำคัญที่สุดในการโจมตีคือการสร้างเว็บไซต์ที่มีโดเมนลักษณะคล้ายกัน หรือที่เรียกว่า typosquatted domain เพื่อเผยแพร่ซอฟต์แวร์ที่เป็นอันตราย ซึ่งบางกรณีถึงแม้จะมีไฟล์ติดตั้งของซอฟต์แวร์ที่ถูกต้อง แต่ก็ยังมีการแอบติดตั้ง FatalRAT ด้วยเช่นเดียวกัน

โดยผู้โจมตีจะสามารถควบคุมเครื่องของเหยื่อได้อย่างสมบูรณ์ รวมถึงสั่งรันคำสั่งที่เป็นอันตราย, เก็บข้อมูลจาก web browsers และตรวจจับการพิมพ์บน Keyboard

นักวิจัยระบุว่า "Hacker ใช้ความพยายามในการตั้งชื่อโดเมนให้มีความคล้ายกับชื่อที่เป็นทางการมากที่สุดเท่าที่จะทำได้ และ website ปลอมส่วนมากจะมีหน้าตาเหมือนกันกับ website ที่ถูกต้อง"

การค้นพบนี้เกิดขึ้นภายในเวลาไม่ถึงหนึ่งปีหลังจากที่ Trend Micro เปิดเผยแคมเปญ Purple Fox ที่ใช้ประโยชน์จากซอฟต์แวร์ที่เลียนแบบ Adobe, Google Chrome, Telegram และ WhatsApp เพื่อเผยแพร่ FatalRAT

ที่มา : thehackernews

Code-Signing Certificates สำหรับ GitHub Desktop version และ Atom รั่วไหล

เมื่อวันจันทร์ที่ผ่านมา (30 ธ.ค. 2565) กลุ่มผู้โจมตีที่ยังไม่ทราบที่มาได้ทำการขโมย Code-Signing Certificates ที่เข้ารหัสไว้บางเวอร์ชัน บนที่เก็บข้อมูลที่เลิกใช้แล้วของ GitHub Desktop for Mac และ Atom app ออกไปได้ ซึ่งทาง Microsoft ยืนยันว่าข้อมูลที่ได้ออกไปไม่มีข้อมูลของลูกค้า และ Credentials ที่ถูกเข้าถึงได้ถูกเพิกถอนออกไปแล้ว (more…)