ThaiCERT

📢[⚪️⚪️⚪️] JINX-0164 มุ่งเป้าบริษัทคริปโต ผ่านแคมเปญหลอกสมัครงานและมัลแวร์บน macOS

นักวิจัยจาก Wiz รายงานการโจมตีของกลุ่มภัยคุกคามที่ติดตามในชื่อ JINX-0164 ซึ่งมุ่งเป้าไปยังองค์กรด้านคริปโตเคอร์เรนซี โดยใช้เทคนิค Social Engineering ผ่าน LinkedIn หรือการแอบอ้างเป็นนายหน้า คู่ค้าทางธุรกิจ เพื่อชักชวนเหยื่อเข้าร่วมประชุมออนไลน์ ก่อนนำไปยังโดเมนปลอมที่เลียนแบบบริการประชุมไกล และหลอกให้ดาวน์โหลดไฟล์อันตรายบน macOS

เมื่อเหยื่อรันไฟล์ดังกล่าว ระบบจะดาวน์โหลดมัลแวร์ macOS ที่ Wiz เรียกว่า AUDIOFIX ซึ่งเป็นมัลแวร์ประเภท infostealer และ Remote Access Trojan (RAT) ที่พัฒนาด้วย Python โดยสามารถขโมยข้อมูลสำคัญ เช่น ข้อมูลจาก password manager, macOS Keychain, browser credentials, SSH keys, configuration files, session ของแอปสื่อสาร และข้อมูลที่เกี่ยวข้องกับกระเป๋าเงินคริปโต รวมถึงสามารถรันคำสั่งจากระยะไกลและดึง payload เพิ่มเติมจากเซิร์ฟเวอร์ภายนอกได้

รายงานยังระบุว่า JINX-0164 ไม่ได้มุ่งขโมยข้อมูลจากเครื่องผู้ใช้เพียงอย่างเดียว แต่ยังพยายามเคลื่อนย้ายภายในระบบไปยังโครงสร้างพื้นฐานด้านการพัฒนา เช่น ระบบกระจายโค้ดและ CI/CD infrastructure โดยในบางกรณีมีการแก้ไข source code หรือฝัง payload ลงใน repository เพื่อให้เครื่องของนักพัฒนารายอื่นติดมัลแวร์เมื่อดึงโค้ดไปใช้งาน นอกจากนี้ กลุ่มดังกล่าวยังเคยเกี่ยวข้องกับกรณี supply chain ผ่านแพ็กเกจ npm -dex/sdk เวอร์ชันที่ถูกฝังโค้ดอันตรายเพื่อดาวน์โหลดมัลแวร์ MiniRAT เพิ่มเติม

แหล่งข่าว [ https://dg.th/p4mkow3ibr ]

JINX-0164 Targets Cryptocurrency Firms with Fake Recruiter Lures and macOS Malware JINX-0164 targeted cryptocurrency organizations using recruitment-themed social engineering and custom macOS malware to steal digital assets.

📢[⚪️⚪️⚪️] ศาลสหรัฐฯ ตัดสินจำคุกแฮกเกอร์ชาวโรมาเนียเกือบ 5 ปี ฐานลักลอบเจาะระบบเครือข่ายหน่วยงานรัฐ

กระทรวงยุติธรรมสหรัฐอเมริกา (DoJ) แถลงผลการตัดสินจำคุกแฮกเกอร์ชาวโรมาเนียวัย 45 ปี เป็นเวลา 4 ปี 8 เดือน พร้อมทั้งให้คุมประพฤติต่ออีก 3 ปี ซึ่งโทษดังกล่าวสืบเนื่องมาจากการลักลอบเจาะเข้าระบบเครือข่ายของหน่วยงานจัดการเหตุฉุกเฉินแห่งรัฐโอเรกอนในปี 2564 รวมถึงการโจมตีทางไซเบอร์ต่อเหยื่อรายอื่น ๆ ในสหรัฐอเมริกา เหตุการณ์นี้สะท้อนให้เห็นถึงผลกระทบที่เกิดจากการเข้าถึงเครือข่ายของผู้อื่นโดยมิชอบ รวมถึงหน่วยงานบังคับใช้กฎหมายระดับสากลมีการดำเนินการจริงในการติดตามตัวอาชญากรไซเบอร์ข้ามชาติ นำมาดำเนินคดีเพื่อปกป้องโครงสร้างพื้นฐานที่สำคัญของประเทศอย่างเด็ดขาด

สำหรับพฤติการณ์ของการโจมตีนั้น มีรายงานว่าผู้ก่อเหตุสามารถลักลอบเข้าถึงสิทธิ์ผู้ดูแลระบบของเครือข่ายหน่วยงานรัฐได้ตั้งแต่เดือนมิถุนายน 2564 จากนั้นได้นำสิทธิ์การเข้าถึงดังกล่าว ไปประกาศขายในตลาดมืดและตกลงซื้อขายกันด้วยสกุลเงินดิจิทัลบิตคอยน์มูลค่า 3,000 ดอลลาร์สหรัฐฯ โดยผู้ก่อเหตุได้ทำการเข้าสู่ระบบซ้ำหลายครั้ง เพื่อพิสูจน์ว่าตนสามารถควบคุมระบบได้จริง พร้อมทั้งนำข้อมูลส่วนบุคคลที่ระบุตัวตนได้ (PII) บางส่วนออกมาเพื่อเป็นตัวอย่างให้กับผู้ที่สนใจซื้อสิทธิ์ นอกจากนี้ การกระทำของเขายังสร้างความเสียหายแก่เครือข่ายขององค์กรอื่น ๆ รวมมูลค่ากว่า 250,000 ดอลลาร์สหรัฐฯ ในช่วงเวลาไล่เลี่ยกัน ทางการสหรัฐฯ ยังได้ดำเนินคดีกับแฮกเกอร์ชาวโรมาเนียอีกราย ที่ถูกส่งตัวผู้ร้ายข้ามแดนจากคดีเจาะระบบโทรศัพท์ VoIP เพื่อหลอกลวงทางการเงิน ซึ่งตอกย้ำถึงปัญหาการโจมตีที่หลากหลายและการกวาดล้างกลุ่มผู้ไม่หวังดีอย่างต่อเนื่อง

จากเหตุการณ์ดังกล่าว แสดงให้เห็นถึงความเสี่ยงที่เกิดจากการลักลอบซื้อขายช่องทางการเข้าถึงระบบหรือสิทธิ์การดูแลระบบ ซึ่งเป็นภัยคุกคามที่พบได้บ่อยในปัจจุบัน ผู้ดูแลระบบขององค์กรและหน่วยงานต่าง ๆ ควรเร่งทบทวนและยกระดับมาตรการความมั่นคงปลอดภัย โดยเฉพาะการบังคับใช้การยืนยันตัวตนแบบหลายปัจจัย (MFA) สำหรับการเข้าถึงบัญชีผู้ดูแลระบบและระบบที่สำคัญทั้งหมด พร้อมทั้งตรวจสอบบันทึกการเข้าใช้งาน (Log) อย่างสม่ำเสมอเพื่อตรวจจับพฤติกรรมที่ผิดปกติ นอกจากนี้ องค์กรควรพิจารณาการแบ่งแยกเครือข่าย (Network Segmentation) และการเข้ารหัสข้อมูลที่ละเอียดอ่อน เพื่อจำกัดขอบเขตความเสียหายและป้องกันการรั่วไหลของข้อมูลก่อนที่จะถูกโจมตี

แหล่งข่าว [ https://dg.th/b6f4xjhpei ]

Romanian Hacker Gets Nearly 5 Years in US Prison Over Network Intrusion Romanian hacker Catalin Dragomir (45) got 4 years and 8 months in prison for selling access to an Oregon state network.