กลุ่มผู้โจมตีที่ชื่อว่า Matrix ได้ถูกเชื่อมโยงกับการโจมตีแบบ Denial-of-Service (DoS) โดยอาศัยช่องโหว่จากการตั้งค่าที่ผิดพลาดในอุปกรณ์ Internet of Things (IoT) เพื่อนำอุปกรณ์เหล่านั้นมาใช้เป็น botnet เพื่อโจมตีระบบ (more…)
Matrix Botnet ใช้ประโยชน์จากช่องโหว่ในอุปกรณ์ IoT ในการโจมตีแบบ DDoS
กลุ่ม Volt Typhoon สร้างเครือข่าย botnet ขึ้นใหม่หลังจากถูก FBI ขัดขวาง
นักวิจัยจาก SecurityScorecard ระบุว่า กลุ่มผู้โจมตี Volt Typhoon ที่ได้รับการสนับสนุนจากรัฐบาลจีน ได้เริ่มสร้าง "KV-Botnet" botnet ขึ้นมาใหม่หลังจากที่ถูกหน่วยงานบังคับใช้กฎหมายเข้ามาควบคุมในเดือนมกราคม 2024 (more…)
พบช่องโหว่ใน QNAP VioStor NVR ที่ถูก InfectedSlurs Botnet ใช้ในการโจมตี
พบ Mirai-base Botnet ในชื่อ “InfectedSlurs” กำลังโจมตีโดยใช้ช่องโหว่การเรียกใช้โค้ดที่เป็นอันตรายจากระยะไกล Remote Code Execution (RCE) ในอุปกรณ์ QNAP VioStor NVR (Network Video Recorder) เพื่อยึดเครื่องเป้าหมาย และนำไปใช้ในการโจมตีแบบ DDoS (distributed denial of service) ต่อไป
(more…)
สหรัฐฯ จัดการปิด IPStorm Botnet หลังแฮ็กเกอร์ชาวรัสเซีย-มอลโดวายอมรับผิด
เมื่อวันอังคารที่ผ่านมา รัฐบาลสหรัฐฯ ได้ประกาศปิดเครือข่ายพร็อกซี และโครงสร้างพื้นฐานของ IPStorm Botnet เนื่องจากแฮ็กเกอร์ชาวรัสเซีย และมอลโดวาที่อยู่เบื้องหลังปฏิบัติการดังกล่าวรับสารภาพความผิด
โดยกระทรวงยุติธรรม (DoJ) ระบุในการแถลงข่าวว่า Botnet ตัวนี้สามารถทำงานได้ทั้งบน Windows, Linux, Mac และ Android ทำให้ส่งผลกระทบกับคอมพิวเตอร์ และอุปกรณ์อิเล็กทรอนิกส์อื่น ๆ ทั่วโลก ทั้งในเอเชีย ยุโรป อเมริกาเหนือ และอเมริกาใต้
Sergei Makinin ผู้พัฒนามัลแวร์ ซึ่งทำให้อุปกรณ์ที่เชื่อมต่อกับอินเทอร์เน็ตหลายพันเครื่องถูกโจมตีมาตั้งแต่เดือนมิถุนายน 2019 ถึงธันวาคม 2022 ต้องรับโทษจำคุกสูงสุดกว่า 30 ปี
Botnet ถูกพัฒนาด้วยภาษา Golang-based โดยมันจะเปลี่ยนอุปกรณ์ที่ถูกโจมตีให้กลายเป็นพร็อกซี ซึ่งจะถูกใช้ในการสร้างรายได้ให้กับผู้โจมตี โดยการนำไปเสนอขายให้กับผู้โจมตีรายอื่นผ่านทาง proxx[.]io และ proxx[.]net
(more…)
พบ Proxy Botnet ขนาดใหญ่กว่า 400,000 ระบบ ถูกสร้างขึ้นจากการติดมัลแวร์
นักวิจัยพบแคมเปญขนาดใหญ่ที่ส่งแอปพลิเคชันพร็อกซีเซิร์ฟเวอร์ไปยังระบบปฏิบัติการ windows อย่างน้อย 400,000 ระบบ โดยอุปกรณ์เหล่านี้ทำหน้าที่เป็น exit nodes โดยไม่ได้รับความยินยอมจากผู้ใช้งาน และมีบริษัทหนึ่งกำลังถูกตรวจสอบจากทราฟฟิกของพร็อกซีที่ทำงานผ่านเครื่องของบริษัท
Residential proxies มีประโยชน์ต่อผู้โจมตี เพราะสามารถนำไปใช้ในการโจมตีแบบ credential stuffing เนื่องจากทำให้ IP ที่ใช้ในการโจมตีแตกต่างกัน นอกจากนี้ยังมีจุดประสงค์อื่น ๆ เช่น การกดโฆษณา, การรวบรวมข้อมูล, การทดสอบเว็บไซต์ หรือการกําหนด routing เพื่อเพิ่มความเป็นส่วนตัว
บริษัทตัวแทนบางแห่งขายสิทธิ์การเข้าถึง residential proxies และยังเสนอผลตอบแทนทางการเงินให้กับผู้ใช้งานที่ตกลงที่จะแชร์แบนด์วิดท์อีกด้วย (more…)
พบ Gafgyt malware กำลังโจมตี Zyxel router ที่หมดอายุการใช้งาน ด้วยช่องโหว่ที่ถูกเปิดเผยมาแล้วกว่า 5 ปี
Fortinet บริษัทด้านความปลอดภัยทางไซเบอร์ แจ้งเตือนการพบ Gafgyt botnet ที่กำลังโจมตีโดยการใช้ช่องโหว่บน Zyxel router P660HN-T1A ที่หมดอายุการใช้งานไปแล้ว ซึ่งพบการโจมตีนับพันครั้งต่อวัน
CVE-2017-18368 เป็นช่องโหว่ระดับ Critical (คะแนน CVSS v3: 9.8) ที่สามารถหลีกเลี่ยงการตรวจสอบสิทธิ์ในฟังก์ชัน Remote System Log forwarding ซึ่งได้รับการแก้ไขโดย Zyxel ในปี 2017 โดยส่งผลกระทบต่ออุปกรณ์ที่ใช้ firmware versions 7.3.15.0 v001/3.40(ULM.0)b31 หรือเก่ากว่า
มัลแวร์ AVrecon มุ่งเป้าโจมตีไปยัง Linux routers กว่า 70,000 เครื่องเพื่อสร้าง botnet
ทีมนักวิจัยภัยคุกคามทางไซเบอร์ Black Lotus Labs ของ Lumen รายงานการค้นพบ stealthy Linux malware ที่มีชื่อว่า AVrecon ได้แพร่กระจายไปยัง Linux-based small office/home office (SOHO) routers กว่า 70,000 เครื่อง เพื่อสร้าง botnet ที่ออกแบบมาเพื่อแอบใช้งานแบนด์วิดท์ และให้บริการ proxy ทำให้ Hacker สามารถนำไปใช้ในการฉ้อโกงโฆษณาดิจิทัล หรือโจมตีแบบ password spraying ได้ (more…)
Mirai botnet มุ่งเป้าการโจมตีไปยังช่องโหว่กว่า 22 รายการ ในอุปกรณ์ D-Link, Zyxel, Netgear
ทีมนักวิจัยจาก Unit 42 ของ Palo Alto Networks รายงานการพบแคมเปญการโจมตีโดยใช้ Mirai botnet ในการโจมตีต่อเนื่องกัน 2 แคมเปญ โดยพบการโจมตีตั้งแต่เดือนมีนาคมจนถึงเมษายน 2023 ซึ่งได้มุ่งเป้าหมายการโจมตีไปยังช่องโหว่กว่า 22 รายการ ในอุปกรณ์ D-Link, Arris, Zyxel, TP-Link, Tenda, Netgear และ MediaTek เพื่อควบคุมเครื่องเป้าหมาย และนำไปใช้ในการโจมตีแบบ Distributed Denial-of-Service (DDoS) ต่อไป (more…)
Zyxel ออกคำแนะนำในการปกป้องไฟร์วอลล์จากการโจมตีอย่างต่อเนื่องจากช่องโหว่
Zyxel ได้เผยแพร่คำแนะนำด้านความปลอดภัยที่มีคำแนะนำเกี่ยวกับการปกป้องไฟร์วอลล์ และอุปกรณ์ VPN จากการโจมตีอย่างต่อเนื่อง และการตรวจจับสัญญาณของการโจมตีจากช่องโหว่
คำเตือนดังกล่าวป็นการตอบสนองต่อการโจมตีโดยใช้ช่องโหว่ที่มีระดับความรุนแรงสูงหมายเลข CVE-2023-28771, CVE-2023-33009 และ CVE-2023-33010 อย่างกว้างขวาง ซึ่งทั้งหมดนี้ส่งผลกระทบต่ออุปกรณ์ VPN และไฟร์วอลล์ของ Zyxel
Zyxel พบว่ามี botnet ได้ใช้ประโยชน์จากช่องโหว่ CVE-2023-28771 เพื่อดำเนินการคำสั่งที่เป็นอันตรายจากระยะไกล (remote command execution) ผ่านแพ็กเก็ตที่เป็นอันตรายที่สร้างขึ้นเป็นพิเศษ รวมถึงช่องโหว่อีก 2 รายการ ได้แก่ CVE-2023-33009 และ CVE-2023-33010 ซึ่งเป็นช่องโหว่ buffer overflow ที่ทำให้ Hacker สามารถหลีกเลี่ยงการตรวจสอบสิทธิ์ และ denial of service (DoS) บนอุปกรณ์ที่มีช่องโหว่ หรือเรียกใช้โค้ดที่เป็นอันตรายจากระยะไกลได้
ตารางสรุปผลิตภัณฑ์ Zyxel ที่ได้รับผลกระทบ เวอร์ชันที่มีช่องโหว่ และเวอร์ชันอัปเดตความปลอดภัยสำหรับแต่ละรายการ
ลักษณะของปัญหา และการแก้ไข
Zyxel ระบุว่าลักษณะ หรือตัวบ่งชี้ที่ชัดเจนว่าอุปกรณ์ดังกล่าวได้ถูกโจมตีไปแล้ว นั่นคือการไม่ตอบสนอง และไม่สามารถเข้าถึงอินเทอร์เฟซผู้ใช้งานบนเว็บ หรือ SSH management panel ของอุปกรณ์ได้ รวมไปถึงความไม่เสถียรของการเชื่อมต่อ และการ VPN
คำแนะนำของ Zyxel คือการอัปเดตแพตซ์ด้านความปลอดภัย ได้แก่ 'ZLD V5.36 Patch 2' สำหรับ ATP – ZLD, USG FLEX และ VPN-ZLD และ 'ZLD V4.73 Patch 2' สำหรับ ZyWALL
ทั้งนี้หากผู้ดูแลระบบยังไม่สามารถทำการอัปเดตความปลอดภัยได้ทันที ทาง Zyxel แนะนำให้ดำเนินมาตรการเพื่อลดผลกระทบจากการโจมตี ดังนี้
ปิดใช้บริการ HTTP/HTTPS จาก WAN (Wide Area Network) เพื่อลดความเสี่ยงจากการเข้าถึงระบบที่มีช่องโหว่จากภายนอก
หากผู้ดูแลระบบจำเป็นต้องจัดการอุปกรณ์ผ่าน WAN ควรเปิดใช้งาน 'Policy Control' และเพิ่ม Rules ที่อนุญาตเฉพาะที่อยู่ IP ที่เชื่อถือได้เท่านั้นในการเข้าถึงอุปกรณ์
ทำการเปิดใช้การกรอง GeoIP เพื่อจำกัดการเข้าถึงของผู้ใช้งาน/ระบบจากสถานที่ที่เชื่อถือได้เท่านั้น
ปิด UDP Port 500 และ Port 4500 หากไม่ได้ใช้งาน IPSec VPN ซึ่งเป็นการปิดช่องทางสำหรับการโจมตี
ที่มา : bleepingcomputer
มัลแวร์ RapperBot DDoS เพิ่มช่องหารายได้ใหม่ด้วย cryptojacking
พบตัวอย่างใหม่ของ RapperBot Botnet มีการเพิ่มฟังก์ชัน cryptojacking ที่มีความสามารถในการขุด Cryptocurrency บนคอมพิวเตอร์ที่ใช้ CPU Intel x64
ด้วยการพัฒนาอย่างต่อเนื่อง ในช่วงแรกผู้พัฒนามัลแวร์ได้เพิ่มความสามารถในการขุด Cryptocurrency ซึ่งแยกออกจากการทำงานของ Botnet จนกระทั่งในช่วงปลายเดือนมกราคมที่ผ่านมาฟังก์ชันการขุด Cryptocurrency ก็ถูกรวมเข้ากับ Botnet ในที่สุด
แคมเปญการขุด Cryptocurrency ของ RapperBot
นักวิจัยของ Fortinet's FortiGuard Labs ติดตามปฏิบัติการของ RapperBot ตั้งแต่เดือนมิถุนายน 2565 และรายงานว่า RapperBot นั้นเน้นการโจมตีเซิร์ฟเวอร์ Linux SSH ด้วยวิธีการ brute-force และรวบรวมเซิร์ฟเวอร์เหล่านั้นเพื่อใช้ในการโจมตีแบบ DDoS
จากนั้นในเดือนพฤศจิกายน นักวิจัยพบการอัปเดตเวอร์ชันของ RapperBot ทีใช้การแพร่กระจายตัวเองผ่าน Telnet และรวบรวมคำสั่งที่เหมาะสมกับการโจมตีเซิฟเวอร์ของบริษัทเกม
โดยในสัปดาห์นี้ FortiGuard Labs มีการรายงานเกี่ยวกับเวอร์ชันของ RapperBot ที่มีการใช้ XMRig Monero เพื่อขุด Cryptocurrency บนเครื่องคอมพิวเตอร์ที่ใช้ CPU Intel x64
นักวิจัยระบุว่าแคมเปญนี้เริ่มถูกนำมาใช้งานตั้งแต่เดือนมกราคม และกำหนดเป้าหมายไปที่อุปกรณ์ IoT เป็นหลัก
ปัจจุบันโค้ดสำหรับการขุด Cryptocurrency ได้ถูกรวมเข้ากับ RapperBot และได้รับการเข้ารหัสแบบ double-layer XOR ซึ่งสามาถซ่อน mining pools และ Monero mining addresses จากนักวิเคราะห์ได้อย่างมีประสิทธิภาพ
FortiGuard Labs พบว่า Botnet ดังกล่าวได้มีการตั้งค่าการขุดจาก C2 เซิฟเวอร์ แทนการใช้งาน hardcoded static pool addresses และ multiple pool นอกจากนี้ยังมีการใช้กระเป่าเงินดิจิทัลหลายอันในการสำรองข้อมูล
IP ของ C2 มีการโฮสต์ mining proxy ไว้ 2 ตัว เพื่อให้การตรวจสอบ และติดตามยากยิ่งขึ้น นอกจากนี้หาก C2 เซิฟเวอร์ออฟไลน์ RapperBot เองก็มีการตั้งค่าให้ไปใช้ mining pool สาธารณะแทน
เพื่อเพิ่มประสิทธิภาพการขุดให้สูงสุด มัลแวร์ตัวนี้จะมีการตรวจสอบ และระบุ Process บนเครื่องของเหยื่อ หากพบ Process ของมัลแวร์ตัวอื่น ก็จะหยุดการทำงานของ Process ดังกล่าวอีกด้วย
ในการวิเคระห์ RapperBot เวอร์ชันล่าสุด binary network protocol ที่ใช้สำหรับการติดต่อกับ C2 เซิฟเวอร์ได้รับการปรับปรุงใหม่โดยใช้วิธีการเข้ารหัสแบบ two-layer เพื่อหลบหลีกการตรวจจับ นอกจากนี้ขนาด และช่วงเวลาของการส่ง request ไปยังเซิร์ฟเวอร์ C2 นั้นถูกสุ่มให้มีความแต่กต่างกันเพื่อให้การเชื่อมต่อนั้นตรวจพบได้ยากขึ้น
ในขณะที่นักวิจัยยังไม่สังเกตเห็นคำสั่ง DDoS ที่ส่งมาจากเซิร์ฟเวอร์ C2 ไปยังตัวอย่างที่วิเคราะห์ได้ แต่พวกเขาพบว่าเวอร์ชันล่าสุดของ Bot รองรับคำสั่งดังต่อไปนี้:
Perform DDoS attacks (UDP, TCP, and HTTP GET)
Stop DDoS attacks
Terminate itself (and any child processes)
RapperBot ดูเหมือนจะพัฒนาอย่างรวดเร็ว และเพิ่มความสามารถต่าง ๆ เพื่อเพิ่มรายได้ให้กับกลุ่มผู้โจมตี
เพื่อป้องกันอุปกรณ์จากการโจมตีของ RapperBot และมัลแวร์ที่คล้ายกัน
ผู้ใช้งานควรอัปเดตซอฟต์แวร์ให้เป็นปัจจุบันอยู่เสมอ และปิด Service ที่ไม่จำเป็นต้องใช้งาน
เปลี่ยนรหัสผ่านเริ่มต้นเป็นรหัสผ่านที่รัดกุม
ใช้ Firewall เพื่อ Block request ที่ไม่ได้รับอนุญาต
ที่มา : bleepingcomputer