สหรัฐฯ ยุติปฏิบัติการของ Bot ที่ใช้ AI เผยแพร่โฆษณาชวนเชื่อของรัสเซียบน X

หน่วยงานบังคับใช้กฎหมายระหว่างประเทศที่นำโดยกระทรวงยุติธรรมสหรัฐฯ ได้ปิดบัญชี Twitter เกือบ 1,000 บัญชีที่ควบคุมโดยกลุ่ม Bot ขนาดใหญ่ที่เผยแพร่โฆษณาชวนเชื่อของรัสเซีย รวมถึงโดเมนที่ใช้ลงทะเบียน Bot เหล่านี้

กลุ่ม Bot นี้จัดการโดยรองบรรณาธิการของสำนักข่าว Russia Today (RT) ของรัฐบาลรัสเซีย และเจ้าหน้าที่ FSB ของรัสเซีย โดยใช้ซอฟต์แวร์ AI ชื่อ Meliorator เพื่อเผยแพร่ข้อมูลเท็จไปยังผู้ใช้ Twitter ทั่วโลกตั้งแต่ปี 2022

พวกเขาใช้ Meliorator สร้างบัญชีโซเชียลมีเดียปลอมที่ดูเหมือนจริงจากหลายประเทศทั่วโลก เพื่อขยายการเผยแพร่ข้อมูลเท็จ และอิทธิพลที่เป็นอันตรายของรัสเซียบน Twitter

กลุ่ม Bot นี้ช่วยให้ RT สามารถเผยแพร่ข้อมูลได้อย่างกว้างขวาง สอดคล้องกับเป้าหมายของผู้บริหาร RT ที่ต้องการขยายการกระจายข้อมูลนอกเหนือจากการออกอากาศทางทีวีแบบดั้งเดิม

FBI ระบุว่า RT มีการใช้ Meliorator มาตั้งแต่ปี 2022 เพื่อเผยแพร่ข้อมูลเท็จไปยังหลายประเทศ รวมถึงสหรัฐฯ โปแลนด์ เยอรมนี เนเธอร์แลนด์ สเปน ยูเครน และอิสราเอล

Meliorator ถูกออกแบบมาเพื่อใช้บนเครือข่ายโซเชียลมีเดียในการสร้างตัวตนปลอมจำนวนมากที่ดูเหมือนจริง เพื่อเผยแพร่ข้อมูลเท็จ และสร้างความขัดแย้งในสังคม

ในเดือนมิถุนายน 2024 Meliorator ทำงานเฉพาะบน X (ชื่อเดิมคือ Twitter) แต่การวิเคราะห์แสดงให้เห็นว่าผู้ดำเนินการอาจขยายฟังก์ชันการทำงานไปยังเครือข่ายโซเชียลมีเดียอื่น ๆ ในอนาคต

กลุ่ม Bot นี้ลงทะเบียน Bot บน Twitter ใหม่โดยใช้เซิร์ฟเวอร์อีเมลส่วนตัวโดเมน mlrtr[.]com และ otanmail[.]com ซึ่งถูกยึดในปฏิบัติการครั้งนี้ X ยังได้ปิดบัญชีโซเชียลมีเดีย 968 บัญชีที่สามารถระบุว่าเป็นส่วนหนึ่งของกลุ่ม Bot ของ RT โดยมักอ้างว่าเป็นบุคคลในสหรัฐฯ

ผู้อำนวยการ FBI Christopher Wray ระบุว่านี่เป็นครั้งแรกในการยุติปฏิบัติการกลุ่ม Bot บนโซเชียลมีเดียที่ใช้ AI ของรัสเซีย ซึ่งมีเป้าหมายเพื่อเผยแพร่ข้อมูลเท็จต่างประเทศที่สร้างโดย AI และบั่นทอนพันธมิตรในยูเครน รวมถึงสร้างอิทธิพลต่อเรื่องราวทางภูมิรัฐศาสตร์ที่เป็นประโยชน์ต่อรัฐบาลรัสเซีย FBI และหน่วยงานพันธมิตรยังได้เผยแพร่คำแนะนำทางเทคนิคเกี่ยวกับซอฟต์แวร์ Meliorator ที่ใช้ในกลุ่ม Bot นี้

ที่มา: bleepingcomputer

พบการโจมตี Blast-RADIUS attack ที่สามารถ Bypass RADIUS Authentication ได้

พบการโจมตีในชื่อ Blast-RADIUS ที่มีความสามารถในการ Bypass การตรวจสอบสิทธิ์ใน RADIUS/UDP protocol ทำให้ Hacker สามารถเข้าถึงระบบเครือข่าย และอุปกรณ์ของเป้าหมาย ด้วยวิธีการโจมตีแบบ man-in-the-middle MD5 collision attacks

อุปกรณ์ Networks จำนวนมาก (switches, routers และ routing infrastructure) ที่ใช้ในองค์กร และระบบบนเครือข่ายองค์กร และเครือข่ายโทรคมนาคม มีการใช้ RADIUS (Remote Authentication Dial-In User Service) protocol ในการตรวจสอบการ authentication และ authorization ซึ่งบางกรณีอาจมีอุปกรณ์หลายหมื่นเครื่องที่ทำการตรวจสอบสิทธิ์ผ่าน RADIUS ในเครื่องเดียว

RADIUS protocol ใช้สำหรับการยืนยันตัวตนใน DSL และ FTTH (Fiber to the Home), 802.1X และ Wi-Fi, Wi-Fi, 2G and 3G cellular roaming, 5G DNN (Data Network Name), private APN และ VPN รวมถึงเครือข่ายโครงสร้างพื้นฐานที่สำคัญ

Blast-RADIUS คือการโจมตีโดยใช้ช่องโหว่ใน protocol (CVE-2024-3596) และ MD5 collision attack ในการโจมตี ทำให้ผู้โจมตีสามารถเข้าถึง RADIUS traffic, ควบคุมการตอบสนองของ server และเพิ่ม protocol attributes ได้ตามที่ต้องการ ทำให้ผู้โจมตีได้รับสิทธิ์ผู้ดูแลระบบบนอุปกรณ์ RADIUS ได้โดยไม่ต้อง brute forcing passwords หรือขโมยข้อมูล credentials

RADIUS protocol จะใช้ MD5 hashed ในการ requests และ responses ตรวจสอบสิทธิ์บนอุปกรณ์ โดยชุดสาธิตการโจมตีหรือ proof-of-concept exploit (PoC) ที่ยังไม่ถูกเปิดเผย จะคำนวณ MD5 chosen-prefix hash collision เพื่อปลอมแปลงการตอบสนอง "Access-Accept" เพื่อระบุ request การตรวจสอบสิทธิ์ที่ประสบความสำเร็จ จากนั้น MD5 hash ปลอมจะถูก inject เข้าสู่ระบบเครือข่าย โดยใช้การโจมตีแบบ man-in-the-middle ซึ่งทำให้ Hacker สามารถเข้าสู่ระบบได้

โดยการโจมตี Blast-RADIUS จะใช้เวลาในการโจมตี 3 ถึง 6 นาทีในการสร้าง MD5 hash ซึ่งนานกว่าเวลา second timeouts 30-60 วินาที ทั้งนี้ประสิทธิภาพในการโจมตีดังกล่าวขึ้นอยู่กับ ประสิทธิภาพของ hardware (GPUs, FPGAs หรือ hardware อื่น ๆ ที่ทันสมัย) ทำให้สามารถลดเวลาในการโจมตีได้ถึงหลายสิบ หรือหลายร้อยเท่า

การป้องกัน

เพื่อป้องกันการโจมตีแบบ Blast-RADIUS ผู้ให้บริการเครือข่ายสามารถอัปเกรดเป็น RADIUS over TLS (RADSEC) รวมถึงเปลี่ยนไปใช้การใช้งาน RADIUS แบบ "multihop" และแยกการรับส่งข้อมูล RADIUS ออกจากการเข้าถึงอินเทอร์เน็ตโดยใช้ restricted-access management VLANs หรือ TLS/ IPsec tunneling

ที่มา : bleepingcomputer

Fujitsu ยืนยันข้อมูลลูกค้ารั่วไหลในเหตุการณ์การโจมตีทางไซเบอร์ช่วงเดือนมีนาคม

Fujitsu ยืนยันว่าข้อมูลที่เกี่ยวข้องกับบุคคล และธุรกิจของลูกค้าบางรายรั่วไหลในเหตุการณ์การโจมตีทางไซเบอร์ที่ตรวจพบเมื่อต้นปีนี้

บริษัท Fujitsu ระบุว่า การโจมตีไม่ได้เกี่ยวข้องกับแรนซัมแวร์ แต่มีการใช้วิธีการที่ซับซ้อนเพื่อหลีกเลี่ยงการตรวจจับในขณะที่ขโมยข้อมูลออกไป

โดยในช่วงเดือนมีนาคม บริษัทพบว่าระบบของบริษัทหลายระบบติดมัลแวร์ และสังเกตเห็นความเป็นไปได้ที่ข้อมูลที่มีความสำคัญของลูกค้าอาจถูก compromised

Fujitsu ได้แยกคอมพิวเตอร์ที่ได้รับผลกระทบ และเริ่มการสืบสวนโดยได้รับความช่วยเหลือจากผู้เชี่ยวชาญภายนอกเพื่อกำหนดขอบเขตของการรั่วไหล

ผลการตรวจสอบ

ในแถลงการณ์วันนี้ บริษัทระบุว่าได้สรุปการสืบสวนเหตุการณ์ และยืนยันว่าข้อมูลถูกขโมยออกไปโดยมัลแวร์ที่แพร่กระจายจากจุดเริ่มต้นเพียงจุดเดียวไปยังคอมพิวเตอร์ 49 เครื่อง

บริษัทอธิบายเพิ่มเติมว่า "หลังจากมัลแวร์ถูกติดตั้งบนคอมพิวเตอร์เครื่องหนึ่งของบริษัท ถูกพบว่ามันแพร่กระจายไปยังคอมพิวเตอร์เครื่องอื่น ๆ"

"มัลแวร์นี้ไม่ใช่แรนซัมแวร์ แต่ใช้เทคนิคที่ซับซ้อนในการปลอมตัวทำให้ยากต่อการตรวจจับ ซึ่งเกิดจากการโจมตีขั้นสูง"

Fujitsu ระบุว่าคอมพิวเตอร์ที่ติดมัลแวร์ทั้ง 49 เครื่องถูกแยกออกจากระบบอื่น ๆ ทันทีหลังจากพบการโจมตี และมัลแวร์ถูกจำกัดอยู่ในสภาพแวดล้อมเครือข่ายบริษัทในญี่ปุ่นเท่านั้น

บริษัทระบุว่า "คำสั่งในการคัดลอกไฟล์ถูกดำเนินการจากพฤติกรรมของมัลแวร์" ด้วยเหตุนี้ Fujitsu จึงระบุว่ามีความเป็นไปได้ที่ข้อมูลอาจถูกขโมยออกไป "ไฟล์ที่สามารถคัดลอกได้มีข้อมูลส่วนบุคคล และข้อมูลที่เกี่ยวข้องกับธุรกิจของลูกค้า"

Fujitsu อธิบายเพิ่มเติมว่ายังไม่ได้รับรายงานว่าข้อมูลที่ถูก compromised ถูกนำไปใช้ในทางที่ผิด หลังจากการวิเคราะห์มัลแวร์ และเหตุการณ์ Fujitsu ได้ใช้มาตรการการตรวจสอบด้านความปลอดภัยสำหรับคอมพิวเตอร์ทั้งหมดในบริษัท และอัปเดตโซลูชันตรวจจับมัลแวร์เพื่อป้องกันการโจมตีที่คล้ายกัน

ที่มา: bleepingcomputer

Avast ปล่อยเครื่องมือถอดรหัสฟรีสำหรับแรนซัมแวร์ DoNex และเวอร์ชันก่อนหน้า

บริษัท Antivirus Avast ได้ค้นพบช่องโหว่ในโครงสร้างเข้ารหัสของแรนซัมแวร์ตระกูล DoNex และได้ปล่อยเครื่องมือถอดรหัสเพื่อให้เหยื่อสามารถกู้คืนไฟล์ได้ฟรี

บริษัทระบุว่าได้ทำงานร่วมกับหน่วยงานบังคับใช้กฎหมายในการให้เครื่องมือถอดรหัสแก่เหยื่อของแรนซัมแวร์ DoNex ตั้งแต่เดือนมีนาคม 2024 โดยบริษัทความปลอดภัยไซเบอร์จะแจกจ่ายเครื่องมือถอดรหัสในลักษณะนี้(ไม่บอกรายละเอียดของช่องโหว่) เพื่อป้องกันไม่ให้ผู้โจมตีทราบเกี่ยวกับช่องโหว่ และแก้ไขมัน

ช่องโหว่นี้ถูกเปิดเผยต่อสาธารณะในงานประชุมความปลอดภัยไซเบอร์ Recon 2024 เดือนที่แล้ว ดังนั้น Avast จึงตัดสินใจปล่อยเครื่องมือถอดรหัสออกมา

การถอดรหัส DoNex

DoNex เป็นการรีแบรนด์ในปี 2024 ของกลุ่ม DarkRace ซึ่งเป็นการรีแบรนด์ในปี 2023 ของแรนซัมแวร์ Muse ที่ถูกปล่อยออกมาในเดือนเมษายน 2022

ช่องโหว่ที่ค้นพบโดย Avast มีอยู่ในแรนซัมแวร์ตระกูล DoNex เวอร์ชันก่อนหน้าทั้งหมด รวมถึงเวอร์ชันปลอมที่ใช้แบรนด์ Lockbit 3.0 ที่ใช้จากกลุ่ม 'Muse' ในเดือนพฤศจิกายน 2022

Avast ระบุว่าจากการตรวจสอบของบริษัท การโจมตีล่าสุดของ DoNex มีเป้าหมายในสหรัฐอเมริกา, อิตาลี และเบลเยียม แต่ก็พบการแพร่กระจายไปทั่วโลก

ช่องโหว่ในระบบการเข้ารหัส

ในระหว่างการดำเนินการของ DoNex แรนซัมแวร์ encryption key จะถูกสร้างขึ้นโดยใช้ฟังก์ชัน 'CryptGenRandom()' ซึ่งเป็นการเริ่มต้น ChaCha20 symmetric key ที่ใช้ในการเข้ารหัสไฟล์เป้าหมาย

หลังจากขั้นตอนการเข้ารหัสไฟล์ ChaCha20 key จะถูกเข้ารหัสโดยใช้ RSA-4096 และถูกเพิ่มลงในส่วนท้ายของแต่ละไฟล์

Avast ยังไม่ได้อธิบายว่าช่องโหว่อยู่ที่ใด ดังนั้นอาจเป็นเรื่องของ key reuse, การสร้าง key ที่สามารถคาดเดาได้ หรือปัญหาอื่น ๆ

สังเกตว่า DoNex ใช้การเข้ารหัสสลับสำหรับไฟล์ที่มีขนาดใหญ่กว่า 1MB วิธีการนี้เพิ่มความเร็วเมื่อเข้ารหัสไฟล์ แต่ทำให้เกิดช่องโหว่ที่สามารถใช้เพื่อกู้คืนข้อมูลที่เข้ารหัสได้โดยไม่ต้องจ่ายค่าไถ่

เครื่องมือถอดรหัสของ Avast สำหรับ DoNex และเวอร์ชันก่อนหน้า สามารถดาวน์โหลดได้จาก (hxxps://decoded.

ยูโรโพลยึดเซิร์ฟเวอร์ Cobalt Strike 593 เครื่องที่ใช้โดยอาชญากรไซเบอร์

ยูโรโพลประสานงานกับหน่วยงานบังคับใช้กฎหมายในปฏิบัติการที่เรียกว่า Operation Morpheus ซึ่งนำไปสู่การยึดเซิร์ฟเวอร์ Cobalt Strike เกือบ 600 เครื่องที่ใช้โดยอาชญากรไซเบอร์ในการโจมตีเครือข่ายของเหยื่อ

ในช่วงสัปดาห์เดียวในปลายเดือนมิถุนายน เจ้าหน้าที่บังคับใช้กฎหมายสามารถระบุ IP addresses ที่เกี่ยวข้องกับการกระทำความผิด และโดเมนที่เป็นส่วนหนึ่งของโครงสร้างพื้นฐานการโจมตีที่ใช้โดยกลุ่มอาชญากร

ในขั้นตอนถัดไปของปฏิบัติการ ผู้ให้บริการจะได้รับข้อมูลที่รวบรวมมาเพื่อปิดใช้งานระบบของเครื่องมือดังกล่าว

ยูโรโพลระบุว่า "เครื่องมือ Cobalt Strike red teaming ที่ไม่ได้รับอนุญาต เป็นเป้าหมายในช่วงสัปดาห์ของการปฏิบัติการ ที่ได้รับการประสานงานจากสำนักงานใหญ่ของยูโรโพลระหว่างวันที่ 24 ถึง 28 มิถุนายน"

"IP addresses ทั้งหมด 690 แห่ง ถูกแจ้งให้กับผู้ให้บริการใน 27 ประเทศทราบ จากในจำนวนนั้นกว่า 593 แห่งถูกยึดภายในช่วงสุดสัปดาห์"

Operation Morpheus เกี่ยวข้องกับหน่วยงานบังคับใช้กฎหมายจากออสเตรเลีย, แคนาดา, เยอรมนี, เนเธอร์แลนด์, โปแลนด์ และสหรัฐอเมริกา นำโดยหน่วยงานอาชญากรรมแห่งชาติของสหราชอาณาจักร

พันธมิตรในอุตสาหกรรมเอกชนเช่น BAE Systems Digital Intelligence, Trellix, Spamhaus, abuse.

Eldorado Ransomware มุ่งเป้าโจมตีไปยัง Windows และ VMware ESXi

นักวิจัยได้พบ ransomware-as-a-service (RaaS) ตัวใหม่ในชื่อ Eldorado ซึ่งถูกค้นพบในเดือนมีนาคม 2024 ที่มาพร้อมกับความสามารถในการเข้ารหัสสำหรับ VMware ESXi และ Windows

นักวิจัยพบว่า Eldorado ได้ทำการโจมตีเหยื่อไปแล้ว 16 ราย ซึ่งส่วนใหญ่อยู่ในสหรัฐฯ ในภาคอสังหาริมทรัพย์, การศึกษา, การดูแลสุขภาพ และภาคการผลิต

นักวิจัยจาก Group-IB บริษัทด้านการรักษาความปลอดภัยทางไซเบอร์ ได้ติดตามการดำเนินการของกลุ่ม Eldorado และพบว่ากลุ่ม Eldorado มีการโปรโมตการให้บริการโจมตีเป้าหมายใน RAMP forums รวมถึงได้ประกาศหาพันธมิตรที่มีฝีมือเพื่อเข้ากลุ่ม

รวมถึง Eldorado ได้สร้างเว็บไซต์เพื่อเผยแพร่ข้อมูลที่ถูกขโมยมาจากเป้าหมายที่โดนโจมตี เพื่อข่มขู่เหยื่อ และสร้างความน่าเชื่อถือให้ตัวเอง

การเข้ารหัส Windows และ Linux

Eldorado เป็น Go-based ransomware ที่มีความสามารถในการเข้ารหัสได้ทั้งแพลตฟอร์ม Windows และ Linux ผ่านรูปแบบที่แตกต่างกัน แต่มีความคล้ายคลึงกันในการทำงาน นักวิจัยได้รับโปรแกรมเข้ารหัสจากนักพัฒนา ซึ่งมาพร้อมกับคู่มือการใช้งาน โดยระบุว่ามีเวอร์ชัน 32/64-bit สำหรับ VMware ESXi hypervisors และ Windows

ทั้งนี้ Group-IB ระบุว่า Eldorado Ransomware มีลักษณะที่เป็นเอกลักษณ์ โดยไม่มีความคล้ายคลึงกับ Ransomware กลุ่มอื่น ซึ่งใช้ ChaCha20 algorithm ในการเข้ารหัส และสร้าง 32-byte key ที่ไม่ซ้ำกัน และค่า 12-byte nonce สำหรับไฟล์ที่ถูกเข้ารหัสแต่ละไฟล์ จากนั้น keys และ nonces จะถูกเข้ารหัสโดยใช้ RSA รูปแบบ Optimal Asymmetric Encryption Padding (OAEP)

หลังจากขั้นตอนการเข้ารหัส ไฟล์จะถูกผนวกส่วนขยาย “.00000001” และจดหมายเรียกค่าไถ่ในชื่อ “HOW_RETURN_YOUR_DATA.TXT” ซึ่งจะถูกทิ้งไว้ใน Documents and Desktop folders

รวมถึง Eldorado ยังได้เข้ารหัส network shares โดยใช้ SMB communication protocol เพื่อเพิ่มผลกระทบให้สูงสุด และลบ shadow volume copies บนเครื่อง Windows ที่ถูกโจมตีเพื่อป้องกันการกู้คืนข้อมูล

Ransomware จะหลีกเลี่ยงไฟล์ DLL, LNK, SYS และ EXE ตลอดจนไฟล์ และไดเร็กทอรีที่เกี่ยวข้องกับการบูตระบบ และฟังก์ชันพื้นฐาน เพื่อป้องกันไม่ให้ระบบไม่สามารถบูตได้/ไม่สามารถใช้งานได้

ในขั้นตอนท้ายสุด จะมีการตั้งค่า default ให้ลบตัวเองเพื่อหลีกเลี่ยงการตรวจจับ และการถูกวิเคราะห์

Group-IB เปิดเผยว่าผู้ที่ใช้ Eldorado ransomware สามารถปรับแต่งการโจมตีได้ ตัวอย่างเช่น ในระบบปฏิบัติการ Windows นักวิจัยสามารถระบุไดเร็กทอรีที่จะเข้ารหัส, หลีกเลี่ยงไฟล์ในเครื่อง, กำหนดเป้าหมาย network shares บน subnet เฉพาะ และป้องกันการลบมัลแวร์ด้วยตนเอง ทั้งนี้หากเป็น Linux พารามิเตอร์การปรับแต่งจะหยุดอยู่แค่การตั้งค่าไดเร็กทอรีที่จะเข้ารหัส

คำแนะนำในการป้องกัน

ใช้งาน multi-factor authentication (MFA) และ credential-based access solutions
ใช้งาน Endpoint Detection and Response (EDR) เพื่อระบุ และตอบสนองต่อ ransomware indicators
สำรองข้อมูลเป็นประจำเพื่อลดความเสียหาย และสูญหายของข้อมูล
ใช้ AI-based analytics and advanced malware detonation เพื่อการตรวจจับ และตอบสนองการโจมตีแบบเรียลไทม์
กำหนดลำดับความสำคัญของระบบ และหมั่นอัปเดตแพตซ์ด้านความปลอดภัยอย่างสม่ำเสมอ เพื่อแก้ไขช่องโหว่
ให้ความรู้ และฝึกอบรมพนักงานให้มีความรู้ด้านภัยคุกคามทางไซเบอร์
จัดทำการประเมินความปลอดภัยด้าน cybersecurity ประจำปี
หลีกเลี่ยงการจ่ายค่าไถ่ เนื่องจากวิธีนี้ไม่สามารถรับประกันการกู้คืนข้อมูลได้ และอาจทำให้เกิดการโจมตีเพิ่มขึ้น

ที่มา : bleepingcomputer.

OVHcloud รายงานการโจมตี DDoS ที่ทำลายสถิติล่าสุดเกิดจาก MikroTik botnet

OVHcloud ผู้ให้บริการคลาวด์ระดับโลก และหนึ่งในผู้ให้บริการรายใหญ่ที่สุดในยุโรป เผยแพร่รายงานการป้องกันเหตุการณ์การโจมตีในลักษณะ Distributed Denial of Service (DDoS) attack ที่ทำลายสถิติล่าสุด โดยมี packet rate ที่สูงถึง 840 ล้าน packets per second (Mpps)

OVHcloud รายงานว่า พบเห็นแนวโน้มการโจมตีที่เพิ่มขึ้นอย่างต่อเนื่องตั้งแต่ปี 2023 โดยเริ่มจากการโจมตีขนาดเกิน 1 Tbps ซึ่งเกิดขึ้นบ่อยครั้ง และเพิ่มขึ้นจนเกิดขึ้นทุกสัปดาห์ และแทบทุกวันในปี 2024

จากการโจมตีอย่างต่อเนื่องส่งผลให้มี bit rates และ packet rates สูงอย่างต่อเนื่องเป็นระยะเวลานานในช่วง 18 เดือนที่ผ่านมา โดย bit rates ที่สูงสุดซึ่ง OVHcloud ได้บันทึกไว้คือ 2.5 Tbps เมื่อวันที่ 25 พฤษภาคม 2024

การวิเคราะห์การโจมตีบางประเภท เผยให้เห็นถึงการใช้งานอุปกรณ์ที่ใช้โจมตีอย่างแพร่หลาย โดยเฉพาะอุปกรณ์ Mikrotik ที่ทำให้การโจมตีส่งผลกระทบมากขึ้น รวมถึงความยากในการตรวจจับ การยับยั้งเหตุการณ์

การโจมตี DDoS ที่ทำลายสถิติ

เมื่อต้นปี 2024 ทาง OVHcloud ได้ป้องกันการโจมตีที่มี packet rates จำนวนมหาศาลที่สูงถึง 840 Mpps ซึ่งแซงหน้าสถิติเดิมที่พบการโจมตี DDoS ที่ 809 Mpps โดยมีเป้าหมายเป็นธนาคารในยุโรป ซึ่งทาง Akamai ได้ป้องกันเหตุการณ์ดังกล่าวไว้ได้

OVHcloud ได้สังเกตเห็นการโจมตี TCP ACK ซึ่งมีต้นทางมาจาก Source IPs จำนวน 5,000 รายการ โดย 2 ใน 3 ของ packets ถูกส่งผ่าน Points of Presence (PoPs) เพียงสี่จุด ซึ่งทั้งหมดอยู่ในสหรัฐอเมริกา และสามจุดอยู่ที่ชายฝั่งตะวันตก ซึ่ง Hacker ได้ทำการรวมปริมาณข้อมูล traffic จำนวนมหาศาลนี้ผ่าน internet infrastructure ที่มีขอบเขตเฉพาะ ทำให้การโจมตี DDoS มีประสิทธิภาพมากขึ้น

ประสิทธิภาพของ Mikrotiks กลายเป็นปัญหา

OVHcloud ระบุว่าการโจมตีด้วย packet rates สูงหลายครั้งที่บันทึกไว้ รวมถึงการโจมตีที่ทำลายสถิติเมื่อเดือนเมษายน 2024 มีที่มาจาก อุปกรณ์ MirkoTik Cloud Core Router (CCR) ที่ถูกโจมตี ซึ่งออกแบบมาสำหรับ high-performance networking ได้แก่โมเดล CCR1036-8G-2S+ และ CCR1072-1G-8S+ ที่ตกเป็นเป้าหมายในการโจมตีโดยเฉพาะ ซึ่งถูกใช้เป็น network cores ขนาดเล็กถึงกลาง โดยถูกโจมตีผ่าน firmware ของอุปกรณ์ที่มีช่องโหว่

ทั้งนี้ OVHcloud ตั้งสมุติฐานว่า Hacker อาจใช้ฟีเจอร์ "Bandwidth Test" บน RouterOS ของ MikroTik ซึ่งได้รับการออกแบบมาสำหรับการ stress testing ของ network throughput จากการสร้าง high packet rates

OVHcloud พบอุปกรณ์ Mikrotik กว่า 100,000 รายการที่มีช่องโหว่ ซึ่งสามารถเข้าถึงได้ผ่านอินเทอร์เน็ต ทำให้กลายเป็นเป้าหมายการโจมตีของแคมเปญ DDoS หลายราย

รวมถึงอุปกรณ์ MikroTik มีพลังการประมวลผล CPU สูงถึง 36 core แม้ว่าจะมีอุปกรณ์เพียง 100,000 เครื่อง ก็อาจส่งผลให้เกิด botnet ที่สามารถสร้าง packet ได้หลายพันล้าน packets per second

โดย OVHcloud ได้คำนวณว่าหากนำ 1% ของ 100,000 รายการ มาทำการโจมตี DDoS ก็สามารถสร้างการโจมตีได้มากถึง 2.28 พันล้าน packets per second (Gpps)

ในอดีตอุปกรณ์ Mikrotik เคยตกเป็นเป้าหมายการโจมตี DDoS ในชื่อ Mēris botnet มาก่อน แม้ว่าทาง MikroTik ได้ออกอัปเดตด้านความปลอดภัยเพื่อแก้ไขช่องโหว่แล้ว แต่ก็พบว่ามีองค์กรที่ไม่ได้ทำการอัปเดตเพื่อแก้ไขช่องโหว่ ทำให้ยังมีความเสี่ยงในการตกเป็นเป้าหมายการโจมตีอยู่

ที่มา : bleepingcomputer.

พบ Hacker ใช้ช่องโหว่ระดับ Critical บน D-Link DIR-859 เพื่อขโมยรหัสผ่าน

GreyNoise แพลตฟอร์มการตรวจสอบภัยคุกคามทางไซเบอร์ เผยแพร่การค้นพบกลุ่ม Hacker กำลังใช้ช่องโหว่ระดับ Critical ของ D-Link DIR-859 WiFi routers เพื่อรวบรวม และขโมยข้อมูลบัญชีจากอุปกรณ์ รวมถึงรหัสผ่าน

CVE-2024-0769 (คะแนน CVSS 9.8/10 ความรุนแรงระดับ Critical) เป็นช่องโหว่ path traversal ที่อยู่ในไฟล์ "fatlady.

พบช่องโหว่ regreSSHion ช่องโหว่ RCE ใน OpenSSH ทำให้สามารถเข้าถึงสิทธ์ Root บน Linux server ได้

พบช่องโหว่การเรียกใช้โค้ดที่เป็นอันตรายจากระยะไกลโดยไม่จำเป็นต้องผ่านการตรวจสอบสิทธิ์ (RCE) ใน OpenSSH ที่ชื่อว่า "regreSSHion" ที่ทำให้ผู้โจมตีสามารถได้รับสิทธ์ Root บน Linux server ที่ใช้ glibc

OpenSSH คือ networking utilities based ที่ใช้ Secure Shell (SSH) protocol ซึ่งใช้กันอย่างแพร่หลายสำหรับการ remote login อย่างปลอดภัย, การจัดการ และดูแลเซิร์ฟเวอร์จากระยะไกล และการถ่ายโอนไฟล์ผ่าน SCP และ SFTP

ช่องโหว่ดังกล่าวถูกพบโดยนักวิจัยที่ Qualys ในเดือนพฤษภาคม 2024 โดยช่องโหว่ได้รับหมายเลข CVE-2024-6387 ซึ่งเกิดจาก race condition ใน sshd ที่ทำให้ผู้โจมตีจากภายนอกที่ไม่จำเป็นต้องผ่านการตรวจสอบสิทธิ์ เรียกใช้โค้ดตามที่ต้องการด้วยสิทธ์ Root บนระบบ ทำให้สามารถเข้าควบคุมระบบได้

ช่องโหว่ถูกอธิบายบน Debian security bulletin ว่า "หากไคลเอนต์ไม่ทำการ authenticate ภายในเวลา LoginGraceTime วินาที (ค่าเริ่มต้นคือ 120 วินาที) ค่า SIGALRM handler ของ sshd จะถูกเรียกแบบ asynchronously และจะเรียกฟังก์ชันต่าง ๆ ที่ไม่ปลอดภัยจาก asynchronously"

ทั้งนี้แม้ว่าช่องโหว่จะมีความรุนแรงระดับ High แต่ขั้นตอนในการโจมตีก็มีความซับซ้อน และต้องใช้ความพยายามหลายครั้งในการโจมตีช่องโหว่ดังกล่าว อย่างไรก็ตามพบว่าสามารถใช้ AI tools ในการสร้างกระบวนการโจมตี และเพิ่มโอกาสสำเร็จในการโจมตีได้

Qualys ได้เผยแพร่บทความเชิงเทคนิคที่เจาะลึกขั้นตอนในการโจมตี และวิธีการลดผลกระทบที่อาจเกิดขึ้น hxxps://www.

Prudential Financial ยืนยันเหตุการณ์ข้อมูลรั่วไหล 2.5 ล้านรายการ

บริษัท Prudential Financial ออกมายืนยันว่าข้อมูลส่วนบุคคลกว่า 2.5 ล้านรายถูกเข้าถึงจากการถูกโจมตีทางไซเบอร์ในเดือนกุมภาพันธ์ที่ผ่านมา

อ้างอิงจากแบบฟอร์ม 8-K ที่ได้ยื่นกับสำนักงานคณะกรรมการกำกับหลักทรัพย์ และตลาดหลักทรัพย์ของสหรัฐอเมริการะบุว่า ทางบริษัทได้ตรวจพบเหตุการณ์ดังกล่าวในวันที่ 5 เดือนกุมภาพันธ์ ซึ่งเป็น 1 วันภายหลังจากที่ผู้โจมตี สามารถควบคุมระบบระบบ และเข้าถึงข้อมูลในส่วนของผู้ดูแลระบบ/ผู้ใช้งาน และพนักงานบริษัท/ผู้รับเหมาได้แล้ว

ในเดือนมีนาคม Prudential Financial ซึ่งเป็นบริษัทที่ถูกจัดอยู่ในกลุ่มของ Fortune 500 ได้ยื่นเอกสารกับทางสำนักงานอัยการสูงสุดแห่งรัฐเมน (Maine Attorney General’s Office) ว่าได้มีการแจ้งเตือนไปยังผู้เสียหายไปกว่า 36,000 รายแล้ว ถึงเรื่องของข้อมูลส่วนบุคคล (ซึ่งรวมไปถึง ชื่อ, หมายเลขใบอนุญาตขับขี่ และ Non-driver identification card - NDID) ที่รั่วไหลออกไปในระหว่างการถูกโจมตี

โดย Prudential ระบุว่า “ระหว่างการตรวจสอบ บริษัทได้พบว่ามีการเข้าถึงระบบเครือข่ายภายในจากบุคคลภายนอกที่ไม่ได้รับอนุญาตในวันที่ 4 กุมภาพันธ์ 2024 และทำการลบข้อมูลส่วนบุคคลบางส่วนออกจากระบบของบริษัท”

“ในส่วนของการตอบสนองต่อเหตุการณ์ดังกล่าว บริษัทได้มีการร่วมมือกับผู้เชียวชาญด้านความปลอดภัยทางไซเบอร์ เพื่อให้สามารถยืนยันได้ว่ากลุ่มผู้ไม่หวังดีไม่สามารถเข้าถึงข้อมูลในระบบของเราได้อีกต่อไป”

อย่างไรก็ตามในสัปดาห์ที่ผ่านมา ทางบริษัทได้มีการอัปเดตถึงข้อมูลที่ได้ยื่นให้กับทางสำนักงานอัยการสูงสุดแห่งรัฐเมน ในส่วนของเหตุการณ์การเข้าถึงข้อมูลโดยไม่ได้รับอนุญาต และได้ระบุถึงความเสียหายจากเหตุการณ์ดังกล่าวที่ส่งผลกระทบต่อผู้เสียหายกว่า 2,556,210 ราย

ALPHV ออกมาอ้างว่าเป็นผู้ทำการโจมตี

ในขณะที่ บริษัท Prudential Financial ยังไม่ได้เปิดเผยข้อมูลเพิ่มเติมที่เกี่ยวข้องกับกลุ่มแฮ็กเกอร์ที่อยู่เบื้องหลังของการโจมตีในเดือนกุมภาพันธ์ 2024 ที่ผ่านมา แต่ทาง ALPHV/Blackcat ransomware ซึ่งเป็นกลุ่มแรนซัมแวร์ได้ออกมาอ้างความรับผิดชอบต่อเหตุการณ์ดังกล่าวว่าเป็นฝีมือของพวกเขาเองเมื่อวันที่ 13 กุมภาพันธ์ 2024

ALPHV ได้ปิดระบบการดำเนินการต่าง ๆ และหายตัวไปหลังสามารถหลอกขโมยเงินกว่า $22 ล้านเหรียญได้จากกลุ่ม Notchy ซึ่งเป็นกลุ่มที่เกี่ยวข้องกับเหตุการณ์ข้อมูลรั่วไหลของ Change Healthcare

FBI ได้ระบุความเชื่อมโยงของกลุ่มแรนซัมแวร์นี้กับเหตุการณ์การโจมตี และข้อมูลรั่วไหลกว่า 60 ครั้งในช่วง 4 เดือนแรกของการปฏิบัติการ และระบุเพิ่มเติมว่า ALPHV ทำเงินไปได้แล้วอย่างน้อย $300 ล้านเหรียญจากเหยื่อกว่า 1,000 รายจนถึงเดือนกันยายน 2023

Prudential คือบริษัทประกันชีวิตที่ใหญ่เป็นอันดับสองในประเทศสหรัฐฯ โดยมีพนักงานกว่า 40,000 รายทั่วโลก และมีการยืนยันรายได้กว่า $50 พันล้านเหรียญในปี 2023

ในเดือนมิถุนายน 2023 ข้อมูลส่วนบุคคลจากลูกค้าของบริษัท Prudential เคยรั่วไหลกว่า 320,000 ราย ซึ่งประกอบไปด้วย ชื่อ, ที่อยู่, วันเดือนปีเกิด, หมายเลขโทรศัพท์ และหมายเลขประกันสังคม หลังจากการโจมตีทางไซเบอร์ของกลุ่ม Clop ที่เกิดขึ้นกับแพลตฟอร์ม MOVEit Transfer ของ Pension Benefit Information (PBI) ซึ่งเป็น third-party ที่ดูแลข้อมูลของบริษัท

ที่มา : bleepingcomputer