การโจมตีแบบ Brute-force ที่มุ่งเป้าไปที่ Management panels ของ Apache Tomcat

พบแคมเปญการโจมตีแบบ Brute-force โดยใช้ IP address ที่ไม่ซ้ำกันหลายร้อยรายการ เพื่อมุ่งเป้าไปที่ Apache Tomcat Manager interfaces ที่มีการเปิดให้เข้าถึงผ่านทางอินเทอร์เน็ตได้

Tomcat เป็นเว็บเซิร์ฟเวอร์แบบโอเพ่นซอร์สยอดนิยมที่ใช้งานกันอย่างแพร่หลายในองค์กรขนาดใหญ่ และผู้ให้บริการ SaaS ในขณะที่ Tomcat Manager เป็นเครื่องมือบริหารจัดการบนเว็บที่ติดตั้งมาพร้อมกับเซิร์ฟเวอร์ Tomcat ซึ่งจะช่วยให้ผู้ดูแลระบบสามารถจัดการเว็บแอปพลิเคชันที่ติดตั้งไว้ผ่าน graphical interface ได้ (more…)

ผู้ไม่หวังดีใช้โปรโตคอลเก่าใน Microsoft Entra ID เพื่อ Bypass MFA และ Conditional Access

Guardz Research พบแคมเปญการโจมตีทางไซเบอร์ที่มีความซับซ้อน และมีการประสานงานอย่างดี (more…)

สหรัฐฯ ประกาศเข้ายึด Botnet พร้อมตั้งข้อหาผู้ดูแลระบบชาวรัสเซีย

กระทรวงยุติธรรมสหรัฐฯ และทีม Black Lotus Labs ของบริษัทโทรคมนาคม Lumen Technologies ได้ประกาศเมื่อวันศุกร์ถึงการยุติการให้บริการพร็อกซีสองรายที่ขับเคลื่อนโดย Botnet ซึ่งประกอบด้วยอุปกรณ์ที่ถูกแฮ็กหลายพันเครื่อง (more…)

Palo Alto Networks ออกคำเตือนเกี่ยวกับความพยายามโจมตีแบบ Brute-Force ที่กำลังมุ่งเป้าไปยัง GlobalProtect Gateways บน PAN-OS

Palo Alto Networks เปิดเผยว่า ขณะนี้บริษัทกำลังเฝ้าติดตามความพยายามเข้าสู่ระบบด้วยวิธี brute-force ที่มุ่งเป้าไปยัง GlobalProtect gateways บน PAN-OS ซึ่งเกิดขึ้นเพียงไม่กี่วันหลังจากนักวิเคราะห์ด้านภัยคุกคามออกมาเตือนถึงแนวโน้มของการสแกนเพื่อพยายามเข้าสู่ระบบในลักษณะที่ผิดปกติ และมีเป้าหมายไปที่อุปกรณ์ของบริษัทอย่างต่อเนื่อง

โฆษกของ Palo Alto Networks ให้ข้อมูลกับ The Hacker News ว่า ทีมงานตรวจพบพฤติกรรมที่เข้าข่ายการโจมตีด้วยรหัสผ่าน เช่น การพยายามเข้าสู่ระบบแบบ brute-force แต่ยังไม่พบหลักฐานว่ามีการเจาะระบบผ่านช่องโหว่ใดโดยตรง โดยทางบริษัทกำลังติดตามสถานการณ์อย่างใกล้ชิด พร้อมวิเคราะห์พฤติกรรมที่เกี่ยวข้อง เพื่อประเมินผลกระทบที่อาจเกิดขึ้น และพิจารณาความจำเป็นในการใช้มาตรการป้องกันเพิ่มเติม

เหตุการณ์นี้เกิดขึ้นหลังจากบริษัท GreyNoise ซึ่งเชี่ยวชาญด้านข่าวกรองภัยคุกคาม ออกมาแจ้งเตือนถึงการเพิ่มขึ้นอย่างผิดปกติของการสแกนเพื่อพยายามเข้าสู่ระบบในลักษณะที่ผิดปกติ โดยมุ่งเป้าไปยัง GlobalProtect portals บน PAN-OS

GreyNoise ระบุว่า การดำเนินการดังกล่าวเริ่มต้นเมื่อวันที่ 17 มีนาคม 2025 และพุ่งขึ้นถึงจุดสูงสุดด้วยจำนวน IP addresses ไม่ซ้ำกันกว่า 23,958 รายการ ก่อนที่แนวโน้มจะเริ่มลดลงในช่วงปลายเดือน รูปแบบของการดำเนินการนี้สะท้อนให้เห็นถึงความพยายามที่มีการประสานงานกันในการสำรวจระบบเครือข่าย เพื่อค้นหาระบบที่เปิดให้เข้าถึง หรือมีช่องโหว่ที่สามารถใช้โจมตีได้

การสแกนเพื่อพยายามเข้าสู่ระบบในครั้งนี้ มุ่งเป้าไปที่ระบบในสหรัฐอเมริกา, สหราชอาณาจักร, ไอร์แลนด์, รัสเซีย และสิงคโปร์เป็นหลัก

ปัจจุบันยังไม่สามารถยืนยันได้ว่าความพยายามเหล่านี้มีการแพร่กระจายไปในวงกว้างแค่ไหน หรือเกี่ยวข้องกับกลุ่มผู้ผู้โจมตีรายใดเป็นพิเศษ โดย The Hacker News ได้ติดต่อไปยัง Palo Alto Networks เพื่อขอความคิดเห็นเพิ่มเติม และจะมีการอัปเดตเนื้อหาเมื่อได้รับข้อมูลตอบกลับ

ในระหว่างนี้ บริษัทแนะนำให้ผู้ใช้งานตรวจสอบให้แน่ใจว่าระบบกำลังใช้ PAN-OS เวอร์ชันล่าสุด พร้อมทั้งดำเนินมาตรการเสริมเพื่อเพิ่มความปลอดภัย เช่น การบังคับใช้การยืนยันตัวตนแบบหลายปัจจัย (MFA), การตั้งค่า GlobalProtect ให้รองรับการแจ้งเตือน MFA, การกำหนดนโยบายด้านความปลอดภัยเพื่อช่วยตรวจจับ และป้องกันการโจมตีแบบ brute-force, รวมถึงการจำกัดการเปิดให้สามารถเข้าถึงระบบจากอินเทอร์เน็ตเท่าที่จำเป็นเท่านั้น

ที่มา : thehackernews

 

 

กลุ่ม Ransomware สร้างเครื่องมือสำหรับการโจมตีแบบ Automate Brute-force VPN

Ransomware Black Basta ได้สร้าง Automated Brute-forcing Framework เรียกว่า "BRUTED" เพื่อเจาะอุปกรณ์เครือข่ายไฟร์วอลล์ และ VPN โดย Büyükkaya นักวิจัยที่ค้นพบระบุว่า Black Basta ได้ใช้ BRUTED มาตั้งแต่ปี 2023 เพื่อโจมตีแบบ Credential-stuffing

จากการวิเคราะห์ Code แสดงให้เห็นว่า Framework นี้ได้รับการออกแบบมาเพื่อ Brute-force Credentials บนระบบ VPN และการเข้าถึงจากระยะไกลบนบนผลิตภัณฑ์ SonicWall NetExtender, Palo Alto GlobalProtect, Cisco AnyConnect, Fortinet SSL VPN, Citrix NetScaler (Citrix Gateway), Microsoft RDWeb (Remote Desktop Web Access) และ WatchGuard SSL VPN

Framework จะค้นหาอุปกรณ์ที่เข้าถึงได้จาก Public ที่ตรงกับรายการเป้าหมาย โดยการใช้ Subdomain Enumeration หรือการระบุที่อยู่ IP และการเพิ่มคำนำหน้าเช่น ".vpn" หรือ "remote" และข้อมูลจะถูกส่งกลับไปยังเซิร์ฟเวอร์ C2 ของผู้โจมตี

เมื่อระบุเป้าหมายได้ BRUTED จะดึงข้อมูลรหัสผ่านที่น่าจะเป็นไปได้จาก remote server และร่วมกับการคาดเดารหัส โดย Framework สามารถดึงชื่อ Common Name (CN) และ Subject Alternative Names (SAN) ออกจาก SSL certificates ของอุปกรณ์เป้าหมายได้ ซึ่งจะช่วยสร้างการคาดเดารหัสผ่านที่น่าจะเป็นไปได้เพิ่มเติมตามโดเมน และการตั้งชื่อของเป้าหมาย

ต่อมาคือการทำ Authentication ทดลอง Login หลายครั้ง ผ่าน CPU หลายตัว ซึ่งมี Code ตัวอย่างจากนักวิจัย แสดงให้เห็นว่ามี Code เฉพาะของแต่ละอุปกรณ์ที่เป็นเป้าหมาย โดยที่มีการใช้ Proxy SOCKS5 เพื่อหลีกเลี่ยงการตรวจจับเพิ่มเติม

BRUTED ยังช่วยเพิ่มประสิทธิภาพการทำงานของกลุ่ม Ransomware เนื่องจากความสามารถในการพยายามเจาะเครือข่ายจำนวนมากพร้อมกัน ส่งผลให้มีโอกาสโจมตีสำเร็จมากขึ้น

แนวทางการป้องกันที่สำคัญคือ การบังคับใช้รหัสผ่านที่คาดเดาได้ยาก และไม่ซ้ำกันของแต่ละอุปกรณ์ รวมถึงบัญชี VPN ทั้งหมด และใช้การยืนยันตัวตนแบบหลายปัจจัย (MFA) เพื่อบล็อกการเข้าถึง แม้ว่า Credential จะถูก Compromise ไปแล้วก็ตาม นอกจากนี้ควร Monitor การ Authentication จากตำแหน่งที่ผิดปกติ และการพยายามเข้าสู่ระบบไม่สำเร็จปริมาณมาก รวมถึงกำหนด Policy สำหรับจำกัดการ Login

ที่มา : bleepingcomputer

ช่องโหว่ VPN design ของ Fortinet ทำให้ไม่พบการโจมตีแบบ Brute-Force ที่สำเร็จ

ช่องโหว่ในการออกแบบกลไก logging ของ Fortinet VPN server สามารถใช้เพื่อปกปิดร่องรอยการ brute-force credentials ที่ประสบความสำเร็จระหว่างการโจมตีแบบ brute-force attack ซึ่งจะทำให้ผู้ดูแลระบบไม่ได้รับการแจ้งเตือน

แม้ว่าการโจมตีแบบ brute-force attack จะยังสามารถถูกตรวจจับได้ แต่เทคนิคการโจมตีใหม่นี้ช่วยให้สามารถบันทึกเหตุการณ์ได้เฉพาะ failed attempts เท่านั้น ซึ่งจะไม่พบเหตุการณ์ successful
(more…)

ฟีเจอร์ใหม่ของ Cisco ASA และ FTD ช่วยบล็อกการโจมตีแบบ brute-force บน VPN

Cisco ได้เพิ่มฟีเจอร์ความปลอดภัยใหม่ที่ช่วยลดความรุนแรงของการโจมตีแบบ brute-force และ password spray บน Cisco ASA และ Firepower Threat Defense (FTD) ได้มาก ซึ่งช่วยป้องกันเครือข่ายจากการโจมตีบนระบบและลดการใช้งานทรัพยากรของอุปกรณ์ (more…)

Microsoft แจ้งเตือนพบการโจมตีเพื่อขโมยข้อมูลจำนวนมากโดยแฮ็กเกอร์ชาวรัสเซีย

Microsoft เปิดเผยรายงานการพบการโจมตีเพื่อขโมยข้อมูล credential ที่ดําเนินการโดยกลุ่มแฮ็กเกอร์รัสเซียที่รู้จักกันในชื่อ Midnight Blizzard

ทีมข่าวกรองภัยคุกคามของ Microsoft ระบุว่า การโจมตีนี้ใช้ residential proxy services เพื่อซ่อนที่อยู่ไอพีต้นทางของการโจมตี โดยการโจมตีมุ่งเป้าไปที่รัฐบาล, ผู้ให้บริการด้านไอที, องค์กรพัฒนาการป้องกันของเอกชน และอุตสาหกรรมการผลิตที่สําคัญ

กลุ่ม Midnight Blizzard หรือเดิมชื่อ Nobelium รวมถึงยังเป็นที่รู้จักในชื่อ APT29, Cozy Bear, Iron Hemlock และ The Dukes (more…)

GoBruteforcer มัลแวร์ตัวใหม่ใช้ภาษา Golang-Based โจมตีเว็บเซิร์ฟเวอร์ด้วยวิธีการ Brute-Force

พบมัลแวร์ตัวใหม่ที่ใช้ภาษา Golang ชื่อว่า 'GoBruteforcer' มุ่งเป้าหมายไปที่เซิร์ฟเวอร์ phpMyAdmin, MySQL, FTP, และ Postgres เพื่อเชื่อมโยงอุปกรณ์เข้า botnet

นักวิจัยของ Palo Alto Networks Unit 42 กล่าวว่า "GoBruterforcer ใช้ Classless Inter-Domain Routing (CIDR) block เพื่อสแกนเครือข่ายในระหว่างการโจมตี และมีเป้าหมายเป็นที่อยู่ IP ทั้งหมดของ CIDR range"

ผู้ไม่หวังดีใช้การสแกน CIDR block เพื่อเข้าถึงเครือข่ายเป้าหมายบน IP ที่แตกต่างกันภายในเครือข่าย แทนที่จะใช้ IP แบบเดียวเป็นเป้าหมาย (more…)

Google Project Zero พาแกะ 3 ฟีเจอร์ใหม่ใน iMessage ของ iOS 14 ลดโอกาสโดน Zero-CLick Exploit ได้

Samuel Groß นักวิจัยด้านความปลอดภัยจาก Google Project Zero ได้มีการเผยแพร่งานวิจัยใหม่เกี่ยวกับฟีเจอร์ด้านความปลอดภัยใน iOS 14 ในส่วนของ iMessage ซึ่งตกเป็นเป้าหมายในการถูกโจมตีแบบ Zero-click อยู่บ่อยครั้ง โดยงานวิจัยนี้เกิดจากการทำ Reverse engineering กับกระบวนการทำงานของ iMessage ในเวลาเพียงแค่ 1 สัปดาห์

สำหรับฟีเจอร์แรกนั้นถูกเรียกว่าเซอร์วิส BlastDoor ซึ่งเป็นส่วนโมดูลใหม่สำหรับประมวลผลข้อมูลไบนารี อาทิ ไฟล์แนบ, ลิงค์และไฟล์รูปข้างใน Sandbox ซึ่งไม่สามารถเชื่อมต่อออกสู่เครือข่ายได้ ผลลัพธ์ของการแยกประมวลผลนี้ทำให้การจัดเรียงกันของหน่วยความจำนั้นแตกต่างออกไปและเพิ่มความเป็นไปได้ยากในการที่จะทำการโจมตีในลักษณะของ Memory corruption

ฟีเจอร์ส่วนที่สองนั้นถูกเรียกว่า Shared cache resliding โดยเป็นการปรับปรุงส่วนของ Shared cache ในหน่วยความจำ ส่วนของ Shared cache เป็นส่วนหนึ่งของหน่วยความจำที่มีการเก็บตำแหน่งของฟังก์ชันของระบบเอาไว้และจะถูกสุ่มภายใต้ฟีเจอร์ ASLR เฉพาะเมื่อมีการบูต เนื่องจากการสุ่มตำแหน่งโดย ASLR ไม่ได้เกิดขึ้นบ่อยนัก การโจมตีในบางเทคนิคสามารถนำไปสู่การระบุหาแอดเดรสใน Shared cache ซึ่งนำไปสู่การข้ามผ่านฟีเจอร์ ASLR ได้ ใน iOS 14 ปัญหาในส่วนนี้ถูกแก้โดยการเพิ่มเงื่อนไขในการสุ่มตำแหน่งของข้อมูลใน Shared cache สำหรับเซอร์วิสใดๆ เมื่อเซอร์วิสเริ่มทำงานแทน ซึ่งทำให้การข้ามผ่านฟีเจอร์ ASLR เป็นไปได้ยากขึ้นหรือแทบเป็นไปไม่ได้เลย

ฟีเจอร์ส่วนสุดท้ายยังคงอยู่ในแนวทางของการป้องกันการข้ามผ่านฟีเจอร์ ASLR ซึ่งมาในลักษณะของการ Brute force โดยใน iOS 14 นั้นเซอร์วิสอย่าง BlastDoor จะถูกตั้งค่าและควบคุมให้อยู่ในกลไกที่ชื่อ ExponentialThrottling ซึ่งจะทำการหน่วงเวลาของการรีสตาร์ทหากโปรเซสหรือเซอร์วิสมีการแครช ฟีเจอร์ ExponentialThrottling ถูกบังคับใช้เฉพาะกับกลไกที่สำคัญ ดังนั้นผลกระทบของเวลาที่ถูกหน่วงในแต่ละครั้งจะไม่กระทบต่อการใช้งานทั่วไป จากการตรวจสอบโดย Samuel เวลาหน่วงที่มากที่สุดหลังจากมีการแครชและจำนวนเวลาถูกเพิ่มไปเรื่อยๆ นั้นคือ 20 นาที

สำหรับใครที่สนใจทางด้าน Exploitation โดยเฉพาะอย่างยิ่งในสภาพแวดล้อมของ macOS และ iOS สามารถอ่านรายละเอียดจากการ Reverse engineer ได้ที่ : googleprojectzero

ที่มา: zdnet