ศูนย์ประสานการรักษาความมั่นคงปลอดภัยไซเบอร์ ด้านความมั่นคงของรัฐฝ่ายพลเรือน

ภาพรวมแท็กนี้

7 ข่าว

Microsoft เปิดแผนที่ 3 เส้นทางโจมตี Salesforce ของ ShinyHunters — เจาะได้ทั้งปีโดยไม่ใช้ช่องโหว่สักตัว

shinyhunters vulnerability exploit extortion linked salesforce data theft across three paths attackers long shinyhunters
Microsoft เผยแพร่งานวิจัยที่ทำแผนที่แคมเปญขโมยข้อมูล Salesforce ตลอดกว่า 1 ปี ซึ่งเชื่อมโยงกับกลุ่มรีดไถ ShinyHunters โดยไม่ได้เจาะช่องโหว่ของแพลตฟอร์มเลย แต่อาศัยความไว้วางใจผ่านการเชื่อมต่อ OAuth แบ่งเป็น 3 เส้นทาง คือ vishing หลอกพนักงานอนุมัติแอป, ขโมยโทเคน OAuth จากผู้ให้บริการที่ถูกเจาะ (Salesloft Drift, Gainsight, Klue) และการตั้งค่า guest access ผิดพลาด Microsoft ร่วมกับ Salesforce ออกเครื่องมือตรวจจับและกำกับดูแลใหม่

สหราชอาณาจักรตั้งข้อหา 5 ผู้ต้องสงสัยโยงแพลตฟอร์มปลอมเบอร์โทร Russian Coms — ต้นตอสายหลอกลวงกว่า 1.8 ล้านครั้ง

UK charges five suspects linked to Russian Coms caller ID spoofing platform used in 1.8 million scam calls
NCA ของสหราชอาณาจักรตั้งข้อหาผู้ต้องสงสัย 5 รายจากลอนดอน ฐานเกี่ยวข้องกับ Russian Coms แพลตฟอร์มปลอมหมายเลขผู้โทร (Caller ID Spoofing) รายใหญ่ แพลตฟอร์มนี้ถูกใช้โทรหลอกลวงกว่า 1.8 ล้านสาย สร้างเหยื่อราว 170,000 ราย ความเสียหายหลายสิบล้านปอนด์ อาชญากรใช้ปลอมเบอร์ธนาคารและตำรวจเพื่อหลอกให้เหยื่อโอนเงิน ทั้งห้าจะขึ้นศาล Westminster Magistrates’ Court วันที่ 14 สิงหาคมนี้ คดีนี้ต่อยอดจากการทลายแพลตฟอร์มเมื่อเดือนมีนาคม 2024 ภายใต้ Operation Henhouse

ตำรวจเนเธอร์แลนด์พบหลักฐานชี้แฮ็กเกอร์ชาวดัตช์เอี่ยวเหตุเจาะข้อมูล Odido — เริ่มจากโทรปลอมเป็นพนักงานไอที

Dutch National Police investigating Odido telecom data breach linked to Dutch hackers
ตำรวจแห่งชาติเนเธอร์แลนด์เผยพบหลักฐานบ่งชี้ชัดเจนว่าแฮ็กเกอร์ชาวดัตช์มีส่วนเกี่ยวข้องกับเหตุเจาะระบบผู้ให้บริการโทรคมนาคม Odido เมื่อเดือนกุมภาพันธ์ หลักฐานสำคัญคือบทสนทนาทางโทรศัพท์ที่ชายพูดภาษาดัตช์ปลอมเป็นพนักงานไอทีของบริษัทก่อนเกิดเหตุ จากนั้นใช้ฟิชชิงหลอกจนขโมยข้อมูลสำเร็จ เหตุการณ์นี้กระทบลูกค้า 6.2 ล้านราย ข้อมูลที่หลุดรวมชื่อ ที่อยู่ เบอร์โทรศัพท์ อีเมล เลขบัญชี IBAN และเลขเอกสารระบุตัวตน กลุ่ม ShinyHunters อ้างความรับผิดชอบและปล่อยไฟล์ 88GB กว่า 15 ล้านรายการบนดาร์กเว็บ

SCMBANKER มัลแวร์ธนาคารตัวใหม่ ใช้กลลวง ClickFix เจาะลูกค้าธนาคารเม็กซิโก

powershell clickfix malware apt captcha elastic security labs
มัลแวร์ธนาคารตัวใหม่ SCMBANKER พุ่งเป้าลูกค้าธนาคาร ฟินเทค และกระดานเทรดคริปโตในเม็กซิโก ใช้กลลวง ClickFix ผ่านหน้า CAPTCHA ปลอมหลอกให้เหยื่อรันคำสั่งติดตั้งเอง ทีมวิจัย Elastic Security Labs ที่ติดตามในชื่อ REF6045 พบว่าเป็นชุดเครื่องมือ PowerShell ที่ใช้ AI ช่วยเขียน เฝ้าดูเซสชันธนาคาร สลับเลขบัญชีในคลิปบอร์ด และเปิดทางรีโมตเข้าเครื่องได้เต็มรูปแบบ

แฮ็กเกอร์ปลอมเป็นทีมไอทีโทรผ่าน Microsoft Teams หลอกติดตั้งมัลแวร์ EtherRAT — ใช้สัญญาอัจฉริยะ Ethereum ซ่อนเซิร์ฟเวอร์ควบคุม

fake it support microsoft teams call pushing etherrat malware
บริษัท Palo Alto Networks (Unit 42) เปิดเผยแคมเปญที่ปลอมเป็นทีมไอทีซัพพอร์ตโทรผ่าน Microsoft Teams หลอกพนักงานให้ติดตั้งมัลแวร์ EtherRAT ผู้โจมตีเริ่มจากอีเมลฟิชชิงแนบ PDF แล้วโทรจากบัญชีภายนอกอ้างเป็นผู้ดูแลระบบ ก่อนหลอกให้เปิดสิทธิ์ควบคุมเครื่องและติดตั้งเครื่องมือรีโมตจริงอย่าง AnyDesk สุดท้ายรัน EtherRAT ที่ใช้สัญญาอัจฉริยะ Ethereum ซ่อนเซิร์ฟเวอร์ควบคุมสั่งการ ทำให้ปิดกั้นได้ยาก

กลุ่มรีดทรัพย์ Pink โผล่ใหม่ — ใช้ Vishing หลอกพนักงานข้าม MFA กวาดข้อมูลจาก Microsoft 365 ใน OneDrive/SharePoint

Pink extortion group targets Microsoft 365 via vishing
นักวิจัยเตือนกลุ่มอาชญากรไซเบอร์ใหม่ชื่อ Pink ที่ Unit 42 ของ Palo Alto Networks ตามรอยในรหัส CL-CRI-1147 กลุ่มนี้ใช้ voice phishing แอบอ้างเป็นฝ่าย IT ภายในเพื่อหลอกพนักงานเข้าโดเมนขโมย credential แล้วขโมย session ที่ใช้งานอยู่เพื่อข้าม MFA จากนั้นใช้เครื่องมืออัตโนมัติของ Microsoft กวาดไฟล์จาก OneDrive และ SharePoint ในไม่กี่นาที ก่อนรีดทรัพย์ด้วยเส้นตาย 72 ชั่วโมง และใช้เทคนิค fileless หลบ antivirus

แฮ็กเกอร์ใช้ฟีเจอร์ collaboration ของ Microsoft Teams ปลอมเป็นทีม IT Helpdesk หลอก vishing

Hackers exploit Microsoft Teams collaboration features to impersonate IT helpdesk
เกิดคลื่นการโจมตี vishing ที่แฮ็กเกอร์ใช้ฟีเจอร์ collaboration ข้ามองค์กรของ Microsoft Teams ปลอมเป็นเจ้าหน้าที่ IT helpdesk โทรหรือส่งข้อความหาพนักงาน หลอกให้รันคำสั่งหรือติดตั้งเครื่องมือ remote access อย่าง Quick Assist เพราะเกิดในแพลตฟอร์มที่ดูน่าเชื่อถือ ระบบป้องกันฟิชชิงทางอีเมลจึงตรวจไม่เจอ ทีมสืบสวนหันมาใช้ Microsoft 365 Unified Audit Log โดยเฉพาะ event CallParticipantDetail เพื่อปะติดปะต่อไทม์ไลน์การโจมตี