Tag Archives: แฮกเกอร์

พบแอป Zoom บนวินโดวส์แปลงลิงก์แชร์ไฟล์ให้คลิกได้ เปิดทางแฮกเกอร์ล่อเอาค่าแฮชรหัสผ่าน

ผู้ใช้ทวิตเตอร์ @_g0dmode นักวิจัยด้านความมั่นคงปลอดภัยไซเบอร์รายงานถึงพฤติกรรมพิเศษของแอป Zoom บนวินโดวส์ที่จะแปลง UNC หรือ Universal Naming Convention ที่เป็นระบบอ้างอิงไฟล์แชร์ของวินโดวส์ ให้กลายเป็นลิงก์ที่คลิกได้ ทำให้หากผู้ใช้ได้รับลิงก์และเพียงแค่คลิกลิงก์นั้น วินโดวส์ก็จะพยายามเปิดไฟล์แชร์ตามโปรโตคอล SMB พร้อมกับพยายามล็อกอิน แฮกเกอร์ที่เปิดเซิร์ฟเวอร์ SMB รอไว้จะได้รับข้อมูลชื่อล็อกอินและค่าแฮชของรหัสผ่าน ซึ่งหากรหัสผ่านผู้ใช้ไม่แข็งแกร่งพอก็อาจจะทำให้แฮกเกอร์สามารถหาค่ารหัสผ่านกลับมาได้ นอกจากการดึงข้อมูลล็อกอินแล้ว ช่องโหว่นี้หากอ้างอิงถึงไฟล์ executable บนเครื่องของเหยื่อเองก็อาจจะรันไฟล์ได้ อย่างไรก็ดีวินโดวส์จะแจ้งเตือนผู้ใช้ก่อนรันโปรแกรมขึ้นมาจริงๆ Matthew Hickey นักวิจัยความมั่นคงปลอดภัยไซเบอร์อีกรายระบุว่า Zoom ไม่ควรแปลง UNC เป็นลิงก์ให้คลิกได้เช่นนี้ และเขาได้พยายามติดต่อ Zoom แล้วแต่ยังไม่มีการตอบกลับ พฤติกรรมการส่งข้อมูลล็อกอินไปยังงเซิร์ฟเวอร์แชร์ไฟล์เป็นค่าคอนฟิกเริ่มต้นของวินโดวส์แต่สามารถปิดการทำงานได้จาก Group Policy Editor หรือการแก้ค่า registry โดยตรง ——————————————————————— ที่มา : Blognone / 1 เมษายน 2563 Link : https://www.blognone.com/node/115583

Microsoft เผย บัญชีที่ถูกแฮก 99.9% ไม่ได้เปิดใช้การยืนยันตัวตนแบบหลายปัจจัย มีองค์กรแค่ 11% เท่านั้นที่เปิดใช้

ในงาน RSA Conference 2020 วิศวกรจาก Microsoft ได้นำเสนอสถิติการแฮกบัญชีผู้ใช้ โดยระบุว่าบัญชี 99.9% ที่ถูกแฮกนั้นไม่ได้เปิดใช้งานการยืนยันตัวตนแบบหลายปัจจัย (Multi-Factor Authentication หรือ MFA) ซึ่งเป็นการใช้ข้อมูลอื่น (เช่น OTP หรือ PIN) มาช่วยยืนยันเพิ่มเติมในการล็อกอินนอกเหนือจากการใช้รหัสผ่านเพียงอย่างเดียว นอจากนี้ทาง Microsoft ยังพบว่ามีองค์กรแค่ 11% เท่านั้นที่เปิดใช้งานระบบนี้ การแฮกบัญชีผู้ใช้นั้นสามารถทำได้หลายวิธี โดยวิธีที่พบมากที่สุดคือการใช้เทคนิค password spraying ซึ่งเป็นการพยายามเดารหัสผ่านโดยใช้ข้อความที่เป็นคำทั่วไปหรือตั้งรหัสผ่านที่สามารถคาดเดาได้ง่าย วิธีรองลงมาคือการใช้เทคนิค password replays ซึ่งเป็นการใช้รหัสผ่านที่เคยหลุดจากบริการอื่นๆ มาทดลองล็อกอิน เทคนิคนี้ใช้ได้ผลเนื่องจากผู้ใช้ส่วนมากยังตั้งรหัสผ่านเดียวกันในหลายๆ บริการ ทำให้เมื่อรหัสผ่านของบริการใดเกิดหลุดรั่วออกไปก็สามารถนำไปใช้ล็อกอินในบริการอื่นๆ ได้ โดยทาง Microsoft พบว่าผู้ใช้ 60% ตั้งรหัสผ่านเดียวกันสำหรับบัญชีองค์กรและบัญชีส่วนตัว หนึ่งในสาเหตุสำคัญที่ทำให้บัญชีขององค์กรถูกแฮกคือองค์กรเหล่านั้นไม่ได้เปิดใช้งานการยืนยันตัวตนแบบหลายปัจจัย นั่นทำให้หากรหัสผ่านของพนักงานในองค์กรรั่วไหล (เช่น ตั้งรหัสผ่านที่คาดเดาได้ง่าย ติดมัลแวร์ หรือตกเป็นเหยื่อฟิชชิ่ง) ก็อาจก่อให้เกิดความเสียหายกับองค์กรได้ ทั้งนี้ ผู้ใช้ทั่วไปสามารถศึกษาวิธีตั้งค่าบัญชีและเปิดใช้งานการยืนยันตัวตนแบบหลายปัจจัยได้จากลิงก์เหล่านี้ Microsoft (https://support.microsoft.com/th-th/help/12408/microsoft-account-how-to-use-two-step-verification)…

บริษัทความปลอดภัยทางไซเบอร์จีนแฉถูกCIAแฮกข้อมูลมานานนับทศวรรษ

รอยเตอร์ – ฉี่หู่ 360 บริษัทแอนตี้ไวรัสสัญชาติจีน ระบุว่าพวกมือแฮคเกอร์ของซีไอเอเจาะระบบอุตสาหกรรมการบินจีนและเป้าหมายอื่นๆมานานกว่าทศวรรษ ในข้อกล่าวหาล่าสุดเกี่ยวกับกรณีสหรัฐฯทำการจากรรมข้อมูลบริษัทใดบริษัทหนึ่งที่มีสำนักงานในกรุงปักกิ่ง ในข้อความสั้นๆที่โพสต์ลงบนบล็อกๆหนึ่ง ซึ่งเผยแพร่ทั้งเป็นภาษาอังกฤษและจีนเมื่อวันจันทร์ที่ผ่านมา ทางฉี่หู่อ้างว่าพวกเขาตรวจพบการสอดแนมโดยการเปรียบเทียบตัวอย่างกับซอฟต์แวร์มุ่งร้ายที่พวกเขาเคยเจออยู่ในขุมเครื่องมือสอดแนมทางดิจิตัลของซีไอเอ ตามที่วิกิลีกส์ออกมาแฉเมื่อปี 2017 ฉี่หู่ 360 ซึ่งเป็นบริษัทด้านความมั่นคงทางไซเบอร์รายใหญ่ บอกด้วยว่าสำนักงานข่าวกรองกลางสหรัฐฯ(ซีไอเอ) มีเป้าหมายที่ภาคการบินและพลังงานของจีน, องค์การต่างๆที่วิจัยด้านวิทยาศาสตร์, เหล่าบริษัทอินเตอร์เน็ต และหน่วยงานต่างๆของรัฐบาล พร้อมระบุว่าการแฮกเป้าหมายด้านการบินอาจมีเป้าหมายคือการแกะรอยแผนการเดินทางของบรรดาบุคคลสำคัญ ทั้งนี้ ฉี่หู่ 360 ได้เผยแพร่รายการตัวอย่างซอฟต์แวร์มุ่งร้ายที่สกัดกั้นได้ เช่นเดียวกับผลการวิเคราะห์ช่วยเวลาของการสร้างซอฟต์แวร์เหล่านั้น ซึ่งบ่งชี้ว่าใครก็ตามที่ประดิษฐ์เครื่องมือประสงค์ร้ายดังกล่าวได้เจาะระบบในชั่วโมงการทำงานตามเวลาชายฝั่งตะวันออกสหรัฐฯ ซีไอเอและสถานทูตจีนในกรุงวอชิงตันยังไม่มีคำตอบกลับมา หลังจากรอยเตอร์ส่งข้อความไปสอบถามความคิดเห็นต่อคำกล่าวอ้างดังกล่าว สหรัฐฯ ก็เหมือนกับจีนและชาติมหาอำนาจของโลกอื่นๆ ที่ไม่ค่อยแสดงความคิดเห็นต่อคำกล่าวหาจารกรรมทางไซเบอร์ อย่างไรก็ตามมีหลักฐานปรากฏต่อสาธารณะมาอย่างยาวนาน ว่าทั้งสองประเทศต่างฝ่ายต่างแฮกข้อมูลกันทั้งคู่ อดัม ซีดัล ผู้ศึกษาด้านจีนและประเด็นความมั่นคงทางไซอร์เบอร์ แห่งสภาความสัมพันธ์ระหว่างประเทศในนิวยอร์ก มองว่ากรอบเวลาของการเปิดเผยเรื่องราวต่อสาธารณชนของ ฉี่หู่ 360 มีความเป็นไปได้ที่อาจสัมพันธ์กับกรณีที่เหล่าแฮกเกอร์ทหารจีน 4 นาย ถูกดำเนินคดีเมื่อเดือนที่แล้ว ต่อกรณีลอบเจาะล้วงข้อมูลในเครือข่ายคอมพิวเตอร์ของบริษัทผู้ตรวจสอบเครดิตในสหรัฐฯ อิควิแฟ็กซ์ (Equifax) และขโมยข้อมูลลับและข้อมูลส่วนตัวของลูกค้าราว 150 ล้านคน เขาบอกว่าการออกมาแฉปฏิบัติการเก่าๆของซีไอเอ อาจเป็นหนทางหนึ่งในการส่งข้อความถึงวอชิงตัน ใขณะเดียวกันก็เป็นการล้างมลทินให้ฉี่หู่ 360…

พบ TrickBot ตัวใหม่ ใช้ Macro ของโปรแกรม Word โจมตีผู้ใช้งานระบบปฏิบัติการ Windows 10

เขียนโดย :   moonlightkz โดยปกติแล้ว ในแวดวงซอฟต์แวร์ เรามักจะได้ยินคำแนะนำว่าควรอัปเดตเป็นเวอร์ชันล่าสุดอย่างสม่ำเสมอ เพื่อปิดรูรั่วที่ถูกค้นพบแล้ว อย่างไรก็ตาม ในขณะเดียวกันการอัปเดตไม่ได้มีแค่การปิดช่องโหว่เท่านั้น มันยังมีการเพิ่มคุณสมบัติใหม่ๆ เข้ามาด้วย ปัญหาก็คือ ความสามารถใหม่ที่ถูกเพิ่มเข้ามานั้น อาจจะกลายเป็นช่องโหว่ใหม่ได้ด้วยเช่นกัน ล่าสุดมีการค้นพบการโจมตีรูปแบบใหม่ของ Trickbot โดยแฮกเกอร์ใช้ช่องทางยอดนิยมในอดีตอย่างฟังก์ชัน Macro ของ Microsoft Word ที่เป็นที่นิยมอย่างมากในยุค ค.ศ. 1995 มาปรับปรุงใหม่ให้เข้ากับยุคสมัยปัจจุบัน ในระบบปฏิบัติการ Windows 10 มีฟังก์ชันใหม่ที่เรียกว่า Remote desktop ActiveX แฮกเกอร์ได้ใช้ฟังก์ชันดังกล่าวในการควบคุม Ostap ที่เป็น Malware downloader ซึ่งแฝงตัวมากับ VBA macro และ JScript ของเอกสารที่มีมาโครอยู่ (Macro-enabled document (.DOCM)) แฮกเกอร์ได้สร้างไฟล์เอกสารส่งไปทางอีเมลไปหาเหยื่อ โดยระบุว่าเป็นใบเสร็จเรียกเก็บเงิน หากเหยื่อหลงเชื่อคลิกเปิดใช้งาน Macro ในไฟล์ดังกล่าว มันจะเริ่มยิง Payload เพื่อโจมตีในทันที รูปแบบการโจมตีของ Trickbot จะเป็นการ Hijacks เว็บเบราว์เซอร์…

กสทช. ออสเตรเลียบังคับค่ายมือถือยืนยันตัวตนลูกค้าสองขั้นตอนก่อนออกซิมใหม่ วางค่าปรับ 5 ล้านบาทหากทำไม่ครบ

Australian Communications and Media Authority (ACMA) หรือกสทช.ออสเตรเลียประกาศมาตรฐานการตรวจสอบผู้ใช้ก่อนออกซิมใหม่ หลังพบว่าประชาชนเป็นเหยื่อมากขึ้นและการถูกขโมยหมายเลขโทรศัพท์แต่ละครั้งทำให้เหยื่อเสียหายเฉลี่ยสูงกว่า 10,000 ดอลลาร์ออสเตรเลีย หรือมากกว่าสองแสนบาท ทาง ACMA ไม่ได้แยกย่อยว่าความเสียหายส่วนใหญ่เกิดจากอะไร แต่ก็ระบุความสำคัญของการใช้บริการธนาคารบนโทรศัพท์มือถือ ที่หากคนร้ายควบคุมหมายเลขโทรศัพท์ได้ก็จะขโมยเงินได้ กฎใหม่นี้บังคับให้ผู้ให้บริการเครือข่ายโทรศัพท์มือถือต้องยืนยันตัวตนลูกค้าที่มาขอเปลี่ยนซิมด้วยมาตรการ 2 ขั้นตอนเป็นอย่างน้อย (multi factor authentication) ผู้ให้บริการที่ไม่ทำตามข้อกำหนดนี้มีโทษปรับสูงสุด 250,000 ดอลลาร์ออสเตรเลียหรือ 5 ล้านบาท นอกจากการบังคับยืนยันตัวตนหลายขั้นตอนแล้ว ทาง ACMA ยังพยายามปรับปรุงความปลอดภัยและลดการหลอกลวงผ่านโทรศัพท์โดยรวม เช่น มาตรการ Do Not Originate List เปิดให้แบรนด์สามารถลงทะเบียนป้องกันคนร้ายมาสวมรอยเป็นเบอร์ต้นแทาง หรือมาตรการตัดการเชื่อมต่อกับเครือข่ายที่มีปริมาณการโทรหลอกลวงสูงๆ ——————————————————- ที่มา : Blognone / 2 มีนาคม 2563 Link : https://www.blognone.com/node/114931

แฮ็คเกอร์รัฐบาลเวียดนามโจมตีไทย ล้วงความลับทางธุรกิจยักษ์ใหญ่

สำนักข่าว Bloomberg รายงานว่ากลุ่มแฮ็คเกอร์ชาวเวียดนามกำลังเรียนรู้ยุทธศาสตร์การทำสงครามไซเบอร์แบบเดียวกับที่จีนทำ โดยใช้การโจมตีทางไซเบอร์ที่ซับซ้อนมากขึ้น เพื่อสอดแนมคู่แข่งและช่วยให้เวียดนามสามารถไล่ตามคู่แข่งทั่วโลกได้ บริษัทรักษาความปลอดภัยทางไซเบอร์ CrowdStrike Inc. เผยว่า ในช่วงสองปีที่ผ่านมา มีกลุ่มแฮ็คเกอร์ที่คาดมีความเกี่ยวข้องกับรัฐบาลเวียดนามและรู้จักกันในชื่อ APT32 ได้ทำการจารกรรมไซเบอร์มากขึ้นโดยเฉพาะในเอเชียตะวันออกเฉียงใต้ รวมถึงการขโมยทรัพย์สินทางปัญญา ซึ่งเป็นพฤติกรรมในลักษณะเดียวกันกับที่แฮ็คเกอร์ชาวจีนทำกันอยู่ จากข้อมูลของผู้เชี่ยวชาญหลายรายระบุว่า อุตสาหกรรมยานยนต์เป็นเป้าหมายสำคัญของ APT32 นักวิจัยที่จับตาเรื่องนี้อยู่แต่ไม่ขอเปิดเผยชื่อระบุว่ากลุ่ม APT32 สร้างโดเมนปลอมของ Toyota Motor Corp และ Hyundai Motor Co. เพื่อพยายามแทรกซึมเครือข่ายของผู้ผลิตรถยนต์ ในเดือนมีนาคมโตโยต้าค้นพบว่าบริษัทสาขาในเวียดนามและไทยตกเป็นเป้าหมาย รวมถึงบริษัทสาขาในญี่ปุ่นคือ Toyota Tokyo Sales Holdings Inc ในเรื่องนี้โฆษกของบริษัทคือไบรอัน ลีออนส์เป็นผู้เปิดเผย และยังมีพนักงานของโตโยต้าอีกคนหนึ่ง (ซึ่งร้องขอไม่ให้เปิดเผยตัวตน) ยืนยันว่ากลุ่มแฮ็ค APT32 เป็นผู้ลงมือ เวียดนามยังมุ่งเป้าไปที่ธุรกิจอเมริกันที่เกี่ยวข้องกับเศรษฐกิจของเวียดนาม รวมถึงอุตสาหกรรมสินค้าอุปโภคบริโภคเป็นเวลาหลายปีจากข้อมูลของผู้เชี่ยวชาญแอนดรูว์ กร็อตโต แห่งมหาวิทยาลัยสแตนฟอร์ดซึ่งทำหน้าที่เป็นผู้อำนวยการอาวุโสด้านนโยบายความมั่นคงทางไซเบอร์ของสภาความมั่นคงแห่งชาติตั้งแต่ปลายปี 2558 ถึงกลางปี 2560 เขากล่าวว่า มีความเปลี่ยนแปลงเกิดขึ้นเร็วๆ นี้ในด้านการคุกคามทางไซเบอร์และผู้ที่เข้ามามีบทบาทในกิจกรรมนี้ยังเก่งขึ้นเรื่อยๆ กร็อตโต ยังกล่าวว่า…