คลังเก็บป้ายกำกับ: DATA_LEAK

มือดีเผยแพร่ข้อมูลภายในของ Intel ขนาดกว่า 20 GB

Till Kottmann วิศวกรซอฟต์แวร์ชาวสวิสซ์ได้อัปโหลดข้อมูลภายในของ Intel โดยอ้างว่าตนได้รับการติดต่อจากแฮ็กเกอร์ซึ่งอ้างว่าลอบขโมยมาได้

Till Kottmann เป็นผู้มีชื่อเสียงคนหนึ่งใน Telegram และชอบเปิดเผยข้อมูลบริษัทเทคโนโลยีใหญ่ที่พลาดทำข้อมูลหลุดออกมา โดยล่าสุดมีแฮ็กเกอร์ติดต่อมามอบข้อมูลให้ พร้อมกับอ้างว่าเป็นข้อมูลที่ขโมยมาได้จากบริษัท Intel ทั้งนี้ Kotmann เผยว่าข้อมูลขนาด 20 GB นี้เป็นเพียงข้อมูลส่วนแรกเท่านั้น

จากการติดตามของ Zdnet กับผู้เชี่ยวชาญพบว่าข้อมูลที่เผยแพร่ออกมาจาก Intel จริง โดยเกี่ยวกับการออกแบบ Chipset, ข้อมูลทางเทคนิค, คู่มือผลิตภัณฑ์ และคู่มือ CPU ย้อนกลับไปถึงปี 2016 แต่ไม่มีอะไรที่เกี่ยวข้องกับลูกค้าเลย อย่างไรก็ดีทาง Intel ได้ออกมาโต้แย้งแล้วว่าบริษัทไม่ได้ถูกแฮ็ก เพราะข้อมูลเหล่านี้หาได้จาก Portal (Intel Resource and Design Center) ที่คนเป็นพาร์ทเนอร์ของบริษัทสามารถเข้าถึงได้ แต่ปกติแค่ไม่ได้เปิดเผยแก่บุคคลทั่วไป ซึ่งเมื่อพิจารณาจากเอกสารแล้วบ่งชี้ไปในทางเดียวกัน

ขณะเดียวกันในฝั่งของแฮ็กเกอร์ชี้ว่าตนได้ข้อมูลมาจากเซิร์ฟเวอร์หนึ่งบน Akamai CDN ที่ไม่มั่นคงปลอดภัย ไม่ได้ผ่านบัญชีปกติใน Portal อย่างไรก็ดีคาดว่า Intel ก็มีงานเพิ่มขึ้นอีกอย่างเพื่อหาให้ได้ว่าอันที่จริงที่จริงแล้วแฮ็กเกอร์เข้ามาได้จริงไหมและไปถึงไหนกันแน่

ที่มา :  https://www.zdnet.com/article/intel-investigating-breach-after-20gb-of-internal-documents-leak-online/

from:https://www.techtalkthai.com/20-gb-of-intel-data-breached/

มัลแวร์บนลีนุกซ์ “Doki” จ้องเจาะระบบอินสแตนซ์บนคลาวด์ของ Docker

มีผู้โจมตีกำลังเล่นงานเป้าหมายที่เป็นอินสแตนซ์ Docker บนคลาวด์ที่ตั้งค่าอย่างไม่ปลอดภัย ที่รันบนดิสโทรลีนุกซ์ ด้วยมัลแวร์สายพันธุ์ที่ตรวจจับได้ยากชื่อ Doki ซึ่งเป็นส่วนหนึ่งของขบวนการ Ngrok Cryptominer Botnet

ขบวนการดังกล่าวมีความเคลื่อนไหวมาตั้งแต่ปี 2018 มีพฤติกรรมในการเชื่อมต่อกับระบบควบคุมจากศูนย์กลางแบบไดนามิก ที่ไม่ได้พึ่งพาโดเมนหรือกลุ่มไอพีจำเพาะตายตัว แต่หันมาใช้ประโยชน์จากบริการ Dynamic DNS แทน

เช่นของ DynDNS รวมกับอัลกอริทึมบล็อกเชนอย่าง Domain Generation Algorithm (DGA) ในการสร้างและหาตำแหน่งที่อยู่ของเซิร์ฟเวอร์สั่งการได้แบบเรียลไทม์ ทำให้ “ติดต่อกลับไปยังผู้โจมตี” ได้โดยหลบเลี่ยงการตรวจจับอย่างแนบเนียน

ซึ่งขบวนการนี้สามารถหลบหนีการตรวจจับได้ยาวนานกว่า 6 เดือน แม้จะมีการส่งตัวอย่างมัลแวร์ไปยังเอนจิ้นวิเคราะห์อย่าง VirusTotal ตั้งแต่วันที่ 14 มกราคมที่ผ่านมาก็ตาม แม้แต่ในปัจจุบันก็มีเอนจิ้นแอนตี้ไวรัสแค่ 4 ยี่ห้อเท่านั้นที่ตรวจจับได้

ที่มา : BleepingComputers

from:https://www.enterpriseitpro.net/sneaky-doki-linux-malware-infiltrates-docker-cloud-instances/

มัลแวร์ QSnatch ระบาดหนัก เล่นงานอุปกรณ์ QNAP NAS กว่า 62,000 เครื่อง

หน่วยงานด้านความปลอดภัยทางไซเบอร์ทั้งในสหรัฐฯ และอังกฤษได้จับมือกันออกประกาศเตือนเกี่ยวกับขบวนการมัลแวร์ครั้งใหญ่ที่กำลังแพร่เชื้ออยู่บนอุปกรณ์สตอเรจที่เชื่อมต่อเครือข่ายหรือ NAS ของบริษัทไต้หวันอย่าง QNAP อยู่ตอนนี้

มัลแวร์ดังกล่าวชื่อ QSnatch (หรืออีกชื่อหนึ่งคือ Derek) มีเป้าหมายในการดูดข้อมูลเป็นหลัก ซึ่งในรายงานระบุว่ามีอุปกรณ์ที่ติดเชื้ออยู่มากถึง 62,000 เครื่องแล้วนับตั้งแต่เริ่มการระบาดตั้งแต่ช่วงเดือนตุลาคมของปีที่แล้ว

โดยพื้นที่ที่พบการระบาดหนักได้แก่ยุโรปตะวันตกและอเมริกาเหนือ ทั้งนี้ทางหน่วยงานด้านความปลอดภัยทางไซเบอร์และโครงสร้างพื้นฐานของสหรัฐฯ หรือ CISA และศูนย์ความปลอดภัยทางไซเบอร์แห่งชาติหรือ NCSC ของอังกฤษได้ออกมาเตือนว่า

“อุปกรณ์ NAS ของ QNAP ทุกตัวมีช่องโหว่ที่จะโดนมัลแวร์ QSnatch เล่นงานได้หมดถ้ายังไม่ได้อัพเดทแพ็ตช์ล่าสุด นอกจากนี้ ถ้าอุปกรณ์ติดเชื้อแล้ว ผู้โจมตีก็สามารถป้องกันไม่ให้แอดมินอัพเดทเฟิร์มแวร์ได้อีกในอนาคตด้วย”

ที่มา : THN

from:https://www.enterpriseitpro.net/qsnatch-data-stealing-malware-infected-over-62000-qnap-nas/

พบช่องโหว่ที่ยังไม่ได้รับการแก้ไขบน Zoom สำหรับวินโดวส์ 7 (หรือเก่ากว่า)

ช่องโหว่แบบ Zero-day ครั้งนี้ถูกค้นพบบนซอฟต์แวร์ประชุมผ่านวิดีโอชื่อดัง Zoom เวอร์ชั่นบนวินโดวส์ ที่เปิดให้ผู้โจมตีสามารถรันโค้ดอันตรายบนคอมพิวเตอร์ของเหยื่อที่กำลังใช้ Microsoft Windows 7 หรือเก่ากว่าได้

ซึ่งกลไกการใช้ประโยชน์จากช่องโหว่นี้ทำได้ง่ายเพียงแค่ล่อหลอกให้ผู้ใช้งาน Zoom ทำกิจกรรมพื้นฐานทั่วไปอย่างเช่นการเปิดดูไฟล์เอกสารที่ได้รับเท่านั้น ซึ่งไม่มีการแจ้งเตือนด้านความปลอดภัยขึ้นมาให้รู้ตัวระหว่างที่โดนโจมตีเลย

ช่องโหว่นี้ถูกค้นพบโดยนักวิจัยที่รายงานไปยังบริษัท Acros Security ที่ต่อมารายงานรายละเอียดช่องโหว่นี้ไปยังทีมงานด้านความปลอดภัยของ Zoom อีกทอดหนึ่งเมื่อวันศุกร์ที่ผ่านมา โดยนักวิจัยท่านดังกล่าวไม่ประสงค์เปิดเผยตัวตน

แม้ช่องโหว่นี้จะพบบนตัวไคลเอนต์ของ Zoom บนวินโดวส์ทุกเวอร์ชั่น แต่ผู้โจมตีก็สามารถเจาระบบได้แค่บนวินโดวส์ 7 หรือเวอร์ชั่นเก่ากว่าอันเนื่องมาจากลักษณะจำเพาะของระบบบางอย่าง โดยมีแนวโน้มที่จะโจมตีบน Windows Server 2008 R2 ที่ยังมีการใช้งานอย่างแพร่หลายด้วย

ที่มา : THN

from:https://www.enterpriseitpro.net/unpatched-critical-flaw-disclosed-in-zoom-software-for-windows-7/

BitDefender แก้ไขบั๊ก ที่เปิดให้ผู้โจมตีรันคำสั่งจากระยะไกลได้แล้ว

ปกติโซลูชั่นด้านความปลอดภัยมักถูกออกแบบมาเพื่อปกป้ององค์กร แต่อุดมคติดังกล่าวก็พังทลายลงได้เมื่อซอฟต์แวร์เดียวกันนี้กลับกลายเป็นประตูเชื้อเชิญแฮ็กเกอร์เสียเอง

ซึ่งกรณีนี้ก็เกิดขึ้นกับโปรแกรมดังอย่าง BitDefender ด้วย ที่มีช่องโหว่ใหม่ที่เปิดให้สั่งรันโค้ดได้จากระยะไกล ภายใต้รหัส CVE-2020-8102 ซึ่งอยู่ในส่วนของบราวเซอร์ Safepay เป็นช่องโหว่ที่เกิดจากการตรวจสอบความถูกต้องของข้อมูลป้อนเข้าที่ไม่เพียงพอ กลายเป็นการเปิดทางให้เว็บเพจที่ออกแบบมาอย่างจำเพาะสามารถรันคำสั่งจากระยะไกลภายในโปรเซส Safepay Utility ได้

ปัญหานี้กระทบกับ Bitdefender Total Security 2020 เวอร์ชั่นก่อนหน้า 24.0.20.116 ช่องโหว่นี้เปิดเผยโดย Wladimir Palant ซึ่งเป็นบล็อกเกอร์ด้านระบบความปลอดภัย และเป็นผู้คิดค้นเอ็กซ์เทนชั่นชื่อดัง AdBlock Plus โดยพบระหว่างการศึกษากลไกการปกป้องผู้ใช้ของ BitDefender จากใบประกาศรับรองดิจิตอลที่ไม่ถูกต้อง ที่พบว่ากลับเปิดช่องให้แบ่งปันโทเค่นระหว่างเพจได้

ที่มา : BleepingComputers

from:https://www.enterpriseitpro.net/bitdefender-fixes-bug-allowing-attackers/

SMBleed: ช่องโหว่ร้ายแรงตัวใหม่บนโปรโตคอล SMB ของวินโดวส์

เมื่อวันอังคารที่ผ่านมา นักวิจัยด้านความปลอดภัยทางไซเบอร์ได้ค้นพบช่องโหว่ร้ายแรงตัวใหม่บนโปรโตคอล Server Message Block (SMB) ที่เปิดทางให้ผู้โจมตีสามารถดูดข้อมูลจากหน่วยความจำ Kernel จากระยะไกลได้

ซึ่งเมื่อใช้งานร่วมกับช่องโหว่ “Wormable” พี่ถูกค้นพบก่อนหน้านี้แล้ว จะทำให้สามารถโจมตีด้วยกันรันโค้ดจากระยะไกลได้ด้วย ช่องโหว่นี้มีชื่อว่า “SMBleed” (CVE-2020-1206) ค้นพบโดยบริษัทด้านความปลอดภัยทางไซเบอร์ ZecOps

ช่องโหว่นี้อยู่ในส่วนของการแตกไฟล์ข้อมูลของ SMB ซึ่งเป็นฟังก์ชันเดียวกันกับที่เคยมีบั๊ก SMBGhost หรือ EternalDarkness (CVE-2020-0796) ที่เคยถูกค้นพบเมื่อสามเดือนที่แล้ว ทำให้วินโดวส์เสี่ยงต่อการโดนโจมตีด้วยมัลแวร์

จนทำให้มัลแวร์กระจายไปทั่วเน็ตเวิร์กได้ ช่องโหว่ใหม่ที่เพิ่งค้นพบนี้กระทบกับวินโดวส์ 10 เวอร์ชั่น 1903 และ 1909 ซึ่งล่าสุดทาง Microsoft ได้ออกแพทช์ด้านความปลอดภัยมาแล้วในฐานะส่วนหนึ่งของตัวอัพเดทแพทช์ประจำเดือนมิถุนายน

ที่มา : THN

from:https://www.enterpriseitpro.net/smbleed-a-new-critical-vulnerability/

ทูลฟรีสำหรับช่วยตรวจสอบว่า “ข้อมูลตัวเองรั่วไหล” ไปยังเว็บตลาดมืดหรือไม่?

ช่วงสัปดาห์ที่แล้ว มีบริษัทด้านความปลอดภัยแอพพลิเคชันชื่อ ImmuniWeb ได้ออกมาเผยแพร่ทูลฟรีตัวใหม่สำหรับใช้ตรวจสอบและวัดการปรากฏตัวชององค์กรในเว็บตลาดมืด ที่ช่วยให้เจ้าหน้าที่ด้านความปลอดภัยทางไซเบอร์ทำงานได้ง่ายขึ้น

ทูลฟรีตัวนี้จะไล่ตรวจสอบตลาดซื้อขายในเว็บมืด เว็บบอร์ดเกี่ยวกับการแฮ็ก รวมไปถึงแหล่งข้อมูลในเว็บปกติอย่าง Pastebin และ GitHub เป็นต้น เพื่อแสดงให้เห็นแนวโน้มที่ข้อมูลของคุณหลุดออกสู่ภายนอกหรือถูกนำไปขาย

ซึ่งสิ่งที่คุณต้องทำนั้นมีเพียงแค่การป้อนชื่อโดเมนของคุณเท่านั้น มีข้อสังเกตว่าปริมาณข้อมูลรหัสผ่านที่ถูกจารกรรมออกมาแพร่หลายในเว็บมืดนั้นเพิ่มจำนวนขึ้นเร็วมาก อย่างสัปดาห์นี้มีผู้ใช้ LiveJournal มากกว่า 26 ล้านราย

ที่โดนขโมยข้อมูลที่รวมถึงรหัสผ่านแบบไม่ได้เข้ารหัสด้วย แล้วนำไปจำหน่ายในเว็บตลาดมืดด้วยราคาเพียง 35 ดอลลาร์สหรัฐฯ ต่อรายการ รวมไปถึงการเจาะฐานข้อมูล SQL ของร้านค้าออนไลน์จำนวน 31 รายการ (ที่รวมข้อมูลลูกค้าภายในกว่า 1.6 ล้านรายการ) ด้วย

ในช่วงปี 2019 ที่ผ่านมานั้นมีรายงานกรณีข้อมูลรั่วไหลจำนวน 7,098 ครั้ง กระทบกับข้อมูลจำนวนมากกว่า 15.1 พันล้านรายการ จนทำลายสถิติปีที่เลวร้ายที่สุดที่อ้างอิงตามรายงานของทาง Risk Based Security

โดยกว่า 80% ของเหตุข้อมูลรั่วไหลนั้น เป็นการแฮ็กข้อมูลที่นำไปสู่การจารกรรมรหัสผ่าน อ้างอิงตามข้อมูลรายงาน Data Breach Investigations Report 2020 ของ Verizon โดยพบว่ารหัสผ่านที่ถูกจารกรรมจำนวนมากกว่า 21 ล้านรายการนั้นมาจากบริษัทในกลุ่ม Fortune 500

ซ้ำร้ายกว่านั้น รหัสผ่านกลุ่มดังกล่าวยังสามารถซื้อได้ในเว็บตลาดมืดด้วย อ้างอิงจากรายงาน ImmuniWeb ของปี 2019 ดังนั้นทาง ImmuniWeb จึงนำเทคโนโลยี AI แบบ Deep Learning มาใช้ค้นหาและกำจัดข้อมูลปลอม จนกลั่นออกมาเป็นข้อมูลคะแนนความเสี่ยงของลูกค้าที่นำไปดำเนินการต่อได้

ที่มา : THN

from:https://www.enterpriseitpro.net/dark-web-monitoring-tool/

เชิญร่วมงานสัมมนา : PDPA & Cyber Security Law รวมถึงสิ่งจำเป็นที่องค์กรต้องรับมือ

Enterprise ITPro ขอเรียนเชิญท่าน ผู้จัดการฝ่ายไอที, ผู้อำนวยการด้านไอที, ผู้ดูแลระบบไอทีและความปลอดภัยทางไซเบอร์ และผู้สนใจด้านไอทีทุกท่าน เข้าร่วมฟังสัมมนาแบบออนไลน์ (VSO Seminar) ในหัวข้อเรื่อง “PDPA & Cyber Security Law รวมถึงสิ่งจำเป็นที่องค์กรต้องรับมือ ?” โดย อ.สุรชาติ พงศ์สุธนะ, คอลัมนิสต์จาก Enterprise ITPro และ ผู้จัดการฝ่ายตรวจสอบภายใน-ระบบสารสนเทศ (IT Audit) จาก TU Group

งานสัมมนาออนไลน์ดังกล่าวจะจัดขึ้นในวันศุกร์ที่ 26 มิถุนายน เวลา 14.00 -15.30 น. ตามรายละเอียดดังนี้

รายละเอียดของ ETP VSO Seminar

เรื่อง : PDPA & Cyber Security Law and The Affected – รวมถึงวิธีการสำคัญที่องค์กรต้องรับมือ ?
ผู้บรรยาย: อ.สุรชาติ พงศ์สุธนะ, คอลัมนิสต์จาก Enterprise ITPro และ ผู้จัดการฝ่ายตรวจสอบภายใน-ระบบสารสนเทศ (IT Audit) จาก TU Group
วัน-เวลา : ในวันศุกร์ที่ 26 มิถุนายน เวลา 14.00 – 15.30 น
แพลตฟอร์ม: Zoom Webinar
จำนวน : 100 คน
หมายเหตุ : การบรรยายเป็นภาษาไทย

โดยท่านจะได้รับทราบถึงเรื่องราวในประเด็นต่างๆ เช่น

– จุดเริ่มต้นของ พรบ. ว่าด้วยการกระทำความผิดเกี่ยวกับคอมพิวเตอร์ 2550 สู่กฏหมายใหม่ พรบ.มั่นคงไซเบอร์ 2562
– กฏหมาย GDPR ของยุโรป 2561 อันเป็นต้นตอของ พรบ. ข้อมูลส่วนบุคคล 2562
– กรณีตัวอย่างของบริษัทที่เกิดการรั่วไหลข้อมูลในปี 2562 และการจัดการที่เกิดขึ้น
– กฏหมายทั้งสองฉบับนี้กระทบหรือเกี่ยวโยงถึงชีวิตความเป็นอยู่ของประชาชนคนไทยและผู้ที่อาศัยหรือทำธุรกิจในประเทศไทยอย่างไร?
– องค์กรต้องเตรียมความพร้อมอย่างไรให้ปฏิบัติตามกฏหมาย?
– ช่วงตอบข้อซักถาม

วิธีการลงทะเบียน ETP VSO Seminar

ผู้ที่สนใจสามารถกรอกข้อมูลเพื่อเข้าร่วมการบรรยายแบบ VSO Seminar ได้ที่ Link ด้านล่าง
https://us02web.zoom.us/webinar/register/WN_stVUW36WRzWLycQAzazarw
อนึ่งทางทีมงานขอความกรุณากรอกข้อมูลให้ครบถ้วน เพื่อพิจารณาในการร่วมสัมมนาครั้งนี้

from:https://www.enterpriseitpro.net/pdpa-cyber-security-law/

ญี่ปุ่นสงสัยว่าข้อมูลจรวดมิสไซล์ HGV รั่วไหลหลังมีการโจมตีไซเบอร์ Mitsubishi

บริษัท Mitsubishi Electric ได้ออกมาเปิดเผยว่ามีกรณีข้อมูลรั่วไหลครั้งใหญ่ โดยบนเว็บไซต์ของบริษัทได้ระบุว่า ข้อมูลความลับเกี่ยวกับการพัฒนาจรวดมิสไซล์โจมตี ได้ถูกจารกรรมออกไปตอนที่โดนโจมตีทางไซเบอร์

บนเครื่องเซิร์ฟเวอร์ของผู้ผลิตอิเล็กทรอนิกส์สัญชาติญี่ปุ่น Mitsubishi Electric เมื่อปีที่แล้ว โดยสันนิษฐานว่าการโจมตีเกิดขึ้นเมื่อวันที่ 28 มิถุนายน 2019 ผ่านมาหลังจากนั้นหลายเดือนจึงเริ่มมีการสอบสวน จนกระทั่งมีหนังสือพิมพ์สองรายได้ตีพิมพ์เรื่องราวเกี่ยวกับการโจมตีครั้งนี้ ทำให้สุดท้ายบริษัทตัดสินใจออกมาอธิบายเรื่องทั้งหมด

แต่ถึงแม้ทางบริษัทอ้างว่าผู้โจมตีสนใจแค่ข้อมูลเกี่ยวกับอุตสาหกรรม แต่ก็มีแหล่งข่าวระบุว่ามีการพุ่งเป้าไปยังข้อมูลด้านการทหารที่มีเจตนาในการจารกรรมข้อมูลเกี่ยวกับตัวต้นแบบของจรวดมิสไซล์ความเร็วสูงรุ่นล่าสุด และมีแหล่งข่าวจากทางหน่วยงานภาครัฐออกมาอธิบายว่า

แม้ข้อมูลดังกล่าวไม่ได้ถูกจัดอยู่ในประเภทที่ความลับสูง แต่ก็ยังถือเป็นข้อมูลความลับที่เกี่ยวข้องกับอนาคตของระบบป้องกันตัวเองของประเทศญี่ปุ่น

ที่มา : GBHackers

from:https://www.enterpriseitpro.net/japan-suspects-hgv-attack-missile-data-leak-mitsubishi/

รายงานเผย ! กลุ่ม APT เบนเข็มจ้องโจมตีภูมิภาคเอเชียหนักขึ้น

จากรายงานภัยคุกคามล่าสุดของแคสเปอร์สกี้ พบว่าในไตรมาสแรกของปี 2020 ภัยคุกคามไซเบอร์ขั้นสูง หรือ APT มีการติดเชื้อและแพร่กระจายมัลแวร์ผ่านแพลตฟอร์มโมบายเพิ่มสูงขึ้นมาก รวมถึงมีกิจกรรมการโจมตีทางไซเบอร์ในทวีปเอเชียเพิ่มมากขึ้น โดยมีผู้ก่อภัยคุกคามหน้าใหม่ๆ ส่วนผู้ก่อภัยคุกคามหน้าเดิมก็เพิ่มปฏิบัติการที่ซับซ้อนและระมัดระวังมากขึ้น

รายงานนี้ยังระบุเจาะจงว่ากิจกรรมร้ายไซเบอร์เพิ่มจำนวนสูงขึ้นมากในภูมิภาคเอเชียตะวันออกเฉียงใต้ เกาหลี และญี่ปุ่น พบกลุ่มผู้ก่อภัยคุกคามรายใหม่ๆ ที่มีความคิดสร้างสรรค์ทางร้าย บางกลุ่มก็มีงบประมาณจำกัด แต่ก็สามารถปฏิบัติการตีคู่กันไปกับกลุ่ม APT ชื่อดังๆ อย่าง CactusPete และ Lazarus ได้

นอกจากนี้ พบการใช้แพลตฟอร์มโมบายเป็นช่องทางการโจมตีและแพร่กระจายมัลแวร์เพิ่มสูงขึ้น เร็วๆ นี้ แคสเปอร์สกี้ได้เปิดเผยรายงานจำนวนแคมเปญที่มุ่งเน้นการโจมตีโมบาย ซึ่งรวมถึงแคมเปญไลท์สปาย (LightSpy) ที่โจมตีผู้ใช้โมบายระบบ Android และ iOS ที่ฮ่องกง และแคมเปญแฟนท่อมแลนซ์ (PhantomLance) ที่โจมตีเป้าหมายในภูมิภาคเอเชียตะวันออกเฉียงใต้ ซึ่งแคมเปญทั้งสองรายการนี้ประสบความสำเร็จในการใช้แพลตฟอร์มออนไลน์หลากหลายรูปแบบในการแพร่กระจายมัลแวร์ ทั้งฟอรั่มในอินเทอร์เน็ต โซเชียลมีเดีย และกูเกิ้ลแอปสโตร์

ไม่เพียงแต่กลุ่ม APT ที่มีเป้าหมายเป็นเอเชียเท่านั้นที่พัฒนามัลแวร์โมบาย ตัวอย่างเช่น กลุ่ม TransparentTribe ที่ทำแคมเปญโมดูลใหม่ที่ชื่อ “USBWorm” สำหรับแพร่กระจายมัลแวร์ผ่านโมบาย ก็มีเป้าหมายโจมตีอาฟกานิสถานและอินเดีย มัลแวร์นี้เป็นเวอร์ชั่นแก้ไขจาก “AhMyth” ที่ใช้ใน RAT ของแอนดรอยด์ ซึ่งเป็นโอเพ่นซอร์สใน GitHub

อีกทัั้งโรคระบาด Covid-19 ก็ถูกใช้เป็นเครื่องมือโดยกลุ่ม APT ต่างๆ เช่น กลุ่ม Kimsuky, Hades และ DarkHotel ตั้งแต่ช่วงกลางเดือนมีนาคมเพื่อหลอกล่อเหยื่อ อีกด้วย

ที่มา : ข่าวพีอาร์

from:https://www.enterpriseitpro.net/kaspersky-apt-moblie-asia/