BitSight บริษัทด้านความปลอดภัย ได้ค้นพบ Botnet ที่มีความน่าสนใจซึ่งมีการแพร่กระจายได้อย่างรวดเร็วในชื่อ MyloBot โดยเหยื่อส่วนใหญ่อยู่ในประเทศอินเดีย สหรัฐอเมริกา อินโดนีเซีย และอิหร่าน โดยพบว่ามีเครื่องที่ติด MyloBot เพิ่มเฉลี่ย 50,000 เครื่องต่อวัน ซึ่งพบว่าลดลงจากปี 2020 ที่มีติดเฉลี่ย 250,000 เครื่องต่อวัน
MyloBot Botnet
MyloBot ถูกพบครั้งแรกในปี 2017 แต่ได้ถูกรายงานครั้งแรกโดย Deep Instinct ในปี 2018 โดยมันมีความสามารถในการหลบหลีกการตรวจจับ และทำหน้าที่เป็น downloader ในการดาวน์
โหลดมัลแวร์ รวมไปถึงเพย์โหลดอันตรายอื่น ๆ เข้ามาติดตั้งในเครื่องอีกด้วย
นอกจากนี้ยังพบว่า MyloBot มีขั้นตอนในการโจมตีที่ซับซ้อน เมื่อสามารถแพร่กระจายสู่เครื่องเป้าหมายได้แล้ว ตัวมันเองจะทำการหยุดการทำงานเป็นเวลา 14 วัน เพื่อหลบหลีกการตรวจจับจากระบบรักษาความปลอดภัย ก่อนที่จะพยายามติดต่อเซิร์ฟเวอร์ command-and-control (C2) โดยเปลี่ยนเครื่องที่ถูกโจมตีให้กลายเป็น ‘Proxy Server’ ในการรับคำสั่งควบคุม และสั่งการ จาก C2 server อีกที รวมไปถึงทำการดาวน์โหลด MyloBot payload ที่มีการเข้ารหัสเพื่อเลี่ยงการตรวจจับ
โดยจากการตรวจสอบและวิเคราะห์เพิ่มเติม โดยการ reverse DNS lookup IP ที่ได้ทำการเรียกกลับไปยัง C2 server พบว่า MyloBot อาจมีความเกี่ยวข้องกับแคมเปญการโจมตีของกลุ่ม Hacker ขนาดใหญ่ ซึ่งพบว่า ในปี 2022 MyloBot ได้ทำการส่งจดหมายเรีกค่าไถ่จากเครื่องที่ถูกโจมตีไปในระบบของเหยื่อ โดยเรียกค่าไถ่เป็นมูลค่ากว่า 2,700 ดอลลาร์ ซึ่งต้องจ่ายเป็น Bitcoin
IOC
จากการตรวจสอบและวิเคราะห์ ค้นพบว่า MyloBot Botnet มีการเชื่อมต่อไปยัง proxy service ที่มีชื่อว่า BHProxies
- "clients.bhproxies[.]com"
ที่มา : thehackernews
You must be logged in to post a comment.