แจ้งเตือนมัลแวร์ Monero Miner ยอดดาวโหลดจากในไทยสูงกว่า 3 ล้านครั้ง

สรุปย่อ

ทีมนักวิจัยด้านความปลอดภัย Unit 42 จาก Palo Alto Networks ได้ประกาศสถิติการแพร่กระจายของมัลแวร์ประเภท miner ซึ่งพุ่งเป้าไปที่การสร้างผลกำไรในสกุลเงินออนไลน์แบบเสมือนย้อนหลัง 4 เดือน โดยพบว่ายอดดาวโหลดไฟล์โปรแกรมของมัลแวร์ประเภทดังกล่าวในอันดับที่ 1 นั้นมีที่มาจากประเทศไทยกว่า 3,500,000 ครั้ง และมากกว่าอันดับ 2 เกือบเท่าตัว

จำนวนการดาวโหลดไฟล์โปรแกรมของมัลแวร์ (ภาพจากบทความ Large Scale Monero Cryptocurrency Mining Operation using XMRig)

ทีมตอบสนองการโจมตีและภัยคุกคามจากบริษัทขอแนะนำให้ทำการตรวจสอบการแพร่กระจายของมัลแวร์ตามคำแนะนำในหัวข้อ
"ขั้นตอนแนะนำในการจัดการกับภัยคุกคาม" ด้านล่างโดยด่วนที่สุด

ทำความรู้จักกับภัยคุกคามประเภทมัลแวร์ขุดบิทคอยน์

กระบวนการหนึ่งที่สำคัญของระบบเงินแบบไม่มีศูนย์กลาง (decentralized system) คือการที่ผู้ใช้งานในระบบนั้นมีหน้าที่ในการช่วยกันตรวจสอบธุรกรรมที่เกิดขึ้นว่าถูกต้องหรือไม่ และเพื่อจูงใจให้เกิดการตรวจสอบต่อไปเรื่อยๆ ผู้ที่ช่วยในการตรวจสอบธุรกรรมก็จะได้รับ "ผลตอบแทน" นั้นเป็นรางวัล กระบวนการที่ผู้ใช้งานช่วยกันพิสูจน์ความถูกต้องของธุรกรรมนั้นถูกเรียกชื่อตามวิธีการว่า mining

ชุดของคอมพิวเตอร์เฉพาะที่ถูกพัฒนาเพื่อการ mining

อย่างไรก็ตามการ mining เพื่อให้ได้ผลตอบแทนนั้นแท้จริงเปรียบเสมือนกับการแก้ปัญหาโจทย์ทางคณิตศาสตร์รูปแบบหนึ่งที่เป็นงานที่คอมพิวเตอร์ถนัด การแย่งชิงเพื่อให้สามารถแก้โจทย์ปัญหาได้ก่อนจึงเกิดขึ้นในรูปแบบของการทุ่มพลังในการประมวลผลของคอมพิวเตอร์หลายสิบหรือหลายร้อยเครื่องเพื่อแข่งขันกันว่าผู้ใดจะได้ "คำตอบที่ถูกต้อง" หรือ "ผลตอบแทน" ก่อนกัน

แน่นอนว่าทุกๆ คนนั้นอยากเป็นผู้ชนะ และชัยชนะที่มาพร้อมกับผลตอบแทนมูลค่าสูงย่อมทำให้เกิดการแข่งขันที่สกปรก ผู้ประสงค์ร้ายหรือแฮกเกอร์จึงอาศัยการโจมตีช่องโหว่ของระบบคอมพิวเตอร์ต่างๆ เพื่อแพร่กระจายโปรแกรมสำหรับ mining ซึ่งเมื่อเริ่มทำงานแล้ว โปรแกรม mining จะดึงทรัพยากรของระบบคอมพิวเตอร์ทั้งหมดเพื่อใช้ในการกระบวนการ mining โดยมีปลายทางเพื่อสร้างผลตอบแทนให้กับเจ้าของกระเป๋าหรือเจ้าของบัญชีที่ควบคุมมัลแวร์ให้มากที่สุด

การแพร่กระจายของมัลแวร์ขุดบิทคอยน์

สำหรับมัลแวร์ miner ซึ่งพุ่งเป้าไปที่สกุลเงิน Monero นั้น ทีม Unit 42 ได้ทำการสรุปวิธีการที่ผู้ประสงค์ร้ายใช้ในการแพร่กระจายมัลแวร์ซึ่งมีความแตกต่างกันตามช่วงเวลาตามรายละเอียดดังนี้

ผู้ใช้งานมีการแจ้งถึงพฤติกรรมที่ปกติจากบริการของ Adf.ly

ในส่วนของการดาวโหลดและติดตั้งตัวเองนั้น ผู้ประสงค์ร้ายได้มีการใช้งานบริการ Adf.ly ซึ่งเป็นบริการประเภท "จ่ายเงินตามจำนวนการคลิกลิงค์" โดยเมื่อผู้ใช้งานมีการเข้าลิงค์จาก Adf.ly นั้น ผู้ใช้งานกลับถูกรีไดเร็คหรือเปลี่ยนเส้นทางไปยังเว็บไซต์ของผู้ประสงค์ร้ายซึ่งทำการดาวโหลดไฟล์ของมัลแวร์ miner

เมื่อผู้ใช้งานเริ่มการทำงานของไฟล์ของมัลแวร์ miner นั้น มัลแวร์จะเริ่มทำการดาวโหลดโปรแกรม miner จริงๆ ที่จะใช้ในการ mining มาติดตั้งลงบนระบบของผู้ใช้งาน ทีม Unit 42 ตรวจพบการใช้งานเครื่องมือของระบบปฏิบัติการ BITSAdmin เพื่อช่วยในการดาวโหลดมัลแวร์ด้วย

ขั้นตอนและพฤติกรรมการดาวโหลดมัลแวร์โดยใช้โปรแกรม BITSAdmin (ภาพจาก Large Scale Monero Cryptocurrency Mining Operation using XMRig)

ขั้นตอนการดาวโหลดมัลแวร์ในรุ่นต่อมาซึ่งมีการใช้การเปลี่ยนเส้นทางไปยังเว็บไซต์ต่างๆ ก่อนจะถึงเว็บไซต์ที่เปิดให้ดาวโหลดมัลแวร์จริง (Large Scale Monero Cryptocurrency Mining Operation using XMRig)

ขั้นตอนแนะนำในการจัดการกับภัยคุกคาม

  • มัลแวร์จะมีการใช้พร็อกซี่ของ XMRig เพื่อติดต่อ ให้ผู้ดูแลระบบตรวจสอบการเชื่อมต่อที่มีปลายทางตามรายการของหมายเลขไอพีแอดเดรสด้านล่างว่ามีการเชื่อมต่อในลักษณะที่ตรงกันหรือไม่
    • 5.101.122[.]228:8080
    • 5.23.48[.]207:7777
    • 144.76.201[.]175:80
    • 144.76.201[.]175:8080
    • f.pooling[.]cf:80
    • f.pooling[.]cf:80
    • b.pool[.]gq:80
    • a.pool[.]ml:8080
    • a.pool[.]ml:123
    • a.pool[.]ml:443
    • a.pool[.]ml:8443
    • a.pool[.]ml:80
    • a.pool[.]ml:1725
  • การดาวโหลดมัลแวร์มีการใช้บริการย่อลิงค์เพื่อปกปิดปลายทางและช่วยในการเปลี่ยนแปลงเส้นทาง ให้ผู้ดูแลระบบตรวจสอบการเชื่อมต่อที่มีปลายทางตามรายการของ URL ด้านล่างว่ามีการเชื่อมต่อในลักษณะที่ตรงกันหรือไม่
    • hxxp://bit[.]ly/2j3Yk8p
    • hxxp://bit[.]ly/2hxuusK
    • hxxp://bit[.]ly/2C7caP6
    • hxxp://bit[.]ly/HSGADGFDS
    • hxxp://bit[.]ly/2yV0JNa
    • hxxp://bit[.]ly/2Algzhc
    • hxxp://bit[.]ly/2zA08wz
    • hxxp://bit[.]ly/2hcsSUN
    • hxxp://bit[.]ly/2hr6KGb
    • hxxp://bit[.]ly/2xOVfPH
    • hxxp://bit[.]ly/2BoFNMr
    • hxxp://bit[.]ly/2xlWVQl
    • hxxp://bit[.]ly/2kEApR6
    • hxxp://bit[.]ly/2AkVK8t
    • hxxp://bit[.]ly/2yyUhLX
    • hxxp://bit[.]ly/2AkyUvs
    • hxxp://bit[.]ly/2zXRI6r
    • hxxp://bit[.]ly/2jjXmbJ
    • hxxp://bit[.]ly/2hzW6Rb
    • hxxp://bit[.]ly/2mkHzdP
    • hxxp://bit[.]ly/FSJKHJK
    • hxxp://bit[.]ly/2gB0ZW0
    • hxxp://bit[.]ly/2ixSCPu
    • hxxp://bit[.]ly/FSFSAASA
    • hxxp://bit[.]ly/2A5rxKB
    • hxxp://bit[.]ly/2xbUmjC
    • hxxp://bit[.]ly/2EHv415
    • hxxp://bit[.]ly/2Aq3gja
    • hxxp://bit[.]ly/2Bhr1tv
    • hxxp://bit[.]ly/2ynGl7o
    • hxxp://bit[.]ly/SOURCETXT
    • hxxp://bit[.]ly/2zGXAQx
    • hxxp://bit[.]ly/2hEhF3i
    • hxxp://bit[.]ly/2y3iGnG
    • hxxp://bit[.]ly/2ic2mvM
    • hxxp://bit[.]ly/2itoMrG
    • hxxp://bit[.]ly/2yvqOSU
    • hxxp://bit[.]ly/2zCj1n2
    • hxxp://bit[.]ly/2jEqYks
  • หากมีการตรวจเจอระบบที่มีการติดต่อไปยังหมายเลขไอพีแอดเดรสหรือ URL ซึ่งปรากฎตามรายการด้านบน ทีมตอบสนองการโจมตีและภัยคุกคามขอแนะนำให้ทำการใช้โปรแกรมป้องกันมัลแวร์ที่มีการอัปเดตฐานข้อมูลของมัลแวร์เป็นรุ่นล่าสุดเพื่อทำการค้นหาและนำมัลแวร์ออกจากระบบ รวมไปถึงตรวจสอบการมีอยู่ของโปรแกรมซึ่งโดยทั่วไปจะถูกติดตั้งอยู่ที่พาธ %AppData% ควบคู่ไปด้วย