มัลแวร์ภาษา Go-based multi-platform ตัวใหม่ "NKAbuse" ซึ่งเป็นมัลแวร์ตัวแรกที่ใช้เทคโนโลยี NKN (New Kind of Network) ในการรับส่งข้อมูล ทำให้เป็นภัยคุกคามที่ยากต่อการตรวจจับ

NKN เป็นโปรโตคอลเครือข่ายแบบ peer-to-peer แบบ decentralized ที่ค่อนข้างใหม่ ซึ่งมีการใช้เทคโนโลยี blockchain เพื่อจัดการทรัพยากร และรักษาความปลอดภัยของการทำงานบนเครือข่าย
(more…)

นักวิจัยของ Certitude พบช่องโหว่บน Cloudflare Firewall และ DDoS prevention ที่ทำให้ bypass การตรวจสอบได้โดยการใช้ช่องโหว่ cross-tenant security controls ซึ่งข้อจำกัดเพียงอย่างเดียวสำหรับการโจมตีคือแฮ็กเกอร์ต้องมีการสร้างบัญชี Cloudflare ฟรี เพื่อใช้เป็นส่วนหนึ่งของการโจมตี รวมถึงผู้โจมตีต้องรู้ที่อยู่ IP ของเว็บเซิร์ฟเวอร์เป้าหมายเพื่อใช้ช่องโหว่นี้ในการโจมตี

การโจมตี Cloudflare โดยใช้ Cloudflare account

Stefan Proksch นักวิจัยของ Certitude ระบุว่าสาเหตของปัญหาคือการที่ Cloudflare ใช้โครงสร้างพื้นฐานร่วมกันในการรับการเชื่อมต่อจาก tenants ทั้งหมด โดยช่องโหว่ที่ส่งผลกระทบต่อระบบคือ "Authenticated Origin Pulls" และ "Allowlist Cloudflare IP Addresses" ของ Cloudflare

Authenticated Origin Pulls เป็นคุณสมบัติด้านความปลอดภัยที่ Cloudflare ใช้เพื่อให้แน่ใจว่า HTTP(s) request ที่ส่งไปยังเซิร์ฟเวอร์ต้นทางนั้น ถูกส่งผ่าน Cloudflare และไม่ได้มาจาก Hacker

โดยเมื่อทำการกำหนดค่าฟีเจอร์ดังกล่าว ลูกค้าสามารถอัปโหลด certificates ของตนโดยใช้ API หรือสร้างใบรับรองผ่าน Cloudflare ซึ่งเป็นวิธีการเริ่มต้น และง่ายที่สุด เมื่อทำการกำหนดค่าแล้ว Cloudflare จะใช้ SSL/TLS certificate เพื่อตรวจสอบ HTTP(S) requests ใด ๆ ระหว่าง reverse proxy ของบริการ และเซิร์ฟเวอร์ต้นทางของลูกค้า เพื่อป้องกัน HTTP(S) requests ที่ไม่ได้รับอนุญาตเข้าถึงเว็บไซต์ได้

(more…)

ทีมนักวิจัยจาก Unit 42 ของ Palo Alto Networks รายงานการพบแคมเปญการโจมตีโดยใช้ Mirai botnet ในการโจมตีต่อเนื่องกัน 2 แคมเปญ โดยพบการโจมตีตั้งแต่เดือนมีนาคมจนถึงเมษายน 2023 ซึ่งได้มุ่งเป้าหมายการโจมตีไปยังช่องโหว่กว่า 22 รายการ ในอุปกรณ์ D-Link, Arris, Zyxel, TP-Link, Tenda, Netgear และ MediaTek เพื่อควบคุมเครื่องเป้าหมาย และนำไปใช้ในการโจมตีแบบ Distributed Denial-of-Service (DDoS) ต่อไป (more…)

Trend Micro เปิดเผยรายงานการพบ Linux Ransomware ในชื่อ Strain BlackSuit ที่คล้ายคลึงกับ Royal Ransomware ซึ่งถูกพบจากการตรวจสอบเวอร์ชัน x64 VMware ESXi ที่กำหนดเป้าหมายการโจมตีไปยังเครื่อง Linux โดยมีความคล้ายคลึงกัน 98% ใน function ความคล้ายคลึงกัน (more…)

หน่วยงานปราบปรามอาชญากรรมแห่งชาติของสหราชอาณาจักร (NCA) เปิดเผยว่าได้ทำการสร้างเครือข่ายของเว็บไซต์ DDoS-for-hire ปลอม เพื่อแฝงตัวเข้าไปสู่กลุ่มอาชญากรรมในโลกออนไลน์

หน่วยงานบังคับใช้กฎหมายระบุว่า "เว็บไซต์ที่ถูกดำเนินการโดย NCA ซึ่งมีผู้เข้าถึงเว็บไซต์กว่าพันคน ถูกสร้างขึ้นให้ดูเหมือนว่ามีเครื่องมือ และบริการที่ช่วยให้อาชญากรทางไซเบอร์สามารถนำไปดำเนินการโจมตีเป้าหมายได้"

โดยหลังจากที่ผู้ใช้งานลงทะเบียนเข้าใช้งานเว็บไซต์ แทนที่จะได้รับสิทธิ์ในการเข้าถึงเครื่องมือสำหรับการโจมตี แต่ข้อมูลของพวกเขากลับถูกรวบรวมโดยเจ้าหน้าที่จาก NCA แทน

(more…)

Botnet ตัวใหม่ที่ใช้ภาษา Golang-based ชื่อ 'HinataBot' ได้โจมตีโดยใช้ช่องโหว่ของอุปกรณ์เราเตอร์ และเซิร์ฟเวอร์ เพื่อเข้าควบคุมระบบเพื่อนำมาใช้โจมตีแบบ DDoS

Akamai ระบุในรายงานทางเทคนิคว่า "ไบนารี่ของมัลแวร์ถูกตั้งชื่อตามตัวละครอนิเมะยอดนิยมอย่าง Naruto โดยมีโครงสร้างชื่อไฟล์เช่น 'Hinata-<OS>-<Architecture>'"

โดยมัลแวร์มีการใช้ช่องโหว่ของเซิร์ฟเวอร์ Hadoop YARN และช่องโหว่ของอุปกรณ์ Realtek SDK (CVE-2014-8361), และเราเตอร์ Huawei HG532 (CVE-2017-17215, CVSS score: 8.8) ในการโจมตีอุปกรณ์ของเหยื่อ

โดยช่องโหว่บนระบบที่ยังไม่ได้รับการอัปเดตแพตซ์ และรหัสผ่านที่คาดเดาได้ง่าย จะตกเป็นเป้าหมายของการโจมตีครั้งนี้ โดยผู้โจมตีไม่จำเป็นต้องใช้เทคนิค social engineering หรือเทคนิคในการโจมตีอื่น ๆ (more…)

 

Akamai รายงานว่าได้รับมือกับการโจมตีแบบ DDoS ที่สูงที่สุดที่เคยเกิดขึ้นในเอเชียแปซิฟิกได้

Distributed Denial of Service (DDoS) เป็นการโจมตีโดยการส่ง requests จํานวนมากไปยังเซิร์ฟเวอร์เป้าหมาย เพื่อทำให้ความสามารถของเซิร์ฟเวอร์ลดลง และทำให้ผู้ใช้งานไม่สามารถเข้าใช้งานเว็บไซต์ แอปพลิเคชัน หรือบริการออนไลน์อื่น ๆ ได้

ซึ่งทำให้เกิดผลกระทบทางธุรกิจ ไม่ว่าจะเป็นเพื่อวัตถุประสงค์ทางการเมือง, การแก้แค้น, การแข่งขันทางธุรกิจ, หรือเพื่อขู่กรรโชกเหยื่อด้วยการเรียกค่าไถ่

เมื่อวันที่ 23 กุมภาพันธ์ 2023 ที่ผ่านมา Akamai ออกมาเปิดเผยการโจมตีครั้งล่าสุดที่ทำลายสถิติสูงที่สุดที่เคยเกิดขึ้นในเอเชียแปซิฟิก โดยมีจุดสูงสุดอยู่ที่ 900.1 กิกะบิตต่อวินาที จำนวน 158.2 ล้าน packet ต่อวินาที

การโจมตีในครั้งนี้ถือเป็นการโจมตีที่รุนแรง และเกิดขึ้นเพียงหนึ่งนาที ซึ่ง Akamai สามารถรับมือกับการโจมตีครั้งนี้ได้เป็นอย่างดี ด้วยการส่ง traffic ไปที่ scrubbing network โดยส่วนใหญ่จะถูกส่งไปที่ฮ่องกง, โตเกียว, เซาเปาโล, สิงคโปร์, และโอซาก้า

scrubbing network เป็นโซลูชันป้องกันการโจมตีแบบ DDoS โดยการส่ง traffic กระจายไปยัง scrubbing Network ที่มี center อยู่หลายแห่ง เพื่อแยก Traffic ที่เป็นอันตรายออกก่อนส่งไปยัง server

แม้ว่า 48% ของ Traffic จะถูกจัดการโดย scrubbing centers ในเอเชียแปซฟิก แต่ Traffic ดังกล่าวก็ยังถูกส่งไป ยังทั้ง 26 ศูนย์ของ Akamai เช่นกัน แต่ไม่มีศูนย์ไหนเกิน 15% ของ traffic ทั้งหมด

สถิติการโจมตีแบบ DDoS

การโจมตีสูงสุดที่ Akamai ป้องกันได้ คือการโจมตีเมื่อวันที่ 12 กันยายน 2022 ที่พุ่งเป้าไปที่ลูกค้าในยุโรปตะวันออก โดยสูงสุดที่ 704 ล้านแพ็กเก็ตต่อวินาที ซึ่งมากกว่าเหตุการณ์ล่าสุดประมาณ 4.5 เท่า
เจ้าของสถิติยังคงเป็น Microsoft ซึ่งในเดือนพฤศจิกายน 2021 ได้มีการป้องกันการโจมตี DDoS ขนาด 3.47 Tbps ที่มีการพุ่งเป้าไปที่ Azure ในเอเชีย
กรณีล่าสุดคือการป้องกันการโจมตีโดย Cloudflare DDoS ที่พุ่งเป้าไปยัง Wynncraft ซึ่งเป็นหนึ่งในเซิร์ฟเวอร์ที่ใหญ่ที่สุดของ Minecraft โดยมีจุดสูงสุดที่ 2.5 Tbps

 

ที่มา : bleepingcomputer

หน่วยงานความมั่นคงปลอดภัยทางไซเบอร์ และโครงสร้างพื้นฐานของสหรัฐ (CISA) ได้เพิ่มช่องโหว่ด้านความปลอดภัย 3 รายการลงในแคตตาล็อก Known Exploited Vulnerabilities ( KEV ) โดยอ้างถึงหลักฐานของการพบการโจมตีที่กำลังเกิดขึ้นอยู่ในปัจจุบัน

รายการช่องโหว่มีดังต่อไปนี้

CVE-2022-35914 (คะแนน CVSS: 9.8) - ช่องโหว่ Remote Code Execution Vulnerability ของ Teclib GLPI
CVE-2022-33891 (คะแนน CVSS: 8.8) - ช่องโหว่ Apache Spark Command Injection
CVE-2022-28810 (คะแนน CVSS: 6.8) - ช่องโหว่ Zoho ManageEngine ADSelfService Plus Remote Code Execution

ช่องโหว่แรก คือ CVE-2022-35914 เป็นช่องโหว่การเรียกใช้งานโค้ดที่เป็นอันตรายจากระยะไกลในไลบรารี htmlawed ของ third-party ที่มีอยู่ใน Teclib GLPI ซึ่งเป็นซอฟต์แวร์โอเพ่นซอร์ส และแพ็คเกจซอฟต์แวร์การจัดการทางด้านไอที ยังไม่มีรายละเอียดที่แน่ชัดเกี่ยวกับลักษณะของการโจมตี แต่ Shadowserver Foundation ระบุว่าพบความพยายามในการโจมตี Honeypot ของพวกเขาในเดือนตุลาคม 2565

หลังจากนั้นมีการเผยแพร่ proof of concept (PoC) แบบ cURL-based ออกมาบน GitHub และ Jacob Baines นักวิจัยด้านความปลอดภัยของ VulnCheck ระบุว่าพบการโฆษณาขายเครื่องมือที่ใช้สำหรับสแกนช่องโหว่จำนวนมากในเดือนธันวาคม 2565

นอกจากนี้ข้อมูลที่รวบรวมโดย GreyNoise พบว่ามี IP ที่เป็นอันตราย 40 รายการจากสหรัฐอเมริกา เนเธอร์แลนด์ ฮ่องกง ออสเตรเลีย และบัลแกเรีย พยายามโจมตีโดยการใช้ช่องโหว่ดังกล่าว

ช่องโหว่ที่สอง คือ CVE-2022-33891 ช่องโหว่ command injection ใน Apache Spark ซึ่งถูกใช้งานโดยบอทเน็ต Zerobot ในการโจมตีอุปกรณ์ที่มีช่องโหว่ โดยมีเป้าหมายเพื่อนำมาใช้ในการโจมตีแบบ Distributed Denial-of-Service (DDoS)

ช่องโหว่ที่สาม คือ CVE-2022-28810 ช่องโหว่การเรียกใช้งานโค้ดที่เป็นอันตรายจากระยะไกลใน Zoho ManageEngine ADSelfService Plus ซึ่งได้รับการแก้ไขไปแล้วในเดือนเมษายน 2565

CISA ระบุว่า "Zoho ManagementEngine ADSelf Service Plus มีช่องโหว่หลายรายการ ซึ่งทำให้ผู้โจมตีสามารถเรียกใช้งานโค้ดที่เป็นอันตรายจากระยะไกลได้ เมื่อดำเนินการเปลี่ยนรหัสผ่าน หรือรีเซ็ตรหัสผ่าน

บริษัทด้านความปลอดภัยทางไซเบอร์ Rapid7 ซึ่งเป็นผู้ค้นพบช่องโหว่ระบุว่าพบความพยายามในการใช้ประโยชน์จากช่องโหว่เพื่อรันคำสั่งบนระบบปฏิบัติการตามที่ต้องการ เพื่อให้สามารถแฝงตัวอยู่บนระบบได้

 

ที่มา : thehackernews

Cloudflare ได้ออกมาเปิดเผยรายงานการป้องกันการโจมตีแบบ Distributed Denial-of-Service (DDoS) ที่สูงจนกลายเป็นสถิติที่สูงที่สุดในปัจจุบัน

โดยพบการโจมตีไปยังลูกค้าในช่วงสัปดาห์ที่ผ่านมา ซึ่งมี requests มากกว่า 50-70 ล้าน requests per second (rps) ในช่วงที่เกิดการโจมตี และมี requests มากที่สุด อยู่ที่ 71 ล้าน rps

Cloudflare ระบุว่า เหตุการณ์นี้ถือเป็นการโจมตีแบบ HTTP DDoS ที่ใหญ่ที่สุดเป็นประวัติการณ์ โดยมากกว่า 35% จากสถิติที่รายงานก่อนหน้านี้ที่พบการโจมตีในลักษณะ DDoS อยู่ที่ 46 ล้าน rps ในเดือนมิถุนายน 2022 ซึ่งถูกป้องกันไว้ได้โดย Google Cloud Armor ของ Google

โดยการโจมตีเกิดที่ขึ้นในครั้งนี้ พบว่ามาจาก IP มากกว่า 30,000 รายการ จากผู้ให้บริการคลาวด์หลายราย รวมถึงผู้ให้บริการเกม ผู้ให้บริการคลาวด์แพลตฟอร์ม บริษัทสกุลเงินดิจิทัล และผู้ให้บริการโฮสติ้ง

ซึ่งสอดคล้องกับรายงานของ DDoS threat report ของ Cloudflare ที่ได้คาดการณ์สถานการณ์การโจมตีไว้ว่า

จำนวนการโจมตี HTTP DDoS จะเพิ่มสูงขึ้น 79% เมื่อเทียบเป็นรายปี
จำนวนการโจมตีเชิงปริมาณที่มากกว่า 100 Gbps จะเพิ่มสูงขึ้น 67% ไตรมาสต่อไตรมาส (QoQ)
จำนวนการโจมตี DDoS ที่ใช้เวลามากกว่าสามชั่วโมงจะเพิ่มสูงขึ้น 87% (QoQ)

 

ที่มา : bleepingcomputer

ผู้เชี่ยวชาญด้านความปลอดภัยจาก Fortinet พบมัลแวร์ตัวใหม่ "Zerobot" มีการโจมตีโดยใช้ประโยชน์จากช่องโหว่บนอุปกรณ์ต่างๆ เช่น F5 BIG-IP, Zysel Firewall, Totolink, D-Link และ Hikvision

โดยจุดประสงค์ของมัลแวร์คือการเข้ายึดครองอุปกรณ์ที่ถูกโจมตี เพื่อนำมาใช้เป็น botnet สำหรับใช้ในการโจมตีแบบ Denial of Service (DDoS) โดยเมื่อมัลแวร์ทำงานจะมีการดาวน์โหลดสคริปต์ที่ชื่อว่า Zero เพื่อใช้ในการแพร่กระจายไปยังอุปกรณ์ที่อยู่ใกล้เคียงกัน และมีการรันคำสั่งบน Windows หรือ Linux ด้วย รวมถึงมีการติดตั้ง WebSocket เพื่อใช้เชื่อมต่อกับ command and control (C2) server โดยคำสั่งที่ผู้เชี่ยวชาญพบคือ Ping, attack, stop, update, scan, command และ kill นอกจากนี้มัลแวร์ยังถูกออกแบบมาเพื่อป้องกันการถูกสั่ง kill ตัวเองอีกด้วย

Zerobot จะโจมตีเป้าหมายโดยใช้ช่องโหว่ดังต่อไปนี้:

CVE-2014-08361: miniigd SOAP service in Realtek SDK
CVE-2017-17106: Zivif PR115-204-P-RS webcams
CVE-2017-17215: Huawei HG523 router
CVE-2018-12613: phpMyAdmin
CVE-2020-10987: Tenda AC15 AC1900 router
CVE-2020-25506: D-Link DNS-320 NAS
CVE-2021-35395: Realtek Jungle SDK
CVE-2021-36260: Hikvision product
CVE-2021-46422: Telesquare SDT-CW3B1 router
CVE-2022-01388: F5 BIG-IP
CVE-2022-22965: Spring MVC and Spring WebFlux (Spring4Shell)
CVE-2022-25075: TOTOLink A3000RU router
CVE-2022-26186: TOTOLink N600R router
CVE-2022-26210: TOTOLink A830R router
CVE-2022-30525: Zyxel USG Flex 100(W) firewall
CVE-2022-34538: MEGApix IP cameras
CVE-2022-37061: FLIX AX8 thermal sensor cameras

 

ที่มา : bleepingcomputer