Hacker selling Twitter account data of 5.4 million users for $30k

แฮ็กเกอร์ประกาศขายข้อมูลบัญชีผู้ใช้ Twitter กว่า 5.4 ล้านคนบน Darkweb

    Twitter เจอกับปัญหาข้อมูลรั่วไหล หลังจากที่มีผู้โจมตีประกาศขายข้อมูลที่มีหมายเลขโทรศัพท์ และที่อยู่อีเมลของผู้ใช้งานกว่า 5.4 ล้านบัญชี โดยข้อมูลนี้ได้ถูกประกาศขายลงใน Darkweb ในราคา 30,000 ดอลลาร์สหรัฐ เมื่อวันที่ 21 กรกฎาคม ที่ผ่านมามีผู้ใช้งาน Darkweb ชื่อว่า “Devil” ได้ประกาศในฟอรั่มของตัวเองว่าฐานข้อมูลที่ขโมยมาได้นั้นมีข้อมูลเกี่ยวกับบัญชีต่าง ๆ รวมถึงคนดัง บริษัทต่าง ๆ และผู้ใช้รายอื่น ๆ แบบสุ่ม

ลักษณะการโจมตี

    ในส่วนของวิธีการโจมตีนั้น ได้มีการใช้ช่องโหว่ที่ผู้โจมตีสามารถค้นหาบัญชีผู้ใช้ Twitter ได้จากหมายเลขโทรศัพท์หรืออีเมล ถึงแม้ว่าผู้ใช้จะปิดฟังก์ชั่นนี้ในตัวเลือกความเป็นส่วนตัว (Privacy option) แล้วก็ตาม โดยช่องโหว่นี้เกิดขึ้นเฉพาะกับ Android client ของ Twitter

คำแนะนำ

    ทำการเปลี่ยนรหัสผ่านบัญชีผู้ใช้งานบน Twitter

    ให้ระวังอีเมล Phishing ที่จะหลอกให้ป้อนข้อมูล login credentials เพื่อเข้าสู่ระบบ

Ref : Hacker selling Twitter account data of 5.4 million users for $30k

New Linux Malware Framework Lets Attackers Install Rootkit on Targeted Systems

มัลแวร์ Lightning Framework บน Linux มาพร้อมกับความสามารถที่หลากหลาย

    Ryan Robinson ผู้เชี่ยวชาญจาก Intezer ค้นพบมัลแวร์ตัวใหม่บนระบบปฏิบัติการ Linux ในรูปแบบที่ไม่เคยถูกพบมาก่อน โดยครั้งนี้ใช้ชื่อว่า Lightning Framework ความพิเศษคือมันสามารถแก้ไข architecture และติดตั้งRootkit บนเครื่องเป้าหมายได้ นอกจากนี้ยังมีความสามารถอื่นๆอีกมาย เช่น มีการติดต่อกับผู้โจมตีทั้งแบบ Auto และแบบ Activeการเปิด SSH บนเครื่องเป้าหมาย รวมไปถึงการปรับเปลี่ยนคำสั่งที่ใช้ในการควบคุมเครื่องเหยื่อได้อีกด้วยสิ่งที่น่าสนใจของ Lightning Framework คือเป็น Framework ขนาดใหญ่ที่พัฒนาขึ้นสำหรับโจมตี Linux Server โดยเฉพาะ

New Linux Malware Framework Lets Attackers Install Rootkit on Targeted Systems

New Luna ransomware encrypts Windows, Linux, and ESXi systems

Luna Ransomware ตัวใหม่ สามารถเข้ารหัสได้ทั้ง Windows, Linux และ ESXi Server

    ผู้เชี่ยวชาญจาก Kaspersky พบ Ransomware ชนิดใหม่จากระบบ Darknet Threat Intelligence ที่มีชื่อว่า Luna ซึ่ง Luna Ransomware นี้สามารถเข้ารหัสระบบปฏิบัติการได้หลายระบบไม่ว่าจะเป็น Windows, Linux และ ESXiในปัจจุบัน มีข้อมูล น้อยมากเกี่ยวกับเหยื่อ รวมไปถึงตัว Luna ransomware เอง เนื่องจากกลุ่มเพิ่งถูกค้นพบ และกิจกรรมของกลุ่มนั้นยังอยู่ในระหว่างการตรวจสอบที่มา

Luna ransomware encrypts

New Redeemer ransomware version promoted on hacker forums

Redeemer Ransomware ถูกประกาศใช้ในตลาดของผู้ไม่ประสงค์ดี

Redeemer เขียนด้วยภาษา C++ ทั้งหมด และทำงานบน Windows Vista, 7, 8, 10 และ 11 ซึ่งมีประสิทธิภาพการทำงานแบบ Multi Trade และอัตราการตรวจจับ AV ปานกลาง แตกต่างกับ Ransomware-as-a-Service (RaaS) หลายอย่าง ผู้ไม่ประสงค์ดีสามารถดาวน์โหลดและใช้ตัวสร้างแรนซัมแวร์ของ Redeemer เพื่อเริ่มการโจมตีของตนเองได้ เมื่อเหยื่อตัดสินใจจ่ายค่าไถ่ ผู้เขียนจะได้รับค่าธรรมเนียม 20% และแบ่งปันมาสเตอร์คีย์เพื่อนำไปรวมกับคีย์บิลด์ส่วนตัวที่บริษัทในเครือถือไว้เพื่อการถอดรหัส

New Redeemer ransomware version promoted on hacker forums

Pegasus Spyware ภัยซ่อนเร้นที่กลับมาอีกครั้ง เมื่อนักกิจกรรมไทยตกเป็นเป้าหมาย

    สปายแวร์เพกาซัส ใช้วิธีการล่อลวงเหยื่อหรือเป้าหมายผ่านการใช้วิธีฟิชชิง (Phishing) เพื่อให้คลิกลิงก์ที่ผู้โจมตีส่งมา เมื่อเหยื่อถูกติดตั้งสปายแวร์เรียบร้อยแล้ว จากนั้นจะดึงข้อความ, รูปภาพ, อีเมล, บันทึกการโทร รวมถึงการเรียกเปิดไมโครโฟนอย่างลับๆ ก็สามารถทำได้ เรียกว่า มือถือเครื่องนั้นจะตกอยู่ภายใต้การควบคุมของผู้โจมตีทันทีเพียงแต่ว่า สปายแวร์เพกาซัส เป็นเทคโนโลยีชั้นสูง ได้ถูกยกระดับความเก่งกาจมากขึ้น จนสามารถบายพาส (Bypass) การใช้ลิงก์ แล้วหันไปใช้การใช้ช่องโหว่ของแอปพลิเคชัน เช่น ไอเมสเซจ (iMessage) และวอตส์แอป (WhatsApp) เข้าโจมตีใส่มือถือของเป้าหมาย ซึ่งวิธีการนี้ ถูกเรียกในภายหลังว่า “Zero-click” ในที่สุด

Pegasus Spyware

Elastix VoIP systems hacked in massive campaign to install PHP web shells

Elastix VoIP ถูกแฮ็กในการโจมตีครั้งใหญ่เพื่อติดตั้ง PHP web shells

    นักวิเคราะห์ภัยคุกคามได้เปิดเผยแคมเปญการโจมตีที่มุ่งเป้าไปยังเซิร์ฟเวอร์ Elastix VoIP telephony ด้วยมัลแวร์มากกว่า 500,000 ตัวในช่วงสามเดือนที่ผ่านมาผู้โจมตีอาจใช้ช่องโหว่ Remote Code Execution (RCE) หมายเลข CVE-2021-45461 ซึ่งมีระดับความรุนแรง 9.8 โดยพบว่ามีการโจมตีด้วยช่องโหว่นี้ตั้งแต่เดือนธันวาคม 2021

    นักวิจัยพบว่ากลุ่มผู้โจมตีสองกลุ่มที่ใช้สคริปต์ในการโจมตีที่แตกต่างกันเพื่อติดตั้ง shell script ขนาดเล็ก โดยสคริปต์จะติดตั้งแบ็คดอร์ PHP บนระบบเป้าหมาย และสร้างบัญชีที่มีสิทธิ์ rootและสร้าง scheduled tasks เพื่อทำให้สามารถแฝงตัวอยู่บนระบบได้เป็นเวลานาน

Elastix VoIP systems hacked in massive campaign to install PHP web shells

Researchers Uncover New Variants of the ChromeLoader Browser Hijacking Malware

มัลแวร์ Chrome Loader รูปแบบใหม่ สำหรับขโมยข้อมูลจากเบราว์เซอร์

    ChromeLoader มีชื่อเรียกอีกอย่างหนึ่งว่า Choziosi Loader และ ChromeBack สิ่งที่แตกต่างคือ ChromeLoader จะอยู่ในรูปแบบของ browser extension แทนที่จะเป็นรูปแบบไฟล์ Windows (.exe) หรือ Dynamic Link Library (.dll) หลอกให้ผู้ใช้งานดาวน์โหลดไฟล์ torrents ภาพยนตร์ หรือไฟล์ cracked ของเกม ผ่านทางแคมเปญโฆษณาบนเว็บไซต์ต่างๆ รวมไปถึงโซเชียลมีเดียใช้รูปแบบ AutoHotKey (AHK) ซึ่งเป็นเฟรมเวิร์กที่ใช้สำหรับการเขียนสคริปต์อัตโนมัติ ซึ่งจะถูกใช้เพื่อดร็อป browser extension

Researchers Uncover New Variants of the ChromeLoader Browser Hijacking Malware

CentOS ไม่สามารถ yum ได้ ระบบแจ้งว่า Could not resolve host: mirrors.iuscommunity.org;

CentOS ไม่สามารถ yum ได้ ระบบแจ้งว่า  Could not resolve host: mirrors.iuscommunity.org;

1. ปัญหาที่พบในรอบนี้เป็นเรื่องการ ใช้ yum update ที่มีปัญหากับการเรียก Mirrors 

https://mirrors.iuscommunity.org/mirror ... tocol=http error was

14: curl#6 - "Could not resolve host: mirrors.iuscommunity.org; Unknown error"

ซึ่ง Mirrors  อาจมีการหยุดการพัฒนาไปแล้วทำให้ไม่สามารถเรียกใช้ได้

แนวทางการแก้ไข มีอยู่กัน 2 ขั้นตอน

ขั้นตอนแรกดำเนินการลบ ius-release  

1. Delete ius-release

CODE: SELECT ALL

yum erase ius-release
rm /etc/yum.repos.d/ius*.repo*
2. Re Install หรือ yun install 
CODE: SELECT ALL
yum install \
https://repo.ius.io/ius-release-el7.rpm \
https://dl.fedoraproject.org/pub/epel/epel-release-latest-7.noarch.rpm
อ้างอิง https://forum.efa-project.org/viewtopic.php?f=19&t=4117

Mangatoon data breach exposes data from 23 million accounts

Application อ่านการ์ตูนชื่อดังอย่าง Mangatoon ถูกผู้ไม่ประสงค์ดี ขโมยข้อมูล User กว่า 23 ล้านบัญชี

    สัปดาห์ที่ผ่านมา บริการแจ้งเตือนการละเมิดข้อมูล Have I Been Pwned (HIBP) ได้เพิ่มบัญชีกว่า 23 ล้านบัญชีของ Mangatoon ซึ่งเป็นแอปบน iOS และ Android ยอดนิยมที่ผู้ใช้หลายล้านคนใช้เพื่ออ่านการ์ตูนออนไลน์ ส่วนการโจมตีนั้นเกิดจากกลุ่มแฮ็กเกอร์ที่รู้จักกันในชื่อ pompompurin ทำการโจมตีไปยังเซิร์ฟเวอร์ Elasticsearch ที่เป็น Database ของ Mangatoon ได้สำเร็จเนื่องจากระบบมีการป้องกันได้ไม่ดีพอ จากนั้น pompompurin ได้แชร์ตัวอย่างข้อมูลที่ได้มา

    pompompurin มีส่วนเกี่ยวข้องกับการโจมตีอื่น ๆ เช่น การส่งอีเมลปลอมเกี่ยวกับเหตุการณ์การโจมตีทางไซเบอร์ผ่าน Portal ของ FBI (LEEP) และการขโมยข้อมูลลูกค้าจาก Robinhood

Mangatoon data breach exposes data from 23 million accounts

$8 million stolen in large-scale Uniswap airdrop phishing attack

$8 million stolen in large-scale Uniswap airdrop phishing attack

    Uniswap เสีย Ethereum มูลค่าเกือบ 8 ล้านดอลลาร์จากการโจมตีแบบฟิชชิ่งผู้ไม่ประสงค์ดีใช้วิธีการส่งสแปมเมล์ให้โทเค็น UNI ฟรี (airdrops)เพื่อหลอกล่อเหยื่อให้อนุญาตธุรกรรมที่ทำให้ผู้ไม่ประสงค์ดีเข้าถึงกระเป๋าเงินได้อย่างเต็มที่ cryptocurrency MetaMask ได้เพิ่มลงในรายการคำเตือนโดเมนที่ใช้ในการฟิชชิ่ง Uniswap จึงป้องกันผู้ใช้ใหม่จากการหลอกลวงจากเหตุการณ์นี้ทางทีมเฝ้าระวังขอแนะนำให้ ผู้ใช้งานปฏิบัติดังนี้ เมื่อได้รับ airdrop อย่าลืมตรวจสอบทุกอย่างก่อนที่จะคลิกปุ่มใดๆ โดยเริ่มจากชื่อโดเมนของเว็บไซต์ที่คุณเข้าชมก่อนตอบสนองต่อกิจกรรมส่งเสริมการขายหรือแจกของรางวัล ผู้ใช้สินทรัพย์ดิจิทัลควรตรวจสอบเว็บไซต์ทางการของแพลตฟอร์มและช่องทางโซเชียลมีเดียด้วยว่าข้อเสนอนั้นเป็นของแท้ การตรวจสอบแหล่งที่มาของ airdrop ยังเป็นวิธีที่ดีในการหลีกเลี่ยงการตกเป็นเหยื่อของนักต้มตุ๋นที่มองว่าจะควบคุมธุรกรรมได้ด้วยคลิกเดียว

$8 million stolen in large-scale Uniswap airdrop phishing attack

New stealthy OrBit malware steals data from Linux devices

Orbit Malware ที่สามารถแอบขโมยข้อมูลบนอุปกรณ์ที่เป็น Linux

    มีการค้นพบ Malware ที่โจมตีบนอุปกรณ์ที่เป็น Linux ชื่อ Orbit ที่มีความสามารถในการขโมยข้อมูลบนเครื่องและยังทำให้ระบบบนเครื่องมีปัญหาตามไปด้วย OrBit ยังคงมาพร้อมกับความสามารถที่แตกต่างจากภัยคุกคามอื่น ๆ  Malware นี้ขโมยข้อมูลจากคำสั่งและยูทิลิตี้ต่าง ๆ และจัดเก็บไว้ในไฟล์เฉพาะบนเครื่อง นอกจากนี้ ยังมีการใช้ไฟล์จำนวนมากเพื่อจัดเก็บข้อมูล ซึ่งเป็นสิ่งที่ไม่เคยเห็นมาก่อน" Fishbein กล่าวเสริม สิ่งที่ทำให้มัลแวร์นี้มีความน่าสนใจเป็นพิเศษก็คือการเชื่อมต่อกับไลบรารี่บนเครื่องเหยื่อซึ่งทำให้ Malware สามารถคงอยู่และหลบเลี่ยงการตรวจจับในขณะที่ขโมยข้อมูลและตั้งค่าแบ็คดอร์ SSH

New stealthy OrBit malware steals data from Linux devices

New RedAlert Ransomware targets Windows, Linux VMware ESXi servers

พบ Ransomware RedAlert พุ่งเป้าหมายไปยัง Windows, Linux VMware ESXI Server

    มีการตรวจพบการใช้งาน Ransomware ชนิดใหม่ที่ใช้ชื่อว่า RedAlert Ransomware หรือ N13V มีการกำหนดกลุ่มเป้าหมายไปยังองค์กรที่ใช้งาน Windows และ Linux VMWare ESXi Server คุณลักษณะที่น่าสนใจ คือ  Ransomware จะเข้ารหัสประเภทไฟล์ .log, .vmdk, .vmem, .vswp, .vmsn และผนวกนามสกุล.crypt658 เข้ากับชื่อไฟล์ของไฟล์ที่เข้ารหัส ในแต่ละโฟลเดอร์ ransomware จะสร้างบันทึกเรียกค่าไถ่แบบกำหนดเองที่ชื่อว่า HOW_TO_RESTORE ซึ่งมีคำอธิบายของข้อมูลที่ถูกขโมยและลิงก์ไปยังไซต์การชำระเงินค่าไถ่เฉพาะสำหรับเป้าหมาย  N13V/RedAlert เป็นสิ่งที่เราต้องจับตาดูอย่างต่อเนื่องด้วยฟังก์ชั่นการทำงานขั้นสูงและการสนับสนุนทันทีสำหรับทั้ง Linux และ Windows

New RedAlert Ransomware targets Windows, Linux VMware ESXi servers

Google patches new Chrome zero-day flaw exploited in attacks

Google patches new Chrome zero-day flaw exploited in attacks.
(กูเกิ้ลออก Patch เพื่อแก้ไขช่องโหว่ที่ถูกใช้เป็นช่องทางการโจมตี)

    Google ได้ออก Patch Google Chrome 103.0.5060.114 บนระบบ ปฏิบัติการ Windows เพื่อแก้ไขช่องโหว่ที่เป็น Zero - day ที่มีความรุนแรงสูง เลข CVE-2022-2294 โดย Google บอกว่าต้องใช้เวลาหลายวันหรือหลายสัปดาห์กว่าจะครอบคลุมผู้ใช้งานทั้งหมด แต่การอัปเดตนี้พร้อมใช้งานทันทีเมื่อ BleepingComputer ตรวจสอบการอัปเดตใหม่โดยไปที่เมนู Chrome > ความช่วยเหลือ > เกี่ยวกับ Google Chrome ขอแนะนำให้อัปเดต Google Chrome โดยเร็วที่สุด

Google patches new Chrome zero-day flaw exploited in attacks