แสดงบทความที่มีป้ายกำกับ DDoS แสดงบทความทั้งหมด
แสดงบทความที่มีป้ายกำกับ DDoS แสดงบทความทั้งหมด

28/01/2568

Cisco แจ้งเตือนช่องโหว่ Denial of Service ที่พบว่ามี PoC exploit code แล้ว


    Cisco ปล่อยแพตช์อัปเดตด้านความปลอดภัยเพื่อแก้ไขช่องโหว่ Denial-of-Service (DoS) ใน ClamAV ซึ่งปัจจุบันพบว่ามี Proof-of-Concept (PoC) exploit code ที่สามารถใช้ในการโจมตีได้
    ช่องโหว่ดังกล่าวมีหมายเลข CVE-2025-20128 เป็นช่องโหว่ที่เกิดจาก Heap-based Buffer Overflow ในกระบวนการถอดรหัส Object Linking and Embedding 2 (OLE2) ซึ่งทำให้ผู้ไม่ประสงค์ดีจากภายนอกที่ไม่ต้องผ่านการยืนยันตัวตน สามารถทำให้เกิด DoS บนอุปกรณ์ที่มีช่องโหว่ได้
    หากสามารถโจมตีช่องโหว่นี้ได้สำเร็จ อาจทำให้กระบวนการทำงานของ ClamAV antivirus หยุดทำงาน ส่งผลให้การสแกนไวรัสหยุดชะงัก หรือไม่สามารถดำเนินการต่อได้
    Cisco ระบุว่าผู้ไม่ประสงค์ดีใช้ประโยชน์จากช่องโหว่นี้โดยการส่งไฟล์ที่ถูกสร้างขึ้นมาแบบพิเศษ ที่มีเนื้อหาแบบ OLE2 เพื่อให้ ClamAV บนอุปกรณ์ที่ได้รับผลกระทบทำการสแกน ซึ่งการโจมตีที่สำเร็จอาจทำให้ผู้ไม่ประสงค์ดีสามารถยุติกระบวนการสแกนของ ClamAV ส่งผลให้เกิดการ DoS บนซอฟต์แวร์ที่มีช่องโหว่ได้
    อย่างไรก็ตาม ในคำแนะนำที่ออกในวันนี้บริษัทระบุว่า ระบบโดยรวมจะไม่ได้รับผลกระทบแม้ว่าการโจมตีจะประสบความสำเร็จก็ตาม
    รายชื่อผลิตภัณฑ์ที่มีความเสี่ยงได้แก่ซอฟต์แวร์ Secure Endpoint Connector สำหรับแพลตฟอร์มที่ใช้ Linux, Mac และ Windows ซึ่งโซลูชันนี้จะช่วยนำ audit logs และ events ของ Cisco Secure Endpoint เข้าไปในระบบ SIEM แบบเดียวกับ Microsoft Sentinel

PoC สำหรับการโจมตี แต่ยังไม่พบการโจมตีจริงในปัจจุบัน
    ในขณะที่ทีม Cisco Product Security Incident Response Team (PSIRT) ระบุว่ายังไม่มีหลักฐานการโจมตีที่เกิดขึ้นจริง แต่อย่างไรก็ตามพบว่ามีโค้ดสำหรับการโจมตีช่องโหว่ CVE-2025-20128 ถูกปล่อยออกมาแล้ว
    วันที่ 22 มกราคม 2025 Cisco ได้ปล่อยแพตช์เพื่อแก้ไขช่องโหว่ด้านความปลอดภัย DoS ใน Cisco BroadWorks (CVE-2025-20165) และช่องโหว่ระดับ Critical ที่เกี่ยวข้องกับการยกระดับสิทธิ์ใน Cisco Meeting Management REST API (CVE-2025-20156) ซึ่งช่วยให้ผู้ไม่ประสงค์ดีสามารถยกระดับสิทธิ์เป็นผู้ดูแลระบบบนอุปกรณ์ที่มีช่องโหว่ได้
    ในเดือนตุลาคมที่ผ่านมา Cisco ได้แก้ไขช่องโหว่ DoS อีกรายการหนึ่ง (CVE-2024-20481) ในซอฟต์แวร์ Cisco ASA และ Firepower Threat Defense (FTD) ซึ่งถูกพบระหว่างแคมเปญการโจมตีแบบ Brute Force ขนาดใหญ่ที่มุ่งเป้าไปยังอุปกรณ์ Cisco Secure Firewall VPN ในเดือนเมษายน 2024
    หนึ่งเดือนถัดมา Cisco ได้แก้ไขช่องโหว่ระดับ Critical (CVE-2024-20418) ซึ่งช่วยให้ผู้ไม่ประสงค์ดีสามารถเรียกใช้คำสั่งด้วยสิทธิ์ Root บนอุปกรณ์ Ultra-Reliable Wireless Backhaul (URWB) ในส่วนของ industrial access points ที่มีช่องโหว่ได้


ที่ ไม่มีความคิดเห็น:
ป้ายกำกับ: , ,

22/01/2568

Mirai Botnet โจมตีแบบ DDoS ครั้งใหญ่ด้วยปริมาณ 5.6 Tbps โดยใช้อุปกรณ์ IoT มากกว่า 13,000 เครื่อง


    Cloudflare ได้เปิดเผยเมื่อวันอังคารที่ผ่านมาว่า ได้ตรวจพบการโจมตีแบบ Distributed Denial-of-Service (DDoS) ด้วยความเร็วสูงถึง 5.6 Tbps ซึ่งเป็นการโจมตีที่รุนแรงที่สุดเท่าที่เคยมี
    การโจมตีดังกล่าวใช้โปรโตคอล UDP เกิดขึ้นเมื่อวันที่ 29 ตุลาคม 2024 ที่ผ่านมา โดยมีเป้าหมายโจมตีลูกค้ารายหนึ่งของบริษัท ซึ่งเป็นผู้ให้บริการอินเทอร์เน็ต (ISP) ที่ไม่เปิดเผยชื่อจากเอเชียตะวันออก ซึ่งการโจมตีในครั้งนี้มีต้นตอมาจาก Mirai-variant botnet
    Omer Yoachimik และ Jorge Pacheco จาก Cloudflare ระบุว่า "การโจมตีครั้งนี้เกิดขึ้นเพียง 80 วินาที และมาจากอุปกรณ์ IoT มากกว่า 13,000 เครื่อง" ทั้งนี้ จำนวนเฉลี่ยของ Source IP จากต้นทางที่มีการตรวจพบ เฉลี่ยต่อวินาทีอยู่ที่ 5,500 IP โดยแต่ละ IP มีปริมาณการโจมตีโดยเฉลี่ยประมาณ 1 Gbps ต่อวินาที
    สถิติเดิมของการโจมตีแบบ DDoS ที่มีปริมาณข้อมูลสูงสุดเท่าที่เคยถูกบันทึกโดย Cloudflare ในเดือนตุลาคม 2024 ที่ผ่านมา โดยมีความเร็วสูงสุดอยู่ที่ 3.8 Tbps
    Cloudflare ยังเปิดเผยอีกว่าในปี 2024 บริษัทได้ป้องกันการโจมตีแบบ DDoS ได้ประมาณ 21.3 ล้านครั้ง ซึ่งเพิ่มขึ้น 53% เมื่อเทียบกับปี 2023 และจำนวนการโจมตีที่มีปริมาณข้อมูลเกิน 1 Tbps เพิ่มขึ้นถึง 1,885% เมื่อเทียบกับไตรมาสก่อนหน้านี้ โดยเฉพาะในไตรมาสที่ 4 ของปี 2024 มีการป้องกันการโจมตีแบบ DDoS มากถึง 6.9 ล้านครั้ง

    DDoS botnets ที่เป็นที่รู้จักมีส่วนเกี่ยวข้องกับการโจมตีแบบ HTTP DDoS ถึง 72.6% ของการโจมตีทั้งหมด
    รูปแบบการโจมตีที่พบบ่อยมากที่สุด 3 อันดับแรกในระดับ Layer 3 และ Layer 4 ได้แก่ การโจมตีแบบ SYN floods (38%), การโจมตีแบบ DNS flood (16%), และการโจมตีแบบ UDP floods (14%)
    การโจมตีแบบ Memcached DDoS, การโจมตีแบบ BitTorrent DDoS, และการโจมตีแบบ ransom DDoS มีอัตราเพิ่มขึ้น 314%, 304%, และ 78% ตามลำดับเมื่อเทียบกับไตรมาสก่อน
    ประมาณ 72% ของการโจมตีแบบ HTTP DDoS และ 91% ของการโจมตีแบบ DDoS ใน network layer จบลงภายในเวลาไม่เกิน 10 นาที
    ทั้งนี้การโจมตีส่วนมากมาจากประเทศ อินโดนีเซีย, ฮ่องกง, สิงคโปร์, ยูเครน และอาร์เจนตินา เป็นแหล่งที่มาของการโจมตีแบบ DDoS ที่ใหญ่ที่สุด
    และประเทศ จีน, ฟิลิปปินส์, ไต้หวัน, ฮ่องกง และเยอรมนี เป็นประเทศที่ถูกโจมตีมากที่สุด
    ภาคส่วนที่ถูกโจมตีมากที่สุด ได้แก่ โทรคมนาคม, อินเทอร์เน็ต, การตลาด, เทคโนโลยีสารสนเทศ และการพนัน
    ในขณะเดียวกันที่บริษัทด้านความปลอดภัยทางไซเบอร์อย่าง Qualys และ Trend Micro เปิดเผยว่าได้ตรวจพบมัลแวร์สายพันธุ์ย่อยของ Mirai botnet ที่กำลังโจมตีอุปกรณ์ Internet of Things (IoT) โดยใช้ช่องโหว่ด้านความปลอดภัยที่เป็นที่รู้จักและข้อมูล Credentials เพื่อใช้เป็นช่องทางในการโจมตีแบบ DDoS อีกด้วย

ที่ ไม่มีความคิดเห็น:
ป้ายกำกับ: , ,

07/08/2567

Microsoft เปิดเผยสาเหตุการล่มครั้งใหญ่ของ Azure เกิดจากการโจมตีแบบ DDoS


    Microsoft ออกมาเปิดเผยข้อมูลหลังเกิดเหตุการณ์บริการ Microsoft 365 และ Azure ทั่วโลกหยุดทำงานนานกว่าเก้าชั่วโมง โดยเป็นผลมาจากการโจมตีแบบ distributed denial-of-service (DDoS)
    โดยการหยุดให้บริการดังกล่าวได้ส่งผลกระทบต่อ Microsoft Entra, Microsoft 365 และ Microsoft Purview บางส่วน (รวมถึง Intune, Power BI และ Power Platform) เช่นเดียวกับ Azure App Services, Application Insights, Azure IoT Central, Azure Log Search Alerts, Azure Policy และ Azure portal
    ทาง Microsoft ออกมายืนยันว่าสาเหตุหลักเบื้องหลังการหยุดให้บริการ เกิดจากการโจมตีแบบ DDoS ถึงแม้ว่าจะยังไม่ได้เชื่อมโยงการโจมตีกับกลุ่ม ผู้ไม่ประสงค์ดี รายใดโดยเฉพาะก็ตาม
    Microsoft ระบุว่าการหยุดให้บริการเกิดจากการการโจมตีแบบ Distributed Denial-of-Service (DDoS) ซึ่งทำให้กลไกการป้องกัน DDoS ทำงาน แต่แทนที่จะบรรเทาผลกระทบ กลับไปทำให้ผลกระทบของการโจมตีรุนแรงขึ้นแทน โดยหลังจากนี้ทาง Microsoft จะเปลี่ยนแปลงการกำหนดค่าเครือข่ายในการป้องกัน DDoS และดำเนินการสำรองข้อมูลเพื่อสลับเส้นทางเครือข่ายเพื่อลดผลกระทบจากปัญหาที่เกิดขึ้น
    การเปิดเผยข้อมูลดังกล่าวเกิดขึ้นหลังจากที่ Microsoft ระบุว่า ในขณะที่ทำการแก้ไขปัญหาการหยุดให้บริการว่าสาเหตุเกิดจาก "การใช้งานที่เพิ่มขึ้นอย่างไม่คาดคิด" ซึ่ง "ส่งผลให้คอมโพเนนต์ของ Azure Front Door (AFD) และ Azure Content Delivery Network (CDN) ทำงานได้ต่ำกว่ามาตรฐานปกติ ส่งผลให้เกิดข้อผิดพลาดเป็นระยะ ๆ และเกิด timeout และ latency เพิ่มขึ้น
    Microsoft มีแผนที่จะเผยแพร่ผลการตรวจสอบเบื้องต้นหลังเกิดเหตุการณ์ Preliminary Post-Incident Review (PIR) ภายใน 72 ชั่วโมง และการตรวจสอบครั้งสุดท้ายหลังเกิดเหตุภายในสองสัปดาห์ข้างหน้า พร้อมด้วยรายละเอียดเพิ่มเติม และบทเรียนที่ได้รับจากเหตุการณ์ที่เกิดขึ้นในครั้งนี้
    ในเดือนมิถุนายน 2023 Microsoft ยังได้ยืนยันว่ากลุ่มผู้ไม่ประสงค์ดีที่รู้จักกันในชื่อ Anonymous Sudan (Storm-1359) ที่มีความเชื่อมโยงกับรัสเซียได้โจมตี Azure, Outlook และ OneDrive web portals ด้วยการการโจมตีในรูปแบบ Layer 7 DDoS attacks
    รวมถึงเมื่อต้นเดือนที่ผ่านมา ลูกค้า Microsoft 365 หลายหมื่นรายได้รับผลกระทบจากเหตุขัดข้องอีกครั้งเป็นวงกว้าง ซึ่งเกิดจากสิ่งที่ Microsoft อธิบายว่าเป็นการเปลี่ยนแปลงการกำหนดค่าของ Azure
อีกทั้งการหยุดให้บริการครั้งใหญ่ครั้งอื่น ๆ ยังส่งผลกระทบต่อบริการ Microsoft 365 ในเดือนกรกฎาคม 2022 หลังจากการปรับใช้ Enterprise Configuration Service (ECS) ที่มีข้อผิดพลาด และในเดือนมกราคม 2023 หลังจากการเปลี่ยนแปลงของ Wide Area Network IP

ที่ ไม่มีความคิดเห็น:
ป้ายกำกับ: , ,

16/11/2565

KmsdBot มัลแวร์ตัวใหม่ถูกใช้เพื่อ Mining Crypto และ DDoS Attacks


     Malware ที่ได้รับการค้นพบครั้งนี้จะใช้ประโยชน์จากโปรโตคอล Secure Shell (SSH) เพื่อเข้าสู่ระบบเป้าหมายโดยมีเป้าหมายในการ mining cryptocurrency และทำการโจมตีแบบ Distributed Denial-of-Service (DDoS)
    KmsdBot ถูกพบโดยนักวิจัยจาก Akamai Security Intelligence Response Team (SIRT) ซึ่งเป็น Malware ที่ใช้ภาษา Golang โดยกำหนดเป้าหมายไปยังบริษัทต่าง ๆ ตั้งแต่บริษัทเกมไปจนถึงแบรนด์รถหรู และบริษัทรักษาความปลอดภัย
    Malware ได้รับชื่อจากไฟล์ติดตั้งที่ชื่อว่า "kmsd.exe" ซึ่งจะถูกดาวน์โหลดจากเซิร์ฟเวอร์ภายนอกหลังจากที่โจมตีเครื่องเหยื่อได้สำเร็จ ซึ่งมันถูกออกแบบมาเพื่อรองรับระบบต่าง ๆ ได้หลากหลาย เช่น Winx86, Arm64, mips64 และ x86_64


    Akamai กล่าวว่าเป้าหมายแรกของ Malware คือบริษัทเกมชื่อ FiveM ซึ่งเป็น mod สำหรับเกม Grand Theft Auto V ที่อนุญาตให้ผู้เล่นเข้าถึงเซิร์ฟเวอร์ และเล่นตามบทบาทที่กำหนดเองได้ส่วนการโจมตีแบบ DDoS ที่ตรวจพบคือการโจมตีใน Layer 4 และ Layer 7 ซึ่งจะมีการส่งคำขอ TCP, UDP flood หรือ HTTP GET ไปยังเซิร์ฟเวอร์เป้าหมาย
    โดยปัจจุบันผลการวิจัยจาก Kaspersky พบว่ามีการใช้ cryptocurrency miners เพิ่มขึ้นจาก 12% ในไตรมาสแรกของปี 2022 เป็น 17% ในไตรมาสที่ 3 ซึ่งเกือบครึ่งหนึ่งของตัวอย่างที่ถูกวิเคราะห์ หรือประมาณ 48% เป็นการ mining Monero (XMR) โดยประเทศที่เป็นเป้าหมายมากที่สุดในไตรมาสที่ 3 ปี 2022 คือเอธิโอเปีย (2.38%) ซึ่งการทำ mining cryptocurrency เป็นเรื่องผิดกฎหมายของประเทศ, คาซัคสถาน (2.13%) และอุซเบกิสถาน (2.01%) ตามมาเป็นอันดับสองและสาม

ที่ ไม่มีความคิดเห็น:
ป้ายกำกับ: , ,

25/08/2565

WordPress sites hacked with fake Cloudflare DDoS alerts pushing malware

 


ผู้ไม่ประสงค์ดีสร้าง Cloudflare DDoS Protection ปลอม เพื่อหลอกติดตั้ง NetSupport RAT และ Trojan RaccoonStealer

    ในการใช้งานอินเทอร์เน็ตทั่วไป ผู้ใช้งานมักพบกับหน้าจอ DDoS Protection ในการเข้าใช้งานเว็ปไซต์ ซึ่งมันมีหน้าที่สำหรับปกป้องเว็ปไซต์ปลายทางจากการโจมตี เช่น การส่ง Request ปลอมเป็นจำนวนมากที่ทำให้เซิฟเวอร์ล่ม แต่ในปัจจุบัน พบผู้ไม่ประสงค์ดีได้ใช้ประโยชน์จากหน้าจอแสดงผลเหล่านี้เพื่อติดตั้งมัลแวร์

ลักษณะการทำงาน

    เหตุการณ์นี้ค้นพบโดบผู้เชี่ยวชาญจาก Sucuri ซึ่งพบผู้โจมตีได้ทำการแฮ็กเว็ปไซต์ที่เขียนด้วย WordPress เมื่อทำการแฮ็กได้สำเร็จ ผู้โจมตีจะทำการเพิ่มเพย์โหลด JavaScript ลงไป เพื่อแสดงหน้าจอ Cloudflare DDoS Protection ปลอม



    เมื่อผู้ใช้งานเข้าสู่เว็ปไซต์ที่ถูกแฮ็ก จะพบ Pop-Up ขึ้นมาให้คลิกเพื่อข้ามหน้าจอ DDoS Protection เมื่อคลิกจะเป็นการดาวน์โหลดไฟล์ security_install.iso ซึ่ง Cloudflare ปลอมอ้างว่าเป็นโปรแกรมที่จำเป็นในการใช้งานเว็ปไซต์โดยจะมีหน้าต่างให้ใส่รหัส ซึ่งตรงนี้ผู้ใช้งานจำเป็นต้องติดตั้งโปรแกรมที่ดาวน์โหลดมาเพื่อรับรหัส



    ข้างในไฟล์ security_install.iso จะพบไฟล์ที่ชื่อ security_install.exe ซึ่งจริงๆแล้วเป็น Shortcut ที่เรียกใช้คำสั่ง PowerShell จากไฟล์ dbug.txt ที่แนบมาด้วย



    หลังจากผู้ใช้งานติดตั้งไฟล์ จะได้รับได้รหัสปลอมๆ มาสำหรับกรอกบนหน้าจอเพื่่อเข้าสู่เว็ปไซต์ แต่ในเบื้องหลังจะเป็นการติดตั้ง NetSupport RAT ซึ่งเป็นโทรจันสำหรับการเข้าถึงจากระยะไกลที่ใช้กันอย่างแพร่หลายในแคมเปญที่เป็นอันตรายในปัจจุบัน

Attack chain of the fake Cloudflare DDoS protection (Sucuri)

    นอกเหนือจากการติดตั้ง NetSupport RAT แล้ว สคริปต์ที่ทำงานจะดาวน์โหลดโทรจันสำหรับใช้ขโมยรหัสผ่าน Raccoon Stealer มาด้วย ซึ่งจะเปิดใช้งานทันทีหลังติดตั้งเสร็จในเดือนมิถุนายนที่ผ่านมา Raccoon Stealer ได้ทำการอัพเดทเป็น Verson 2.0 ทำให้มันสามารถขโมยข้อมูลที่เป็นรหัสผ่าน, คุกกี้ และบัตรเครดิตที่บันทึกไว้ในเว็ปเบราว์เซอร์ได้ นอกจากนี้ยังสามารถทำการบันทึกภาพหน้าจอของผู้ใช้งานได้อีกด้วย

แนวทางการป้องกัน
  • ผู้ดูแลระบบควรตรวจสอบเว็ปไซต์ของตนอย่างสม่ำเสมอ ว่ามีสคริปต์แปลกปลอมถูกฝังไว้อยู่หรือไม่
  • ผู้ใช้งานอินเทอร์เน็ตสามารถป้องกันได้โดยเปิดใช้งานการบล็อก JavaScript บนเบราว์เซอร์ แต่อย่างไรก็ตาม การเปิดใช้งานอาจส่งผลต่อการทำงานของเว็ปไซต์อื่น ๆ เช่นกัน
  • ควรตรวจสอบไฟล์เสมอก่อนทำการดาวน์โหลดทุกครั้ง นอกจากนี้ยังไม่พบว่ามีไฟล์ ISO ชนิดใดที่เกี่ยวข้องกับขั้นตอนการตรวจสอบ DDoS Protection
WordPress sites hacked with fake Cloudflare DDoS alerts pushing malware
ที่ ไม่มีความคิดเห็น:
ป้ายกำกับ: , ,
สมัครสมาชิก: ความคิดเห็น (Atom)