NCSA Webboard
    • ล่าสุด
    • แท็ก
    • ฮิต
      • ติดต่อสำนักงาน
    • ลงทะเบียน
    • เข้าสู่ระบบ

    ผู้สร้างแพลตฟอร์ม Next.js ยืนยันเหตุระบบถูกบุกรุกผ่านมัลแวร์ Lumma Stealer กระทบข้อมูลสภาพแวดล้อมระบบและบัญชีผู้ใช้งานบางส่วน

    Cyber Security News
    1
    1
    8
    โหลดโพสเพิ่มเติม
    • เก่าสุดไปยังใหม่สุด
    • ใหม่สุดไปยังเก่าสุด
    • Most Votes
    ตอบ
    • ตอบโดยตั้งกระทู้ใหม่
    เข้าสู่ระบบเพื่อตอบกลับ
    Topic นี้ถูกลบไปแล้ว เฉพาะผู้ใช้งานที่มีสิทธิ์ในการจัดการ Topic เท่านั้นที่จะมีสิทธิ์ในการเข้าชม
    • NCSA_THAICERTN
      NCSA_THAICERT
      แก้ไขล่าสุดโดย

      ศูนย์ประสานการรักษาความมั่นคงปลอดภัยระบบคอมพิวเตอร์แห่งชาติ (ThaiCERT) ตรวจพบการโจมตีทางไซเบอร์ต่อผู้ให้บริการแพลตฟอร์มคลาวด์และผู้สร้าง Next.js โดยผู้โจมตีใช้มัลแวร์ประเภท Infostealer ขโมยข้อมูลประจำตัวของพนักงาน นำไปสู่การเจาะระบบภายในและเข้าถึงข้อมูลสภาพแวดล้อม ซึ่งส่งผลกระทบต่อความปลอดภัยของซอร์สโค้ดและบัญชีผู้ใช้งานบางส่วน [1]

      1. รายละเอียดลักษณะการทำงานของมัลแวร์ [2]
        1.1 ขโมยข้อมูลผ่าน Infostealer มัลแวร์ "Lumma Stealer" แอบดึงข้อมูลประจำตัว (Credentials) และ Session Cookies จากเครื่องคอมพิวเตอร์ของพนักงานที่ใช้งานเครื่องมือ AI ของบุคคลที่สาม
        1.2 ยึดสิทธิ์บัญชีองค์กร ผู้โจมตีนำข้อมูลที่ได้ไปเข้ายึดบัญชี Google Workspace ของพนักงาน เพื่อใช้เป็นฐานเจาะเข้าระบบอื่นภายในองค์กร
        1.3 เจาะระบบและดึงข้อมูล อาศัยสิทธิ์บัญชีที่ยึดมาได้ เข้าถึงระบบภายในและรวบรวมตัวแปรสภาพแวดล้อมที่ตั้งค่าไว้ว่า "ไม่ละเอียดอ่อน" รวมถึงพยายามเข้าถึงฐานข้อมูลและซอร์สโค้ด

      2. กลุ่มเป้าหมายและระบบที่ได้รับผลกระทบ
        2.1 อุปกรณ์พนักงานที่ติดตั้งซอฟต์แวร์หรือเครื่องมือบุคคลที่สามที่ขาดมาตรการรักษาความปลอดภัย
        2.2 บัญชีลูกค้าผู้ใช้งานแพลตฟอร์มบางส่วน โดยผู้ที่ได้รับผลกระทบจะได้รับการติดต่อให้รีเซ็ตรหัสผ่านโดยตรง
        2.3 ระบบแอปพลิเคชันที่ตั้งค่าแบบไม่เข้ารหัส หรือไม่ได้ระบุว่าเป็นข้อมูลละเอียดอ่อน

      3. รูปแบบการแพร่กระจายและการโจมตี
        เป็นการโจมตีแบบห่วงโซ่อุปทาน (Supply Chain Attack) โดยพุ่งเป้าไปที่จุดอ่อนของซอฟต์แวร์บุคคลที่สาม (Context.ai) ผู้โจมตีใช้มัลแวร์ Lumma Stealer ซึ่งมักแฝงมากับซอฟต์แวร์เถื่อนหรือไฟล์หลอกดาวน์โหลดออนไลน์ เพื่อขโมยสิทธิ์การเข้าถึงจากเครื่องพนักงาน

      4. แนวทางการป้องกัน
        4.1 จำกัดสิทธิ์ ตรวจสอบและจำกัดสิทธิ์ของแอปพลิเคชันบุคคลที่สามที่เชื่อมต่อกับบัญชีองค์กรอย่างเคร่งครัด
        4.2 บังคับใช้ MFA ใช้การยืนยันตัวตนหลายปัจจัย โดยเน้น Hardware Security Key เพื่อป้องกันการถูกขโมย Session Cookies
        4.3 เข้ารหัสข้อมูลสำคัญ จัดเก็บความลับ เช่น API Keys หรือรหัสผ่าน ไว้ในรูปแบบ "Sensitive/Secret Environment Variables" เพื่อให้ระบบเข้ารหัสข้อมูลขั้นสูง
        4.4 รักษาความปลอดภัยอุปกรณ์ (Endpoint) ติดตั้งและอัปเดตระบบป้องกัน (EDR/Antivirus) บนเครื่องพนักงาน และหลีกเลี่ยงการใช้งานซอฟต์แวร์เถื่อน
        แพลตฟอร์ม Nextjs v4.png
        #CyberSecurity #ThaiCERT #LummaStealer #DataBreach #SupplyChainAttack #Infosec #ITAdmin

      🔗 แหล่งอ้างอิง
      [1] https://dg.th/ncl46w2kqz
      [2] https://dg.th/det6hsmwyb

      1 การตอบกลับ คำตอบล่าสุด ตอบ คำอ้างอิง 0
      • First post
        Last post