สหรัฐฯ ตั้งข้อกล่าวหาผู้นำกลุ่ม Qakbot botnet ที่เชื่อมโยงกับการโจมตีด้วยแรนซัมแวร์

รัฐบาลสหรัฐฯ ได้ฟ้อง Rustam Rafailevich Gallyamov ชาวรัสเซีย ซึ่งเป็นหัวหน้ากลุ่มปฏิบัติการ Qakbot botnet ซึ่งโจมตีคอมพิวเตอร์กว่า 700,000 เครื่อง และเป็นช่องทางให้เกิดการโจมตีด้วยแรนซัมแวร์

Gallyamov เริ่มพัฒนา Qakbot ตั้งแต่ปี 2008 และได้สร้างเครือข่ายคอมพิวเตอร์ที่ติดมัลแวร์จำนวนมาก ต่อมาได้มีการจัดตั้งทีมพัฒนาขึ้นเพื่อดูแล Qakbot โดยภายใต้การนำของเขา ยังมีการสร้างมัลแวร์ประเภทอื่น ๆ เพิ่มเติม

ตลอดเวลากว่า 10 ปี Gallyamov ใช้ Qakbot เป็น banking trojan ที่สามารถแพร่กระจายแบบ worm ได้, มี malware dropper หรือ backdoor ซึ่งสามารถบันทึกการกดแป้นพิมพ์ของผู้ใช้งานได้อีกด้วย

ตั้งแต่ปี 2019 Qakbot กลายเป็นช่องทางติดมัลแวร์ในเบื้องต้นของการโจมตีด้วยแรนซัมแวร์ของกลุ่มอาชญากรรมไซเบอร์ชื่อดังอย่าง Conti, REvil, Egregor, Doppelpaymer และอื่น ๆ โดย Gallyamov ถูกกล่าวหาว่าได้รับส่วนแบ่งจากค่าไถ่ที่เหยื่อจ่าย ซึ่งขึ้นอยู่กับข้อตกลงกับแต่ละกลุ่มแรนซัมแวร์

(more…)

Botnet ตัวใหม่ HTTPBot เปิดตัวการโจมตีแบบ DDoS ที่มีความแม่นยำสูงมากกว่า 200 ครั้ง โดยมุ่งเป้าไปที่ภาคส่วนอุตสาหกรรม Gaming และ Technology

นักวิจัยด้านความปลอดภัยทางไซเบอร์ได้ออกมาเตือนถึงมัลแวร์ botnet ตัวใหม่ที่ชื่อ HTTPBot ซึ่งถูกใช้เพื่อมุ่งเป้าโจมตีไปที่อุตสาหกรรมเกม รวมถึงบริษัทเทคโนโลยี และสถาบันการศึกษาในประเทศจีน

NSFOCUS ระบุว่า “ในช่วงหลายเดือนที่ผ่านมา HTTPBot ได้ขยายตัวอย่างรวดเร็ว โดยใช้อุปกรณ์ที่ติดมัลแวร์เป็นฐานในการโจมตีระบบภายนอกอย่างต่อเนื่อง และใช้การโจมตีแบบ simulated HTTP Flood ที่มาพร้อมกับเทคนิคการ obfuscation ทำให้สามารถหลบหลีกระบบตรวจจับแบบ rule-based ได้”

HTTPBot ถูกพบครั้งแรกในเดือนสิงหาคม 2024 โดยได้รับชื่อจากการใช้โปรโตคอล HTTP ในการโจมตีแบบ DDoS (Distributed Denial-of-Service) โดยมัลแวร์ตัวนี้ถูกเขียนด้วยภาษา Golang ซึ่งถือเป็นเรื่องที่ค่อนข้างผิดปกติ เนื่องจากเป้าหมายหลักเป็นระบบปฏิบัติการ Windows

Botnet trojan ที่ทำงานบนระบบ Windows ตัวนี้ ถูกใช้ในการโจมตีเป้าหมายแบบเฉพาะเจาะจงอย่างแม่นยำ โดยมุ่งเป้าไปที่ business interfaces ที่มีมูลค่าสูง เช่น ระบบการล็อกอินเกม และระบบการชำระเงิน

บริษัทที่มีสำนักงานใหญ่ในปักกิ่ง ระบุว่า “การโจมตีที่มีความแม่นยำสูงนี้ ก่อให้เกิดภัยคุกคามต่ออุตสาหกรรมที่ต้องพึ่งพาการโต้ตอบแบบเรียลไทม์ นอกจากนี้ HTTPBot ถือเป็นจุดเปลี่ยนแนวทางของการโจมตีแบบ DDoS โดยจากเดิมที่จะเน้นการใช้ทราฟฟิกโจมตีแบบไม่ระบุเป้าหมาย (indiscriminate traffic suppression) ไปสู่การโจมตีจุดสำคัญของธุรกิจอย่างแม่นยำ (high-precision business strangulation)”

มีการคาดการณ์ว่า HTTPBot ถูกใช้ในการโจมตีไปแล้วไม่น้อยกว่า 200 ครั้ง นับตั้งแต่ต้นเดือนเมษายน 2025 ที่ผ่านมา โดยการโจมตีเหล่านี้มุ่งเป้าไปที่ อุตสาหกรรมเกม, บริษัทเทคโนโลยี, สถาบันการศึกษา และเว็บไซต์ด้านการท่องเที่ยวในประเทศจีน

เมื่อมัลแวร์ถูกติดตั้ง และเริ่มทำงาน มัลแวร์จะซ่อน graphical user interface (GUI) ของตัวเอง เพื่อหลีกเลี่ยงการถูกตรวจสอบจากทั้งผู้ใช้งาน และเครื่องมือรักษาความปลอดภัย โดยมีเป้าหมายเพื่อเพิ่มความสามารถในการแอบแฝงเพื่อการโจมตี นอกจากนี้มัลแวร์ยังใช้วิธีการปรับแต่ง Windows Registry โดยไม่ได้รับอนุญาต เพื่อให้สามารถทำงานได้โดยอัตโนมัติทุกครั้งที่ระบบเริ่มทำงาน

จากนั้น botnet ตัวนี้จะดำเนินการเชื่อมต่อกับเซิร์ฟเวอร์ command-and-control (C2) เพื่อรอรับคำสั่งเพิ่มเติมในการดำเนินการโจมตีแบบ HTTP flood ซึ่งจะทำโดยการส่ง HTTP request ปริมาณมหาศาลไปยังเป้าหมายที่กำหนดไว้ นอกจากนี้ HTTPBot ยังรองรับโมดูลการโจมตีหลากหลายรูปแบบ โดยมีรายละเอียดดังต่อไปนี้ :

BrowserAttack: เป็นการโจมตีที่ใช้ instances ของ Google Chrome ที่ซ่อนอยู่ เพื่อเลียนแบบ traffic ให้ดูเหมือนถูกต้องตามปกติ ขณะเดียวกันก็จะดึงทรัพยากรของเซิร์ฟเวอร์ไปใช้ทั้งหมด
HttpAutoAttack: เป็นการโจมตีที่ใช้ คุกกี้ (Cookies-based) เพื่อจำลองเซสชันให้ดูเหมือนเป็นของผู้ใช้จริงมากที่สุด
HttpFpDlAttack: เป็นการโจมตีที่ใช้โปรโตคอล HTTP/2 ที่มีประสิทธิภาพสูงกว่ารุ่นเก่า (HTTP/1.1) ที่พยายามมุ่งเน้นในการเพิ่มภาระของ CPU loader บนเซิร์ฟเวอร์ โดยบังคับให้เซิร์ฟเวอร์ตอบสนองด้วยข้อมูลขนาดใหญ่กลับมา
WebSocketAttack: เป็นการโจมตีที่ใช้โปรโตคอล "ws://" และ "wss://" เพื่อสร้างการเชื่อมต่อแบบ WebSocket กับเป้าหมาย
PostAttack: เป็นการโจมตีที่ใช้ HTTP POST request อย่างต่อเนื่องเพื่อส่งข้อมูลเข้าสู่เซิร์ฟเวอร์เป้าหมาย
CookieAttack: เป็นการโจมตีที่เพิ่ม cookie processing flow เข้าไปในวิธีการโจมตีแบบ BrowserAttack เพื่อเพิ่มความซับซ้อน และความสมจริงในการจำลอง traffic

NSFOCUS ระบุเพิ่มเติมว่า "โดยทั่วไปแล้ว ตระกูล DDoS Botnet มักจะรวมกลุ่มกันอยู่บนแพลตฟอร์ม Linux และอุปกรณ์ IoT อย่างไรก็ตาม ตระกูล HTTPBot Botnet กลับมุ่งเป้าไปที่ระบบปฏิบัติการ Windows โดยเฉพาะ"

"ด้วยการจำลอง protocol layers อย่างลึกซึ้ง และเลียนแบบพฤติกรรมของเบราว์เซอร์จริง HTTPBot จึงสามารถหลบเลี่ยงระบบป้องกันที่อาศัย protocol integrity ได้ นอกจากนี้มันยังเข้าควบคุมทรัพยากรเซสชันของเซิร์ฟเวอร์อย่างต่อเนื่อง ผ่าน URL paths ที่สุ่มขึ้นมา และกลไก cookie replenishment แทนที่จะอาศัยแค่ปริมาณทราฟฟิกจำนวนมากเพียงอย่างเดียว"

ที่มา : thehackernews.

สหรัฐฯ ประกาศเข้ายึด Botnet พร้อมตั้งข้อหาผู้ดูแลระบบชาวรัสเซีย

กระทรวงยุติธรรมสหรัฐฯ และทีม Black Lotus Labs ของบริษัทโทรคมนาคม Lumen Technologies ได้ประกาศเมื่อวันศุกร์ถึงการยุติการให้บริการพร็อกซีสองรายที่ขับเคลื่อนโดย Botnet ซึ่งประกอบด้วยอุปกรณ์ที่ถูกแฮ็กหลายพันเครื่อง (more…)

Aquabotv3 Botnet มุ่งเป้าหมายการโจมตีไปยังช่องโหว่ Command Injection ใน Mitel

Aquabotv3 ซึ่งเป็น Mirai Botnet ตัวใหม่ กำลังมุ่งเป้าโจมตีช่องโหว่ CVE-2024-41710 ซึ่งเป็นช่องโหว่ Command Injection ใน Mitel SIP phone อย่างต่อเนื่อง (more…)

Mirai Botnet โจมตีแบบ DDoS ครั้งใหญ่ด้วยปริมาณ 5.6 Tbps โดยใช้อุปกรณ์ IoT มากกว่า 13,000 เครื่อง

Cloudflare ได้เปิดเผยเมื่อวันอังคารที่ผ่านมาว่า ได้ตรวจพบและป้องกันการโจมตีแบบ Distributed Denial-of-Service (DDoS) ด้วยความเร็วสูงถึง 5.6 เทราบิตต่อวินาที (Tbps) ซึ่งเป็นการโจมตีที่ใหญ่ที่สุดเท่าที่เคยมีการรายงานมา

การโจมตีดังกล่าวใช้โปรโตคอล UDP เกิดขึ้นเมื่อวันที่ 29 ตุลาคม 2024 ที่ผ่านมา โดยมีเป้าหมายโจมตีลูกค้ารายหนึ่งของบริษัท ซึ่งเป็นผู้ให้บริการอินเทอร์เน็ต (ISP) ที่ไม่เปิดเผยชื่อจากเอเชียตะวันออก ซึ่งการโจมตีในครั้งนี้มีต้นตอมาจาก Mirai-variant botnet

Omer Yoachimik และ Jorge Pacheco จาก Cloudflare ระบุว่า "การโจมตีครั้งนี้เกิดขึ้นเพียง 80 วินาที และมาจากอุปกรณ์ IoT มากกว่า 13,000 เครื่อง"

ทั้งนี้ จำนวนเฉลี่ยของ Source IP จากต้นทางที่มีการตรวจพบ เฉลี่ยต่อวินาทีอยู่ที่ 5,500 IP โดยแต่ละ IP มีปริมาณการโจมตีโดยเฉลี่ยประมาณ 1 Gbps ต่อวินาที

สถิติเดิมของการโจมตีแบบ DDoS ที่มีปริมาณข้อมูลสูงสุดเท่าที่เคยถูกบันทึกโดย Cloudflare ในเดือนตุลาคม 2024 ที่ผ่านมา โดยมีความเร็วสูงสุดอยู่ที่ 3.8 Tbps

Cloudflare ยังเปิดเผยอีกว่าในปี 2024 บริษัทได้ป้องกันการโจมตีแบบ DDoS ได้ประมาณ 21.3 ล้านครั้ง ซึ่งเพิ่มขึ้น 53% เมื่อเทียบกับปี 2023 และจำนวนการโจมตีที่มีปริมาณข้อมูลเกิน 1 Tbps เพิ่มขึ้นถึง 1,885% เมื่อเทียบกับไตรมาสก่อนหน้านี้ โดยเฉพาะในไตรมาสที่ 4 ของปี 2024 มีการป้องกันการโจมตีแบบ DDoS มากถึง 6.9 ล้านครั้ง

สถิติที่น่าสนใจอื่น ๆ ที่พบในไตรมาสที่ 4 ของปี 2024 มีดังต่อไปนี้ :

DDoS botnets ที่เป็นที่รู้จักมีส่วนเกี่ยวข้องกับการโจมตีแบบ HTTP DDoS ถึง 72.6% ของการโจมตีทั้งหมด
รูปแบบการโจมตีที่พบบ่อยมากที่สุด 3 อันดับแรกในระดับ Layer 3 และ Layer 4 ได้แก่ การโจมตีแบบ SYN floods (38%), การโจมตีแบบ DNS flood (16%), และการโจมตีแบบ UDP floods (14%)
การโจมตีแบบ Memcached DDoS, การโจมตีแบบ BitTorrent DDoS, และการโจมตีแบบ ransom DDoS มีอัตราเพิ่มขึ้น 314%, 304%, และ 78% ตามลำดับเมื่อเทียบกับไตรมาสก่อน
ประมาณ 72% ของการโจมตีแบบ HTTP DDoS และ 91% ของการโจมตีแบบ DDoS ใน network layer จบลงภายในเวลาไม่เกิน 10 นาที
อินโดนีเซีย, ฮ่องกง, สิงคโปร์, ยูเครน และอาร์เจนตินา เป็นแหล่งที่มาของการโจมตีแบบ DDoS ที่ใหญ่ที่สุด
จีน, ฟิลิปปินส์, ไต้หวัน, ฮ่องกง และเยอรมนี เป็นประเทศที่ถูกโจมตีมากที่สุด
ภาคส่วนที่ถูกโจมตีมากที่สุด ได้แก่ โทรคมนาคม, อินเทอร์เน็ต, การตลาด, เทคโนโลยีสารสนเทศ และการพนัน

ในขณะเดียวกันที่บริษัทด้านความปลอดภัยทางไซเบอร์อย่าง Qualys และ Trend Micro เปิดเผยว่าได้ตรวจพบมัลแวร์สายพันธุ์ย่อยของ Mirai botnet ที่กำลังโจมตีอุปกรณ์ Internet of Things (IoT) โดยใช้ช่องโหว่ด้านความปลอดภัยที่เป็นที่รู้จักและข้อมูล Credentials เพื่อใช้เป็นช่องทางในการโจมตีแบบ DDoS อีกด้วย

ที่มา : thehackernews.

Botnet มุ่งโจมตีเป้าหมายที่ใช้ D-Link Router ที่สิ้นสุดอายุการใช้งาน

พบ Botnet 2 รายการที่ถูกติดตามในชื่อ 'Ficora' และ 'Capsaicin' กำลังกำหนดเป้าหมายการโจมตีไปยัง D-Link Router ที่หมดอายุการใช้งาน หรือใช้งานเฟิร์มแวร์เวอร์ชันเก่าอย่างต่อเนื่อง

โดยพบว่า Botnet ดังกล่าวมุ่งเป้าหมายการโจมตีไปยังอุปกรณ์ D-Link รุ่นยอดนิยมที่ใช้โดยบุคคล และองค์กรต่าง ๆ เช่น DIR-645, DIR-806, GO-RT-AC750 และ DIR-845L โดยใช้ช่องโหว่ CVE-2015-2051, CVE-2019-10891, CVE-2022-37056 และ CVE-2024-33112 เพื่อเข้าถึงอุปกรณ์ดังกล่าว และเมื่อสามารถเข้าถึงอุปกรณ์ได้แล้ว ก็จะใช้ช่องโหว่ใน D-Link’s management interface (HNAP) และเรียกใช้คำสั่งที่เป็นอันตรายผ่าน GetDeviceSettings

โดย Botnet ดังกล่าว สามารถขโมยข้อมูล และเรียกใช้ shell scripts รวมถึงเข้าสู่ระบบของอุปกรณ์เพื่อจุดประสงค์ในการโจมตีในรูปแบบ Distributed Denial-of-Service (DDoS)

Ficora Botnet มีการแพร่กระจายอย่างกว้างขวาง โดยเน้นไปที่ประเทศญี่ปุ่น และสหรัฐอเมริกา แต่ Capsaicin Botnet ดูเหมือนจะมุ่งเป้าไปที่อุปกรณ์ในประเทศเอเชียตะวันออกเป็นส่วนใหญ่ โดยเริ่มพบการโจมตีตั้งแต่วันที่ 21 ตุลาคม 2024 และพบการโจมตีเพิ่มขึ้นอย่างต่อเนื่อง

Ficora Botnet

Ficora คือเวอร์ชันใหม่ของ Mirai Botnet ที่ถูกดัดแปลงมาเพื่อโจมตีช่องโหว่ในอุปกรณ์ D-Link โดยเฉพาะ

ตามข้อมูลของ Fortinet พบว่า Botnet มีการกำหนดเป้าหมายการโจมตีแบบสุ่ม โดยพบการโจมตีเพิ่มขึ้นอย่างเห็นได้ชัด 2 ครั้งในเดือนตุลาคม และพฤศจิกายน 2024

หลังจากเข้าถึงอุปกรณ์ D-Link ได้แล้ว Ficora จะใช้ shell script ชื่อ 'multi' เพื่อดาวน์โหลด และเรียกใช้เพย์โหลดผ่านวิธีการต่าง ๆ มากมาย เช่น wget, curl, ftpget และ tftp

Ficora มีฟังก์ชันการ brute force ในตัวพร้อมข้อมูล credentials แบบ hard-coded เพื่อโจมตีอุปกรณ์ที่ใช้ Linux-based เพิ่มเติม และยังรองรับ hardware architecture หลายรายการ ในด้านความสามารถในการโจมตี DDoS นั้น รองรับ UDP Flooding, TCP Flooding และ DNS Amplification เพื่อเพิ่มพลังการโจมตีให้สูงสุด

Capsaicin Botnet

Capsaicin คือเวอร์ชันใหม่ของ Kaiten Botnet ซึ่งเชื่อว่าถูกพัฒนาโดยกลุ่ม Keksec หรือที่รู้จักกันในชื่อ 'EnemyBot' และเป็นมัลแวร์ที่กำหนดเป้าหมายไปยังอุปกรณ์ที่ใช้ Linux

Fortinet ตรวจพบการโจมตีอย่างต่อเนื่องระหว่างวันที่ 21 ถึง 22 ตุลาคม 2024 โดยมุ่งเป้าไปที่ประเทศในเอเชียตะวันออกเป็นหลัก

โดยการโจมตีผ่าน downloader script (“bins.

พบ Botnet ตัวใหม่ มุ่งเป้าโจมตีช่องโหว่ใน NVRs และ TP-Link Router

Ta-Lun Yen นักวิจัยของ TXOne ได้ค้นพบ Botnet ตัวใหม่ ที่กำลังมุ่งเป้าโจมตีด้วยช่องโหว่การเรียกใช้โค้ดที่เป็นอันตรายจากระยะไกลที่ยังไม่มีเลข CVE และยังไม่ได้รับการแก้ไขใน NVR DigiEver DS-2105 Pro (more…)

Matrix Botnet ใช้ประโยชน์จากช่องโหว่ในอุปกรณ์ IoT ในการโจมตีแบบ DDoS

กลุ่มผู้โจมตีที่ชื่อว่า Matrix ได้ถูกเชื่อมโยงกับการโจมตีแบบ Denial-of-Service (DoS) โดยอาศัยช่องโหว่จากการตั้งค่าที่ผิดพลาดในอุปกรณ์ Internet of Things (IoT) เพื่อนำอุปกรณ์เหล่านั้นมาใช้เป็น botnet เพื่อโจมตีระบบ (more…)

กลุ่ม Volt Typhoon สร้างเครือข่าย botnet ขึ้นใหม่หลังจากถูก FBI ขัดขวาง

นักวิจัยจาก SecurityScorecard ระบุว่า กลุ่มผู้โจมตี Volt Typhoon ที่ได้รับการสนับสนุนจากรัฐบาลจีน ได้เริ่มสร้าง "KV-Botnet" botnet ขึ้นมาใหม่หลังจากที่ถูกหน่วยงานบังคับใช้กฎหมายเข้ามาควบคุมในเดือนมกราคม 2024 (more…)

พบช่องโหว่ใน QNAP VioStor NVR ที่ถูก InfectedSlurs Botnet ใช้ในการโจมตี

พบ Mirai-base Botnet ในชื่อ “InfectedSlurs” กำลังโจมตีโดยใช้ช่องโหว่การเรียกใช้โค้ดที่เป็นอันตรายจากระยะไกล Remote Code Execution (RCE) ในอุปกรณ์ QNAP VioStor NVR (Network Video Recorder) เพื่อยึดเครื่องเป้าหมาย และนำไปใช้ในการโจมตีแบบ DDoS (distributed denial of service) ต่อไป

(more…)