เมื่อช่วงต้นเดือนที่ผ่านมา พบการโจมตีแบบ Brute-force ที่เพิ่มสูงขึ้นอย่างมากมุ่งเป้าไปที่ SSL VPN ของ Fortinet ตามมาด้วยการเปลี่ยนเป้าหมายไปยัง FortiManager ซึ่งแสดงถึงการเปลี่ยนเป้าหมายอย่างจงใจที่มักเกิดขึ้นก่อนการเปิดเผยช่องโหว่ใหม่ ๆ ในอดีต

แคมเปญการโจมตีครั้งนี้ถูกตรวจพบโดยแพลตฟอร์มเฝ้าระวังภัยคุกคาม GreyNoise โดยเหตุการณ์เกิดขึ้นเป็นสองระลอกในวันที่ 3 และ 5 สิงหาคมที่ผ่านมา ในระลอกที่สองได้มีการเปลี่ยนเป้าหมายการโจมตีไปที่ FortiManager โดยใช้ TCP signature ที่แตกต่างออกไป

ตามที่ GreyNoise เคยรายงานไว้ก่อนหน้านี้ว่า การเพิ่มขึ้นของการสแกนระบบ และการโจมตีแบบ Brute-force ที่มีเป้าหมายในลักษณะนี้ มักเป็นสัญญาณที่เกิดขึ้นก่อนการเปิดเผยช่องโหว่ความปลอดภัยใหม่ ๆ ถึง 80% ของกรณีทั้งหมด

โดยทั่วไป การสแกนลักษณะนี้มีเป้าหมายเพื่อระบุจำนวน และตำแหน่งของระบบที่เข้าถึงได้จากภายนอก, ประเมินความสำคัญของเป้าหมายเหล่านั้น และคาดการณ์ศักยภาพในการโจมตี ซึ่งหลังจากนั้นไม่นานมักจะตามมาด้วยการโจมตีจริงในเวลาต่อมา

GreyNoise แจ้งเตือนว่า “งานวิจัยล่าสุดแสดงให้เห็นว่า การเพิ่มขึ้นของการโจมตีลักษณะนี้มักเป็นสัญญาณเตือนก่อนจะมีการเปิดเผยช่องโหว่ใหม่ที่กระทบกับผู้จำหน่ายรายเดียวกัน โดยส่วนใหญ่จะเกิดขึ้นภายใน 6 สัปดาห์"

“ในความเป็นจริง GreyNoise พบว่าการเพิ่มขึ้นของกิจกรรมที่ทำให้ tag นี้ มีความเชื่อมโยงอย่างมีนัยสำคัญกับช่องโหว่ที่จะถูกเปิดเผยในอนาคตของผลิตภัณฑ์ Fortinet”

ด้วยเหตุนี้ ผู้ดูแลระบบจึงไม่ควรมองข้ามการโจมตีที่เพิ่มขึ้นเหล่านี้ว่าเป็นเพียงความพยายามที่ล้มเหลวในการโจมตีโดยใช้ประโยชน์จากช่องโหว่เก่าที่ได้รับการแก้ไขแล้ว แต่ควรพิจารณาว่าอาจเป็นสัญญาณเตือนล่วงหน้าของการเปิดเผยช่องโหว่แบบ Zero-day และควรยกระดับมาตรการรักษาความปลอดภัยให้แข็งแกร่งเพิ่มขึ้นเพื่อรับมือกับภัยคุกคาม

การโจมตีแบบ Brute-force ต่อ Fortinet

เมื่อวันที่ 3 สิงหาคม 2025 ทาง GreyNoise ได้ตรวจพบความพยายามในการโจมตีแบบ Brute-force ที่มุ่งเป้าไปยัง Fortinet SSL VPN เพิ่มสูงขึ้นอย่างรวดเร็ว โดยการโจมตีนี้เป็นส่วนหนึ่งของกิจกรรมที่เกิดขึ้นอย่างต่อเนื่องซึ่งทางบริษัทได้เฝ้าระวังมาตั้งแต่ก่อนหน้านี้แล้ว

การวิเคราะห์ fingerprint แบบ JA4+ เป็นวิธีการตรวจจับ network fingerprinting เพื่อระบุ และจำแนกประเภท traffic ที่เข้ารหัส พบว่าการโจมตีที่เพิ่มสูงขึ้นนี้มีความเชื่อมโยงกับกิจกรรมในเดือนมิถุนายน โดยมีต้นทางมาจากอุปกรณ์ FortiGate ที่ใช้ IP address สำหรับที่พักอาศัยซึ่งเกี่ยวข้องกับบริษัท Pilot Fiber Inc.

SonicWall ได้แจ้งเตือนให้ผู้ดูแลระบบทำการปิดใช้งาน SSLVPN หลังจากพบกลุ่ม Ransomware มุ่งเป้าโจมตีช่องโหว่ Zero-Day ในไฟร์วอลล์ SonicWall Gen 7 เพื่อเข้าถึงระบบในช่วงที่ผ่านมา (more…)

พบแคมเปญการโจมตีแบบ Brute-force โดยใช้ IP address ที่ไม่ซ้ำกันหลายร้อยรายการ เพื่อมุ่งเป้าไปที่ Apache Tomcat Manager interfaces ที่มีการเปิดให้เข้าถึงผ่านทางอินเทอร์เน็ตได้

Tomcat เป็นเว็บเซิร์ฟเวอร์แบบโอเพ่นซอร์สยอดนิยมที่ใช้งานกันอย่างแพร่หลายในองค์กรขนาดใหญ่ และผู้ให้บริการ SaaS ในขณะที่ Tomcat Manager เป็นเครื่องมือบริหารจัดการบนเว็บที่ติดตั้งมาพร้อมกับเซิร์ฟเวอร์ Tomcat ซึ่งจะช่วยให้ผู้ดูแลระบบสามารถจัดการเว็บแอปพลิเคชันที่ติดตั้งไว้ผ่าน graphical interface ได้ (more…)

Guardz Research พบแคมเปญการโจมตีทางไซเบอร์ที่มีความซับซ้อน และมีการประสานงานอย่างดี (more…)

กระทรวงยุติธรรมสหรัฐฯ และทีม Black Lotus Labs ของบริษัทโทรคมนาคม Lumen Technologies ได้ประกาศเมื่อวันศุกร์ถึงการยุติการให้บริการพร็อกซีสองรายที่ขับเคลื่อนโดย Botnet ซึ่งประกอบด้วยอุปกรณ์ที่ถูกแฮ็กหลายพันเครื่อง (more…)

Palo Alto Networks เปิดเผยว่า ขณะนี้บริษัทกำลังเฝ้าติดตามความพยายามเข้าสู่ระบบด้วยวิธี brute-force ที่มุ่งเป้าไปยัง GlobalProtect gateways บน PAN-OS ซึ่งเกิดขึ้นเพียงไม่กี่วันหลังจากนักวิเคราะห์ด้านภัยคุกคามออกมาเตือนถึงแนวโน้มของการสแกนเพื่อพยายามเข้าสู่ระบบในลักษณะที่ผิดปกติ และมีเป้าหมายไปที่อุปกรณ์ของบริษัทอย่างต่อเนื่อง

โฆษกของ Palo Alto Networks ให้ข้อมูลกับ The Hacker News ว่า ทีมงานตรวจพบพฤติกรรมที่เข้าข่ายการโจมตีด้วยรหัสผ่าน เช่น การพยายามเข้าสู่ระบบแบบ brute-force แต่ยังไม่พบหลักฐานว่ามีการเจาะระบบผ่านช่องโหว่ใดโดยตรง โดยทางบริษัทกำลังติดตามสถานการณ์อย่างใกล้ชิด พร้อมวิเคราะห์พฤติกรรมที่เกี่ยวข้อง เพื่อประเมินผลกระทบที่อาจเกิดขึ้น และพิจารณาความจำเป็นในการใช้มาตรการป้องกันเพิ่มเติม

เหตุการณ์นี้เกิดขึ้นหลังจากบริษัท GreyNoise ซึ่งเชี่ยวชาญด้านข่าวกรองภัยคุกคาม ออกมาแจ้งเตือนถึงการเพิ่มขึ้นอย่างผิดปกติของการสแกนเพื่อพยายามเข้าสู่ระบบในลักษณะที่ผิดปกติ โดยมุ่งเป้าไปยัง GlobalProtect portals บน PAN-OS

GreyNoise ระบุว่า การดำเนินการดังกล่าวเริ่มต้นเมื่อวันที่ 17 มีนาคม 2025 และพุ่งขึ้นถึงจุดสูงสุดด้วยจำนวน IP addresses ไม่ซ้ำกันกว่า 23,958 รายการ ก่อนที่แนวโน้มจะเริ่มลดลงในช่วงปลายเดือน รูปแบบของการดำเนินการนี้สะท้อนให้เห็นถึงความพยายามที่มีการประสานงานกันในการสำรวจระบบเครือข่าย เพื่อค้นหาระบบที่เปิดให้เข้าถึง หรือมีช่องโหว่ที่สามารถใช้โจมตีได้

การสแกนเพื่อพยายามเข้าสู่ระบบในครั้งนี้ มุ่งเป้าไปที่ระบบในสหรัฐอเมริกา, สหราชอาณาจักร, ไอร์แลนด์, รัสเซีย และสิงคโปร์เป็นหลัก

ปัจจุบันยังไม่สามารถยืนยันได้ว่าความพยายามเหล่านี้มีการแพร่กระจายไปในวงกว้างแค่ไหน หรือเกี่ยวข้องกับกลุ่มผู้ผู้โจมตีรายใดเป็นพิเศษ โดย The Hacker News ได้ติดต่อไปยัง Palo Alto Networks เพื่อขอความคิดเห็นเพิ่มเติม และจะมีการอัปเดตเนื้อหาเมื่อได้รับข้อมูลตอบกลับ

ในระหว่างนี้ บริษัทแนะนำให้ผู้ใช้งานตรวจสอบให้แน่ใจว่าระบบกำลังใช้ PAN-OS เวอร์ชันล่าสุด พร้อมทั้งดำเนินมาตรการเสริมเพื่อเพิ่มความปลอดภัย เช่น การบังคับใช้การยืนยันตัวตนแบบหลายปัจจัย (MFA), การตั้งค่า GlobalProtect ให้รองรับการแจ้งเตือน MFA, การกำหนดนโยบายด้านความปลอดภัยเพื่อช่วยตรวจจับ และป้องกันการโจมตีแบบ brute-force, รวมถึงการจำกัดการเปิดให้สามารถเข้าถึงระบบจากอินเทอร์เน็ตเท่าที่จำเป็นเท่านั้น

ที่มา : thehackernews

 

 

Ransomware Black Basta ได้สร้าง Automated Brute-forcing Framework เรียกว่า "BRUTED" เพื่อเจาะอุปกรณ์เครือข่ายไฟร์วอลล์ และ VPN โดย Büyükkaya นักวิจัยที่ค้นพบระบุว่า Black Basta ได้ใช้ BRUTED มาตั้งแต่ปี 2023 เพื่อโจมตีแบบ Credential-stuffing

จากการวิเคราะห์ Code แสดงให้เห็นว่า Framework นี้ได้รับการออกแบบมาเพื่อ Brute-force Credentials บนระบบ VPN และการเข้าถึงจากระยะไกลบนบนผลิตภัณฑ์ SonicWall NetExtender, Palo Alto GlobalProtect, Cisco AnyConnect, Fortinet SSL VPN, Citrix NetScaler (Citrix Gateway), Microsoft RDWeb (Remote Desktop Web Access) และ WatchGuard SSL VPN

Framework จะค้นหาอุปกรณ์ที่เข้าถึงได้จาก Public ที่ตรงกับรายการเป้าหมาย โดยการใช้ Subdomain Enumeration หรือการระบุที่อยู่ IP และการเพิ่มคำนำหน้าเช่น ".vpn" หรือ "remote" และข้อมูลจะถูกส่งกลับไปยังเซิร์ฟเวอร์ C2 ของผู้โจมตี

เมื่อระบุเป้าหมายได้ BRUTED จะดึงข้อมูลรหัสผ่านที่น่าจะเป็นไปได้จาก remote server และร่วมกับการคาดเดารหัส โดย Framework สามารถดึงชื่อ Common Name (CN) และ Subject Alternative Names (SAN) ออกจาก SSL certificates ของอุปกรณ์เป้าหมายได้ ซึ่งจะช่วยสร้างการคาดเดารหัสผ่านที่น่าจะเป็นไปได้เพิ่มเติมตามโดเมน และการตั้งชื่อของเป้าหมาย

ต่อมาคือการทำ Authentication ทดลอง Login หลายครั้ง ผ่าน CPU หลายตัว ซึ่งมี Code ตัวอย่างจากนักวิจัย แสดงให้เห็นว่ามี Code เฉพาะของแต่ละอุปกรณ์ที่เป็นเป้าหมาย โดยที่มีการใช้ Proxy SOCKS5 เพื่อหลีกเลี่ยงการตรวจจับเพิ่มเติม

BRUTED ยังช่วยเพิ่มประสิทธิภาพการทำงานของกลุ่ม Ransomware เนื่องจากความสามารถในการพยายามเจาะเครือข่ายจำนวนมากพร้อมกัน ส่งผลให้มีโอกาสโจมตีสำเร็จมากขึ้น

แนวทางการป้องกันที่สำคัญคือ การบังคับใช้รหัสผ่านที่คาดเดาได้ยาก และไม่ซ้ำกันของแต่ละอุปกรณ์ รวมถึงบัญชี VPN ทั้งหมด และใช้การยืนยันตัวตนแบบหลายปัจจัย (MFA) เพื่อบล็อกการเข้าถึง แม้ว่า Credential จะถูก Compromise ไปแล้วก็ตาม นอกจากนี้ควร Monitor การ Authentication จากตำแหน่งที่ผิดปกติ และการพยายามเข้าสู่ระบบไม่สำเร็จปริมาณมาก รวมถึงกำหนด Policy สำหรับจำกัดการ Login

ที่มา : bleepingcomputer

ช่องโหว่ในการออกแบบกลไก logging ของ Fortinet VPN server สามารถใช้เพื่อปกปิดร่องรอยการ brute-force credentials ที่ประสบความสำเร็จระหว่างการโจมตีแบบ brute-force attack ซึ่งจะทำให้ผู้ดูแลระบบไม่ได้รับการแจ้งเตือน

แม้ว่าการโจมตีแบบ brute-force attack จะยังสามารถถูกตรวจจับได้ แต่เทคนิคการโจมตีใหม่นี้ช่วยให้สามารถบันทึกเหตุการณ์ได้เฉพาะ failed attempts เท่านั้น ซึ่งจะไม่พบเหตุการณ์ successful
(more…)

Cisco ได้เพิ่มฟีเจอร์ความปลอดภัยใหม่ที่ช่วยลดความรุนแรงของการโจมตีแบบ brute-force และ password spray บน Cisco ASA และ Firepower Threat Defense (FTD) ได้มาก ซึ่งช่วยป้องกันเครือข่ายจากการโจมตีบนระบบและลดการใช้งานทรัพยากรของอุปกรณ์ (more…)

Microsoft เปิดเผยรายงานการพบการโจมตีเพื่อขโมยข้อมูล credential ที่ดําเนินการโดยกลุ่มแฮ็กเกอร์รัสเซียที่รู้จักกันในชื่อ Midnight Blizzard

ทีมข่าวกรองภัยคุกคามของ Microsoft ระบุว่า การโจมตีนี้ใช้ residential proxy services เพื่อซ่อนที่อยู่ไอพีต้นทางของการโจมตี โดยการโจมตีมุ่งเป้าไปที่รัฐบาล, ผู้ให้บริการด้านไอที, องค์กรพัฒนาการป้องกันของเอกชน และอุตสาหกรรมการผลิตที่สําคัญ

กลุ่ม Midnight Blizzard หรือเดิมชื่อ Nobelium รวมถึงยังเป็นที่รู้จักในชื่อ APT29, Cozy Bear, Iron Hemlock และ The Dukes (more…)