Microsoft ระบุในวันที่ 17 พฤศจิกายน 2025 ที่ผ่านมาว่า botnet ที่ชื่อ Aisuru ได้โจมตีเครือข่าย Azure ด้วยการโจมตีแบบ DDoS ที่มีปริมาณข้อมูลสูงถึง 15.72 Tbps โดยการโจมตีดังกล่าวมีต้นทางมากกว่า 500,000 IP Address
การโจมตีนี้ใช้ UDP flood ในปริมาณที่สูงมาก ซึ่งมุ่งเป้าไปที่ Public IP address ในประเทศออสเตรเลีย โดยมีปริมาณการส่งข้อมูลเกือบ 3.64 พันล้านแพ็กเก็ตต่อวินาที (bpps)
Sean Whalen ผู้จัดการอาวุโสด้านการตลาดผลิตภัณฑ์ความปลอดภัยของ Azure ระบุว่า การโจมตีนี้มีต้นกำเนิดมาจาก botnet ที่ชื่อว่า Aisuru ซึ่งเป็น botnet ในรูปแบบ IoT ระดับ Turbo Mirai ที่มักก่อให้เกิดการโจมตีแบบ DDoS ในระดับ record-breaking โดยใช้ประโยชน์จาก routers และ cameras ที่ถูกโจมตี ซึ่งส่วนใหญ่อยู่ในผู้ให้บริการ residential ISPs ในสหรัฐอเมริกา และประเทศอื่น ๆ
การโจมตีแบบ UDP ที่เกิดขึ้นเหล่านี้ มีการปลอมแปลงแหล่งที่มา และใช้ source ports แบบสุ่ม ซึ่งช่วยให้การตรวจสอบ traceback และการใช้มาตรการป้องกันของผู้ให้บริการทำได้ง่ายขึ้น
Cloudflare เคยรายงาน botnet ตัวเดียวกันนี้ กับการโจมตี DDoS ที่ทำลายสถิติในระดับ 22.2 เทระบิตต่อวินาที (Tbps) ซึ่งมีปริมาณข้อมูลสูงถึง 10.6 พันล้านแพ็กเก็ตต่อวินาที (Bpps) และผลกระทบลดลงในเดือนกันยายน 2025 การโจมตีกินเวลาเพียง 40 วินาที แต่มีขนาดความรุนแรงเทียบเท่ากับการสตรีมวิดีโอ 4K จำนวนหนึ่งล้านวิดีโอพร้อมกัน
หนึ่งสัปดาห์ก่อนหน้านี้ ฝ่ายวิจัย XLab ของบริษัท Qi'anxin Cybersecurity ของจีนได้ระบุว่า การโจมตี DDoS ในระดับ 11.5 Tbps ก็เกิดจาก Aisuru botnet เช่นกัน โดยระบุเพิ่มเติมว่าในขณะนั้น Aisuru กำลังควบคุม botnet อยู่ราว 300,000 ตัว
Botnet จะมุ่งเป้าไปที่ช่องโหว่ด้านความปลอดภัยในอุปกรณ์ต่าง ๆ เช่น IP cameras, DVRs/NVRs, Realtek chips และเราเตอร์จาก T-Mobile, Zyxel, D-Link และ Linksys โดยนักวิจัยของ XLab ระบุว่า botnet นี้ได้ขยายตัวอย่างรวดเร็วในเดือนเมษายน 2025 หลังจากที่มีการโจมตี router firmware update server ของ TotoLink และทำให้อุปกรณ์ประมาณ 100,000 เครื่องติดมัลแวร์
Brian Krebs นักข่าวจาก Infosec รายงานเมื่อต้นเดือนนี้ว่า Cloudflare ได้ลบโดเมนหลายรายการที่เชื่อมโยงกับ Aisuru botnet ออกจากการจัดอันดับ Top Domains สาธารณะของเว็บไซต์ที่มีการ requested มากที่สุด (โดยพิจารณาจากปริมาณการค้นหาของ DNS) หลังจากที่โดเมนเหล่านี้เริ่มมีปริมาณการค้นหาสูงกว่าเว็บไซต์ที่มีความน่าเชื่อถืออย่างเช่น Amazon, Microsoft และ Google
Microsoft ระบุว่า ผู้โจมตี Aisuru ตั้งใจโจมตีด้วย malicious query traffic ไปยัง DNS service ของ Cloudflare (1.1.1.1) เพื่อเพิ่มความน่าเชื่อถือของโดเมนตนเอง ในขณะเดียวกันก็พยายามทำลายความน่าเชื่อถือในการจัดอันดับ โดยทาง Matthew Prince ซีอีโอของ Cloudflare ยืนยันว่าพฤติกรรมของ botnet นี้ได้บิดเบือนระบบ ranking system และระบุเพิ่มเติมว่า Cloudflare ได้ดำเนินการปกปิด หรือซ่อนโดเมนที่ต้องสงสัยว่าเป็นอันตรายทั้งหมด เพื่อหลีกเลี่ยงเหตุการณ์ในลักษณะเดียวกันในอนาคต
Cloudflare เปิดเผยในรายงาน DDoS ไตรมาส 1 ปี 2025 เมื่อเดือนเมษายนที่ผ่านมา บริษัทได้ลดผลกระทบจากการโจมตี DDoS ลงในปีที่แล้วได้มากถึง 198% เมื่อเทียบเป็นรายไตรมาส และเพิ่มขึ้นถึง 358% เมื่อเทียบเป็นรายปี
โดยรวมแล้วตลอดปี 2024 Cloudflare ได้บล็อกการโจมตี DDoS ที่มุ่งเป้าไปยังลูกค้าทั้งหมด 21.3 ล้านครั้ง รวมถึงการโจมตีอีก 6.6 ล้านครั้ง ที่มุ่งเป้าไปที่โครงสร้างพื้นฐานของบริษัทเองในระหว่างแคมเปญ multi-vector ที่มีระยะเวลาถึง 18 วัน
ที่มา : bleepingcomputer
You must be logged in to post a comment.