Black Hat Asia 2021

คนร้ายสแกนหา S3 ที่ตั้งค่าไม่ดีเข้าฝัง JavaScript ขโมยข้อมูล Payment พบเหยื่อกว่า 17,000 โดเมน

RiskIQ บริษัทด้าน Threat Intelligence ได้ออกรายงานพบแคมเปญของกลุ่มแฮ็กเกอร์ที่มีพฤติกรรมฝัง Script อันตรายเพื่อลอบขโมยข้อมูลบัตรเครดิต (Magecart) ที่แสกนหาเหยื่อบน S3 ที่ตั้งค่าไม่ดีเข้าไปฝัง Script อันตรายของตน โดยมีเหยื่อแล้วกว่า 17,000 โดเมนภายในระยะเวลาไม่กี่เดือน

Credit: BoBaa22/ShutterStock

ไอเดียคือคนร้ายได้อาศัยความเลินเล่อในการตั้งค่า S3 ไม่ดีพอ โดย นาย Yonathan Klijnsma หัวหน้าหน่วยวิจัยจาก RiskIQ กล่าวว่า “เมื่อคนร้ายพบ S3 ที่ตั้งค่าได้ไม่ดีแล้ว พวกเขาจะสแกนหาไฟล์ JavaScript (.js) และดาวน์โหลดมาเพื่อแก้ไขแนบท้ายไฟล์เหล่านั้นด้วยโค้ดสำหรับ Skimming จากนั้นจะเขียนทับ Script กลับไปใน Bucket” ทั้งนี้แคมเปญนี้เพิ่งจะถูกสังเกตพบในเวลาไม่กี่เดือนเท่านั้นแต่ RiskIQ เผยว่ามีเหยื่อแล้วถึง 17,000 โดเมน นอกจากนี้บางเว็บไซต์ยังติดหนึ่งในการจัดอันดับ Top 2000 ของ Alexa ด้วย

อย่างไรก็ตามผู้เชี่ยวชาญยังชี้ว่ากลุ่มคนร้ายเบื้องหลังเหตุการณ์ครั้งนี้ไม่ได้เป็นมือโปรเท่าไหร่นักเพราะเพียงอาศัย Script ที่ซื้อมาจากตลาดใต้ดินมาประกอบกับความเลินเล่อของผู้ใช้งาน S3 ถึงแม้ว่าไม่ใช่มือโปรที่เล็งเป้าหมายแบบเจาะจงแต่ก็ไม่ใช่ว่าอันตรายน้อยลงนะครับ ดังนั้นแนะนำให้ผู้ใช้งานตั้งค่า S3 ให้เหมาะสมกันด้วย

ที่มา :  https://www.zdnet.com/article/new-magecart-attacks-leverage-misconfigured-s3-buckets-to-infect-over-17k-sites/ และ  https://www.bleepingcomputer.com/news/security/over-17-000-domains-infected-with-code-that-steals-card-data/

About nattakon

จบการศึกษา ปริญญาตรีและโท สาขาวิศวกรรมคอมพิวเตอร์ KMITL เคยทำงานด้าน Engineer/Presale ดูแลผลิตภัณฑ์ด้าน Network Security และ Public Cloud ในประเทศ ปัจจุบันเป็นนักเขียน Full-time ที่ TechTalkThai

Check Also

Yip in Tsoi Webinar : Ultimate Data protection from ransomware and disaster with veeam&aws solution by yip in tsoi

Yip In Tsoi ขอเรียนเชิญไอทีและผู้สนใจทุกท่านเข้าร่วมฟังงานสัมมนาออนไลน์ "Ultimate Data protection from ransomware and disaster with veeam&aws solution by Yip In Tsoi" ซึ่งทุกท่านจะได้ศึกษาวิธีการและแนวทางการรับมือกับแรนซัมแวร์ งานจะจัดขึ้นในวันจันทร์ที่ 10 พฤษภาคม 2564 เวลา 14.00 - 15.30 น. โดยมีกำหนดการลงทะเบียนดังนี้

อัปเดตเทรนด์ด้าน Enterprise Security ล่าสุด ในงานสัมมนาออนไลน์ฟรี TTT Virtual Summit  2021: Network & Security 27-30 เมษายน 2021

อัปเดตเทรนด์ล่าสุดด้าน Enterprise Security จากเหล่าผู้เชี่ยวชาญและแบรนด์ชั้นนำ ในงานสัมมนาออนไลน์ฟรี TTT Virtual Summit  2021: Network & Security งานสัมมนาออนไลน์ครั้งใหญ่สำหรับผู้ดูแลระบบเครือข่ายและผู้ดูแลรักษาความมั่นคงปลอดภัยในธุรกิจองค์กร จัดเต็มกับประเด็นเนื้อหาทางด้าน Enterprise Security โดยเฉพาะ ในวันที่ 29-30 เมษายน 2021 นี้ เวลา 13.00น. - 16.00น. กับหัวข้อหลากหลายทางด้าน Enterprise Security ที่พลาดไม่ได้ อาทิ