พบเหตุการณ์การโจมตีที่มุ่งเป้าไปยังพอร์ทัล Palo Alto Networks PAN-OS GlobalProtect โดยมี IP ที่ไม่ซ้ำกันเกือบ 24,000 รายการ ที่พยายามเข้าถึงโดยไม่ได้รับอนุญาตในช่วง 30 วันที่ผ่านมา
การโจมตีนี้ได้รับการแจ้งเตือนโดยบริษัทด้านความปลอดภัยทางไซเบอร์ GreyNoise ซึ่งแสดงให้เห็นถึงความซับซ้อนที่เพิ่มขึ้นของผู้ไม่หวังดีในการตรวจสอบการป้องกันของเครือข่ายเพื่อเตรียมการโจมตีในอนาคต
GreyNoise ตรวจพบเหตุการณ์ที่เพิ่มสูงขึ้นมาตั้งแต่วันที่ 17 มีนาคม 2025 โดยสูงสุดเกือบถึง 20,000 IP ที่ไม่ซ้ำกันต่อวัน
แม้ว่าเหตุการณ์จะลดลงภายในวันที่ 26 มีนาคม แต่ก็ยังแสดงให้เห็นถึงรูปแบบที่สอดคล้องกัน โดยส่วนใหญ่ของ IP ที่ถูกตรวจสอบมีลักษณะเป็น Suspicious (23,800) และ Outright Malicious (154)
Bob Rudis รองประธานฝ่าย Data Science ของ GreyNoise ระบุว่า การโจมตีครั้งนี้สอดคล้องกับแนวโน้มในอดีตที่มักจะเกิดขึ้นหลังจากการค้นพบช่องโหว่ใหม่ ๆ
"ในช่วง 18-24 เดือนที่ผ่านมา เราได้พบการโจมตีที่มุ่งเป้าไปยังช่องโหว่เก่า ๆ ซึ่งมักจะตามมาด้วยการค้นพบช่องโหว่ใหม่ ๆ ภายในไม่กี่สัปดาห์"
องค์กรที่ใช้ผลิตภัณฑ์ของ Palo Alto Networks ถูกแนะนำให้เสริมความปลอดภัยในพอร์ทัลการเข้าสู่ระบบของตนทันที เนื่องจากผู้ไม่หวังดีอาจกำลังเตรียมการโจมตีในอนาคต
ข้อสังเกตที่สำคัญ
GreyNoise พบหลายปัจจัยที่สำคัญในการพยายามโจมตีนี้
การวิเคราะห์แหล่งที่มา และประเทศปลายทาง
- ประเทศต้นทาง : ส่วนใหญ่ของการโจมตีมาจากสหรัฐอเมริกา (16,249) และแคนาดา (5,823) โดยมีเหตุการณ์เพิ่มเติมมาจากฟินแลนด์, เนเธอร์แลนด์ และรัสเซีย
- ประเทศปลายทาง : ส่วนใหญ่เป้าหมายคือระบบในสหรัฐอเมริกา (23,768) ตามด้วยสหราชอาณาจักร, ไอร์แลนด์, รัสเซีย และสิงคโปร์
เหตุการณ์ทั่วโลกนี้แสดงให้เห็นถึงการดำเนินการที่ประสานกันในหลายภูมิภาค
ผู้โจมตีที่มีส่วนร่วมหลัก และเครื่องมือที่ใช้
ผู้โจมตีที่มีส่วนร่วมหลักสามารถติดตามกลับได้ โดยมีการรับส่งข้อมูลไปยัง 3xK Tech GmbH ซึ่งรับผิดชอบ 20,010 IP ภายใต้ ASN200373
ผู้ที่มีส่วนร่วมอื่น ๆ ได้แก่ PureVoltage Hosting Inc., Fast Servers Pty Ltd. และ Oy Crea Nova Hosting Solution Ltd.
มีการตรวจพบ JA4h hashes สามรายการที่เกี่ยวข้องกับเครื่องมือสแกนการเข้าสู่ระบบ
- po11nn11enus_967778c7bec7_000000000000
- po11nn09enus_fb8b2e7e6287_000000000000
- po11nn060000_c4f66731b00d_000000000000
Hashes เหล่านี้แสดงให้เห็นถึงการวางแผน และการดำเนินการที่เป็นระบบในการโจมตีพอร์ทัลโดยใช้เครื่องมือเชื่อมต่อเฉพาะ
เหตุการณ์นี้มีความคล้ายคลึงกับแคมเปญในปี 2024 ที่มุ่งเป้าไปที่อุปกรณ์ Perimeter ตามที่รายงานโดย Cisco Talos
แม้ว่าวิธีการจะต่างกัน แต่ทั้งสองเหตุการณ์นี้แสดงให้เห็นถึงความจำเป็นที่องค์กรต้องตรวจสอบ และป้องกันอุปกรณ์ของตน
คำแนะนำสำหรับองค์กร
ผู้เชี่ยวชาญได้แนะนำให้องค์กรดำเนินการอย่างรวดเร็ว
- ตรวจสอบ Log การเข้าถึงในเดือนมีนาคม : ตรวจสอบพฤติกรรมที่อาจเป็นการเข้าถึงในลักษณะที่ผิดปกติ
- ดำเนินการค้นหาภัยคุกคาม : วิเคราะห์ระบบเพื่อหาการโจมตี หรือกระบวนการที่น่าสงสัย
- Block IP ที่เป็นอันตราย : ใช้ข้อมูลข่าวสารที่มีประสิทธิภาพ เพื่อลดความเสี่ยง
จากการทดสอบช่องโหว่ที่เกิดขึ้น การเสริมความแข็งแกร่งของการป้องกันพอร์ทัล Palo Alto Networks เป็นสิ่งสำคัญในการลดความเสี่ยงของการพยายามโจมตีในอนาคต
การเพิ่มขึ้นของการโจมตีดังกล่าวเป็นการเตือนถึงความสำคัญของมาตรการความปลอดภัยทางไซเบอร์ที่มีต่อภัยคุกคามที่กำลังพัฒนาอย่างต่อเนื่อง
ที่มา : gbhackers.com
You must be logged in to post a comment.