แคมเปญการโจมตีแบบ Proxyjacking สร้างรายได้จากแบนด์วิธของเซิร์ฟเวอร์ SSH ที่ถูกโจมตี

Akamai เปิดเผยการค้นพบแคมเปญการโจมตีของกลุ่ม Hacker ที่ได้มุ่งเป้าการโจมตีไปยัง SSH servers ที่มีช่องโหว่ ด้วยการโจมตีแบบ proxyjacking และนำแบนด์วิธอินเทอร์เน็ตที่ไม่ได้ใช้ของ SSH servers ที่ถูกโจมตีไปขายต่อเพื่อสร้างรายได้ ในลักษณะเดียวกันกับการโจมตีแบบ cryptojacking ที่กลุ่ม Hacker ได้ทำการใช้ประโยชน์จาก SSH servers ที่ถูกโจมตีเพื่อขุดเหรียญ cryptocurrency โดยกลยุทธ์ทั้งหมดนี้เป็นการใช้ประโยชน์จากเครื่อง SSH servers ที่ถูกโจมตี เพื่อสร้างรายได้ให้แก่กลุ่ม Hacker

ทั้งนี้ Akamai พบว่าการโจมตีแบบ proxyjacking ตรวจจับได้ค่อนข้างยาก เนื่องจาก Hacker จะใช้เฉพาะแบนด์วิธที่ไม่ได้ใช้งานของระบบที่ถูกโจมตี ซึ่งไม่ส่งผลกระทบต่อความเสถียร และประสิทธิภาพการใช้งาน เนื่องจาก Hacker ได้ทำการตั้งค่า proxy ที่สามารถช่วยปกปิดร่องรอยการโจมตี โดยมีเป้าหมายเพื่อขายแบนด์วิธอินเทอร์เน็ตเท่านั้น ทำให้เหยื่อสามารถตรวจจับได้ยาก

นักวิจัยพบว่า Hacker จะโจมตีไปยัง SSH servers ที่มีช่องโหว่ โดยใช้ SSH Protocol ในการการเข้าถึงเครื่องจากระยะไกล และเรียกใช้ scripts อันตรายที่แอบเชื่อมต่อเซิร์ฟเวอร์ของเหยื่อเข้าสู่เครือข่าย peer-to-peer (P2P) เช่น Peer2Proxy หรือ Honeygain

โดยทาง Akamai ได้พบรายการ IP ที่เกี่ยวข้องจากการตรวจสอบ และ proxy อื่น ๆ อีกอย่างน้อย 16,500 รายการ ที่ถูกแชร์ไว้บนฟอรัมออนไลน์

การบริการ Proxyware และ Docker containers

นักวิจัยของ Akamai พบการโจมตีครั้งแรกเมื่อวันที่ 8 มิถุนายน 2023 หลังพบการเชื่อมต่อ SSH หลายจุดใน honeypots ที่ถูกสร้างขึ้นโดยทีม Security Intelligence Response Team (SIRT)

ทีม SIRT พบว่า เมื่อ Hacker ทำการเชื่อมต่อกับหนึ่งใน SSH servers ที่มีช่องโหว่ Hacker จะใช้สคริปต์ Bash ที่เข้ารหัส Base64 เพื่อเพิ่ม SSH servers ที่ถูกโจมตีไปยังเครือข่าย proxy ของ Honeygain หรือ Peer2Profit

โดยสคริปต์ดังกล่าวจะทำการตั้งค่า container ด้วยการดาวน์โหลดอิมเมจ Peer2Profit หรือ Honeygain Docker และทำการกำจัด bandwidth-sharing container ที่มีอยู่เดิมอีกด้วย รวมไปถึงการติดตั้ง cryptominer เพื่อทำการโจมตี cryptojacking ในเครื่องดังกล่าว และติดตั้ง hacking tools อื่น ๆ เพิ่มเติม

ทั้งนี้แคมเปญที่พบดังกล่าวเป็นแค่เพียงส่วนหนึ่งของการโจมตีแบบ proxyjacking เท่านั้น เนื่องจากก่อนหน้านี้ก็พบการรายงานการโจมตีประเภทดังกล่าวจาก Cisco Talos และ Ahnlab เช่นเดียวกัน โดยได้เชื่อมต่อไปยังเครือข่าย proxy ของ Honeygain, Nanowire, Peer2Profit, IPRoyal และอื่น ๆ เช่นเดียวกันกับที่ทาง Sysdig ได้ค้นพบแคมเปญการโจมตี proxyjackers ในเดือนเมษายน 2023 ที่ Hacker ได้โจมตีผ่านช่องโหว่ Log4j เพื่อเข้าถึงระบบ ทำให้สามารถสร้างรายได้ได้สูงถึง $1,000 สำหรับอุปกรณ์ทุก ๆ 100 เครื่องที่ถูกเพิ่มลงในรายการ proxyware botnet

 

ที่มา : bleepingcomputer

Akamai สร้างสถิติป้องกันการโจมตี DDos ที่สูงถึง 900Gbps ในเอเชียได้{}

 

Akamai รายงานว่าได้รับมือกับการโจมตีแบบ DDoS ที่สูงที่สุดที่เคยเกิดขึ้นในเอเชียแปซิฟิกได้

Distributed Denial of Service (DDoS) เป็นการโจมตีโดยการส่ง requests จํานวนมากไปยังเซิร์ฟเวอร์เป้าหมาย เพื่อทำให้ความสามารถของเซิร์ฟเวอร์ลดลง และทำให้ผู้ใช้งานไม่สามารถเข้าใช้งานเว็บไซต์ แอปพลิเคชัน หรือบริการออนไลน์อื่น ๆ ได้

ซึ่งทำให้เกิดผลกระทบทางธุรกิจ ไม่ว่าจะเป็นเพื่อวัตถุประสงค์ทางการเมือง, การแก้แค้น, การแข่งขันทางธุรกิจ, หรือเพื่อขู่กรรโชกเหยื่อด้วยการเรียกค่าไถ่

เมื่อวันที่ 23 กุมภาพันธ์ 2023 ที่ผ่านมา Akamai ออกมาเปิดเผยการโจมตีครั้งล่าสุดที่ทำลายสถิติสูงที่สุดที่เคยเกิดขึ้นในเอเชียแปซิฟิก โดยมีจุดสูงสุดอยู่ที่ 900.1 กิกะบิตต่อวินาที จำนวน 158.2 ล้าน packet ต่อวินาที

การโจมตีในครั้งนี้ถือเป็นการโจมตีที่รุนแรง และเกิดขึ้นเพียงหนึ่งนาที ซึ่ง Akamai สามารถรับมือกับการโจมตีครั้งนี้ได้เป็นอย่างดี ด้วยการส่ง traffic ไปที่ scrubbing network โดยส่วนใหญ่จะถูกส่งไปที่ฮ่องกง, โตเกียว, เซาเปาโล, สิงคโปร์, และโอซาก้า

scrubbing network เป็นโซลูชันป้องกันการโจมตีแบบ DDoS โดยการส่ง traffic กระจายไปยัง scrubbing Network ที่มี center อยู่หลายแห่ง เพื่อแยก Traffic ที่เป็นอันตรายออกก่อนส่งไปยัง server

แม้ว่า 48% ของ Traffic จะถูกจัดการโดย scrubbing centers ในเอเชียแปซฟิก แต่ Traffic ดังกล่าวก็ยังถูกส่งไป ยังทั้ง 26 ศูนย์ของ Akamai เช่นกัน แต่ไม่มีศูนย์ไหนเกิน 15% ของ traffic ทั้งหมด

สถิติการโจมตีแบบ DDoS

การโจมตีสูงสุดที่ Akamai ป้องกันได้ คือการโจมตีเมื่อวันที่ 12 กันยายน 2022 ที่พุ่งเป้าไปที่ลูกค้าในยุโรปตะวันออก โดยสูงสุดที่ 704 ล้านแพ็กเก็ตต่อวินาที ซึ่งมากกว่าเหตุการณ์ล่าสุดประมาณ 4.5 เท่า
เจ้าของสถิติยังคงเป็น Microsoft ซึ่งในเดือนพฤศจิกายน 2021 ได้มีการป้องกันการโจมตี DDoS ขนาด 3.47 Tbps ที่มีการพุ่งเป้าไปที่ Azure ในเอเชีย
กรณีล่าสุดคือการป้องกันการโจมตีโดย Cloudflare DDoS ที่พุ่งเป้าไปยัง Wynncraft ซึ่งเป็นหนึ่งในเซิร์ฟเวอร์ที่ใหญ่ที่สุดของ Minecraft โดยมีจุดสูงสุดที่ 2.5 Tbps

 

ที่มา : bleepingcomputer

RangeAmp attacks can take down websites and CDN servers

“RangeAmp” เทคนิคการโจมตี DoS รูปแบบใหม่ที่สามารถทำให้เว็บไซต์และเซิร์ฟเวอร์ CDN หยุดให้บริการ

กลุ่มนักวิจัยจากสถาบันการศึกษาของจีนได้เผยเเพร่การค้นพบเทคนิคการโจมตี Denial-of-Service (DoS) รูปแบบใหม่ที่ชื่อว่า “RangeAmp” โดยใช้ประโยชน์จากแอตทริบิวต์ HTTP "Range Requests" ทำการขยายแพ็คเก็ต HTTP Requests เพื่อเพิ่มปริมาณและใช้ในการโจมตีเว็บไซต์และเซิร์ฟเวอร์ CDN

HTTP Range Requests เป็นมาตรฐานของ HTTP ที่จะอนุญาตให้ไคลเอนต์สามารถร้องขอส่วนหนึ่งของไฟล์อย่างเฉพาะเจาะจง ซึ่งช่วยให้เกิดการหยุดการเชื่อมต่อหรือร้องขอให้การเชื่อมต่อกลับมาเมื่อต้องเผชิญกับความไม่เสถียรของการเชื่อมต่อเครือข่าย ด้วยเหตุนี้จึงมีการอิมพลีเมนต์และรองรับโดยเว็บเบราว์เซอร์และเซิร์ฟเวอร์ CDN

กลุ่มนักวิจัยกล่าว่า การเทคนิคการโจมตี “RangeAmp” นั้นมีรูปแบบอยู่ 2 รูปแบบที่ต่างกันคือ

เทคนิคโจมตี RangeAmp Small Byte Range (SBR) ผู้โจมตีจะส่งคำร้องขอช่วง HTTP รูปแบบพิเศษไปยังผู้ให้บริการ CDN ซึ่งจะเพิ่มปริมาณการรับส่งข้อมูลไปยังเซิร์ฟเวอร์ปลายทางเพื่อทำให้เว็บไซต์เป้าหมายเสียหายและหยุดให้บริการ การโจมตีด้วยเทคนิคนี้สามารถขยายทราฟฟิกจากแพ็คเก็ตการส่งปกติไปจนถึง 724 ถึง 43,330 เท่าของทราฟฟิกเดิม
เทคนิคโจมตี RangeAmp Overlapping Byte Ranges (OBR) ผู้โจมตีจะส่งคำขอ HTTP รูปแบบพิเศษไปยังผู้ให้บริการ CDN ทราฟฟิคจะเกิดการขยายขึ้นภายในเซิร์ฟเวอร์ CDN ซึงจะทำให้เกิดการโจมตี DoS ได้ทั้งเว็บไซต์ปลายทางและเซิร์ฟเวอร์ CDN การโจมตีด้วยเทคนิคนี้สามารถขยายทราฟฟิกจากการโจมตีได้ถึง 7,500 เท่าจากแพ็คเก็ตการส่งปกติ

นักวิจัยกล่าวว่าเทคนิคโจมตี “RangeAmp” นี้มีส่งผลต่อผู้ให้บริการเซิร์ฟเวอร์ CDN หลายเจ้าได้เเก่ Akamai, Alibaba Cloud, Azure, Cloudflare, CloudFront, CDNsun, CDN77, Fastly, Labs G-Core, Huawei Cloud, KeyCDN และ Tencent Cloud

ทั้งนี้ผู้ที่สนใจเทคนิคการโจมตี “RangeAmp” สามารถอ่านรายละเอียดเพิ่มเติมได้ที่: liubaojun

ที่มา: zdnet

New Echobot malware is a smorgasbord of vulnerabilities

นักวิจัยด้านความปลอดภัยพบ Mirai สายพันธุ์ใหม่ที่เรียกว่า Echobot ซึ่งกำหนดเป้าหมายไปยังอุปกรณ์ IoT และองค์กรขนาดใหญ่

Mirai บอทเน็ตที่มีการระบาดมาอย่างยาวนานให้พัฒนาเป็นสายพันธุ์ใหม่ชื่อ Echobot โดยเริ่มระบาดในเดือนพฤษภาคม มัลแวร์ Echobo ได้ถูกอธิบายเป็นครั้งแรกโดย Palo Alto Networks ในรายงานที่ตีพิมพ์เมื่อต้นเดือนมิถุนายน จากนั้นเพิ่งมีรายงานอีกครั้งโดยนักวิจัยด้านความปลอดภัยจาก Akamai เมื่อสัปดาห์ที่แล้ว

มัลแวร์ Echobot ไม่มีอะไรใหม่ แต่ผู้เขียนมัลแวร์เพียงแค่เพิ่มโมดูลที่ด้านบนของซอร์สโค้ด Mirai ดั้งเดิม แต่เมื่อมีการพบครั้งแรกโดยนักวิจัย Palo Alto Networks ในต้นเดือนมิถุนายนนั้น Echobot ใช้มีคำสั่งโจมตีสำหรับช่องโหว่ 18 ช่องโหว่ จากนั้นหนึ่งสัปดาห์ต่อมา Akamai รายงานว่า Echobot ใช้คำสั่งโจมตีช่องโหว่เพิ่มเป็น 26 ช่องโหว่แล้ว

นักวิจัยจาก Akamai ระบุว่า Echobot มีการเพิ่มความสามารถในการโจมตีข้ามแพลตพอร์ม แทนที่จะแพร่กระจายแค่กับอุปกรณ์ที่มีระบบปฏิบัติการฝังอยู่ภายใน เช่น เราเตอร์ กล้อง และ DVRs ตอนนี้ Echobot เพิ่มการใช้ช่องโหว่ในเว็บองค์กร อย่างช่องโหว่ Oracle WebLogic และช่องโหว่ในซอฟต์แวร์ระบบเครือข่ายอย่าง VMware SD-WAN เพื่อให้เป้าหมายติดมัลแวร์และแพร่กระจายมัลแวร์

วิธีแปลกใหม่ในการพัฒนา botnet โดยใช้การหาช่องโหว่ที่ไม่เกี่ยวข้องนั้นไม่ได้เป็นลักษณะเฉพาะของ Echobot เท่านั้น แต่เป็นแนวโน้มที่ IoT botnet ทั้งหมดจะใช้ในอนาคต
ผู้เขียน botnet บางคนบอกว่า ในอดีตพวกเขาเริ่มต้นด้วยการเลือกหาช่องโหว่โดยการสุ่ม แต่พวกเขาจะเลือกใช้ต่อเฉพาะช่องโหว่ที่ทำให้เกิดการแพร่กระจายได้มาก และเลิกใช้ช่องโหว่ที่แพร่กระจายได้น้อย โดยวงจรเปลี่ยนแปลงช่องโหว่เหล่านี้จะมีระยะสั้นเพียงไม่กี่วัน ซึ่งช่องโหว่ที่ Echobot ใช้ในตอนนี้ถือได้ว่าเป็นช่องโหว่ที่ botnet ต่างๆ จะนำมาใช้ตามต่อไป

ผู้ใช้งานและผู้ดูแลระบบสามารถตรวจสอบรายการช่องโหว่ที่ Echobot ใช้โจมตีล่าสุดได้จาก https://blogs.

Misconfigured Memcached Servers Abused to Amplify DDoS Attacks

อาชญากรไซเบอร์ที่อยู่เบื้องหลังการโจมตี DDoS ได้เพิ่มเทคนิคใหม่ช่วยให้สามารถโจมตีแบบ Amplify Attacks มากถึง 51,200x โดยใช้ Misconfigured Memcached Servers ที่สามารถเข้าถึงได้ผ่านทางอินเทอร์เน็ตสาธารณะ

เทคนิคนี้รายงานโดย Akamai, Arbor Networks และ Cloudflare เมื่อวันอังคารที่ผ่านมา มีการสังเกตเห็นการโจมตี DDoS โดยใช้แพคเก็ต User Datagram Protocol (UDP) เพื่อขยายทราฟฟิก Response ให้มีขนาดใหญ่กว่าทราฟฟิก Request โดยใช้ Memcached Servers

การโจมตีแบบ Reflection จะเกิดขึ้นเมื่อผู้โจมตีทำการปลอมหมายเลข IP ของเหยื่อแล้วส่ง Request ไปยังเครื่องจำนวนมาก ทำให้เกิด Response ขนาดใหญ่ถูกส่งกลับไปยังเป้าหมายตามหมายเลข IP ซึ่งจะทำให้เครือข่ายดังกล่าวล้มเหลว การโจมตี DDoS ประเภทนี้แตกต่างจากการโจมตี Amplification Attacks ในการโจมตีแบบ Amplification Attacks ผู้โจมตีจะส่งคำขอแพ็คเก็ต UDP ที่มีไบต์ขนาดเล็กไปยัง Memcached Server ที่เปิดใช้พอร์ต 11211

Majkowski กล่าวว่า “15 bytes ของ Request ที่ส่งมาทำให้เกิด Response ขนาด 134 KB นี่เป็นการโจมตี Amplification Factor ระดับ 10,000x! ในทางปฏิบัติ เราพบว่า Request ขนาด 15 bytes ทำให้เกิด Response ขนาด 750 KB (ขยายถึง 51,200x)”

Recommendation : การป้องการโจมตีควรกำหนดการตั้งค่า Firewall หรือปิดพอร์ต UDP 11211 ในกรณีที่ไม่มีการใช้งาน

ที่มา : Threatpost