ไมโครซอฟต์เข้าขัดขวางปฏิบัติการของแฮกเกอร์จีน Gadolinium ในการใช้ Azure เป็นฐานในการโจมตี

ไมโครซอฟต์รายงานผลการวิเคราะห์และขัดขวางปฏิบัติการของแฮกเกอร์จีนกลุ่ม Gadolinium หลังจากมีการตรวจพบ TTP ใหม่ซึ่งผู้โจมตีมีการย้ายมาใช้ประโยชน์ free-trial sรือ one-time payment (PayGo) ของบริการ Azure และการพัฒนาแอปใน Azure Active Directory มาใช้ในการโจมตี

Gadolinium เป็นกลุ่มแฮกเกอร์จากจีนซึ่งถูกตรวจพบพฤติกรรมครั้งแรกในปี 2016 โดยมีการเปลี่ยนพฤติกรรมการโจมตี เครื่องมือที่ใช้และเป้าหมายอยู่เรื่อยมา ในปี 2020 นั้น กลุ่ม Gadolinium มีวิธีการเข้าถึงและโจมตีอยู่โดยอาศัยการส่ง spear phishing ในอ้างอิงข้อมูลของ COVID-19 ซึ่งมีการสอดแทรกโค้ดอันตรายอยู่ข้างใน โดยหากมีการเปิดไฟล์แล้ว จะมีการดาวโหลด Payload ส่วนที่สองในลักษณะของไฟล์ PNG ที่มีโค้ด PowerShell จากบริการ Microsoft Graph API โดยโค้ด PowerShell ดังกล่าวถูกสร้างมาจากโครงการ PowerShell Empire

เป้าหมายส่วนหนึ่งของกลุ่ม Gadolinium ในปี 2020 นั้นคือการเข้าถึงใน Microsoft OneDrive Storage ซึ่งแฮกเกอร์มีการสร้าง Azure Active Directory เอาไว้ในการเข้าถึงและขโมยข้อมูลออกมา โดยในกรณีนี้ ไมโครซอฟต์มีการตรวจพบแอปกว่า 18 รายการที่เกี่ยวข้องกับการโจมตีและได้นำออกจากระบบเป็นที่เรียบร้อยแล้ว

เซอร์วิส Cloud กำลังจะกลายเป็นปัญหาในการตรวจจับและเฝ้าระวังภัยคุกคามใหม่ในเร็ววันนี้หากองค์กรไม่มีการขยับตัวตาม เราขอแนะนำให้ศึกษารายละเอียดพฤติกรรมการโจมตีเพื่อการสร้างความปลอดภัยที่เหมาะสมจากข้อมูลในแหล่งที่มา

ที่มา: microsoft.

RangeAmp attacks can take down websites and CDN servers

“RangeAmp” เทคนิคการโจมตี DoS รูปแบบใหม่ที่สามารถทำให้เว็บไซต์และเซิร์ฟเวอร์ CDN หยุดให้บริการ

กลุ่มนักวิจัยจากสถาบันการศึกษาของจีนได้เผยเเพร่การค้นพบเทคนิคการโจมตี Denial-of-Service (DoS) รูปแบบใหม่ที่ชื่อว่า “RangeAmp” โดยใช้ประโยชน์จากแอตทริบิวต์ HTTP "Range Requests" ทำการขยายแพ็คเก็ต HTTP Requests เพื่อเพิ่มปริมาณและใช้ในการโจมตีเว็บไซต์และเซิร์ฟเวอร์ CDN

HTTP Range Requests เป็นมาตรฐานของ HTTP ที่จะอนุญาตให้ไคลเอนต์สามารถร้องขอส่วนหนึ่งของไฟล์อย่างเฉพาะเจาะจง ซึ่งช่วยให้เกิดการหยุดการเชื่อมต่อหรือร้องขอให้การเชื่อมต่อกลับมาเมื่อต้องเผชิญกับความไม่เสถียรของการเชื่อมต่อเครือข่าย ด้วยเหตุนี้จึงมีการอิมพลีเมนต์และรองรับโดยเว็บเบราว์เซอร์และเซิร์ฟเวอร์ CDN

กลุ่มนักวิจัยกล่าว่า การเทคนิคการโจมตี “RangeAmp” นั้นมีรูปแบบอยู่ 2 รูปแบบที่ต่างกันคือ

เทคนิคโจมตี RangeAmp Small Byte Range (SBR) ผู้โจมตีจะส่งคำร้องขอช่วง HTTP รูปแบบพิเศษไปยังผู้ให้บริการ CDN ซึ่งจะเพิ่มปริมาณการรับส่งข้อมูลไปยังเซิร์ฟเวอร์ปลายทางเพื่อทำให้เว็บไซต์เป้าหมายเสียหายและหยุดให้บริการ การโจมตีด้วยเทคนิคนี้สามารถขยายทราฟฟิกจากแพ็คเก็ตการส่งปกติไปจนถึง 724 ถึง 43,330 เท่าของทราฟฟิกเดิม
เทคนิคโจมตี RangeAmp Overlapping Byte Ranges (OBR) ผู้โจมตีจะส่งคำขอ HTTP รูปแบบพิเศษไปยังผู้ให้บริการ CDN ทราฟฟิคจะเกิดการขยายขึ้นภายในเซิร์ฟเวอร์ CDN ซึงจะทำให้เกิดการโจมตี DoS ได้ทั้งเว็บไซต์ปลายทางและเซิร์ฟเวอร์ CDN การโจมตีด้วยเทคนิคนี้สามารถขยายทราฟฟิกจากการโจมตีได้ถึง 7,500 เท่าจากแพ็คเก็ตการส่งปกติ

นักวิจัยกล่าวว่าเทคนิคโจมตี “RangeAmp” นี้มีส่งผลต่อผู้ให้บริการเซิร์ฟเวอร์ CDN หลายเจ้าได้เเก่ Akamai, Alibaba Cloud, Azure, Cloudflare, CloudFront, CDNsun, CDN77, Fastly, Labs G-Core, Huawei Cloud, KeyCDN และ Tencent Cloud

ทั้งนี้ผู้ที่สนใจเทคนิคการโจมตี “RangeAmp” สามารถอ่านรายละเอียดเพิ่มเติมได้ที่: liubaojun

ที่มา: zdnet

Hackers Exploit ‘Flash’ Vulnerability in Yahoo Ads

บริษัทความปลอดภัย Malwarebytes รายงานว่าในรอบสัปดาห์ที่ผ่านมา (นับตั้งแต่ 28 ก.ค.) มีแฮกเกอร์ใช้เครือข่ายโฆษณาของ Yahoo เผยแพร่มัลแวร์ครั้งใหญ่ที่สุดครั้งหนึ่งในประวัติศาสตร์วงการไอที
Malwarebytes ตรวจสอบพบว่าแฮกเกอร์รายนี้เช่าเซิร์ฟเวอร์ Azure บวกกับเซิร์ฟเวอร์ของตัวเอง แล้วลงโฆษณาผ่านระบบของ Yahoo ให้อยู่ในรูปไฟล์ Flash โดยฝังโค้ดประสงค์ร้ายไว้ในโฆษณา ถ้าหากผู้ใช้ที่โชคร้ายเปิดมาพบโฆษณาชุดนี้ และ Flash Player ในเครื่องไม่ได้อัพเดตเป็นเวอร์ชั่นล่าสุด ก็จะโดนเจาะผ่านช่องโหว่ของ Flash ทันที
ความร้ายแรงของการแพร่มัลแวร์รอบนี้อาศัยช่องโหว่ที่ผู้ใช้จำนวนมากไม่ยอมอัพเดต Flash บวกกับเครือข่ายโฆษณาของ Yahoo ที่เข้าถึงเว็บใหญ่ๆ เป็นจำนวนมาก ทำให้มีคนที่ได้รับผลกระทบในวงกว้าง
โฆษณาที่ว่านี้แสดงเป็นเวลานานประมาณ 1 สัปดาห์ หลังจากที่ Malwarebytes พบเข้าจึงแจ้งไปยัง Yahoo และบริษัทก็สั่งปิดโฆษณาทันที

ที่มา : The New York Times