พบ Mirai-base Botnet ในชื่อ “InfectedSlurs” กำลังโจมตีโดยใช้ช่องโหว่การเรียกใช้โค้ดที่เป็นอันตรายจากระยะไกล Remote Code Execution (RCE) ในอุปกรณ์ QNAP VioStor NVR (Network Video Recorder) เพื่อยึดเครื่องเป้าหมาย และนำไปใช้ในการโจมตีแบบ DDoS (distributed denial of service) ต่อไป

(more…)

เมื่อวันอังคารที่ผ่านมา รัฐบาลสหรัฐฯ ได้ประกาศปิดเครือข่ายพร็อกซี และโครงสร้างพื้นฐานของ IPStorm Botnet เนื่องจากแฮ็กเกอร์ชาวรัสเซีย และมอลโดวาที่อยู่เบื้องหลังปฏิบัติการดังกล่าวรับสารภาพความผิด

โดยกระทรวงยุติธรรม (DoJ) ระบุในการแถลงข่าวว่า Botnet ตัวนี้สามารถทำงานได้ทั้งบน Windows, Linux, Mac และ Android ทำให้ส่งผลกระทบกับคอมพิวเตอร์ และอุปกรณ์อิเล็กทรอนิกส์อื่น ๆ ทั่วโลก ทั้งในเอเชีย ยุโรป อเมริกาเหนือ และอเมริกาใต้

Sergei Makinin ผู้พัฒนามัลแวร์ ซึ่งทำให้อุปกรณ์ที่เชื่อมต่อกับอินเทอร์เน็ตหลายพันเครื่องถูกโจมตีมาตั้งแต่เดือนมิถุนายน 2019 ถึงธันวาคม 2022 ต้องรับโทษจำคุกสูงสุดกว่า 30 ปี

Botnet ถูกพัฒนาด้วยภาษา Golang-based โดยมันจะเปลี่ยนอุปกรณ์ที่ถูกโจมตีให้กลายเป็นพร็อกซี ซึ่งจะถูกใช้ในการสร้างรายได้ให้กับผู้โจมตี โดยการนำไปเสนอขายให้กับผู้โจมตีรายอื่นผ่านทาง proxx[.]io และ proxx[.]net

(more…)

นักวิจัยพบแคมเปญขนาดใหญ่ที่ส่งแอปพลิเคชันพร็อกซีเซิร์ฟเวอร์ไปยังระบบปฏิบัติการ windows อย่างน้อย 400,000 ระบบ โดยอุปกรณ์เหล่านี้ทำหน้าที่เป็น exit nodes โดยไม่ได้รับความยินยอมจากผู้ใช้งาน และมีบริษัทหนึ่งกำลังถูกตรวจสอบจากทราฟฟิกของพร็อกซีที่ทำงานผ่านเครื่องของบริษัท

Residential proxies มีประโยชน์ต่อผู้โจมตี เพราะสามารถนำไปใช้ในการโจมตีแบบ credential stuffing เนื่องจากทำให้ IP ที่ใช้ในการโจมตีแตกต่างกัน นอกจากนี้ยังมีจุดประสงค์อื่น ๆ เช่น การกดโฆษณา, การรวบรวมข้อมูล, การทดสอบเว็บไซต์ หรือการกําหนด routing เพื่อเพิ่มความเป็นส่วนตัว

บริษัทตัวแทนบางแห่งขายสิทธิ์การเข้าถึง residential proxies และยังเสนอผลตอบแทนทางการเงินให้กับผู้ใช้งานที่ตกลงที่จะแชร์แบนด์วิดท์อีกด้วย (more…)

ทีมนักวิจัยภัยคุกคามทางไซเบอร์ Black Lotus Labs ของ Lumen รายงานการค้นพบ stealthy Linux malware ที่มีชื่อว่า AVrecon ได้แพร่กระจายไปยัง Linux-based small office/home office (SOHO) routers กว่า 70,000 เครื่อง เพื่อสร้าง botnet ที่ออกแบบมาเพื่อแอบใช้งานแบนด์วิดท์ และให้บริการ proxy ทำให้ Hacker สามารถนำไปใช้ในการฉ้อโกงโฆษณาดิจิทัล หรือโจมตีแบบ password spraying ได้ (more…)

ทีมนักวิจัยจาก Unit 42 ของ Palo Alto Networks รายงานการพบแคมเปญการโจมตีโดยใช้ Mirai botnet ในการโจมตีต่อเนื่องกัน 2 แคมเปญ โดยพบการโจมตีตั้งแต่เดือนมีนาคมจนถึงเมษายน 2023 ซึ่งได้มุ่งเป้าหมายการโจมตีไปยังช่องโหว่กว่า 22 รายการ ในอุปกรณ์ D-Link, Arris, Zyxel, TP-Link, Tenda, Netgear และ MediaTek เพื่อควบคุมเครื่องเป้าหมาย และนำไปใช้ในการโจมตีแบบ Distributed Denial-of-Service (DDoS) ต่อไป (more…)

Zyxel ได้เผยแพร่คำแนะนำด้านความปลอดภัยที่มีคำแนะนำเกี่ยวกับการปกป้องไฟร์วอลล์ และอุปกรณ์ VPN จากการโจมตีอย่างต่อเนื่อง และการตรวจจับสัญญาณของการโจมตีจากช่องโหว่

คำเตือนดังกล่าวป็นการตอบสนองต่อการโจมตีโดยใช้ช่องโหว่ที่มีระดับความรุนแรงสูงหมายเลข CVE-2023-28771, CVE-2023-33009 และ CVE-2023-33010 อย่างกว้างขวาง ซึ่งทั้งหมดนี้ส่งผลกระทบต่ออุปกรณ์ VPN และไฟร์วอลล์ของ Zyxel

Zyxel พบว่ามี botnet ได้ใช้ประโยชน์จากช่องโหว่ CVE-2023-28771 เพื่อดำเนินการคำสั่งที่เป็นอันตรายจากระยะไกล (remote command execution) ผ่านแพ็กเก็ตที่เป็นอันตรายที่สร้างขึ้นเป็นพิเศษ รวมถึงช่องโหว่อีก 2 รายการ ได้แก่ CVE-2023-33009 และ CVE-2023-33010 ซึ่งเป็นช่องโหว่ buffer overflow ที่ทำให้ Hacker สามารถหลีกเลี่ยงการตรวจสอบสิทธิ์ และ denial of service (DoS) บนอุปกรณ์ที่มีช่องโหว่ หรือเรียกใช้โค้ดที่เป็นอันตรายจากระยะไกลได้

ตารางสรุปผลิตภัณฑ์ Zyxel ที่ได้รับผลกระทบ เวอร์ชันที่มีช่องโหว่ และเวอร์ชันอัปเดตความปลอดภัยสำหรับแต่ละรายการ

ลักษณะของปัญหา และการแก้ไข

Zyxel ระบุว่าลักษณะ หรือตัวบ่งชี้ที่ชัดเจนว่าอุปกรณ์ดังกล่าวได้ถูกโจมตีไปแล้ว นั่นคือการไม่ตอบสนอง และไม่สามารถเข้าถึงอินเทอร์เฟซผู้ใช้งานบนเว็บ หรือ SSH management panel ของอุปกรณ์ได้ รวมไปถึงความไม่เสถียรของการเชื่อมต่อ และการ VPN

คำแนะนำของ Zyxel คือการอัปเดตแพตซ์ด้านความปลอดภัย ได้แก่ 'ZLD V5.36 Patch 2' สำหรับ ATP – ZLD, USG FLEX และ VPN-ZLD และ 'ZLD V4.73 Patch 2' สำหรับ ZyWALL

ทั้งนี้หากผู้ดูแลระบบยังไม่สามารถทำการอัปเดตความปลอดภัยได้ทันที ทาง Zyxel แนะนำให้ดำเนินมาตรการเพื่อลดผลกระทบจากการโจมตี ดังนี้

ปิดใช้บริการ HTTP/HTTPS จาก WAN (Wide Area Network) เพื่อลดความเสี่ยงจากการเข้าถึงระบบที่มีช่องโหว่จากภายนอก
หากผู้ดูแลระบบจำเป็นต้องจัดการอุปกรณ์ผ่าน WAN ควรเปิดใช้งาน 'Policy Control' และเพิ่ม Rules ที่อนุญาตเฉพาะที่อยู่ IP ที่เชื่อถือได้เท่านั้นในการเข้าถึงอุปกรณ์
ทำการเปิดใช้การกรอง GeoIP เพื่อจำกัดการเข้าถึงของผู้ใช้งาน/ระบบจากสถานที่ที่เชื่อถือได้เท่านั้น
ปิด UDP Port 500 และ Port 4500 หากไม่ได้ใช้งาน IPSec VPN ซึ่งเป็นการปิดช่องทางสำหรับการโจมตี

 

ที่มา : bleepingcomputer

พบตัวอย่างใหม่ของ RapperBot Botnet มีการเพิ่มฟังก์ชัน cryptojacking ที่มีความสามารถในการขุด Cryptocurrency บนคอมพิวเตอร์ที่ใช้ CPU Intel x64

ด้วยการพัฒนาอย่างต่อเนื่อง ในช่วงแรกผู้พัฒนามัลแวร์ได้เพิ่มความสามารถในการขุด Cryptocurrency ซึ่งแยกออกจากการทำงานของ Botnet จนกระทั่งในช่วงปลายเดือนมกราคมที่ผ่านมาฟังก์ชันการขุด Cryptocurrency ก็ถูกรวมเข้ากับ Botnet ในที่สุด

แคมเปญการขุด Cryptocurrency ของ RapperBot

นักวิจัยของ Fortinet's FortiGuard Labs ติดตามปฏิบัติการของ RapperBot ตั้งแต่เดือนมิถุนายน 2565 และรายงานว่า RapperBot นั้นเน้นการโจมตีเซิร์ฟเวอร์ Linux SSH ด้วยวิธีการ brute-force และรวบรวมเซิร์ฟเวอร์เหล่านั้นเพื่อใช้ในการโจมตีแบบ DDoS

จากนั้นในเดือนพฤศจิกายน นักวิจัยพบการอัปเดตเวอร์ชันของ RapperBot ทีใช้การแพร่กระจายตัวเองผ่าน Telnet และรวบรวมคำสั่งที่เหมาะสมกับการโจมตีเซิฟเวอร์ของบริษัทเกม

โดยในสัปดาห์นี้ FortiGuard Labs มีการรายงานเกี่ยวกับเวอร์ชันของ RapperBot ที่มีการใช้ XMRig Monero เพื่อขุด Cryptocurrency บนเครื่องคอมพิวเตอร์ที่ใช้ CPU Intel x64

นักวิจัยระบุว่าแคมเปญนี้เริ่มถูกนำมาใช้งานตั้งแต่เดือนมกราคม และกำหนดเป้าหมายไปที่อุปกรณ์ IoT เป็นหลัก

ปัจจุบันโค้ดสำหรับการขุด Cryptocurrency ได้ถูกรวมเข้ากับ RapperBot และได้รับการเข้ารหัสแบบ double-layer XOR ซึ่งสามาถซ่อน mining pools และ Monero mining addresses จากนักวิเคราะห์ได้อย่างมีประสิทธิภาพ

FortiGuard Labs พบว่า Botnet ดังกล่าวได้มีการตั้งค่าการขุดจาก C2 เซิฟเวอร์ แทนการใช้งาน hardcoded static pool addresses และ multiple pool นอกจากนี้ยังมีการใช้กระเป่าเงินดิจิทัลหลายอันในการสำรองข้อมูล

IP ของ C2 มีการโฮสต์ mining proxy ไว้ 2 ตัว เพื่อให้การตรวจสอบ และติดตามยากยิ่งขึ้น นอกจากนี้หาก C2 เซิฟเวอร์ออฟไลน์ RapperBot เองก็มีการตั้งค่าให้ไปใช้ mining pool สาธารณะแทน

เพื่อเพิ่มประสิทธิภาพการขุดให้สูงสุด มัลแวร์ตัวนี้จะมีการตรวจสอบ และระบุ Process บนเครื่องของเหยื่อ หากพบ Process ของมัลแวร์ตัวอื่น ก็จะหยุดการทำงานของ Process ดังกล่าวอีกด้วย

ในการวิเคระห์ RapperBot เวอร์ชันล่าสุด binary network protocol ที่ใช้สำหรับการติดต่อกับ C2 เซิฟเวอร์ได้รับการปรับปรุงใหม่โดยใช้วิธีการเข้ารหัสแบบ two-layer เพื่อหลบหลีกการตรวจจับ นอกจากนี้ขนาด และช่วงเวลาของการส่ง request ไปยังเซิร์ฟเวอร์ C2 นั้นถูกสุ่มให้มีความแต่กต่างกันเพื่อให้การเชื่อมต่อนั้นตรวจพบได้ยากขึ้น

ในขณะที่นักวิจัยยังไม่สังเกตเห็นคำสั่ง DDoS ที่ส่งมาจากเซิร์ฟเวอร์ C2 ไปยังตัวอย่างที่วิเคราะห์ได้ แต่พวกเขาพบว่าเวอร์ชันล่าสุดของ Bot รองรับคำสั่งดังต่อไปนี้:

Perform DDoS attacks (UDP, TCP, and HTTP GET)
Stop DDoS attacks
Terminate itself (and any child processes)

RapperBot ดูเหมือนจะพัฒนาอย่างรวดเร็ว และเพิ่มความสามารถต่าง ๆ เพื่อเพิ่มรายได้ให้กับกลุ่มผู้โจมตี

เพื่อป้องกันอุปกรณ์จากการโจมตีของ RapperBot และมัลแวร์ที่คล้ายกัน

ผู้ใช้งานควรอัปเดตซอฟต์แวร์ให้เป็นปัจจุบันอยู่เสมอ และปิด Service ที่ไม่จำเป็นต้องใช้งาน
เปลี่ยนรหัสผ่านเริ่มต้นเป็นรหัสผ่านที่รัดกุม
ใช้ Firewall เพื่อ Block request ที่ไม่ได้รับอนุญาต

ที่มา : bleepingcomputer

Fortinet รายงานการพบ botnet หลายตัว กำลังมุ่งเป้าการโจมตีไปยังช่องโหว่ของ Cacti และ Realtek ตั้งแต่เดือนมกราคมถึงมีนาคม 2023 โดยพบการแพร่กระจายของมัลแวร์ ShellBot และ Moobot เป็นหลัก

โดยของโหว่ที่ตกเป็นเป้าหมายในการโจมตีคือ CVE-2021-35394 ซึ่งเป็นช่องโหว่ในการเรียกใช้โค้ดที่เป็นอันตรายจากระยะไกลใน Realtek Jungle SDK และ CVE-2022-46169 ช่องโหว่ command injection ใน fault management monitoring tool ของ Cacti ซึ่งทั้งสองช่องโหว่ดังกล่าว เคยถูกใช้โจมตีโดย botnet ตัวอื่นมาแล้ว เช่น Fodcha, RedGoBot, Mirai, Gafgyt และ Mozi

แม้ว่าจากรายงานของ Fortinet จะไม่ระบุอย่างชัดเจนว่า botnet ทั้งสองตัวอย่าง ShellBot และ Moobot มาจาก Hacker กลุ่มเดียวกัน แต่พบหลักฐานว่า botnet ทั้งสองตัวนี้ทำการโจมตีโดยใช้ช่องโหว่ในลักษณะเดียวกัน (more…)

Botnet ตัวใหม่ที่ใช้ภาษา Golang-based ชื่อ 'HinataBot' ได้โจมตีโดยใช้ช่องโหว่ของอุปกรณ์เราเตอร์ และเซิร์ฟเวอร์ เพื่อเข้าควบคุมระบบเพื่อนำมาใช้โจมตีแบบ DDoS

Akamai ระบุในรายงานทางเทคนิคว่า "ไบนารี่ของมัลแวร์ถูกตั้งชื่อตามตัวละครอนิเมะยอดนิยมอย่าง Naruto โดยมีโครงสร้างชื่อไฟล์เช่น 'Hinata-<OS>-<Architecture>'"

โดยมัลแวร์มีการใช้ช่องโหว่ของเซิร์ฟเวอร์ Hadoop YARN และช่องโหว่ของอุปกรณ์ Realtek SDK (CVE-2014-8361), และเราเตอร์ Huawei HG532 (CVE-2017-17215, CVSS score: 8.8) ในการโจมตีอุปกรณ์ของเหยื่อ

โดยช่องโหว่บนระบบที่ยังไม่ได้รับการอัปเดตแพตซ์ และรหัสผ่านที่คาดเดาได้ง่าย จะตกเป็นเป้าหมายของการโจมตีครั้งนี้ โดยผู้โจมตีไม่จำเป็นต้องใช้เทคนิค social engineering หรือเทคนิคในการโจมตีอื่น ๆ (more…)