DNS Tunneling กำลังถูกใช้เพื่อหลีกเลี่ยงมาตรการด้านความปลอดภัย โดยการซ่อนการรับส่งข้อมูลที่เป็นอันตรายในแพ็กเก็ต DNS ทำให้แฮ็กเกอร์สามารถขโมยข้อมูลที่สำคัญ, ซ่อนมัลแวร์ หรือการเชื่อมต่อกับ command-and-control เซิร์ฟเวอร์ได้

Unit 42 ของ Palo Alto Networks พบว่ากลุ่มผู้โจมตีกำลังใช้เทคนิค DNS Tunneling นอกเหนือจากการสร้างช่องทางสื่อสารกับ command-and-control เซิร์ฟเวอร์ และ VPN เช่น การสแกนหาช่องโหว่บนเครือข่าย และการประเมินผลสำเร็จของแคมเปญฟิชชิ่ง

DNS Tunneling สำหรับการติดตามแคมเปญการโจมตี

ตามรายงาน ผู้โจมตีกำลังใช้ประโยชน์จากเทคนิค DNS Tunneling เพื่อติดตามพฤติกรรมของเหยื่อที่เกี่ยวข้องกับการสแปม, ฟิชชิ่ง หรือโฆษณาต่าง ๆ และส่งข้อมูลของเหยื่อกลับไปยังโดเมนที่เป็นอันตราย

ตัวอย่างเช่น ในการโจมตีด้วยฟิชชิ่ง เทคนิค DNS Tunneling ช่วยให้ผู้โจมตีแฝงการติดตามข้อมูลลงใน DNS requests ทำให้ผู้โจมตีสามารถสังเกตการมีส่วนร่วมของเหยื่อกับเนื้อหาฟิชชิ่งที่อยู่บน Content Delivery Networks (CDNs) เพื่อดูว่าอีเมลฟิชชิ่งสำเร็จหรือไม่

พฤติกรรมนี้ถูกพบในแคมเปญ TrkCdn ซึ่งมีเป้าหมายเป็นเหยื่อ 731 ราย โดยใช้ 75 IP Addresses สำหรับ nameservers และในแคมเปญ SpamTracker ซึ่งมีเป้าหมายเป็นสถาบันการศึกษาของญี่ปุ่น โดยใช้ 44 โดเมนสำหรับ tunneling ด้วย IP 35.75.233.210 ทั้งสองแคมเปญใช้วิธีการสร้างชื่อโดเมน และการเข้ารหัสเป็นซับโดเมนแบบเดียวกัน

ผู้โจมตีใช้ประโยชน์จาก DNS logs เพื่อติดตามอีเมลของเหยื่อ และตรวจสอบผลการดำเนินการของแคมเปญ โดยมีการลงทะเบียนโดเมนใหม่ระหว่างเดือนตุลาคม 2020 และมกราคม 2024 ก่อนการเริ่มการโจมตี 2 ถึง 12 สัปดาห์ และทำการติดตามพฤติกรรมเป็นเวลา 9 ถึง 11 เดือน และยกเลิกหลังจากใช้งานมาหนึ่งปี

DNS Tunneling สำหรับการสแกนช่องโหว่

ผู้โจมตีสามารถใช้ DNS Tunneling เพื่อสแกนโครงสร้างพื้นฐานของเครือข่ายโดยการเข้ารหัส IP addresses และเวลาในการรับส่งข้อมูลผ่านทาง tunneling พร้อมกับการ spoofed IP addresses เพื่อค้นหา DNS resolvers ที่เปิดอยู่, ใช้ประโยชน์จากช่องโหว่ของตัว DNS resolver และดำเนินการโจมตีไปยัง DNS นั้น ๆ ซึ่งอาจนำไปสู่การเปลี่ยนเส้นทางไปยังเว็บไซต์ที่เป็นอันตราย หรือการโจมตีแบบ Denial of Service (DoS)

วิธีการนี้ถูกพบในแคมเปญ "SecShow" ที่ผู้โจมตีสแกนโครงสร้างพื้นฐานของเครือข่ายเหยื่ออย่างต่อเนื่อง และดำเนินการโจมตีแบบ reflection attacks

นักวิจัยจาก Unit 42 ระบุว่า "โดยทั่วไปแล้ว แคมเปญนี้จะเน้นเป้าหมายไปที่ DNS resolver ที่เปิดอยู่ ดังนั้นจึงพบว่าเหยื่อส่วนใหญ่มาจากสถาบันการศึกษา, บริษัทเทคโนโลยี และหน่วยงานภาครัฐ ซึ่งเป็นที่ที่มักพบ DNS resolver เปิดใช้งานอยู่"

นอกจากนี้ ผู้โจมตีสามารถใช้เทคนิคเดียวกันนี้เพื่อติดตามเหยื่อหลายรายได้ และกำลังใช้ประโยชน์จาก DNS queries เพื่อตรวจหา configurations ที่ผิดพลาดในองค์กรเป้าหมาย ซึ่งอาจถูกนำไปใช้ในการโจมตีแบบ Denial of Service (DoS), ขโมยข้อมูล หรือติดตั้งมัลแวร์ได้

เพื่อป้องกันการโจมตี ควรมีการใช้งานซอฟต์แวร์ด้านความปลอดภัยที่สามารถตรวจจับรูปแบบ DNS traffic ที่ผิดปกติ และอัปเดตระบบปฏิบัติการ และแอปพลิเคชันอย่างสม่ำเสมอเพื่อแก้ไขช่องโหว่ และระมัดระวังการคลิกลิงก์ที่น่าสงสัยในอีเมล หรือข้อความ

Indicators of Compromise

Domains used for DNS tunneling

85hsyad6i2ngzp[.]com
8egub9e7s6cz7n[.]com
8jtuazcr548ajj[.]com
anrad9i7fb2twm[.]com
aucxjd8rrzh7xf[.]com
b5ba24k6xhxn7b[.]com
cgb488dixfxjw7[.]com
d6zeh4und3yjt9[.]com
epyujbhfhbs35j[.]com
hhmk9ixaw9p3ec[.]com
hjmpfsamfkj5m5[.]com
iszedim8xredu2[.]com
npknraafbisrs7[.]com
patycyfswg33nh[.]com
rhctiz9xijd4yc[.]com
sn9jxsrp23x63a[.]com
swh9cpz2xntuge[.]com
tp7djzjtcs6gm6[.]com
uxjxfg2ui8k5zk[.]com
wzbhk2ccghtshr[.]com
y43dkbzwar7cdt[.]com
ydxpwzhidexgny[.]com
z54zspih9h5588[.]com
3yfr6hh9dd3[.]com
4bs6hkaysxa[.]com
66tye9kcnxi[.]com
8kk68biiitj[.]com
93dhmp7ipsp[.]com
api536yepwj[.]com
bb62sbtk3yi[.]com
cytceitft8g[.]com
dipgprjp8uu[.]com
ege6wf76eyp[.]com
f6kf5inmfmj[.]com
f6ywh2ud89u[.]com
h82c3stb3k5[.]com
hwa85y4icf5[.]com
ifjh5asi25f[.]com
m9y6dte7b9i[.]com
n98erejcf9t[.]com
rz53par3ux2[.]com
szd4hw4xdaj[.]com
wj9ii6rx7yd[.]com
wk7ckgiuc6i[.]com
secshow[.]net
secshow[.]online
secdns[.]site

IP addresses

35.75.233[.]210
202.112.47[.]45

ที่มา: hackread , DNS Tunneling

FBI ได้เข้ายึดเว็บไซต์ BreachForums ที่กำลังโด่งดังจากการซื้อขายข้อมูลรั่วไหล และข้อมูลองค์กรที่ถูกขโมยมาให้กับอาชญากรไซเบอร์รายอื่น

การเข้ายึดดังกล่าวเกิดขึ้นในเช้าวันพุธที่ผ่านมา (15 มีนาคม 2024) ไม่นานหลังจากที่เว็บไซต์ดังกล่าวถูกใช้เพื่อประกาศขายข้อมูลที่ถูกขโมยจากพอร์ทัลของหน่วยงานบังคับใช้กฎหมายของยุโรปเมื่อสัปดาห์ที่แล้ว

โดยปัจจุบันเว็บไซต์แสดงข้อความที่ระบุว่า FBI ได้เข้าควบคุมข้อมูล และระบบเบื้องหลัง ซึ่งแสดงให้เห็นว่าหน่วยงานบังคับใช้กฎหมายได้ยึดทั้งเซิร์ฟเวอร์ และโดเมนของเว็บไซต์

โดยข้อความระบุว่า “เว็บไซต์นี้ถูกปิดโดย FBI และ DOJ ด้วยความช่วยเหลือจากพันธมิตรระหว่างประเทศ”

“เรากำลังตรวจสอบข้อมูลระบบเบื้องหลังของเว็บไซต์นี้ หากใครมีข้อมูลที่จะรายงานเกี่ยวกับพฤติกรรมที่เข้าข่ายความผิดทางไซเบอร์บน BreachForums โปรดแจ้งให้เราทราบ”

ข้อความบนเว็บไซต์ยังแสดงรูปโปรไฟล์สองรูปของผู้ดูแลเว็บไซต์คือ Baphomet และ ShinyHunters ที่อยู่ด้านหลังลูกกรง

หากหน่วยงานบังคับใช้กฎหมายสามารถเข้าถึงข้อมูลระบบเบื้องหลังของ BreachForums ได้จริง พวกเขาจะมีที่อยู่อีเมล, ที่อยู่ IP และข้อความส่วนตัวที่อาจเปิดเผยข้อมูลสมาชิก และใช้ในการสืบสวนของหน่วยงานบังคับใช้กฎหมาย

นอกจากนี้ FBI ยังได้ยึดช่องทาง Telegram ของเว็บไซต์ และช่องทางอื่น ๆ ที่เป็นของ Baphomet โดยหน่วยงานบังคับใช้กฎหมายได้ส่งข้อความที่ระบุว่าช่องทางดังกล่าวอยู่ภายใต้การควบคุมของพวกเขา

ข้อความบางส่วนที่โพสต์ไปยังช่องทาง Telegram ที่ถูกยึดโดยหน่วยงานบังคับใช้กฎหมายนั้นมาจากบัญชีของ Baphomet โดยตรง ซึ่งมีแนวโน้มว่าผู้ดูแลเว็บไซต์ถูกจับกุม และอุปกรณ์ของเขาตอนนี้อยู่ในมือของหน่วยงานบังคับใช้กฎหมายเรียบร้อยแล้ว

FBI กำลังขอให้เหยื่อ และบุคคลต่าง ๆ ติดต่อพวกเขาพร้อมข้อมูลเกี่ยวกับ BreachForums และสมาชิกเพื่อช่วยในการสืบสวน

ข้อความการเข้ายึดเว็บไซต์ รวมถึงวิธีการติดต่อ FBI เกี่ยวกับการยึดเว็บไซต์ดังกล่าว รวมถึงอีเมล, บัญชี Telegram, บัญชี TOX ตั้งอยู่ในโดเมนย่อยของศูนย์ร้องเรียนอาชญากรรมทางอินเทอร์เน็ต (IC3) ของ FBI โดยมีข้อความระบุว่า “สำนักงานสืบสวนกลางแห่งสหรัฐอเมริกา (FBI) กำลังสืบสวนฟอรัมการซื้อขายข้อมูลที่ผิดกฏหมายที่ชื่อว่า BreachForums และ Raidforums”

โดยตั้งแต่เดือนมิถุนายน 2023 ถึงเดือนพฤษภาคม 2024 BreachForums (โฮสต์ที่ breachforums.

นิสสันอเมริกาเหนือประสบกับเหตุการณ์ข้อมูลรั่วไหลเมื่อปลายปีที่ผ่านมา เมื่อผู้โจมตีสามารถเจาะระบบ VPN ของบริษัท และทำการปิดระบบเพื่อเรียกค่าไถ่

นิสสันตรวจพบข้อมูลรั่วไหลในช่วงต้นเดือนพฤศจิกายน 2023 และระบุว่าเหตุการณ์ดังกล่าวทำให้ข้อมูลส่วนบุคคลของพนักงานปัจจุบัน และอดีตพนักงานกว่า 53,000 คนรั่วไหล

บริษัทระบุในหนังสือแจ้งเตือนผู้ได้รับผลกระทบว่า "ตามที่แจ้งในการประชุมทาวน์ฮอลล์ของนิสสันเมื่อวันที่ 5 ธันวาคม 2023 นิสสันได้รับแจ้งเมื่อวันที่ 7 พฤศจิกายน 2023 ว่าบริษัทตกเป็นเป้าหมายของการโจมตีทางไซเบอร์ หลังจากรับรู้ถึงการถูกโจมตี นิสสันได้แจ้งต่อเจ้าหน้าที่บังคับใช้กฎหมายทันที และเริ่มดำเนินการสืบสวน ควบคุมสถานการณ์ และสามารถจัดการกับภัยคุกคามได้สำเร็จ"

นิสสันเปิดเผยว่าผู้ก่อเหตุมุ่งเป้าไปที่ระบบ VPN จากภายนอกของบริษัท จากนั้นได้ทำการปิดระบบบางส่วนของบริษัทก่อนที่จะเรียกร้องค่าไถ่ แต่บริษัทระบุว่าไม่มีระบบใดของบริษัทถูกเข้ารหัสระหว่างการโจมตี

โดยการทำงานร่วมกับผู้เชี่ยวชาญด้านความมั่นคงปลอดภัยไซเบอร์จากภายนอก บริษัทสามารถประเมินสถานการณ์ ควบคุมเหตุการณ์ และจัดการกับภัยคุกคามได้

การสอบสวนต่อมาเปิดเผยว่าผู้โจมตีได้เข้าถึงไฟล์บางส่วนใน local และ network shares ซึ่งส่วนใหญ่เป็นข้อมูลทางธุรกิจ

อย่างไรก็ตาม ในวันที่ 28 กุมภาพันธ์ 2024 บริษัทได้ให้ข้อมูลเพิ่มเติมว่า ข้อมูลส่วนบุคคลบางส่วนที่เกี่ยวข้องกับพนักงานปัจจุบัน และอดีตพนักงานของนิสสันอเมริกาเหนือ โดยเฉพาะหมายเลขประกันสังคมถูกเข้าถึงได้

ในหนังสือแจ้งเตือนข้อมูลรั่วไหลถึงสำนักงานทนายความทั่วไปของรัฐเมน บริษัทระบุว่าข้อมูลที่รั่วไหลรวมถึงข้อมูลระบุตัวบุคคล เช่น ชื่อ และหมายเลขประกันสังคม และผู้โจมตีไม่ได้เข้าถึงข้อมูลทางการเงิน

โดยนิสสันระบุว่ายังไม่มีหลักฐานว่ามีการนำข้อมูลที่รั่วไหลไปใช้ในทางที่ผิด

อย่างไรก็ตาม เพื่อบรรเทาความเสี่ยงจากการรั่วไหลข้อมูลดังกล่าว นิสสันได้แนบคำแนะนำสำหรับผู้ที่ได้รับผลกระทบเกี่ยวกับวิธีสมัครใช้บริการเฝ้าระวังเครดิต และป้องกันการปลอมแปลงรายบุคคลฟรีนาน 24 เดือนผ่าน Experian

นิสสันเคยตกเป็นเป้าหมายของเหตุการณ์ด้านความปลอดภัยหลายครั้งในช่วงปีที่ผ่านมา ซึ่งส่งผลกระทบต่อสายงานต่าง ๆ ของผู้ผลิตรถยนต์ชาวญี่ปุ่นรายนี้

ในช่วงต้นเดือนธันวาคม 2023 นิสสันโอเชียเนีย (ออสเตรเลีย และนิวซีแลนด์) ประกาศการสอบสวนการโจมตีทางไซเบอร์ และการรั่วไหลของข้อมูลที่อาจเกิดขึ้น ในเดือนมีนาคม 2024 นิสสันยืนยันว่า Akira ransomware ได้ขโมยข้อมูลของลูกค้าออกไปกว่า 100,000 ราย

ในเดือนมกราคม 2023 นิสสันนอร์ทอเมริกาประสบกับเหตุการณ์ข้อมูลรั่วไหลทางอ้อม เมื่อผู้ให้บริการเทคโนโลยี third-party ทำข้อมูลของลูกค้า 17,988 รายรั่วไหลเนื่องจากการตั้งค่าฐานข้อมูลที่ไม่เหมาะสม

สองปีก่อนหน้านั้น นิสสันนอร์ทอเมริกาปล่อยให้พื้นที่จัดเก็บข้อมูลบน Git Server ออนไลน์โดยใช้รหัสผ่านเริ่มต้น (admin/admin) ทำให้ซอร์สโค้ดสำหรับแอปพลิเคชัน และเครื่องมือภายในขนาด 20 GB รั่วไหล

นิสสันตอบสนองโดยการนำ repository ลงเป็นออฟไลน์ ภายหลังจากได้รับแจ้งจากนักวิจัยที่พบผู้ใช้แชร์ซอร์สโค้ดผ่านทาง torrents

ที่มา: bleepingcomputer

Apple ออกแพตช์อัปเดตด้านความปลอดภัยสำหรับช่องโหว่ Zero-Day ที่ถูกพบในเดือนมีนาคม 2024 ใน iPhone และ iPad รุ่นเก่า โดยแจ้งว่าช่องโหว่ดังกล่าวอาจกำลังถูกนำไปใช้ในการโจมตี

CVE-2024-23296 หรือช่องโหว่ RTKit เป็นช่องโหว่จากปัญหา memory corruption ใน Apple's RTKit real-time operating system ทำให้สามารถอ่าน และเขียน kernel ได้ รวมถึงสามารถหลีกเลี่ยงการตรวจจับของ kernel memory protection ทั้งนี้ทาง Apple ยังไม่ได้ระบุว่าช่องโหว่ดังกล่าวเป็นการค้นพบของนักวิจัยด้านความปลอดภัย

โดย Apple ได้ออกแพตซ์อัปเดตเพื่อแก้ไขช่องโหว่ดังกล่าวแล้วใน iOS 16.7.8, iPadOS 16.7.8 และ macOS Ventura 13.6.7 พร้อม input validation ที่ได้รับการปรับปรุงบนอุปกรณ์ iPhone 8, iPhone 8 Plus, iPhone X, iPad รุ่นที่ 5, iPad Pro 9.7 นิ้ว และ iPad Pro 12.9 นิ้ว รุ่นที่ 1

โดยก่อนหน้านี้ในเดือนมีนาคม 2024 ทาง Apple ได้ออกอัปเดตเพื่อแก้ไขช่องโหว่ดังกล่าว สำหรับ iPhone, iPad และ Mac รุ่นใหม่ไปแล้ว

ช่องโหว่ Zero-Day 3 รายการที่ถูกแก้ไขในปี 2024

Apple ยังไม่เปิดเผยว่าใครเป็นผู้คนพบช่องโหว่ รวมถึงไม่ได้ให้ข้อมูลที่เกี่ยวข้องกับลักษณะการโจมตีช่องโหว่ แต่ช่องโหว่ Zero-Day ที่พบใน iOS มักถูกใช้ในการโจมตีแบบ spyware ที่คาดว่าได้รับการสนับสนุนจากรัฐบาล โดยกำหนดเป้าหมายไปที่บุคคลที่มีความเสี่ยงสูง รวมถึงนักข่าว ผู้เห็นต่างทางการเมือง และนักการเมืองฝ่ายค้าน

โดยตั้งแต่ต้นปี 2024 Apple ได้แก้ไขช่องโหว่ 3 รายการ ได้แก่ CVE- 2024-23222 ในเดือนมกราคม 2024, CVE-2024-23225 และ CVE-2024-23296 ในเดือนมีนาคม 2024

รวมถึงออกอัปเดตเพื่อแก้ไขช่องโหว่บนอุปกรณ์รุ่นเก่าสำหรับ WebKit Zero-Day จำนวน 2 รายการ (CVE-2023-42916 และ CVE-2023-42917) ในเดือนมกราคม 2023

แม้ว่าช่องโหว่ดังกล่าวจะส่งผลกระทบต่อเป้าหมายเฉพาะกลุ่ม แต่ผู้ใช้งานก็ควรที่จะทำการอัปเดตให้เร็วที่สุด เพื่อป้องกันการโจมตีที่อาจเกิดขึ้นหากใช้ iPhone หรือ iPad รุ่นเก่า

นอกจากนี้ ในการอัปเดต iOS 17.5 ทาง Apple ได้เพิ่มการแจ้งเตือน tracking alerts ที่ไม่ต้องการ (Google เปิดตัวความสามารถเดียวกันนี้บนอุปกรณ์ Android 6.0+ ) ซึ่งการแจ้งเตือนเหล่านี้จะแจ้งเตือนผู้ใช้ หากมีการใช้อุปกรณ์ Bluetooth tracking (AirTag, อุปกรณ์เสริม Find My หรือ Bluetooth tracker เพื่อติดตามตำแหน่งของผู้ใช้งาน)

ที่มา : bleepingcomputer

พบ Android Trojan ตัวใหม่ชื่อ SoumniBot ในกลุ่มผู้ใช้ที่ตกเป็นเป้าหมายในเกาหลีใต้ โดยการใช้จุดอ่อนในขั้นตอนการแยก และวิเคราะห์ไฟล์ Manifest ในระบบปฏิบัติการ Android (more…)

Introduction

อุตสาหกรรมการพนันออนไลน์เฟื่องฟูขึ้นด้วยด้วยนวัตกรรม ส่วน Generative AI ก็เป็นความก้าวหน้าของนวัตกรรม AI เช่นเดียวกัน อย่างไรก็ตามเทคโนโลยีที่ทันสมัยเหล่านี้ก็สร้างโอกาสใหม่สำหรับมิจฉาชีพในการโกงระบบ และเอาเปรียบผู้เล่นที่ไม่ได้ระมัดระวัง ดังนั้นทั้งผู้ให้บริการ และผู้เล่นควรต้องทำความเข้าใจว่า Generative AI จะส่งผลต่อการฉ้อโกงวงการพนันออนไลน์ได้อย่างไร

เข้าใจพลังการสร้างความปั่นป่วนของ Generative AI

การเพิ่มขึ้นของผู้เล่นปลอม

Generative AI สามารถสร้างบัญชีผู้เล่นปลอมพร้อมประวัติ และพฤติกรรมที่น่าเชื่อถือได้จำนวนมาก "ผู้เล่นปลอม" เหล่านี้จึงสามารถทำให้เกิดความปั่นป่วนให้กับวงการพนันออนไลน์ได้ เช่น

หาประโยชน์จากโบนัส และโปรโมชันเริ่มต้น : มิจฉาชีพสามารถนำเงินโบนัสแรกเข้า หรือโปรแกรมสะสมคะแนนมาใช้ประโยชน์ผ่านเครือข่ายบัญชีปลอมได้ ทำให้ได้รับโบนัสเริ่มต้นเป็นจำนวนมากจากระบบของผู้ให้บริการ
บิดเบือนการวิเคราะห์ผู้เล่น : พฤติกรรมของผู้เล่นปลอมทำให้สามารถบิดเบือนข้อมูลของผู้เล่น ทำให้เป็นเรื่องยากสำหรับผู้ให้บริการในการตรวจสอบรูปแบบการฉ้อโกง และประสิทธิภาพการใช้งานบนแพลตฟอร์ม
ควบคุมผลลัพธ์ของเกม : ผู้เล่นปลอมเหล่านี้สามารถบิดเบือนผลลัพธ์ได้ โดยเฉพาะในเกมที่มีผู้เล่นจำนวนน้อย ทำให้สามารถโกงผู้เล่น รวมถึงแพลตฟอร์มการพนันออนไลน์ได้

Generative AI’s Dark Side

ผลกระทบจากการใช้งาน Generative AI โดยมิจฉาชีพนั้นไม่ได้จำกัดอยู่แค่การใช้บอทที่มีความสามารถสูงเพื่อโกงระบบเท่านั้น มิจฉาชีพสามารถใช้ประโยชน์จาก Generative AI เพื่อแอบอ้างเป็นลูกค้า, เลียนแบบรูปลักษณ์ และเสียงของบุคคล รวมถึงการสร้างข้อมูลประจำตัวปลอม เช่น

Phishing แบบเฉพาะเจาะจง : Generative AI สามารถสร้างการโจมตีแบบฟิชชิ่งแบบกำหนดเป้าหมายไปยังผู้ใช้งานเว็บไซต์พนันออนไลน์ได้โดยการเลียนแบบการสื่อสารจากเว็บไซต์การพนันที่ผู้ใช้งานเข้าใช้เป็นประจำ
Deepfaked customer support : มิจฉาชีพอาจใช้เทคโนโลยี deepfake เพื่อแอบอ้างเป็นเจ้าหน้าที่ให้บริการลูกค้า หลอกให้ผู้เล่นเปิดเผยรายละเอียดการล็อกอิน หรืออนุมัติการทำธุรกรรมที่ผิดปกติ
Social engineering : Generative AI อาจสร้างโปรไฟล์โซเชียลมีเดียปลอมของบุคคลที่มีชื่อเสียง หรือผู้เล่นที่ไม่พอใจ เพื่อแพร่กระจายข้อมูลข่าวลือ หรือข้อมูลเท็จได้

การปกปิดพฤติกรรมการฉ้อโกง

มิจฉาชีพมักใช้ antidetect browsers เพื่อปกปิดร่องรอย digital footprints ของตน ทำให้การตรวจจับผู้เล่นปลอม หรือกลยุทธ์การโจมตีทำได้ยากขึ้น โดยเบราว์เซอร์เหล่านี้ช่วยให้มิจฉาชีพสามารถปรับแต่ง device fingerprints, browsing patterns และตำแหน่ง geolocation ได้ ทำให้ดูเหมือนว่ามีผู้ใช้หลายรายได้ใช้งานบัญชีต่าง ๆ จากสถานที่ต่าง ๆ ตามปกติ

ความน่าเชื่อถือของการพนันออนไลน์ลดลง

เมื่อเกือบหนึ่งปีก่อน มิจฉาชีพที่วางแผนสำหรับการฉ้อโกงการพนันออนไลน์ คือการหาข้อมูลส่วนบุคคลที่ถูกขายในเว็บไซต์ใต้ดิน แล้วจึงนำมาสร้างบัญชีปลอมบนแพลตฟอร์มการพนัน ทำให้การตรวจสอบข้อมูลประจำตัวมักตรวจพบบัญชีเหล่านี้ได้โดยการตรวจสอบจากฐานข้อมูลที่มีการรั่วไหล อย่างไรก็ตามด้วยการใช้ Generative AI ที่เพิ่มมากขึ้น ทำให้ปัจจุบันมิจฉาชีพสามารถสร้างข้อมูลบุคคลปลอม ๆ ขึ้นมาใหม่ได้ และนำไปใช้ในด้านต่าง ๆ ของระบบการพนันออนไลน์ ทำให้การตรวจสอบของแพลตฟอร์มวงการพนันออนไลน์ทำได้ยากขึ้น

ความท้าทายที่จะเกิดขึ้นสำหรับการพนันออนไลน์

Generative AI ฉลาดขึ้นด้วยข้อมูล แม้ว่าการฉ้อโกงด้วย Generative AI จะยังอยู่ในระยะเริ่มต้น แต่มันสามารถสร้างความปั่นป่วนต่ออุตสาหกรรมการพนันออนไลน์ได้ เนื่องจากมิจฉาชีพนำเทคโนโลยีใหม่นี้มาใช้วางแผน และลงมือดำเนินการต่าง ๆ อย่างซับซ้อน เพื่อให้ทันต่อความเสี่ยงที่กำลังมาถึงอย่างรวดเร็ว ขอแนะนำให้ผู้ใช้งานตระหนักถึงความเสี่ยงจากการที่มิจฉาชีพใช้งาน Generative AI ในลักษณะดังกล่าว

ที่มา : group-ib

Google ออกอัปเดตแพตซ์ความปลอดภัยสำหรับ Chrome browser เพื่อแก้ไขช่องโหว่ Zero-Day ครั้งที่ 5 ที่กำลังถูกนำไปใช้ในการโจมตีอย่างแพร่หลายตั้งแต่ต้นปี 2024

โดยช่องโหว่มีหมายเลข CVE-2024-4671 ความรุนแรงระดับ High เป็นช่องโหว่ “use after free” ใน Visuals component ที่จัดการการเรนเดอร์ และการแสดงเนื้อหาบน browser ซึ่งถูกพบ และรายงานโดยนักวิจัยนิรนาม ซึ่งช่องโหว่ดังกล่าวกำลังถูกนำไปใช้ในการโจมตีแบบ Zero-Day (more…)

Citrix แจ้งลูกค้าให้เร่งแก้ไขช่องโหว่ PuTTY SSH client ด้วยตนเอง เนื่องจากโหว่ดังกล่าวอาจทำให้ Hacker ขโมย private SSH key ของผู้ดูแลระบบ XenCenter ได้ (more…)

F5 ได้แก้ไขช่องโหว่ใน BIG-IP Next Central Manager ที่มีระดับความรุนแรงสูง 2 รายการ ที่สามารถนำไปใช้เพื่อยกระดับสิทธิ์เป็นดูแลระบบ ทำให้สามารถควบคุม และสร้างบัญชีปลอม รวมถึงซ่อนบัญชีดังกล่าวในระบบได้

Next Central Manager เป็นเครื่องมือที่ช่วยให้ผู้ดูแลระบบสามารถจัดการ BIG-IP Next instances and services ภายในองค์กร หรือบนคลาวด์ผ่าน management user interface

ช่องโหว่บน management user interface ดังกล่าวมีหมายเลข CVE-2024-26026 (คะแนน CVSS 7.5/10 ความรุนแรงระดับ High) และช่องโหว่ OData injection หมายเลข CVE-2024-21793 (คะแนน CVSS 7.5/10 ความรุนแรงระดับ High) ที่พบใน BIG-IP Next Central Manager API ทำให้ Hacker ที่ไม่จำเป็นต้องผ่านการยืนยันตัวตน สามารถเรียกใช้คำสั่ง SQL ที่เป็นอันตรายบนอุปกรณ์ที่มีช่องโหว่จากระยะไกลได้ โดยส่งผลกระทบต่อ BIG-IP Next Central Manager เวอร์ชัน 20.0.1 - 20.1.0

การโจมตีในลักษณะ SQL injection คือการ inject คำสั่ง SQL ที่เป็นอันตรายลงในช่องป้อนข้อมูล หรือพารามิเตอร์ในการสืบค้นฐานข้อมูล โดยการโจมตีไปยังช่องโหว่ของแอปพลิเคชันที่อนุญาตให้เรียกใช้คำสั่ง SQL ได้โดยไม่ได้ตั้งใจ ส่งผลให้เกิดการเข้าถึงโดยไม่ได้รับอนุญาต การขโมยข้อมูล และการเข้าควบคุมระบบ

โดย Eclypsium บริษัทรักษาความปลอดภัยด้าน Supply chain security เป็นผู้รายงานช่องโหว่ และเผยแพร่ชุดสาธิตการโจมตี (PoC) เนื่องจากพบบัญชีปลอมที่ถูกสร้างขึ้นหลังจากการโจมตีผ่านช่องโหว่ดังกล่าว ซึ่งจะไม่สามารถเห็นได้จาก Next Central Manager ทำให้ผู้โจมตีสามารถแฝงตัวอยู่ในระบบของเหยื่อได้

รวมถึง management console ของ Central Manager ที่มีช่องโหว่ CVE-2024-26026 และ CVE-2024-2179 ทำให้ Hacker สามารถเข้าถึง administrative UI ซึ่งจะทำให้สามารถเข้าควบคุมเครื่องได้

F5 แนะนำให้ผู้ดูแลระบบทำการอัปเดตไปเป็น BIG-IP Next Central Manager เวอร์ชัน 20.2.0 เพื่อแก้ไขช่องโหว่

การโจมตีโดยใช้ PoC และการลดผลกระทบชั่วคราว

ตามคำแนะนำของ F5 ผู้ดูแลระบบที่ยังไม่สามารถทำการอัปเดตความปลอดภัยได้ทันที ควรจำกัดการเข้าถึง Next Central Manager ให้สามารถเข้าถึงได้เฉพาะผู้ใช้ที่เชื่อถือได้ผ่านเครือข่ายที่ปลอดภัย เพื่อลดความเสี่ยงจากการโจมตี

ทั้งนี้ตามข้อมูลของ Eclypsium ยังไม่พบหลักฐานการโจมตีช่องโหว่ดังกล่าว แต่ปัจจุบันทาง Shodan ได้พบว่ามีอุปกรณ์ F5 BIG-IP มากกว่า 10,000 เครื่องที่มี management ports เปิดให้เข้าถึงได้บนอินเทอร์เน็ต

ในเดือนพฤศจิกายน 2023 ทาง F5 ได้แจ้งเตือนเตือนลูกค้าว่าได้พบ Hacker กำลังใช้ช่องโหว่ระดับ Critical ของ BIG-IP 2 รายการ (CVE-2023-46747 และ CVE-2023-46748) ซึ่งได้รับการแก้ไขไปแล้ว ก่อนที่จะพบการพยายามโจมตีเพื่อเข้าถึงอุปกรณ์ที่มีช่องโหว่ เพื่อเรียกใช้คำสั่งที่เป็นอันตราย และลบร่องรอยการโจมตี

เมื่อสองปีที่แล้ว CISA ได้แจ้งเตือนการโจมตีช่องโหว่ F5 BIG-IP (CVE-2022-1388) จำนวนมาก ที่ทำให้ผุ้โจมตีสามารถเข้าควบคุมอุปกรณ์ได้ ซึ่ง CISA ได้ทำการแจ้งเตือนไปยังเครือข่ายภาครัฐ และเอกชน และให้คำแนะนำเพื่อป้องกันการโจมตีช่องโหว่ดังกล่าว

ที่มา : Bleepingcomputer, CVE-2024-26026, CVE-2024-21793

หน่วยงาน NCA, FBI และ Europol ได้ฟื้นฟูเว็บไซต์เผยแพร่ข้อมูลรั่วไหลของกลุ่ม LockBit ransomware ที่ถูกยึดไป เพื่อบอกเป็นนัยถึงข้อมูลใหม่ที่จะถูกเปิดเผยโดยหน่วยงานบังคับใช้กฎหมายในวันอังคารนี้ (more…)