Tag Archives: แฮกเกอร์

ProLock Ransomware จำนวนเหยื่อและความรุนแรงสูงขึ้นอย่างน่ากังวล

  จากการรายงานในเว็บไซต์ bleepingcomputer กล่าวว่าพบ Ransomware ตัวใหม่ชื่อว่า ProLock โดยพัฒนามาจาก PwndLocker ที่เริ่มโจมตีตั้งแต่เดือนมีนาคม 2020 ที่ผ่านมา ซึ่ง ProLock ถูกจับตามองอย่างรวดเร็ว เนื่องจากมีจำนวนผู้ตกเป็นเหยื่อพุ่งสูงขึ้น ถือเป็น Ransomware ที่มีความต้องการ decryption key สูงขึ้นมากในระยะเวลาอันรวดเร็ว โดยมีเป้าหมายคือ กลุ่มธุรกิจและรัฐบาลท้องถิ่น และล่าสุดมีรายงานว่า บริษัทผู้นำด้านเทคโนโลยีที่เกี่ยวกับการเงินและ E-commerce ยักษ์ใหญ่สัญชาติอเมริกันอย่าง Diebold Nixdorf ซึ่งเป็นที่รู้จักกันดีว่าเป็นผู้ให้บริการ Automatic teller machines (ATMs) ทั่วโลก ถูกโจมตีด้วย ProLock Ransomware แต่การโจมตีครั้งนี้ถูกตรวจพบ และหยุดหยั้งไว้ได้ก่อนจะเข้าสู่ encryption state จึงยังไม่มีผลกระทบต่อระบบ Oleg Skulkin ผู้เชี่ยวชาญด้าน Digital Forensics Analyst ของบริษัทด้าน cybersecurity แห่งหนึ่งในสิงคโปร์ ออกมาให้ข้อมูลเกี่ยวกับ ProLock…

แจ้งเตือน พบการส่ง SMS แอบอ้างเป็นรัฐบาลไทยส่งข่าวเรื่อง COVID-19 แท้จริงเป็นมัลแวร์ขโมยข้อมูลทางการเงิน

ไทยเซิร์ตพบการแพร่กระจายมัลแวร์ โจมตีผู้ใช้งาน Android ในประเทศไทย โดยช่องทางการโจมตีผู้ไม่หวังดีจะส่ง SMS ที่แอบอ้างว่าเป็นการแจ้งเตือนเรื่อง COVID-19 จากรัฐบาลไทย ใน SMS ดังกล่าวจะมีลิงก์ไปยังเว็บไซต์ thaigov[.]online ตัวอย่าง SMS แสดงในรูปที่ 1 หากเข้าไปยังเว็บไซต์ดังกล่าวโดยใช้โทรศัพท์มือถือ Android จะพบหน้าจอแจ้งให้ดาวน์โหลดโปรแกรม Adobe Flash Player มาติดตั้งในลักษณะเป็นไฟล์ .apk ดังแสดงในรูปที่ 2 ทั้งนี้มีข้อสังเกตว่าทั้งข้อความใน SMS และข้อความบนเว็บไซต์ที่ใช้แพร่กระจายมัลแวร์นั้นเป็นภาษาไทยที่มีลักษณะเหมือนการใช้โปรแกรมแปลภาษา จากการวิเคราะห์ไฟล์ดังกล่าวพบว่าเป็นมัลแวร์ขโมยข้อมูลทางการเงินสายพันธุ์ Cerberus ซึ่งเป็นมัลแวร์ที่มีการซื้อขายในตลาดมืด ตัวมัลแวร์มีการขอสิทธิ์ที่อาจส่งผลต่อความเป็นส่วนตัวด้วย เช่น เข้าถึงโทรศัพท์ รับส่ง SMS และบันทึกเสียง จากการตรวจสอบข้อมูลของเว็บไซต์ thaigov[.]online พบว่าถูกจดโดเมนเมื่อวันที่ 11 พฤษภาคม 2563 ปัจจุบันไทยเซิร์ตได้ประสานเพื่อระงับการเข้าถึงเว็บไซต์ดังกล่าวแล้ว ทั้งนี้ ผู้ใช้ควรระมัดระวังก่อนคลิกลิงก์ที่ส่งมาใน SMS รวมถึงไม่ควรดาวน์โหลดและติดตั้งซอฟต์แวร์ที่ไม่สามารถยืนยันความน่าเชื่อถือของแหล่งที่มา ข้อมูล IOC ชื่อไฟล์: UpdateFlashPlayer_11_5_2.apk MD5:…

กลุ่มแฮกเกอร์แอบขโมยข้อมูลผู้ใช้กว่า 73 ล้านรายการออกขายบนเว็บมืด

การใช้บริการอินเทอร์เน็ตไม่ว่าจะผ่านเว็บไซต์หรือแอป เมื่อเริ่มต้นสมัครการใช้งานทางผู้ให้บริการจะมีแบบฟอร์มให้ผู้ใช้กรอกข้อมูลส่วนตัวจัดเก็บไว้ในฐานข้อมูล บางครั้งข้อมูลเหล่านี้ได้รั่วไหลออกไปหรือถูกล้วงข้อมูลเพื่อนำไปใช้ประโยชน์โดยมิชอบ เลวร้ายถึงขนาดนำไปทำธุรกรรมออนไลน์ที่มีข่าวออกมาอย่างต่อเนื่อง ปลายสัปดาห์ที่ผ่านมาแหล่งข่าว ZDNet เปิดเผยว่ามีกลุ่มแฮกเกอร์ ShinyHunters อ้างว่ากำลังขายฐานข้อมูลผู้ใช้งานประมาณ 73.2 ล้านรายการในตลาดเว็บมืด ซึ่งทำเงินได้ประมาณ 18,000 USD (579,060 บาท) โดยได้แอบขโมยฐานข้อมูลมาจากกว่า 10 บริษัทด้วยกัน ประมาณ 30 ล้านรายการมาจากแอปหาคู่ที่ชื่อว่า Zoosk, อีก 15 ล้านรายการมาจาก Chatbooks บริการพรินต์ภาพจาก Instagram, Facebook และแกลเลอรีในโทรศัพท์ในเวลาเพียง 5 นาที ส่วนที่เหลือมาจากเว็บไซต์ที่หลากหลาย ได้แก่ 1 ล้านรายการจากหนังสือพิมพ์ Star Tribune, รวม 8 ล้านรายการจากเว็บไซต์แฟชั่นและเฟอร์นิเจอร์ของเกาหลีใต้, 3 ล้านรายการจากเว็บไซต์ Chronicle of Higher Education นำเสนอข่าวสารข้อมูลและงานสำหรับนักศึกษาในวิทยาลัยและมหาวิทยาลัย, 8 ล้านรายการจาก Home Chef บริการส่งมอบอาหาร, 5…

FBI เผย ‘แฮกเกอร์จีน’ พยายามล้วงข้อมูลงานวิจัย ‘วัคซีนต้านโควิด-19’

เอเอฟพี – สำนักงานสอบสวนกลางสหรัฐฯ (FBI) และผู้เชี่ยวชาญด้านความมั่นคงไซเบอร์เชื่อว่าแฮกเกอร์จีนกำลังพยายามขโมยข้อมูลเกี่ยวกับการพัฒนาวัคซีนต้านไวรัสโคโรนาสายพันธุ์ใหม่ สื่อมะกันรายงานวานนี้ (11 พ.ค.) หนังสือพิมพ์วอลล์สตรีทเจอร์เนิลและนิวยอร์กไทม์สรายงานว่า เอฟบีไอและกระทรวงความมั่นคงแห่งมาตุภูมิสหรัฐฯ มีแผนออกหนังสือเตือนเกี่ยวกับปฏิบัติการของแฮกเกอร์จีน ในขณะที่รัฐบาลและบริษัทเอกชนทั่วโลกกำลังเร่งคิดค้นวัคซีนที่สามารถป้องกันโควิด-19 ได้ ทั้งนี้ เชื่อว่าแฮกเกอร์จีนกำลังพุ่งเป้าไปที่ข้อมูลและทรัพย์สินทางปัญญาเกี่ยวกับวิธีรักษาและการตรวจหาเชื้อโควิด-19 เจ้าหน้าที่สหรัฐฯ อ้างว่าจารชนไซเบอร์กลุ่มนี้มีส่วนเชื่อมโยงถึงรัฐบาลจีน และคาดว่าจะมีคำเตือนออกมาอย่างเป็นทางการภายในอีกไม่กี่วัน จ้าว ลี่เจียน โฆษกกระทรวงการต่างประเทศจีน รีบออกมาปฏิเสธข้อครหาดังกล่าว โดยยืนยันว่ารัฐบาลปักกิ่งต่อต้านการโจมตีทางไซเบอร์ทุกรูปแบบ “เราก็เป็นผู้นำโลกในด้านการรักษาและคิดค้นวัคซีนต้านโควิด-19 การสร้างข่าวลือมาโจมตีและให้ร้ายจีนโดยปราศจากหลักฐานจึงเป็นสิ่งที่ผิดศีลธรรม” จ้าว ระบุ เมื่อถูกถามถึงรายงานในสื่อชั้นนำทั้ง 2 ฉบับ ประธานาธิบดี โดนัลด์ ทรัมป์ แห่งสหรัฐฯ ยังปฏิเสธที่จะยืนยัน แต่บอกว่า “มีเรื่องอะไรใหม่ๆ เกี่ยวกับจีนอีกล่ะ? มีอะไรใหม่เหรอ? บอกผมมาสิ ผมไม่แฮปปี้กับจีนเลย” “เรากำลังตามดูพวกเขาอย่างใกล้ชิด” ผู้นำสหรัฐฯ กล่าวเสริม ก่อนหน้านี้เคยมีรายงานว่า แฮกเกอร์ซึ่งมีรัฐบาลหนุนหลังในอิหร่าน, เกาหลีเหนือ, รัสเซีย และจีน ทำกิจกรรมมุ่งร้ายที่เกี่ยวข้องกับโรคระบาดใหญ่ (pandemic) ตั้งแต่การเผยแพร่เฟคนิวส์เรื่องไปจนถึงการเล่นงานนักวิทยาศาสตร์และบุคลากรทางการแพทย์ นิวยอร์กไทม์สชี้ว่า คำเตือนที่ออกมาอาจนำไปสู่ปฏิบัติการโจมตีตอบโต้โดยหน่วยงานของสหรัฐฯ ที่รับผิดชอบด้านสงครามไซเบอร์…

โลกเรามาถึงจุดที่ “อแดปเตอร์ชาร์จไฟ” ก็สามารถถูกแฮกได้แล้ว!

By Watcharakul Pattanaprateep Xiaomi เปิดตัว Mi 10 พร้อมกับอแดปเตอร์ utilized gallium nitride technology หรือ GaN ที่สามารถจ่ายไฟได้มากถึง 65W แต่เบื้องต้นมีรายงานว่าอแดปเตอร์ดังกล่าวไม่รองรับหลายแพลตฟอร์ม แถมยังมีช่องโหว่ที่ทำให้ถูกแฮกได้ด้วย สื่อต่างประเทศรายงานว่า Xiaomi ได้รับการเตือนจากบริษัทด้านความปลอดภัย โดยทีมรักษาความปลอดภัยแจ้งกับ Xiaomi ว่า อแดปเตอร์ชนิด GaN ของ Xiaomi นั้นใช้ใช้ชิป eFlash / MTP ในการจัดการระบบการจ่ายไฟของตัวอแดปเตอร์ และยังสามารถอัปเดตซอฟต์แวร์ได้อีกด้วย อย่างไรก็ตาม ชิป eFlash ที่ Xiaomi นำมาใช้นั้นเป็นแบบเขียนข้อมูลซ้ำลงไปได้ หรือ Rewrite แถม Xiaomi ไม่ได้เข้ารหัสเอาไว้ มันจึงเป็นข่องโหว่ที่ทำให้แฮกเกอร์สามารถดัดแปลงอแดปเตอร์ชาร์จได้นั่นเอง แฮกอแดปเตอร์ได้แล้วยังไง? อ่านมาถึงตรงนี้หลายคนอาจสงสัยว่า ในเมื่ออแดปเตอร์หรือที่ชาร์จไฟบ้านไม่มีข้อมูลอะไรที่สำคัญ แฮกไปแล้วจะยังไงต่อ? การแฮกเข้าชิป eFlash นั่นหมายถึงสามารถควบคุมการทำงานของอแดปเตอร์ได้ เมื่อควบคุมการทำงานได้ แฮกเกอร์อาจสั่งให้อแดปเตอร์จ่ายไฟเกินกว่าที่ระบบตั้งเอาไว้ตั้งแต่แรก อันทำให้เกิดอันตรายกับผู้ใช้งานรวมถึงอุปกรณ์ที่นำมาใช้ชาร์จด้วย…

ภาพรวมเทคนิคการโจมตีโดยกลุ่ม APT ที่ใช้เรื่อง COVID-19 เป็นตัวล่อ

บริษัท Malwarebytes ได้เผยแพร่รายงาน threat intelligence ประจำเดือนเมษายน 2563 โดยเป็นการรวบรวมและวิเคราะห์ข้อมูลการโจมตีโดยกลุ่ม APT (Advanced Persistent Threat) ที่อาศัยเรื่องไวรัสโคโรน่าหรือ COVID-19 เป็นช่องทางในการหลอกล่อ ทั้งนี้ในรายงานฉบับดังกล่าวมีข้อมูลของกลุ่ม APT ที่มุ่งเป้าโจมตีหน่วยงานในประเทศไทยด้วย การโจมตีแบบ APT คือการใช้เทคนิคขั้นสูงเพื่อเจาะเข้ามาฝังตัวอยู่ในระบบเป็นเวลานาน โดยในขั้นตอนแรก ๆ ของการโจมตีมักใช้วิธีเจาะระบบผ่านช่องโหว่ หรือหลอกล่อให้บุคคลภายในหลงเชื่อเปิดไฟล์มัลแวร์ที่เปิดช่องทางให้ผู้โจมตีเชื่อมต่อเข้ามาในระบบได้ ตัวอย่างเทคนิคการโจมตีที่พบ เช่น ส่งไฟล์ Microsoft Office ที่อ้างว่าเป็นข้อมูลการรับมือ COVID-19 โดยไฟล์เอกสารดังกล่าวมีสคริปต์ Macro ฝังอยู่ หากอนุญาตให้สคริปต์ทำงาน มัลแวร์ก็จะถูกดาวน์โหลดมาติดตั้งลงในเครื่อง เป็นต้น นอกจากนี้ยังพบการโจมตีผ่านช่องโหว่ของการประมวลผลไฟล์ RTF หรือฝังคำสั่งอันตรายมาในไฟล์ LNK เป็นต้น ซึ่งช่องทางเหล่านี้อาจถูกใช้เพื่อติดตั้งมัลแวร์หรือเปิดช่องทางให้ผู้โจมตีเชื่อมต่อเข้ามาควบคุมเครื่องคอมพิวเตอร์ของเหยื่อได้ในภายหลัง ในรายงานของ Malwarebytes ระบุว่ากลุ่ม APT ที่มุ่งเป้าโจมตีประเทศไทยนั้นมีทั้งหมด 2 กลุ่ม ประกอบด้วย Ocean Lotus และ…