กิจกรรมการสแกนซึ่งมุ่งเป้าไปยังหน้า Portal สำหรับล็อกอิน GlobalProtect VPN ของ Palo Alto Networks ได้เพิ่มขึ้นถึง 40 เท่าภายในระยะเวลา 24 ชั่วโมง ซึ่งเป็นสัญญาณที่แสดงให้เห็นว่าเป็นแคมเปญการโจมตีที่มีการประสานงานกันอย่างเป็นระบบ

GreyNoise บริษัทผู้ให้บริการข้อมูล threat intelligence แบบ Real-time รายงานว่า กิจกรรมดังกล่าวได้เริ่มไต่ระดับสูงขึ้นเมื่อวันที่ 14 พฤศจิกายน และพุ่งแตะระดับสูงสุดในรอบ 90 วันภายในระยะเวลาเพียงหนึ่งสัปดาห์

ในประกาศดังกล่าวระบุว่า "GreyNoise ตรวจพบการยกระดับขึ้นอย่างมีนัยสำคัญของกิจกรรมที่เป็นอันตราย ซึ่งมุ่งเป้าไปยังหน้า Portal ของ Palo Alto Networks GlobalProtect"

"โดยเริ่มตั้งแต่วันที่ 14 พฤศจิกายน 2025 กิจกรรมดังกล่าวได้เพิ่มปริมาณสูงขึ้นอย่างรวดเร็ว จนพุ่งสูงขึ้นถึง 40 เท่าภายในระยะเวลา 24 ชั่วโมง และทำสถิติสูงสุดครั้งใหม่ในรอบ 90 วัน"

เมื่อช่วงต้นเดือนตุลาคม GreyNoise เคยรายงานว่าพบจำนวน IP address ที่เข้ามาสแกนโปรไฟล์ของ Palo Alto Networks GlobalProtect และ PAN-OS เพิ่มขึ้นถึง 500% โดย 91% ของจำนวนดังกล่าวถูกจัดประเภทว่าเป็น 'suspicious' และอีก 7% ระบุว่าเป็น 'clearly malicious'

ก่อนหน้านี้ในเดือนเมษายน 2025 GreyNoise ได้รายงานถึงกิจกรรมการสแกนที่พุ่งสูงขึ้นอีกระลอก โดยมีเป้าหมายที่หน้า Portal สำหรับล็อกอินของ Palo Alto Networks GlobalProtect ซึ่งเกี่ยวข้องกับ IP address ถึง 24,000 IP โดยส่วนใหญ่ถูกจัดประเภทว่าเป็น 'suspicious' และมี 154 IP ที่ระบุว่าเป็น 'malicious'

GreyNoise เชื่อว่ากิจกรรมล่าสุดนี้เชื่อมโยงกับแคมเปญที่เกี่ยวข้องกันก่อนหน้านี้ โดยพิจารณาจากข้อมูล Fingerprint แบบ TCP/JA4t ที่ปรากฏซ้ำ, การนำหมายเลข ASN (Autonomous System Numbers) เดิมกลับมาใช้ใหม่ และช่วงเวลาของการพุ่งขึ้นของกิจกรรมที่สอดคล้องกันในแต่ละแคมเปญ

ASN หลักที่ถูกใช้ในการโจมตีเหล่านี้ระบุได้ว่าเป็น AS200373 (3xK Tech GmbH) โดย 62% ของ IP มีที่ตั้งอยู่ในประเทศเยอรมนี และ 15% อยู่ในแคนาดา ส่วน ASN ที่ 2 ที่เกี่ยวข้องกับกิจกรรมดังกล่าว คือ AS208885 (Noyobzoda Faridduni Saidilhom)

การมุ่งเป้าโจมตีการล็อกอิน VPN

ระหว่างวันที่ 14 ถึง 19 พฤศจิกายน GreyNoise ตรวจพบ session การเชื่อมต่อถึง 2.3 ล้านครั้ง ที่พยายามเข้าถึง URI /global-protect/login.

พบเหตุการณ์การโจมตีที่มุ่งเป้าไปยังพอร์ทัล Palo Alto Networks PAN-OS GlobalProtect โดยมี IP ที่ไม่ซ้ำกันเกือบ 24,000 รายการ ที่พยายามเข้าถึงโดยไม่ได้รับอนุญาตในช่วง 30 วันที่ผ่านมา

การโจมตีนี้ได้รับการแจ้งเตือนโดยบริษัทด้านความปลอดภัยทางไซเบอร์ GreyNoise ซึ่งแสดงให้เห็นถึงความซับซ้อนที่เพิ่มขึ้นของผู้ไม่หวังดีในการตรวจสอบการป้องกันของเครือข่ายเพื่อเตรียมการโจมตีในอนาคต

GreyNoise ตรวจพบเหตุการณ์ที่เพิ่มสูงขึ้นมาตั้งแต่วันที่ 17 มีนาคม 2025 โดยสูงสุดเกือบถึง 20,000 IP ที่ไม่ซ้ำกันต่อวัน

แม้ว่าเหตุการณ์จะลดลงภายในวันที่ 26 มีนาคม แต่ก็ยังแสดงให้เห็นถึงรูปแบบที่สอดคล้องกัน โดยส่วนใหญ่ของ IP ที่ถูกตรวจสอบมีลักษณะเป็น Suspicious (23,800) และ Outright Malicious (154)

Bob Rudis รองประธานฝ่าย Data Science ของ GreyNoise ระบุว่า การโจมตีครั้งนี้สอดคล้องกับแนวโน้มในอดีตที่มักจะเกิดขึ้นหลังจากการค้นพบช่องโหว่ใหม่ ๆ

"ในช่วง 18-24 เดือนที่ผ่านมา เราได้พบการโจมตีที่มุ่งเป้าไปยังช่องโหว่เก่า ๆ ซึ่งมักจะตามมาด้วยการค้นพบช่องโหว่ใหม่ ๆ ภายในไม่กี่สัปดาห์"

องค์กรที่ใช้ผลิตภัณฑ์ของ Palo Alto Networks ถูกแนะนำให้เสริมความปลอดภัยในพอร์ทัลการเข้าสู่ระบบของตนทันที เนื่องจากผู้ไม่หวังดีอาจกำลังเตรียมการโจมตีในอนาคต

ข้อสังเกตที่สำคัญ

GreyNoise พบหลายปัจจัยที่สำคัญในการพยายามโจมตีนี้

การวิเคราะห์แหล่งที่มา และประเทศปลายทาง

ประเทศต้นทาง : ส่วนใหญ่ของการโจมตีมาจากสหรัฐอเมริกา (16,249) และแคนาดา (5,823) โดยมีเหตุการณ์เพิ่มเติมมาจากฟินแลนด์, เนเธอร์แลนด์ และรัสเซีย
ประเทศปลายทาง : ส่วนใหญ่เป้าหมายคือระบบในสหรัฐอเมริกา (23,768) ตามด้วยสหราชอาณาจักร, ไอร์แลนด์, รัสเซีย และสิงคโปร์
เหตุการณ์ทั่วโลกนี้แสดงให้เห็นถึงการดำเนินการที่ประสานกันในหลายภูมิภาค

ผู้โจมตีที่มีส่วนร่วมหลัก และเครื่องมือที่ใช้

ผู้โจมตีที่มีส่วนร่วมหลักสามารถติดตามกลับได้ โดยมีการรับส่งข้อมูลไปยัง 3xK Tech GmbH ซึ่งรับผิดชอบ 20,010 IP ภายใต้ ASN200373

ผู้ที่มีส่วนร่วมอื่น ๆ ได้แก่ PureVoltage Hosting Inc.