บอตเน็ต AISURU/Kimwolf ได้เปิดฉากการโจมตีแบบ Distributed Denial-of-Service (DDoS) ที่ทำลายสถิติสูงสุดถึง 31.4 เทราไบต์ต่อวินาที (Tbps) และกินเวลาเพียง 35 วินาที โดยเหตุการณ์นี้เกิดขึ้นในไตรมาสที่ 4 ของปี 2025 ท่ามกลางการเพิ่มขึ้นอย่างรวดเร็วของเหตุการณ์ DDoS และขนาดของบอตเน็ตที่ใหญ่ขึ้น โดยมีการใช้ประโยชน์จากอุปกรณ์ Android ที่ถูกบุกรุกเป็นจำนวนมาก Cloudflare ตรวจจับและบรรเทาการโจมตีนี้ได้โดยอัตโนมัติ และระบุว่าการโจมตีประเภท hyper-volumetric HTTP DDoS กำลังเพิ่มสูงขึ้นอย่างมีนัยสำคัญ
Severity: วิกฤต
System Impact:
- บริการเว็บไซต์และโครงสร้างพื้นฐานออนไลน์ที่ตกเป็นเป้าหมายของการโจมตี DDoS
- อุปกรณ์ Android (โดยเฉพาะ Android TV ที่ไม่ใช่แบรนด์หลัก) ที่ถูกบุกรุกและกลายเป็นส่วนหนึ่งของบอตเน็ต
- ระบบปฏิบัติการ Windows ที่ติดมัลแวร์ผ่านไบนารีที่ปลอมตัวเป็นโปรแกรมอัปเดต
- เครือข่ายพร็อกซีที่อยู่อาศัย (Residential proxy networks) เช่น IPIDEA ที่ใช้ในการปกปิดกิจกรรมบอตเน็ต
- บริการคลาวด์และโครงสร้างพื้นฐานด้านความปลอดภัยทางไซเบอร์ที่ต้องรับมือกับปริมาณการโจมตีที่สูงมาก
Technical Attack Steps:
- บอตเน็ต AISURU/Kimwolf ได้ทำการบุกรุกอุปกรณ์ Android จำนวนมาก (โดยเฉพาะ Android TV ที่ไม่ใช่แบรนด์หลัก) และระบบ Windows ผ่านแอปพลิเคชันและไบนารีที่ถูกฝังมัลแวร์ (trojanized apps/binaries)
- อุปกรณ์ที่ถูกบุกรุกเหล่านี้จะถูกเปลี่ยนให้เป็นโหนดพร็อกซี (proxy exit nodes) โดยไม่ได้รับความยินยอมจากผู้ใช้ และกลายเป็นส่วนหนึ่งของบอตเน็ตขนาดใหญ่
- บอตเน็ตดังกล่าว (ซึ่งมักใช้ประโยชน์จากเครือข่ายพร็อกซีที่อยู่อาศัย เช่น IPIDEA) จะเปิดฉากการโจมตีแบบ Distributed Denial-of-Service (DDoS) ในรูปแบบ HTTP ที่มีปริมาณสูงมาก (hyper-volumetric HTTP DDoS attacks)
- มีการโจมตีที่ทำลายสถิติด้วยปริมาณสูงสุด 31.4 Tbps ภายใน 35 วินาที และยังมีแคมเปญอื่น ๆ ที่มีปริมาณสูงสุดถึง 24 Tbps
- Cloudflare ได้ตรวจจับและบรรเทาการโจมตีเหล่านี้โดยอัตโนมัติ ในขณะที่ Google ร่วมกับ Cloudflare ได้ทำการขัดขวางการแก้ไขโดเมนของ IPIDEA และดำเนินการทางกฎหมายเพื่อล้มล้างโครงสร้างพื้นฐานของเครือข่ายพร็อกซีนี้
Recommendations:
Short Term:
- องค์กรควรประเมินกลยุทธ์การป้องกัน DDoS ของตนใหม่ โดยเฉพาะอย่างยิ่งหากยังคงพึ่งพาอุปกรณ์บรรเทาบนสถานที่ (on-premise mitigation appliances) หรือศูนย์กำจัดทราฟฟิกตามความต้องการ (on-demand scrubbing centers) เนื่องจากความซับซ้อนและขนาดของการโจมตีที่เพิ่มขึ้น
- ผู้ใช้ควรระมัดระวังเป็นพิเศษในการติดตั้งแอปพลิเคชัน Android และซอฟต์แวร์ Windows โดยดาวน์โหลดจากแหล่งที่เชื่อถือได้เท่านั้น เพื่อหลีกเลี่ยงการติดตั้งเวอร์ชันที่ถูกฝังมัลแวร์
- องค์กรควรเฝ้าระวังและตรวจสอบรูปแบบการรับส่งข้อมูลเครือข่ายอย่างใกล้ชิด เพื่อตรวจจับกิจกรรมที่ผิดปกติที่บ่งชี้ถึงการโจมตี DDoS หรือการเป็นส่วนหนึ่งของบอตเน็ต
Long Term:
- ใช้มาตรการรักษาความปลอดภัยที่แข็งแกร่งสำหรับอุปกรณ์ Android และระบบ Windows รวมถึงการติดตั้งโซลูชันป้องกันไวรัส/มัลแวร์ที่มีชื่อเสียงและการอัปเดตซอฟต์แวร์เป็นประจำ
- นำบริการบรรเทา DDoS ขั้นสูงมาใช้ ซึ่งสามารถรับมือกับการโจมตีที่มีปริมาณสูงมากและมีความซับซ้อน
- ส่งเสริมความตระหนักรู้แก่ผู้ใช้เกี่ยวกับความเสี่ยงของการติดตั้งแอปพลิเคชันจากแหล่งที่ไม่น่าเชื่อถือ และความสำคัญของการตรวจสอบสิทธิ์ที่แอปพลิเคชันร้องขออย่างละเอียด
- สนับสนุนและติดตามข่าวสารเกี่ยวกับความพยายามของนักวิจัยด้านความปลอดภัยและหน่วยงานบังคับใช้กฎหมายในการขัดขวางโครงสร้างพื้นฐานของบอตเน็ตและเครือข่ายพร็อกซีที่อยู่อาศัย
Source: https://thehackernews.com/2026/02/aisurukimwolf-botnet-launches-record.html
Share this content: