Tag Archives: แฮกเกอร์

แฮ็คเกอร์รัฐบาลเวียดนามโจมตีไทย ล้วงความลับทางธุรกิจยักษ์ใหญ่

สำนักข่าว Bloomberg รายงานว่ากลุ่มแฮ็คเกอร์ชาวเวียดนามกำลังเรียนรู้ยุทธศาสตร์การทำสงครามไซเบอร์แบบเดียวกับที่จีนทำ โดยใช้การโจมตีทางไซเบอร์ที่ซับซ้อนมากขึ้น เพื่อสอดแนมคู่แข่งและช่วยให้เวียดนามสามารถไล่ตามคู่แข่งทั่วโลกได้ บริษัทรักษาความปลอดภัยทางไซเบอร์ CrowdStrike Inc. เผยว่า ในช่วงสองปีที่ผ่านมา มีกลุ่มแฮ็คเกอร์ที่คาดมีความเกี่ยวข้องกับรัฐบาลเวียดนามและรู้จักกันในชื่อ APT32 ได้ทำการจารกรรมไซเบอร์มากขึ้นโดยเฉพาะในเอเชียตะวันออกเฉียงใต้ รวมถึงการขโมยทรัพย์สินทางปัญญา ซึ่งเป็นพฤติกรรมในลักษณะเดียวกันกับที่แฮ็คเกอร์ชาวจีนทำกันอยู่ จากข้อมูลของผู้เชี่ยวชาญหลายรายระบุว่า อุตสาหกรรมยานยนต์เป็นเป้าหมายสำคัญของ APT32 นักวิจัยที่จับตาเรื่องนี้อยู่แต่ไม่ขอเปิดเผยชื่อระบุว่ากลุ่ม APT32 สร้างโดเมนปลอมของ Toyota Motor Corp และ Hyundai Motor Co. เพื่อพยายามแทรกซึมเครือข่ายของผู้ผลิตรถยนต์ ในเดือนมีนาคมโตโยต้าค้นพบว่าบริษัทสาขาในเวียดนามและไทยตกเป็นเป้าหมาย รวมถึงบริษัทสาขาในญี่ปุ่นคือ Toyota Tokyo Sales Holdings Inc ในเรื่องนี้โฆษกของบริษัทคือไบรอัน ลีออนส์เป็นผู้เปิดเผย และยังมีพนักงานของโตโยต้าอีกคนหนึ่ง (ซึ่งร้องขอไม่ให้เปิดเผยตัวตน) ยืนยันว่ากลุ่มแฮ็ค APT32 เป็นผู้ลงมือ เวียดนามยังมุ่งเป้าไปที่ธุรกิจอเมริกันที่เกี่ยวข้องกับเศรษฐกิจของเวียดนาม รวมถึงอุตสาหกรรมสินค้าอุปโภคบริโภคเป็นเวลาหลายปีจากข้อมูลของผู้เชี่ยวชาญแอนดรูว์ กร็อตโต แห่งมหาวิทยาลัยสแตนฟอร์ดซึ่งทำหน้าที่เป็นผู้อำนวยการอาวุโสด้านนโยบายความมั่นคงทางไซเบอร์ของสภาความมั่นคงแห่งชาติตั้งแต่ปลายปี 2558 ถึงกลางปี 2560 เขากล่าวว่า มีความเปลี่ยนแปลงเกิดขึ้นเร็วๆ นี้ในด้านการคุกคามทางไซเบอร์และผู้ที่เข้ามามีบทบาทในกิจกรรมนี้ยังเก่งขึ้นเรื่อยๆ กร็อตโต ยังกล่าวว่า…

แจ้งเตือนการโจมตีผ่านบริการ remote desktop เพื่อแพร่กระจายมัลแวร์แบบ fileless พบในไทยโดนด้วย

บริษัท Bitdefender รายงานการโจมตีโดยอาศัยฟีเจอร์ของบริการ remote desktop ใน Windows เพื่อแพร่กระจายและสั่งรันมัลแวร์ในลักษณะ fileless ซึ่งเป็นการสั่งรันโค้ดของมัลแวร์จากแรมโดยตรง ไม่สร้างไฟล์ไว้ในฮาร์ดดิสก์ จุดประสงค์เพื่อขโมยข้อมูลและขุดเงินดิจิทัล พบเครื่องในไทยตกเป็นเหยื่อด้วย ลักษณะการโจมตีจะอาศัยฟีเจอร์ Terminal Server ของบริการ remote deskop ที่อนุญาตให้เครื่องไคลเอนต์แชร์ไดรฟ์หรือไดเรกทอรีแบบให้สิทธิ์ในการแก้ไขข้อมูลได้ โดยตัวไดรฟ์ที่ถูกแชร์จะปรากฎในชื่อ ‘tsclient’ จุดสำคัญของฟีเจอร์นี้คือรองรับการตั้งค่าให้มีการสั่งรันโปรแกรมได้เมื่อล็อกอิน โดยโปรแกรมดังกล่าวจะถูกรันในแรมของฝั่งไคลเอนต์ ทำให้ผู้ประสงค์ร้ายสามารถใช้ช่องทางนี้ในการสั่งรันมัลแวร์ผ่านเครือข่ายได้โดยไม่ปรากฎข้อมูลใน log ทาง Bitdefender พบการติดตั้งไฟล์มัลแวร์ลงในเครื่องไคลเอนต์ไว้ก่อนแล้ว (ช่องทางการโจมตียังไม่ยืนยัน อาจเป็นไปได้ว่าผู้ประสงค์ร้ายได้รหัสผ่านไปก่อนหน้านี้แล้ว) จากนั้นตั้งค่าให้มีการเรียกใช้งานไฟล์มัลแวร์โดยอัตโนมัติเมื่อมีการเข้าถึงไดรฟ์ที่ถูกแชร์ผ่านเครือข่าย ตัวมัลแวร์ที่พบนี้มีความสามารถหลายอย่างไม่ว่าจะเป็นการขโมยข้อมูล ติดตั้งมัลแวร์ขุดเงินดิจิทัล หรือติดตั้งมัลแวร์เรียกค่าไถ่ ทั้งนี้ รายละเอียดช่องทางการโจมตีหรือกลุ่มที่อยู่เบื้องหลังการโจมตีในครั้งนี้ยังไม่ปรากฎแน่ชัด ประเทศที่ตกเป็นเหยื่อมากที่สุดคือบราซิล สหรัฐฯ และโรมาเนีย โดยมีเหยื่อในไทยประมาณ 10 เครื่องถูกโจมตีด้วย ข้อมูล IOC ของมัลแวร์ที่เกี่ยวข้องสามารถดูเพิ่มเติมได้จากรายงานฉบับเต็ม การป้องกันสามารถทำได้โดยตั้งค่า Group Policy เพื่อปิดในส่วน Do not allow Clipboard redirection…

กรณีศึกษา กลุ่มแฮกเกอร์เผยวิธีเจาะระบบธนาคาร Cayman ขโมยเงินไปได้หลายแสนปอนด์

กลุ่มแฮกเกอร์ที่ใช้ชื่อว่า Phineas Phisher ได้โพสต์รายละเอียดขั้นตอนวิธีที่ใช้ในการเจาะระบบของธนาคารแห่งชาติหมู่เกาะเคย์แมน (Cayman National Isle of Man Bank) โดยเป็นเหตุการณ์ที่เกิดขึ้นเมื่อปี 2016 มูลค่าความเสียหายรวมกว่าหลายแสนปอนด์ ก่อนหน้านี้ทางธนาคารไม่ได้ออกมาให้ข้อมูลรายละเอียดของเหตุการณ์นี้โดยตรง แต่ก็มีเอกสารที่เป็นรายงานผลการตรวจวิเคราะห์การโจมตีหลุดออกมา เว็บไซต์ CSO Online ได้วิเคราะห์โพสต์ของกลุ่มแฮกเกอร์ Phineas Phisher (โพสต์ต้นฉบับเป็นภาษาสเปน) ร่วมกับข้อมูลจากรายงานผลการวิเคราะห์ที่หลุดออกมาก่อนหน้านี้ แล้วสรุปเป็นกรณีศึกษา ซึ่งมีประโยชน์สำหรับผู้ที่สนใจการวางแผนรับมือการโจมตี ในรายงานการตรวจวิเคราะห์ ทางผู้วิเคราะห์พบว่าการเจาะระบบในครั้งนั้นเริ่มต้นจากการจดโดเมนที่สะกดชื่อให้ใกล้เคียงกับโดเมนที่มีการใช้งานจริง จากนั้นใช้โดเมนดังกล่าวส่งอีเมลฟิชชิ่งไปยังเจ้าหน้าที่ของธนาคารโดยหลอกว่าเป็นเอกสารแจ้งเปลี่ยนราคาซื้อขายพร้อมกับแนบไฟล์โปรแกรมมัลแวร์ชื่อ Adwind หลังจากเจ้าหน้าที่ธนาคารเผลอเปิดไฟล์แนบ มัลแวร์ก็ถูกเรียกขึ้นมาทำงานและส่งผลให้ผู้โจมตีสามารถเข้าถึงระบบเครือข่ายภายในของธนาคารได้ อย่างไรก็ตาม ทางกลุ่มแฮกเกอร์ปฏิเสธว่าไม่ได้โจมตีผ่านช่องทางดังกล่าว โดยอ้างว่าสามารถเข้าถึงระบบภายในของธนาคารได้ผ่านการโจมตีช่องโหว่ของบริการ VPN ซึ่งทางกลุ่มแฮกเกอร์คาดว่าอีเมลฟิชชิ่งฉบับนั้นน่าจะเป็นการโจมตีจากกลุ่มอื่นหรือบุคคลอื่นที่ลงมือในช่วงเวลาใกล้เคียงกันมากกว่า ถึงแม้การเจาะระบบภายในของธนาคารจะสำเร็จไปตั้งแต่ช่วงเดือนสิงหาคม 2015 แต่การลงมือขโมยเงินจริงๆ เกิดขึ้นในเดือนมกราคม 2016 โดยระหว่างนั้นทางกลุ่ม Phineas Phisher ได้ใช้เวลาในการศึกษาระบบเครือข่ายภายในของธนาคาร ติดตั้งเครื่องมือช่วยอำนวยความสะดวกในการเจาะระบบ ติดตามพฤติกรรมของเจ้าหน้าที่ธนาคารเพื่อศึกษาขั้นตอนการโอนเงินผ่านระบบ SWIFT รวมถึงศึกษาเอกสารต่างๆ ที่เกี่ยวข้องกับการโอนเงินเพื่อให้การขโมยเงินนั้นแนบเนียนที่สุด การโจมตีในครั้งนั้นทางกลุ่ม Phineas Phisher สามารถโอนเงินสำเร็จได้หลายครั้ง รวมมูลค่าความเสียหายหลายแสนปอนด์…

แถลงข่าว จับกุมหนุ่มแฮก facebook “หลอกโอนเงิน” เข้ากระเป๋าเงินอิเล็กทรอนิกส์

นายพุทธิพงษ์ ปุณณกันต์ รัฐมนตรีว่าการกระทรวงดิจิทัลเพื่อเศรษฐกิจและสังคม เปิดเผยในการร่วมกับ สำนักงานตำรวจแห่งชาติ โดยกองบัญชาการตำรวจสอบสวนกลาง กองบังคับการปราบปรามการกระทำความผิดเกี่ยวกับอาชญากรรมทางเทคโนโลยี (บก.ปอท.) ที่ผ่านมาและมีสถิติรายงานผลการดำเนินงานต่อผู้กระทำผิดตามพระราชบัญญัติว่าด้วยการกระทำความผิดเกี่ยวกับคอมพิวเตอร์ พ.ศ. ๒๕๕๐ และที่แก้ไขเพิ่มเติม มาดำเนินคดีตามกฎหมายและเร่งรัดดำเนินคดีการตามมาตรการป้องกันและปราบปราม ในห้วงที่ผ่านมามีสถิติการจับกุมระหว่างเดือนกรกฎาคม – เดือนกันยายน ๒๕๖๒ มีจำนวนทั้งสิ้น ๗ ราย ดังนี้ เดือนกรกฎาคม ๖ ราย เดือนสิงหาคม ๖ ราย และเดือนกันยายน ๑ ราย วันนี้ (15 พฤศจิกายน) มีการแถลงข่าวจับกุมตัวผู้ต้องหาแฮก facebook หลอกยืมเงินเข้ากระเป๋าเงินอิเล็กทรอนิกส์ โดยมีรูปแบบการกระทำความผิด (แผนประทุษกรรม) ที่ซับซ้อน โดยหลอกลวงรับสมัครงานในโลกออนไลน์เพื่อเอาบัญชีผู้อื่นที่มาสมัครงานเป็นบัญชีผู้รับโอนเงินจากเหยื่อ ซึ่งเมื่อวันที่ 14 พ.ย.62 ภายใต้การอำนวยการของ พล.ต.ต.ไพบูลย์ น้อยหุ่น ผบก.ปอท. พ.ต.อ.สมเกียรติ เฉลิมเกียรติ รอง ผบก.ปอท. พ.ต.อ.ศิริวัฒน์ ดีพอ รอง ผบก.ปอท.…

แจ้งเตือนการโจมตีแบบ APT จากกลุ่ม Calypso ขโมยข้อมูลสำคัญทั้งจากหน่วยงานระดับสูง ไทยเสี่ยงโดนด้วย

ทีมนักวิจัยด้านความมั่นคงปลอดภัยจากบริษัท Positive Technologies ได้เผยแพร่รายงานบทวิเคราะห์การโจมตีของกลุ่ม Calypso ซึ่งเป็นกลุ่มที่โจมตีในลักษณะ Advance Persistent Threat (APT) โดยมีเป้าหมายเพื่อขโมยข้อมูลสำคัญจากหน่วยงานระดับสูงของรัฐบาลหลายๆ ประเทศ โดยในรายงานได้ระบุว่าประเทศไทยตกเป็นเป้าหมายด้วย จากรายงาน ทีมวิจัยคาดว่าการโจมตีของกลุ่ม Calypso น่าจะเริ่มดำเนินการมาแล้วตั้งแต่เดือนกันยายน 2559 โดยช่องทางการโจมตีในขั้นแรก (initial vector) จะเจาะระบบเว็บไซต์แล้ววางไฟล์ web shell (.aspx) ไว้ในเครื่องเซิร์ฟเวอร์ จุดประสงค์เพื่อใช้เป็นช่องทางพิเศษในการรับคำสั่ง จากนั้นจะใช้เครื่องเซิร์ฟเวอร์ดังกล่าวเป็นช่องทางเพื่อขยายต่อไปยังเครื่องอื่นๆ ในเครือข่ายต่อไป (lateral movement) ในขั้นตอนถัดมาจะมีการติดตั้งเครื่องมือสำหรับใช้ในการรวบรวมข้อมูลหรือแพร่กระจายมัลแวร์ไปยังเครื่องอื่นๆ ในเครือข่าย ซึ่งเครื่องมือที่ใช้ส่วนใหญ่เป็นเครื่องมือที่สามารถดาวน์โหลดได้จากอินเทอร์เน็ต เช่น Sysinternals, Mimikatz, Netcat หรือเครื่องมือสำหรับโจมตีช่องโหว่อย่าง DoublePulsar และ EternalBlue เป็นต้น โดยเครื่องมือเหล่านี้จะถูกดาวน์โหลดมาเก็บไว้ในไดเรกทอรี C:\RECYCLER หรือ C:\ProgramData ทั้งนี้ จากรายงานพบว่ามีการใช้เครื่องมือเฉพาะของกลุ่ม APT อื่นมาประกอบการโจมตีด้วย แต่ยังไม่ยืนยันว่ากลุ่ม Calypso นี้มีความเชื่อมโยงกับกลุ่ม APT…

‘ไฟร์อาย’ เผยแฮกเกอร์จีนลอบเจาะล้วงข้อความในโทรศัพท์ชาวต่างชาติหลายพันคน

Alister Shepherd, the director of a subsidiary of the cybersecurity firm FireEye, gestures during a presentation about the APT33 hacking group, which his firm suspects are Iranian government-aligned hackers, in Dubai, United Arab Emirates, Tuesday,… บริษัทรักษาความปลอดภัยทางไซเบอร์ ไฟร์อาย (FireEye) เปิดเผยว่า แฮกเกอร์จากจีนซึ่งมีความเกี่ยวโยงกับรัฐบาลจีน ได้ลอบเจาะล้วงข้อมูลการส่งข้อความผ่านโทรศัพท์มือถือของชาวต่างชาติหลายพันคน FireEye ระบุในรายงานว่า แฮกเกอร์ซึ่งสังกัดกลุ่ม Advanced Persistent Threat 41หรือ APT41 มีส่วนในการสอดแนมทางไซเบอร์หลายครั้งในช่วง 10 ปีที่ผ่านมา มุ่งเป้าไปที่เป้าหมายระดับสูงและเบอร์โทรศัพท์ที่ถูกเลือกมาโดยเฉพาะ โดยใช้วิธีติดตั้งซอฟท์แวร์แฮกข้อมูล หรือ…