พบการโจมตีใหม่ที่มุ่งเป้าหมายเป็น Linux SSH servers ที่มีการจัดการที่ไม่รัดกุม โดยการใช้ Malware ที่ชื่อว่า ShellBot
AhnLab (ASEC) ระบุในรายงานว่า "ShellBot หรือที่เรียกว่า PerlBot เป็นมัลแวร์รูปแบบ DDoS Bot ที่ถูกพัฒนาขึ้นด้วยภาษา Perl และใช้โปรโตคอล IRC เพื่อสื่อสารกับ C2 Server"
ShellBot ถูกติดตั้งบนเซิร์ฟเวอร์ที่มีข้อมูล credentials ที่ไม่รัดกุม หลังจากที่ผู้ไม่หวังดีใช้มัลแวร์สแกนเพื่อค้นหาพอร์ต 22 (SSH) ที่ตั้งค่าเปิดใช้งานให้เข้าถึงได้จากอินเทอร์เน็ต
SSH servers จะถูกโจมตีด้วยวิธีการเดารหัสผ่าน (Dictionary Attack) เพื่อพยายามเข้าถึงเซิร์ฟเวอร์ และติดตั้งเพย์โหลดที่เป็นอันตราย หลังจากนั้นผู้โจมตีจะใช้โปรโตคอล Internet Relay Chat (IRC) เพื่อติดต่อสื่อสารกับ C2 Server
ShellBot สามารถรับคำสั่งเพื่อดำเนินการโจมตีแบบ DDoS และสามารถขโมยข้อมูลออกไปยัง C2 Server ได้
ASEC ระบุว่า "ShellBot มีทั้งหมด 3 เวอร์ชัน คือ LiGhT's Modded perlbot v2, DDoS PBot v2.0, และ PowerBots (C) GohacK ซึ่ง 2 เวอร์ชันแรกมีคำสั่งสำหรับการโจมตีแบบ DDoS ที่ใช้งานได้หลากหลายโปรโตคอล เช่น HTTP, TCP และ UDP"
PowerBots มีความสามารถที่คล้ายกับ backdoor มากขึ้น ในการให้สิทธิ์การเข้าถึงแบบ reverse shell และอัปโหลดไฟล์ที่ต้องการจากผู้ไม่หวังดี
การโจมตีนี้ถูกพบเมื่อ 3 เดือนที่ผ่านมา ภายหลังจากที่ ShellBot ถูกใช้ในการโจมตีเว็บเซิร์ฟเวอร์ Linux และแพร่กระจายมัลแวร์ขุดเหรียญ cryptocurrency ผ่านทาง shell script
ASEC ระบุว่า "หาก ShellBot ถูกติดตั้งบนเซิร์ฟเวอร์ Linux จะสามารถถูกนำมาใช้เป็น DDoS Bot สำหรับการโจมตีแบบ DDoS กับเป้าหมายเฉพาะ หลังได้รับคำสั่งจากผู้ไม่หวังดี นอกจากนั้นยังสามารถใช้เป็น backdoor เพื่อติดตั้งมัลแวร์อื่น ๆ หรือการโจมตีในรูปแบบต่าง ๆ จาก C2 Server ได้"
การพัฒนาดังกล่าวยังเกิดขึ้นเมื่อ Microsoft เปิดเผยจำนวนการโจมตี DDoS ที่มุ่งเป้าหมายเป็นองค์กรด้านสุขภาพที่มีการเก็บข้อมูลใน Azure โดยการโจมตีเพิ่มขึ้นจาก 10-20 ครั้งในเดือนพฤศจิกายน 2022 ไปจนถึง 40-60 ครั้งต่อวันในช่วงเดือนกุมภาพันธ์ 2023
ที่มา : thehackernews
You must be logged in to post a comment.