Trend Micro เปิดเผยรายงานการพบ Linux Ransomware ในชื่อ Strain BlackSuit ที่คล้ายคลึงกับ Royal Ransomware ซึ่งถูกพบจากการตรวจสอบเวอร์ชัน x64 VMware ESXi ที่กำหนดเป้าหมายการโจมตีไปยังเครื่อง Linux โดยมีความคล้ายคลึงกัน 98% ใน function ความคล้ายคลึงกัน (more…)

หน่วยงานปราบปรามอาชญากรรมแห่งชาติของสหราชอาณาจักร (NCA) เปิดเผยว่าได้ทำการสร้างเครือข่ายของเว็บไซต์ DDoS-for-hire ปลอม เพื่อแฝงตัวเข้าไปสู่กลุ่มอาชญากรรมในโลกออนไลน์

หน่วยงานบังคับใช้กฎหมายระบุว่า "เว็บไซต์ที่ถูกดำเนินการโดย NCA ซึ่งมีผู้เข้าถึงเว็บไซต์กว่าพันคน ถูกสร้างขึ้นให้ดูเหมือนว่ามีเครื่องมือ และบริการที่ช่วยให้อาชญากรทางไซเบอร์สามารถนำไปดำเนินการโจมตีเป้าหมายได้"

โดยหลังจากที่ผู้ใช้งานลงทะเบียนเข้าใช้งานเว็บไซต์ แทนที่จะได้รับสิทธิ์ในการเข้าถึงเครื่องมือสำหรับการโจมตี แต่ข้อมูลของพวกเขากลับถูกรวบรวมโดยเจ้าหน้าที่จาก NCA แทน

(more…)

Botnet ตัวใหม่ที่ใช้ภาษา Golang-based ชื่อ 'HinataBot' ได้โจมตีโดยใช้ช่องโหว่ของอุปกรณ์เราเตอร์ และเซิร์ฟเวอร์ เพื่อเข้าควบคุมระบบเพื่อนำมาใช้โจมตีแบบ DDoS

Akamai ระบุในรายงานทางเทคนิคว่า "ไบนารี่ของมัลแวร์ถูกตั้งชื่อตามตัวละครอนิเมะยอดนิยมอย่าง Naruto โดยมีโครงสร้างชื่อไฟล์เช่น 'Hinata-<OS>-<Architecture>'"

โดยมัลแวร์มีการใช้ช่องโหว่ของเซิร์ฟเวอร์ Hadoop YARN และช่องโหว่ของอุปกรณ์ Realtek SDK (CVE-2014-8361), และเราเตอร์ Huawei HG532 (CVE-2017-17215, CVSS score: 8.8) ในการโจมตีอุปกรณ์ของเหยื่อ

โดยช่องโหว่บนระบบที่ยังไม่ได้รับการอัปเดตแพตซ์ และรหัสผ่านที่คาดเดาได้ง่าย จะตกเป็นเป้าหมายของการโจมตีครั้งนี้ โดยผู้โจมตีไม่จำเป็นต้องใช้เทคนิค social engineering หรือเทคนิคในการโจมตีอื่น ๆ (more…)

 

Akamai รายงานว่าได้รับมือกับการโจมตีแบบ DDoS ที่สูงที่สุดที่เคยเกิดขึ้นในเอเชียแปซิฟิกได้

Distributed Denial of Service (DDoS) เป็นการโจมตีโดยการส่ง requests จํานวนมากไปยังเซิร์ฟเวอร์เป้าหมาย เพื่อทำให้ความสามารถของเซิร์ฟเวอร์ลดลง และทำให้ผู้ใช้งานไม่สามารถเข้าใช้งานเว็บไซต์ แอปพลิเคชัน หรือบริการออนไลน์อื่น ๆ ได้

ซึ่งทำให้เกิดผลกระทบทางธุรกิจ ไม่ว่าจะเป็นเพื่อวัตถุประสงค์ทางการเมือง, การแก้แค้น, การแข่งขันทางธุรกิจ, หรือเพื่อขู่กรรโชกเหยื่อด้วยการเรียกค่าไถ่

เมื่อวันที่ 23 กุมภาพันธ์ 2023 ที่ผ่านมา Akamai ออกมาเปิดเผยการโจมตีครั้งล่าสุดที่ทำลายสถิติสูงที่สุดที่เคยเกิดขึ้นในเอเชียแปซิฟิก โดยมีจุดสูงสุดอยู่ที่ 900.1 กิกะบิตต่อวินาที จำนวน 158.2 ล้าน packet ต่อวินาที

การโจมตีในครั้งนี้ถือเป็นการโจมตีที่รุนแรง และเกิดขึ้นเพียงหนึ่งนาที ซึ่ง Akamai สามารถรับมือกับการโจมตีครั้งนี้ได้เป็นอย่างดี ด้วยการส่ง traffic ไปที่ scrubbing network โดยส่วนใหญ่จะถูกส่งไปที่ฮ่องกง, โตเกียว, เซาเปาโล, สิงคโปร์, และโอซาก้า

scrubbing network เป็นโซลูชันป้องกันการโจมตีแบบ DDoS โดยการส่ง traffic กระจายไปยัง scrubbing Network ที่มี center อยู่หลายแห่ง เพื่อแยก Traffic ที่เป็นอันตรายออกก่อนส่งไปยัง server

แม้ว่า 48% ของ Traffic จะถูกจัดการโดย scrubbing centers ในเอเชียแปซฟิก แต่ Traffic ดังกล่าวก็ยังถูกส่งไป ยังทั้ง 26 ศูนย์ของ Akamai เช่นกัน แต่ไม่มีศูนย์ไหนเกิน 15% ของ traffic ทั้งหมด

สถิติการโจมตีแบบ DDoS

การโจมตีสูงสุดที่ Akamai ป้องกันได้ คือการโจมตีเมื่อวันที่ 12 กันยายน 2022 ที่พุ่งเป้าไปที่ลูกค้าในยุโรปตะวันออก โดยสูงสุดที่ 704 ล้านแพ็กเก็ตต่อวินาที ซึ่งมากกว่าเหตุการณ์ล่าสุดประมาณ 4.5 เท่า
เจ้าของสถิติยังคงเป็น Microsoft ซึ่งในเดือนพฤศจิกายน 2021 ได้มีการป้องกันการโจมตี DDoS ขนาด 3.47 Tbps ที่มีการพุ่งเป้าไปที่ Azure ในเอเชีย
กรณีล่าสุดคือการป้องกันการโจมตีโดย Cloudflare DDoS ที่พุ่งเป้าไปยัง Wynncraft ซึ่งเป็นหนึ่งในเซิร์ฟเวอร์ที่ใหญ่ที่สุดของ Minecraft โดยมีจุดสูงสุดที่ 2.5 Tbps

 

ที่มา : bleepingcomputer

หน่วยงานความมั่นคงปลอดภัยทางไซเบอร์ และโครงสร้างพื้นฐานของสหรัฐ (CISA) ได้เพิ่มช่องโหว่ด้านความปลอดภัย 3 รายการลงในแคตตาล็อก Known Exploited Vulnerabilities ( KEV ) โดยอ้างถึงหลักฐานของการพบการโจมตีที่กำลังเกิดขึ้นอยู่ในปัจจุบัน

รายการช่องโหว่มีดังต่อไปนี้

CVE-2022-35914 (คะแนน CVSS: 9.8) - ช่องโหว่ Remote Code Execution Vulnerability ของ Teclib GLPI
CVE-2022-33891 (คะแนน CVSS: 8.8) - ช่องโหว่ Apache Spark Command Injection
CVE-2022-28810 (คะแนน CVSS: 6.8) - ช่องโหว่ Zoho ManageEngine ADSelfService Plus Remote Code Execution

ช่องโหว่แรก คือ CVE-2022-35914 เป็นช่องโหว่การเรียกใช้งานโค้ดที่เป็นอันตรายจากระยะไกลในไลบรารี htmlawed ของ third-party ที่มีอยู่ใน Teclib GLPI ซึ่งเป็นซอฟต์แวร์โอเพ่นซอร์ส และแพ็คเกจซอฟต์แวร์การจัดการทางด้านไอที ยังไม่มีรายละเอียดที่แน่ชัดเกี่ยวกับลักษณะของการโจมตี แต่ Shadowserver Foundation ระบุว่าพบความพยายามในการโจมตี Honeypot ของพวกเขาในเดือนตุลาคม 2565

หลังจากนั้นมีการเผยแพร่ proof of concept (PoC) แบบ cURL-based ออกมาบน GitHub และ Jacob Baines นักวิจัยด้านความปลอดภัยของ VulnCheck ระบุว่าพบการโฆษณาขายเครื่องมือที่ใช้สำหรับสแกนช่องโหว่จำนวนมากในเดือนธันวาคม 2565

นอกจากนี้ข้อมูลที่รวบรวมโดย GreyNoise พบว่ามี IP ที่เป็นอันตราย 40 รายการจากสหรัฐอเมริกา เนเธอร์แลนด์ ฮ่องกง ออสเตรเลีย และบัลแกเรีย พยายามโจมตีโดยการใช้ช่องโหว่ดังกล่าว

ช่องโหว่ที่สอง คือ CVE-2022-33891 ช่องโหว่ command injection ใน Apache Spark ซึ่งถูกใช้งานโดยบอทเน็ต Zerobot ในการโจมตีอุปกรณ์ที่มีช่องโหว่ โดยมีเป้าหมายเพื่อนำมาใช้ในการโจมตีแบบ Distributed Denial-of-Service (DDoS)

ช่องโหว่ที่สาม คือ CVE-2022-28810 ช่องโหว่การเรียกใช้งานโค้ดที่เป็นอันตรายจากระยะไกลใน Zoho ManageEngine ADSelfService Plus ซึ่งได้รับการแก้ไขไปแล้วในเดือนเมษายน 2565

CISA ระบุว่า "Zoho ManagementEngine ADSelf Service Plus มีช่องโหว่หลายรายการ ซึ่งทำให้ผู้โจมตีสามารถเรียกใช้งานโค้ดที่เป็นอันตรายจากระยะไกลได้ เมื่อดำเนินการเปลี่ยนรหัสผ่าน หรือรีเซ็ตรหัสผ่าน

บริษัทด้านความปลอดภัยทางไซเบอร์ Rapid7 ซึ่งเป็นผู้ค้นพบช่องโหว่ระบุว่าพบความพยายามในการใช้ประโยชน์จากช่องโหว่เพื่อรันคำสั่งบนระบบปฏิบัติการตามที่ต้องการ เพื่อให้สามารถแฝงตัวอยู่บนระบบได้

 

ที่มา : thehackernews

Cloudflare ได้ออกมาเปิดเผยรายงานการป้องกันการโจมตีแบบ Distributed Denial-of-Service (DDoS) ที่สูงจนกลายเป็นสถิติที่สูงที่สุดในปัจจุบัน

โดยพบการโจมตีไปยังลูกค้าในช่วงสัปดาห์ที่ผ่านมา ซึ่งมี requests มากกว่า 50-70 ล้าน requests per second (rps) ในช่วงที่เกิดการโจมตี และมี requests มากที่สุด อยู่ที่ 71 ล้าน rps

Cloudflare ระบุว่า เหตุการณ์นี้ถือเป็นการโจมตีแบบ HTTP DDoS ที่ใหญ่ที่สุดเป็นประวัติการณ์ โดยมากกว่า 35% จากสถิติที่รายงานก่อนหน้านี้ที่พบการโจมตีในลักษณะ DDoS อยู่ที่ 46 ล้าน rps ในเดือนมิถุนายน 2022 ซึ่งถูกป้องกันไว้ได้โดย Google Cloud Armor ของ Google

โดยการโจมตีเกิดที่ขึ้นในครั้งนี้ พบว่ามาจาก IP มากกว่า 30,000 รายการ จากผู้ให้บริการคลาวด์หลายราย รวมถึงผู้ให้บริการเกม ผู้ให้บริการคลาวด์แพลตฟอร์ม บริษัทสกุลเงินดิจิทัล และผู้ให้บริการโฮสติ้ง

ซึ่งสอดคล้องกับรายงานของ DDoS threat report ของ Cloudflare ที่ได้คาดการณ์สถานการณ์การโจมตีไว้ว่า

จำนวนการโจมตี HTTP DDoS จะเพิ่มสูงขึ้น 79% เมื่อเทียบเป็นรายปี
จำนวนการโจมตีเชิงปริมาณที่มากกว่า 100 Gbps จะเพิ่มสูงขึ้น 67% ไตรมาสต่อไตรมาส (QoQ)
จำนวนการโจมตี DDoS ที่ใช้เวลามากกว่าสามชั่วโมงจะเพิ่มสูงขึ้น 87% (QoQ)

 

ที่มา : bleepingcomputer

ผู้เชี่ยวชาญด้านความปลอดภัยจาก Fortinet พบมัลแวร์ตัวใหม่ "Zerobot" มีการโจมตีโดยใช้ประโยชน์จากช่องโหว่บนอุปกรณ์ต่างๆ เช่น F5 BIG-IP, Zysel Firewall, Totolink, D-Link และ Hikvision

โดยจุดประสงค์ของมัลแวร์คือการเข้ายึดครองอุปกรณ์ที่ถูกโจมตี เพื่อนำมาใช้เป็น botnet สำหรับใช้ในการโจมตีแบบ Denial of Service (DDoS) โดยเมื่อมัลแวร์ทำงานจะมีการดาวน์โหลดสคริปต์ที่ชื่อว่า Zero เพื่อใช้ในการแพร่กระจายไปยังอุปกรณ์ที่อยู่ใกล้เคียงกัน และมีการรันคำสั่งบน Windows หรือ Linux ด้วย รวมถึงมีการติดตั้ง WebSocket เพื่อใช้เชื่อมต่อกับ command and control (C2) server โดยคำสั่งที่ผู้เชี่ยวชาญพบคือ Ping, attack, stop, update, scan, command และ kill นอกจากนี้มัลแวร์ยังถูกออกแบบมาเพื่อป้องกันการถูกสั่ง kill ตัวเองอีกด้วย

Zerobot จะโจมตีเป้าหมายโดยใช้ช่องโหว่ดังต่อไปนี้:

CVE-2014-08361: miniigd SOAP service in Realtek SDK
CVE-2017-17106: Zivif PR115-204-P-RS webcams
CVE-2017-17215: Huawei HG523 router
CVE-2018-12613: phpMyAdmin
CVE-2020-10987: Tenda AC15 AC1900 router
CVE-2020-25506: D-Link DNS-320 NAS
CVE-2021-35395: Realtek Jungle SDK
CVE-2021-36260: Hikvision product
CVE-2021-46422: Telesquare SDT-CW3B1 router
CVE-2022-01388: F5 BIG-IP
CVE-2022-22965: Spring MVC and Spring WebFlux (Spring4Shell)
CVE-2022-25075: TOTOLink A3000RU router
CVE-2022-26186: TOTOLink N600R router
CVE-2022-26210: TOTOLink A830R router
CVE-2022-30525: Zyxel USG Flex 100(W) firewall
CVE-2022-34538: MEGApix IP cameras
CVE-2022-37061: FLIX AX8 thermal sensor cameras

 

ที่มา : bleepingcomputer

ในการใช้งานอินเทอร์เน็ตทั่วไป ผู้ใช้งานมักพบกับหน้าจอ DDoS Protection ในการเข้าใช้งานเว็ปไซต์ต่างๆ ซึ่งมันมีหน้าที่สำหรับปกป้องเว็ปไซต์ปลายทางจากการโจมตี เช่น การส่ง Request ปลอมเป็นจำนวนมากที่ทำให้เซิฟเวอร์ล่ม แต่ในปัจจุบัน พบผู้ไม่หวังดีได้ใช้ประโยชน์จากหน้าจอแสดงผลเหล่านี้เพื่อแพร่กระจายมัลแวร์

ลักษณะการทำงาน

เหตุการณ์นี้ค้นพบโดบผู้เชี่ยวชาญจาก Sucuri ซึ่งพบผู้โจมตีได้ทำการแฮ็กเว็ปไซต์ที่เขียนด้วย WordPress เมื่อทำการแฮ็กได้สำเร็จ ผู้โจมตีจะทำการเพิ่มเพย์โหลด JavaScript ลงไป เพื่อแสดงหน้าจอ Cloudflare DDoS Protection ปลอม

เมื่อผู้ใช้งานเข้าสู่เว็ปไซต์ที่ถูกแฮ็ก จะพบ Pop-Up ขึ้นมาให้คลิกเพื่อข้ามหน้าจอ DDoS Protection เมื่อคลิกจะเป็นการดาวน์โหลดไฟล์ security_install.

ในการใช้งานอินเทอร์เน็ตทั่วไป ผู้ใช้งานมักพบกับหน้าจอ DDoS Protection ในการเข้าใช้งานเว็ปไซต์ต่างๆ ซึ่งมันมีหน้าที่สำหรับปกป้องเว็ปไซต์ปลายทางจากการโจมตี เช่น การส่ง Request ปลอมเป็นจำนวนมากที่ทำให้เซิฟเวอร์ล่ม แต่ในปัจจุบัน พบผู้ไม่หวังดีได้ใช้ประโยชน์จากหน้าจอแสดงผลเหล่านี้เพื่อแพร่กระจายมัลแวร์

ลักษณะการทำงาน

เหตุการณ์นี้ค้นพบโดบผู้เชี่ยวชาญจาก Sucuri ซึ่งพบผู้โจมตีได้ทำการแฮ็กเว็ปไซต์ที่เขียนด้วย WordPress เมื่อทำการแฮ็กได้สำเร็จ ผู้โจมตีจะทำการเพิ่มเพย์โหลด JavaScript ลงไป เพื่อแสดงหน้าจอ Cloudflare DDoS Protection ปลอม

เมื่อผู้ใช้งานเข้าสู่เว็ปไซต์ที่ถูกแฮ็ก จะพบ Pop-Up ขึ้นมาให้คลิกเพื่อข้ามหน้าจอ DDoS Protection เมื่อคลิกจะเป็นการดาวน์โหลดไฟล์ security_install.

Ransomware Vice Society อ้างว่าอยู่เบื้องหลังการโจมตีที่เมือง Palermo ของอิตาลี

กลุ่ม ransomware Vice Society อ้างว่าเมื่อเร็วๆ นี้ได้ทำการโจมตีที่เมือง Palermo ในอิตาลี ซึ่งทำให้บริการขนาดใหญ่หยุดชะงัก

การโจมตีเกิดขึ้นเมื่อวันศุกร์ที่ผ่านมา บริการบนอินเทอร์เน็ตทั้งหมดยังคงใช้งานไม่ได้ ส่งผลกระทบต่อผู้ใช้งานกว่า 1.3 ล้านคน และนักท่องเที่ยวจำนวนมาก เจ้าหน้าที่ยอมรับว่าความรุนแรงของเหตุการณ์ที่เกิดขึ้นกระทบต่อระบบทั้งหมด และต้องออฟไลน์ระบบเพื่อควบคุมความเสียหาย โดยแจ้งว่าไฟฟ้าจะดับไปอีกสองสามวัน การปิดเครือข่ายทำให้การโจมตีดูเหมือนเป็นการโจมตีของ ransomware ไม่ใช่การโจมตี DDoS ที่เพิ่งโจมตีในประเทศอิตาลีก่อนหน้านี้ (more…)