Tag Archives: แฮกเกอร์

แจ้งเตือนการโจมตีผ่านบริการ remote desktop เพื่อแพร่กระจายมัลแวร์แบบ fileless พบในไทยโดนด้วย

บริษัท Bitdefender รายงานการโจมตีโดยอาศัยฟีเจอร์ของบริการ remote desktop ใน Windows เพื่อแพร่กระจายและสั่งรันมัลแวร์ในลักษณะ fileless ซึ่งเป็นการสั่งรันโค้ดของมัลแวร์จากแรมโดยตรง ไม่สร้างไฟล์ไว้ในฮาร์ดดิสก์ จุดประสงค์เพื่อขโมยข้อมูลและขุดเงินดิจิทัล พบเครื่องในไทยตกเป็นเหยื่อด้วย ลักษณะการโจมตีจะอาศัยฟีเจอร์ Terminal Server ของบริการ remote deskop ที่อนุญาตให้เครื่องไคลเอนต์แชร์ไดรฟ์หรือไดเรกทอรีแบบให้สิทธิ์ในการแก้ไขข้อมูลได้ โดยตัวไดรฟ์ที่ถูกแชร์จะปรากฎในชื่อ ‘tsclient’ จุดสำคัญของฟีเจอร์นี้คือรองรับการตั้งค่าให้มีการสั่งรันโปรแกรมได้เมื่อล็อกอิน โดยโปรแกรมดังกล่าวจะถูกรันในแรมของฝั่งไคลเอนต์ ทำให้ผู้ประสงค์ร้ายสามารถใช้ช่องทางนี้ในการสั่งรันมัลแวร์ผ่านเครือข่ายได้โดยไม่ปรากฎข้อมูลใน log ทาง Bitdefender พบการติดตั้งไฟล์มัลแวร์ลงในเครื่องไคลเอนต์ไว้ก่อนแล้ว (ช่องทางการโจมตียังไม่ยืนยัน อาจเป็นไปได้ว่าผู้ประสงค์ร้ายได้รหัสผ่านไปก่อนหน้านี้แล้ว) จากนั้นตั้งค่าให้มีการเรียกใช้งานไฟล์มัลแวร์โดยอัตโนมัติเมื่อมีการเข้าถึงไดรฟ์ที่ถูกแชร์ผ่านเครือข่าย ตัวมัลแวร์ที่พบนี้มีความสามารถหลายอย่างไม่ว่าจะเป็นการขโมยข้อมูล ติดตั้งมัลแวร์ขุดเงินดิจิทัล หรือติดตั้งมัลแวร์เรียกค่าไถ่ ทั้งนี้ รายละเอียดช่องทางการโจมตีหรือกลุ่มที่อยู่เบื้องหลังการโจมตีในครั้งนี้ยังไม่ปรากฎแน่ชัด ประเทศที่ตกเป็นเหยื่อมากที่สุดคือบราซิล สหรัฐฯ และโรมาเนีย โดยมีเหยื่อในไทยประมาณ 10 เครื่องถูกโจมตีด้วย ข้อมูล IOC ของมัลแวร์ที่เกี่ยวข้องสามารถดูเพิ่มเติมได้จากรายงานฉบับเต็ม การป้องกันสามารถทำได้โดยตั้งค่า Group Policy เพื่อปิดในส่วน Do not allow Clipboard redirection…

กรณีศึกษา กลุ่มแฮกเกอร์เผยวิธีเจาะระบบธนาคาร Cayman ขโมยเงินไปได้หลายแสนปอนด์

กลุ่มแฮกเกอร์ที่ใช้ชื่อว่า Phineas Phisher ได้โพสต์รายละเอียดขั้นตอนวิธีที่ใช้ในการเจาะระบบของธนาคารแห่งชาติหมู่เกาะเคย์แมน (Cayman National Isle of Man Bank) โดยเป็นเหตุการณ์ที่เกิดขึ้นเมื่อปี 2016 มูลค่าความเสียหายรวมกว่าหลายแสนปอนด์ ก่อนหน้านี้ทางธนาคารไม่ได้ออกมาให้ข้อมูลรายละเอียดของเหตุการณ์นี้โดยตรง แต่ก็มีเอกสารที่เป็นรายงานผลการตรวจวิเคราะห์การโจมตีหลุดออกมา เว็บไซต์ CSO Online ได้วิเคราะห์โพสต์ของกลุ่มแฮกเกอร์ Phineas Phisher (โพสต์ต้นฉบับเป็นภาษาสเปน) ร่วมกับข้อมูลจากรายงานผลการวิเคราะห์ที่หลุดออกมาก่อนหน้านี้ แล้วสรุปเป็นกรณีศึกษา ซึ่งมีประโยชน์สำหรับผู้ที่สนใจการวางแผนรับมือการโจมตี ในรายงานการตรวจวิเคราะห์ ทางผู้วิเคราะห์พบว่าการเจาะระบบในครั้งนั้นเริ่มต้นจากการจดโดเมนที่สะกดชื่อให้ใกล้เคียงกับโดเมนที่มีการใช้งานจริง จากนั้นใช้โดเมนดังกล่าวส่งอีเมลฟิชชิ่งไปยังเจ้าหน้าที่ของธนาคารโดยหลอกว่าเป็นเอกสารแจ้งเปลี่ยนราคาซื้อขายพร้อมกับแนบไฟล์โปรแกรมมัลแวร์ชื่อ Adwind หลังจากเจ้าหน้าที่ธนาคารเผลอเปิดไฟล์แนบ มัลแวร์ก็ถูกเรียกขึ้นมาทำงานและส่งผลให้ผู้โจมตีสามารถเข้าถึงระบบเครือข่ายภายในของธนาคารได้ อย่างไรก็ตาม ทางกลุ่มแฮกเกอร์ปฏิเสธว่าไม่ได้โจมตีผ่านช่องทางดังกล่าว โดยอ้างว่าสามารถเข้าถึงระบบภายในของธนาคารได้ผ่านการโจมตีช่องโหว่ของบริการ VPN ซึ่งทางกลุ่มแฮกเกอร์คาดว่าอีเมลฟิชชิ่งฉบับนั้นน่าจะเป็นการโจมตีจากกลุ่มอื่นหรือบุคคลอื่นที่ลงมือในช่วงเวลาใกล้เคียงกันมากกว่า ถึงแม้การเจาะระบบภายในของธนาคารจะสำเร็จไปตั้งแต่ช่วงเดือนสิงหาคม 2015 แต่การลงมือขโมยเงินจริงๆ เกิดขึ้นในเดือนมกราคม 2016 โดยระหว่างนั้นทางกลุ่ม Phineas Phisher ได้ใช้เวลาในการศึกษาระบบเครือข่ายภายในของธนาคาร ติดตั้งเครื่องมือช่วยอำนวยความสะดวกในการเจาะระบบ ติดตามพฤติกรรมของเจ้าหน้าที่ธนาคารเพื่อศึกษาขั้นตอนการโอนเงินผ่านระบบ SWIFT รวมถึงศึกษาเอกสารต่างๆ ที่เกี่ยวข้องกับการโอนเงินเพื่อให้การขโมยเงินนั้นแนบเนียนที่สุด การโจมตีในครั้งนั้นทางกลุ่ม Phineas Phisher สามารถโอนเงินสำเร็จได้หลายครั้ง รวมมูลค่าความเสียหายหลายแสนปอนด์…

แถลงข่าว จับกุมหนุ่มแฮก facebook “หลอกโอนเงิน” เข้ากระเป๋าเงินอิเล็กทรอนิกส์

นายพุทธิพงษ์ ปุณณกันต์ รัฐมนตรีว่าการกระทรวงดิจิทัลเพื่อเศรษฐกิจและสังคม เปิดเผยในการร่วมกับ สำนักงานตำรวจแห่งชาติ โดยกองบัญชาการตำรวจสอบสวนกลาง กองบังคับการปราบปรามการกระทำความผิดเกี่ยวกับอาชญากรรมทางเทคโนโลยี (บก.ปอท.) ที่ผ่านมาและมีสถิติรายงานผลการดำเนินงานต่อผู้กระทำผิดตามพระราชบัญญัติว่าด้วยการกระทำความผิดเกี่ยวกับคอมพิวเตอร์ พ.ศ. ๒๕๕๐ และที่แก้ไขเพิ่มเติม มาดำเนินคดีตามกฎหมายและเร่งรัดดำเนินคดีการตามมาตรการป้องกันและปราบปราม ในห้วงที่ผ่านมามีสถิติการจับกุมระหว่างเดือนกรกฎาคม – เดือนกันยายน ๒๕๖๒ มีจำนวนทั้งสิ้น ๗ ราย ดังนี้ เดือนกรกฎาคม ๖ ราย เดือนสิงหาคม ๖ ราย และเดือนกันยายน ๑ ราย วันนี้ (15 พฤศจิกายน) มีการแถลงข่าวจับกุมตัวผู้ต้องหาแฮก facebook หลอกยืมเงินเข้ากระเป๋าเงินอิเล็กทรอนิกส์ โดยมีรูปแบบการกระทำความผิด (แผนประทุษกรรม) ที่ซับซ้อน โดยหลอกลวงรับสมัครงานในโลกออนไลน์เพื่อเอาบัญชีผู้อื่นที่มาสมัครงานเป็นบัญชีผู้รับโอนเงินจากเหยื่อ ซึ่งเมื่อวันที่ 14 พ.ย.62 ภายใต้การอำนวยการของ พล.ต.ต.ไพบูลย์ น้อยหุ่น ผบก.ปอท. พ.ต.อ.สมเกียรติ เฉลิมเกียรติ รอง ผบก.ปอท. พ.ต.อ.ศิริวัฒน์ ดีพอ รอง ผบก.ปอท.…

แจ้งเตือนการโจมตีแบบ APT จากกลุ่ม Calypso ขโมยข้อมูลสำคัญทั้งจากหน่วยงานระดับสูง ไทยเสี่ยงโดนด้วย

ทีมนักวิจัยด้านความมั่นคงปลอดภัยจากบริษัท Positive Technologies ได้เผยแพร่รายงานบทวิเคราะห์การโจมตีของกลุ่ม Calypso ซึ่งเป็นกลุ่มที่โจมตีในลักษณะ Advance Persistent Threat (APT) โดยมีเป้าหมายเพื่อขโมยข้อมูลสำคัญจากหน่วยงานระดับสูงของรัฐบาลหลายๆ ประเทศ โดยในรายงานได้ระบุว่าประเทศไทยตกเป็นเป้าหมายด้วย จากรายงาน ทีมวิจัยคาดว่าการโจมตีของกลุ่ม Calypso น่าจะเริ่มดำเนินการมาแล้วตั้งแต่เดือนกันยายน 2559 โดยช่องทางการโจมตีในขั้นแรก (initial vector) จะเจาะระบบเว็บไซต์แล้ววางไฟล์ web shell (.aspx) ไว้ในเครื่องเซิร์ฟเวอร์ จุดประสงค์เพื่อใช้เป็นช่องทางพิเศษในการรับคำสั่ง จากนั้นจะใช้เครื่องเซิร์ฟเวอร์ดังกล่าวเป็นช่องทางเพื่อขยายต่อไปยังเครื่องอื่นๆ ในเครือข่ายต่อไป (lateral movement) ในขั้นตอนถัดมาจะมีการติดตั้งเครื่องมือสำหรับใช้ในการรวบรวมข้อมูลหรือแพร่กระจายมัลแวร์ไปยังเครื่องอื่นๆ ในเครือข่าย ซึ่งเครื่องมือที่ใช้ส่วนใหญ่เป็นเครื่องมือที่สามารถดาวน์โหลดได้จากอินเทอร์เน็ต เช่น Sysinternals, Mimikatz, Netcat หรือเครื่องมือสำหรับโจมตีช่องโหว่อย่าง DoublePulsar และ EternalBlue เป็นต้น โดยเครื่องมือเหล่านี้จะถูกดาวน์โหลดมาเก็บไว้ในไดเรกทอรี C:\RECYCLER หรือ C:\ProgramData ทั้งนี้ จากรายงานพบว่ามีการใช้เครื่องมือเฉพาะของกลุ่ม APT อื่นมาประกอบการโจมตีด้วย แต่ยังไม่ยืนยันว่ากลุ่ม Calypso นี้มีความเชื่อมโยงกับกลุ่ม APT…

‘ไฟร์อาย’ เผยแฮกเกอร์จีนลอบเจาะล้วงข้อความในโทรศัพท์ชาวต่างชาติหลายพันคน

Alister Shepherd, the director of a subsidiary of the cybersecurity firm FireEye, gestures during a presentation about the APT33 hacking group, which his firm suspects are Iranian government-aligned hackers, in Dubai, United Arab Emirates, Tuesday,… บริษัทรักษาความปลอดภัยทางไซเบอร์ ไฟร์อาย (FireEye) เปิดเผยว่า แฮกเกอร์จากจีนซึ่งมีความเกี่ยวโยงกับรัฐบาลจีน ได้ลอบเจาะล้วงข้อมูลการส่งข้อความผ่านโทรศัพท์มือถือของชาวต่างชาติหลายพันคน FireEye ระบุในรายงานว่า แฮกเกอร์ซึ่งสังกัดกลุ่ม Advanced Persistent Threat 41หรือ APT41 มีส่วนในการสอดแนมทางไซเบอร์หลายครั้งในช่วง 10 ปีที่ผ่านมา มุ่งเป้าไปที่เป้าหมายระดับสูงและเบอร์โทรศัพท์ที่ถูกเลือกมาโดยเฉพาะ โดยใช้วิธีติดตั้งซอฟท์แวร์แฮกข้อมูล หรือ…

เผยเทคนิคกลุ่มแฮกเกอร์ใช้ steganography เพื่อซ่อนมัลแวร์ไว้ในไฟล์ WAV

Steganography เป็นเทคนิคการซ่อนข้อมูลลับไว้ในสื่อที่ไม่ได้เป็นความลับ โดยมีจุดประสงค์เพื่ออำพรางให้ตรวจสอบความผิดปกติได้ยาก ตัวอย่างการใช้งานเทคนิคนี้ เช่น ซ่อนข้อมูลลับไว้ในไฟล์รูปภาพ ซึ่งผู้ที่เปิดดูไฟล์นี้ก็จะเห็นเป็นรูปภาพปกติ แต่ผู้ที่รู้ว่าภาพนี้มีข้อมูลซ่อนอยู่ก็สามารถใช้วิธีเฉพาะในการสกัดข้อมูลที่ซ่อนไว้ออกมาได้ ซึ่งที่ผ่านมาก็ได้มีผู้พัฒนามัลแวร์หลายรายนำเทคนิคนี้มาใช้เป็นส่วนประกอบการโจมตีอยู่เรื่อย ๆ ทีมนักวิจัยจาก BlackBerry Cylance ได้เผยแพร่รายงานการโจมตีของกลุ่มแฮกเกอร์ที่ใช้เทคนิค steganography เพื่อฝังมัลแวร์ไว้ในไฟล์ WAV ซึ่งเป็นไฟล์เสียงที่สามารถเปิดฟังได้โดยใช้โปรแกรมทั่วไป โดยทางนักวิจัยพบว่ากลุ่มแฮกเกอร์ได้ใช้เทคนิคนี้เพื่อแพร่กระจายมัลแวร์ XMRig ซึ่งเป็นมัลแวร์ขุดเงินดิจิทัลสกุล Monero รวมถึงใช้เพื่ออำพรางโค้ดสำหรับโจมตีระบบ สาเหตุที่ทางนักวิจัยสามารถตรวจพบการโจมตีด้วยเทคนิคเหล่านี้ได้เนื่องจากพบไฟล์ที่ใช้สกัดข้อมูลออกมาจากไฟล์ WAV ดังกล่าว จากรายงาน นักวิจัยพบว่าผู้พัฒนามัลแวร์ใช้ 2 อัลกอริทึมหลักๆ ในการอำพรางและสกัดข้อมูลออกมาจากไฟล์ WAV โดยอัลกอริทึมแรกคือการใช้ Least Significant Bit (LSB) ซึ่งเป็นการซ่อนข้อมูลไว้ใน bit สุดท้ายของแต่ละ block ซึ่งการสกัดข้อมูลออกมาก็จะใช้วิธีวนลูปอ่านค่ามาทีละ block แล้วนำ bit สุดท้ายมาต่อกัน จนสุดท้ายได้เป็นไฟล์มัลแวร์ออกมา ส่วนอัลกอริทึมที่สองจะใช้ฟังก์ชัน rand() ของ Windows ซึ่งเป็นฟังก์ชันที่ใช้สำหรับสร้างชุดเลขสุ่มเทียม (Pseudo Random Number…