นักวิจัยด้านความปลอดภัยทางไซเบอร์เปิดเผยถึงการเพิ่มขึ้นของ "การสแกนจำนวนมาก, การเดารหัสผ่าน (Brute-force) และการพยายามโจมตีช่องโหว่" จาก IP Address ที่เชื่อมโยงกับผู้ให้บริการโฮสติ้งสัญชาติรัสเซียชื่อว่า Proton66 ที่มักเพิกเฉย หรือไม่สนใจการร้องขอข้อมูลจากเจ้าหน้าที่บังคับใช้กฎหมาย
การดำเนินการดังกล่าวถูกตรวจพบตั้งแต่วันที่ 8 มกราคม 2025 โดยมีเป้าหมายเป็นองค์กรต่าง ๆ ทั่วโลก ตามรายงานวิเคราะห์ที่เผยแพร่โดย Trustwave SpiderLabs เมื่อสัปดาห์ที่ผ่านมา
นักวิจัยด้านความปลอดภัย Pawel Knapczyk และ Dawid Nesterowicz ระบุว่า "Net blocks 45.135.232.0/24 และ 45.140.17.0/24 มีการใช้งานสูงเป็นพิเศษในด้านการสแกนแบบกลุ่ม และการพยายามเดารหัสผ่าน (Brute-force) โดย IP Address ที่ต้องสงสัยหลายรายการไม่เคยมีประวัติเกี่ยวข้องกับการดำเนินการที่เป็นอันตราย หรือไม่ได้ใช้งานมานานกว่า 2 ปี"
Proton66 จากรัสเซียนี้ ถูกประเมินว่ามีความเชื่อมโยงกับระบบอัตโนมัติอีกระบบหนึ่งที่ชื่อ Prospero โดยเมื่อปีที่แล้ว บริษัทด้านความปลอดภัยของฝรั่งเศสชื่อ Intrinsec ได้เปิดเผยความเชื่อมโยงของระบบดังกล่าวกับบริการ bulletproof ที่ถูกโฆษณาอยู่ในฟอรัมอาชญากรรมไซเบอร์ของรัสเซียภายใต้ชื่อ Securehost และ BEARHOST
มัลแวร์หลายกลุ่ม รวมถึง GootLoader และ SpyNote ได้ใช้บริการของ Proton66 ในการโฮสต์เซิร์ฟเวอร์ Command-and-Control (C2) และเพจฟิชชิ่ง เมื่อเดือนกุมภาพันธ์ที่ผ่านมา Brian Krebs นักข่าวด้านความปลอดภัยไซเบอร์เปิดเผยว่า Prospero ได้เริ่มกำหนดเส้นทางการดำเนินงานผ่านเครือข่ายที่ดำเนินการโดย Kaspersky Lab ซึ่งเป็นผู้ให้บริการแอนตี้ไวรัสของรัสเซียในกรุงมอสโกว
อย่างไรก็ตาม Kaspersky ปฏิเสธว่าไม่ได้มีความเกี่ยวข้องกับ Prospero และอธิบายว่า “การกำหนดเส้นทางผ่านเครือข่ายของ Kaspersky ไม่ได้หมายความว่าเป็นการใช้บริการของบริษัทโดยตรง เนื่องจากเส้นทางของระบบอัตโนมัติ (AS) ของ Kaspersky อาจปรากฏเป็น prefix ทางเทคนิคในเครือข่ายของผู้ให้บริการโทรคมนาคมที่บริษัททำงานร่วมด้วย และให้บริการ DDoS Protection อยู่”
การวิเคราะห์ล่าสุดของ Trustwave พบว่า มี requests ที่เป็นอันตรายซึ่งมีต้นทางมาจากบล็อกเครือข่าย Proton66 (193.143.1[.]65) ในเดือนกุมภาพันธ์ 2025 ซึ่งพยายามโจมตีช่องโหว่ระดับ Critical ล่าสุดบางรายการ
- CVE-2025-0108 – ช่องโหว่ Authentication Bypass ใน Palo Alto Networks PAN-OS
- CVE-2024-41713 – ช่องโหว่ input validation ที่ไม่เหมาะสมใน NuPoint Unified Messaging (NPM) component ของ Mitel MiCollab
- CVE-2024-10914 – ช่องโหว่ Command Injection บนอุปกรณ์ D-Link NAS
- CVE-2024-55591 และ CVE-2025-24472 – ช่องโหว่ Authentication Bypass ในระบบปฏิบัติการ Fortinet FortiOS
มีข้อสังเกตว่า การใช้ช่องโหว่สองรายการใน Fortinet FortiOS ถูกระบุว่าเป็นฝีมือของกลุ่ม Mora_001 ซึ่งถูกพบว่ามีการใช้งานแรนซัมแวร์สายพันธุ์ใหม่ที่ชื่อว่า SuperBlack
บริษัทด้านความปลอดภัยไซเบอร์ยังระบุเพิ่มเติมว่า ได้ตรวจพบแคมเปญมัลแวร์หลายรายการที่เชื่อมโยงกับ Proton66 ซึ่งมีเป้าหมายในการแพร่กระจายมัลแวร์ตระกูลต่าง ๆ เช่น XWorm, StrelaStealer และแรนซัมแวร์ชื่อว่า WeaXor
อีกหนึ่งพฤติกรรมที่น่าสนใจคือ การใช้งานเว็บไซต์ WordPress ที่ถูกโจมตี ซึ่งเชื่อมโยงกับ IP address ของ Proton66 "91.212.166[.]21" เพื่อเปลี่ยนเส้นทางผู้ใช้อุปกรณ์ Android ไปยังหน้าเว็บฟิชชิ่งที่เลียนแบบหน้ารายละเอียดแอปใน Google Play เพื่อหลอกให้ผู้ใช้ดาวน์โหลดไฟล์ APK ที่เป็นอันตราย
การเปลี่ยนเส้นทางนี้เกิดขึ้นผ่าน JavaScript ที่ฝังโค้ดอันตราย ซึ่งโฮสต์อยู่บน IP address ของ Proton66 จากการวิเคราะห์ชื่อโดเมนปลอมของ Google Play พบว่าแคมเปญนี้ถูกออกแบบมาเพื่อเจาะกลุ่มเป้าหมายที่ใช้ภาษาฝรั่งเศส, สเปน และกรีก
นักวิจัยอธิบายว่า “สคริปต์สำหรับเปลี่ยนเส้นทางนั้นถูกทำให้ซับซ้อน และมีการตรวจสอบหลายขั้นตอนกับเหยื่อ เช่น การแยกโปรแกรมค้นหา และผู้ใช้ VPN หรือ proxy ออกไป โดยระบบจะดึง IP ของผู้ใช้ผ่านการ query ไปยัง ipify.org และตรวจสอบว่ามีการใช้ VPN บน proxy อยู่หรือไม่ด้วยการ query ต่อไปยัง ipinfo.io และสุดท้ายจะเกิดการเปลี่ยนเส้นทางก็ต่อเมื่อพบเบราว์เซอร์ที่ใช้งานเป็นของระบบ Android เท่านั้น”
นอกจากนี้ ยังพบว่ามีการโฮสต์ไฟล์ ZIP ซึ่งนำไปสู่การติดตั้งมัลแวร์ XWorm โดยมีเป้าหมายเจาะจงไปที่ ผู้ใช้ภาษาเกาหลีผ่านวิธี social engineering
ขั้นตอนแรกของการโจมตีคือไฟล์ Windows Shortcut (LNK) ที่เรียกใช้คำสั่ง PowerShell ซึ่งจะเรียกใช้ Visual Basic Script และสคริปต์นี้จะดาวน์โหลดไฟล์ .NET DLL ที่ถูกเข้ารหัสเป็น Base64 จาก IP เดียวกัน โดย DLL จะทำหน้าที่ดาวน์โหลด และเรียกใช้ไฟล์ XWorm binary
โครงสร้างพื้นฐานที่เชื่อมโยงกับ Proton66 ยังถูกใช้ในการโจมตีผ่านแคมเปญอีเมลฟิชชิ่ง โดยมุ่งเป้าไปที่ผู้ใช้ภาษาเยอรมันด้วยมัลแวร์ StrelaStealer ซึ่งเป็นมัลแวร์ขโมยข้อมูลที่มีการเชื่อมต่อกับ IP address 193.143.1[.]205 ซึ่งทำหน้าที่เป็นเซิร์ฟเวอร์ Command-and-Control (C2)
สุดท้าย ยังพบหลักฐานของแรนซัมแวร์ WeaXor ซึ่งเป็นเวอร์ชันที่ถูกปรับปรุงใหม่ของ Mallox ที่มีการเชื่อมต่อกับเซิร์ฟเวอร์ Command-and-Control (C2) ภายในเครือข่ายของ Proton66 ที่ IP "193.143.1[.]139"
องค์กรต่าง ๆ ควรดำเนินการบล็อก Classless Inter-Domain Routing (CIDR) ทั้งหมดที่เกี่ยวข้องกับ Proton66 รวมถึง Chang Way Technologies ซึ่งเป็นผู้ให้บริการจากฮ่องกงที่มีความเชื่อมโยงกัน เพื่อช่วยลดความเสี่ยงจากภัยคุกคามที่อาจเกิดขึ้น
ที่มา : thehackernews
You must be logged in to post a comment.