ในสัปดาห์ที่ผ่านมา Threat Hunting ของ Cyble ได้พบหลายกรณีที่มีความพยายามในการใช้ช่องโหว่, การโจมตีด้วยมัลแวร์, การหลอกลวงทางการเงิน และการโจมตีแบบ brute-force ผ่านเครือข่าย Honeypot sensors ของพวกเขา
ในระหว่างวันที่ 18-24 กันยายน นักวิจัยจาก Cyble ได้พบการโจมตีโดยใช้ช่องโหว่จำนวน 5 รายการ ซึ่งรวมถึงการโจมตีปลั๊กอินตัวใหม่ใน WordPress ที่มุ่งเป้าไปที่อุตสาหกรรมธนาคาร, การตรวจพบอีเมลสแปมใหม่กว่า 400 รายการ และการโจมตีแบบ brute-force หลายพันครั้ง
การโจมตีโดยใช้ช่องโหว่
Cyble sensors ตรวจพบช่องโหว่ใหม่ 5 รายการที่กำลังถูกโจมตีอย่างต่อเนื่อง นอกเหนือจากช่องโหว่เก่าจำนวนหนึ่งที่ยังคงถูกโจมตีอยู่
รายการที่ 1 : SQL Injection Attack
CVE-2024-27956 เป็นช่องโหว่ความรุนแรงระดับ 9.9 ที่เกิดจากการแก้ไข Special Elements ที่ไม่เหมาะสมในการใช้คำสั่ง SQL ที่พบในปลั๊กอิน ValvePress Automatic ของ WordPress โดยช่องโหว่นี้ทำให้เกิดการโจมตีแบบ SQL Injection ซึ่งช่องโหว่นี้ส่งผลกระทบกับเวอร์ชันของปลั๊กอิน Automatic ตั้งแต่เวอร์ชัน n/a ไปจนถึงเวอร์ชัน 3.92.0
รายการที่ 2 : PHP CGI Argument Injection Vulnerability
CVE-2024-4577 เป็นช่องโหว่ความรุนแรงระดับ 9.8 ใน PHP ที่ส่งผลกระทบกับการตั้งค่า CGI และถูกโจมตีมาตั้งแต่มีการประกาศในเดือนมิถุนายน ช่องโหว่นี้ทำให้ผู้ไม่หวังดีสามารถรันคำสั่งที่กำหนดเองผ่าน URL parameters ที่ถูกสร้างขึ้นเป็นพิเศษ ช่องโหว่นี้ส่งผลกระทบกับ PHP เวอร์ชัน 8.1.* ก่อน 8.1.29, 8.2.* ก่อน 8.2.20, และ 8.3.* ก่อน 8.3.8 เมื่อใช้ Apache และ PHP-CGI บนระบบ Windows
รายการที่ 3 : GeoServer Vulnerability Allows Remote Code Execution via Unsafe XPath Evaluation
CVE-2024-36401 เป็นช่องโหว่ความรุนแรงระดับ 9.8 ในการรันโค้ดที่เป็นอันตรายจากระยะไกล (RCE) ใน GeoServer เวอร์ชันก่อนหน้า 2.23.6, 2.24.4 และ 2.25.2 ช่องโหว่นี้เกิดจากการประมวลผล OGC request parameters (Open Geospatial Consortium) ในรูปแบบ XPath ที่ไม่ปลอดภัย ทำให้ผู้ใช้ที่ไม่ผ่านการยืนยันตัวตน สามารถรันโค้ดที่เป็นอันตรายได้ ช่องโหว่นี้ส่งผลกระทบกับ GeoServer ทั้งหมด เนื่องจากการจัดการประเภทฟีเจอร์ที่ไม่เหมาะสม ปัจจุบันมีการอัปเดตแพตช์เพื่อแก้ไขปัญหานี้แล้ว และการแก้ไขปัญหาชั่วคราวคือการลบไลบรารี gt-complex ที่มีช่องโหว่ ซึ่งอาจส่งผลกระทบกับฟังก์ชันการทำงานของระบบได้
รายการที่ 4 : Network Command Injection Vulnerability Without Authentication
CVE-2024-7029 เป็นช่องโหว่ความรุนแรงระดับ 8.7 ใน IP camera ของ AVTECH ที่ทำให้ผู้โจมตีจากภายนอกสามารถ inject และรันคำสั่งผ่านเครือข่ายโดยไม่ต้องผ่านการยืนยันตัวตน ช่องโหว่นี้ถือว่าร้ายแรง เนื่องจากทำให้สามารถเข้าควบคุมระบบที่ได้รับผลกระทบได้โดยไม่ได้รับอนุญาต
รายการที่ 5: Network Command Injection Vulnerability Without Authentication
ปลั๊กอิน porte_plume ที่ใช้ใน SPIP ก่อนเวอร์ชัน 4.30-alpha2, 4.2.13, และ 4.1.16 มีช่องโหว่ในการรันโค้ดที่เป็นอันตราย (arbitrary code execution) ที่มีความรุนแรงระดับ 9.8 (CVE-2024-7954) ผู้โจมตีจากภายนอกที่ไม่ต้องผ่านการยืนยันตัวตน สามารถรัน PHP ที่เป็นอันตรายในฐานะผู้ใช้ SPIP ได้โดยการส่ง HTTP request ที่ถูกสร้างขึ้นเป็นพิเศษ
Octo2: มัลแวร์ตัวใหม่ที่มุ่งเป้าหมายการโจมตีไปที่ธนาคารในยุโรป
Octo2 เป็น mobile banking trojan ตัวใหม่ซึ่งถูกพบเมื่อไม่นานมานี้ในการโจมตีธนาคารในยุโรป และคาดว่าจะมีการแพร่กระจายไปในภูมิภาคอื่น ๆ ทั่วโลกในอนาคต
Octo (หรือที่เรียกว่า ExobotCompact) ได้กลายเป็นหนึ่งในกลุ่มมัลแวร์ที่โดดเด่นที่สุดในแวดวงภัยคุกคามบนมือถือ โดยมีจำนวนตัวอย่างที่ไม่ซ้ำกันถูกตรวจพบในปีนี้ เมื่อไม่นานมานี้ ได้มีการค้นพบเวอร์ชันใหม่ชื่อ “Octo2” ซึ่งสร้างขึ้นโดยผู้ไม่หวังดีกลุ่มเดิม ซึ่งแสดงให้เห็นถึงการเปลี่ยนแปลงในกลยุทธ และเทคนิคของผู้ไม่หวังดี เวอร์ชันที่อัปเกรดนี้มีความสามารถในการดำเนินการจากระยะไกลที่ดีขึ้น โดยเฉพาะในการโจมตีในรูปแบบ Device Takeover ทำให้การดำเนินการมีความเสถียรมากขึ้น
แคมเปญใหม่ของ Octo2 ได้เริ่มมีการพบการโจมตีที่มุ่งเป้าไปยังหลายประเทศในยุโรป นอกจากนี้ Octo2 ยังใช้เทคนิคการหลีกเลี่ยงการตรวจจับขั้นสูง รวมถึงการนำเสนออัลกอริธึมการสร้างโดเมน (Domain Generation Algorithm - DGA) ซึ่งช่วยเพิ่มความสามารถในการแฝงตัวในระบบรักษาความปลอดภัยได้ดียิ่งขึ้น
Hashes และ IoCs ที่รู้จักผ่าน Threat Fabric
Cyble ได้ตรวจพบอีเมลสแปมใหม่จำนวน 410 รายการที่ถูกใช้ในแคมเปญ
การตรวจพบพอร์ตที่ถูกโจมตีด้วยวิธีการแบบ Brute-Force
จากการตรวจพบการโจมตีแบบ Brute-Force หลายพันครั้งโดย Cyble พอร์ตต่อไปนี้ถูกพบมากที่สุด โดยการกระจายของพอร์ตที่ถูกโจมตีตาม 5 ประเทศที่พบมากที่สุด
สหรัฐอเมริกา: Port 22 (40%), Port 3389 (32%), Port 445 (21%), Port 23 (4%), และ Port 80 (3%)
ตุรกีมุ่ง: Port 3389 (100%)
รัสเซีย: Port 5900 และ Port 445
จีน: Port 5900 และ Port 445
บัลแกเรีย: Port 5900 และ Port 445
นักวิเคราะห์ด้านความปลอดภัยแนะนำให้เพิ่มการบล็อกการเข้าถึงจากภายนอกในระบบรักษาความปลอดภัยสำหรับพอร์ตที่กำลังถูกใช้ในการโจมตี (เช่น 22, 3389, 443, 445, 5900, และ 3306)
คำแนะนำ
ดำเนินการ block Hashes URLs และข้อมูลอีเมลในระบบรักษาความปลอดภัย
อัปเดตแพตช์ช่องโหว่ทั้งหมด และตรวจสอบการแจ้งเตือน Suricata ที่สำคัญในเครือข่ายภายในอย่างสม่ำเสมอ
ตรวจสอบ ASN และ IP ของผู้โจมตีอย่างต่อเนื่อง
Block IP ที่ใช้ในการโจมตีแบบ Brute Force และพอร์ตที่ถูกโจมตีตามที่ระบุไว้
รีเซ็ตชื่อผู้ใช้ และรหัสผ่านเริ่มต้นทันทีเพื่อลดความเสี่ยงจากการโจมตีแบบ brute-force และบังคับให้มีการเปลี่ยนแปลงรหัสผ่านเป็นระยะ
สำหรับเซิร์ฟเวอร์ ควรตั้งรหัสผ่านที่รัดกุม และยากต่อการคาดเดา
ที่มา : CYBLE