กิจกรรมการสแกนซึ่งมุ่งเป้าไปยังหน้า Portal สำหรับล็อกอิน GlobalProtect VPN ของ Palo Alto Networks ได้เพิ่มขึ้นถึง 40 เท่าภายในระยะเวลา 24 ชั่วโมง ซึ่งเป็นสัญญาณที่แสดงให้เห็นว่าเป็นแคมเปญการโจมตีที่มีการประสานงานกันอย่างเป็นระบบ
GreyNoise บริษัทผู้ให้บริการข้อมูล threat intelligence แบบ Real-time รายงานว่า กิจกรรมดังกล่าวได้เริ่มไต่ระดับสูงขึ้นเมื่อวันที่ 14 พฤศจิกายน และพุ่งแตะระดับสูงสุดในรอบ 90 วันภายในระยะเวลาเพียงหนึ่งสัปดาห์
ในประกาศดังกล่าวระบุว่า "GreyNoise ตรวจพบการยกระดับขึ้นอย่างมีนัยสำคัญของกิจกรรมที่เป็นอันตราย ซึ่งมุ่งเป้าไปยังหน้า Portal ของ Palo Alto Networks GlobalProtect"
"โดยเริ่มตั้งแต่วันที่ 14 พฤศจิกายน 2025 กิจกรรมดังกล่าวได้เพิ่มปริมาณสูงขึ้นอย่างรวดเร็ว จนพุ่งสูงขึ้นถึง 40 เท่าภายในระยะเวลา 24 ชั่วโมง และทำสถิติสูงสุดครั้งใหม่ในรอบ 90 วัน"
เมื่อช่วงต้นเดือนตุลาคม GreyNoise เคยรายงานว่าพบจำนวน IP address ที่เข้ามาสแกนโปรไฟล์ของ Palo Alto Networks GlobalProtect และ PAN-OS เพิ่มขึ้นถึง 500% โดย 91% ของจำนวนดังกล่าวถูกจัดประเภทว่าเป็น 'suspicious' และอีก 7% ระบุว่าเป็น 'clearly malicious'
ก่อนหน้านี้ในเดือนเมษายน 2025 GreyNoise ได้รายงานถึงกิจกรรมการสแกนที่พุ่งสูงขึ้นอีกระลอก โดยมีเป้าหมายที่หน้า Portal สำหรับล็อกอินของ Palo Alto Networks GlobalProtect ซึ่งเกี่ยวข้องกับ IP address ถึง 24,000 IP โดยส่วนใหญ่ถูกจัดประเภทว่าเป็น 'suspicious' และมี 154 IP ที่ระบุว่าเป็น 'malicious'
GreyNoise เชื่อว่ากิจกรรมล่าสุดนี้เชื่อมโยงกับแคมเปญที่เกี่ยวข้องกันก่อนหน้านี้ โดยพิจารณาจากข้อมูล Fingerprint แบบ TCP/JA4t ที่ปรากฏซ้ำ, การนำหมายเลข ASN (Autonomous System Numbers) เดิมกลับมาใช้ใหม่ และช่วงเวลาของการพุ่งขึ้นของกิจกรรมที่สอดคล้องกันในแต่ละแคมเปญ
ASN หลักที่ถูกใช้ในการโจมตีเหล่านี้ระบุได้ว่าเป็น AS200373 (3xK Tech GmbH) โดย 62% ของ IP มีที่ตั้งอยู่ในประเทศเยอรมนี และ 15% อยู่ในแคนาดา ส่วน ASN ที่ 2 ที่เกี่ยวข้องกับกิจกรรมดังกล่าว คือ AS208885 (Noyobzoda Faridduni Saidilhom)
การมุ่งเป้าโจมตีการล็อกอิน VPN
ระหว่างวันที่ 14 ถึง 19 พฤศจิกายน GreyNoise ตรวจพบ session การเชื่อมต่อถึง 2.3 ล้านครั้ง ที่พยายามเข้าถึง URI /global-protect/login.esp บนระบบ Palo Alto PAN-OS และ GlobalProtect
URI ดังกล่าวคือ Web Endpoint ที่เปิดใช้งานอยู่บน Firewall ของ Palo Alto Networks ที่รันระบบ GlobalProtect ซึ่งเป็นหน้าเพจสำหรับให้ผู้ใช้งาน VPN ทำการยืนยันตัวตน (Authenticate) เพื่อเข้าสู่ระบบ
ความพยายามในการล็อกอินเหล่านี้มุ่งเป้าหลักไปยังประเทศ สหรัฐอเมริกา, เม็กซิโก และปากีสถาน โดยมีปริมาณการโจมตีในระดับที่ใกล้เคียงกันในทั้ง 3 ประเทศ
ก่อนหน้านี้ GreyNoise ได้เน้นย้ำว่า ได้บล็อก และเฝ้าระวังกิจกรรมพวกนี้อย่างจริงจัง โดยให้ถือว่าเป็น 'การหยั่งเชิงเพื่อเตรียมโจมตี' (Malicious Probes) ไม่ใช่มองข้ามว่าเป็นเพียงแค่การโจมตีที่ไม่สำเร็จ ที่มุ่งเป้าไปยังช่องโหว่เก่าที่ได้รับการแก้ไขไปนานแล้ว
ดังที่สถิติของบริษัทได้แสดงให้เห็น ยอดการสแกนที่พุ่งสูงขึ้นเหล่านี้มักจะเกิดขึ้นก่อนที่จะมีการเปิดเผยช่องโหว่ความปลอดภัยใหม่ ๆ (Zero-day) ถึง 80% ของกรณีทั้งหมด โดยความเชื่อมโยงดังกล่าวยิ่งมีความชัดเจน และรุนแรงมากยิ่งขึ้นสำหรับผลิตภัณฑ์ของ Palo Alto Networks
สำหรับกิจกรรมที่เป็นอันตรายต่อ Palo Alto Networks ในปีนี้ พบว่ามีกรณีการใช้ช่องโหว่เพื่อโจมตีจริงอยู่ 2 กรณีในเดือนกุมภาพันธ์ ได้แก่ CVE-2025-0108 ซึ่งในเวลาต่อมาถูกนำไปใช้โจมตีร่วมกับ CVE-2025-0111 และ CVE-2024-9474 ในลักษณะ Exploit Chain
ทาง Palo Alto Networks ได้ให้ข้อมูลกับ BleepingComputer โดยระบุว่า บริษัทได้ทำการสอบสวนกิจกรรมการสแกนที่ GreyNoise รายงาน และไม่พบหลักฐานของการถูกโจมตีแต่อย่างใด
บริษัทยังระบุอีกว่า "Palo Alto Networks ได้รับการปกป้องโดยแพลตฟอร์ม Cortex XSIAM ของเราเอง ซึ่งสามารถป้องกันการโจมตีใหม่ ๆ จำนวน 1.5 ล้านครั้งต่อวัน และลดเหตุการณ์ด้านความปลอดภัยจำนวน 3.6 หมื่นล้านเหตุการณ์ ให้เหลือเพียงภัยคุกคามที่สำคัญที่สุดโดยอัตโนมัติ เพื่อให้มั่นใจว่าโครงสร้างพื้นฐานยังคงปลอดภัย"
ที่มา : bleepingcomputer
You must be logged in to post a comment.