OVHcloud รายงานการโจมตี DDoS ที่ทำลายสถิติล่าสุดเกิดจาก MikroTik botnet

OVHcloud ผู้ให้บริการคลาวด์ระดับโลก และหนึ่งในผู้ให้บริการรายใหญ่ที่สุดในยุโรป เผยแพร่รายงานการป้องกันเหตุการณ์การโจมตีในลักษณะ Distributed Denial of Service (DDoS) attack ที่ทำลายสถิติล่าสุด โดยมี packet rate ที่สูงถึง 840 ล้าน packets per second (Mpps)

OVHcloud รายงานว่า พบเห็นแนวโน้มการโจมตีที่เพิ่มขึ้นอย่างต่อเนื่องตั้งแต่ปี 2023 โดยเริ่มจากการโจมตีขนาดเกิน 1 Tbps ซึ่งเกิดขึ้นบ่อยครั้ง และเพิ่มขึ้นจนเกิดขึ้นทุกสัปดาห์ และแทบทุกวันในปี 2024

จากการโจมตีอย่างต่อเนื่องส่งผลให้มี bit rates และ packet rates สูงอย่างต่อเนื่องเป็นระยะเวลานานในช่วง 18 เดือนที่ผ่านมา โดย bit rates ที่สูงสุดซึ่ง OVHcloud ได้บันทึกไว้คือ 2.5 Tbps เมื่อวันที่ 25 พฤษภาคม 2024

การวิเคราะห์การโจมตีบางประเภท เผยให้เห็นถึงการใช้งานอุปกรณ์ที่ใช้โจมตีอย่างแพร่หลาย โดยเฉพาะอุปกรณ์ Mikrotik ที่ทำให้การโจมตีส่งผลกระทบมากขึ้น รวมถึงความยากในการตรวจจับ การยับยั้งเหตุการณ์

การโจมตี DDoS ที่ทำลายสถิติ

เมื่อต้นปี 2024 ทาง OVHcloud ได้ป้องกันการโจมตีที่มี packet rates จำนวนมหาศาลที่สูงถึง 840 Mpps ซึ่งแซงหน้าสถิติเดิมที่พบการโจมตี DDoS ที่ 809 Mpps โดยมีเป้าหมายเป็นธนาคารในยุโรป ซึ่งทาง Akamai ได้ป้องกันเหตุการณ์ดังกล่าวไว้ได้

OVHcloud ได้สังเกตเห็นการโจมตี TCP ACK ซึ่งมีต้นทางมาจาก Source IPs จำนวน 5,000 รายการ โดย 2 ใน 3 ของ packets ถูกส่งผ่าน Points of Presence (PoPs) เพียงสี่จุด ซึ่งทั้งหมดอยู่ในสหรัฐอเมริกา และสามจุดอยู่ที่ชายฝั่งตะวันตก ซึ่ง Hacker ได้ทำการรวมปริมาณข้อมูล traffic จำนวนมหาศาลนี้ผ่าน internet infrastructure ที่มีขอบเขตเฉพาะ ทำให้การโจมตี DDoS มีประสิทธิภาพมากขึ้น

ประสิทธิภาพของ Mikrotiks กลายเป็นปัญหา

OVHcloud ระบุว่าการโจมตีด้วย packet rates สูงหลายครั้งที่บันทึกไว้ รวมถึงการโจมตีที่ทำลายสถิติเมื่อเดือนเมษายน 2024 มีที่มาจาก อุปกรณ์ MirkoTik Cloud Core Router (CCR) ที่ถูกโจมตี ซึ่งออกแบบมาสำหรับ high-performance networking ได้แก่โมเดล CCR1036-8G-2S+ และ CCR1072-1G-8S+ ที่ตกเป็นเป้าหมายในการโจมตีโดยเฉพาะ ซึ่งถูกใช้เป็น network cores ขนาดเล็กถึงกลาง โดยถูกโจมตีผ่าน firmware ของอุปกรณ์ที่มีช่องโหว่

ทั้งนี้ OVHcloud ตั้งสมุติฐานว่า Hacker อาจใช้ฟีเจอร์ "Bandwidth Test" บน RouterOS ของ MikroTik ซึ่งได้รับการออกแบบมาสำหรับการ stress testing ของ network throughput จากการสร้าง high packet rates

OVHcloud พบอุปกรณ์ Mikrotik กว่า 100,000 รายการที่มีช่องโหว่ ซึ่งสามารถเข้าถึงได้ผ่านอินเทอร์เน็ต ทำให้กลายเป็นเป้าหมายการโจมตีของแคมเปญ DDoS หลายราย

รวมถึงอุปกรณ์ MikroTik มีพลังการประมวลผล CPU สูงถึง 36 core แม้ว่าจะมีอุปกรณ์เพียง 100,000 เครื่อง ก็อาจส่งผลให้เกิด botnet ที่สามารถสร้าง packet ได้หลายพันล้าน packets per second

โดย OVHcloud ได้คำนวณว่าหากนำ 1% ของ 100,000 รายการ มาทำการโจมตี DDoS ก็สามารถสร้างการโจมตีได้มากถึง 2.28 พันล้าน packets per second (Gpps)

ในอดีตอุปกรณ์ Mikrotik เคยตกเป็นเป้าหมายการโจมตี DDoS ในชื่อ Mēris botnet มาก่อน แม้ว่าทาง MikroTik ได้ออกอัปเดตด้านความปลอดภัยเพื่อแก้ไขช่องโหว่แล้ว แต่ก็พบว่ามีองค์กรที่ไม่ได้ทำการอัปเดตเพื่อแก้ไขช่องโหว่ ทำให้ยังมีความเสี่ยงในการตกเป็นเป้าหมายการโจมตีอยู่

ที่มา : bleepingcomputer.

มัลแวร์ NKAbuse ตัวใหม่ใช้ NKN blockchain สำหรับการสื่อสารกับ C2 Server

มัลแวร์ภาษา Go-based multi-platform ตัวใหม่ "NKAbuse" ซึ่งเป็นมัลแวร์ตัวแรกที่ใช้เทคโนโลยี NKN (New Kind of Network) ในการรับส่งข้อมูล ทำให้เป็นภัยคุกคามที่ยากต่อการตรวจจับ

NKN เป็นโปรโตคอลเครือข่ายแบบ peer-to-peer แบบ decentralized ที่ค่อนข้างใหม่ ซึ่งมีการใช้เทคโนโลยี blockchain เพื่อจัดการทรัพยากร และรักษาความปลอดภัยของการทำงานบนเครือข่าย
(more…)

พบช่องโหว่ใน Cloudflare DDoS protection ที่สามารถถูก Bypass ได้โดยใช้ Cloudflare Account

นักวิจัยของ Certitude พบช่องโหว่บน Cloudflare Firewall และ DDoS prevention ที่ทำให้ bypass การตรวจสอบได้โดยการใช้ช่องโหว่ cross-tenant security controls ซึ่งข้อจำกัดเพียงอย่างเดียวสำหรับการโจมตีคือแฮ็กเกอร์ต้องมีการสร้างบัญชี Cloudflare ฟรี เพื่อใช้เป็นส่วนหนึ่งของการโจมตี รวมถึงผู้โจมตีต้องรู้ที่อยู่ IP ของเว็บเซิร์ฟเวอร์เป้าหมายเพื่อใช้ช่องโหว่นี้ในการโจมตี

การโจมตี Cloudflare โดยใช้ Cloudflare account

Stefan Proksch นักวิจัยของ Certitude ระบุว่าสาเหตของปัญหาคือการที่ Cloudflare ใช้โครงสร้างพื้นฐานร่วมกันในการรับการเชื่อมต่อจาก tenants ทั้งหมด โดยช่องโหว่ที่ส่งผลกระทบต่อระบบคือ "Authenticated Origin Pulls" และ "Allowlist Cloudflare IP Addresses" ของ Cloudflare

Authenticated Origin Pulls เป็นคุณสมบัติด้านความปลอดภัยที่ Cloudflare ใช้เพื่อให้แน่ใจว่า HTTP(s) request ที่ส่งไปยังเซิร์ฟเวอร์ต้นทางนั้น ถูกส่งผ่าน Cloudflare และไม่ได้มาจาก Hacker

โดยเมื่อทำการกำหนดค่าฟีเจอร์ดังกล่าว ลูกค้าสามารถอัปโหลด certificates ของตนโดยใช้ API หรือสร้างใบรับรองผ่าน Cloudflare ซึ่งเป็นวิธีการเริ่มต้น และง่ายที่สุด เมื่อทำการกำหนดค่าแล้ว Cloudflare จะใช้ SSL/TLS certificate เพื่อตรวจสอบ HTTP(S) requests ใด ๆ ระหว่าง reverse proxy ของบริการ และเซิร์ฟเวอร์ต้นทางของลูกค้า เพื่อป้องกัน HTTP(S) requests ที่ไม่ได้รับอนุญาตเข้าถึงเว็บไซต์ได้

(more…)

Mirai botnet มุ่งเป้าการโจมตีไปยังช่องโหว่กว่า 22 รายการ ในอุปกรณ์ D-Link, Zyxel, Netgear

ทีมนักวิจัยจาก Unit 42 ของ Palo Alto Networks รายงานการพบแคมเปญการโจมตีโดยใช้ Mirai botnet ในการโจมตีต่อเนื่องกัน 2 แคมเปญ โดยพบการโจมตีตั้งแต่เดือนมีนาคมจนถึงเมษายน 2023 ซึ่งได้มุ่งเป้าหมายการโจมตีไปยังช่องโหว่กว่า 22 รายการ ในอุปกรณ์ D-Link, Arris, Zyxel, TP-Link, Tenda, Netgear และ MediaTek เพื่อควบคุมเครื่องเป้าหมาย และนำไปใช้ในการโจมตีแบบ Distributed Denial-of-Service (DDoS) ต่อไป (more…)

พบ Linux Ransomware ในชื่อ Strain BlackSuit ที่คล้ายคลึงกับ Royal Ransomware

Trend Micro เปิดเผยรายงานการพบ Linux Ransomware ในชื่อ Strain BlackSuit ที่คล้ายคลึงกับ Royal Ransomware ซึ่งถูกพบจากการตรวจสอบเวอร์ชัน x64 VMware ESXi ที่กำหนดเป้าหมายการโจมตีไปยังเครื่อง Linux โดยมีความคล้ายคลึงกัน 98% ใน function ความคล้ายคลึงกัน (more…)

หน่วยงานปราบปรามอาชญากรรมแห่งชาติของสหราชอาณาจักร ตั้งเว็บไซต์ DDoS-For-Hire ปลอมเพื่อหลอกจับกุมอาชญากรทางไซเบอร์

หน่วยงานปราบปรามอาชญากรรมแห่งชาติของสหราชอาณาจักร (NCA) เปิดเผยว่าได้ทำการสร้างเครือข่ายของเว็บไซต์ DDoS-for-hire ปลอม เพื่อแฝงตัวเข้าไปสู่กลุ่มอาชญากรรมในโลกออนไลน์

หน่วยงานบังคับใช้กฎหมายระบุว่า "เว็บไซต์ที่ถูกดำเนินการโดย NCA ซึ่งมีผู้เข้าถึงเว็บไซต์กว่าพันคน ถูกสร้างขึ้นให้ดูเหมือนว่ามีเครื่องมือ และบริการที่ช่วยให้อาชญากรทางไซเบอร์สามารถนำไปดำเนินการโจมตีเป้าหมายได้"

โดยหลังจากที่ผู้ใช้งานลงทะเบียนเข้าใช้งานเว็บไซต์ แทนที่จะได้รับสิทธิ์ในการเข้าถึงเครื่องมือสำหรับการโจมตี แต่ข้อมูลของพวกเขากลับถูกรวบรวมโดยเจ้าหน้าที่จาก NCA แทน

(more…)

HinataBot โจมตีช่องโหว่ของอุปกรณ์เราเตอร์ และเซิร์ฟเวอร์เพื่อนำมาใช้ในการโจมตีแบบ DDoS

Botnet ตัวใหม่ที่ใช้ภาษา Golang-based ชื่อ 'HinataBot' ได้โจมตีโดยใช้ช่องโหว่ของอุปกรณ์เราเตอร์ และเซิร์ฟเวอร์ เพื่อเข้าควบคุมระบบเพื่อนำมาใช้โจมตีแบบ DDoS

Akamai ระบุในรายงานทางเทคนิคว่า "ไบนารี่ของมัลแวร์ถูกตั้งชื่อตามตัวละครอนิเมะยอดนิยมอย่าง Naruto โดยมีโครงสร้างชื่อไฟล์เช่น 'Hinata-<OS>-<Architecture>'"

โดยมัลแวร์มีการใช้ช่องโหว่ของเซิร์ฟเวอร์ Hadoop YARN และช่องโหว่ของอุปกรณ์ Realtek SDK (CVE-2014-8361), และเราเตอร์ Huawei HG532 (CVE-2017-17215, CVSS score: 8.8) ในการโจมตีอุปกรณ์ของเหยื่อ

โดยช่องโหว่บนระบบที่ยังไม่ได้รับการอัปเดตแพตซ์ และรหัสผ่านที่คาดเดาได้ง่าย จะตกเป็นเป้าหมายของการโจมตีครั้งนี้ โดยผู้โจมตีไม่จำเป็นต้องใช้เทคนิค social engineering หรือเทคนิคในการโจมตีอื่น ๆ (more…)

Akamai สร้างสถิติป้องกันการโจมตี DDos ที่สูงถึง 900Gbps ในเอเชียได้{}

 

Akamai รายงานว่าได้รับมือกับการโจมตีแบบ DDoS ที่สูงที่สุดที่เคยเกิดขึ้นในเอเชียแปซิฟิกได้

Distributed Denial of Service (DDoS) เป็นการโจมตีโดยการส่ง requests จํานวนมากไปยังเซิร์ฟเวอร์เป้าหมาย เพื่อทำให้ความสามารถของเซิร์ฟเวอร์ลดลง และทำให้ผู้ใช้งานไม่สามารถเข้าใช้งานเว็บไซต์ แอปพลิเคชัน หรือบริการออนไลน์อื่น ๆ ได้

ซึ่งทำให้เกิดผลกระทบทางธุรกิจ ไม่ว่าจะเป็นเพื่อวัตถุประสงค์ทางการเมือง, การแก้แค้น, การแข่งขันทางธุรกิจ, หรือเพื่อขู่กรรโชกเหยื่อด้วยการเรียกค่าไถ่

เมื่อวันที่ 23 กุมภาพันธ์ 2023 ที่ผ่านมา Akamai ออกมาเปิดเผยการโจมตีครั้งล่าสุดที่ทำลายสถิติสูงที่สุดที่เคยเกิดขึ้นในเอเชียแปซิฟิก โดยมีจุดสูงสุดอยู่ที่ 900.1 กิกะบิตต่อวินาที จำนวน 158.2 ล้าน packet ต่อวินาที

การโจมตีในครั้งนี้ถือเป็นการโจมตีที่รุนแรง และเกิดขึ้นเพียงหนึ่งนาที ซึ่ง Akamai สามารถรับมือกับการโจมตีครั้งนี้ได้เป็นอย่างดี ด้วยการส่ง traffic ไปที่ scrubbing network โดยส่วนใหญ่จะถูกส่งไปที่ฮ่องกง, โตเกียว, เซาเปาโล, สิงคโปร์, และโอซาก้า

scrubbing network เป็นโซลูชันป้องกันการโจมตีแบบ DDoS โดยการส่ง traffic กระจายไปยัง scrubbing Network ที่มี center อยู่หลายแห่ง เพื่อแยก Traffic ที่เป็นอันตรายออกก่อนส่งไปยัง server

แม้ว่า 48% ของ Traffic จะถูกจัดการโดย scrubbing centers ในเอเชียแปซฟิก แต่ Traffic ดังกล่าวก็ยังถูกส่งไป ยังทั้ง 26 ศูนย์ของ Akamai เช่นกัน แต่ไม่มีศูนย์ไหนเกิน 15% ของ traffic ทั้งหมด

สถิติการโจมตีแบบ DDoS

การโจมตีสูงสุดที่ Akamai ป้องกันได้ คือการโจมตีเมื่อวันที่ 12 กันยายน 2022 ที่พุ่งเป้าไปที่ลูกค้าในยุโรปตะวันออก โดยสูงสุดที่ 704 ล้านแพ็กเก็ตต่อวินาที ซึ่งมากกว่าเหตุการณ์ล่าสุดประมาณ 4.5 เท่า
เจ้าของสถิติยังคงเป็น Microsoft ซึ่งในเดือนพฤศจิกายน 2021 ได้มีการป้องกันการโจมตี DDoS ขนาด 3.47 Tbps ที่มีการพุ่งเป้าไปที่ Azure ในเอเชีย
กรณีล่าสุดคือการป้องกันการโจมตีโดย Cloudflare DDoS ที่พุ่งเป้าไปยัง Wynncraft ซึ่งเป็นหนึ่งในเซิร์ฟเวอร์ที่ใหญ่ที่สุดของ Minecraft โดยมีจุดสูงสุดที่ 2.5 Tbps

 

ที่มา : bleepingcomputer

CISA อัปเดตช่องโหว่ใหม่ 3 รายการใน Known Exploited Vulnerabilities (KEV) แคตตาล็อก

หน่วยงานความมั่นคงปลอดภัยทางไซเบอร์ และโครงสร้างพื้นฐานของสหรัฐ (CISA) ได้เพิ่มช่องโหว่ด้านความปลอดภัย 3 รายการลงในแคตตาล็อก Known Exploited Vulnerabilities ( KEV ) โดยอ้างถึงหลักฐานของการพบการโจมตีที่กำลังเกิดขึ้นอยู่ในปัจจุบัน

รายการช่องโหว่มีดังต่อไปนี้

CVE-2022-35914 (คะแนน CVSS: 9.8) - ช่องโหว่ Remote Code Execution Vulnerability ของ Teclib GLPI
CVE-2022-33891 (คะแนน CVSS: 8.8) - ช่องโหว่ Apache Spark Command Injection
CVE-2022-28810 (คะแนน CVSS: 6.8) - ช่องโหว่ Zoho ManageEngine ADSelfService Plus Remote Code Execution

ช่องโหว่แรก คือ CVE-2022-35914 เป็นช่องโหว่การเรียกใช้งานโค้ดที่เป็นอันตรายจากระยะไกลในไลบรารี htmlawed ของ third-party ที่มีอยู่ใน Teclib GLPI ซึ่งเป็นซอฟต์แวร์โอเพ่นซอร์ส และแพ็คเกจซอฟต์แวร์การจัดการทางด้านไอที ยังไม่มีรายละเอียดที่แน่ชัดเกี่ยวกับลักษณะของการโจมตี แต่ Shadowserver Foundation ระบุว่าพบความพยายามในการโจมตี Honeypot ของพวกเขาในเดือนตุลาคม 2565

หลังจากนั้นมีการเผยแพร่ proof of concept (PoC) แบบ cURL-based ออกมาบน GitHub และ Jacob Baines นักวิจัยด้านความปลอดภัยของ VulnCheck ระบุว่าพบการโฆษณาขายเครื่องมือที่ใช้สำหรับสแกนช่องโหว่จำนวนมากในเดือนธันวาคม 2565

นอกจากนี้ข้อมูลที่รวบรวมโดย GreyNoise พบว่ามี IP ที่เป็นอันตราย 40 รายการจากสหรัฐอเมริกา เนเธอร์แลนด์ ฮ่องกง ออสเตรเลีย และบัลแกเรีย พยายามโจมตีโดยการใช้ช่องโหว่ดังกล่าว

ช่องโหว่ที่สอง คือ CVE-2022-33891 ช่องโหว่ command injection ใน Apache Spark ซึ่งถูกใช้งานโดยบอทเน็ต Zerobot ในการโจมตีอุปกรณ์ที่มีช่องโหว่ โดยมีเป้าหมายเพื่อนำมาใช้ในการโจมตีแบบ Distributed Denial-of-Service (DDoS)

ช่องโหว่ที่สาม คือ CVE-2022-28810 ช่องโหว่การเรียกใช้งานโค้ดที่เป็นอันตรายจากระยะไกลใน Zoho ManageEngine ADSelfService Plus ซึ่งได้รับการแก้ไขไปแล้วในเดือนเมษายน 2565

CISA ระบุว่า "Zoho ManagementEngine ADSelf Service Plus มีช่องโหว่หลายรายการ ซึ่งทำให้ผู้โจมตีสามารถเรียกใช้งานโค้ดที่เป็นอันตรายจากระยะไกลได้ เมื่อดำเนินการเปลี่ยนรหัสผ่าน หรือรีเซ็ตรหัสผ่าน

บริษัทด้านความปลอดภัยทางไซเบอร์ Rapid7 ซึ่งเป็นผู้ค้นพบช่องโหว่ระบุว่าพบความพยายามในการใช้ประโยชน์จากช่องโหว่เพื่อรันคำสั่งบนระบบปฏิบัติการตามที่ต้องการ เพื่อให้สามารถแฝงตัวอยู่บนระบบได้

 

ที่มา : thehackernews

Cloudflare สร้างสถิติการป้องกันการโจมตีจาก DDoS ที่สูงถึง 71 ล้าน RPS

Cloudflare ได้ออกมาเปิดเผยรายงานการป้องกันการโจมตีแบบ Distributed Denial-of-Service (DDoS) ที่สูงจนกลายเป็นสถิติที่สูงที่สุดในปัจจุบัน

โดยพบการโจมตีไปยังลูกค้าในช่วงสัปดาห์ที่ผ่านมา ซึ่งมี requests มากกว่า 50-70 ล้าน requests per second (rps) ในช่วงที่เกิดการโจมตี และมี requests มากที่สุด อยู่ที่ 71 ล้าน rps

Cloudflare ระบุว่า เหตุการณ์นี้ถือเป็นการโจมตีแบบ HTTP DDoS ที่ใหญ่ที่สุดเป็นประวัติการณ์ โดยมากกว่า 35% จากสถิติที่รายงานก่อนหน้านี้ที่พบการโจมตีในลักษณะ DDoS อยู่ที่ 46 ล้าน rps ในเดือนมิถุนายน 2022 ซึ่งถูกป้องกันไว้ได้โดย Google Cloud Armor ของ Google

โดยการโจมตีเกิดที่ขึ้นในครั้งนี้ พบว่ามาจาก IP มากกว่า 30,000 รายการ จากผู้ให้บริการคลาวด์หลายราย รวมถึงผู้ให้บริการเกม ผู้ให้บริการคลาวด์แพลตฟอร์ม บริษัทสกุลเงินดิจิทัล และผู้ให้บริการโฮสติ้ง

ซึ่งสอดคล้องกับรายงานของ DDoS threat report ของ Cloudflare ที่ได้คาดการณ์สถานการณ์การโจมตีไว้ว่า

จำนวนการโจมตี HTTP DDoS จะเพิ่มสูงขึ้น 79% เมื่อเทียบเป็นรายปี
จำนวนการโจมตีเชิงปริมาณที่มากกว่า 100 Gbps จะเพิ่มสูงขึ้น 67% ไตรมาสต่อไตรมาส (QoQ)
จำนวนการโจมตี DDoS ที่ใช้เวลามากกว่าสามชั่วโมงจะเพิ่มสูงขึ้น 87% (QoQ)

 

ที่มา : bleepingcomputer