C0XMO botnet ใช้ช่องโหว่ DD-WRT ในการแพร่กระจาย พร้อมลบมัลแวร์คู่แข่งออกจากระบบ

นักวิจัยตรวจพบบอตเน็ต Gafgyt สายพันธุ์ใหม่ชื่อ C0XMO ที่มุ่งเป้าโจมตีอุปกรณ์ซึ่งใช้เฟิร์มแวร์ DD-WRT โดยสามารถแพร่กระจายไปยังอุปกรณ์หลากหลายประเภทได้

(more…)

เนเธอร์แลนด์ทลายเครือข่าย Botnet ที่เชื่อมโยงกับอุปกรณ์ที่ติดมัลแวร์กว่า 17 ล้านเครื่อง

ทางการเนเธอร์แลนด์ได้ประกาศการทลายเครือข่ายบอตเน็ตที่เข้าควบคุมอุปกรณ์ที่ติดมัลแวร์หลายล้านเครื่อง ซึ่งรวมถึงคอมพิวเตอร์, แท็บเล็ต, สมาร์ตโฟน และอุปกรณ์ IoT เพื่อใช้ในการโจมตีทางไซเบอร์จำนวนมาก

(more…)

เครือข่ายบอทเน็ต Glassworm ถูกทำลายลง หลังจาก C2 infrastructure ถูก takedown

เครือข่าย botnet Glassworm ซึ่งมีเป้าหมายโจมตีกลุ่มนักพัฒนาซอฟต์แวร์ผ่าน software supply-chain attacks ถูกทำลายลงแล้วหลังจากที่นักวิจัยได้ takedown C2 infrastructure ซึ่งระบบดังกล่าวอาศัยการทำธุรกรรมบนบล็อกเชน Solana และเครือข่าย BitTorrent DHT ในการทำงาน (more…)

พบแคมเปญ Mirai ตัวใหม่ โจมตีช่องโหว่ RCE ในเราเตอร์ D-Link รุ่นที่ไม่ได้รับการสนับสนุน (EoL) แล้ว

มีการตรวจพบแคมเปญมัลแวร์ตัวใหม่ของ Mirai ที่กำลังโจมตีผ่านช่องโหว่ CVE-2025-29635 ซึ่งเป็นช่องโหว่ประเภท Command-injection ที่มีระดับความรุนแรงสูง โดยมุ่งเป้าไปที่อุปกรณ์เราเตอร์ D-Link รุ่น DIR-823X เพื่อนำอุปกรณ์เหล่านั้นเข้าเป็นส่วนหนึ่งของเครือข่าย botnet (more…)

Aisuru Botnet ทำลายสถิติโจมตี DDoS ทะลุ 29.7 Tbps

ภายในระยะเวลาเพียงสามเดือน Aisuru Botnet ได้มีการโจมตีแบบ DDoS ไปแล้วมากกว่า 1,300 ครั้ง โดยการโจมตีครั้งหนึ่งได้สร้างสถิติใหม่ด้วยปริมาณข้อมูลสูงถึง 29.7 เทระบิตต่อวินาที

(more…)

ASUS แจ้งเตือนช่องโหว่ auth bypass ระดับ Critical ใน Router รุ่น DSL

ASUS ได้ปล่อย firmware ใหม่เพื่อแก้ไขช่องโหว่ authentication bypass ระดับ critical ที่ส่งผลกระทบต่อเราเตอร์รุ่น DSL หลายรุ่น

ช่องโหว่ดังกล่าวมีหมายเลข CVE-2025-59367 ที่อาจทำให้ผู้โจมตีจากภายนอกที่ไม่ผ่านการยืนยันตัวตน สามารถล็อกอินเข้าสู่อุปกรณ์ที่ยังไม่ได้รับการแพตช์แก้ไข และเชื่อมต่อกับอินเทอร์เน็ต โดยเป็นการโจมตีที่มีความซับซ้อนต่ำ และไม่จำเป็นต้องมีการโต้ตอบจากผู้ใช้ (more…)

RondoDox Botnet มุ่งเป้าโจมตีโดยใช้ช่องโหว่แบบ n-day จำนวน 56 รายการ ในการโจมตีทั่วโลก

Botnet ขนาดใหญ่ตัวใหม่ที่ชื่อว่า RondoDox กำลังมุ่งเป้าโจมตีช่องโหว่จำนวน 56 รายการ บนอุปกรณ์มากกว่า 30 ประเภท ซึ่งรวมถึงช่องโหว่ที่ถูกเปิดเผยเป็นครั้งแรกในระหว่างการแข่งขัน Pwn2Own hacking

(more…)

สหรัฐฯ ตั้งข้อกล่าวหาผู้นำกลุ่ม Qakbot botnet ที่เชื่อมโยงกับการโจมตีด้วยแรนซัมแวร์

รัฐบาลสหรัฐฯ ได้ฟ้อง Rustam Rafailevich Gallyamov ชาวรัสเซีย ซึ่งเป็นหัวหน้ากลุ่มปฏิบัติการ Qakbot botnet ซึ่งโจมตีคอมพิวเตอร์กว่า 700,000 เครื่อง และเป็นช่องทางให้เกิดการโจมตีด้วยแรนซัมแวร์

Gallyamov เริ่มพัฒนา Qakbot ตั้งแต่ปี 2008 และได้สร้างเครือข่ายคอมพิวเตอร์ที่ติดมัลแวร์จำนวนมาก ต่อมาได้มีการจัดตั้งทีมพัฒนาขึ้นเพื่อดูแล Qakbot โดยภายใต้การนำของเขา ยังมีการสร้างมัลแวร์ประเภทอื่น ๆ เพิ่มเติม

ตลอดเวลากว่า 10 ปี Gallyamov ใช้ Qakbot เป็น banking trojan ที่สามารถแพร่กระจายแบบ worm ได้, มี malware dropper หรือ backdoor ซึ่งสามารถบันทึกการกดแป้นพิมพ์ของผู้ใช้งานได้อีกด้วย

ตั้งแต่ปี 2019 Qakbot กลายเป็นช่องทางติดมัลแวร์ในเบื้องต้นของการโจมตีด้วยแรนซัมแวร์ของกลุ่มอาชญากรรมไซเบอร์ชื่อดังอย่าง Conti, REvil, Egregor, Doppelpaymer และอื่น ๆ โดย Gallyamov ถูกกล่าวหาว่าได้รับส่วนแบ่งจากค่าไถ่ที่เหยื่อจ่าย ซึ่งขึ้นอยู่กับข้อตกลงกับแต่ละกลุ่มแรนซัมแวร์

(more…)

Botnet ตัวใหม่ HTTPBot เปิดตัวการโจมตีแบบ DDoS ที่มีความแม่นยำสูงมากกว่า 200 ครั้ง โดยมุ่งเป้าไปที่ภาคส่วนอุตสาหกรรม Gaming และ Technology

นักวิจัยด้านความปลอดภัยทางไซเบอร์ได้ออกมาเตือนถึงมัลแวร์ botnet ตัวใหม่ที่ชื่อ HTTPBot ซึ่งถูกใช้เพื่อมุ่งเป้าโจมตีไปที่อุตสาหกรรมเกม รวมถึงบริษัทเทคโนโลยี และสถาบันการศึกษาในประเทศจีน

NSFOCUS ระบุว่า “ในช่วงหลายเดือนที่ผ่านมา HTTPBot ได้ขยายตัวอย่างรวดเร็ว โดยใช้อุปกรณ์ที่ติดมัลแวร์เป็นฐานในการโจมตีระบบภายนอกอย่างต่อเนื่อง และใช้การโจมตีแบบ simulated HTTP Flood ที่มาพร้อมกับเทคนิคการ obfuscation ทำให้สามารถหลบหลีกระบบตรวจจับแบบ rule-based ได้”

HTTPBot ถูกพบครั้งแรกในเดือนสิงหาคม 2024 โดยได้รับชื่อจากการใช้โปรโตคอล HTTP ในการโจมตีแบบ DDoS (Distributed Denial-of-Service) โดยมัลแวร์ตัวนี้ถูกเขียนด้วยภาษา Golang ซึ่งถือเป็นเรื่องที่ค่อนข้างผิดปกติ เนื่องจากเป้าหมายหลักเป็นระบบปฏิบัติการ Windows

Botnet trojan ที่ทำงานบนระบบ Windows ตัวนี้ ถูกใช้ในการโจมตีเป้าหมายแบบเฉพาะเจาะจงอย่างแม่นยำ โดยมุ่งเป้าไปที่ business interfaces ที่มีมูลค่าสูง เช่น ระบบการล็อกอินเกม และระบบการชำระเงิน

บริษัทที่มีสำนักงานใหญ่ในปักกิ่ง ระบุว่า “การโจมตีที่มีความแม่นยำสูงนี้ ก่อให้เกิดภัยคุกคามต่ออุตสาหกรรมที่ต้องพึ่งพาการโต้ตอบแบบเรียลไทม์ นอกจากนี้ HTTPBot ถือเป็นจุดเปลี่ยนแนวทางของการโจมตีแบบ DDoS โดยจากเดิมที่จะเน้นการใช้ทราฟฟิกโจมตีแบบไม่ระบุเป้าหมาย (indiscriminate traffic suppression) ไปสู่การโจมตีจุดสำคัญของธุรกิจอย่างแม่นยำ (high-precision business strangulation)”

มีการคาดการณ์ว่า HTTPBot ถูกใช้ในการโจมตีไปแล้วไม่น้อยกว่า 200 ครั้ง นับตั้งแต่ต้นเดือนเมษายน 2025 ที่ผ่านมา โดยการโจมตีเหล่านี้มุ่งเป้าไปที่ อุตสาหกรรมเกม, บริษัทเทคโนโลยี, สถาบันการศึกษา และเว็บไซต์ด้านการท่องเที่ยวในประเทศจีน

เมื่อมัลแวร์ถูกติดตั้ง และเริ่มทำงาน มัลแวร์จะซ่อน graphical user interface (GUI) ของตัวเอง เพื่อหลีกเลี่ยงการถูกตรวจสอบจากทั้งผู้ใช้งาน และเครื่องมือรักษาความปลอดภัย โดยมีเป้าหมายเพื่อเพิ่มความสามารถในการแอบแฝงเพื่อการโจมตี นอกจากนี้มัลแวร์ยังใช้วิธีการปรับแต่ง Windows Registry โดยไม่ได้รับอนุญาต เพื่อให้สามารถทำงานได้โดยอัตโนมัติทุกครั้งที่ระบบเริ่มทำงาน

จากนั้น botnet ตัวนี้จะดำเนินการเชื่อมต่อกับเซิร์ฟเวอร์ command-and-control (C2) เพื่อรอรับคำสั่งเพิ่มเติมในการดำเนินการโจมตีแบบ HTTP flood ซึ่งจะทำโดยการส่ง HTTP request ปริมาณมหาศาลไปยังเป้าหมายที่กำหนดไว้ นอกจากนี้ HTTPBot ยังรองรับโมดูลการโจมตีหลากหลายรูปแบบ โดยมีรายละเอียดดังต่อไปนี้ :

BrowserAttack: เป็นการโจมตีที่ใช้ instances ของ Google Chrome ที่ซ่อนอยู่ เพื่อเลียนแบบ traffic ให้ดูเหมือนถูกต้องตามปกติ ขณะเดียวกันก็จะดึงทรัพยากรของเซิร์ฟเวอร์ไปใช้ทั้งหมด
HttpAutoAttack: เป็นการโจมตีที่ใช้ คุกกี้ (Cookies-based) เพื่อจำลองเซสชันให้ดูเหมือนเป็นของผู้ใช้จริงมากที่สุด
HttpFpDlAttack: เป็นการโจมตีที่ใช้โปรโตคอล HTTP/2 ที่มีประสิทธิภาพสูงกว่ารุ่นเก่า (HTTP/1.1) ที่พยายามมุ่งเน้นในการเพิ่มภาระของ CPU loader บนเซิร์ฟเวอร์ โดยบังคับให้เซิร์ฟเวอร์ตอบสนองด้วยข้อมูลขนาดใหญ่กลับมา
WebSocketAttack: เป็นการโจมตีที่ใช้โปรโตคอล "ws://" และ "wss://" เพื่อสร้างการเชื่อมต่อแบบ WebSocket กับเป้าหมาย
PostAttack: เป็นการโจมตีที่ใช้ HTTP POST request อย่างต่อเนื่องเพื่อส่งข้อมูลเข้าสู่เซิร์ฟเวอร์เป้าหมาย
CookieAttack: เป็นการโจมตีที่เพิ่ม cookie processing flow เข้าไปในวิธีการโจมตีแบบ BrowserAttack เพื่อเพิ่มความซับซ้อน และความสมจริงในการจำลอง traffic

NSFOCUS ระบุเพิ่มเติมว่า "โดยทั่วไปแล้ว ตระกูล DDoS Botnet มักจะรวมกลุ่มกันอยู่บนแพลตฟอร์ม Linux และอุปกรณ์ IoT อย่างไรก็ตาม ตระกูล HTTPBot Botnet กลับมุ่งเป้าไปที่ระบบปฏิบัติการ Windows โดยเฉพาะ"

"ด้วยการจำลอง protocol layers อย่างลึกซึ้ง และเลียนแบบพฤติกรรมของเบราว์เซอร์จริง HTTPBot จึงสามารถหลบเลี่ยงระบบป้องกันที่อาศัย protocol integrity ได้ นอกจากนี้มันยังเข้าควบคุมทรัพยากรเซสชันของเซิร์ฟเวอร์อย่างต่อเนื่อง ผ่าน URL paths ที่สุ่มขึ้นมา และกลไก cookie replenishment แทนที่จะอาศัยแค่ปริมาณทราฟฟิกจำนวนมากเพียงอย่างเดียว"

ที่มา : thehackernews.

สหรัฐฯ ประกาศเข้ายึด Botnet พร้อมตั้งข้อหาผู้ดูแลระบบชาวรัสเซีย

กระทรวงยุติธรรมสหรัฐฯ และทีม Black Lotus Labs ของบริษัทโทรคมนาคม Lumen Technologies ได้ประกาศเมื่อวันศุกร์ถึงการยุติการให้บริการพร็อกซีสองรายที่ขับเคลื่อนโดย Botnet ซึ่งประกอบด้วยอุปกรณ์ที่ถูกแฮ็กหลายพันเครื่อง (more…)