ภายในระยะเวลาเพียงสามเดือน Aisuru Botnet ได้มีการโจมตีแบบ DDoS ไปแล้วมากกว่า 1,300 ครั้ง โดยการโจมตีครั้งหนึ่งได้สร้างสถิติใหม่ด้วยปริมาณข้อมูลสูงถึง 29.7 เทระบิตต่อวินาที

(more…)

Microsoft ระบุในวันที่ 17 พฤศจิกายน 2025 ที่ผ่านมาว่า botnet ที่ชื่อ Aisuru ได้โจมตีเครือข่าย Azure ด้วยการโจมตีแบบ DDoS ที่มีปริมาณข้อมูลสูงถึง 15.72 Tbps โดยการโจมตีดังกล่าวมีต้นทางมากกว่า 500,000 IP Address

(more…)

บริษัท Cloudflare เปิดเผยว่าเพิ่ง Block การโจมตีแบบ DDoS ขนาดใหญ่ที่สุดที่เคยบันทึกไว้ ซึ่งมีปริมาณการโจมตีพุ่งสูงถึง 11.5 terabits per second (Tbps)

(more…)

Cloudflare เปิดเผยว่าได้ป้องกันการโจมตีแบบ DDoS ที่สร้างสถิติใหม่ในเดือนพฤษภาคม 2025 ด้วยปริมาณที่พุ่งสูงถึง 7.3 Tbps โดยมุ่งเป้าไปยังผู้ให้บริการ Hosting

การโจมตีแบบ DDoS คือการส่ง traffic จำนวนมหาศาลไปยังเป้าหมาย โดยมีจุดประสงค์เดียวคือทำให้เซิร์ฟเวอร์ทำงานอย่างหนัก และทำให้เกิดความล่าช้าในการให้บริการ จนถึงขั้นระบบหยุดชะงัก หรืออาจทำให้ระบบขัดข้องไปเลย

การโจมตีครั้งใหม่นี้มีขนาดใหญ่กว่าสถิติเดิมถึง 12% โดยมีการส่งข้อมูลมหาศาลถึง 37.4 TB ภายในเวลาเพียง 45 วินาที ถ้าเทียบเท่ากับการสตรีมมิ่งวิดีโอความละเอียดสูงระดับ HD ก็จะประมาณ 7,500 ชั่วโมง หรือถ้าเป็นรูปภาพ JPEG ก็จะประมาณ 12,500,000 รูป

Cloudflare เป็นบริษัทยักษ์ใหญ่ด้านโครงสร้างพื้นฐานเว็บไซต์ และความปลอดภัยทางไซเบอร์ที่เชี่ยวชาญด้านการป้องกันการโจมตีแบบ DDoS โดยให้บริการป้องกันในระดับเครือข่ายที่เรียกว่า 'Magic Transit' แก่ลูกค้าที่ตกเป็นเป้าหมายของการโจมตีในครั้งนี้

การโจมตีครั้งนี้มาจาก IP Address ต้นทางจำนวน 122,145 แห่ง ที่กระจายอยู่ใน 161 ประเทศ โดยส่วนใหญ่มาจากบราซิล, เวียดนาม, ไต้หวัน, จีน, อินโดนีเซีย และยูเครน

แพ็กเกจข้อมูลขยะ ถูกส่งไปยังพอร์ตปลายทางหลายพอร์ตบนระบบของเหยื่อ โดยเฉลี่ยอยู่ที่ 21,925 พอร์ตต่อวินาที และสูงสุดถึง 34,517 พอร์ตต่อวินาที

กลยุทธ์ในการกระจาย traffic ในลักษณะนี้ มีเป้าหมายเพื่อทำให้ firewall หรือระบบตรวจจับการบุกรุก (IDS) ทำงานหนักจนถึงขั้นขัดข้องในที่สุด อย่างไรก็ตาม Cloudflare ระบุว่า สามารถป้องกันการโจมตีได้สำเร็จโดยไม่ต้องอาศัยการแทรกแซงใด ๆ จากมนุษย์

เครือข่าย anycast ของ Cloudflare ได้ช่วยกระจาย traffic จากการโจมตีไปยังศูนย์ข้อมูล 477 แห่ง ใน 293 แห่งทั่วโลก โดยอาศัยเทคโนโลยีหลักต่าง ๆ เช่น การตรวจสอบ fingerprint แบบเรียลไทม์ (real-time fingerprinting) และการแลกเปลี่ยนข้อมูลภายในศูนย์ข้อมูล (intra-data center gossiping) เพื่อแบ่งปันข้อมูลภัยคุกคามแบบ real-time และสร้าง Rules เพื่อป้องกันโดยอัตโนมัติ

แม้ว่าปริมาณการโจมตีเกือบทั้งหมดจะมาจากเทคนิค UDP floods ซึ่งคิดเป็น 99.996% ของ traffic ทั้งหมด แต่ก็มีการโจมตีในรูปแบบอื่น ๆ อีกหลายรูปแบบเข้ามาเกี่ยวข้องด้วย ได้แก่ :

QOTD reflection – การโจมตีแบบ reflection โดยใช้โปรโตคอล QOTD (Quote of the Day)
Echo reflection – การโจมตีแบบ reflection โดยใช้โปรโตคอล Echo เพื่อสร้าง traffic จำนวนมาก
NTP amplification – การโจมตีแบบ amplification โดยใช้โปรโตคอล NTP (Network Time Protocol) เพื่อเพิ่มปริมาณข้อมูล
Mirai botnet UDP flood – การโจมตีแบบ UDP flood โดยใช้ Mirai botnet
Portmap flood – การโจมตีแบบ Portmap flood โดยส่งข้อมูลจำนวนมากผ่านพอร์ตที่ใช้บริการ Portmap เพื่อทำให้ระบบล่ม
RIPv1 amplification – การโจมตีแบบ amplification โดยใช้โปรโตคอล RIPv1 (Routing Information Protocol version 1) เพื่อสร้างปริมาณ traffic ที่มากผิดปกติ

การโจมตีแต่ละรูปแบบอาศัยช่องโหว่ของบริการที่ล้าสมัย หรือที่ถูกตั้งค่าผิดพลาด แม้ว่าส่วนนี้จะเป็นเพียงสัดส่วนเล็กน้อยของการโจมตีทั้งหมด แต่ก็เป็นส่วนหนึ่งของกลยุทธ์ในการหลบเลี่ยงการตรวจจับ และเพิ่มประสิทธิภาพของการโจมตี อีกทั้งยังอาจถูกใช้เพื่อตรวจสอบหาจุดอ่อน หรือช่องโหว่ในการตั้งค่าในระบบได้อีกด้วย

Cloudflare ระบุว่า Indicators of Compromise (IoCs) ที่ได้จากการโจมตีในครั้งนี้ได้ถูกนำมาใส่ในบริการ DDoS Botnet Threat Feed ของบริษัทแล้ว ซึ่งเป็นบริการฟรีที่ช่วยให้องค์กรต่าง ๆ สามารถบล็อก IP Address ที่เป็นอันตรายได้ล่วงหน้า

ปัจจุบันมีองค์กรกว่า 600 แห่งที่สมัครใช้บริการนี้แล้ว และ Cloudflare ก็ได้เรียกร้องให้องค์กรอื่น ๆ ที่เสี่ยงต่อถูกการโจมตีแบบ DDoS ขนาดใหญ่ มาสมัครใช้บริการเช่นเดียวกัน เพื่อสกัดกั้นการโจมตีก่อนที่จะเข้าถึงโครงสร้างพื้นฐานของพวกเขาได้

 

ที่มา : bleepingcomputer.

บริษัทด้านการรักษาความปลอดภัยทางไซเบอร์ Cloudflare ออกคำเตือนอย่างชัดเจนเกี่ยวกับภัยคุกคามที่ทวีความรุนแรงขึ้นที่องค์กรสื่ออิสระทั่วโลกต้องเผชิญ โดยเปิดเผยว่านักข่าว และสำนักข่าวต่าง ๆ ได้กลายเป็นเป้าหมายหลักของการโจมตีแบบ Distributed Denial-of-Service (DDoS) ที่มีความซับซ้อน (more…)

นักวิจัยด้านความปลอดภัยทางไซเบอร์ได้ออกมาเตือนถึงมัลแวร์ botnet ตัวใหม่ที่ชื่อ HTTPBot ซึ่งถูกใช้เพื่อมุ่งเป้าโจมตีไปที่อุตสาหกรรมเกม รวมถึงบริษัทเทคโนโลยี และสถาบันการศึกษาในประเทศจีน

NSFOCUS ระบุว่า “ในช่วงหลายเดือนที่ผ่านมา HTTPBot ได้ขยายตัวอย่างรวดเร็ว โดยใช้อุปกรณ์ที่ติดมัลแวร์เป็นฐานในการโจมตีระบบภายนอกอย่างต่อเนื่อง และใช้การโจมตีแบบ simulated HTTP Flood ที่มาพร้อมกับเทคนิคการ obfuscation ทำให้สามารถหลบหลีกระบบตรวจจับแบบ rule-based ได้”

HTTPBot ถูกพบครั้งแรกในเดือนสิงหาคม 2024 โดยได้รับชื่อจากการใช้โปรโตคอล HTTP ในการโจมตีแบบ DDoS (Distributed Denial-of-Service) โดยมัลแวร์ตัวนี้ถูกเขียนด้วยภาษา Golang ซึ่งถือเป็นเรื่องที่ค่อนข้างผิดปกติ เนื่องจากเป้าหมายหลักเป็นระบบปฏิบัติการ Windows

Botnet trojan ที่ทำงานบนระบบ Windows ตัวนี้ ถูกใช้ในการโจมตีเป้าหมายแบบเฉพาะเจาะจงอย่างแม่นยำ โดยมุ่งเป้าไปที่ business interfaces ที่มีมูลค่าสูง เช่น ระบบการล็อกอินเกม และระบบการชำระเงิน

บริษัทที่มีสำนักงานใหญ่ในปักกิ่ง ระบุว่า “การโจมตีที่มีความแม่นยำสูงนี้ ก่อให้เกิดภัยคุกคามต่ออุตสาหกรรมที่ต้องพึ่งพาการโต้ตอบแบบเรียลไทม์ นอกจากนี้ HTTPBot ถือเป็นจุดเปลี่ยนแนวทางของการโจมตีแบบ DDoS โดยจากเดิมที่จะเน้นการใช้ทราฟฟิกโจมตีแบบไม่ระบุเป้าหมาย (indiscriminate traffic suppression) ไปสู่การโจมตีจุดสำคัญของธุรกิจอย่างแม่นยำ (high-precision business strangulation)”

มีการคาดการณ์ว่า HTTPBot ถูกใช้ในการโจมตีไปแล้วไม่น้อยกว่า 200 ครั้ง นับตั้งแต่ต้นเดือนเมษายน 2025 ที่ผ่านมา โดยการโจมตีเหล่านี้มุ่งเป้าไปที่ อุตสาหกรรมเกม, บริษัทเทคโนโลยี, สถาบันการศึกษา และเว็บไซต์ด้านการท่องเที่ยวในประเทศจีน

เมื่อมัลแวร์ถูกติดตั้ง และเริ่มทำงาน มัลแวร์จะซ่อน graphical user interface (GUI) ของตัวเอง เพื่อหลีกเลี่ยงการถูกตรวจสอบจากทั้งผู้ใช้งาน และเครื่องมือรักษาความปลอดภัย โดยมีเป้าหมายเพื่อเพิ่มความสามารถในการแอบแฝงเพื่อการโจมตี นอกจากนี้มัลแวร์ยังใช้วิธีการปรับแต่ง Windows Registry โดยไม่ได้รับอนุญาต เพื่อให้สามารถทำงานได้โดยอัตโนมัติทุกครั้งที่ระบบเริ่มทำงาน

จากนั้น botnet ตัวนี้จะดำเนินการเชื่อมต่อกับเซิร์ฟเวอร์ command-and-control (C2) เพื่อรอรับคำสั่งเพิ่มเติมในการดำเนินการโจมตีแบบ HTTP flood ซึ่งจะทำโดยการส่ง HTTP request ปริมาณมหาศาลไปยังเป้าหมายที่กำหนดไว้ นอกจากนี้ HTTPBot ยังรองรับโมดูลการโจมตีหลากหลายรูปแบบ โดยมีรายละเอียดดังต่อไปนี้ :

BrowserAttack: เป็นการโจมตีที่ใช้ instances ของ Google Chrome ที่ซ่อนอยู่ เพื่อเลียนแบบ traffic ให้ดูเหมือนถูกต้องตามปกติ ขณะเดียวกันก็จะดึงทรัพยากรของเซิร์ฟเวอร์ไปใช้ทั้งหมด
HttpAutoAttack: เป็นการโจมตีที่ใช้ คุกกี้ (Cookies-based) เพื่อจำลองเซสชันให้ดูเหมือนเป็นของผู้ใช้จริงมากที่สุด
HttpFpDlAttack: เป็นการโจมตีที่ใช้โปรโตคอล HTTP/2 ที่มีประสิทธิภาพสูงกว่ารุ่นเก่า (HTTP/1.1) ที่พยายามมุ่งเน้นในการเพิ่มภาระของ CPU loader บนเซิร์ฟเวอร์ โดยบังคับให้เซิร์ฟเวอร์ตอบสนองด้วยข้อมูลขนาดใหญ่กลับมา
WebSocketAttack: เป็นการโจมตีที่ใช้โปรโตคอล "ws://" และ "wss://" เพื่อสร้างการเชื่อมต่อแบบ WebSocket กับเป้าหมาย
PostAttack: เป็นการโจมตีที่ใช้ HTTP POST request อย่างต่อเนื่องเพื่อส่งข้อมูลเข้าสู่เซิร์ฟเวอร์เป้าหมาย
CookieAttack: เป็นการโจมตีที่เพิ่ม cookie processing flow เข้าไปในวิธีการโจมตีแบบ BrowserAttack เพื่อเพิ่มความซับซ้อน และความสมจริงในการจำลอง traffic

NSFOCUS ระบุเพิ่มเติมว่า "โดยทั่วไปแล้ว ตระกูล DDoS Botnet มักจะรวมกลุ่มกันอยู่บนแพลตฟอร์ม Linux และอุปกรณ์ IoT อย่างไรก็ตาม ตระกูล HTTPBot Botnet กลับมุ่งเป้าไปที่ระบบปฏิบัติการ Windows โดยเฉพาะ"

"ด้วยการจำลอง protocol layers อย่างลึกซึ้ง และเลียนแบบพฤติกรรมของเบราว์เซอร์จริง HTTPBot จึงสามารถหลบเลี่ยงระบบป้องกันที่อาศัย protocol integrity ได้ นอกจากนี้มันยังเข้าควบคุมทรัพยากรเซสชันของเซิร์ฟเวอร์อย่างต่อเนื่อง ผ่าน URL paths ที่สุ่มขึ้นมา และกลไก cookie replenishment แทนที่จะอาศัยแค่ปริมาณทราฟฟิกจำนวนมากเพียงอย่างเดียว"

ที่มา : thehackernews.

กระทรวงยุติธรรมสหรัฐฯ และทีม Black Lotus Labs ของบริษัทโทรคมนาคม Lumen Technologies ได้ประกาศเมื่อวันศุกร์ถึงการยุติการให้บริการพร็อกซีสองรายที่ขับเคลื่อนโดย Botnet ซึ่งประกอบด้วยอุปกรณ์ที่ถูกแฮ็กหลายพันเครื่อง (more…)

 

Europol ประกาศปิดบริการให้เช่าการโจมตีแบบ Distributed Denial of Service (DDoS) หลังถูกใช้ในการโจมตีทางไซเบอร์จำนวนหลายพันครั้งทั่วโลก (more…)

กลุ่มผู้ไม่หวังดีถูกพบว่ากำลังใช้ประโยชน์จากช่องโหว่ด้านความปลอดภัยในอุปกรณ์ Internet of Things (IoT) ของ GeoVision ที่สิ้นสุดการสนับสนุนไปแล้ว เพื่อควบคุมอุปกรณ์เหล่านั้นให้เป็นส่วนหนึ่งของเครือข่ายมัลแวร์ Mirai Botnet สำหรับใช้ในการโจมตีแบบ DDoS (more…)

DeepSeek แพลตฟอร์ม AI ของจีน ได้ปิดการลงทะเบียนบนแพลตฟอร์มแชท DeepSeek-V3 เนื่องจากกำลังเผชิญกับ "การโจมตีทางไซเบอร์ขนาดใหญ่" ที่มุ่งเป้าไปที่บริการของพวกเขา

(more…)