Keylogger คือมัลแวร์ที่คอยแอบบันทึกสิ่งที่เราพิมพ์—โดยเฉพาะ “ชื่อผู้ใช้และรหัสผ่าน” ที่กรอกตอนล็อกอินเข้าเว็บ ระบบอีเมล หรือหน้า admin ต่าง ๆ ล่าสุด นักวิจัยจาก Positive Technologies พบว่า มีกลุ่มแฮกเกอร์ใช้ JavaScript keylogger ฝังเข้าไปในหน้า Outlook on the Web (OWA) ของ Microsoft Exchange Server ที่ถูกเจาะเข้าไปแล้ว
พวกเขาไม่ได้ใช้มัลแวร์ขั้นสูงหรือ zero-day อะไรเลย แค่ใช้ช่องโหว่ที่ “รู้กันมานานแล้ว” แต่หลายองค์กรไม่ได้อัปเดตแพตช์ Keylogger เหล่านี้ทำงานเงียบ ๆ บันทึกสิ่งที่ผู้ใช้พิมพ์ แล้วส่งออกผ่านช่องทางอย่าง DNS tunnel หรือ Telegram bot ให้แฮกเกอร์เอาไปใช้ภายหลัง
ที่น่ากลัวคือ เหยื่อกว่า 65 รายจาก 26 ประเทศ ทั้งหน่วยงานรัฐบาล อุตสาหกรรม และโลจิสติกส์—รวมถึงมีหลายรายในรัสเซีย เวียดนาม และไต้หวัน
และที่ยิ่งอันตรายคือ keylogger แบบนี้ “ฝังตัวอยู่นานหลายเดือนโดยไม่ถูกจับได้” เพราะมันซ่อนอยู่ในสคริปต์ของหน้าเว็บที่ดูปกติมาก
✅ พบแคมเปญ keylogger ฝังใน Microsoft Outlook Web Access (OWA)
• แฮกเกอร์เจาะ Exchange Server แล้วฝัง JavaScript เพื่อดักพิมพ์
✅ รูปแบบมัลแวร์มี 2 แบบหลัก • แบบเก็บข้อมูลในไฟล์ local เพื่อดึงไปอ่านภายหลัง
• แบบส่งข้อมูลผ่าน DNS tunnel หรือ Telegram bot
✅ ฝังตัวอย่างแนบเนียนบนเซิร์ฟเวอร์ของเหยื่อหลายประเทศ (26 ประเทศ)
• เหยื่อหลักคือหน่วยงานภาครัฐ, IT, อุตสาหกรรม และโลจิสติกส์
• พบมากในรัสเซีย เวียดนาม และไต้หวัน
✅ มัลแวร์สามารถอยู่ได้นานหลายเดือนโดยไม่ถูกตรวจจับ
• มีการจัดโครงสร้างไฟล์ให้แฮกเกอร์สามารถระบุตัวตนเหยื่อได้ง่าย
✅ ช่องทางเข้าถึงเซิร์ฟเวอร์ส่วนใหญ่เกิดจากช่องโหว่ที่เคยแจ้งแล้ว แต่ไม่ได้อัปเดตแพตช์
• สะท้อนปัญหาการจัดการความเสี่ยงในองค์กรที่ไม่ต่อเนื่อง
✅ นักวิจัยแนะนำองค์กรให้หันมาใช้ web app รุ่นใหม่ และระบบตรวจจับพฤติกรรมเครือข่าย
• รวมถึงสแกนโค้ดหน้า login อย่างสม่ำเสมอ
‼️ องค์กรที่ยังใช้ Exchange Server รุ่นเก่าหรือไม่ได้อัปเดตแพตช์มีความเสี่ยงสูงมาก
• ช่องโหว่เก่า ๆ กลายเป็นทางเข้าที่แฮกเกอร์ใช้ซ้ำได้เรื่อย ๆ
‼️ Keylogger แบบ JavaScript ฝังตัวในหน้าล็อกอินได้โดยไม่ต้องติดตั้งโปรแกรมอะไรเลย
• ทำให้ยากต่อการตรวจจับหากไม่มีระบบแยกแยะพฤติกรรมแปลก ๆ ของเว็บ
‼️ การส่งข้อมูลผ่านช่องทางที่ตรวจจับยาก เช่น DNS tunnel หรือ Telegram bot เพิ่มความซับซ้อนในการติดตาม
• แฮกเกอร์สามารถดึงข้อมูลโดยไม่ถูกบล็อกจากไฟร์วอลล์มาตรฐาน
‼️ แอดมินหรือผู้ดูแลระบบอาจไม่สังเกตเห็นการเปลี่ยนแปลง เพราะ keylogger ไม่เปลี่ยนหน้าตาเว็บเลย
• องค์กรควรใช้ระบบ file integrity monitoring ตรวจจับความเปลี่ยนแปลงในสคริปต์
https://www.techspot.com/news/108355-keylogger-campaign-hitting-microsoft-exchange-servers-goes-global.html
พวกเขาไม่ได้ใช้มัลแวร์ขั้นสูงหรือ zero-day อะไรเลย แค่ใช้ช่องโหว่ที่ “รู้กันมานานแล้ว” แต่หลายองค์กรไม่ได้อัปเดตแพตช์ Keylogger เหล่านี้ทำงานเงียบ ๆ บันทึกสิ่งที่ผู้ใช้พิมพ์ แล้วส่งออกผ่านช่องทางอย่าง DNS tunnel หรือ Telegram bot ให้แฮกเกอร์เอาไปใช้ภายหลัง
ที่น่ากลัวคือ เหยื่อกว่า 65 รายจาก 26 ประเทศ ทั้งหน่วยงานรัฐบาล อุตสาหกรรม และโลจิสติกส์—รวมถึงมีหลายรายในรัสเซีย เวียดนาม และไต้หวัน
และที่ยิ่งอันตรายคือ keylogger แบบนี้ “ฝังตัวอยู่นานหลายเดือนโดยไม่ถูกจับได้” เพราะมันซ่อนอยู่ในสคริปต์ของหน้าเว็บที่ดูปกติมาก
✅ พบแคมเปญ keylogger ฝังใน Microsoft Outlook Web Access (OWA)
• แฮกเกอร์เจาะ Exchange Server แล้วฝัง JavaScript เพื่อดักพิมพ์
✅ รูปแบบมัลแวร์มี 2 แบบหลัก • แบบเก็บข้อมูลในไฟล์ local เพื่อดึงไปอ่านภายหลัง
• แบบส่งข้อมูลผ่าน DNS tunnel หรือ Telegram bot
✅ ฝังตัวอย่างแนบเนียนบนเซิร์ฟเวอร์ของเหยื่อหลายประเทศ (26 ประเทศ)
• เหยื่อหลักคือหน่วยงานภาครัฐ, IT, อุตสาหกรรม และโลจิสติกส์
• พบมากในรัสเซีย เวียดนาม และไต้หวัน
✅ มัลแวร์สามารถอยู่ได้นานหลายเดือนโดยไม่ถูกตรวจจับ
• มีการจัดโครงสร้างไฟล์ให้แฮกเกอร์สามารถระบุตัวตนเหยื่อได้ง่าย
✅ ช่องทางเข้าถึงเซิร์ฟเวอร์ส่วนใหญ่เกิดจากช่องโหว่ที่เคยแจ้งแล้ว แต่ไม่ได้อัปเดตแพตช์
• สะท้อนปัญหาการจัดการความเสี่ยงในองค์กรที่ไม่ต่อเนื่อง
✅ นักวิจัยแนะนำองค์กรให้หันมาใช้ web app รุ่นใหม่ และระบบตรวจจับพฤติกรรมเครือข่าย
• รวมถึงสแกนโค้ดหน้า login อย่างสม่ำเสมอ
‼️ องค์กรที่ยังใช้ Exchange Server รุ่นเก่าหรือไม่ได้อัปเดตแพตช์มีความเสี่ยงสูงมาก
• ช่องโหว่เก่า ๆ กลายเป็นทางเข้าที่แฮกเกอร์ใช้ซ้ำได้เรื่อย ๆ
‼️ Keylogger แบบ JavaScript ฝังตัวในหน้าล็อกอินได้โดยไม่ต้องติดตั้งโปรแกรมอะไรเลย
• ทำให้ยากต่อการตรวจจับหากไม่มีระบบแยกแยะพฤติกรรมแปลก ๆ ของเว็บ
‼️ การส่งข้อมูลผ่านช่องทางที่ตรวจจับยาก เช่น DNS tunnel หรือ Telegram bot เพิ่มความซับซ้อนในการติดตาม
• แฮกเกอร์สามารถดึงข้อมูลโดยไม่ถูกบล็อกจากไฟร์วอลล์มาตรฐาน
‼️ แอดมินหรือผู้ดูแลระบบอาจไม่สังเกตเห็นการเปลี่ยนแปลง เพราะ keylogger ไม่เปลี่ยนหน้าตาเว็บเลย
• องค์กรควรใช้ระบบ file integrity monitoring ตรวจจับความเปลี่ยนแปลงในสคริปต์
https://www.techspot.com/news/108355-keylogger-campaign-hitting-microsoft-exchange-servers-goes-global.html
Keylogger คือมัลแวร์ที่คอยแอบบันทึกสิ่งที่เราพิมพ์—โดยเฉพาะ “ชื่อผู้ใช้และรหัสผ่าน” ที่กรอกตอนล็อกอินเข้าเว็บ ระบบอีเมล หรือหน้า admin ต่าง ๆ ล่าสุด นักวิจัยจาก Positive Technologies พบว่า มีกลุ่มแฮกเกอร์ใช้ JavaScript keylogger ฝังเข้าไปในหน้า Outlook on the Web (OWA) ของ Microsoft Exchange Server ที่ถูกเจาะเข้าไปแล้ว
พวกเขาไม่ได้ใช้มัลแวร์ขั้นสูงหรือ zero-day อะไรเลย แค่ใช้ช่องโหว่ที่ “รู้กันมานานแล้ว” แต่หลายองค์กรไม่ได้อัปเดตแพตช์ Keylogger เหล่านี้ทำงานเงียบ ๆ บันทึกสิ่งที่ผู้ใช้พิมพ์ แล้วส่งออกผ่านช่องทางอย่าง DNS tunnel หรือ Telegram bot ให้แฮกเกอร์เอาไปใช้ภายหลัง
ที่น่ากลัวคือ เหยื่อกว่า 65 รายจาก 26 ประเทศ ทั้งหน่วยงานรัฐบาล อุตสาหกรรม และโลจิสติกส์—รวมถึงมีหลายรายในรัสเซีย เวียดนาม และไต้หวัน
และที่ยิ่งอันตรายคือ keylogger แบบนี้ “ฝังตัวอยู่นานหลายเดือนโดยไม่ถูกจับได้” เพราะมันซ่อนอยู่ในสคริปต์ของหน้าเว็บที่ดูปกติมาก
✅ พบแคมเปญ keylogger ฝังใน Microsoft Outlook Web Access (OWA)
• แฮกเกอร์เจาะ Exchange Server แล้วฝัง JavaScript เพื่อดักพิมพ์
✅ รูปแบบมัลแวร์มี 2 แบบหลัก • แบบเก็บข้อมูลในไฟล์ local เพื่อดึงไปอ่านภายหลัง
• แบบส่งข้อมูลผ่าน DNS tunnel หรือ Telegram bot
✅ ฝังตัวอย่างแนบเนียนบนเซิร์ฟเวอร์ของเหยื่อหลายประเทศ (26 ประเทศ)
• เหยื่อหลักคือหน่วยงานภาครัฐ, IT, อุตสาหกรรม และโลจิสติกส์
• พบมากในรัสเซีย เวียดนาม และไต้หวัน
✅ มัลแวร์สามารถอยู่ได้นานหลายเดือนโดยไม่ถูกตรวจจับ
• มีการจัดโครงสร้างไฟล์ให้แฮกเกอร์สามารถระบุตัวตนเหยื่อได้ง่าย
✅ ช่องทางเข้าถึงเซิร์ฟเวอร์ส่วนใหญ่เกิดจากช่องโหว่ที่เคยแจ้งแล้ว แต่ไม่ได้อัปเดตแพตช์
• สะท้อนปัญหาการจัดการความเสี่ยงในองค์กรที่ไม่ต่อเนื่อง
✅ นักวิจัยแนะนำองค์กรให้หันมาใช้ web app รุ่นใหม่ และระบบตรวจจับพฤติกรรมเครือข่าย
• รวมถึงสแกนโค้ดหน้า login อย่างสม่ำเสมอ
‼️ องค์กรที่ยังใช้ Exchange Server รุ่นเก่าหรือไม่ได้อัปเดตแพตช์มีความเสี่ยงสูงมาก
• ช่องโหว่เก่า ๆ กลายเป็นทางเข้าที่แฮกเกอร์ใช้ซ้ำได้เรื่อย ๆ
‼️ Keylogger แบบ JavaScript ฝังตัวในหน้าล็อกอินได้โดยไม่ต้องติดตั้งโปรแกรมอะไรเลย
• ทำให้ยากต่อการตรวจจับหากไม่มีระบบแยกแยะพฤติกรรมแปลก ๆ ของเว็บ
‼️ การส่งข้อมูลผ่านช่องทางที่ตรวจจับยาก เช่น DNS tunnel หรือ Telegram bot เพิ่มความซับซ้อนในการติดตาม
• แฮกเกอร์สามารถดึงข้อมูลโดยไม่ถูกบล็อกจากไฟร์วอลล์มาตรฐาน
‼️ แอดมินหรือผู้ดูแลระบบอาจไม่สังเกตเห็นการเปลี่ยนแปลง เพราะ keylogger ไม่เปลี่ยนหน้าตาเว็บเลย
• องค์กรควรใช้ระบบ file integrity monitoring ตรวจจับความเปลี่ยนแปลงในสคริปต์
https://www.techspot.com/news/108355-keylogger-campaign-hitting-microsoft-exchange-servers-goes-global.html
0 Comments
0 Shares
8 Views
0 Reviews
Thai