GreyNoise บริษัทข่าวกรองด้านภัยคุกคามทางไซเบอร์ ได้ตรวจพบการสแกนระบบ Progress MOVEit Transfer ที่เพิ่มขึ้นอย่างมีนัยสำคัญ ตั้งแต่วันที่ 27 พฤษภาคม 2025 โดยคาดว่าแฮ็กเกอร์อาจกำลังเตรียมการโจมตีครั้งใหญ่ หรือกำลังตรวจสอบระบบที่ยังไม่ได้อัปเดตแพตช์
MOVEit Transfer เป็นโซลูชันการถ่ายโอนไฟล์ที่ได้รับความนิยม ซึ่งถูกใช้โดยธุรกิจ และหน่วยงานรัฐบาลเพื่อแลกเปลี่ยนข้อมูลที่มีความสำคัญอย่างปลอดภัย เนื่องจากระบบนี้มักจัดการกับข้อมูลที่มีมูลค่าสูง จึงกลายเป็นเป้าหมายสำคัญของกลุ่มแฮ็กเกอร์
ก่อนหน้านั้น การสแกนมีจำนวนน้อยมาก โดยทั่วไปพบไม่เกิน 10 IP ต่อวัน แต่ในวันที่ 27 พฤษภาคม จำนวน IP ที่ทำการสแกนเพิ่มขึ้นอย่างรวดเร็วเกินกว่า 100 IP ที่ไม่ซ้ำกัน และเพิ่มเป็น 319 IP ในวันที่ 28 พฤษภาคม หลังจากนั้น จำนวน IP ที่สแกนต่อวันยังคงสูงอยู่ในระดับ 200-300 IP สลับกัน GreyNoise ระบุว่านี่ถือเป็นความเปลี่ยนแปลงที่สำคัญจากพฤติกรรมปกติอย่างชัดเจน
ในช่วง 90 วันที่ผ่านมา มี IP ที่ไม่ซ้ำกันถึง 682 IP ซึ่งเกี่ยวข้องกับการดำเนินการดังกล่าว โดยในช่วง 24 ชั่วโมงที่ผ่านมา พบ IP รวมทั้งหมด 449 IP ซึ่งในจำนวนนี้มี 344 IP ที่ถูกจัดให้อยู่ในกลุ่มน่าสงสัย และ 77 IP ที่ถูกระบุว่าเป็นอันตราย
IP ส่วนใหญ่มาจากสหรัฐอเมริกา, ตามด้วยเยอรมนี, ญี่ปุ่น, สิงคโปร์, บราซิล, เนเธอร์แลนด์, เกาหลีใต้, ฮ่องกง และอินโดนีเซีย
GreyNoise พบว่ามีความพยายามโจมตีในปริมาณต่ำ เพื่อใช้ประโยชน์จากช่องโหว่สองรายการใน MOVEit Transfer (CVE-2023-34362 และ CVE-2023-36934) เมื่อวันที่ 12 มิถุนายน 2025 โดยช่องโหว่ CVE-2023-34362 เคยถูกกลุ่มแรนซัมแวร์ Cl0p ใช้ในการโจมตีครั้งใหญ่ในปี 2023 ซึ่งส่งผลกระทบต่อองค์กรมากกว่า 2,770 แห่ง
การเพิ่มขึ้นของการสแกนครั้งนี้ แสดงให้เห็นว่า MOVEit Transfer กำลังตกเป็นเป้าหมายอีกครั้ง ทำให้ผู้ใช้งานจำเป็นต้องบล็อก IP ที่น่าสงสัย อัปเดตซอฟต์แวร์ให้เป็นเวอร์ชันล่าสุด และหลีกเลี่ยงการเปิดเผยระบบผ่านอินเทอร์เน็ตอย่างเคร่งครัด
ที่มา : thehackernews
You must be logged in to post a comment.