ในการใช้งานอินเทอร์เน็ตทั่วไป ผู้ใช้งานมักพบกับหน้าจอ DDoS Protection ในการเข้าใช้งานเว็ปไซต์ต่างๆ ซึ่งมันมีหน้าที่สำหรับปกป้องเว็ปไซต์ปลายทางจากการโจมตี เช่น การส่ง Request ปลอมเป็นจำนวนมากที่ทำให้เซิฟเวอร์ล่ม แต่ในปัจจุบัน พบผู้ไม่หวังดีได้ใช้ประโยชน์จากหน้าจอแสดงผลเหล่านี้เพื่อแพร่กระจายมัลแวร์

ลักษณะการทำงาน

เหตุการณ์นี้ค้นพบโดบผู้เชี่ยวชาญจาก Sucuri ซึ่งพบผู้โจมตีได้ทำการแฮ็กเว็ปไซต์ที่เขียนด้วย WordPress เมื่อทำการแฮ็กได้สำเร็จ ผู้โจมตีจะทำการเพิ่มเพย์โหลด JavaScript ลงไป เพื่อแสดงหน้าจอ Cloudflare DDoS Protection ปลอม

เมื่อผู้ใช้งานเข้าสู่เว็ปไซต์ที่ถูกแฮ็ก จะพบ Pop-Up ขึ้นมาให้คลิกเพื่อข้ามหน้าจอ DDoS Protection เมื่อคลิกจะเป็นการดาวน์โหลดไฟล์ security_install.

ในการใช้งานอินเทอร์เน็ตทั่วไป ผู้ใช้งานมักพบกับหน้าจอ DDoS Protection ในการเข้าใช้งานเว็ปไซต์ต่างๆ ซึ่งมันมีหน้าที่สำหรับปกป้องเว็ปไซต์ปลายทางจากการโจมตี เช่น การส่ง Request ปลอมเป็นจำนวนมากที่ทำให้เซิฟเวอร์ล่ม แต่ในปัจจุบัน พบผู้ไม่หวังดีได้ใช้ประโยชน์จากหน้าจอแสดงผลเหล่านี้เพื่อแพร่กระจายมัลแวร์

ลักษณะการทำงาน

เหตุการณ์นี้ค้นพบโดบผู้เชี่ยวชาญจาก Sucuri ซึ่งพบผู้โจมตีได้ทำการแฮ็กเว็ปไซต์ที่เขียนด้วย WordPress เมื่อทำการแฮ็กได้สำเร็จ ผู้โจมตีจะทำการเพิ่มเพย์โหลด JavaScript ลงไป เพื่อแสดงหน้าจอ Cloudflare DDoS Protection ปลอม

เมื่อผู้ใช้งานเข้าสู่เว็ปไซต์ที่ถูกแฮ็ก จะพบ Pop-Up ขึ้นมาให้คลิกเพื่อข้ามหน้าจอ DDoS Protection เมื่อคลิกจะเป็นการดาวน์โหลดไฟล์ security_install.

Ransomware Vice Society อ้างว่าอยู่เบื้องหลังการโจมตีที่เมือง Palermo ของอิตาลี

กลุ่ม ransomware Vice Society อ้างว่าเมื่อเร็วๆ นี้ได้ทำการโจมตีที่เมือง Palermo ในอิตาลี ซึ่งทำให้บริการขนาดใหญ่หยุดชะงัก

การโจมตีเกิดขึ้นเมื่อวันศุกร์ที่ผ่านมา บริการบนอินเทอร์เน็ตทั้งหมดยังคงใช้งานไม่ได้ ส่งผลกระทบต่อผู้ใช้งานกว่า 1.3 ล้านคน และนักท่องเที่ยวจำนวนมาก เจ้าหน้าที่ยอมรับว่าความรุนแรงของเหตุการณ์ที่เกิดขึ้นกระทบต่อระบบทั้งหมด และต้องออฟไลน์ระบบเพื่อควบคุมความเสียหาย โดยแจ้งว่าไฟฟ้าจะดับไปอีกสองสามวัน การปิดเครือข่ายทำให้การโจมตีดูเหมือนเป็นการโจมตีของ ransomware ไม่ใช่การโจมตี DDoS ที่เพิ่งโจมตีในประเทศอิตาลีก่อนหน้านี้ (more…)

นักวิจัยของ Bitdefender ให้ข้อมูลว่า กลุ่ม Crytojacking โจมตีด้วยวิธีการ SSH brute-forcer ที่เรียกว่า Diicot brute เพื่อเข้าถึงเครื่อง Linux และติดตั้ง miner XMRig ซึ่งเป็น open-source ที่ถูกดัดแปลงเพื่อใช้ในการทำ Crytojacking โดยกลุ่มแฮกเกอร์จำนวนมาก

นักวิจัยกล่าวว่า กลุ่ม Crytojacking นี้มีความเกี่ยวข้องกับ botnet ที่พัฒนาบน Linux-based ซึ่งมักใช้ในการทำ DDoS อย่างน้อย 2 ตัวด้วยกันคือ “Chernobyl” และ Perl IRC bot โดยแรงจูงใจหลักของ campaign นี้คือการติดตั้งมัลแวร์สำหรับขุด Monero Coin (XMR) และยังมีเครื่องมือที่สามารถขโมยข้อมูลจากผู้ใข้งานได้

Cryptojacking ได้รายได้จากการขุดไม่มากนัก เลยเป็นเหตุผลให้ผู้โจมตีนิยมใช้ botnet เพื่อพยายามแพร่กระจายไปยังอุปกรณ์ต่างๆให้มากที่สุด เพราะการต้องติดตั้งระบบเพื่อใช้ในการขุด Cryptocurrency ไม่คุ้มค่ามากพอในปัจจุบัน ดังนั้นผู้โจมตีจึงต้องใช้วิธีเข้าควบคุมเครื่องต่างๆที่พวกเค้าควบคุมไว้จากระยะไกลแทน

ผู้โจมตีกำหนดเป้าหมายไปที่เครื่องที่มีการตั้งค่าเริ่มต้น หรือรหัสผ่านที่ไม่ปลอดภัย เป็นเหตุผลว่าทำไมผู้ใช้งานถึงโดน SSH Brute-forcing ได้อย่างง่ายดาย

ผู้เชี่ยวชาญจาก Bitdefender กล่าวเพิ่มเติมว่า การที่แฮกเกอร์ Brute force SSH ที่มีรหัสผ่านที่สามารถคาดเดาได้ง่ายไม่ใช่เรื่องแปลก แต่ที่วิธีการที่ทำให้ไม่สามารถตรวจจับการโจมตีได้เป็นเรื่องที่ยากกว่า ซึ่ง Diicot Brute force มีความสามารถในการหลบเลี่ยงระบบที่คาดว่าถูกทำไว้เป็น Honeypots ได้อีกด้วย

นักวิจัยจาก Bitdefenderได้ติดตามกลุ่ม Cryptojacking ซึ่งพบการดาวน์โหลดมัลแวร์จาก “.93joshua” แต่น่าแปลกที่สามารถตรวจพบ “[http://45[.]32[.]112[.]68/.sherifu/.93joshua]” ในไดเร็กทอรีที่สามารถเปิดได้อย่างง่ายผิดปกติ แม้ว่าจะมีการซ่อนไฟล์จำนวนมากรวมไว้ในสคริปต์อื่นๆ และนักวิจัยยังพบว่ามีโดเมนที่เกี่ยวข้องอื่นๆเช่น mexalz.

Qurium Media องค์กรสัญชาติสวีเดนซึ่งเป็นหน่วยงานไม่แสวงผลกำไรเพื่อสิทธิ และเสรีภาพด้านดิจิทัล รายงานว่า เหตุการณ์ที่สำนักข่าวในประเทศฟิลิปปินส์และองค์กรเพื่อสิทธิมนุษยชนถูกโจมตีด้วย Distributed Denail-of-Service (DDoS) มีลักษณะเป็นการโจมตีแบบเจาะจงเป้าหมาย ซึ่งมีความเชื่อมโยงไปถึง Department of Science and Technology (DOST) ของประเทศฟิลิปปินส์รวมถึงกองทัพฟิลิปปินส์อีกด้วย

องค์กร Qurium Media ชี้แจงในรายงานว่า "มีการโจมตีแบบ DoS เกิดขึ้นในช่วงเวลาสั้นๆ แต่มีความถี่ค่อนข้างบ่อย ซึ่งการโจมตีนี้เกิดขึ้นกับสำนักข่าวชื่อ Bulatlat และ Altermidya รวมไปถึงองค์กรเพื่อสิทธิมนุษยชนชื่อ Karapatan ในช่วงระหว่างเดือนพฤษภาคมถึงเดือนมิถุนายน ค.ศ. 2021"

ในวันที่ 18 พฤษภาคม ที่ผ่านมา DOST ได้ใช้เครื่องมือเพื่อทำการสแกนหาช่องโหว่บนระบบของ Bulatlat โดย Qurium เชื่อว่าเครื่องมือดังกล่าวคือ “Sn1per” ของบริษัท Xerosecurity โดยตัว Tools มีความสามารถในการสแกนหาช่องโหว่ได้ ซึ่งส่วนใหญ่ถูกใช้ในการทดสอบเจาะระบบ (Penetration Testing) แต่เครื่องมือในลักษณะนี้ไม่ควรถูกนำมาใช้ทดสอบระบบของผู้อื่นโดยที่ไม่ได้รับอนุญาต ดังนั้นจึงเป็นไปได้ว่าเหตุการณ์นี้เป็นความตั้งใจนำมาใช้งานเพื่อพยายามหาช่องโหว่เพื่อโจมตีระบบ

การโจมตีครั้งล่าสุดที่องค์กร Qurium ตรวจจับได้ เกิดขึ้นเมื่อช่วงกลางดึกของวันที่ 22 มิถุนายน 2021 ซึ่งการโจมตีครั้งนี้กินระยะนานหลายชั่วโมง โดยผู้โจมตีทำการส่งข้อมูลแบบสุ่มที่มีปริมาณข้อมูลจำนวนมากไปยังเว็บไซต์ของ Bulatlat และ Altermidya เพื่อทำให้เว็บไซต์ดังกล่าวไม่สามารถให้บริการได้

ผู้เชี่ยวชาญของ Qurium เปิดเผยว่าจากข้อมูลหลักฐานที่พบเชื่อมโยงไปยังข้อมูลอีเมล ซึ่งตรวจสอบแล้วพบว่าเกี่ยวข้องกับ Office of the Assistant Chief of Staff for Intelligence (OG2-PAS) ของกองทัพฟิลิปปินส์

ในตอนแรก DOST ปฏิเสธว่าไม่มีส่วนเกี่ยวข้องกับการโจมตีดังกล่าว แต่ต่อมา นาง Rowena Guevara ปลัดของสำนักงานวิจัยและพัฒนา (Undersecretary for Research and Development) เปิดเผยกับสื่อท้องถิ่นว่า "กระทรวงฯ ให้ความช่วยเหลือกับหน่วยงานอื่น ๆ ของรัฐ โดยการอนุญาตให้สามารถนำไอพีแอดเดรสบางส่วนของกระทรวงฯ ไปใช้งานในระบบเครือข่ายภายในของหน่วยงานนั้นได้" แต่อย่างไรก็ตาม นาง Rowena ไม่ได้กล่าวถึงชื่อของหน่วยงานดังกล่าว และกล่าวปัดว่าให้เป็นหน้าที่ของรัฐบาลในการสอบสวนเรื่องนี้

เมื่อสัปดาห์ที่ผ่านมา, สำนักข่าว ABS-CBN รายงานว่า นักการเมืองของฟิลิปปินส์ชื่อ Ferdinand Gaite แสดงจุดยืนกลางที่ประชุมสภาผู้แทนราษฏรขอให้มีการสอบสวนกรณีที่มีผู้ให้บริการข่าวสารถูกโจมตีทางไซเบอร์โดยหน่วยงานของรัฐ Ferdinand กล่าวว่า "ผมคิดว่ามันค่อนข้างชัดเจนมากที่การโจมตีนี้เป็นฝีมือของรัฐ และผู้มีอำนาจมีนโยบายที่จะโจมตีสื่อที่มีความสำคัญ ผมคิดว่า ณ จุดนี้คำปฏิเสธของพวกเขานั้นฟังไม่ขึ้น"

ที่มา : ehackingnews

นักวิจัยด้านความปลอดภัย "3xp0rt" ได้เปิดเผยถึงพฤติกรรมของกลุ่ม REvil ransomware ซึ่งได้ประกาศถึงการนำกลยุทธ์ใหม่ที่ใช้บริษัทภายในเครือของผู้ที่ติดแรนซัมแวร์เพื่อกดดันผู้ที่ตกเป็นเหยื่อโดยใช้การโจมตี DDoS และการโทรไปยังนักข่าวและพันธมิตรทางธุรกิจของเหยื่อเพื่อให้ข้อมูลเกี่ยวกับการโจมตีที่เกิดขึ้น เพื่อกดดันให้เหยื่อยอมจ่ายเงิน

กลุ่ม REvil ransomware หรือที่เรียกว่า Sodinokibi เป็นกลุ่มผู้ให้บริการแรนซัมแวร์หรือ Ransomware-as-a-service (RaaS) ซึ่งภายในกลุ่มจะมีบริษัทที่รับให้บริการบุกรุกเครือข่ายขององค์กรที่ตกเป็นเป้าหมายและทำการติดตั้งแรนซัมแวร์ลงไปภายในเครือข่ายเพื่อทำการเรียกค่าไถ่ผู้ที่ตกเป็นเหยื่อ

กลุ่ม REvil ransomware ได้มีการประกาศในเว็บบอร์ดใต้ดินเพื่อหาผู้ที่สามารถทำการโจมตีแบบ DDoS ได้เพื่อเข้าร่วมทีมขู่กรรโชก รวมไปถึงผู้ที่จะทำหน้าที่ติดต่อ เปิดเผยและข่มขู่หากบริษัทซึ่งโดนแรนซัมแวร์ไม่ยอมออกมายอมรับและจ่ายค่าไถ่

นอกจากการโทรเพื่อกดดันเหยื่อแล้ว REvil ยังให้ทำการโจมตี DDoS ไปยัง Layer 3 และ Layer 7 ของบริษัทที่ตกเป็นเหยื่อเพื่อสร้างแรงกดดัน โดยทั่วไปการโจมตี DDoS Layer 3 มักใช้เพื่อจำกัดการเชื่อมต่ออินเทอร์เน็ตของบริษัทที่ตกเป็นเหยื่อ แต่ในทางตรงกันข้ามกลุ่มแรนซัมแวร์จะใช้การโจมตี DDoS แบบ Layer 7 เพื่อทำให้แอปพลิเคชันของเหยื่อที่สามารถเข้าถึงได้จากสาธารณะเช่นเว็บเซิร์ฟเวอร์หยุดให้บริการ

ทั้งนี้ผู้ใช้ควรมีความระมัดระวังในการใช้งานอีเมลหรือการใช้งานการเข้าเยื่ยมชมเว็บไซต์ที่ไม่รู้จักและไม่ควรทำการดาวน์โหลดไฟล์ใด ๆ จากอีเมล์หรือเว็บไซต์ที่ไม่รู้จักเพื่อเป็นการป้องกันการตกเป็นเหยื่อของแรนซัมแวร์

ที่มา: bleepingcomputer

หน่วยงานความมั่นคงของยูเครน National Security and Defense Council of Ukraine (NSDC) เปิดเผยความเชื่อมโยงของแฮกเกอร์รัสเซียเข้ากับความพยายามในการโจมตีระบบจัดการเอกสารของรัฐบาลยูเครนพร้อมเผยแพร่ Indicator of compromise ที่ได้จากการโจมตี ทั้งนี้ NSDC ยังไม่มีการระบุอย่างแน่ชัดว่าเป็นกลุ่มแฮกเกอร์ใด

ระบบที่ถูกแฮกนั้นเป็นระบบที่มีชื่อว่า System of Electronic Interaction of Executive Bodies (SEI EB) ซึ่งเป็นระบบที่รัฐบาลยูเครนจะใช้ในการแบ่งปันและเผยแพร่เอกสารในหน่วยงานรัฐของยูเครน โดยจากการตรวจสอบนั้น NSDC ตรวจพบการพยายามอัปโหลดไฟล์เอกสารที่มีโค้ดที่เป็นอันตรายไปยังระบบ SEI EB ซึ่งคาดว่ามีเป้าหมายในการหลอกให้มีการดาวน์โหลดและติดตั้งมัลแวร์

ยูเครนตกเป็นเป้าการโจมตีจากรัสเซียอยู่บ่อยครั้ง โดยเมื่อช่วงสัปดาห์ที่ผ่านมา ทาง NSDC ก็มีการเปิดเผยว่ารัสเซียเป็นผู้อยู่เบื้องหลังการโจมตีในลักษณะ DDoS ต่อระบบและเว็บไซต์ของรัฐบาล อีกทั้งยังมีกรณีที่ของมัลแวร์เรียกค่าไถ่ Egregor ที่คาดว่ามีการแพร่กระจายอย่างเฉพาะเจาะจงและมีรัฐบาลรัสเซียอยู่เบื้องหลังอีกด้วย

ที่มา: bleepingcomputer

Netlab ทีมนักวิจัยด้านความปลอดภัยของบริษัท Qihoo 360 จากจีนได้รายงานถึงการตรวจพบบ็อตเน็ตใหม่ที่มีชื่อว่า “Ttint” ที่กำลังใช้ประโยชน์จากช่องโหว่แบบ zero-day ในเราท์เตอร์ Tenda เพื่อทำการเเพร่กระจาย โดยการติดตั้งมัลแวร์บนเราท์เตอร์ Tenda เพื่อทำการสร้างบอทเน็ต IoT (Internet of Things)

จากรายงานของ Netlab ได้ระบุว่าบ็อตเน็ต Ttint เป็นบ็อตเน็ตสายพันธุ์เดียวกับ Mirai เนื่องจากถูกสร้างด้วยโค้ดเบสเดียวกัน โดยทั่วไปแล้วบ็อตเน็ตชนิดนี้จะถูกนำมาใช้เพื่อทำการโจมตี DDoS แต่ด้วยการพัฒนาฟังก์ชั่นการทำงานเพิ่มจึงทำให้ปัจจุบัน Ttint มีความสามารถเพิ่มเติมที่นอกเหนือจากการเเพร่กระจายบนเราเตอร์อีก 12 ฟังก์ชั่น โดยในการเเพร่กระจายนั้นบ็อตเน็ต Ttin จะใช้ประโยชน์จากช่องโหว่แบบ zero-day จำนวน 2 ช่องโหว่ถูกติดตามด้วยรหัส CVE-2020-10987 และ CVE-2018-14558 เป็นช่องโหว่ในเราท์เตอร์ Tenda

Netlab ได้เเนะนำให้ผู้ใช้เราเตอร์ Tenda ตรวจสอบเฟิร์มแวร์และทำการอัปเดตเฟิร์มแวร์ให้เป็นเวอร์ชันล่าสุดเพื่อป้องกันการตกเป็นเหยื่อของบ็อตเน็ต Ttint

ที่มา : Zdnet

Internet Engineering Task Force หรือ IETF มีการเผยแพร่ข้อเสนอสำหรับมาตรฐานใหม่ RFC8915 หรือ Network Time Security (NTS) โดยเป้าหมายที่ชัดเจนของ RFC นี้นั้นคือการแก้ไขปัญหา จุดอ่อนและช่องโหว่ในโปรโตคอล network time protocol หรือ NTP

NTP ซึ่งปัจจุบันมีอายุครบ 35 ปีแล้วนั้นมีปัญหาและช่องโหว่อยู่มากมาย อาทิ ลักษณะของโปรโตคอลที่สามารถถูกนำมาใช้ในการโจมตีลักษณะ DDoS amplification, ปัญหาการแก้ไขข้อมูลในแพ็คเกตระหว่างทาง และการโจมตีในลักษณะของ replay attack ด้วยการใช้วิธี MiTM

สิ่งที่จะเกิดขึ้นใหม่ NTS นั้นคือการนำเอาศาสตร์ของการเข้ารหัสเข้ามาช่วยในการันตีความถูกต้องและความลับของแพ็คเกจ และแก้ปัญหา DDoS amplification โดยการตรวจสอบขนาดของข้อมูลในโปรโตคอล

แม้จะออกมาดูดีและมีความหวัง NTS ก็ยังมีข้อกังวลอยู่ในบางกรณี เช่น การใช้การเข้ารหัสแบบอสมมาตรอาจทำให้เกิดความเสี่ยงในการที่ผู้โจมตีจะทำ DDoS โดยบังคับให้ระบบประมวลผลการเข้าและถอดรหัสที่นาน (จากเดิมที่นานและใช้ทรัพยากรเยอะพอสมควร) ในประเด็นนี้นั้น RFC8915 มีการระบุถึงผลกระทบที่ต่ำหากถูกโจมตีจริง เช่นเดียวกับกระบวนการตรวจสอบขนาดของข้อมูลเพื่อป้องกัน DDoS amplifcation ซึ่งก็ยังไม่สามารถทำได้ 100%

RFC เป็นแนวทางเพื่อการอ้างอิง การอิมพลีเมนต์แนวทางจาก RFC สามารถเกิดขึ้นถ้าในแบบที่แย่หรือดีกว่าซึ่งต้องติดตามกันต่อไป ทั้งนี้ใครสนใจที่จะอ่าน RFC ฉบับนี้โดยตรงสามารถเข้าอ่านได้ที่ https://tools.

IBM เผย Mozi Botnet เเพร่กระจายในเครือข่ายอุปกรณ์ IoT ถึง 90 % ในช่องครึ่งปีที่ผ่านมา

IBM ได้ออกรายงานถึงการเเพร่กระจายของ botnet ในระหว่างเดือนตุลาคม 2019 ถึงเดือนมิถุนายน 2020 โดยรายงานพบว่าการเเพร่กระจายกว่า 90 เปอร์เซ็นต์นั้นมากจาก Mozi botnet ซึ่งใช้เครือข่าย loT เป็นฐานในการเเพร่กระจาย

Mozi botnet ถูกตรวจพบโดยผู้เชี่ยวชาญด้านความปลอดภัยจาก 360 Netlab ซึ่งในช่วงเวลาที่ค้นพบนั้น botnet มีการกำหนดเป้าหมายไปที่เราเตอร์ Netgear, D-Link และ Huawei โดยการโจมตีผ่านการ brute force รหัสผ่าน Telnet ที่อ่อนแอ เมื่อเข้าถึงอุปกรณ์ได้แล้ว botnet จะพยายามเรียกใช้เพย์โหลดที่เป็นอันตรายและ botnet จะใช้เครือข่าย Mozi P2P ที่ถูกสร้างโดยใช้โปรโตคอล Distributed Hash Table (DHT) เพื่อสร้างเครือข่าย P2P ในการเเพร่กระจาย

นอกจากการเเพร่กระจายแล้ว Mozi botnet ยังมีความสามารถในการการโจมตี DDoS, การรวบรวมข้อมูล, ดำเนินการเพย์โหลดของ URL ที่ระบุและเรียกใช้ระบบหรือคำสั่งที่กำหนดเอง ทั้งนี้นักวิจัยของ IBM ได้ค้นพบว่าโครงสร้างพื้นฐานที่ Mozi botnet ใช้นั้นตั้งอยู่ในประเทศจีนเป็นหลัก (84%)

นักวิจัยคาดว่าอุปกรณ์ที่จะได้รับผลกระทบจาก Mozi botnet คือ เราเตอร์ Eir D1000, อุปกรณ์ Vacron NVR , อุปกรณ์ที่ใช้ Realtek SDK, Netgear R7000 และ R6400, เราเตอร์ DGN1000 Netgear, MVPower DVR, เราเตอร์ Huawei HG532, อุปกรณ์ D-Link, GPON เราเตอร์, อุปกรณ์ D-Link, กล้องวงจรปิด DVR

เพื่อปกป้องอุปกรณ์ IoT และเราเตอร์จากการโจมตี ผู้ใช้ควรทำการอัปเดตเฟิร์มแวร์เป็นเวอร์ชันล่าสุดและควรทำการเปลื่ยนรหัสผ่านตั้งต้นเป็นรหัสผ่านที่ปลอดภัย ทั้งนี้ควรปิดการใช้งานเข้าถึงจากระยะไกลผ่านอินเทอร์เน็ตหากไม่จำเป็น

โดยสามารถดู IOC ได้จาก : Securityintelligence

ที่มา : Securityaffairs | blog.