พรูเด็นเชียล ไฟแนนเชียล ถูกโจมตีทางไซเบอร์โจรกรรมข้อมูล

News

พรูเด็นเชียลไฟแนนเชียลเปิดเผยว่าเมื่อสัปดาห์ที่แล้วถูกโจมตีระบบ Network โดยผู้โจมตีขโมยข้อมูลพนักงานและคู่สัญญา บริษัทชั้นนำที่ให้บริการทางการเงินระดับโลกในทำเนียบ Fortune 500 บริหารจัดการทรัพย์สินมูลค่าประมาณ 1.4 ล้านล้านดอลลาร์ และให้บริการประกันภัย การวางแผนเกษียณอายุ ตลอดจนบริการการจัดการความมั่งคั่งและการลงทุนแก่ลูกค้ากว่า 50 ล้านรายทั่วสหรัฐอเมริกา เอเชีย ยุโรป และละตินอเมริกา ในฐานะบริษัทประกันชีวิตที่ใหญ่เป็นอันดับสองในสหรัฐอเมริกา บริษัทมีพนักงาน 40,000 คนทั่วโลก และรายงานรายได้มากกว่า 5 หมื่นล้านดอลลาร์ในปี 2566 ในแบบฟอร์ม 8-K ที่ยื่นต่อสำนักงานคณะกรรมการกำกับหลักทรัพย์และตลาดหลักทรัพย์ของสหรัฐอเมริกาเมื่อเช้าวันนี้ บริษัทเปิดเผยว่าตรวจพบการ[บุกรุกเมื่อวันที่ 5 กุมภาพันธ์ หลังจากที่ผู้โจมตีสามารถเข้าถึงระบบบางส่วนของบริษัทในวันที่ 4 กุมภาพันธ์   ” ณ วันที่ของรายงานนี้ เราเชื่อว่าผู้คุกคามซึ่งเราสงสัยว่าเป็นกลุ่มอาชญากรรมไซเบอร์ เข้าถึงข้อมูลการบริหารและผู้ใช้งานของบริษัทจากระบบเทคโนโลยีบางอย่าง และบัญชีผู้ใช้ของบริษัทจำนวนเล็กน้อยที่เกี่ยวข้องกับพนักงานและคู่สัญญา “พรูเด็นเชียลกล่าว   พรูเด็นเชียลได้รายงานการโจมตีความปลอดภัยไปยังหน่วยงานบังคับใช้กฎหมายและแจ้งให้หน่วยงานกำกับดูแลที่เกี่ยวข้องทั้งหมดทราบถึงการบุกรุกข้อมูล การสอบสวนที่กำลังดำเนินอยู่คือการประเมินขอบเขตและผลกระทบของเหตุการณ์ทั้งหมด รวมถึงการเข้าถึงข้อมูลหรือระบบอื่นๆ บนเครือข่ายของบริษัทประกันภัย อย่างไรก็ตาม ในขณะนี้บริษัทยังไม่พบข้อมูลว่าผู้โจมตีได้รับข้อมูลลูกค้าไปแล้ว   “ ณ วันที่จัดทำรายงานนี้ เหตุการณ์ดังกล่าวไม่มีผลกระทบอย่างมีนัยสำคัญต่อการดำเนินงานของบริษัท และบริษัทไม่ได้พิจารณาแล้วว่าเหตุการณ์ดังกล่าวมีแนวโน้มที่จะส่งผลกระทบอย่างมีนัยสำคัญต่อสถานะทางการเงินหรือผลการดำเนินงานของบริษัท”…

พนักงานบริษัทฮ่องกงถูกมิจฉาชีพใช้ deepfake ปลอมตัวเป็น CFO หลอกให้โอนเงิน กว่า 900 ล้านบาท

News

เจ้าหน้าที่การเงินในบริษัทข้ามชาติถูกหลอกให้จ่ายเงิน 25 ล้านดอลลาร์ หรือราว 900 ล้านบาทให้กับมิจฉาชีพโดยใช้เทคโนโลยี Deepfake เพื่อสวมรอยเป็นประธานเจ้าหน้าที่ฝ่ายการเงินของบริษัทในการประชุมทางวิดีโอคอล ตามที่ตำรวจฮ่องกงระบุ การหลอกลวงอันซับซ้อนนี้ทำให้พนักงานรายนี้โดนหลอกให้เข้าร่วมวิดีโอคอลโดยอ้างว่าส่งมาจาก CFO สาขาในสหราชอาณาจักร หลังจากที่เขาได้รับข้อความที่อ้างว่ามาจาก CFO ในขั้นต้น พนักงานสงสัยว่าเป็นอีเมลฟิชชิ่ง เนื่องจากได้พูดถึงความจำเป็นในการทำธุรกรรมลับที่ต้องทำ แต่มีเพื่อนพนักงานคนอื่น ๆ ที่เขารู้จักเข้าร่วมด้วยทุกคนมีหน้าตาและเสียงเหมือนกับเพื่อนร่วมงานของเขา จึงทำให้หลงเชื่อ ว่าเป็นการพูดคุยกับ CFO และเพื่อนร่วมงานจริงๆ แต่จริง ๆ แล้วคนที่อยู่ในวิดีโอคอลนั้นเป็นการหลอกลวงทั้งสิ้น ตำรวจฮ่องกง กล่าวในการบรรยายสรุปเมื่อวันศุกร์ เจ้าหน้าที่ตำรวจรายดังกล่าวเสริมว่า พนักงานเชื่อว่าคนอื่นๆ ในสายนั้นเป็นตัวจริง จึงตกลงที่จะโอนเงินจำนวน 200 ล้านดอลลาร์ฮ่องกง หรือประมาณ 25.6 ล้านดอลลาร์หรือราว 900 ล้านบาท คดีนี้เป็นหนึ่งในหลายคดีล่าสุดที่เชื่อว่าผู้ฉ้อโกงใช้เทคโนโลยี Deepfake เพื่อแก้ไขวิดีโอและฟุตเทจอื่น ๆ เพื่อโกงเงินผู้คน ในการแถลงข่าวเมื่อวันศุกร์ ตำรวจฮ่องกงกล่าวว่า พวกเขาได้จับกุมผู้ต้องหา 6 รายที่เกี่ยวข้องกับกลโกงดังกล่าว คนร้ายเหล่านี้ได้ก่อคดียาวมากมาย ขโมยบัตรประชาชนจำนวน 8 ใบ และยังถูกนำไปขอสินเชื่อ…

มัลแวร์ DarkGate โจมตีผู้ใช้ MS Teams โดยใช้ฟิชชิ่งผ่านการแชทเป็นกลุ่ม

News

การโจมตีแบบฟิชชิ่งรูปแบบใหม่ละเมิดคำขอแชทกลุ่มของ Microsoft Teams เพื่อส่งไฟล์แนบที่อันตรายซึ่งติดตั้งเพย์โหลดมัลแวร์ DarkGate บนระบบของเหยื่อ   ผู้โจมตีใช้สิ่งที่ดูเหมือนผู้ใช้ Teams (หรือโดเมน) ที่ไม่ปลอดภัยเพื่อส่งคำเชิญเข้าแชทกลุ่ม Teams ที่เป็นอันตรายมากกว่า 1,000 รายการ ตามการวิจัยของ AT&T Cybersecurity หลังจากที่เป้าหมายยอมรับคำขอแชท ผู้คุกคามจะหลอกให้พวกเขาดาวน์โหลดไฟล์โดยใช้นามสกุลคู่ชื่อ ‘Navigating Future Changes October 2023.pdf.msi’ ซึ่งเป็นกลยุทธ์ทั่วไปของ DarkGate เมื่อติดตั้งแล้ว มัลแวร์จะเข้าถึงเซิร์ฟเวอร์สั่งการและควบคุมที่ hgfdytrywq[.]com ซึ่งได้รับการยืนยันแล้วว่าเป็นส่วนหนึ่งของโครงสร้างพื้นฐานมัลแวร์ DarkGate โดย Palo Alto Networks การโจมตีแบบฟิชชิ่งนี้เกิดขึ้นได้เนื่องจาก Microsoft อนุญาตให้ผู้ใช้ Microsoft Teams ภายนอกส่งข้อความถึงผู้ใช้รายอื่นตามค่าเริ่มต้น   Microsoft Teams กลายเป็นเป้าหมายที่น่าสนใจสำหรับผู้คุกคามเนื่องจากมีผู้ใช้จำนวนมากถึง 280 ล้านรายต่อเดือน ผู้โจมตีที่ใช้ DarkGate ใช้ประโยชน์จากสิ่งนี้ด้วยการเผยแพร่มัลแวร์ผ่าน Microsoft Teams ในการโจมตีที่กำหนดเป้าหมายไปยังองค์กรที่ผู้ดูแลระบบไม่ได้รักษาความปลอดภัยให้กับผู้ใช้ด้วยการปิดใช้งานการตั้งค่าการเข้าถึงภายนอก เมื่อปีที่แล้วมีการตรวจพบแคมเปญที่คล้ายกันซึ่งส่งมัลแวร์…

Google Kubernetes Misconfig อนุญาตให้บัญชี Gmail อื่นควบคุมคลัสเตอร์ของคุณ

News

นักวิจัยด้านความปลอดภัยทางไซเบอร์ได้ค้นพบช่องโหว่ที่ส่งผลกระทบต่อ Google Kubernetes Engine (GKE) ซึ่งอาจถูกใช้โดยผู้คุกคามด้วยบัญชี Google เพื่อควบคุมคลัสเตอร์ Kubernetes ข้อบกพร่องร้ายแรงนี้มีชื่อรหัสว่า Sys:All โดยบริษัทรักษาความปลอดภัยบนคลาวด์ Orca คาดว่าคลัสเตอร์ GKE ที่ใช้งานอยู่ในระบบมากถึง 250,000 คลัสเตอร์จะถูกโจมตีได้ง่ายต่อเวกเตอร์การโจมตี   ในรายงานที่แชร์กับ The Hacker News นักวิจัยด้านความปลอดภัย Ofir Yakobi กล่าวว่า “เกิดจากความเข้าใจผิดที่อาจเกิดขึ้นอย่างกว้างขวางว่า system:กลุ่มที่ได้รับการรับรองความถูกต้องใน Google Kubernetes Engine มีเฉพาะข้อมูลประจำตัวที่ได้รับการยืนยันและกำหนดไว้เท่านั้น ในขณะที่ในความเป็นจริงจะรวมบัญชีที่ได้รับการรับรองความถูกต้องของ Google อื่นๆ ด้วย (แม้แต่ภายนอกองค์กร)”   กลุ่ม system:authenticated คือกลุ่มพิเศษที่รวมเอนทิตีที่ได้รับการรับรองความถูกต้องทั้งหมด โดยนับผู้ใช้ที่เป็นมนุษย์และบัญชีบริการ เป็นผลให้สิ่งนี้อาจส่งผลร้ายแรงเมื่อผู้ดูแลระบบมอบ roles ที่อนุญาตมากเกินไปโดยไม่ตั้งใจ โดยเฉพาะอย่างยิ่ง ผู้ดำเนินการคุกคามจากภายนอกที่ครอบครองบัญชี Google อาจใช้การกำหนดค่าที่ไม่ถูกต้องนี้ในทางที่ผิดโดยใช้โทเค็นผู้ถือ Google OAuth 2.0 ของตนเองเพื่อยึดการควบคุมคลัสเตอร์สำหรับการใช้ประโยชน์ที่ตามมา เช่น…

Wi-Fi Alliance เริ่มออกตรารับรอง Wi-Fi 7 Certified ถ่ายโอนข้อมูลเร็วขึ้น 5 เท่า

News

สเปคฉบับร่างของมาตรฐาน Wi-Fi 7 หรือ IEEE 802.11be เริ่มพัฒนามานานหลายปีแล้ว และเริ่มมีผลิตภัณฑ์ที่อิงตามมาตรฐานดังกล่าวออกสู่ตลาดตั้งแต่ช่วงปี 2023 ที่ผ่านมา ล่าสุดสเปคฉบับสมบูรณ์ถูกพัฒนาจนเสร็จเรียบร้อย และกลุ่ม Wi-Fi Alliance ก็พร้อมออกตราสัญลักษณ์ Wi-Fi 7 Certified เพื่อรับรองอุปกรณ์ที่ได้มาตรฐานดังกล่าวแล้ว Wi-Fi 7 เป็นมาตรฐานด้าน Wireless LAN ที่พัฒนาต่อยอดมาจาก Wi-Fi 6/6E โดยใช้งานบนย่านความถี่ทั้ง 2.4, 5 และ 6 GHz เช่นเดียวกับ Wi-Fi 6e จุดเปลี่ยนสำคัญคือการขยายช่องสัญญาณให้กว้างขึ้นจาก 160 MHz เป็น 320 MHz มีการเพิ่มและปรับแต่งฟีเจอร์มากมายเพื่อเพิ่ม Throughput สองเท่า พร้อมเพิ่มเทคนิคการส่งสัญญาณแบบใหม่ เช่น Multi-Link Operation (MLO) และ 4K QAM ลด Latency…

เซิร์ฟเวอร์ SSH กว่า 11 ล้านเครื่องเสี่ยงต่อการโจมตีแบบ Terrapin

News

เมื่อสองสัปดาห์ก่อนนักวิจัยด้านความปลอดภัยที่ Ruhr University Bochum ของเยอรมนีค้นพบช่องโหว่ในโปรโตคอลเครือข่ายการเข้ารหัส Secure Shell (SSH) ที่ช่วยให้ผู้โจมตีสามารถปรับลดระดับความปลอดภัยของการเชื่อมต่อที่ดำเนินการโดยโปรโตคอลได้   ช่องโหว่นี้เรียกว่า Terrapin (CVE-2023-48795, คะแนน CVSS 5.9) ซึ่งเป็นการโจมตีแบบตัดคำนำหน้า โดยแพ็กเก็ตที่เข้ารหัสบางส่วนที่จุดเริ่มต้นของช่อง SSH สามารถลบได้โดยที่ไคลเอ็นต์หรือเซิร์ฟเวอร์ไม่สังเกตเห็น สิ่งนี้สามารถทำได้ในระหว่างกระบวนการ handshake ซึ่งมีการจัดการหมายเลขลำดับเมื่อสร้างการเชื่อมต่อ SSH และข้อความที่แลกเปลี่ยนระหว่างไคลเอนต์และเซิร์ฟเวอร์จะถูกลบออก   ในการโจมตี Terrapin ผู้โจมตีจะต้องอยู่ใน adversary-in-the-middle position (เรียกย่อว่า AitM และรู้จักกันในชื่อ man-in-the-middle หรือ MitM) ที่เลเยอร์เครือข่ายเพื่อสกัดกั้นและแก้ไขการแลกเปลี่ยนการ handshake และการเชื่อมต่อจะต้องปลอดภัยด้วย ChaCha20-Poly1305 หรือ CBC ด้วย Encrypt-then-MAC   ขณะนี้การสแกนล่าสุดโดยแพลตฟอร์มตรวจสอบภัยคุกคามความปลอดภัย Shadowserver เตือนว่ามีเกือบ 11 ล้านที่ IP address เซิร์ฟเวอร์ SSH…

CISA และ FBI เตือนแก๊งค์แรนซั่มแวร์ Royal อาจเปลี่ยนชื่อเป็น ‘BlackSuit’ ขู่ให้เหยื่อ 350 รายจ่ายค่าไถ่เป็นเงิน 275 ล้านดอลลาร์

News

หน่วยงานรักษาความปลอดภัยทางไซเบอร์ชั้นนำในสหรัฐอเมริกาเปิดเผยข้อมูลใหม่ที่น่าตกใจเกี่ยวกับแก๊งค์แรนซัมแวร์ Royal เมื่อวันจันทร์ ซึ่งเป็นการยืนยันรายงานก่อนหน้านี้ว่าแก๊งค์อาจกำลังเตรียมการสำหรับการเปลี่ยนชื่อ ในเดือนมิถุนายน BleepingComputer รายงานว่า Royal ransomware กำลังทดสอบตัวเข้ารหัสใหม่ที่ชื่อ BlackSuit ซึ่งมีความคล้ายคลึงกันกับตัวเข้ารหัสตามปกติของการดำเนินการ ซึ่งสอดคล้องกับรายงานจาก TrendMicro และนักวิจัยด้านความปลอดภัยทางไซเบอร์อื่น ๆ ว่าแก๊งค์กำลังเตรียมการเปลี่ยนชื่อแบรนด์ใหม่หลังจากการตรวจสอบการบังคับใช้กฎหมายที่เพิ่มขึ้นหลังจากการโจมตีที่เมืองดัลลัส   ในการอัปเดตคำแนะนำเดือนมีนาคมเมื่อวันจันทร์ FBI และ Cybersecurity และ Infrastructure Security Agency (CISA) ยืนยันว่าพวกเขาก็เชื่อเช่นกันว่า Royal กำลังเตรียมการเปลี่ยนชื่อ หน่วยงานกล่าวว่า “ตั้งแต่เดือนกันยายน 2565 Royal ได้กำหนดเป้าหมายเหยื่อกว่า 350 รายทั่วโลก และเรียกร้องค่าไถ่จำนวนมากกว่า 275 ล้านเหรียญสหรัฐ Royal ดำเนินการขโมยข้อมูลและการขู่กรรโชกก่อนการเข้ารหัส จากนั้นเผยแพร่ข้อมูลของเหยื่อไปยังไซต์ที่รั่วไหลหากไม่มีการจ่ายค่าไถ่” ผู้เชี่ยวชาญด้านความปลอดภัยทางไซเบอร์หลายคนเชื่อว่า Royal ransomware นั้นเป็นภาคแยกของแก๊งแรนซัมแวร์ Conti ซึ่งปิดตัวลงเมื่อปีที่แล้วหลังจากการโจมตีอย่างรุนแรงต่อรัฐบาลคอสตาริกา   Royal มีการดำเนินงานที่ประสบความสำเร็จ โดยบริษัทประกันภัยทางไซเบอร์แห่งหนึ่งกล่าวในเดือนกันยายนว่ากลุ่มนี้ควบคู่ไปกับ BlackCat และ…

แฮกเกอร์ใช้ประโยชน์จากช่องโหว่ของ Looney Tunables Linux ขโมยข้อมูล Cloud credentials

News

ผู้โจมตีที่ใช้มัลแวร์ Kinsing กำหนดเป้าหมายเข้ามาผ่านช่องโหว่ของ “Looney Tunables” ซึ่งเป็นปัญหาด้านความปลอดภัยของ Linux ที่ระบุว่าเป็น CVE-2023-4911 ซึ่งช่วยให้ผู้โจมตีได้รับสิทธิ์รูทบนระบบ Looney Tunables เป็นบัฟเฟอร์ล้นในตัวโหลดเดอร์แบบไดนามิกของ glibc (ld.so) ที่เปิดตัวใน glibc 2.34 ในเดือนเมษายน 2021 แต่เปิดเผยในต้นเดือนตุลาคม 2023 ไม่กี่วันหลังจากการเปิดเผย การหาประโยชน์จาก Proof-of-Concept (PoC) ก็เปิดเผยต่อสาธารณะ ในรายงานจากบริษัทรักษาความปลอดภัยบนคลาวด์ Aqua Nautilus นักวิจัยอธิบายถึงการโจมตีของมัลแวร์ Kinsing โดยที่ผู้คุกคามใช้ประโยชน์จาก CVE-2023-4911 เพื่อยกระดับสิทธิ์ในเครื่องที่ถูกบุกรุก   Kinsing เป็นที่รู้จักในเรื่องการละเมิดระบบและแอปพลิเคชันบนคลาวด์ (เช่น Kubernetes, Docker APIs, Redis และ Jenkins) เพื่อปรับใช้ซอฟต์แวร์การขุด crypto เมื่อเร็วๆ นี้ Microsoft สังเกตเห็นว่าพวกเขากำหนดเป้าหมายคลัสเตอร์ Kubernetes ผ่านคอนเทนเนอร์ PostgreSQL ที่กำหนดค่าไม่ถูกต้อง…

อุปกรณ์ Cisco กว่า 10,000 เครื่องถูกแฮ็กจากการโจมตี IOS XE zero-day attacks

News

ผู้โจมตีใช้ประโยชน์จากช่องโหว่ Zero-day โจมตีและทำให้อุปกรณ์ Cisco IOS XE มากกว่า 10,000 เครื่องถูกแฮ็กและควบคุมเครื่องได้เต็มรูปแบบ   รายการผลิตภัณฑ์ที่ใช้ซอฟต์แวร์ Cisco IOS XE ประกอบด้วยสวิตช์ระดับองค์กร เราเตอร์แบบรวมกลุ่มและอุตสาหกรรม จุดเข้าใช้งาน ตัวควบคุมไร้สาย และอื่นๆ ตามรายงานของบริษัทข่าวกรองภัยคุกคาม VulnCheck ช่องโหว่ระดับความรุนแรงสูงสุด (CVE-2023-20198) ได้ถูกนำไปใช้อย่างกว้างขวางในการโจมตีเป้าหมายระบบ Cisco IOS XE ที่เปิดใช้งานฟีเจอร์ Web User Interface (Web UI) ซึ่งมีฟีเจอร์ HTTP หรือ HTTPS Server โดยเบื้องต้นยังไม่มีแพตช์ และ Cisco แนะนำให้ลูกค้าปิดฟีเจอร์ HTTP Server ไปก่อน   Shodan search สำหรับอุปกรณ์ Cisco ที่เปิดใช้งาน Web UI (ข้อมูลจาก Aves…

ซอร์สโค้ดของ Ransomware “HelloKitty” รั่วไหลบน Hacking forum

News

ผู้ก่อภัยคุกคามได้ปล่อยซอร์สโค้ดทั้งหมดของ HelloKitty ransomware เวอร์ชันแรกใน Hacking forum ภาษารัสเซีย โดยอ้างว่ากำลังพัฒนาตัวเข้ารหัสตัวใหม่ที่แข็งแกร่งยิ่งขึ้น ข้อมูลที่รั่วไหลนี้ถูกค้นพบครั้งแรกโดยนักวิจัยด้านความปลอดภัยทางไซเบอร์ 3xp0rt ซึ่งพบภัยคุกคามชื่อ ‘kapuchin0’ ปล่อย “สาขาแรก” ของตัวเข้ารหัสแรนซัมแวร์ HelloKitty โพสต์ในฟอรัมรั่วไหลตัวเข้ารหัส HelloKitty ที่มา: 3xp0rt ในขณะที่ซอร์สโค้ดถูกเผยแพร่โดยบุคคลที่ชื่อ ‘kapuchin0’ 3xp0rt บอกกับ BleepingComputer ว่าผู้คุกคามยังใช้นามแฝง ‘Gookee’ ก่อนหน้านี้ผู้คุกคามชื่อ Gookee เคยเกี่ยวข้องกับมัลแวร์และการแฮ็ก โดยพยายามขายการเข้าถึง Sony Network Japan ในปี 2020 เชื่อมโยงกับการดำเนินการ Ransomware-as-a-Service ที่เรียกว่า ‘Gookee Ransomware’ และพยายามขายซอร์สโค้ดของมัลแวร์ ในฟอรัมแฮ็กเกอร์   3xp0rt เชื่อว่า kapuchin0/Gookee เป็นผู้พัฒนาแรนซัมแวร์ HelloKitty ซึ่งขณะนี้กล่าวว่า “เรากำลังเตรียมผลิตภัณฑ์ใหม่และน่าสนใจมากกว่า Lockbit มาก” ไฟล์ Archive…