นักวิจัยด้านความปลอดภัยไซเบอร์ เปิดเผยรายละเอียดของพฤติกรรมการสแกนบน Cloud ซึ่งมุ่งเป้าไปที่ "จุดเสี่ยง" ที่แตกต่างกัน 75 จุดเมื่อต้นเดือนนี้
การดำเนินการดังกล่าว ซึ่งถูก GreyNoise สังเกตพบเมื่อวันที่ 8 พฤษภาคม 2025 เกี่ยวข้องกับ IP Address ที่เป็นอันตรายมากถึง 251 รายการ ซึ่งทั้งหมดอยู่ในญี่ปุ่น และโฮสต์โดย Amazon
GreyNoise ระบุว่า “IP Address เหล่านี้มีพฤติกรรมที่แตกต่างกัน 75 อย่าง รวมถึงการ Exploit CVE, การค้นหา Misconfiguration และพฤติกรรมการ Scan ช่องโหว่ โดย IP ทั้งหมดไม่ถูกใช้ในการดำเนินการอื่น ๆ มาทั้งก่อน และหลังปฏิบัติการดังกล่าว ซึ่งแสดงให้เห็นถึงการเช่า Infrastructure แบบชั่วคราวเพื่อปฏิบัติการเพียงครั้งเดียว”
ความพยายามในการสแกนถูกพบว่ามุ่งเป้าไปที่เทคโนโลยีหลากหลาย ตั้งแต่ Adobe ColdFusion, Apache Struts, Apache Tomcat, Drupal, Elasticsearch และ Oracle WebLogic เป็นต้น
การปฏิบัติการแบบ Opportunistic นี้ครอบคลุมตั้งแต่ความพยายาม Exploit CVE ที่เป็นที่รู้จัก ไปจนถึงการค้นหา Misconfiguration และจุดอ่อนอื่น ๆ ในระบบเว็บไซต์ แสดงให้เห็นว่า Threat Actors กำลังมองหาระบบที่มีช่องโหว่แบบไม่เลือกเป้าหมาย
- Adobe ColdFusion — CVE-2018-15961 (Remote Code Execution)
- Apache Struts — CVE-2017-5638 (OGNL Injection)
- Atlassian Confluence — CVE-2022-26134 (OGNL Injection)
- Bash — CVE-2014-6271 (Shellshock)
- Elasticsearch — CVE-2015-1427 (Groovy Sandbox Bypass และ Remote Code Execution)
- CGI Script Scanning
- Environment Variable Exposure
- Git Config Crawlers
- Shell Upload Checks
- WordPress Author Checks
ประเด็นที่น่าสนใจคือการสแกนนี้เกิดขึ้นเพียงวันที่ 8 พฤษภาคม 2025 เท่านั้น โดยไม่พบความเปลี่ยนแปลงของปฏิบัติการก่อน หรือหลังวันดังกล่าว
GreyNoise ระบุว่า มีการสแกน IP Address 295 รายการสำหรับ CVE-2018-15961, 265 IP สำหรับ Apache Struts และ 260 IP สำหรับ CVE-2015-1427 ในจำนวนนั้น 262 IP ซ้อนทับกันระหว่าง ColdFusion และ Struts และ 251 IP ซ้อนทับกันในสแกนช่องโหว่ทั้งสามรายการ
GreyNoise ระบุว่า “ระดับการซ้อนทับนี้แสดงให้เห็นถึงกลุ่มผู้โจมตีรายเดียว หรือ Toolset เดียวกันที่ถูก Deploy บน IP Address ชั่วคราวหลายรายการ ซึ่งเป็น Pattern ที่พบได้บ่อยขึ้นในการสแกนแบบ Opportunistic”
เพื่อ Mitigate ปฏิบัติการดังกล่าว องค์กรอาจจำเป็นต้อง Block IP Address ที่เป็นอันตรายทันที แม้ว่าการโจมตีที่ตามมาภายหลังการสแกนอาจจะมาจากโครงสร้างพื้นฐานที่แตกต่างกันก็ตาม
ที่มา : thehackernews
You must be logged in to post a comment.