การโจมตีทางไซเบอร์ Archives

เลิกส่ง link แฮ็กเกอร์ใช้ QR Code จ้องขโมยข้อมูลผ่านอีเมล

การรักษาความลับ, ข่าวประจำวัน, สถานการณ์ไซเบอร์By Admin S.10 8 July 2023

เชื่อเถอะว่า แม้เราจะมีระบบป้องกันที่ดีมากแค่ไหน แฮ็กเกอร์เค้าก็จะพยายามหารูปแบบการโจมตีทีหลีกเลี่ยงระบบป้องกันไปให้ได้ โดยล่าสุดมีความพยายามจะโจมตีฟิชชิ่ง ด้วยการใช้ภาพ QR Code ปกติแล้ว บริการอีเมลต่าง ๆ ไม่ว่าจะเป็น Gmail หรือ Outlook เค้าจะมีระบบตรวจสอบฟิชชิ่ง ซึ่งจะใช้ AI ในการคัดกรองข้อความ หากพบว่าเป็นฟิชชิ่งที่มีลิงก์แนบมา ก็จะลบออกหรือแจ้งให้ผู้ใช้รู้ก่อนคลิก แล้วอีเมลฟิชชิ่งหน้าตาเป็นแบบไหน ? ส่วนใหญ่ก็มักจะอ้างว่า เป็นฝ่ายสนันสนุนของ Microsoft , Google หรืออื่น ๆ พร้อมกับสร้าง Story หลอกให้เรากดลิงก์ เช่น “สวัสดี นี่คือฝ่ายสนับสนุนของ Microsoft คุณต้องยืนยันการใช้งานรหัสแบบสองขั้นตอน ในทันที ไม่งั้นบัญชีของคุณอาจถูกล็อก” พร้อมกับส่งลิงก์ให้ ซึ่งถ้าเป็นข้อความในลักษณะข้างต้น Microsoft จะทำการบล็อคไปครับ แต่ตอนนี้แฮ็กเกอร์เปลี่ยนวิธีจากการใส่ลิงก์ มาเป็นการส่งภาพ QR Code ให้เราสแกน ทำให้สามารถหลีกเลี่ยงระบบตรวจจับไปได้ หากเราสแกน…

RDP Honeypot อ่วม ถูกบุกโจมตี 3.5 ล้านครั้ง (จบ)

บทความน่าสนใจ, สถานการณ์ไซเบอร์By Admin S.10 5 July 2023

สัปดาห์ที่แล้วผมได้เล่าถึงระบบโดยรวมของ Honeypot และวิธีการในการโจมตีรวมถึงการที่แฮ็กเกอร์ใช้ username และ รหัสผ่านในหลากหลายรูปแบบเพื่อเข้าสู่ระบบ วันนี้เราจะมาตามกันต่อในส่วนอื่น ๆ ที่เกี่ยวข้องกับการแฮ็กระบบนะครับ จากความพยายามของแฮ็กเกอร์ที่รวบรวมข้อมูลของเหยื่อเพื่อเข้าสู่ระบบนั้น จึงมีข้อสังเกตที่น่าสนใจคือ เมื่อมีการเชื่อมโยงสถิติเหล่านี้กับการโจมตี IP address แล้วพบว่าชื่อ RDP certificate ถูกใช้เฉพาะในการพยายามเข้าสู่ระบบจาก IP address ในประเทศจีนถึง 98% และรัสเซีย 2% ซึ่งนี่ไม่ได้หมายความว่าแฮ็กเกอร์จะมาจากทั้ง 2 ประเทศ แต่สามารถสื่อได้ว่าพวกเขาใช้โครงสร้างพื้นฐานจากทั้ง 2 ประเทศ และอีกหนึ่งข้อสังเกตคือมีแฮ็กเกอร์จำนวนประมาณ 15% ที่ได้ใช้รหัสผ่านหลายพันอันกับ username เพียง 5 ชื่อเท่านั้น แฮ็กเกอร์จะปฏิบัติการโดยเริ่มจากการสอดแนมภายในระบบอย่างต่อเนื่องเพื่อหาข้อมูลที่สำคัญและที่มีมูลค่าอีกทั้งปริมาณการแฮ็กมีอัตราที่เพิ่มสูงขึ้นเรื่อย ๆ อย่างเห็นได้ชัด จุดนี้เองทำให้นักวิจัยจึงตัดสินใจจัดทำแผนผัง (heat map) เพื่อแสดง IP address ที่กำหนดให้ Honeypot เป็นเป้าหมายในการโจมตีและแสดงให้เห็นว่ามีลักษณะการบุกโจมตีเป็นแบบรายวันโดยมีช่วงหยุดชั่วคราวซึ่งหมายความว่าแฮ็กเกอร์จะหยุดพักการโจมตี…

กลุ่ม Hacktivist จากประเทศกัมพูชาประกาศปฏิบัติการ “OpThailand” โจมตีทางไซเบอร์ต่อประเทศไทยสางแค้นปมสร้างวัดเลียนแบบ

ข่าวประจำวัน, สถานการณ์ไซเบอร์By Admin S.10 5 July 2023

ศูนย์ประสานงานรักษาความมั่นคงปลอดภัยทางคอมพิวเตอร์ด้านโทรคมนาคม (TTC-CERT) ตรวจพบข้อมูลจาก channel บน Telegram จำนวนหลายกลุ่มซึ่งคาดว่าเป็นกลุ่มแฮ็กเกอร์ประเภท Hacktivist จากประเทศกัมพูชา ได้แก่ “Anonymous Cambodia” “K0LzSec” “CYBER SKELETON” และ “NDT SEC” ได้ประกาศปฏิบัติการ “OpThailand” โดยมีวัตถุประสงค์เพื่อทำการโจมตีทางไซเบอร์ต่อองค์กรต่าง ๆ ในประเทศไทย เนื่องจากกลุ่มดังกล่าวไม่พอใจกรณีที่ประเทศไทยได้สร้างวัดแห่งหนึ่งที่มีความคล้ายคลึงกับนครวัดของประเทศกัมพูชา โดยกลุ่มดังกล่าวได้ประกาศว่าจะทำการโจมตีเว็บไซต์ขององค์กรต่าง ๆ ในประเทศไทย ด้วยวิธีการ Distributed Denial of Service (DDoS) รวมถึงการขโมยข้อมูลต่าง ๆ ขององค์กรเป้าหมายเพื่อนำมาเผยแพร่ต่อสาธารณะโดยไม่ได้รับอนุญาต โดยการโจมตีเริ่มต้นขึ้นตั้งแต่ประมาณวันที่ 29 มิ.ย.66 ซึ่งยังคงมีการปฏิบัติการอยู่จนถึง ณ เวลาที่เขียนบทความนี้ (3 ก.ค.66 เวลา 17.00 น.) จากข้อมูลที่ศูนย์ TTC-CERT ตรวจพบเบื้องต้น พบว่ากลุ่มแฮ็กเกอร์ทำการโจมตีแบบ…

TTC-CERT พบแคมเปญ BangkokShell ถูกใช้ในการโจรกรรมข้อมูลจากหน่วยงานด้านความมั่นคงของประเทศไทย

การรักษาความลับ, ข่าวประจำวัน, สถานการณ์ไซเบอร์By Admin S.10 29 June 2023

ศูนย์ประสานงานรักษาความมั่นคงปลอดภัยทางคอมพิวเตอร์ด้านโทรคมนาคม (TTC-CERT) รายงานการตรวจพบแคมเปญการโจมตีทางไซเบอร์ซึ่งทำการโจมตีหน่วยงานด้านความมั่นคงแห่งหนึ่งในประเทศไทย โดยศูนย์ TTC-CERT คาดการณ์ด้วยความเชื่อมั่นระดับปานกลาง (medium level of confidence) ว่ากลุ่มผู้โจมตีที่อยู่เบื้องหลังการโจมตีในครั้งนี้มีความเกี่ยวข้องกับกลุ่มแฮ็กเกอร์ที่ใช้ภาษาจีนในการสื่อสาร ศูนย์ TTC-CERT ตั้งชื่อให้กับแคมเปญการโจมตีนี้ว่า BangkokShell เพื่อต้องการสื่อถึงเทคนิคที่กลุ่มผู้โจมตีใช้ ซึ่งได้มีการเตรียม payload ที่เป็นไฟล์ประเภท Dynamic Link Library (DLL) โดยนำมาแปลงให้กลายเป็นข้อมูลในรูปแบบ shellcode ก่อนที่จะทำการ obfuscate ด้วยอัลกอริทึม XOR cipher และฝัง payload ดังกล่าว เอาไว้ภายในไฟล์ shellcode อีกชั้นหนึ่ง นอกจากนี้ผู้โจมตียังได้ทำการจดทะเบียนโดเมนชื่อ www.bangkokdailyone[.]com เพื่อเตรียมนำมาใช้เป็น Command and Control (C2) อีกด้วย การโจมตีเริ่มต้นโดยการใช้เทคนิค DLL Side-loading เพื่อทำการโหลดไฟล์ shellcode เข้าสู่พื้นที่หน่วยความจำของโปรเซสซึ่งต่อมาไฟล์…

เปิดเทคนิคการโจมตี ด้วย ‘ChatGPT’ แบบใหม่

บทความน่าสนใจBy Admin S.10 24 June 2023

ปัจจุบัน ChatGPT ได้รับความสนใจจากผู้ใช้งานเป็นวงกว้างและคาดว่าจะเพิ่มสูงขึ้นเรื่อย ๆ ซึ่งจุดนี้เองนี้ที่ทำให้เหล่าบรรดาแฮ็กเกอร์มองเห็นโอกาสและช่องโหว่ในการบุกเข้าโจมตีเหยื่อ ในวันนี้ผมจะขออธิบายเพื่อให้ท่านผู้อ่านได้เข้าใจถึงภัยคุกคามรูปแบบใหม่นี้เพื่อเป็นการตั้งรับกับสิ่งที่เราต้องเผชิญในเร็ว ๆ นี้กันนะครับ ก่อนอื่นเลยผมขอพูดถึงเรื่องเทคนิคการโจมตีทางไซเบอร์แบบใหม่ที่ได้รับการขนานนามในวงการว่า “AI package hallucination” โดยได้รับการเปิดเผยจากทีมนักวิจัยว่า มีการใช้โมเดลภาษา OpenAI ChatGPT ทำให้แฮ็กเกอร์สามารถปล่อยสิ่งที่เป็นอันตรายเข้าไปในระบบที่นักพัฒนาทำงานอยู่ ChatGPT จะสร้างสิ่งต่าง ๆ ไม่ว่าจะเป็น URL ตัวอย่างอย่างอิงอ้าง (Reference) ไลบรารีโค้ด (Library code) และฟังก์ชันที่ไม่มีอยู่จริงขึ้นมาใหม่ โดยการปลอมแปลงโมเดลภาษาขนาดใหญ่หรือ LLM ซึ่งได้มีการรายงานแจ้งเตือนและอาจเป็นผลลัพธ์ที่ได้มาจากการเทรนนิ่งก่อนหน้านี้แล้ว ทั้งนี้แฮ็กเกอร์จะใช้ความสามารถสร้างรหัสของ ChatGPT และใช้ประโยชน์จากไลบรารีโค้ดที่สร้างขึ้นเป็นแพ็กเกจเพื่อหลอกลวงและเผยแพร่ออกสู่โลกไซเบอร์ผ่าน typosquatting หรือ masquerading เทคนิคนี้จะดำเนินการผ่านการตั้งคำถามกับ ChatGPT เพื่อขอแพ็คเกจการแก้ไขปัญหาเกี่ยวกับโค้ดและขอคำแนะนำแพ็กเกจที่หลากหลาย รวมไปถึงการขอบางแพ็คเกจที่ไม่ได้เผยแพร่ในที่เก็บข้อมูลที่ถูกกฏหมาย จากนั้นจะเริ่มกระบวนการต่อไปคือการแทนที่แพ็กเกจเหล่านี้ทั้งหมดด้วยแพ็คเกจปลอมต่าง ๆ ซึ่งแฮ็กเกอร์จะหลอกล่อผู้ที่มีแนวโน้มจะใช้ตามคำแนะนำของ ChatGPT ทั้งนี้ จากการทำ…

สหรัฐเจอฤทธิ์แก๊งโจรไซเบอร์รัสเซีย เจาะระบบผ่านแอปโอนถ่ายข้อมูล

การรักษาความลับ, ข่าวประจำวัน, สถานการณ์ไซเบอร์By Admin S.10 18 June 2023

หน่วยงานราชการของสหรัฐอเมริกาหลายแห่ง โดนโจมตีจากแก๊งอาชญากรไซเบอร์จากรัสเซีย โดยอาศัยช่องทางผ่านแอปพลิเคชันดาวน์โหลดข้อมูลยอดนิยม เอริก โกลด์สตีน ผู้ช่วยผู้อำนวยการบริหารสำนักความมั่นคงโครงสร้างพื้นฐานและการรักษาความมั่นคงปลอดภัยไซเบอร์ของสหรัฐ หรือ CISA แถลงเมื่อวันที่ 15 มิ.ย. 2566 ว่า ขณะนี้ ทางสำนักงานกำลังให้ความช่วยเหลือแก่หน่วยงานราชการของรัฐบาลกลางหลายแห่ง ที่พบการบุกรุกจากภายนอก โดยผ่านช่องทางการใช้งานแอปพลิชัน MOVEit สำนักงาน CISA กำลังประเมินอย่างเร่งด่วนถึงผลกระทบที่เกิดขึ้น และแสดงความมั่นใจว่าจะสามารถแก้ไขได้อย่างทันท่วงที หนึ่งในหน่วยงานที่ยืนยันมาแล้วว่าโดนแฮ็กระบบคือกระทรวงพลังงาน นอกเหนือจากหน่วยงานราชการหลายแห่งแล้ว ยังมีบริษัทและองค์กรเอกชนจำนวนมากที่โดนแฮ็กข้อมูลผ่านแอปพลิเคชันดังกล่าว ทาง CISA ระบุว่า แก๊งอาชญากรไซเบอร์ที่ชื่อว่า CLOP เป็นผู้ลงมือโจมตีไปทั่วโลกในครั้งนี้ CLOP เป็นแก๊งอาชญากรไซเบอร์จากรัสเซีย มีพฤติกรรมการก่ออาชญากรรมในลักษณะของการแฮ็กเข้าระบบของหน่วยงานแล้วขโมยข้อมูล จากนั้นก็นำไปเรียกค่าไถ่ซึ่งมักจะอยู่ในระดับหลายล้านดอลลาร์ อย่างไรก็ตาม ขณะนี้ ยังไม่ปรากฏการเรียกร้องในลักษณะดังกล่าวต่อหน่วยงานราชการของสหรัฐ เจน อีสเตอร์ลีย์ ผู้อำนวยการของ CISA กล่าวว่า ยังไม่พบผลกระทบที่ก่อให้เกิดปัญหาใหญ่ในหน่วยงานราชการที่เป็นกิจการของพลเรือน และเสริมว่า กลุ่มแฮ็กเกอร์เพียงใช้ช่องโหว่ในซอฟต์แวร์ เจาะเข้ามาในระบบเครือข่ายเพื่อมองหาโอกาสที่เป็นไปได้ในการก่ออาชญากรรม การแฮ็กระบบทั่วโลกครั้งใหญ่นี้เริ่มต้นราว…

Tag Archives: การโจมตีทางไซเบอร์