เบื้องหลัง LAPSUS$ เจาะบริษัท Okta มาทางเอาท์ซอร์ส เจอไฟล์ Excel เก็บรหัสผ่านในอินทราเน็ต

ข่าวประจำวัน, สถานการณ์ไซเบอร์

Loading

  จากเหตุการณ์แฮ็กเกอร์กลุ่ม LAPSUS$ เจาะเข้าระบบของบริษัท Okta ที่ให้บริการ CRM จนกระทบลูกค้าหลายราย   วันนี้มีเอกสารสอบสวนการเจาะระบบของ Okta หลุดออกมาทางนักวิจัยความปลอดภัยอิสระ Bill Demirkapi โดยเอกสารนี้เป็นของบริษัทความปลอดภัย Mandiant (เพิ่งขายให้กูเกิล) ที่ได้รับการว่าจ้างจาก Okta ให้มาตรวจสอบเหตุการณ์   เส้นทางการแฮ็กระบบเริ่มจากพนักงานของบริษัท Sitel ที่รับงานเอาท์ซอร์สด้านคอลล์เซ็นเตอร์และฝ่ายบริการลูกค้าให้ Okta อีกทอดหนึ่ง โดยแฮ็กเกอร์เข้าบัญชีของพนักงาน Sitel ได้ตั้งแต่เดือนมกราคม 2022 และค่อยๆ ไล่เจาะตามลำดับชั้นมาเรื่อยๆ จนเข้าถึงระบบของ Okta ได้   สิ่งที่น่าสนใจในการเจาะระบบ Sitel คือ แฮ็กเกอร์พบไฟล์ Excel ชื่อ DomAdmins-LastPass.xlsx เก็บรหัสผ่านขององค์กรเก็บอยู่ในอินทราเน็ตของ Sitel จึงสามารถวาง backdoor ไว้ในระบบได้สำเร็จ   LAPSUS$ was able to create backdoor…

เกมจนได้ จับแล้วแก๊งแฮ็กเกอร์ Lapsus$ ที่แท้เป็นนักเรียน Oxford

ข่าวประจำวัน, สถานการณ์ไซเบอร์

Loading

  Lapsus$ คือแก๊งแฮ็กเกอร์ที่พึ่งจะมีชื่อเสียงเมื่อไม่นานมานี้ โดยหนึ่งในการแฮ็กครั้งสำคัญคือแฮก Nvidia และได้เอาข้อมูลภายในของบริษัทออกมาเปิดเผย ซึ่งล่าสุดก็ได้แฮ็ก Microsoft ซึ่งเป็นบริษัทเทคโนโลยีระดับโลก แต่นั่นก็ถือว่าไปกระตุกหนวดเสือเข้าอีกครั้ง . ไม่นานมานี้ตำรวจลอนดอนได้เข้าจับกุมวัยรุ่น 7 คน ที่เชื่อว่ามีส่วนพัวพันกับแก๊งแรนซัมแวร์ Lapsus$ ซึ่งหนึ่งในแก๊งเป็นเด็กอายุ 16 ปีจากอ็อกซ์ฟอร์ด ที่ถูกกล่าวหาว่ามีส่วนร่วมในแก๊ง แต่ตำรวจไม่ได้ให้รายละเอียดมากนักว่าเค้าคือหนึ่งใน 7 คนที่ถูกจับหรือไม่ด้วยวัยที่ยังไม่บรรลุนิติภาวะ . วัยรุ่นคนดังกล่าวถูกกล่าวหา ว่าเขาได้สะสมทรัพย์สมบัติมูลค่า 14 ล้านเหรียญที่ได้จากการแฮกมา ซึ่งเขาใช้ในโลกออนไลน์ว่า “White” หรือ “Breachbase” ซึ่งเขาถูกกลุ่มแฮ็กเกอร์ด้วยกันเองออกมาแฉเพราะไม่ยอมเข้าร่วมเป็นพันธมิตรทางธุรกิจของกลุ่มแฮ็กเกอร์ด้วยกัน . ตำรวจเมืองลอนดอนกล่าวว่า เด็กคนที่ถูกจับกุมมีอายุระหว่าง 16 ถึง 21 ปี ถูกจับกุมเนื่องจากต้องนำพวกเขามาสวบสวน แต่พวกเขาทั้งหมดได้รับการปล่อยตัวหลังการสอบสวน แต่การสอบสวนของเรายังคงดำเนินต่อไปเพื่อหาคนผิดมาลงโทษ . ต้องยอมรับว่า Lapsus$ นั้นเป็นกลุ่มแฮ็กเกอร์ที่พึ่งเกิดใหม่ แต่ได้กลายเป็นหนึ่งในแก๊งอาชญากรไซเบอร์ที่กลุ่มแฮ็กเกอร์พูดถึงและหวาดกลัวมากที่สุด หลังจากที่ประสบความสำเร็จในการเข้าโจมตีบริษัทใหญ่ๆ อย่าง Microsoft และคุยโวเกี่ยวกับเรื่องนี้ในโลกออนไลน์ . ทั้งนี้ “White”…

กูเกิลระบุเกาหลีเหนือเป็นผู้โจมตีผู้ใช้ Chrome ด้วยช่องโหว่ Zero-Day ปลอมตัวเป็นเว็บสมัครงาน เว็บข่าวคริปโต

ข่าวประจำวัน, สถานการณ์ไซเบอร์

Loading

  ทีมงาน Threat Analysis Group (TAG) ของกูเกิลรายงานถึงกลุ่มแฮกเกอร์ที่ระบุว่า มาจากรัฐบาลเกาหลีเหนือโจมตีทั้งสื่อมวลชน , กลุ่มคนทำงานไอที , ฟินเทค , และเงินคริปโต โดยอาศัยช่องโหว่ CVE-2022-0609 ที่โจมตีก่อนจะมีข้อมูลเปิดเผยนานกว่าหนึ่งเดือน ปฎิบัติการแยกเป็นสองกลุ่ม กลุ่มแรกคือ Operation Dream Job พยายามล่อคนอย่างน้อย 250 คน ให้เข้าไปดูประกาศรับสมัครงาน บนโดเมนที่ปลอมตัวเป็นเว็บรับสมัครงานของจริง เมื่อคลิกลิงก์แล้วบนเว็บจะมี iframe ที่พยายามเจาะเบราว์เซอร์ผู้ใช้ กลุ่มที่สองคือ Operation AppleJesus ล่อคนอย่างน้อย 85 คนให้เข้าไปอ่านข่าวเงินคริปโตหรือข่าวฟินเทค ทั้งสองกลุ่มใช้เครือข่ายในการปล่อยมัลแวร์แยกกัน หน้า iframe สำหรับเจาะเบราว์เซอร์จะสำรวจข้อมูลเบราว์เซอร์ว่าเป็นเวอร์ชั่นที่ถูกต้องหรือไม่ หากถูกต้องก็จะดาวน์โหลดจาวาสคริปต์มาเพิ่มเพื่อเจาะทะลุ sandbox ของเบราว์เซอร์ออกมารันโค้ดในเครื่องของเหยื่อ ทางทีม TAG ไม่สามารถเก็บตัวอย่างโค้ดที่มารันในเครื่องของเหยื่อได้ทัน เหลือแต่โค้ดเบื้องต้นหลังเจาะทะลุ sandbox เท่านั้น TAG พบว่ากลุ่มแฮกเกอร์ระวังอย่างมากไม่ให้เครื่องมือเจาะของตัวเองหลุดออกไป ตัวเซิร์ฟเวอร์ปล่อยมัลแวร์จะทำงานตามช่วงเวลาที่คาดว่าเหยื่อจะคลิกลิงก์เท่านั้น ลิงก์บางส่วนจะคลิกได้ครั้งเดียว ตัวเจาะระบบมีการเข้ารหัส และหากขั้นตอนไหนผิดพลาดก็จะยกเลิกกระบวนการ…

สหรัฐฯ และอังกฤษ แจ้งข้อกล่าวหาเจ้าหน้าที่รัสเซียในข้อหาการแฮ็กป่วนโลก

ข่าวประจำวัน, สถานการณ์ไซเบอร์

Loading

  กระทรวงยุติธรรมของสหรัฐอเมริกาและกระทรวงการต่างประเทศของสหราชอาณาจักรแถลงว่า ได้แจ้งข้อกล่าวหาต่อเจ้าหน้าที่ของรัสเซีย 4 คน และเหล่าแฮ็กเกอร์ที่มีส่วนเกี่ยวข้องกับหน่วยข่าวกรองของรัสเซียด้วยข้อหาการแฮ็กโครงสร้างพื้นฐานสำคัญทั่วโลก โดยเฉพาะในองค์กรด้านพลังงานและการบิน ในช่วงระหว่างปี 2555 จนถึง 2561 ตามข้อกล่าวหาดังกล่าว แฮ็กเกอร์ของรัสเซียได้โจมตีคอมพิวเตอร์หลายพันเครื่องใน 135 ประเทศ หนึ่งในนั้นคือโรงไฟฟ้าพลังงานนิวเคลียร์ในรัฐแคนซัสของสหรัฐฯ และโรงผลิตปิโตรเคมีของซาอุดีอาระเบีย จนสร้างความเสียหายที่ปั่นป่วนไปทั่วโลก นอกจากนี้ จำเลยยังถูกกล่าวหาว่า ได้ติดตั้งมัลแวร์ยังกว่า 17,000 อุปกรณ์ทั่วโลก ที่มุ่งเน้นโจมตีบริษัทน้ำมันและก๊าซธรรมชาติ โรงผลิตไฟฟ้า และแหล่งผลิตพลังงานสำคัญ ๆ อีกทั้งยังมีการผสมผสานการโจมตีด้วยวิธีการสเปียร์ฟิชชิ่งหรือการฟิชชิ่งโดยเน้นเป้าหมาย ทั้งต่อหน่วยงานภาครัฐและบริษัทเอกชนทั่วโลก ทางสหราชอาณาจักรระบุว่า ปฏิบัติการโจมตีโครงสร้างพื้นฐานด้านพลังงานทั่วโลกของรัสเซียเกี่ยวพันโดยตรงกับ ‘สงครามผิดกฎหมายที่ปราศจากการยั่วยุในยูเครน’ ของวลาดีมีร์ ปูติน (Vladimir Putin) ประธานาธิบดีของรัสเซีย อย่างไรก็ดี จำเลยทั้ง 4 คนไม่ได้อยู่ในการควบคุมตัวของทั้งสหรัฐฯ และสหราชอาณาจักร แต่ก็มีการประกาศมอบเงินรางวัลให้แก่ผู้ที่แจ้งเบาะแสที่อยู่ของบุคคลเหล่านี้ ที่มา AP News     ที่มา : beartai / วันที่เผยแพร่ 26 มี.ค.65…

กลุ่มแฮ็กเกอร์ Lapsus$ อ้างสามารถขโมยข้อมูลของ Microsoft และ Okta ออกมาได้

ข่าวประจำวัน, สถานการณ์ไซเบอร์

Loading

credit : BleepingComputer   เมื่อไม่กี่วันก่อนกลุ่มแฮ็กเกอร์ Lapsus$ ได้แผลงฤทธิ์กับบริษัทยักษ์ใหญ่อีกแล้ว คราวนี้เป็นคิวของ Microsoft และ Okta โดยฝ่ายแรกนั้นออกมายืนยันแล้วว่าถูกแทรกแซงจริง   ในกรณีของ Okta ทีมงาน Lapsus$ ได้โพสต์โชว์เหนือว่าตนนั้นเข้าถึงข้อมูลลูกค้าของ Okta ได้ ซึ่งเป็นรูปหน้าจอที่ทำเหมือนว่าตนสามารถเข้าไปเปลี่ยนรหัสผ่านของผู้ใช้งานได้ แต่เมื่อทีมงาน Okta สืบแล้วพบว่าเป็นรูปเก่าที่ช่วงมกราคมที่ผ่านมา มีเครื่องทีมงานของทีมงานดูแลลูกค้าถูกแทรกแซง แต่ก็ไม่มีสัญญาณอื่นที่ชี้ว่าคนร้ายจะมีอะไรมากกว่านี้เหมือนที่คุย   [Update] ล่าสุด Okta ออกมายอมรับแล้วว่ามีข้อมูลลูกค้าถูกเข้าถึงได้จริง https://www.techtalkthai.com/okta-admits-attack-impact-on-customer-data/?   แต่ในมุมของ Microsoft ทีมงาน Lapsus$ ได้เผยแพร่ข้อมูลที่อ้างว่าเป็นโปรเจ็คภายในของ Microsoft Bing, Cortana และ Bing Maps โดยคุยว่าสามารถเข้าไปถึงเซิร์ฟเวอร์ DevOps ทั้งนี้จากการสืบสวนพบว่าเป็นเรื่องจริงโดยคนร้ายสามารถแทรกแซงเครื่องพนักงานคนในรายหนึ่งได้ หลังจากนั้น Microsoft ก็จัดการป้องกันพร้อมทั้งยังยืนยันว่าไม่กระทบถึงข้อมูลลูกค้า และตนก็ไม่ได้อ่อนไหวจากการที่ซอร์สโค้ดถูกเปิดเผยแล้วจะเป็นภัยใหญ่อะไ   ทั้งนี้ Microsoft ได้จัดทำข้อมูลพฤติกรรมของคนร้าย…

iOS ก็โดนด้วย พบการโจมตีใหม่ CryptoRom ใช้ช่องโหว่ทดสอบแอป

ข่าวประจำวัน, สถานการณ์ไซเบอร์

Loading

  บริษัทซอฟต์แวร์รักษาความปลอดภัย Sophos ออกรายงานแคมเปญการหลอกลวงที่มีชื่อว่า CryptoRom ใช้ iOS TestFlight ในทางที่ผิดเพื่อหลอกให้ผู้ใช้ติดตั้งมัลแวร์   CryptoRom ถูกใช้ครั้งแรกในเอเชีย แต่ได้โจมตีเหยื่อในสหรัฐอเมริกาและยุโรปตั้งแต่เดือนตุลาคม 2564 และคาดว่าจนถึงตอนนี้ น่าจะมีผู้เสียมูลค่ารวมมากกว่าหลายล้านเหรียญ   ตามข้อมูลที่ Sophos ระบุไว้ TestFlight ของ iOS มีไว้สำหรับใช้ทดสอบแอปเวอร์ชั่นเบต้าก่อนจะส่งไปขึ้นบน Appstore แต่แฮกเกอร์ได้ใส่มัลแวร์เข้าไปกับแอปที่แสร้งพัฒนาขึ้นแล้วส่งให้กับกลุ่มคนที่มีสิทธิ์ได้ทดลองแอปเวอร์ชั่นเบต้า โดยอาจมีสูงสุดถึง 1 หมื่นคน   ซึ่งการทดสอบแอปเนี่ยแหละ ทำให้ไม่ต้องผ่านการตรวจสอบความปลอดภัยบน Appstore ซึ่งก็เข้าทางแฮกเกอร์เลย   ในขณะที่บริษัท Sophos กำลังตรวจสอบ ก็ดันไปพบเข้ากับ IP ที่เกี่ยวข้องกับ CryptoRom ซึ่งพบว่ามีการทำ App Store เลียนแบบขึ้นมาลักษณะที่มีเทมเพลจที่คล้ายกัน แต่มีชื่อแอปและไอคอนต่างกัน รวมถึงยังมีแอปเลียนแบบและใช้โลโก้ที่คล้ายกับแอปจริง ซึ่งเดาว่าน่าจะถูกใช้เพื่อหลอกนักทดสอบแอปครับ   ทั้งนี้ ผู้ใช้ iOS ที่ไม่ได้ใช้งานแอปรุ่นเบต้าก็ไม่ต้องกังวลไป เพราะช่องโหว่นี้เกิดขึ้นเฉพาะกับนักทดสอบแอปที่ใช้รุ่นเบต้า…