Cyble Honeypot Sensors ตรวจพบการโจมตีที่มุ่งเป้าหมายไปที่ D-Link, Cisco, QNAP และ Linux

Cyble ตรวจพบการโจมตีหลายครั้ง ไม่ว่าจะเป็นการโจมตีโดยใช้ช่องโหว่ต่าง ๆ, Malware Intrusions, แคมเปญฟิชชิ่ง และการโจมตีแบบ brute-force ผ่านเครือข่าย Honeypot sensors เมื่อสัปดาห์ที่ผ่านมา

ในสัปดาห์ระหว่างวันที่ 25 กันยายน - 1 ตุลาคม นักวิจัยของ Cyble ได้ระบุการโจมตีโดยใช้ช่องโหว่ใหม่ ๆ ซึ่งรวมถึงการโจมตีผลิตภัณฑ์เครือข่าย และเราเตอร์หลายรายการ, การตรวจพบที่อยู่อีเมลสแปมใหม่กว่า 300 รายการ และการโจมตีแบบ brute-force นับพันครั้ง

การโจมตีโดยใช้ประโยชน์จากช่องโหว่

Cyble sensors ตรวจพบช่องโหว่ล่าสุดหลายรายการที่กำลังถูกใช้ในการโจมตีอย่างต่อเนื่อง รวมถึงช่องโหว่เก่าจำนวนหนึ่งที่ยังคงถูกใช้โจมตีอยู่

Cyble sensors ตรวจพบการโจมตีที่มุ่งเป้าหมายไปที่ Progress Telerik UI ซึ่งมีช่องโหว่ 4 รายการที่ถูกรายงานเมื่อเร็ว ๆ นี้ เป็นช่องโหว่ที่ทำให้เกิด command injection และเรียกใช้โค่้ดอันตราย ได้แก่ CVE-2024-8316, CVE-2024-7679, CVE-2024-7576 และ CVE-2024-7575

ในส่วนของเราเตอร์ที่หมดอายุการใช้งานจาก D-Link (DIR-859 1.06B01) ก็กำลังถูกโจมตีโดยใช้ช่องโหว่ path traversal ที่มีความรุนแรงระดับ 9.8 (CVE-2024-0769) โดยสามารถถูกโจมตีจากระยะไกลได้ ผู้ใช้งานจึงถูกแนะนำให้เปลี่ยนอุปกรณ์เป็นเวอร์ชันใหม่ นอกจากนี้ CISA ยังได้เพิ่มเราเตอร์ D-Link อีกรุ่นคือ DIR-820 ลงในรายการช่องโหว่ที่กำลังถูกใช้ในการโจมตี (Known Exploited Vulnerabilities) ในสัปดาห์นี้

Cyble sensors ตรวจพบการโจมตีที่มุ่งเป้าไปที่เฟิร์มแวร์ QNAP QTS ซึ่งมีช่องโหว่ Command Injection หลายรายการที่สามารถถูกใช้ในการโจมตีได้ ซึ่งทำให้สามารถเรียกใช้คำสั่งที่เป็นอันตรายจากระยะไกลบนอุปกรณ์ที่ได้รับผลกระทบ QNAP ได้ออกคำแนะนำด้านความปลอดภัยเกี่ยวกับช่องโหว่นี้เมื่อต้นปีที่ผ่านมา

Cyble sensors ตรวจพบผู้โจมตีที่สแกนหา URL “/CSCOE/logon.html” ซึ่งเกี่ยวข้องกับหน้าล็อกอินของ Cisco Adaptive Security Appliance (ASA) WebVPN โดย URL นี้ใช้สำหรับการเข้าถึงหน้าล็อกอินของบริการ WebVPN ซึ่งช่วยให้ผู้ใช้งานจากระยะไกลสามารถเข้าถึงทรัพยากรเครือข่ายภายในได้อย่างปลอดภัย นอกจากนี้ยังพบว่ามีช่องโหว่หลายรายการ เช่น cross-site scripting, path traversal และ HTTP response splitting โดยช่องโหว่เหล่านี้อาจทำให้ผู้โจมตีสามารถรันโค้ดที่เป็นอันตราย, ขโมยข้อมูลที่สำคัญ หรือทำให้เกิดการโจมตีแบบ denial of service ได้

ช่องโหว่ระดับ Critical ใน PHP (CVE-2024-4577), GeoServer (CVE-2024-36401) และ AVTECH IP cameras (CVE-2024-7029) ยังคงถูกใช้ในการโจมตีอย่างต่อเนื่องโดยกลุ่มผู้ไม่หวังดี

ตรวจพบมัลแวร์บนระบบปฏิบัติการ Linux

Cyble ยังได้ระบุการโจมตีบน Linux หลายรายการ รวมถึง CoinMiner Linux Trojan ซึ่งเข้ามาในระบบในรูปแบบไฟล์ที่ถูก Drop โดยมัลแวร์อื่น หรือไฟล์ที่ผู้ใช้งานดาวน์โหลดโดยไม่รู้ตัวเมื่อเข้าเยี่ยมชมเว็บไซต์ที่เป็นอันตราย รวมถึงการโจมตี Linux IRCBot ซึ่งใช้การเชื่อมต่อ IRC เป็น backdoor ทำให้ผู้โจมตีสามารถดำเนินการต่าง ๆ บนระบบที่ถูกโจมตีได้ ทำให้ระบบที่ได้รับผลกระทบหลายแห่งถูกใช้เป็น botnet ที่ถูกควบคุมโดย IRC

กลุ่มผู้ไม่หวังดีได้มีเทคนิคใหม่ ๆ ในการใช้งานมัลแวร์บน Linux โดยในช่วงต้นปีที่ผ่านมาพบว่า CoinMiner ถูกพบในแพ็กเกจ PyPI (Python Package Index)

ตรวจพบแคมเปญฟิชชิ่งใหม่

Cyble ตรวจพบที่อยู่อีเมลฟิชชิ่งใหม่ 364 รายการในสัปดาห์นี้

ตรวจพบการโจมตีแบบ Brute-Force

จากการตรวจพบการโจมตีแบบ brute-force นับพันครั้งโดย Cyble scanners ในสัปดาห์นี้ มีพอร์ต, เป้าหมาย และเทคนิคหลายรายการที่ควรให้ความสนใจเป็นพิเศษ

5 ประเทศที่ถูกโจมตีเป็นอันดับต้น ๆ Cyble พบว่าการโจมตีมาจากประเทศรัสเซียมุ่งเป้าไปที่พอร์ต 3389 (64%), 5900 (30%), 445 (4%), 3306 (2%), และ 1143 (1%) ในขณะที่การโจมตีที่มาจากประเทศเนเธอร์แลนด์มุ่งเป้าไปที่พอร์ต 5900 (80%), 3389 (8%), 22 (1%), และ 81 (1%) ในส่วนประเทศฝรั่งเศส, จีน และบัลแกเรีย มุ่งเป้าไปที่พอร์ต 1433, 5900 และ 445 เป็นหลัก

แนะนำให้วิเคราะห์ความปลอดภัย โดยเพิ่มการบล็อกการเชื่อมต่อจากภายนอกสำหรับพอร์ตที่ถูกใช้ในการโจมตี (เช่น 22, 3389, 443, 445, 5900 และ 3306)

การโจมตีส่วนใหญ่ (88%) มาจากผู้โจมตีที่มีชื่อเสียง หรือเป็นที่รู้จักอยู่แล้ว ส่วนที่เหลือจะเป็นบอท และโปรแกรมรวบรวมข้อมูล (7%) และเครื่องมือ mass scanners (4%)

ชื่อผู้ใช้ และรหัสผ่านที่ใช้บ่อยที่สุดในการโจมตีแบบ brute-force แสดงไว้ในรูปด้านล่าง การโจมตีแบบ brute-force ส่วนใหญ่มุ่งเป้าไปที่ซอฟต์แวร์อัตโนมัติด้าน IT และเซิร์ฟเวอร์ เช่น 3comcso, elasticsearch, และ hadoop รวมถึงการโจมตีฐานข้อมูล เช่น “mysql” และ “Postgres”

ชุดชื่อผู้ใช้/รหัสผ่านที่พบบ่อยที่สุด ได้แก่ “sa”, “root”, “admin”, “password”, “123456” เป็นต้น ดังนั้นจึงควรตั้งค่ารหัสผ่านให้รัดกุมสำหรับเซิร์ฟเวอร์ และอุปกรณ์

คำแนะนำ

  • Block Hash ที่เป็นเป้าหมาย, URLs และข้อมูลอีเมลในระบบรักษาความปลอดภัย
  • แพตช์ช่องโหว่ที่ถูกเปิดเผยออกสู่สาธารณะทั้งหมด และติดตามการแจ้งเตือน Suricata ที่สำคัญในเครือข่ายภายในอย่างสม่ำเสมอ
  • ตรวจสอบ ASNs และ IP ของผู้โจมตีอย่างต่อเนื่อง
  • Block IP ที่ใช้ในการโจมตีแบบ Brute Force และพอร์ตที่ถูกโจมตีที่ระบุไว้
  • รีเซ็ตชื่อผู้ใช้ และรหัสผ่านเริ่มต้นทันที เพื่อลดความเสี่ยงจากการโจมตีแบบ brute-force และบังคับให้มีการเปลี่ยนรหัสผ่านเป็นระยะ
  • สำหรับเซิร์ฟเวอร์ ให้ตั้งรหัสผ่านที่รัดกุม และยากต่อการคาดเดา

ที่มา : cyble.com