แฮ็กเกอร์ฝังมัลแวร์ลงใน FishPig ซึ่งเป็น extensions ยอดนิยมสำหรับใช้งานกับ Magento-WordPress โดยปัจจุบันมีการดาวน์โหลดไปแล้วมากกว่า 200,000 ครั้ง
Magento เป็น open-source สำหรับแพลตฟอร์ม eCommerce ยอดนิยม ที่ใช้สำหรับสร้างร้านค้าออนไลน์ ซึ่งสร้างยอดขายสินค้ามากกว่าหนึ่งหมื่นล้านดอลลาร์ต่อปี
โดยพบว่าแฮ็กเกอร์ได้เข้าควบคุม Server ของ FishPig และได้เพิ่มโค้ดที่เป็นอันตรายลงไปในซอฟต์แวร์ และสามารถเข้าถึงเว็บไซต์สำหรับใช้งานซอฟต์แวร์ดังกล่าว ทำให้เกิดการโจมตีกับผู้ใช้งานในลักษณะ supply-chain attack ได้
นักวิจัยด้านความปลอดภัยจาก Sansec บริษัทที่ให้บริการตรวจสอบช่องโหว่ และมัลแวร์บนระบบ eCommerce ได้ยืนยันว่า FishPig Magento Security Suite และ FishPig WordPress Multisite นั้นถูกฝังมัลแวร์ไว้โดยแฮ็กเกอร์แล้ว
พวกเขาคาดว่า extensions แบบเสียเงินตัวอื่น ๆ จากผู้จัดจำหน่ายรายเดียวกันนั้นก็อาจจะถูกฝังมัลแวร์ไว้เช่นเดียวกัน แต่ extensions แบบฟรีที่อยู่บน GitHub นั้นยังปลอดภัยอยู่
การทำงานของมัลแวร์
แฮ็กเกอร์ได้ฝังโค้ดที่เป็นอันตรายลงในไฟล์ License.php ซึ่งเป็นไฟล์ที่ใช้ตรวจสอบใบอนุญาตสำหรับปลั๊กอินแบบพรีเมียมของ FishPig ซึ่งจะทำการดาวน์โหลด Linux Binary ("lic.bin") จาก server ของ FishPig ("license.fishpig.co.uk")
ไฟล์ Binary นั้นคือ Rekoobe เป็น Remote Access Trojan (RAT) ซึ่งเคยถูกพบจาก 'Syslogk' ซึ่งเป็น rootkit ตัวนึงบน Linux
เมื่อทำงาน Rekoobe จะโหลดการตั้งค่า และลบไฟล์ของมัลแวร์ออกไป จากนั้นจะเลียนแบบชื่อให้เหมือนกับชื่อ service บนระบบเพื่อทำให้มันถูกตรวจจับได้ยากขึ้น
สุดท้าย Rekoobe จะยังไม่ทำอะไร และรอรับคำสั่งจาก command and control (C2) server ซึ่งทางนักวิจัยพบว่าอยู่ที่ IP 46.183.217.2
ทีมนักวิจัยยังไม่พบการกระทำใด ๆ เพิ่มเติม ซึ่งคาดว่าทางแฮ็กเกอร์ที่อยู่เบื้องหลังการโจมตีนี้น่าจะวางแผนที่จะขายข้อมูลสำหรับการเข้าถึงเว็ปไซต์ eCommerce ต่าง ๆ ที่ตกเป็นเหยื่ออยู่
คำแนะนำในการดำเนินการแก้ไข
เว็ปไซต์ที่ได้ทำการติดตั้ง หรืออัปเดตซอฟต์แวร์แบบพรีเมียมจาก FishPig ก่อนวันที่ 19 สิงหาคม 2022 สันนิษฐานได้ว่าถูกแฮ็กเกอร์เข้าควบคุมได้แล้ว และควรดำเนินการดังนี้
- ปิดการใช้งาน extensions ทั้งหมดจาก FishPig
- ติดตั้งซอฟแวร์สำหรับตรวจจับมัลแวร์บน Server
- Restart server ใหม่ เพื่อหยุดการทำงานของ process แปลกปลอมที่อาจแฝงตัวอยู่
- เพิ่ม "127.0.0.1 license.fishpig.co.uk" ไปที่ "/etc/hosts" เพื่อ block การเชื่อมต่อออกไปภายนอก
FishPig ระบุว่ากำลังตรวจสอบผลกระทบจากการถูกโจมตีอยู่ โดยโฆษกของ FishPig ให้ข้อมูลกับ BleepingComputer ว่า แนะนำให้ผู้ใช้งานติดตั้ง extensions ทั้งหมดของ FishPig ใหม่ โดยไม่จำเป็นที่จะต้องอัปเดตเป็นเวอร์ชันล่าสุด เพียงแค่ทำการติดตั้งใหม่ก็จะได้รับ extensions เวอร์ชันที่ปลอดภัย เนื่องจากทาง FishPig ได้ทำการลบโค้ดที่เป็นอันตรายออกไปแล้ว และได้เพิ่มการป้องกันการถูกโจมตีในอนาคตด้วย โดยไฟล์ที่ติดมัลแวร์นั้นมาจาก license.fishpig.co.uk ที่เดียวเท่านั้น ส่วน FishPig.co.uk นั้นไม่ได้รับผลกระทบใด ๆ
ที่มา: bleepingcomputer
You must be logged in to post a comment.