แสดงบทความที่มีป้ายกำกับ servers hacked แสดงบทความทั้งหมด
แสดงบทความที่มีป้ายกำกับ servers hacked แสดงบทความทั้งหมด

22/12/2566

กลุ่มผู้ไม่ประสงค์ดีใหม่ “GambleForce” กำลังโจมตีบริษัทในภูมิภาคเอเชียแปซิฟิก ด้วยการใช้งาน SQL Injection


    กลุ่มผู้ไม่ประสงค์ดีที่ปรากฏตัวขึ้นใหม่ภายใต้ชื่อ "GambleForce" กำลังโจมตีบริษัทต่างๆ เอเชียแปซิฟิก (APAC) ด้วยวิธี SQL Injection ตั้งแต่เดือนกันยายน 2023
    บริษัท Group-IB จากประเทศสิงคโปร์ ระบุไว้ในรายงานว่า "GambleForce ใช้ชุดการโจมตีแบบเทคนิคพื้นฐาน แต่มีประสิทธิภาพสูง รวมถึงการโจมตีแบบ SQL injection และการใช้ประโยชน์จากช่องโหว่ใน website content management systems (CMS) เพื่อขโมยข้อมูลสำคัญ เช่น ข้อมูล credentials ของผู้ใช้"
    คาดว่ากลุ่ม GambleForce โจมตีองค์กรต่าง ๆ ไปแล้วกว่า 24 องค์กร โดยมุ่งเป้าไปที่ บ่อนการพนัน, หน่วยงานรัฐบาล, บริษัทค้าปลีก และการท่องเที่ยว ในประเทศออสเตรเลีย บราซิล จีน อินเดีย อินโดนีเซีย ฟิลิปปินส์ เกาหลีใต้ และไทย ซึ่งการโจมตีเหล่านี้ประสบความสำเร็จถึง 6 ครั้ง
    กลุ่มผู้ไม่ประสงค์ดี GambleForce จะใช้เครื่องมือโอเพ่นซอร์สตลอดกระบวนการโจมตี เช่น dirsearch, sqlmap, tinyproxy, และ redis-rogue-getshell โดยมีเป้าหมายคือ การขโมยข้อมูลสำคัญจากเครือข่ายที่ถูกโจมตี นอกเหนือจากเครื่องมือโอเพ่นซอร์สแล้ว GambleForce ยังใช้ Cobalt Strike ซึ่งเป็นเฟรมเวิร์ก post-exploitation โดยใช้คำสั่งเป็นภาษาจีน แต่ยังไม่แน่ชัดว่าแหล่งกำเนิดของกลุ่มนี้มาจากที่ไหน


 กลุ่มผู้ไม่ประสงค์ดี GambleForce เกี่ยวข้องกับการใช้ช่องโหว่ของแอปพลิเคชันที่เปิดให้เข้าถึงจากอินเทอร์เน็ตของเป้าหมาย โดยใช้ SQL Injection และการใช้ประโยชน์จากช่องโหว่ CVE-2023-23752 ซึ่งเป็นช่องโหว่ระดับความรุนแรงปานกลางใน Joomla CMS เพื่อเข้าถึงข้อมูลของบริษัทในบราซิลโดยไม่ได้รับอนุญาต
    การโจมตีแบบ SQL Injection อาศัยเครื่องมือโอเพ่นซอร์สยอดนิยมอย่าง "sqlmap" ซึ่งออกแบบมาเพื่อช่วยในการทำ penetration testing โดยทำหน้าที่ระบุ database servers ที่อาจมีช่องโหว่ SQL Injection และทำการโจมตีเพื่อเข้าควบคุมระบบ ในการโจมตีดังกล่าว กลุ่มผู้ไม่ประสงค์ดีจะทำการ inject SQL code ที่เป็นอันตรายเข้าไปในเว็บไซต์เป้าหมาย ทำให้สามารถ Bypass ระบบยืนยันตัวตน และเข้าถึงข้อมูลที่สำคัญ เช่น ข้อมูล credentials ของผู้ใช้ที่เข้ารหัส และแบบ plaintext
    ปัจจุบันยังไม่ทราบแน่ชัดว่า GambleForce นำข้อมูลที่ขโมยมาไปใช้ประโยชน์อย่างไร โดย Group-IB ระบุว่า พวกเขาได้ปิดเซิร์ฟเวอร์ควบคุม และสั่งการ (C2) ของผู้โจมตีลงได้แล้ว และได้แจ้งเตือนไปยังผู้เสียหายที่สามารถระบุตัวตนได้
    Nikita Rostovcev นักวิเคราะห์ภัยคุกคามอาวุโสจาก Group-IB ระบุว่า "web injections เป็นวิธีการโจมตีที่ค่อนข้างเก่า แต่ก็ยังถือว่าถูกใช้ในการโจมตีมากที่สุด" สาเหตุก็คือ ในบางครั้งนักพัฒนามักจะมองข้ามความสำคัญของการรักษาความปลอดภัยของ input security และ data validation โดยการเขียนโค้ดที่ไม่ปลอดภัย, การตั้งค่า database ที่ไม่ถูกต้อง และซอฟต์แวร์ที่ล้าสมัย เป็นการเอื้อต่อการโจมตีด้วย SQL injection ในแอปพลิเคชัน

ที่ ไม่มีความคิดเห็น:
ป้ายกำกับ: , ,

08/05/2566

กลุ่ม LockBit ขู่ปล่อยข้อมูลรั่วไหลของห้างซูเปอร์มาร์เก็ตชื่อดังของไทย


    กลุ่ม LockBit  ประกาศการโจมตีห้างสรรพสินค้าประเภทไฮเปอร์มาร์เก็ต, ซูเปอร์มาร์เก็ต และร้านสะดวกซื้อที่มีขนาดใหญ่เป็นอันดับสองของประเทศไทย โดยมีการโพสต์การโจมตีทางไซเบอร์บนเว็บไซต์ของทางกลุ่ม ซึ่งมีการกำหนดเวลาการปล่อยข้อมูลออกสู่สาธารณะในวันที่ 27 เมษายน หากไม่มีการดำเนินการจ่ายค่าไถ่

รายละเอียดเกี่ยวกับการโจมตีดังกล่าว


   โดยกลุ่ม LockBit ระบุว่า "ข้อมูลทั้งหมดจะถูกเผยแพร่ออกสู่สาธารณะ หากเหยื่อไม่มีการตอบสนองต่อการเรียกค่าไถ่" คาดว่าจะมีการปล่อยข้อมูลรั่วไหลในวันที่ 27 เมษายน 2023 ช่วงเวลา 07:10:14 UTC ตามเวลาที่  กลุ่ม LockBit ได้โพสต์บนเว็บไซต์ของทางกลุ่ม ซึ่งในช่วงที่มีการโพสต์นั้น เว็บไซต์ของซูเปอร์มาร์เก็ตดังกล่าวยังคงทำงานได้ตามปกติ

กลุ่ม LockBit ransomware
    กลุ่ม LockBit เป็นกลุ่ม ransomware ที่มีการโจมตีมากที่สุดจนถึงปัจจุบัน นอกจากการโจมตีซูเปอร์มาร์เก็ตดังกล่าว พบว่า LockBit มีประวัติการโจมตีองค์กรต่าง ๆ มาแล้วกว่า 1,716 ครั้ง จากรายงานของ HIPAA Journal กลุ่ม LockBit 3.0 หรือ LockBit Black ได้มีการเรียกค่าไถ่อยู่ที่ 85,000 ดอลลาร์ต่อเป้าหมาย โดยกลุ่มดังกล่าวเป็นกลุ่ม ransomware-as-a-service และมีการเปลี่ยนชื่อหลายครั้งในช่วงที่กำลังพัฒนา ransomware โดยเวอร์ชันได้เปลี่ยนจาก LockBit 2.0 ในปี 2021 มาเป็น LockBit 3.0 เมื่อเดือนมิถุนายน 2022
รายงานของ Infosecurity ในปี 2022 กลุ่ม LockBit มีการโจมตีมากถึง 44% ของการโจมตีด้วย ransomware ทั้งหมด รองลงมาคือกลุ่ม Conti ที่มีการโจมตีอยู่ที่ 23%
  กลุ่ม LockBit เข้าถึงระบบของเหยื่อโดยใช้ลิงก์ฟิชชิ่ง, ช่องโหว่ zero-day, ช่องโหว่ที่ยังไม่ได้รับ  การแก้ไข และมีการรับซื้อช่องทางสำหรับการเข้าถึงระบบของเหยื่อจากแหล่งต่าง ๆ
โดยกลุ่ม LockBit มีแรงจูงใจทางด้านการเงินเป็นหลัก และใช้เครื่องมือในการขโมยข้อมูล (Data Exfiltration Tool) หลายตัว เช่น Stealbit, rclone, และ MEGA

LockBit และ อุปกรณ์ของ Apple
    นักวิจัยให้ข้อมูลเกี่ยวกับการโจมตี macOS ของ LockBit ภายหลังจากที่มีการโจมตีอุปกรณ์ Windows และ Linux จำนวนมากว่า อาจจะไม่ได้เป็นไปตามแผนที่ทางกลุ่มคาดไว้ เนื่องจากมาตรการรักษาความปลอดภัยบน masOS
   โดย 'locker_Apple_M1_64' มัลแวร์ที่มุ่งเป้าหมายไปที่อุปกรณ์ macOS ซึ่งถูกพบเมื่อวันที่ 15 เมษายนที่ผ่านมา มีไฟล์นามสกุล .lockbit และเป็นมัลแวร์ในรูปแบบ Cryptovirus ซึ่งถูกออกแบบมาเพื่อเข้ารหัสไฟล์ และเปลี่ยนชื่อไฟล์บนอุปกรณ์ macOS โดยมัลแวร์จะโจมตีเหยื่อโดยใช้อีเมลสแปม และไฟล์แนบที่มีมัลแวร์ ซึ่งพบว่า 'locker_Apple_M1_64' เป็นเวอร์ชันที่ยังไม่ค่อยสมบูรณ์ และมีช่องโหว่จำนวนมากที่ทำให้สามารถตรวจจับได้จากอุปกรณ์ด้านความปลอดภัย
 เนื่องจากมัลแวร์ดังกล่าวถูกออกแบบมาเพื่อโจมตีระบบ Windows แต่ภายหลังมีการปรับเปลี่ยนเพื่อใช้ทดสอบกับ macOS นักวิจัยจึงแนะนำให้นักพัฒนาของ Apple สร้างมาตรการด้านความปลอดภัยเพิ่มขึ้น เพื่อเตรียมรับมือกับมัลแวร์ที่อาจจะถูกออกแบบมาเพื่อโจมตีอุปกรณ์ masOS โดยเฉพาะ

ที่ ไม่มีความคิดเห็น:
ป้ายกำกับ: ,

27/09/2565

Microsoft: Exchange servers hacked via OAuth apps for phishing


Microsoft Exchange ถูกแฮ็กเพื่อส่ง Phishing Email ขโมยข้อมูลบัตรเครดิตของผู้ใช้งาน

    Microsoft ตรวจพบผู้ไม่หวังดีสามารถเข้าถึง Microsoft Exchange ของผู้ใช้งานที่อยู่บนระบบคลาวด์ได้สำเร็จด้วยการโจมตีแบบ Credential Stuffing Attacks เป้าหมายในการโจมตีครั้งนี้คือ Deploy OAuth Application ที่เป็นอันตราย และส่ง Phishing Email เพื่อขโมยข้อมูลบัตรเครดิตของผู้ใช้ สาเหตุหลักๆที่ทำให้เกิดเหตุการณ์นี้คือบัญชี High Privileged บนระบบคลาวด์ไม่ได้เปิดใช้งาน Multi-factor Authentication (MFA) ทำให้ผู้ไม่หวังดีสามารถเข้าถึงระบบได้ Credential Stuffing Attack เป็นการโจมตีในรูปแบบการใช้ข้อมูลต่าง ๆ ที่เคยรั่วไหลออกมาก่อนหน้าจากเว็ปไซต์ หรือบริการต่าง ๆ เช่น E-Mail และ Password นำไปลองใช้เข้าสู่ระบบบนเว็บไซต์อื่น ๆ โดยสาเหตุที่ทำให้สามารถเข้าถึงข้อมูลได้เป็นจำนวนมาก เนื่องจากผู้ใช้งานส่วนใหญ่ตั้งบัญชีผู้ใช้ และรหัสผ่านเดียวกันในเว็ปไซต์ และบริการต่าง ๆ
ลักษณะการโจมตี
 เมื่อผู้โจมตีเข้าถึง Microsoft Exchange Server บนคลาวด์ได้สำเร็จแล้ว จะทำการสร้าง OAuth Application สำหรับเปิดการเชื่อมต่อที่เป็นอันตรายมายัง Exchange Server เมื่อเปิดการเชื่อมต่อถึงระบบ ผู้โจมตีจะอาศัยช่องทางนี้สร้าง Transport Rule ในการส่งข้อมูลเพื่อหลบการตรวจจับจากอุปกรณ์ต่าง ๆ จากนั้นจะส่ง Phishing Email ไปยัง Exchange Server เมื่อนำข้อมูลเข้า Exchange Server เรียบร้อยแล้ว มันจะทำการปิด Connection จากภายนอกทั้งหมด รวมถึงลบ Transport Rule ในการส่งข้อมูล เพื่อป้องกันไม่ให้ถูกตรวจพบ ในระหว่างนี้OAuth Application จะไม่มีการทำงานจนกว่าจะมีการนำเข้าข้อมูลใหม่อีกครั้ง
    การโจมตีเหล่านี้มีโครงสร้างพื้นฐานของการโจมตีมาจาก Amazon SES และ Mail Chimp ที่ใช้กันทั่วไปในการส่ง E-Mailหลังจากตรวจพบการโจมตี Microsoft ได้ลบ Application ทั้งหมดที่เชื่อมโยงกับการโจมตีนี้ มีการส่งการแจ้งเตือน และแนะนำมาตรการแก้ไขให้กับลูกค้าที่ได้รับผลกระทบทั้งหมด นอกจากนี้ยังพบว่าผู้โจมตียังมีการส่ง E-Mail Spam จำนวนมากภายในระยะเวลาอันสั้นด้วยวิธีการอื่น ๆ เช่น การเชื่อมต่อ Mail Server กับ IP อันตราย หรือการส่งโดยตรงจากระบบคลาวด์ที่มีการใช้งานอย่างถูกต้อง


ที่ ไม่มีความคิดเห็น:
ป้ายกำกับ: , , ,
สมัครสมาชิก: บทความ (Atom)