Day: August 10, 2023

พบผู้ไม่ประสงค์ดีใช้ Kubernetes (K8s) Clusters ในการโจมตีเพื่อปรับใช้ตัวขุด Cryptocurrency และแบ็คดอร์อื่นๆ   นักวิจัย Michael Katchinskiy และ Assaf Morag เผยว่า Kubernetes Clusters ส่วนใหญ่ที่ถูกขโมยคือ ข้อมูลลูกค้า,บันทึกทางการเงิน,ข้อมูลรับรองการเข้าถึง,Configurations, Container images, Infrastructure Credentials,คีย์เข้ารหัส,ใบรับรอง และข้อมูลเครือข่ายหรือบริการความปลอดภัย  ผู้ไม่ประสงค์ดีมักใช้เครื่องมือค้นหา เช่น Shodan, Censys และ Zoomeye เพื่อค้นหาโฮสต์ที่กำหนดค่าผิดพลาดหรือมีช่องโหว่ นอกจากนี้ยังค้นหาอินเทอร์เน็ตเพื่อหาโฮสต์ที่เปิดเผยโดยใช้ บอตเน็ตหรือเครื่องมืออย่างเช่น Masscan หรือ Zgrab เพื่อสแกน IP ranges และระบุบริการบนพอร์ต  K8s Clusters ที่ถูกพบคือ Pods list ที่มี Access keys ที่ผู้ไม่ประสงค์ดีสามารถนำไปใช้เพื่อเข้าถึงที่เก็บSource Code ของเป้าหมายหรือแนะนำการแก้ไขที่เป็นอันตราย …

ยูเครนแจ้งเตือนเรื่องการโจมตีรูปแบบใหม่ที่กำหนดเป้าหมายไปยังองค์กรรัฐต่างๆ โดยใช้เครื่องมือ Merlin ซึ่งเป็น Open Source หลังการใช้ประโยชน์จากคําสั่งและการ Control Framework   Merlin เป็นชุดเครื่องมือที่ใช้ภาษาโปรแกรม Go ซึ่งสามารถใช้งานได้หลายแพลตฟอร์ม โดยสามารถ       ดาวน์โหลดฟรีได้ผ่าน GitHub และยังมีเอกสารประกอบอย่างครบถ้วนสำหรับผู้เชี่ยวชาญด้านความปลอดภัย          เพื่อใช้ในการฝึกซ้อมของ Red Team   การสนับสนุน HTTP/1.1 ผ่านทาง TLS และ HTTP/3 (HTTP/2 ผ่าน QUIC) ใช้สำหรับการสื่อสารCommand and Control  การเข้ารหัสสำหรับรับส่งข้อมูลด้วย PBES2 (RFC 2898) และ AES Key Wrap (RFC 3394)  OPAQUE Asymmetric Password Authenticated Key Exchange (PAKE) และ…

LOLBAS Files เป็นไฟล์ที่ได้รับอนุญาตและมีสคริปต์อยู่ใน Windows ซึ่งถูกผู้ไม่ประสงค์ดี         นำมาใช้ประโยชน์ในการแพร่มัลแวร์ ส่งผลให้ระบบมีความเสี่ยง โดยจะเพิ่ม LOLBAS Files เข้าไปที่ตัวประมวลผลหลักสำหรับไคลเอนต์อีเมล Outlook ของ Microsoft และระบบการจัดการฐานข้อมูล Access ซึ่งเป็นไฟล์ปฏิบัติการหลักที่ใช้สําหรับแอปพลิเคชัน Microsoft Publisher โดยได้รับการยืนยันแล้ว ว่าสามารถใช้ในการดาวน์โหลด Payloads จากเซิร์ฟเวอร์ระยะไกลได้  LOLBAS ย่อมาจาก Living-off-the-Land Binaries และ Scripts เป็นไฟล์ที่มีความถูกต้อง          และมีความน่าเชื่อถือ ซึ่งมาจากระบบปฏิบัติการ Windows ที่ดาวน์โหลดมาจาก Microsoft โดยผู้ไม่ประสงค์ดีสามารถใช้ประโยชน์จากการโจมตี เพื่อดาวน์โหลดและเรียกใช้งาน Payloads โดยไม่ต้องเปิดใช้งานซอฟต์แวร์ป้องกันไวรัส.  Microsoft Office binaries:  Nir Chako เป็นผู้เชี่ยวชาญด้านความปลอดภัยที่ Pentera ซึ่งเป็นบริษัทที่ให้บริการตรวจสอบ             ความปลอดภัยแบบอัตโนมัติ โดยเริ่มค้นหา LOLBAS…

นักวิเคราะห์ด้านความปลอดภัยที่ Guardz ได้เตือนภัยถึงเครื่องมือเจาะระบบอุปกรณ์ macOS       ตัวใหม่ที่มีชื่อว่า hVNC ซึ่งได้ถูกระบุว่าเป็นภัยคุกคาม โดยมีการซื้อขายในฟอรัมอาชญากรรมทางไซเบอร์            ของรัสเซียตั้งแต่เดือนเมษายนที่ผ่านมา  ข้อมูลเกี่ยวกับ hVNC  RastaFarEye กล่าวว่าผู้ไม่ประสงค์ดีรายอื่นสามารถซื้อ hVNC เวอร์ชั่นใหม่ที่มีความสามารถมากขึ้นพร้อมทั้งยังสามารถการชำระเงินเพิ่มเติมเพื่อใช้ฟังก์ชั่นอื่นได้ด้วย โดย hVNC สามารถทำงานบน macOS เวอร์ชัน 10 ถึง 13.2 เท่านั้น และสามารถทำงานโดยไม่ต้องรับสิทธิ์การอนุญาตจากเหยื่อ ซึ่งจะช่วยให้         ผู้ไม่ประสงค์ดีสามารถควบคุมเครื่องที่ติดไวรัสจากระยะไกลได้ โดยจุดประสงค์หลักของมัลแวร์                           คือการขโมยข้อมูลที่ละเอียดอ่อนรวมถึงข้อมูลประจำตัว ข้อมูลส่วนบุคคลและข้อมูลทางการเงิน  RastarFarEye เป็นสมาชิกที่ใช้งานอยู่ของฟอรัมอาชญากรรมทางไซเบอร์ตั้งแต่ปี 2021 โดยมีประวัติการโจมตีที่เป็นที่รู้จักจากการนำเสนอเครื่องมือ hVNC ในรูปแบบ Windows อีกทั้งยังมีบริการสร้างCertificate ของ Extended Validation (EV) อีกด้วย   ภัยคุกคามที่เพิ่มขึ้นสำหรับผู้ใช้ macOS  hVNC มีแนวโน้มเพิ่มขึ้นเรื่อยๆ ภัยคุกคามดังกล่าวมีเป้าหมายที่ผู้ใช้ Mac โดยมีเหตุการณ์ที่เกิดขึ้นสามเหตุการณ์ในเดือนที่แล้ว…

Clop ได้เริ่มการโจมตีที่มีการขโมยข้อมูลของเหยื่อโดยใช้ช่องโหว่ Zero-day บนแพลตฟอร์ม       การถ่ายโอนไฟล์ชื่อว่า MOVEit Transfer ซึ่งการใช้ช่องโหว่ Zero-day ทำให้แฮกเกอร์สามารถขโมยข้อมูลจากหน่วยงานจำนวนเกือบ 600 องค์กรทั่วโลกได้ ก่อนที่เหยื่อจะรู้ตัวว่าถูกโจมตี  ในวันที่ 14 มิถุนายน Clop เริ่มการโจมตีเรียกค่าไถ่กับเหยื่อโดย ค่อย ๆ ปล่อยข้อมูลรั่วไหลของเหยื่อลงใน Tor Data Leak Site และจะเปิดเผยไฟล์แบบสาธารณะ แต่ในการปล่อยข้อมูลรั่วไหล Tor Data Leak Site นั้นมีข้อเสียบางประการ เนื่องจากความเร็วในการดาวน์โหลดช้า ทำให้การรั่วไหลในบางกรณี              ไม่เกิดความเสียหายมากเท่าที่ควรจะเป็น เพื่อที่จะรับมือกับสถานการณ์นี้ แรนซัมแวร์ Clop ได้สร้างเว็บไซต์ “ClearWeb” เพื่อทำการรั่วไหลข้อมูลของเหยื่อ สำหรับเหยื่อบางรายที่ถูกขโมยข้อมูลผ่าน MOVEit แต่โดเมนประเภทนี้จะถูกตรวจจับได้ง่ายกว่า  การเปลี่ยนไปใช้ทอร์เรนต์  เพื่อแก้ปัญหาการถูกตรวจจับได้ง่าย Clop จึงได้เริ่มใช้ Torrent เพื่อแพร่ข้อมูลที่ถูกขโมยผ่าน…

16shop เป็นแพลตฟอร์มที่ให้บริการในการสร้างและดำเนินการฟิชชิ่งออนไลน์เพื่อหลอกล่อเหยื่อ  ให้ทำการเปิดเผยข้อมูลส่วนตัว และจากการร่วมมือกันระหว่าง Interpol และ Group-IB ได้นำไปสู่การจับกุมและปิดการให้บริการของแพลตฟอร์ม 16shop เมื่อไม่กี่วันมานี้  โดยทั่วไปแล้ว แพลตฟอร์ม Phishing-as-a-Service จะมีทุกสิ่งที่แฮกเกอร์ต้องการ                             รวมถึงการแพร่กระจายอีเมล, ชุดฟิชชิ่งสำเร็จรูป, Hosting, Data Proxying, แดชบอร์ดภาพรวมของเหยื่อ และเครื่องมืออื่นๆ ที่ช่วยเพิ่มความสำเร็จในการโจมตีแบบฟิชชิ่ง  Group-IB เผยว่า 16shop ได้นำเสนอชุดฟิชชิ่งที่เน้นการกำหนดเป้าหมายไปยังบัญชีของ               Apple, PayPal, American Express, Amazon และ Cash App รวมถึงบัญชีอื่น ๆ อีกมาก โดย 16shop มีหน้าที่ในการสร้างหน้าเพจฟิชชิ่งจำนวน 150,000 หน้าเพจ ที่เน้นเป้าหมายไปยังเหยื่อจากประเทศเยอรมนี, ญี่ปุ่น, ฝรั่งเศส, สหรัฐอเมริกา และสหราชอาณาจักร เป็นส่วนใหญ่ ซึ่งทาง Interpol…