TTC-CERT พบแคมเปญ BangkokShell ถูกใช้ในการโจรกรรมข้อมูลจากหน่วยงานด้านความมั่นคงของประเทศไทย

การรักษาความลับ, ข่าวประจำวัน, สถานการณ์ไซเบอร์

Loading

    ศูนย์ประสานงานรักษาความมั่นคงปลอดภัยทางคอมพิวเตอร์ด้านโทรคมนาคม (TTC-CERT) รายงานการตรวจพบแคมเปญการโจมตีทางไซเบอร์ซึ่งทำการโจมตีหน่วยงานด้านความมั่นคงแห่งหนึ่งในประเทศไทย โดยศูนย์ TTC-CERT คาดการณ์ด้วยความเชื่อมั่นระดับปานกลาง (medium level of confidence) ว่ากลุ่มผู้โจมตีที่อยู่เบื้องหลังการโจมตีในครั้งนี้มีความเกี่ยวข้องกับกลุ่มแฮ็กเกอร์ที่ใช้ภาษาจีนในการสื่อสาร   ศูนย์ TTC-CERT ตั้งชื่อให้กับแคมเปญการโจมตีนี้ว่า BangkokShell เพื่อต้องการสื่อถึงเทคนิคที่กลุ่มผู้โจมตีใช้ ซึ่งได้มีการเตรียม payload ที่เป็นไฟล์ประเภท Dynamic Link Library (DLL) โดยนำมาแปลงให้กลายเป็นข้อมูลในรูปแบบ shellcode ก่อนที่จะทำการ obfuscate ด้วยอัลกอริทึม XOR cipher และฝัง payload ดังกล่าว เอาไว้ภายในไฟล์ shellcode อีกชั้นหนึ่ง นอกจากนี้ผู้โจมตียังได้ทำการจดทะเบียนโดเมนชื่อ www.bangkokdailyone[.]com เพื่อเตรียมนำมาใช้เป็น Command and Control (C2) อีกด้วย     การโจมตีเริ่มต้นโดยการใช้เทคนิค DLL Side-loading เพื่อทำการโหลดไฟล์ shellcode เข้าสู่พื้นที่หน่วยความจำของโปรเซสซึ่งต่อมาไฟล์…

เปิดเทคนิคการโจมตี ด้วย ‘ChatGPT’ แบบใหม่

บทความน่าสนใจ

Loading

  ปัจจุบัน ChatGPT ได้รับความสนใจจากผู้ใช้งานเป็นวงกว้างและคาดว่าจะเพิ่มสูงขึ้นเรื่อย ๆ ซึ่งจุดนี้เองนี้ที่ทำให้เหล่าบรรดาแฮ็กเกอร์มองเห็นโอกาสและช่องโหว่ในการบุกเข้าโจมตีเหยื่อ   ในวันนี้ผมจะขออธิบายเพื่อให้ท่านผู้อ่านได้เข้าใจถึงภัยคุกคามรูปแบบใหม่นี้เพื่อเป็นการตั้งรับกับสิ่งที่เราต้องเผชิญในเร็ว ๆ นี้กันนะครับ   ก่อนอื่นเลยผมขอพูดถึงเรื่องเทคนิคการโจมตีทางไซเบอร์แบบใหม่ที่ได้รับการขนานนามในวงการว่า “AI package hallucination” โดยได้รับการเปิดเผยจากทีมนักวิจัยว่า มีการใช้โมเดลภาษา OpenAI ChatGPT ทำให้แฮ็กเกอร์สามารถปล่อยสิ่งที่เป็นอันตรายเข้าไปในระบบที่นักพัฒนาทำงานอยู่   ChatGPT จะสร้างสิ่งต่าง ๆ ไม่ว่าจะเป็น URL ตัวอย่างอย่างอิงอ้าง (Reference) ไลบรารีโค้ด (Library code) และฟังก์ชันที่ไม่มีอยู่จริงขึ้นมาใหม่ โดยการปลอมแปลงโมเดลภาษาขนาดใหญ่หรือ LLM ซึ่งได้มีการรายงานแจ้งเตือนและอาจเป็นผลลัพธ์ที่ได้มาจากการเทรนนิ่งก่อนหน้านี้แล้ว   ทั้งนี้แฮ็กเกอร์จะใช้ความสามารถสร้างรหัสของ ChatGPT และใช้ประโยชน์จากไลบรารีโค้ดที่สร้างขึ้นเป็นแพ็กเกจเพื่อหลอกลวงและเผยแพร่ออกสู่โลกไซเบอร์ผ่าน typosquatting หรือ masquerading   เทคนิคนี้จะดำเนินการผ่านการตั้งคำถามกับ ChatGPT เพื่อขอแพ็คเกจการแก้ไขปัญหาเกี่ยวกับโค้ดและขอคำแนะนำแพ็กเกจที่หลากหลาย รวมไปถึงการขอบางแพ็คเกจที่ไม่ได้เผยแพร่ในที่เก็บข้อมูลที่ถูกกฏหมาย   จากนั้นจะเริ่มกระบวนการต่อไปคือการแทนที่แพ็กเกจเหล่านี้ทั้งหมดด้วยแพ็คเกจปลอมต่าง ๆ ซึ่งแฮ็กเกอร์จะหลอกล่อผู้ที่มีแนวโน้มจะใช้ตามคำแนะนำของ ChatGPT   ทั้งนี้ จากการทำ…

‘แฮ็กเกอร์’ระบาด ข้อมูลรั่ว..ใครรับผิดชอบ

บทความน่าสนใจ

Loading

  องค์กรหรือหน่วยงานต่าง ๆ รวมไปถึงองค์กรธุรกิจขนาดใหญ่ที่กุม “ความลับ” ของคน ลูกค้า ผู้ใช้บริการเอาไว้ ต้องไม่นิ่งนอนใจ หาทางรับมือป้องกันการรั่วไหล หรือการถูกโจมตีจากบรรดาแฮกเกอร์ทั้งในประเทศ และต่างประเทศ จะต้องทุ่มงบประมาณมากสักเท่าไหร่ในการรับมือ “ก็ต้องทำ   ประเทศไทยมีแนวโน้มการโจมตีทางไซเบอร์ที่เพิ่มขึ้นเรื่อย ๆ ทั้งเชิงปริมาณและความรุนแรง   เหตุการณ์ภัยคุกคามด้านความมั่นคงปลอดภัยไซเบอร์ทวีความรุนแรงมากขึ้น รูปแบบการโจมตีมีแนวโน้มพัฒนาตามเทคโนโลยีที่เปลี่ยนไป   ภัยคุกคามเหล่านี้ ส่งผลต่อความมั่นคงของรัฐ ความสงบเรียบร้อยของสังคมเศรษฐกิจของประเทศ   ยิ่งเราต้องพึ่งพาเครื่องมือดิจิทัลในชีวิตประจำวันมากขึ้นเท่าไหร่ ยิ่งมีความเสี่ยงจากการถูกโจมตีทางไซเบอร์เพิ่มมากขึ้นไปด้วย ผู้ที่ตกเป็นเหยื่อ สูญเสียข้อมูลที่มีความสำคัญ สูญเสียทรัพย์สินเงินทอง สูญเสียชื่อเสียง   ในรอบสัปดาห์ที่ผ่านมา ประเด็นหนึ่งที่ยังวนเวียนอยู่ในสังคมไทย และเป็นประเด็นที่ทุกคนต้องตระหนักให้มาก คือ การรั่วไหลของข้อมูลส่วนบุคคล จะทั้งข้อมูลอ่อนไหว หรือ ไม่อ่อนไหว ก็ไม่ควรหลุดออกมา สร้างความเสียหาย หวาดกลัวให้กับเจ้าของข้อมูล   องค์กรหรือหน่วยงานต่าง ๆ รวมไปถึงองค์กรธุรกิจขนาดใหญ่ที่กุม “ความลับ” ของคน ลูกค้า ผู้ใช้บริการเอาไว้ ต้องไม่นิ่งนอนใจ หาทางรับมือป้องกันการรั่วไหล หรือการถูกโจมตีจากบรรดาแฮกเกอร์ทั้งในประเทศ…

‘แรนซัมแวร์’ ป่วนข้อมูลธุรกิจ พร้อม ‘จ่าย’ หรือ พร้อม ‘รับมือ’

บทความน่าสนใจ

Loading

    การโจรกรรมข้อมูลโดยกลุ่มแฮ็กเกอร์ที่กระทำการอย่างซับซ้อนกำลังเพิ่มมากขึ้น ทั้งในแง่จำนวนครั้งและขอบเขตการโจมตี   เพียร์ แซมซัน ประธานเจ้าหน้าที่ฝ่ายดูแลรายได้ บริษัท Hackuity เล่าว่า เมื่อไม่กี่เดือนที่ผ่านมา ช่วงปลายปี 2565 มีรายงานว่าเกิดการโจมตีทางไซเบอร์ครั้งใหญ่ที่สุดในประวัติศาสตร์ออสเตรเลียซึ่งกระทบต่อลูกค้าของ Optus บริษัทด้านโทรคมนาคมรวมแล้วกว่า 10 ล้านคน   สำหรับประเทศไทยเองก็พบปัญหาการละเมิดข้อมูลของโรงพยาบาลหลายแห่งรวมถึงกระทรวงสาธารณสุขในช่วงสองปีที่ผ่านมา ทำให้ข้อมูลส่วนตัวของผู้ป่วยรั่วไหลและถูกเรียกค่าไถ่เพื่อนำฐานข้อมูลกลับมาเหมือนเดิม   วันนี้อาชญากรไซเบอร์ เช่น Desorden Group คัดเลือกเหยื่ออย่างพิถีพิถัน โดยมุ่งเป้าไปที่กลุ่มบริษัทขนาดใหญ่ในเอเชียที่มีช่องโหว่ชัดเจนซึ่งสามารถเจาะระบบได้ง่าย โดยจะลอบดึงข้อมูลจากบริษัทหรือองค์กรให้ตกเป็นเหยื่อ และข่มขู่ว่าจะเผยแพร่ข้อมูลเหล่านั้นหากไม่ยอมจ่ายค่าไถ่   หากไม่ได้รับการตอบกลับ อาชญากรกลุ่มนี้ก็จะทำให้เหยื่อได้รับความอับอายไปทั่ว ปล่อยข้อมูลให้รั่วไหล และยกระดับการกดดันให้เข้มข้นยิ่งขึ้น   “วายร้ายทุกวันนี้ไม่ได้อยากเก็บตัวแบบในอดีต หากแต่พร้อมที่จะป่าวประกาศและเปิดเผยรายละเอียดกับสื่อมวลชนว่าตนเองเจาะเข้าระบบรักษาความปลอดภัยไซเบอร์ของเหยื่ออย่างไร”   เตรียมพร้อม สกัดภัยไซเบอร์   ปัจจุบัน มีเพียงปัจจัยเดียวเท่านั้นที่ผู้ตกเป็นเป้าหมายสามารถควบคุมได้โดยสมบูรณ์ นั่นก็คือ ความพร้อม (หรือการขาดความพร้อม) ของตนเอง   ช่วงที่โควิดระบาด บริษัทหลายแห่งได้ควบรวมและจัดแจงรายจ่ายทางเทคโนโลยีใหม่ ทั้งได้มีการลงทุนเพื่อปรับธุรกิจให้เป็นระบบดิจิทัล ด้านฝ่ายไอทีก็เน้นไปที่การเปิดใช้ระบบการทำงานจากทางไกล เพื่อให้พนักงานและระบบภายในองค์กรมีความปลอดภัย…

การโจรกรรมข้อมูลและมัลแวร์เรียกค่าไถ่: คุณพร้อมรับมือหรือพร้อมจ่ายหรือไม่?

บทความน่าสนใจ

Loading

    การโจรกรรมข้อมูลโดยกลุ่มแฮ็กเกอร์ที่กระทำการอย่างซับซ้อนกำลังเพิ่มมากขึ้น ทั้งในแง่จำนวนครั้งและขอบเขตการโจมตี อย่างเช่นเมื่อไม่กี่เดือนที่ผ่านมาในช่วงปลายปี 2565 มีรายงานว่าเกิดการโจมตีทางไซเบอร์ครั้งใหญ่ที่สุดในประวัติศาสตร์ออสเตรเลียซึ่งกระทบต่อลูกค้าของ Optus บริษัทด้านโทรคมนาคมรวมแล้วกว่า 10 ล้านคน สำหรับประเทศไทยเองก็พบปัญหาการละเมิดข้อมูลของโรงพยาบาลหลายแห่งรวมถึงกระทรวงสาธารณสุขในช่วงสองปีที่ผ่านมา ทำให้ข้อมูลส่วนตัวของผู้ป่วยรั่วไหลและถูกเรียกค่าไถ่เพื่อนำฐานข้อมูลกลับมาเหมือนเดิม   อาชญากรไซเบอร์ เช่น Desorden Group คัดเลือกเหยื่ออย่างพิถีพิถัน โดยมุ่งเป้าไปที่กลุ่มบริษัทขนาดใหญ่ในเอเชียที่มีช่องโหว่ชัดเจนซึ่งสามารถเจาะระบบได้ง่าย โดยจะลอบดึงข้อมูลจากบริษัทหรือองค์กรให้ตกเป็นเหยื่อ และข่มขู่ว่าจะเผยแพร่ข้อมูลเหล่านั้นหากไม่ยอมจ่ายค่าไถ่ และหากไม่ได้รับการตอบกลับ อาชญากรกลุ่มนี้ก็จะทำให้เหยื่อได้รับความอับอายไปทั่ว ปล่อยข้อมูลให้รั่วไหล และยกระดับการกดดันให้เข้มข้นยิ่งขึ้น   วายร้ายทุกวันนี้ไม่ได้อยากเก็บตัวแบบในอดีต หากแต่พร้อมที่จะป่าวประกาศและเปิดเผยรายละเอียดกับสื่อมวลชนว่าตนเองเจาะเข้าระบบรักษาความปลอดภัยไซเบอร์ของเหยื่ออย่างไร อย่างเช่นที่ Daixin Team ซึ่งโจมตี AirAsia ถึงกับหาญกล้าระบุว่า พวกเขาตัดสินใจไม่โจมตีระบบของที่นี่ต่อไปเนื่องจากหงุดหงิดกับความไร้ระเบียบในการตั้งค่าระบบเครือข่ายของสายการบิน   เตรียมพร้อม รักษาความปลอดภัย   การละเมิดข้อมูลส่วนตัวโดยมากเป็นเรื่องที่หลีกเลี่ยงได้ด้วยการรักษาความมั่นคงปลอดภัยทางไซเบอร์และการใช้มาตรการรักษาความปลอดภัยที่มีประสิทธิภาพ บริษัทต่างๆ มักพูดถึงผู้บุกรุกที่อาศัยเทคนิคอันซับซ้อน แต่ที่จริงแล้วมีเพียงปัจจัยเดียวเท่านั้นที่ผู้ตกเป็นเป้าหมายสามารถควบคุมได้โดยสมบูรณ์ นั่นก็คือ ความพร้อม (หรือการขาดความพร้อม) ของตนเอง   ในช่วงที่เกิดโรคระบาด บริษัทหลายแห่งได้ควบรวมและจัดแจงรายจ่ายทางเทคโนโลยีใหม่ มีการลงทุนเพื่อปรับธุรกิจให้เป็นระบบดิจิทัล ซึ่งเป็นสิ่งจำเป็นต่อการดำเนินธุรกิจต่อไป ฝ่ายไอทีก็เน้นไปที่การเปิดใช้ระบบการทำงานจากทางไกลเพื่อให้พนักงานและระบบภายในองค์กรมีความปลอดภัยและรองรับการทำงานได้อย่างดี  …