นักวิจัยจาก Aqua security บริษัทด้านความปลอดภัยทางไซเบอร์ ได้ค้นพบ Redis database servers กว่า 1,200 เครื่อง ถูกโจมตีและควบคุมโดยมัลแวร์ความสามารถขั้นสูง และมีความซับซ้อนที่ชื่อว่า HeadCrab มาตั้งแต่เดือนกันยายน 2021
ซึ่งการค้นพบนี้เกิดขึ้นสองเดือนภายหลังจากที่ทาง Aqua security ได้ทำการวิเคราะห์
ตัวอย่างมัลแวร์ที่ใช้ภาษา Go ที่ได้ทำการโจมตี Redis Server ในชื่อ Redigo
จากการตรวจสอบพบว่ามี Redis Servers กว่า 1,200 เครื่อง ที่โดนโจมตีและถูกควบคุมไปแล้ว
กระจายอยู่ในหลาย ๆ ประเทศ เช่น จีน มาเลเซีย อินเดีย เยอรมนี สหราชอาณาจักร และสหรัฐอเมริกา โดยขณะนี้ยังไม่สามารถระบุแหล่งที่มาของการโจมตีได้
การโจมตีของ HeadCrab Malware
HeadCrab ได้ถูกออกแบบมาเพื่อโจมตี Redis Server ที่เปิดให้เข้าถึงได้จากอินเทอร์เน็ตโดยเฉพาะ เนื่องจากพบ Redis modules and APIs ที่ถูกออกแบบมาอย่างซับซ้อน โดยที่สามารถหลบหลีกการตรวจจับของอุปกรณ์ป้องกันภัยคุกคามได้ และเมื่อโจมตีเครื่องเป้าหมายได้สำเร็จ
ก็จะทำการเรียกใช้ “SLAVEOF command” ในการเชื่อมต่อเครื่องที่ถูกควบคุมเข้ากับเซิร์ฟเวอร์ของ Hacker เพื่อดาวน์โหลดเพย์โหลดที่เป็นอันตรายต่อไป
นักวิจัยของ Aqua ระบุว่า แม้จะพบว่าเป้าหมายหลักในการโจมตี Redis Servers นั้น คือการใช้ทรัพยากรของเครื่องเพื่อขุด cryptocurrency แต่ก็ยังพบว่ามีเพย์โหลดอันตราย ที่สามารถสั่งรัน shell command, โหลด kernel modules และการขโมยข้อมูลด้วยการสั่งการจากระยะไกลอีกด้วย
การป้องกัน
- ผู้ใช้งานไม่ควรเชื่อมต่อ Redis Server เข้ากับอินเทอร์เน็ตโดยตรง และปิดการใช้งาน "SLAVEOF" หากไม่ได้ใช้งาน
- ควรกำหนดค่าให้ Redis Server สามารถเชื่อมต่อกับโฮสต์ที่เชื่อถือได้เท่านั้น
ที่มา : thehackernews
You must be logged in to post a comment.