คำตอบเผยแพร่แล้ว20 แหล่งที่มา
เมื่อโครงสร้างสอดแนมไซเบอร์ซ่อนอยู่ใน Cloudflare
นักวิจัยพบแคมเปญสอดแนมไซเบอร์ที่โจมตีหลายองค์กรในมาเลเซีย โดยใช้โครงสร้างพื้นฐานบน Microsoft Azure และอัปโหลดข้อมูลที่ขโมยได้ไปยังพื้นที่เก็บข้อมูลบน Cloudflare เพื่อซ่อนการขโมยข้อมูล [17] บริการของ Cloudflare เช่น R2, Pages, Workers และ Tunnels ถูกนำไปใช้สร้างโครงสร้างโจมตี เช่น โฮสต์มัลแวร์ หน้า phishing ช่องทาง c...
1.4M0
AI พรอมต์
openai.comCreate a landscape editorial hero image for this Studio Global article: What does the reported cyber espionage campaign against Malaysian organizations reveal about how state-backed threat actors are abusing Clou. Article summary: The Malaysia case shows a broader pattern: state-backed or state-aligned operators are hiding espionage infrastructure inside trusted cloud platforms, using Cloudflare not just as a CDN shield but as storage, app-hosting. Topic tags: general, general web. Reference image context from search candidates: Reference image 1: visual subject "# Malaysia’s digital growth and geopolitics widen cyber attack surface, raising critical infrastructure risks. New data from Cyfirma threat landscape report disclosed that Malaysia" source context "Malaysia's digital growth and geopolitics widen cyber attack surface ..." Reference image 2: visual subject "##### The Latest. A cam
การสอดแนมไซเบอร์กำลังเปลี่ยนรูปแบบอย่างชัดเจน จากเดิมที่ผู้โจมตีต้องตั้งเซิร์ฟเวอร์อันตรายของตัวเอง ปัจจุบันพวกเขาเริ่ม "ซ่อนตัว" อยู่ภายในบริการคลาวด์ที่องค์กรทั่วโลกใช้จริง เช่น Cloudflare
กรณีศึกษาล่าสุดจากแคมเปญโจมตีองค์กรในมาเลเซียแสดงให้เห็นว่า ผู้โจมตีสามารถซ่อนขั้นตอนสำคัญของการโจมตี—ตั้งแต่การควบคุมระบบที่ติดมัลแวร์ไปจนถึงการขโมยข้อมูล—ภายใต้ทราฟฟิก HTTPS ที่ดูเหมือนปกติได้อย่างแนบเนียน
สำหรับทีมรักษาความปลอดภัย นี่ทำให้การตรวจจับยากขึ้นมาก เพราะการเชื่อมต่อไปยัง Cloudflare หรือบริการคลาวด์อื่น ๆ มักถือว่าเป็นทราฟฟิกที่ “เชื่อถือได้” ในระบบเครือข่ายองค์กร
แคมเปญโจมตีในมาเลเซีย: เครื่องมือเฉพาะเป้าหมายและโครงสร้างคลาวด์
นักวิจัยด้านความปลอดภัยพบแคมเปญการบุกรุกที่มุ่งเป้าองค์กรหลายแห่งในมาเลเซีย โดยผู้โจมตีใช้โครงสร้างพื้นฐานที่โฮสต์บน Microsoft Azure ในภูมิภาค Malaysia West
ผู้โจมตีสร้างเครื่องมือ Python แบบเฉพาะสำหรับแต่ละเป้าหมาย เพื่อทำงานหลายอย่างภายในเครือข่าย เช่น
- สำรวจเครือข่ายภายใน
- เข้าถึงฐานข้อมูล
- เตรียมไฟล์ข้อมูลสำหรับขโมยออก
- ส่งข้อมูลออกจากระบบของเหยื่อ
หนึ่งในเครื่องมือสำคัญคือสคริปต์ที่ออกแบบมาเพื่ออัปโหลดข้อมูลที่ขโมยได้ไปยังพื้นที่เก็บข้อมูลบน Cloudflare ซึ่งอยู่ภายใต้บัญชีของผู้โจมตีเอง
ผลลัพธ์คือ การขโมยข้อมูลถูกซ่อนอยู่ในทราฟฟิก HTTPS ปกติที่ดูเหมือนการเชื่อมต่อกับบริการคลาวด์ทั่วไป ทำให้ระบบป้องกันแบบดั้งเดิมตรวจจับได้ยาก
ขั้นตอนของการโจมตีโดยรวมประกอบด้วย
- การสำรวจระบบภายในและเข้าถึงฐานข้อมูล
- การใช้งาน WinRM เพื่อสั่งงานระยะไกล
- การสร้างไฟล์ archive สำหรับข้อมูลที่ถูกขโมย
- การดึงข้อมูล credential จากระบบ Windows
- การสื่อสารกับเซิร์ฟเวอร์ภายนอกผ่าน HTTPS
การใช้บริการคลาวด์ในขั้นตอนสุดท้าย—โดยเฉพาะการส่งข้อมูลออก—ช่วยให้ผู้โจมตีหลบเลี่ยงระบบป้องกันเครือข่ายที่มักบล็อกโดเมนที่ดูน่าสงสัย
Studio Global AI
Search, cite, and publish your own answer
Use this topic as a starting point for a fresh source-backed answer, then compare citations before you share it.
คนยังถาม
คำตอบสั้น ๆ สำหรับ "เมื่อโครงสร้างสอดแนมไซเบอร์ซ่อนอยู่ใน Cloudflare" คืออะไร
นักวิจัยพบแคมเปญสอดแนมไซเบอร์ที่โจมตีหลายองค์กรในมาเลเซีย โดยใช้โครงสร้างพื้นฐานบน Microsoft Azure และอัปโหลดข้อมูลที่ขโมยได้ไปยังพื้นที่เก็บข้อมูลบน Cloudflare เพื่อซ่อนการขโมยข้อมูล [17]
ประเด็นสำคัญที่ต้องตรวจสอบก่อนคืออะไร?
นักวิจัยพบแคมเปญสอดแนมไซเบอร์ที่โจมตีหลายองค์กรในมาเลเซีย โดยใช้โครงสร้างพื้นฐานบน Microsoft Azure และอัปโหลดข้อมูลที่ขโมยได้ไปยังพื้นที่เก็บข้อมูลบน Cloudflare เพื่อซ่อนการขโมยข้อมูล [17] บริการของ Cloudflare เช่น R2, Pages, Workers และ Tunnels ถูกนำไปใช้สร้างโครงสร้างโจมตี เช่น โฮสต์มัลแวร์ หน้า phishing ช่องทาง command‑and‑control และการส่งข้อมูลออกจากเครือข่ายโดยไม่สะดุดตา [20][18][31]
ฉันควรทำอย่างไรต่อไปในทางปฏิบัติ?
รูปแบบนี้สอดคล้องกับแนวโน้มการสอดแนมไซเบอร์ในเอเชียตะวันออกเฉียงใต้ ซึ่งมีกลุ่ม APT เช่น Mustang Panda, APT41 และ Amaranth‑Dragon ที่มุ่งเป้าองค์กรรัฐและโครงสร้างพื้นฐานสำคัญ [2][15][9]
แหล่งที่มา
- oasis-security.ioCustom Attack Tooling Including Undisclosed C2 Infrastructure ...
- dataproof.co.zaThe Unintentional Enabler: How Cloudflare Services are Abused for ...
- dugganusa.comWhy Your Siem Won't See This
- securityweek.comCloudflare Tunnels Abused in New Malware Campaign
- thehackernews.comNew Malware Campaign Uses Cloudflare Tunnels to Deliver RATs ...
Loading comments...
Comments
0 comments