นักวิจัยด้านความปลอดภัยทางไซเบอร์ได้ค้นพบแคมเปญมัลแวร์ใหม่ที่มุ่งเป้าการโจมตีไปยังระบบปฏิบัติการ Linux เพื่อใช้ทำการขุดเหรียญคริปโต และแพร่กระจาย botnet
บริษัทรักษาความปลอดภัยบนคลาวด์ที่ชื่อ Aqua ระบุว่า การกระทำดังกล่าวจะมุ่งเป้าการโจมตีไปที่เซิร์ฟเวอร์ Oracle Weblogic โดยเฉพาะ ซึ่งการโจมตีถูกออกแบบมาเพื่อส่งมัลแวร์ชนิดหนึ่งที่เรียกว่า Hadooken
Assaf Morag นักวิจัยด้านความปลอดภัยระบุว่า "เมื่อ Hadooken ถูกเรียกใช้งาน มันจะปล่อยมัลแวร์ Tsunami และติดตั้งโปรแกรมขุดเหรียญคริปโต"
การโจมตีดังกล่าวจะใช้ประโยชน์จากช่องโหว่ความปลอดภัยที่ถูกเปิดเผยออกสู่สาธารณะ และการตั้งค่าที่ไม่เหมาะสม เช่น การใช้รหัสผ่านที่คาดเดาได้ง่าย ทำให้ได้สิทธิ์การเข้าถึงบนระบบเบื้องต้น และสามารถเรียกใช้โค้ดที่เป็นอันตรายบนระบบที่มีช่องโหว่ได้
การโจมตีนี้สำเร็จได้โดยการส่ง payloads สองชุดที่แทบจะเหมือนกัน ชุดหนึ่งเขียนด้วยภาษา Python และอีกชุดเป็น Shell Script ซึ่งทั้งสองมีหน้าที่ในการดึงมัลแวร์ Hadooken จากเซิร์ฟเวอร์ภายนอก ("89.185.85[.]102" หรือ "185.174.136[.]204")
Morag ระบุว่า "นอกจากนี้ Shell script ยังพยายามวนซ้ำผ่านไดเรกทอรีต่าง ๆ ที่มีข้อมูล SSH (เช่น ข้อมูล credentials ของผู้ใช้, ข้อมูลโฮสต์ และ secrets) และใช้ข้อมูลนี้ทำการโจมตีเซิร์ฟเวอร์ที่เป็นเป้าหมาย"
"จากนั้นมันจะทำการโจมตีต่อไปยังระบบอื่น ๆ ขององค์กร หรืออุปกรณ์อื่นที่เชื่อมต่อกันในระบบเพื่อแพร่กระจายมัลแวร์ Hadooken ต่อไป"
Hadooken ประกอบด้วยสองส่วนคือ โปรแกรมขุดเหรียญคริปโต (cryptocurrency miner) และ botnet สำหรับการโจมตีแบบ Distributed Denial-of-Service (DDoS) ที่เรียกว่า Tsunami (หรือที่รู้จักในชื่อ Kaiten) ซึ่งเคยมีประวัติการโจมตีบริการของ Jenkins และ Weblogic ที่ถูกใช้งานใน Kubernetes clusters
นอกจากนี้ มัลแวร์ยังทำหน้าที่ในการแฝงตัวอยู่บนโฮสต์ โดยการสร้าง cron jobs เพื่อเรียกใช้โปรแกรมขุดเหรียญคริปโตเป็นระยะ ๆ ด้วยความถี่ที่แตกต่างกัน
ความสามารถในการหลบเลี่ยงการตรวจจับของ Hadooken ถูกดำเนินการผ่านการผสมผสานด้วยเทคนิคต่าง ๆ เช่น การใช้ payloads ที่เข้ารหัสด้วย Base64, การวาง payloads ของโปรแกรมขุดเหรียญคริปโตภายใต้ชื่อที่ดูไม่เป็นอันตรายอย่าง "bash" และ "java" เพื่อให้กลมกลืนกับกระบวนการทำงานที่ถูกต้องในระบบ และการลบหลักฐานต่าง ๆ หลังจากการดำเนินการเพื่อซ่อนการโจมตีที่เป็นอันตราย
Aqua ระบุว่าที่อยู่ IP 89.185.85[.]102 ถูกจดทะเบียนในประเทศเยอรมนีภายใต้บริษัทโฮสติ้ง Aeza International LTD (AS210644) โดยรายงานก่อนหน้านี้จาก Uptycs ในเดือนกุมภาพันธ์ 2024 ได้เชื่อมโยง IP นี้กับแคมเปญขุดเหรียญคริปโตของกลุ่ม 8220 ซึ่งใช้ช่องโหว่ใน Apache Log4j และ Atlassian Confluence Server and Data Center
สำหรับที่อยู่ IP ที่สอง 185.174.136[.]204 แม้ว่าปัจจุบันจะไม่มีการใช้งานแล้ว แต่ก็ยังมีความเชื่อมโยงกับ Aeza Group Ltd. (AS216246) อยู่เช่นกัน ตามที่ Qurium และ EU DisinfoLab ระบุในเดือนกรกฎาคม 2024 ว่า Aeza เป็นผู้ให้บริการ hosting ที่มีประสิทธิภาพ ซึ่งมีสำนักงานอยู่ใน Moscow M9 และศูนย์ข้อมูลสองแห่งในแฟรงก์เฟิร์ต
นักวิจัย ระบุว่า "รูปแบบการดำเนินงานของ Aeza และการเติบโตอย่างรวดเร็วของบริษัท สามารถอธิบายได้จากการรับสมัครนักพัฒนารุ่นใหม่ที่เกี่ยวข้องกับผู้ให้บริการ hosting ในรัสเซีย ซึ่งอาจเป็นที่หลบภัยให้แก่เหล่าแฮ็กเกอร์ก็เป็นไปได้"
ที่มา : thehackernews
You must be logged in to post a comment.