Threat Actors Attacking Systems with 240+ Exploits Before Ransomware Deployment

ผู้โจมตีรายเดียวได้ดำเนินการสแกนระบบที่เชื่อมต่ออินเทอร์เน็ตอย่างกว้างขวางระหว่างวันที่ 25-28 ธันวาคม โดยใช้ช่องโหว่กว่า 240 รายการเพื่อระบุจุดอ่อนก่อนการโจมตีด้วยแรนซัมแวร์ การดำเนินการสอดแนมนี้มาจากสองที่อยู่ IP ที่เชื่อมโยงกับ CTG Server Limited (AS152194) และเป็นวิธีการใหม่ที่ซับซ้อนในการเข้าถึงเริ่มต้นสำหรับการปฏิบัติการแรนซัมแวร์ ผู้โจมตีได้ตรวจสอบเป้าหมายอย่างเป็นระบบในช่วงเวลาวันหยุดที่ทีมรักษาความปลอดภัยอาจลดลง เพื่อสร้างรายการระบบที่อ่อนแอ ซึ่งคาดว่าจะถูกนำไปใช้ในการโจมตีตลอดปี 2026 นี้

Severity: สูง

System Impact:

• ระบบที่เชื่อมต่ออินเทอร์เน็ต (Internet-facing systems)
• เครือข่ายขององค์กร (Organizational networks)

Technical Attack Steps:

1. 1. ผู้โจมตีรายเดียวดำเนินการสแกนระบบที่เชื่อมต่ออินเทอร์เน็ตอย่างกว้างขวางระหว่างวันที่ 25-28 ธันวาคม
2. 2. ใช้ที่อยู่ IP สองแห่งที่เชื่อมโยงกับ CTG Server Limited (134.122.136.119 และ 134.122.136.96)
3. 3. ทดสอบช่องโหว่กว่า 240 รายการ โดยแต่ละระบบถูกตรวจสอบด้วย Exploit 11 ประเภท ในช่วง 1-5 วินาที
4. 4. ใช้เครื่องมือสแกนช่องโหว่ Nuclei และแพลตฟอร์ม Interactsh ของ ProjectDiscovery (OAST subdomains) เพื่อระบุช่องโหว่และเก็บข้อมูลเป้าหมาย
5. 5. รวบรวมข้อมูลเกี่ยวกับเป้าหมายที่พบช่องโหว่ เพื่อนำไปสร้างแค็ตตาล็อกระบบที่อ่อนแอสำหรับขายให้กับกลุ่มแรนซัมแวร์ (Initial Access Brokers – IABs)

Recommendations:

Short Term:

• ตรวจสอบบันทึก (logs) ของระบบย้อนหลังในช่วงวันที่ 25-28 ธันวาคม เพื่อหาการเชื่อมต่อไปยัง IP Address ที่น่าสงสัย (134.122.136.119 และ 134.122.136.96)
• ตรวจสอบการสอบถาม DNS (DNS queries) ไปยังโดเมน OAST ที่เกี่ยวข้อง (เช่น oast.pro, oast.site, oast.me, oast.online, oast.fun, oast.live)
• หากพบการเชื่อมต่อหรือการสอบถามที่ตรงกัน ให้สันนิษฐานว่าเครือข่ายมีช่องโหว่และข้อมูลดังกล่าวอาจถูกขายในตลาดมืดแล้ว

Long Term:

• เสริมสร้างมาตรการรักษาความปลอดภัยของระบบที่เชื่อมต่ออินเทอร์เน็ต (Internet-facing systems)
• ดำเนินการประเมินช่องโหว่และทดสอบการเจาะระบบ (Vulnerability Assessment and Penetration Testing) อย่างสม่ำเสมอ
• ปรับปรุงการป้องกันการตรวจจับ (Detection Evasion) เพื่อรับมือกับเทคนิคการสแกนขั้นสูง
• พิจารณาการใช้บริการ DNS Filtering ที่มีประสิทธิภาพเพื่อบล็อกการเข้าถึงโดเมนที่เกี่ยวข้องกับการโจมตี

Source: https://cybersecuritynews.com/ransomware-deployment/