“NGate” มัลแวร์ Android ตัวใหม่ขโมยข้อมูล NFC เพื่อโคลนบัตร Contactless

News

นักวิจัยด้านความปลอดภัยไซเบอร์ได้พบมัลแวร์ใหม่สำหรับโจมตี Android ที่สามารถส่งต่อข้อมูลจากบัตร Contactless ของเหยื่อจากบัตรเครดิตและบัตรเดบิตไปยังอุปกรณ์ที่ผู้โจมตีควบคุมโดยมีเป้าหมายเพื่อทำการการฉ้อโกง บริษัทด้านความปลอดภัยไซเบอร์ของสโลวาเกียกำลังติดตามมัลแวร์ใหม่ที่มีชื่อว่า NGate โดยระบุว่าบริษัทได้สังเกตเห็นแคมเปญอาชญากรรมที่กำหนดเป้าหมายเป็นธนาคารสามแห่งในสาธารณรัฐเช็ก   มัลแวร์ “มีความสามารถพิเศษในการส่งต่อข้อมูลจากบัตร Contactless ของเหยื่อผ่านแอปที่เป็นอันตรายที่ติดตั้งบนอุปกรณ์ Android ของเหยื่อไปยังโทรศัพท์ Android ที่ถูกรูทของผู้โจมตี” นักวิจัย Lukáš Štefanko และ Jakub Osmani กล่าวในการวิเคราะห์ วิธีการดังกล่าวเป็นส่วนหนึ่งของแคมเปญที่กำหนดเป้าหมายเป็นสถาบันการเงินในสาธารณรัฐเช็กตั้งแต่เดือนพฤศจิกายน 2023 โดยใช้ Progressive Web Apps ที่เป็นอันตราย (PWA) และ WebAPK การใช้ NGate ครั้งแรกที่บันทึกไว้คือในเดือนมีนาคม 2024 เป้าหมายของการโจมตีคือการโคลนข้อมูล Near-Field Communication (NFC) จากบัตร Contactless ของเหยื่อโดยใช้ NGate และส่งข้อมูลดังกล่าวไปยังอุปกรณ์ของผู้โจมตีซึ่งจะเลียนแบบบัตรเดิมเพื่อถอนเงินจากตู้ ATM   NGate มีรากฐานมาจากเครื่องมือที่ถูกกฎหมายชื่อว่า NFCGate ซึ่งพัฒนาขึ้นครั้งแรกในปี 2015 เพื่อวัตถุประสงค์ในการวิจัยด้านความปลอดภัยโดยนักศึกษาจากห้องปฏิบัติการ…

มัลแวร์ใหม่ TodoSwift โจมตี macOS มีความเชื่อมโยงกับกลุ่มแฮกเกอร์ชาวเกาหลีเหนือ

News

นักวิจัยด้านความปลอดภัยทางไซเบอร์ได้พบมัลแวร์สายพันธุ์ใหม่ใน macOS ชื่อว่า TodoSwift พวกเขาอ้างว่ามีลักษณะร่วมกันกับซอฟต์แวร์อันตรายที่รู้จักซึ่งกลุ่มแฮกเกอร์ในเกาหลีเหนือใช้   Christopher Lopez นักวิจัยด้านความปลอดภัยของ Kandji กล่าวว่า “แอปพลิเคชันนี้มีพฤติกรรมหลายอย่างที่คล้ายกับมัลแวร์ที่เราพบเห็นซึ่งมีต้นกำเนิดในเกาหลีเหนือ (DPRK) โดยเฉพาะตัวการคุกคามที่รู้จักกันในชื่อ BlueNoroff เช่น KANDYKORN และ RustBucket” RustBucket ซึ่งเปิดตัวครั้งแรกในเดือนกรกฎาคม 2023 หมายถึงAppleScript-based backdoor ซึ่งสามารถดึง Next-stage payloads จาก Command-and-control (C2) server ได้   ปลายปีที่แล้ว Elastic Security Labs ยังได้ค้นพบมัลแวร์ของ macOS อีกตัวหนึ่งที่มีชื่อว่า KANDYKORN ซึ่งถูกนำไปใช้ในการโจมตีทางไซเบอร์ที่กำหนดเป้าหมายไปที่วิศวกรบล็อคเชนของ Unnamed cryptocurrency exchange platform ซึ่ง KANDYKORN เป็นระบบที่ส่งผ่านการติดเชื้อหลายขั้นตอนที่ซับซ้อน จึงมีความสามารถในการเข้าถึงและขโมยข้อมูลจากคอมพิวเตอร์ของเหยื่อ นอกจากนี้ยังออกแบบมาเพื่อยุติกระบวนการตามอำเภอใจและดำเนินการคำสั่งบนโฮสต์อีกด้วย ลักษณะทั่วไปที่เชื่อมโยงตระกูลมัลแวร์ทั้งสองเข้าด้วยกันคือการใช้โดเมน linkpc[.]net เพื่อวัตถุประสงค์ C2…

แก๊ง Ransomware กวาดเงินทำลายสถิติ 450 ล้านดอลลาร์ในครึ่งแรกของปี 2024

News

เหยื่อของ Ransomware จ่ายเงินค่าไถ่กว่า 459,800,000 เหรียญสหรัฐให้กับอาชญากรไซเบอร์ในช่วงครึ่งแรกของปี 2024 ซึ่งจะเป็นสถิติใหม่ในปีนี้หากการจ่ายค่าไถ่ยังคงดำเนินต่อไปในระดับนี้ เมื่อปีที่แล้วมีการจ่ายค่าไถ่ Ransomware สูงถึง 1.1 พันล้านเหรียญสหรัฐ ซึ่ง Chainalysis เคยคาดการณ์ไว้จากสถิติที่รวบรวมในช่วงครึ่งแรกของปีเมื่อการโจมตีของ Ransomware มีมูลค่ารวม 449,100,000 เหรียญสหรัฐ   ปัจจุบันสถิติอยู่ในจุดที่สูงกว่าของปี 2023 อยู่ประมาณ 2% จากช่วงเวลาเดียวกัน แม้ว่ามีการดำเนินการบังคับใช้กฎหมายที่สำคัญซึ่งขัดขวางการดำเนินงาน  Ransomware ในรูปแบบบริการขนาดใหญ่ เช่น LockBit ก็ตาม จากรายงานล่าสุดของ Chainalysis พบว่าการเพิ่มขึ้นนี้เกิดจากกลุ่ม Ransomware ที่มุ่งหวังจะรับเงินจำนวนมหาศาล โดยมุ่งเป้าไปที่องค์กรขนาดใหญ่ สร้างการหยุดชะงักที่มีค่าใช้จ่ายสูง และขโมยข้อมูลส่วนบุคคลของลูกค้า   “ปี 2024 เป็นปีที่มีการจ่ายเงินค่าไถ่จากแรนซัมแวร์สูงสุดเป็นประวัติการณ์ โดยอยู่ที่ประมาณ 75 ล้านดอลลาร์ให้กับกลุ่ม Dark Angels Ransomware” ยังไม่ชัดเจนว่าใครเป็นผู้จ่ายเงินค่าไถ่จำนวนมหาศาล 75 ล้านดอลลาร์นี้ แต่ Zscaler ซึ่งเป็นผู้ค้นพบเงินค่าไถ่นี้กล่าวว่าเงินค่าไถ่นี้จ่ายโดยบริษัทแห่งหนึ่งใน…

Ransomware 3AM ขโมยข้อมูลผู้ป่วยของ Kootenai Health กว่า 464,000 ราย

News

Kootenai Health ได้เปิดเผยการละเมิดข้อมูลที่ส่งผลกระทบต่อผู้ป่วยมากกว่า 464,000 ราย หลังจากข้อมูลส่วนบุคคลของพวกเขาถูกขโมยโดยปฏิบัติการ Ransomware 3AM โดย Kootenai Health เป็นผู้ให้บริการด้านการแพทย์ที่ไม่แสวงหากำไรในไอดาโฮ ซึ่งดำเนินการโรงพยาบาลที่ใหญ่ที่สุดในภูมิภาค นำเสนอบริการทางการแพทย์ที่หลากหลาย รวมถึงการดูแลฉุกเฉิน การผ่าตัด การรักษามะเร็ง การดูแลหัวใจ และกระดูกและข้อ   องค์กรกำลังแจ้งให้ผู้ป่วยที่เข้ารับการรักษาที่สถานพยาบาลของตนทราบว่าได้ตรวจพบการโจมตีทางไซเบอร์ในช่วงต้นเดือนมีนาคม 2024 ซึ่งส่งผลให้ระบบไอทีบางส่วนหยุดชะงัก การสืบสวนที่ดำเนินงานอยู่แสดงให้เห็นว่าอาชญากรไซเบอร์สามารถเข้าถึงระบบของ Kootenai โดยไม่ได้รับอนุญาตเมื่อวันที่ 22 กุมภาพันธ์ 2024 ทำให้ผู้ก่อภัยคุกคามมีเวลา 10 วันในการโรมมิ่งเครือข่ายและขโมยข้อมูล การตรวจสอบข้อมูลที่ถูกขโมยไปอันเป็นผลจากการโจมตีนี้เสร็จสิ้นลงเมื่อวันที่ 1 สิงหาคม โดยยืนยันการเปิดเผยข้อมูลดังต่อไปนี้: ชื่อ-นามสกุล วันเกิด หมายเลขประกันสังคม (SSN) ใบขับขี่ หมายเลขประจำตัวประชาชน หมายเลขบันทึกทางการแพทย์ ข้อมูลการรักษาและอาการป่วย การวินิจฉัยทางการแพทย์ ข้อมูลประกันสุขภาพ   Kootenai Health ระบุว่าทางโรงพยาบาลไม่ทราบว่ามีการนำข้อมูลที่ถูกขโมยไปใช้ในทางที่ผิดหรือไม่ นอกจากนี้ ทางโรงพยาบาลยังได้แนบคำแนะนำสำหรับบุคคลที่ได้รับผลกระทบให้สมัครใช้บริการปกป้องข้อมูลประจำตัวเป็นเวลา 12-24 เดือน ขึ้นอยู่กับข้อมูลที่ถูกเปิดเผย…

แอนดรอยด์สปายแวร์ ‘Mandrake’ ซ่อนตัวอยู่ในแอปบน Google Play ตั้งแต่ปี 2022

News

พบสปายแวร์ ‘Mandrake’ เวอร์ชันใหม่บน Android ใน 5 แอปพลิเคชันที่ถูกดาวน์โหลดไปแล้วกว่า 32,000 ครั้งจาก Google Play ซึ่งเป็นแอปสโตร์อย่างเป็นทางการของแพลตฟอร์ม   Bitdefender ได้ทำการบันทึกข้อมูล Mandrake เป็นครั้งแรกในปี 2020 โดยนักวิจัยได้เน้นย้ำถึงความสามารถในการสอดส่องที่ซับซ้อนของมัลแวร์ตัวนี้ และสังเกตว่ามัลแวร์ตัวนี้ทำงานอย่างแพร่หลายตั้งแต่ปี 2016 เป็นอย่างน้อย ปัจจุบัน Kaspersky รายงานว่า Mandrake เวอร์ชันใหม่ที่มีคุณสมบัติการบดบังและหลบเลี่ยงที่ดีกว่าได้แอบเข้ามาใน Google Play ผ่าน 5 แอปพลิเคชันที่อยู่ในสโตร์ในปี 2022   แอปเหล่านี้ยังคงเปิดใช้งานได้นานอย่างน้อย 1 ปี ในขณะที่แอปสุดท้ายคือ AirFS ซึ่งประสบความสำเร็จสูงสุดในแง่ของความนิยมและทำให้ติดไวรัส ได้ถูกลบออกเมื่อปลายเดือนมีนาคม 2024 AirFS บน Google Play Source: Kaspersky Kaspersky ระบุแอปที่มีมัลแวร์ Mandrake แฝงตัวอยู่ไว้ 5 แอป ดังนี้:…

Gartner Poll เผยองค์กรกว่า 55% ระบุว่าต้องมี AI Board เพื่อควบคุมดูแลการใช้งาน AI ในองค์กร

News

ผลสำรวจล่าสุดของ Gartner, Inc. จากผู้นำผู้บริหารมากกว่า 1,800 คน เปิดเผยว่า 55% ขององค์กรมี AI Board การสำรวจยังระบุด้วยว่า 54% ขององค์กรมีว่ามีหัวหน้าด้าน AI หรือ AI Leader ที่ดูแลจัดกิจกรรมต่างๆ   “ผลการวิจัยแสดงให้เห็นว่าองค์กรต่างๆ ถูกแบ่งแยกว่าจำเป็นต้องมี AI Board หรือไม่” Frances Karamouzis, Distinguished VP Analyst ของ Gartner กล่าว “คำตอบคือใช่ องค์กรต่างๆ จำเป็นต้องมี AI Board เพื่อก้าวข้ามความท้าทายจากหลากหลายสาขาวิชาเพื่อขับเคลื่อนมูลค่าและลดความเสี่ยง อย่างไรก็ตาม ระยะเวลา ขอบเขต และทรัพยากรจะขึ้นอยู่กับบริบทและกรณีการใช้งาน สำหรับบางคน มันเป็นมาตรการระยะสั้นและชั่วคราว สำหรับบางคนมันเป็นการเปลี่ยนแปลงรูปแบบการดำเนินงานในระยะยาว” แบบสำรวจดังกล่าวมีผู้ตอบแบบสอบถาม 1,808 จากผู้ที่เข้าร่วมการสัมมนาผ่านเว็บของ Gartner ในเดือนมิถุนายน 2024 โดยหารือกันว่าผู้นำระดับผู้บริหารสามารถประเมินต้นทุน ความเสี่ยง และมูลค่าของโครงการริเริ่มด้าน…

แฮกเกอร์กำลังใช้ประโยชน์จากปัญหา BSOD ของ CrowdStrike ที่เกิดกับ Windows

News

ตามคำเตือนจากรัฐบาลสหรัฐฯ และผู้เชี่ยวชาญด้านความปลอดภัยทางไซเบอร์หลายราย อาชญากรทางไซเบอร์กำลังฉวยโอกาสจากความวุ่นวายจากการขัดข้องทางเทคโนโลยีครั้งใหญ่ที่เกิดไปทั่วโลกเมื่อวันศุกร์ที่ผ่านมา ด้วยการโปรโมตเว็บไซต์ปลอมที่เต็มไปด้วยซอฟต์แวร์ที่เป็นอันตรายซึ่งออกแบบมาเพื่อแฝงตัวโจมตีเหยื่อ ผู้เชี่ยวชาญด้านความปลอดภัยกล่าวแฮกเกอร์ได้จัดตั้งเว็บไซต์ปลอมขึ้นมาเพื่อดึงดูดผู้คนที่กำลังมองหาข้อมูลหรือวิธีแก้ปัญหาการล่มของไอทีทั่วโลก แต่ในความเป็นจริงแล้วเว็บไซต์ได้รับการออกแบบมาเพื่อรวบรวมข้อมูลของผู้เยี่ยมชมหรือเพื่อละเมิดอุปกรณ์ของพวกเขา   เว็บไซต์หลอกลวงใช้ชื่อโดเมนที่มีคำสำคัญ เช่น CrowdStrike บริษัทรักษาความปลอดภัยทางไซเบอร์ที่อยู่เบื้องหลังการอัปเดตซอฟต์แวร์ที่ผิดพลาดซึ่งนำไปสู่วิกฤติ หรือ “Blue Screen of Death” (BSOD) ซึ่งเป็นสิ่งที่คอมพิวเตอร์ที่ได้รับผลกระทบจากความผิดพลาดของ CrowdStrike จะเกิดขึ้นเมื่อบูตเครื่อง เว็บไซต์ปลอมที่ทำการหลอกลวงอาจพยายามล่อลวงเหยื่อโดยสัญญาว่าจะแก้ไขปัญหา CrowdStrike ได้อย่างรวดเร็วหรือหลอกลวงพวกเขาด้วยข้อเสนอสกุลเงินดิจิทัลปลอม หลังจากการอัปเดตซอฟต์แวร์ CrowdStrike ทั่วโลกขัดข้องเมื่อวันศุกร์ แฮกเกอร์ต่างมองหาโอกาสใช้ประโยชน์จากความสับสนวุ่นวายดังกล่าว ในแถลงการณ์เกี่ยวกับการหยุดทำงาน ของกระทรวงความมั่นคงแห่งมาตุภูมิกล่าวว่าได้เห็น “ผู้คุกคามใช้ประโยชน์จากเหตุการณ์นี้ในส่งฟิชชิ่งและการโจมตีที่เป็นอันตรายอื่น ๆ”   “ให้ระมัดระวังและปฏิบัติตามคำแนะนำจากแหล่งที่ถูกต้องเท่านั้น” แถลงการณ์ที่ออกโดยหน่วยงาน The Department’s Cybersecurity and Infrastructure Security Agency ระบุ CrowdStrike ได้ออกคำแนะนำของตนเองเกี่ยวกับสิ่งที่องค์กรที่ได้รับผลกระทบสามารถทำได้เพื่อตอบสนองต่อปัญหานี้ สถานการณ์ดังกล่าวแสดงให้เห็นว่าเหตุการณ์ข่าวที่มีความผันผวนและมีผลกระทบสูงได้สร้างความเสี่ยงให้กับผู้คนหลายล้านคนอย่างไร เนื่องจากผู้ร้ายพยายามใช้ประโยชน์จากภัยพิบัติ CrowdStrike และในขณะที่องค์กรหลายพันแห่งรีบเร่งเพื่อกู้คืนจากการอัปเดตซอฟต์แวร์ที่ผิดพลาดของ CrowdStrike “มันเป็นรูปแบบมาตรฐานที่เราเห็นหลังจากเหตุการณ์ในระดับนี้” Kenn White นักวิจัยด้านความปลอดภัยอิสระที่เชี่ยวชาญด้านความปลอดภัยเครือข่าย กล่าวในการให้สัมภาษณ์กับ CNN…

แก๊งอาชญากรทางไซเบอร์ FIN7 ใช้เทคนิคในการหลบเลี่ยง EDR และทำให้เกิดการโจมตีแบบอัตโนมัติ

News

FIN7 เป็นกลุ่มผู้สร้างภัยคุกคามที่มีแรงจูงใจทางการเงินมีต้นกำเนิดในรัสเซีย ที่จะพัฒนาและปรับยุทธวิธีของตนเองอย่างต่อเนื่อง แม้จะพ่ายแพ้และถูกจับกุม โดยใช้นามแฝงหลายชื่อเพื่อปกปิดตัวตนที่แท้จริงและสนับสนุนปฏิบัติการก่อการร้าย กลุ่มนี้ซึ่งเปิดใช้งานมาตั้งแต่ปี 2555 โดยเริ่มมุ่งเน้นไปที่มัลแวร์ ณ จุดขายเพื่อการฉ้อโกงทางการเงิน แต่ได้เปลี่ยนไปใช้การดำเนินการแรนซัมแวร์ในปี 2563 โดยร่วมมือกับกลุ่มแรนซัมแวร์ในฐานะบริการที่มีชื่อเสียงและเปิดตัวโปรแกรมอิสระของตัวเอง    FIN7 Underground Operations งานวิจัยใหม่จาก SentinelOne ได้เปิดเผยการเคลื่อนไหวล่าสุดของ FIN7 ในฟอรัมอาชญากรรมใต้ดิน ซึ่งกลุ่มดังกล่าวทำการตลาดเครื่องมือและบริการของตนภายใต้นามแฝงปลอมต่างๆ ในบรรดาเครื่องมือเหล่านี้ กลุ่มนี้ขายเครื่องมือเฉพาะทางที่มีชื่อว่า AvNeutralizer (หรือที่รู้จักในชื่อ AuKill) เป็นตัวที่โดดเด่นที่สุด ซึ่งออกแบบมาเพื่อปิดการใช้งานโซลูชันความปลอดภัยส่วนใหญ่ ที่มา:sentinelone.com โฆษณาสำหรับเครื่องมือ AvNeutralizer ปรากฏในฟอรัมต่างๆ หลายแห่งภายใต้ชื่อผู้ใช้ต่างกัน โดยขายในราคาตั้งแต่ 4,000 ถึง 15,000 เหรียญสหรัฐ นักวิจัยระบุว่าการนำเครื่องมือนี้ไปใช้อย่างแพร่หลายโดยกลุ่มแรนซัมแวร์ต่างๆ แสดงให้เห็นว่าเครื่องมือดังกล่าวไม่ได้จำกัดการใช้งานเฉพาะจากผู้คุกคามเพียงรายเดียวอีกต่อไป   นักวิจัยระบุชื่อผู้ใช้หลายชื่อ รวมถึง “goodsoft” “lefroggy” “killerAV” และ “Stupor” เชื่อมโยงกับกลุ่มอาชญากรไซเบอร์ FIN7 ซึ่งแนะนำในการส่งเสริมเครื่องมือและบริการ ที่มา:sentinelone.com การใช้ข้อมูลระบุตัวตนหลายแบบในฟอรัมต่างๆ…

HuiOne Guarantee ศูนย์กลางอาชญากรรมทางไซเบอร์แห่งเอเชียตะวันออกเฉียงใต้มูลค่า 1 หมื่น 1 พันล้านดอลลาร์

News

นักวิเคราะห์ Cryptocurrency ได้ให้เปิดเผยเกี่ยวกับตลาดออนไลน์ที่เรียกว่า HuiOne Warranty ซึ่งอาชญากรไซเบอร์ใช้กันอย่างแพร่หลายในเอเชียตะวันออกเฉียงใต้ โดยเฉพาะอย่างยิ่งผู้ที่เชื่อมโยงกับอาชญากรรม “Pig Butchering Scam” (ยุทธการหลอกหมูขึ้นเขียง) ผู้ค้าบนแพลตฟอร์มนำเสนอเทคโนโลยี ข้อมูล และบริการฟอกเงิน และมีส่วนร่วมในธุรกรรมมูลค่ารวมอย่างน้อย 1 หมื่น 1 พันล้านดอลลาร์   บริษัทวิเคราะห์บล็อคเชนของอังกฤษกล่าวว่าตลาดเป็นส่วนหนึ่งของ HuiOne Group ซึ่งเป็นกลุ่มบริษัทในกัมพูชาที่มีความเชื่อมโยงกับตระกูล Hun ที่ปกครองกัมพูชา และธุรกิจ HuiOne อีกแห่งคือ HuiOne International Payments มีส่วนเกี่ยวข้องในการฟอกเงินที่หลอกลวงมาจากทั่วโลก จากข้อมูลในเว็บไซต์ ระบุว่าหน่วยงานบริการทางการเงินของ HuiOne มีผู้ใช้งานที่ลงทะเบียนแล้ว 500,000 ราย นอกจากนี้ยังมี Alipay, Huawei, PayGo Wallet, UnionPay และ Yes Seatel เป็นลูกค้าอีกด้วย   ประเทศในเอเชียตะวันออกเฉียงใต้ เช่น พม่า กัมพูชา ลาว…

ช่องโหว่ด้านความปลอดภัยเครือข่ายแบบ Zero-Day ตกเป็นเป้าหมายในการโจมตี จาก China-Nexus APT

News

ช่องโหว่ด้านความปลอดภัยเครือข่ายแบบ Zero-Day ตกเป็นเป้าหมายในการโจมตี ด้วยแคมเปญจารกรรมข้อมูลทางไซเบอร์จาก China-Nexus APT ผู้โจมตีที่เชื่อมโยงกับจีนซึ่งมาในชื่อ UNC3886 ได้ใช้ประโยชน์จากช่องโหว่แบบ Zero-day ในอุปกรณ์ Fortinet, Ivanti และ VMware เพื่อบุกโจมตีระบบโดยการเข้าถึงและ Maintain access การค้นพบล่าสุดจากนักวิจัยทางไซเบอร์ให้รายละเอียดว่าผู้โจมตีที่มุ่งเน้นการจารกรรมใช้กลไกหลายอย่างในอุปกรณ์เครือข่าย ไฮเปอร์ไวเซอร์ และ Virtual machines (VM) เพื่อให้แน่ใจว่ามีการเข้าถึงอย่างต่อเนื่อง แม้ว่าการตรวจจับและลบออกในช่วงแรกก็ตาม UNC3886 hackers use Linux rootkits to hide on VMware ESXi VMs https://t.co/XkjQA1o3ng — Nicolas Krassas (@Dinosn) June 20, 2024 UNC3886 มีลักษณะที่มีความซับซ้อนและหลบเลี่ยง โดยใช้ประโยชน์จากช่องโหว่แบบ Zero-day เช่น CVE-2022-41328 (Fortinet FortiOS), CVE-2022-22948 (VMware…