นักวิจัยด้านความปลอดภัยทางไซเบอร์เปิดเผยถึงการเพิ่มขึ้นของ "การสแกนจำนวนมาก, การเดารหัสผ่าน (Brute-force) และการพยายามโจมตีช่องโหว่" จาก IP Address ที่เชื่อมโยงกับผู้ให้บริการโฮสติ้งสัญชาติรัสเซียชื่อว่า Proton66 ที่มักเพิกเฉย หรือไม่สนใจการร้องขอข้อมูลจากเจ้าหน้าที่บังคับใช้กฎหมาย

การดำเนินการดังกล่าวถูกตรวจพบตั้งแต่วันที่ 8 มกราคม 2025 โดยมีเป้าหมายเป็นองค์กรต่าง ๆ ทั่วโลก ตามรายงานวิเคราะห์ที่เผยแพร่โดย Trustwave SpiderLabs เมื่อสัปดาห์ที่ผ่านมา

นักวิจัยด้านความปลอดภัย Pawel Knapczyk และ Dawid Nesterowicz ระบุว่า "Net blocks 45.135.232.0/24 และ 45.140.17.0/24 มีการใช้งานสูงเป็นพิเศษในด้านการสแกนแบบกลุ่ม และการพยายามเดารหัสผ่าน (Brute-force) โดย IP Address ที่ต้องสงสัยหลายรายการไม่เคยมีประวัติเกี่ยวข้องกับการดำเนินการที่เป็นอันตราย หรือไม่ได้ใช้งานมานานกว่า 2 ปี"

Proton66 จากรัสเซียนี้ ถูกประเมินว่ามีความเชื่อมโยงกับระบบอัตโนมัติอีกระบบหนึ่งที่ชื่อ Prospero โดยเมื่อปีที่แล้ว บริษัทด้านความปลอดภัยของฝรั่งเศสชื่อ Intrinsec ได้เปิดเผยความเชื่อมโยงของระบบดังกล่าวกับบริการ bulletproof ที่ถูกโฆษณาอยู่ในฟอรัมอาชญากรรมไซเบอร์ของรัสเซียภายใต้ชื่อ Securehost และ BEARHOST

มัลแวร์หลายกลุ่ม รวมถึง GootLoader และ SpyNote ได้ใช้บริการของ Proton66 ในการโฮสต์เซิร์ฟเวอร์ Command-and-Control (C2) และเพจฟิชชิ่ง เมื่อเดือนกุมภาพันธ์ที่ผ่านมา Brian Krebs นักข่าวด้านความปลอดภัยไซเบอร์เปิดเผยว่า Prospero ได้เริ่มกำหนดเส้นทางการดำเนินงานผ่านเครือข่ายที่ดำเนินการโดย Kaspersky Lab ซึ่งเป็นผู้ให้บริการแอนตี้ไวรัสของรัสเซียในกรุงมอสโกว

อย่างไรก็ตาม Kaspersky ปฏิเสธว่าไม่ได้มีความเกี่ยวข้องกับ Prospero และอธิบายว่า “การกำหนดเส้นทางผ่านเครือข่ายของ Kaspersky ไม่ได้หมายความว่าเป็นการใช้บริการของบริษัทโดยตรง เนื่องจากเส้นทางของระบบอัตโนมัติ (AS) ของ Kaspersky อาจปรากฏเป็น prefix ทางเทคนิคในเครือข่ายของผู้ให้บริการโทรคมนาคมที่บริษัททำงานร่วมด้วย และให้บริการ DDoS Protection อยู่”

การวิเคราะห์ล่าสุดของ Trustwave พบว่า มี requests ที่เป็นอันตรายซึ่งมีต้นทางมาจากบล็อกเครือข่าย Proton66 (193.143.1[.]65) ในเดือนกุมภาพันธ์ 2025 ซึ่งพยายามโจมตีช่องโหว่ระดับ Critical ล่าสุดบางรายการ

CVE-2025-0108 – ช่องโหว่ Authentication Bypass ใน Palo Alto Networks PAN-OS

CVE-2024-41713 – ช่องโหว่ input validation ที่ไม่เหมาะสมใน NuPoint Unified Messaging (NPM) component ของ Mitel MiCollab

CVE-2024-10914 – ช่องโหว่ Command Injection บนอุปกรณ์ D-Link NAS

CVE-2024-55591 และ CVE-2025-24472 – ช่องโหว่ Authentication Bypass ในระบบปฏิบัติการ Fortinet FortiOS

มีข้อสังเกตว่า การใช้ช่องโหว่สองรายการใน Fortinet FortiOS ถูกระบุว่าเป็นฝีมือของกลุ่ม Mora_001 ซึ่งถูกพบว่ามีการใช้งานแรนซัมแวร์สายพันธุ์ใหม่ที่ชื่อว่า SuperBlack

 

บริษัทด้านความปลอดภัยไซเบอร์ยังระบุเพิ่มเติมว่า ได้ตรวจพบแคมเปญมัลแวร์หลายรายการที่เชื่อมโยงกับ Proton66 ซึ่งมีเป้าหมายในการแพร่กระจายมัลแวร์ตระกูลต่าง ๆ เช่น XWorm, StrelaStealer และแรนซัมแวร์ชื่อว่า WeaXor

อีกหนึ่งพฤติกรรมที่น่าสนใจคือ การใช้งานเว็บไซต์ WordPress ที่ถูกโจมตี ซึ่งเชื่อมโยงกับ IP address ของ Proton66 "91.212.166[.]21" เพื่อเปลี่ยนเส้นทางผู้ใช้อุปกรณ์ Android ไปยังหน้าเว็บฟิชชิ่งที่เลียนแบบหน้ารายละเอียดแอปใน Google Play เพื่อหลอกให้ผู้ใช้ดาวน์โหลดไฟล์ APK ที่เป็นอันตราย

การเปลี่ยนเส้นทางนี้เกิดขึ้นผ่าน JavaScript ที่ฝังโค้ดอันตราย ซึ่งโฮสต์อยู่บน IP address ของ Proton66 จากการวิเคราะห์ชื่อโดเมนปลอมของ Google Play พบว่าแคมเปญนี้ถูกออกแบบมาเพื่อเจาะกลุ่มเป้าหมายที่ใช้ภาษาฝรั่งเศส, สเปน และกรีก

นักวิจัยอธิบายว่า “สคริปต์สำหรับเปลี่ยนเส้นทางนั้นถูกทำให้ซับซ้อน และมีการตรวจสอบหลายขั้นตอนกับเหยื่อ เช่น การแยกโปรแกรมค้นหา และผู้ใช้ VPN หรือ proxy ออกไป โดยระบบจะดึง IP ของผู้ใช้ผ่านการ query ไปยัง ipify.

Cyble ได้ระบุการโจมตีทางไซเบอร์ใหม่หลายรายการในวันที่ 2-8 ตุลาคม 2024

หนึ่งในกลุ่มเป้าหมาย คือ ไลบรารี Ruby SAML, อุปกรณ์ NAS ของ D-Link หลายรุ่น, aiohttp client-server framework ที่ใช้กับ asyncio และ Python และปลั๊กอิน WordPress ยอดนิยมที่ใช้โดยร้านอาหาร และธุรกิจอื่น ๆ

Cyble sensors ยังได้ค้นพบที่อยู่อีเมลฟิชชิงใหม่กว่า 350 รายการ และการโจมตีด้วยวิธี brute-force จำนวนหลายพันรายการ (more…)

The Cyble Global Sensor Intelligence Network (CGSI) ได้ดำเนินการติดตาม และรวบรวมข้อมูลการโจมตีแบบเรียลไทม์ผ่านเครือข่าย Honeypot ของ Cyble และได้ตรวจพบการพยายามโจมตีจำนวนมาก เช่น การโจมตีด้วยมัลแวร์, การหลอกลวงทางการเงิน และการโจมตีแบบ Brute-Force (more…)

QNAP ได้ออกมาแจ้งเตือนผู้ใช้งานให้รีบป้องกันอุปกรณ์เก็บข้อมูลแบบเครือข่าย Network Attached Storage (NAS) ที่เชื่อมต่อออกอินเทอร์เน็ตทันทีจากการโจมตีทั้ง ransomware และการโจมตีแบบ brute-force

"QNAP แนะนำให้ผู้ใช้ QNAP NAS ทุกคนปฏิบัติตามคำแนะนำในการตั้งค่าความปลอดภัยด้านล่าง เพื่อความปลอดภัยของอุปกรณ์เครือข่าย QNAP" ผู้ผลิต NAS ของไต้หวันกล่าวในการแถลงข่าว

ผู้ผลิตอุปกรณ์ NAS เตือนผู้ใช้ให้เช็คว่า NAS ของตนถูกโจมตีได้หรือไม่ โดยเปิด Security Counselor ซึ่งเป็น security portal ในตัวสำหรับอุปกรณ์ QNAP NAS

"NAS ของคุณอาจถูกโจมตี และมีความเสี่ยงสูงหากมีข้อความว่า 'The System Administration service can be directly accessible from an external IP address via the following protocols: HTTP’ บน Dashboard"

QNAP แนะนำให้ลูกค้าที่มีอุปกรณ์ NAS ที่เข้าถึงได้จากอินเทอร์เน็ตให้ดำเนินการดังต่อไปนี้เพื่อป้องกันการโจมตี:

ปิดใช้งานฟังก์ชัน Port Forwarding ของเราเตอร์: เข้าไปที่ Management Interface ของ Router, ตรวจสอบการตั้งค่า Virtual Server, NAT หรือ Port forwarding และปิดใช้งาน Port Forwarding เซอร์วิสที่ใช้จัดการ NAS (พอร์ต 8080 และ 433 )
ปิดใช้งานฟังก์ชัน UPnP ของ QNAP NAS: ไปที่ myQNAPcloud บนเมนู QTS คลิก “Auto Router Configuration” และยกเลิกการเลือก "Enable UPnP Port forwarding"

ผู้ผลิตอุปกรณ์ NAS ยังให้รายละเอียดขั้นตอนในการปิดการเชื่อมต่อ SSH และ Telnet และเปลี่ยนหมายเลขพอร์ตของระบบ เปลี่ยนรหัสผ่านของอุปกรณ์ และเปิดใช้งานการป้องกัน IP และการเข้าถึงบัญชี

คำเตือนนี้มีขึ้นหลังจากการถูกโจมตีด้วยแรนซัมแวร์จำนวนมาก

แม้ว่าบริษัทจะไม่เปิดเผยรายละเอียดอื่นใดเกี่ยวกับการโจมตีเหล่านี้ แต่ BleepingComputer ได้รายงานเกี่ยวกับลูกค้า QNAP ว่าระบบของพวกเขาตกเป็นเป้าหมายของ eCh0raix ransomware (หรือที่เรียกว่า QNAPCrypt) และพบว่าเหตุการณ์เหล่านี้เพิ่มขึ้นจำนวนมากในช่วงก่อนวันคริสต์มาส และยังไม่มีการระบุถึงช่องทางที่ผู้โจมตีใช้ในการโจมตี

อย่างไรก็ตาม รายงานจากผู้ใช้บางส่วนที่ถูกโจมตีด้วย ransomware มาจากการตั้งค่าที่ไม่ปลอดภัยของ QNAP ส่วนรายงานอื่นๆอ้างว่าผู้โจมตีใช้ช่องโหว่ของ QNAP Photo Station ในการโจมตี

BleepingComputer พบการเรียกค่าไถ่ ech0raix ตั้งแต่ $1,200 ถึง $3,000 ด้วย bitcoins ในการโจมตีรอบล่าสุด ผู้โจมตีบางคนได้รับเงินเพราะเหยื่อไม่มีข้อมูลสำรองของไฟล์ที่ถูกเข้ารหัส

ก่อนหน้านี้อุปกรณ์ QNAP ตกเป็นเป้าหมายของแรนซัมแวร์ eCh0raix ในเดือนมิถุนายน 2019 และมิถุนายน 2020 โดยผู้ผลิตอุปกรณ์ NAS ยังแจ้งเตือนผู้ใช้ถึงการโจมตี eCh0raix อีกชุดหนึ่งที่พุ่งเป้าไปที่อุปกรณ์ที่ใช้รหัสผ่านที่ไม่รัดกุมในเดือนพฤษภาคม 2021

ที่มา : bleepingcomputer

 

 

 

 

 

 

 

 

ช่องโหว่ใหม่บน Azure AD ทำให้ผู้ไม่หวังดีสามารถเดารหัสผ่านจำนวนมากได้โดยที่ไม่ถูกตรวจจับ

นักวิจัย Secureworks Counter Threat Unit (CTU) พบช่องโหว่ที่เกิดขึ้นบน Microsoft Azure Active Directory ที่ยังไม่ได้รับการ Patch ทำให้ผู้ไม่หวังดีทำการโจมตีด้วยการ Brute-force attacks โดยระบุว่าช่องโหว่ดังกล่าวทำให้ผู้ไม่หวังดีสามารถเดารหัสผ่านได้เรื่อยๆด้วยวิธีการ Brute-force บน Microsoft Azure Active Directory โดยไม่ถูกตรวจจับได้จากพฤติกรรมการพยายามเข้าสู่ระบบหลายๆครั้ง

Azure Active Directory เป็น solution ในการจัดการการเข้าถึงข้อมูล และการเข้าถึงบนระบบ Cloud ของ Microsoft ซึ่งออกแบบมาให้เป็น การเข้าถึงแบบ single sing-on (SSO) และ แบบ multi-factor authentication นอกจากนี้ยังเป็นองค์ประกอบหลักของการใช้งาน Microsoft 365(Office 365) อีกด้วย

จุดอ่อนดังกล่าวเกิดขึ้นที่ระบบ Single Sign-On feature ที่อนุญาตให้ผู้ใช้งานเข้าใช้ได้อัตโนมัติ เมื่อใช้อุปกรณ์ขององค์กรที่เชื่อมต่อกับเครือข่ายภายในโดยไม่ต้องทำการใส่ Password เพื่อให้การโจมตีนี้สำเร็จจะต้องอาศัย Kerberos protocol เพื่อหา User Object บน Azure AD และ ticket-granting ticket (TGT) ที่อนุญาตให้เข้าถึงข้อมูลต่างๆในระบบ ผ่าน UserNameMixed ซึ่งเป็นส่วนสร้าง Token และ error code ของ User โดยที่ไม่มีการสร้างข้อมูลเพื่อเก็บการเข้าถึงแบบ Autologon's authentication

โดยทาง Microsoft ได้ออกมาแจ้งให้กับผู้ใช้งานทราบว่า รายละเอียดดังกล่าวที่นักวิจัยได้แจ้งมา ระบุไม่ได้เป็นช่องโหว่ในด้านความปลอดภัยและยืนยันว่าการเข้าถึงในลักษณะดังกล่าวมีการป้องกัน โดย Token ที่ถูกสร้างด้วย UserNameMixed API ไม่สามารถใช้ในการเข้าถึงข้อมูลได้ ซึ่ง Azure AD มีเงื่อนไขในการตรวจสอบบน Conditional Access, Azure AD Multi-Factor Authentication, Azure AD Identity Protection และจะต้องมีการบันทึกข้อมูลในการเข้าถึงเมื่อมีการเข้าสู่ระบบ

ที่มา : thehackernews

QNAP ออกแจ้งเตือนผู้ใช้เกี่ยวกับแคมเปญ การโจมตีด้วย Brute-force attacks ที่กำหนดเป้าหมายไปยังอุปกรณ์ QNAP NAS อย่างต่อเนื่อง และได้ออกคำแนะนำให้ผู้ใช้ทำการอัปเดตแพตช์ความปลอดภัยให้เป็นเวอร์ชันล่าสุดโดยเร็วที่สุด

QNAP ได้รับรายงานว่าผู้ใช้หลายรายกำลังถูกผู้ไม่หวังดีพยายามที่จะเข้าสู่ระบบของอุปกรณ์ QNAP โดยใช้วิธีโจมตีด้วยเทคนิค Brute-force attacks หากอุปกรณ์ QNAP มีการใช้รหัสผ่านที่ง่ายหรือคาดเดาได้ เช่น “password” หรือ “12345” จะทำให้ผู้ประสงค์ร้ายสามารถเข้าถึงอุปกรณ์ได้โดยง่าย และสามารถขโมยเอกสารที่มีความสำคัญหรือติดตั้งมัลแวร์ได้ โดยผู้ดูแลควรหมั่นตรวจสอบข้อมูล log การเข้าสู่ระบบ เนื่องจากการคาดเดารหัสผ่านจะทำให้เกิด log ที่แจ้ง "Failed to login" หากเจอ log ลักษณะดังกล่าวในปริมาณมากกว่าปกติ หรือเจอบ่อย ๆ ควรมีการตรวจสอบการตั้งค่าความปลอดภัยของอุปกรณ์

QNAP ได้ออกคำแนะนำให้ผู้ใช้อุปกรณ์ NAS ทำการเปลี่ยนหมายเลขพอร์ตของ Default access และควรทำการใช้รหัสผ่านที่คาดเดาได้ยาก จากนั้นปิดใช้งานบัญชี admin หากไม่จำเป็นที่จะต้องใช้งาน เนื่องจากบัญชีดังกล่าวตกเป็นเป้าหมายในการโจมตี และผู้ดูแลระบบควรทำการสร้างบัญชีผู้ดูแลระบบใหม่ เพื่อป้องกันการตกเป็นเป้าหมายจากการโจมตี ทั้งนี้ผู้ดูแลระบบสามารถเข้าไปอ่านรายละเอียดการตั้งค่าความปลอดภัยได้ที่: qnap

ที่มา: bleepingcomputer