513/66 (IT) ประจำวันพฤหัสบดีที่ 30 พฤศจิกายน 2566
ช่องโหว่ด้านความปลอดภัยที่ส่งผลกระทบต่อ Apache ActiveMQ ที่ได้เปิดเผยเมื่อเร็ว ๆ นี้ กำลังถูกใช้โจมตีโดยผู้คุกคามเพื่อแพร่กระจายบอตเน็ต Go-based ตัวใหม่ที่เรียกว่า GoTitan รวมถึงโปรแกรม .NET ที่รู้จักกันในชื่อ PrCtrl Rat ซึ่งสามารถควบคุมโฮสต์ที่ติดมัลแวร์จากระยะไกลได้ โดยการโจมตีดังกล่าว เกี่ยวข้องกับการใช้ประโยชน์จากช่องโหว่ในการเรียกใช้โค้ดจากระยะไกล (CVE-2023-46604, คะแนน CVSS: 10.0) ที่ถูกใช้ในการโจมตีโดยกลุ่มแฮกเกอร์ต่าง ๆ รวมถึงกลุ่ม Lazarus ในช่วงไม่กี่สัปดาห์ที่ผ่านมา โดยหลังจากการละเมิดที่ประสบความสำเร็จ พบว่ากลุ่มภัยคุกคามจะปล่อยเพย์โหลดขั้นต่อไปจากเซิร์ฟเวอร์ระยะไกล หนึ่งในนั้นคือ GoTitan ซึ่งเป็นบอตเน็ตที่ออกแบบมาเพื่อจัดการการโจมตีแบบปฏิเสธการให้บริการ (DDoS) แบบกระจายผ่านโปรโตคอล เช่น HTTP, UDP , TCP และ TLS ทั้งนี้ บริษัท Fortinet ยังได้สังเกตพบกรณีที่ เซิร์ฟเวอร์ Apache ActiveMQ ที่มีช่องโหว่กำลังถูกกำหนดเป้าหมายเพื่อปรับใช้บอตเน็ต DDoS อื่นที่เรียกว่า Ddostf มัลแวร์ Kinsing สำหรับ cryptojacking และเฟรมเวิร์กคำสั่งและการควบคุม (C2) ชื่อ Sliver และมัลแวร์ที่โดดเด่นอีกตัวที่ถูกส่งเข้ามาคือโทรจันการเข้าถึงระยะไกลที่เรียกว่า PrCtrl Rat ที่สร้างการติดต่อกับเซิร์ฟเวอร์ C2 เพื่อรับคำสั่งเพิ่มเติมสำหรับการดำเนินการบนระบบ เช่นการรวบรวมไฟล์ข้อมูล และดาวน์โหลดและอัปโหลดไฟล์จากเซิร์ฟเวอร์ อีกด้วย
แหล่งข่าว https://thehackernews.com/2023/11/gotitan-botnet-spotted-exploiting.html
