Network

Network

แฮกเกอร์ชาวจีนเข้าถึงเวิร์กสเตชันของกระทรวงการคลังสหรัฐฯ ในเหตุการณ์ความปลอดภัยทางไซเบอร์ที่ร้ายแรง

Network, Security, Tech

แฮกเกอร์ชาวจีนเข้าถึงเวิร์กสเตชันของกระทรวงการคลังสหรัฐฯ จากระยะไกล หลังจากเจาะระบบบริการคลาวด์ที่ดำเนินการโดย BeyondTrust แฮกเกอร์ชาวจีนเข้าถึงเวิร์กสเตชันของกระทรวงการคลังสหรัฐฯ และเอกสารที่ไม่ได้จัดประเภท หลังจากเจาะระบบบริการคลาวด์ที่ดำเนินการโดย BeyondTrust ตามแถลงการณ์ของกระทรวงเมื่อวันจันทร์ที่ผ่านมา แม้กระทรวงการคลังจะระบุว่านี่เป็น “เหตุการณ์ความปลอดภัยทางไซเบอร์ที่ร้ายแรง” แต่ไม่ได้ให้รายละเอียดเกี่ยวกับขอบเขตของการเจาะระบบ เช่น จำนวนเวิร์กสเตชันที่ถูกเจาะ หรือประเภทของเอกสารที่ถูกเข้าถึง ในจดหมายถึงสมาชิกสภาผู้แทนราษฎร Aditi Hardikar ผู้ช่วยเลขานุการฝ่ายการจัดการของกระทรวงการคลังสหรัฐฯ เปิดเผยว่ากระทรวงทราบปัญหานี้จาก BeyondTrust เมื่อวันที่ 8 ธันวาคม เมื่อผู้ให้บริการแจ้งว่าผู้โจมตีสามารถเข้าถึงคีย์สำคัญที่ BeyondTrust ใช้เพื่อรักษาความปลอดภัยของบริการคลาวด์ ซึ่งใช้สำหรับการสนับสนุนทางเทคนิคระยะไกลให้กับผู้ใช้งานของสำนักงานส่วนกลางกระทรวงการคลัง (DO) “ด้วยการเข้าถึงคีย์ที่ถูกขโมย ผู้โจมตีสามารถข้ามระบบความปลอดภัยของบริการ เข้าถึงเวิร์กสเตชันบางส่วนของผู้ใช้ใน DO และเข้าถึงเอกสารบางส่วนที่ไม่ได้จัดประเภทซึ่งดูแลโดยผู้ใช้เหล่านั้น” Hardikar กล่าว แม้จะไม่มีการเปิดเผยรายละเอียดเพิ่มเติม Hardikar ยืนยันว่าเหตุการณ์นี้เป็นฝีมือของผู้โจมตี APT (Advanced Persistent Threat) ที่สนับสนุนโดยรัฐจีน “กระทรวงการคลังได้ทำงานร่วมกับสำนักงานรักษาความปลอดภัยทางไซเบอร์และโครงสร้างพื้นฐาน (CISA), สำนักงานสืบสวนกลางแห่งสหรัฐฯ (FBI), หน่วยข่าวกรอง และผู้เชี่ยวชาญด้านนิติวิทยาศาสตร์จากบุคคลที่สาม เพื่อวิเคราะห์เหตุการณ์นี้อย่างละเอียดและประเมินผลกระทบโดยรวม CISA ได้รับการแจ้งทันทีเมื่อกระทรวงทราบเกี่ยวกับการโจมตี ขณะที่หน่วยงานอื่นๆ ได้รับแจ้งเมื่อขอบเขตของการโจมตีชัดเจน” […]

Varodom Sommart

January 2, 2025

แฮกเกอร์ไซเบอร์รัสเซียเจาะระบบอาคารฝั่งตรงข้ามเป้าหมายเพื่อโจมตีผ่าน Wi-Fi

malware, Network, Security, Tech

กลุ่มแฮกเกอร์ไซเบอร์รัสเซีย APT28 ได้ดำเนินการโจมตีแบบ Nearest Neighbor Attack ซึ่งเป็นการเจาะระบบเครือข่าย Wi-Fi โดยใช้อาคารที่อยู่ฝั่งตรงข้ามกับเป้าหมายเป็นฐานในการโจมตี. กลุ่มสายลับไซเบอร์รัสเซียถูกจับได้ว่าแทรกซึมเครือข่ายขององค์กรเป้าหมายผ่านการเชื่อมต่อ Wi-Fi โดยเจาะระบบของหน่วยงานที่อยู่ในอาคารฝั่งตรงข้าม การโจมตีนี้ถูกค้นพบในปี 2022 โดยบริษัทความปลอดภัยทางไซเบอร์ Volexity ซึ่งระบุว่าเหยื่อคือ องค์กร A เหตุการณ์นี้เกิดขึ้นไม่นานก่อนที่รัสเซียจะบุกยูเครน โดยเป้าหมายของแฮกเกอร์ดูเหมือนจะเป็นการขโมยข้อมูลจากบุคคลที่มีความเชี่ยวชาญหรือทำโครงการที่เกี่ยวข้องกับยูเครนโดยตรง สิ่งที่ทำให้การโจมตีครั้งนี้โดดเด่นคือการใช้เทคนิคใหม่ที่ Volexity ตั้งชื่อว่า Nearest Neighbor Attack จากการสอบสวนของ Volexity พบว่า ผู้โจมตีสามารถเข้าถึงข้อมูลรับรองของบริการที่เชื่อมต่ออินเทอร์เน็ตขององค์กร A ผ่านวิธี password spraying แต่ไม่สามารถใช้งานข้อมูลดังกล่าวได้ เนื่องจากมีระบบ การยืนยันตัวตนแบบหลายขั้นตอน (Multi-Factor Authentication) จากนั้นผู้โจมตีได้วางแผนโจมตีเครือข่ายขององค์กรอื่นซึ่งตั้งอยู่ในอาคารใกล้กับองค์กร A (เรียกว่า องค์กร B โดย Volexity) หลังจากแฮกเครือข่ายขององค์กร B ได้สำเร็จ พวกเขาพบอุปกรณ์ที่เชื่อมต่อกับเครือข่ายผ่านสาย Ethernet แต่ตัวอุปกรณ์นั้นมีตัวรับสัญญาณ Wi-Fi ด้วย […]

Varodom Sommart

December 2, 2024

ช่องโหว่ Zero-Day ใน Citrix, Cisco และ Fortinet ติดอันดับช่องโหว่ที่ถูกโจมตีมากที่สุดในปี 2023

Network, Security

ช่องโหว่ที่ถูกใช้โจมตีบ่อยที่สุดในปี 2023 ส่วนใหญ่เริ่มต้นจากการเป็น Zero-Day ตามข้อมูลจากหน่วยงานของรัฐบาล ตามข้อมูลจากหน่วยงานของรัฐบาลในพันธมิตรข่าวกรอง Five Eyes ช่องโหว่ที่ถูกโจมตีมากที่สุดในปี 2023 ส่วนใหญ่เริ่มต้นจาก Zero-Day เมื่อเทียบกับปีที่ผ่านมา ซึ่งมีช่องโหว่ที่ถูกโจมตีเป็น Zero-Day น้อยกว่า 50% ช่องโหว่ในปี 2023 ได้เห็นการเพิ่มขึ้นอย่างมีนัยสำคัญในการใช้ช่องโหว่ Zero-Day เพื่อโจมตีเครือข่ายขององค์กรตามข้อมูลที่สรุปไว้ในคำแนะนำ ข้อมูลแสดงให้เห็นว่า ผู้คุกคาม ยังคงสามารถใช้ช่องโหว่ที่เผยแพร่สู่สาธารณะภายในสองปีหลังจากการเปิดเผยได้สำเร็จ “การใช้ประโยชน์จากช่องโหว่นี้จะลดลงตามกาลเวลาเมื่อระบบต่าง ๆ ได้รับการอัปเดตหรือเปลี่ยนแปลง ผู้คุกคามไซเบอร์จะได้ประโยชน์จากการใช้ Zero-Day น้อยลงเมื่อความพยายามทางไซเบอร์ระดับนานาชาติช่วยลดอายุการใช้งานของช่องโหว่ Zero-Day” หน่วยงานเหล่านี้กล่าว การพัฒนาผลิตภัณฑ์ที่มุ่งเน้นด้านความปลอดภัย การเพิ่มแรงจูงใจในการเปิดเผยช่องโหว่อย่างรับผิดชอบ และการใช้เครื่องมือการตรวจจับและตอบสนอง (EDR) ที่ซับซ้อน ควรช่วยลดอายุการใช้งานของ Zero-Day ช่องโหว่ที่ถูกโจมตีบ่อยที่สุดในปี 2023 เริ่มต้นจาก CVE-2023-3519 และ CVE-2023-4966 ซึ่งเป็นช่องโหว่ระดับวิกฤติใน Citrix NetScaler ADC และ Gateway NetScaler ซึ่งได้รับการแก้ไขในเดือนกรกฎาคมและตุลาคมปีที่แล้ว แต่แต่ละช่องโหว่ได้ถูกใช้เป็น […]

Varodom Sommart

November 18, 2024

Noise Storms: ปริมาณมหาศาลของทราฟฟิกเว็บปลอมที่เชื่อมโยงกับจีน

Network, Security

GreyNoise ได้สังเกตเห็นที่อยู่ IP ปลอมหลายล้านรายการที่ท่วมท้นผู้ให้บริการอินเทอร์เน็ตด้วยทราฟฟิกเว็บ ซึ่งเน้นไปที่การเชื่อมต่อ TCP เป็นหลัก บริษัทข่าวกรองด้านความปลอดภัยไซเบอร์ GreyNoise ได้เตือนถึงปรากฏการณ์ที่น่ากังวลเกี่ยวกับการจราจรบนเครือข่ายที่ถูกปลอมแปลง (spoofed traffic) จำนวนมาก ซึ่งน่าจะมีความเชื่อมโยงกับประเทศจีน ตั้งแต่เดือนมกราคม 2020 เป็นต้นมา ได้มีการพบเห็น IP หลายล้านแอดเดรสสร้างการจราจรปลอมแปลงที่ดูเหมือนเป็นการออกอากาศ ซึ่ง GreyNoise ได้ตั้งชื่อปรากฏการณ์นี้ว่า Noise Storm โดยทั่วไปแล้ว Noise Storm เหล่านี้จะมุ่งเน้นไปที่การเชื่อมต่อแบบ TCP และในบางกรณีก็มีการใช้แพ็กเก็ต ICMP แต่ไม่เคยใช้แพ็กเก็ต UDP ซึ่งเป็นแพ็กเก็ตที่มักใช้ในการโจมตีแบบ DoS (Distributed Denial of Service) ซึ่งอาจสื่อได้ว่าผู้ส่งข้อมูลสนใจเกี่ยวกับผู้ที่ได้รับการจราจรดังกล่าว ลักษณะของการจราจรที่ถูกสังเกตพบมีการปลอมแปลงค่า Time To Live (TTL) เพื่อเลียนแบบการเชื่อมต่อของเครือข่ายจริง การปลอมแปลงขนาดของหน้าต่าง (window size) เพื่อเลียนแบบการจราจรจากระบบปฏิบัติการต่าง ๆ และความเข้มข้นที่เพิ่มขึ้นและมุ่งเป้าหมายไปยังส่วนต่าง ๆ ของอินเทอร์เน็ต […]

Varodom Sommart

September 23, 2024

สอบถามข้อมูลเพิ่มเติม