แฮ็กเกอร์เกาหลีเหนือ 2 กลุ่มแฮ็กบริษัทขีปนาวุธรัสเซีย

ข่าวประจำวัน, สถานการณ์ไซเบอร์

Loading

  นักวิจัยจาก SentinelOne ชี้แฮ็กเกอร์ 2 กลุ่มที่รัฐบาลเกาหลีเหนือหนุนหลังเข้าแฮ็ก NPO Mash บริษัทวิศวกรรมขีปนาวุธจากรัสเซียตั้งแต่เมื่อปีที่แล้ว   NPO Mash หรือชื่อเต็มคือ NPO Mashinostroyeniya ซึ่งตั้งอยู่ในเมืองรอยตอฟ ใกล้กับกรุงมอสโกถูกกลุ่มแฮ็กเกอร์ที่ชื่อว่า ScarCruft และ Lazarus แฮ็กมาตั้งแต่อย่างน้อยในปี 2021   บริษัทแห่งนี้เป็นผู้นำในด้านการผลิตขีปนาวุธและยานอวกาศให้แก่กองทัพรัสเซียและครอบครองข้อมูลละเอียดอ่อนขั้นสูงเกี่ยวกับเทคโนโลยีขีปนาวุธ   SentinelOne พบข้อมูลการแฮ็กนี้เมื่อเจอเข้ากับชุดข้อมูลการสื่อสารภายในที่เจ้าหน้าที่ไอทีของ NPO Mash ทำหลุดออกมาระหว่างการตรวจสอบการแฮ็กโดยเกาหลีเหนือ ซึ่ง NPO Mash พบการโจมตีนี้มาตั้งแต่เดือนพฤษภาคมปีที่แล้ว   การตรวจสอบพบว่า ScarCruft ได้เข้าเจาะเซิร์ฟเวอร์อีเมล Linux ของ NPO Mash ขณะที่ Lazarus แอบฝังแบ็กดอร์หรือทางลัดดิจิทัลที่ชื่อ OpenCarrot ในเครือข่ายภายในของบริษัท   สำหรับ ScarCruft (หรือ APT37) เกี่ยวข้องกับกระทรวงความมั่นคงแห่งรัฐ (MSS) ของเกาหลีเหนือ…

การโจมตีทางไซเบอร์ระงับการให้บริการโรงพยาบาลใน 5 รัฐของสหรัฐฯ

ข่าวประจำวัน, สถานการณ์ไซเบอร์

Loading

  การโจมตีทางไซเบอร์ทำให้ระบบการทำงานของโรงพยาบาลหลายแห่งในหลายรัฐของสหรัฐอเมริกาใช้งานไม่ได้ ทำให้ต้องปิดห้องฉุกเฉิน งดรับรถพยาบาล และย้ายผู้ป่วยไปรักษาที่อื่น   เหตุการณ์นี้เริ่มขึ้นเมื่อวันพฤหัสบดีที่ผ่านมา (3 สิงหาคม) ต่อสถาบันทางการแพทย์ที่ Prospect Medical Holdings ดูแลอยู่ ทำให้โรงพยาบาลในแคลิฟอร์เนีย เท็กซัส คอนเนตทิคัต โรดไอแลนด์ และเพนซิลเวเนีย ได้รับผลกระทบ   ด้าน Prospect Medical Holdings เผยว่าได้ปิดระบบชั่วคราวเพื่อคุ้มครองข้อมูลและได้รับความช่วยเหลือจากองค์กรภายนอกในการตรวจสอบกรณีที่เกิดขึ้น พร้อมทั้งเน้นการดูแลผู้ป่วยเป็นหลัก โดยบริษัทมีทีมในระดับประเทศที่คอยประเมินผลกระทบอยู่   โรงพยาบาล 2 แห่งในคอนเนตทิคัตต้องปิดห้องฉุกเฉิน ย้ายผู้ป่วยในสถานพยาบาลใกล้เคียง และกลับไปใช้การบันทึกข้อมูลบนกระดาษ   นอกจากนี้ การผ่าตัดที่ไม่ฉุกเฉิน การบริจาคเลือด และบริการอื่น ๆ ต้องระงับออกไปก่อน   สำนักงานสืบสวนกลาง (FBI) ในรัฐคอนเนตทิคัตแถลงว่ากำลังทำงานร่วมกับหน่วยบังคับใช้กฎหมายอื่น ๆ และเหยื่อในการสืบสวนเหตุการณ์ที่เกิดขึ้น     ที่มา latimes       —————————————————————————————————————————————————…

Microsoft เผยแฮ็กเกอร์รัฐบาลรัสเซียใช้ Teams ส่งข้อความหลอกเอาข้อมูล

การรักษาความลับ, ข่าวประจำวัน, สถานการณ์ไซเบอร์

Loading

  Microsoft เผยว่าแฮ็กเกอร์ในกองทัพรัสเซียใช้ระบบแชตใน Microsoft Teams ในการส่งข้อความฟิชชิงในการล้วงข้อมูลเหยื่อ   Microsoft เรียกกลุ่มนี้ว่า Midnight Blizzard ในอีกชื่อหนึ่งคือ NOBELIUM หรือ Cozy Bear ที่หลายประเทศเชื่อว่าเป็นปฏิบัติการของหน่วยข่าวกรองต่างประเทศของรัสเซีย   วิธีการโจมตีก็คือ Midnight Blizzard จะใช้บัญชี Microsoft 365 ของธุรกิจขนาดเล็กที่แฮ็กมาได้ในการสร้างโดเมนใหม่ที่ปลอมตัวเป็นเว็บไซต์ให้ความช่วยเหลือด้านเทคนิค และส่งข้อความผ่าน Teams เพื่อหลอกขอข้อมูลล็อกอินจากองค์กรเป้าหมาย   Microsoft ชี้ว่าปัจจุบันมีองค์กรที่ตกเป็นเหยื่อแล้วราว ๆ 40 องค์กรทั่วโลก ทั้งที่เป็นหน่วยงานภาครัฐ องค์กรไม่ใช่รัฐ บริการไอที บริษัทเทคโนโลยี บริษัทอุตสาหกรรม และองค์กรสื่อ   ที่แฮ็กเกอร์กลุ่มนี้เปลี่ยนชื่อบัญชีและเพิ่มผู้ใช้รายใหม่เข้ามาในรายชื่อติดต่อ และส่งข้อความ Team ที่ติดป้ายด้านความมั่นคงปลอดภัยและชื่อผลิตภัณฑ์เพื่อสร้างความสนใจให้เหยื่อเปิดข้อความ   Microsoft ได้ปิดโดเมนที่มีปัญหาแล้ว แต่ยังตรวจสอบเหตุการณ์และผลกระทบที่เกิดขึ้นต่อไป     ที่มา   therecord    …

Unit 42 ของพาโล อัลโต้ เน็ตเวิร์กส์ เผยรายงานมัลแวร์บน Android ปลอมตัวเป็นแอป ChatGPT หลอกเหยื่อผู้ใช้สมาร์ตโฟนในไทย

ข่าวประจำวัน, สถานการณ์ไซเบอร์

Loading

  กรุงเทพฯ – 31 กรกฎาคม 2566, พาโล อัลโต้ เน็ตเวิร์กส์ ผู้นำระดับโลกด้านระบบรักษาความปลอดภัยไซเบอร์ ล่าสุดพบว่ามัลแวร์บน Android ที่แอบอ้างเป็นแชตบอต AI ชื่อดังอย่าง ChatGPT มีจำนวนเพิ่มขึ้นอย่างมาก โดยถูกปล่อยออกมาพร้อมกับการเปิดตัว GPT-3.5 และ GTP-4 ของ OpenAI เพื่อมุ่งเป้าไปที่เหยื่อที่มีความสนใจในเครื่องมือ ChatGPT   โทรจัน Meterpreter ที่ปลอมตัวเป็นแอป “SuperGPT” และ “ChatGPT” มีพฤติกรรมในการส่งข้อความพิเศษค่าบริการราคาแพงไปยังหมายเลขโทรศัพท์ในไทย ทำให้ผู้ใช้โดนคิดเงินอย่างไม่รู้ตัวและสร้างรายได้แก่คนร้ายมหาศาล ที่น่ากังวลก็คือ ผู้ใช้ Android สามารถดาวน์โหลดแอปได้จากหลายช่องทางนอกเหนือไปจาก Google Play Store ดังนั้นจึงมีความเสี่ยงที่ผู้ใช้จะได้รับแอปซึ่งไม่ได้ผ่านการตรวจสอบจาก Google   ข้อมูลสำคัญที่น่าสนใจมีดังนี้   •   การปลอมตัวเป็น ChatGPT: มัลแวร์ใหม่บน Android มีจำนวนเพิ่มขึ้นโดยปลอมตัวเป็น ChatGPT และถูกปล่อยออกมาในช่วงที่มีการเปิดตัว GPT-3.5…

ศูนย์แผ่นดินไหวอู่ฮั่นถูกแฮ็กเกอร์ต่างชาติโจมตี จีนลั่นความมั่นคงของชาติถูกคุกคาม

ข่าวประจำวัน, สถานการณ์ไซเบอร์

Loading

  เจ้าหน้าที่ตำรวจของมณฑลหูเป่ย กล่าวในแถลงการณ์ในวันนี้ (26 ก.ค.) ว่า ศูนย์เฝ้าระวังแผ่นดินไหวของสำนักงานบริหารจัดการเหตุฉุกเฉินของเทศบาลนครอู่ฮั่นถูกโจมตีทางไซเบอร์จากแฮ็กเกอร์ในต่างประเทศ   ตำรวจจีนกล่าวว่า จากการค้นพบในเบื้องต้นพบว่า การโจมตีดังกล่าวดำเนินการโดยกลุ่มแฮ็กเกอร์และอาชญากรที่มีส่วนเกี่ยวข้องกับรัฐบาลต่างประเทศ และทางตำรวจเริ่มกระบวนการสืบสวนสอบสวนแล้ว   ศูนย์รับมือเหตุฉุกเฉินด้านไวรัสคอมพิวเตอร์ของจีน (CVERC) และบริษัท 360 ซึ่งเป็นบริษัทด้านความปลอดภัยทางอินเทอร์เน็ต ได้ทำการตรวจสอบจนพบว่า เครือข่าย “หน้าบ้าน” หรือฟรอนต์-เอ็นด์ (Front-End ) ของศูนย์เฝ้าระวังแผ่นดินไหวอู่ฮั่นถูกโจมตีโดยองค์กรต่างชาติจริง   รายงานระบุว่า ศูนย์เฝ้าระวังแผ่นดินไหวได้ดำเนินการปิดผนึกอุปกรณ์เครือข่ายที่เกี่ยวข้องได้ทันเวลา รวมถึงได้แจ้งตำรวจเพื่อให้ทำการสืบสวนต่อไป และจะเฝ้าติดตามการสืบสวนคดีนี้   ส่วนสำนักงานด้านความมั่นคงสาธารณะแห่งเทศบาลนครอู่ฮั่น กล่าวว่า การโจมตีดังกล่าวเป็นภัยคุกความต่อความมั่นคงของชาติอย่างร้ายแรง และสำนักงานด้านความมั่นคงสาธารณะเขตเจียงฮั่นได้ยื่นเรื่องให้มีการสืบสวนแล้ว   สำนักข่าวซีจีทีเอ็นของจีนรายงานว่า ศูนย์เฝ้าระวังแผ่นดินไหวของอู่ฮั่นเป็นหน่วยงานของรัฐอีกหนึ่งแห่งที่ถูกโจมตีจากกลุ่มแฮ็กเกอร์ต่างชาติ โดยก่อนหน้านี้มหาวิทยาลัยโพลีเทคนิคตะวันตกเฉียงเหนือ ในเมืองซีอาน มณฑลส่านซี ก็เคยถูกโจมตีในลักษณะเดียวกันเมื่อเดือน มิ.ย. ปีที่แล้ว   รายงานระบุว่า หลังจากที่มหาวิทยาลัยถูกโจมตี CVERC และ 360 ได้จัดตั้งทีมเทคนิคร่วมกันเพื่อวิเคราะห์อย่างครอบคลุม โดยค้นพบว่า Tailored Access Operations…

แก๊งแรนซัมแวร์ ‘Cyclops’ ช่วยอาชญากรไซเบอร์โจรกรรมข้อมูล

บทความน่าสนใจ

Loading

  ปัญหาภัยคุกคามทางไซเบอร์ยังคงเป็นเรื่องที่น่าวิตกกังวลของทุกหน่วยงานและองค์กร ไม่ว่าจะทั้งในประเทศและต่างประเทศก็ตาม   ด้วยรูปแบบการโจมตีที่หลากหลายซึ่งได้รับการพัฒนาต่อไปเรื่อย ๆ ทำให้มีความซับซ้อนเพื่อหลีกเลี่ยงการตรวจจับ ในวันนี้ผมขอหยิบยกประเด็นเกี่ยวกับแรนซัมแวร์ที่กำลังเป็นที่สนใจในต่างประเทศอย่างแก๊งแรนซัมแวร์ Cyclops ที่ได้ออกประกาศนำเสนอมัลแวร์ที่สามารถขโมยและดักจับข้อมูลละเอียดอ่อนจากโฮสต์ที่ติดไวรัสแล้ว   และแน่นอนว่าตัวการที่อยู่เบื้องหลังการคุกคามคือ Ransomware-as-a-Service (RaaS) คือแพลตฟอร์มที่ให้บริการเช่ามัลแวร์เพื่อเรียกค่าไถ่กับเหยื่อ โดยจะมีการแบ่งผลกำไรเมื่อมีการดำเนินการแรนซัมเรียบร้อย   Cyclops ransomware มีความโดดเด่นในเรื่องการกำหนดเป้าหมายที่ระบบปฏิบัติการเดสก์ท๊อปหลักทั้งหมด รวมถึง Windows, macOS และ Linux นอกจากนี้ยังได้รับการออกแบบมาเพื่อหยุดกระบวนการที่อาจขัดขวางการเข้ารหัส   โดย Cyclops ransomware เวอร์ชัน macOS และ Linux เขียนด้วย Golang ซึ่งแรนซัมแวร์ใช้โครงร่างการเข้ารหัสที่มีความซับซ้อนและผสมผสานระหว่างการเข้ารหัสแบบอสมมาตรและสมมาตร (Asymmetric and Symmetric encryption) สำหรับการโจรกรรมแบบ Go-based ออกแบบมาเพื่อ Windows และ Linux จะดักจับข้อมูลในระบบปฏิบัติการ   อาทิ ชื่อเครื่องคอมพิวเตอร์ จำนวน process และไฟล์สำคัญต่าง ๆ…