Tag Archives: แฮกเกอร์

แจ้งเตือน พบการส่ง SMS แอบอ้างเป็นรัฐบาลไทยส่งข่าวเรื่อง COVID-19 แท้จริงเป็นมัลแวร์ขโมยข้อมูลทางการเงิน

ไทยเซิร์ตพบการแพร่กระจายมัลแวร์ โจมตีผู้ใช้งาน Android ในประเทศไทย โดยช่องทางการโจมตีผู้ไม่หวังดีจะส่ง SMS ที่แอบอ้างว่าเป็นการแจ้งเตือนเรื่อง COVID-19 จากรัฐบาลไทย ใน SMS ดังกล่าวจะมีลิงก์ไปยังเว็บไซต์ thaigov[.]online ตัวอย่าง SMS แสดงในรูปที่ 1 หากเข้าไปยังเว็บไซต์ดังกล่าวโดยใช้โทรศัพท์มือถือ Android จะพบหน้าจอแจ้งให้ดาวน์โหลดโปรแกรม Adobe Flash Player มาติดตั้งในลักษณะเป็นไฟล์ .apk ดังแสดงในรูปที่ 2 ทั้งนี้มีข้อสังเกตว่าทั้งข้อความใน SMS และข้อความบนเว็บไซต์ที่ใช้แพร่กระจายมัลแวร์นั้นเป็นภาษาไทยที่มีลักษณะเหมือนการใช้โปรแกรมแปลภาษา จากการวิเคราะห์ไฟล์ดังกล่าวพบว่าเป็นมัลแวร์ขโมยข้อมูลทางการเงินสายพันธุ์ Cerberus ซึ่งเป็นมัลแวร์ที่มีการซื้อขายในตลาดมืด ตัวมัลแวร์มีการขอสิทธิ์ที่อาจส่งผลต่อความเป็นส่วนตัวด้วย เช่น เข้าถึงโทรศัพท์ รับส่ง SMS และบันทึกเสียง จากการตรวจสอบข้อมูลของเว็บไซต์ thaigov[.]online พบว่าถูกจดโดเมนเมื่อวันที่ 11 พฤษภาคม 2563 ปัจจุบันไทยเซิร์ตได้ประสานเพื่อระงับการเข้าถึงเว็บไซต์ดังกล่าวแล้ว ทั้งนี้ ผู้ใช้ควรระมัดระวังก่อนคลิกลิงก์ที่ส่งมาใน SMS รวมถึงไม่ควรดาวน์โหลดและติดตั้งซอฟต์แวร์ที่ไม่สามารถยืนยันความน่าเชื่อถือของแหล่งที่มา ข้อมูล IOC ชื่อไฟล์: UpdateFlashPlayer_11_5_2.apk MD5:…

กลุ่มแฮกเกอร์แอบขโมยข้อมูลผู้ใช้กว่า 73 ล้านรายการออกขายบนเว็บมืด

การใช้บริการอินเทอร์เน็ตไม่ว่าจะผ่านเว็บไซต์หรือแอป เมื่อเริ่มต้นสมัครการใช้งานทางผู้ให้บริการจะมีแบบฟอร์มให้ผู้ใช้กรอกข้อมูลส่วนตัวจัดเก็บไว้ในฐานข้อมูล บางครั้งข้อมูลเหล่านี้ได้รั่วไหลออกไปหรือถูกล้วงข้อมูลเพื่อนำไปใช้ประโยชน์โดยมิชอบ เลวร้ายถึงขนาดนำไปทำธุรกรรมออนไลน์ที่มีข่าวออกมาอย่างต่อเนื่อง ปลายสัปดาห์ที่ผ่านมาแหล่งข่าว ZDNet เปิดเผยว่ามีกลุ่มแฮกเกอร์ ShinyHunters อ้างว่ากำลังขายฐานข้อมูลผู้ใช้งานประมาณ 73.2 ล้านรายการในตลาดเว็บมืด ซึ่งทำเงินได้ประมาณ 18,000 USD (579,060 บาท) โดยได้แอบขโมยฐานข้อมูลมาจากกว่า 10 บริษัทด้วยกัน ประมาณ 30 ล้านรายการมาจากแอปหาคู่ที่ชื่อว่า Zoosk, อีก 15 ล้านรายการมาจาก Chatbooks บริการพรินต์ภาพจาก Instagram, Facebook และแกลเลอรีในโทรศัพท์ในเวลาเพียง 5 นาที ส่วนที่เหลือมาจากเว็บไซต์ที่หลากหลาย ได้แก่ 1 ล้านรายการจากหนังสือพิมพ์ Star Tribune, รวม 8 ล้านรายการจากเว็บไซต์แฟชั่นและเฟอร์นิเจอร์ของเกาหลีใต้, 3 ล้านรายการจากเว็บไซต์ Chronicle of Higher Education นำเสนอข่าวสารข้อมูลและงานสำหรับนักศึกษาในวิทยาลัยและมหาวิทยาลัย, 8 ล้านรายการจาก Home Chef บริการส่งมอบอาหาร, 5…

FBI เผย ‘แฮกเกอร์จีน’ พยายามล้วงข้อมูลงานวิจัย ‘วัคซีนต้านโควิด-19’

เอเอฟพี – สำนักงานสอบสวนกลางสหรัฐฯ (FBI) และผู้เชี่ยวชาญด้านความมั่นคงไซเบอร์เชื่อว่าแฮกเกอร์จีนกำลังพยายามขโมยข้อมูลเกี่ยวกับการพัฒนาวัคซีนต้านไวรัสโคโรนาสายพันธุ์ใหม่ สื่อมะกันรายงานวานนี้ (11 พ.ค.) หนังสือพิมพ์วอลล์สตรีทเจอร์เนิลและนิวยอร์กไทม์สรายงานว่า เอฟบีไอและกระทรวงความมั่นคงแห่งมาตุภูมิสหรัฐฯ มีแผนออกหนังสือเตือนเกี่ยวกับปฏิบัติการของแฮกเกอร์จีน ในขณะที่รัฐบาลและบริษัทเอกชนทั่วโลกกำลังเร่งคิดค้นวัคซีนที่สามารถป้องกันโควิด-19 ได้ ทั้งนี้ เชื่อว่าแฮกเกอร์จีนกำลังพุ่งเป้าไปที่ข้อมูลและทรัพย์สินทางปัญญาเกี่ยวกับวิธีรักษาและการตรวจหาเชื้อโควิด-19 เจ้าหน้าที่สหรัฐฯ อ้างว่าจารชนไซเบอร์กลุ่มนี้มีส่วนเชื่อมโยงถึงรัฐบาลจีน และคาดว่าจะมีคำเตือนออกมาอย่างเป็นทางการภายในอีกไม่กี่วัน จ้าว ลี่เจียน โฆษกกระทรวงการต่างประเทศจีน รีบออกมาปฏิเสธข้อครหาดังกล่าว โดยยืนยันว่ารัฐบาลปักกิ่งต่อต้านการโจมตีทางไซเบอร์ทุกรูปแบบ “เราก็เป็นผู้นำโลกในด้านการรักษาและคิดค้นวัคซีนต้านโควิด-19 การสร้างข่าวลือมาโจมตีและให้ร้ายจีนโดยปราศจากหลักฐานจึงเป็นสิ่งที่ผิดศีลธรรม” จ้าว ระบุ เมื่อถูกถามถึงรายงานในสื่อชั้นนำทั้ง 2 ฉบับ ประธานาธิบดี โดนัลด์ ทรัมป์ แห่งสหรัฐฯ ยังปฏิเสธที่จะยืนยัน แต่บอกว่า “มีเรื่องอะไรใหม่ๆ เกี่ยวกับจีนอีกล่ะ? มีอะไรใหม่เหรอ? บอกผมมาสิ ผมไม่แฮปปี้กับจีนเลย” “เรากำลังตามดูพวกเขาอย่างใกล้ชิด” ผู้นำสหรัฐฯ กล่าวเสริม ก่อนหน้านี้เคยมีรายงานว่า แฮกเกอร์ซึ่งมีรัฐบาลหนุนหลังในอิหร่าน, เกาหลีเหนือ, รัสเซีย และจีน ทำกิจกรรมมุ่งร้ายที่เกี่ยวข้องกับโรคระบาดใหญ่ (pandemic) ตั้งแต่การเผยแพร่เฟคนิวส์เรื่องไปจนถึงการเล่นงานนักวิทยาศาสตร์และบุคลากรทางการแพทย์ นิวยอร์กไทม์สชี้ว่า คำเตือนที่ออกมาอาจนำไปสู่ปฏิบัติการโจมตีตอบโต้โดยหน่วยงานของสหรัฐฯ ที่รับผิดชอบด้านสงครามไซเบอร์…

โลกเรามาถึงจุดที่ “อแดปเตอร์ชาร์จไฟ” ก็สามารถถูกแฮกได้แล้ว!

By Watcharakul Pattanaprateep Xiaomi เปิดตัว Mi 10 พร้อมกับอแดปเตอร์ utilized gallium nitride technology หรือ GaN ที่สามารถจ่ายไฟได้มากถึง 65W แต่เบื้องต้นมีรายงานว่าอแดปเตอร์ดังกล่าวไม่รองรับหลายแพลตฟอร์ม แถมยังมีช่องโหว่ที่ทำให้ถูกแฮกได้ด้วย สื่อต่างประเทศรายงานว่า Xiaomi ได้รับการเตือนจากบริษัทด้านความปลอดภัย โดยทีมรักษาความปลอดภัยแจ้งกับ Xiaomi ว่า อแดปเตอร์ชนิด GaN ของ Xiaomi นั้นใช้ใช้ชิป eFlash / MTP ในการจัดการระบบการจ่ายไฟของตัวอแดปเตอร์ และยังสามารถอัปเดตซอฟต์แวร์ได้อีกด้วย อย่างไรก็ตาม ชิป eFlash ที่ Xiaomi นำมาใช้นั้นเป็นแบบเขียนข้อมูลซ้ำลงไปได้ หรือ Rewrite แถม Xiaomi ไม่ได้เข้ารหัสเอาไว้ มันจึงเป็นข่องโหว่ที่ทำให้แฮกเกอร์สามารถดัดแปลงอแดปเตอร์ชาร์จได้นั่นเอง แฮกอแดปเตอร์ได้แล้วยังไง? อ่านมาถึงตรงนี้หลายคนอาจสงสัยว่า ในเมื่ออแดปเตอร์หรือที่ชาร์จไฟบ้านไม่มีข้อมูลอะไรที่สำคัญ แฮกไปแล้วจะยังไงต่อ? การแฮกเข้าชิป eFlash นั่นหมายถึงสามารถควบคุมการทำงานของอแดปเตอร์ได้ เมื่อควบคุมการทำงานได้ แฮกเกอร์อาจสั่งให้อแดปเตอร์จ่ายไฟเกินกว่าที่ระบบตั้งเอาไว้ตั้งแต่แรก อันทำให้เกิดอันตรายกับผู้ใช้งานรวมถึงอุปกรณ์ที่นำมาใช้ชาร์จด้วย…

ภาพรวมเทคนิคการโจมตีโดยกลุ่ม APT ที่ใช้เรื่อง COVID-19 เป็นตัวล่อ

บริษัท Malwarebytes ได้เผยแพร่รายงาน threat intelligence ประจำเดือนเมษายน 2563 โดยเป็นการรวบรวมและวิเคราะห์ข้อมูลการโจมตีโดยกลุ่ม APT (Advanced Persistent Threat) ที่อาศัยเรื่องไวรัสโคโรน่าหรือ COVID-19 เป็นช่องทางในการหลอกล่อ ทั้งนี้ในรายงานฉบับดังกล่าวมีข้อมูลของกลุ่ม APT ที่มุ่งเป้าโจมตีหน่วยงานในประเทศไทยด้วย การโจมตีแบบ APT คือการใช้เทคนิคขั้นสูงเพื่อเจาะเข้ามาฝังตัวอยู่ในระบบเป็นเวลานาน โดยในขั้นตอนแรก ๆ ของการโจมตีมักใช้วิธีเจาะระบบผ่านช่องโหว่ หรือหลอกล่อให้บุคคลภายในหลงเชื่อเปิดไฟล์มัลแวร์ที่เปิดช่องทางให้ผู้โจมตีเชื่อมต่อเข้ามาในระบบได้ ตัวอย่างเทคนิคการโจมตีที่พบ เช่น ส่งไฟล์ Microsoft Office ที่อ้างว่าเป็นข้อมูลการรับมือ COVID-19 โดยไฟล์เอกสารดังกล่าวมีสคริปต์ Macro ฝังอยู่ หากอนุญาตให้สคริปต์ทำงาน มัลแวร์ก็จะถูกดาวน์โหลดมาติดตั้งลงในเครื่อง เป็นต้น นอกจากนี้ยังพบการโจมตีผ่านช่องโหว่ของการประมวลผลไฟล์ RTF หรือฝังคำสั่งอันตรายมาในไฟล์ LNK เป็นต้น ซึ่งช่องทางเหล่านี้อาจถูกใช้เพื่อติดตั้งมัลแวร์หรือเปิดช่องทางให้ผู้โจมตีเชื่อมต่อเข้ามาควบคุมเครื่องคอมพิวเตอร์ของเหยื่อได้ในภายหลัง ในรายงานของ Malwarebytes ระบุว่ากลุ่ม APT ที่มุ่งเป้าโจมตีประเทศไทยนั้นมีทั้งหมด 2 กลุ่ม ประกอบด้วย Ocean Lotus และ…

ระวังภัย พบการโจมตีอุปกรณ์ IoT เพื่อฝังบอทเน็ต dark_nexus ในไทยตกเป็นเหยื่อไม่ต่ำกว่า 172 เครื่อง

ข้อมูลทั่วไป เมื่อวันที่ 8 เมษายน 2563 บริษัท Bitdefender ได้แจ้งเตือนการโจมตีอุปกรณ์ IoT (Internet of Things) เพื่อฝังมัลแวร์ชื่อ dark_nexus ซึ่งเป็นมัลแวร์ประเภทบอทเน็ต (botnet) ที่เปิดช่องทางให้ผู้ไม่หวังดีเชื่อมต่อเข้ามาควบคุมและสั่งการอุปกรณ์ที่ตกเป็นเหยื่อเพื่อใช้ในการโจมตีทางไซเบอร์ได้ เช่น สั่งการให้อุปกรณ์จำนวนมากเชื่อมต่อไปยังคอมพิวเตอร์ปลายทางในเวลาเดียวกัน จุดประสงค์เพื่อทำให้ระบบดังกล่าวไม่สามารถให้บริการได้ (เป็นรูปแบบการโจมตีประเภท DDoS หรือ Distributed Denial of Service) ทั้งนี้ ทาง Bitdefender พบว่าจุดประสงค์ของการแพร่กระจายมัลแวร์ในครั้งนี้คือเพื่อรับจ้างโจมตีแบบ DDoS (DDoS-for-hire service) จากการวิเคราะห์ของทีม Bitdefender พบว่ามัลแวร์ dark_nexus น่าจะถูกพัฒนาต่อยอดมาจากมัลแวร์ Qbot และ Mirai ซึ่งเป็นมัลแวร์ที่เคยถูกใช้เพื่อโจมตีอุปกรณ์ IoT มาแล้วก่อนหน้านี้ เนื่องจากพบโค้ดและโมดูลหลายส่วนที่ใกล้เคียงกับมัลแวร์ก่อนหน้า ช่องทางการโจมตี มีทั้งอาศัยช่องโหว่ของตัวอุปกรณ์และอาศัยการเดารหัสผ่านสำหรับเข้าถึงการตั้งค่า จากข้อมูลของ Bitdefender พบว่าผู้ประสงค์ร้ายได้ใช้มัลแวร์นี้โจมตีอุปกรณ์ IoT ไปแล้วทั่วโลก โดยในประเทศไทยมีอุปกรณ์ที่ได้ตกเป็นเหยื่อแล้วอย่างน้อย 172…