เครือข่าย botnet Glassworm ซึ่งมีเป้าหมายโจมตีกลุ่มนักพัฒนาซอฟต์แวร์ผ่าน software supply-chain attacks ถูกทำลายลงแล้วหลังจากที่นักวิจัยได้ takedown C2 infrastructure ซึ่งระบบดังกล่าวอาศัยการทำธุรกรรมบนบล็อกเชน Solana และเครือข่าย BitTorrent DHT ในการทำงาน
ในปฏิบัติการเมื่อวานนี้โดยมีทาง CrowdStrike, Google และ The Shadowserver Foundation ได้ร่วมกันปิดช่องทางการเข้าถึงของผู้ควบคุม botnet ออกจาก C2 ที่แตกต่างกันทั้งสี่ช่องทาง ซึ่งช่องทางเหล่านี้ถูกออกแบบมาเพื่อป้องกันความพยายามในการทำลายระบบในรูปแบบเดิม
แคมเปญการโจมตีของ Glassworm ดำเนินการมาอย่างต่อเนื่องตั้งแต่เดือนตุลาคม 2025 โดยในระยะแรกเริ่มจะมุ่งเป้าไปที่กลุ่มนักพัฒนา ด้วยการใช้ extensions ที่เป็นอันตรายบน OpenVSX และ Microsoft VS Code เพื่อขโมยกระเป๋าเงินคริปโตเคอร์เรนซี รวมถึงข้อมูล credentials ของนักพัฒนา
การโจมตีครั้งต่อมาขยายวงกว้างไปยัง GitHub repositories และแพ็กเกจบน npm โดยมีแคมเปญการโจมตีในเดือนมีนาคม ส่งผลกระทบต่อซอฟต์แวร์มากกว่า 400 รายการ
ในการโจมตีครั้งล่าสุด Glassworm operators ได้แอบฝัง extensions ที่ไม่ได้ใช้งานหลายสิบรายการไว้ใน OpenVSX ซึ่งจะเปิดใช้งาน malicious component หลังจากการอัปเดต
เหตุผลหนึ่งที่ภัยคุกคามจาก Glassworm สามารถอยู่รอดมาได้นานขนาดนี้ คือ C2 infrastructure ของผู้โจมตีจะพึ่งพาช่องทางการสื่อสารที่แตกต่างจากรูปแบบทั่วไปทำให้ยากต่อการสั่งปิด หรือ takedown ระบบลงได้
CrowdStrike ตั้งข้อสังเกตว่า การทำงานร่วมกันระหว่างเทคโนโลยีบล็อกเชน ระบบเครือข่ายแบบ Peer-to-Peer และบริการเว็บทั่วไปที่มีความน่าเชื่อถือถูกนำมาใช้ในลักษณะ resolution layers และถูกออกแบบมาเพื่อให้มีความทนทานต่อการถูก takedown โดยทำหน้าที่เป็นด่านหน้าที่มีความยืดหยุ่น เพื่อป้องกัน C2 servers ซึ่งซ่อนอยู่เบื้องหลังการส่งต่อข้อมูลที่ซับซ้อนหลายชั้น
นักวิจัยระบุว่าผู้สร้าง Glassworm ได้สร้าง infrastructure ขึ้นมาโดยเฉพาะ และการที่จะทำลาย botnet นี้ลงได้ จำเป็นต้องปิดช่องทางการสื่อสารทั้ง 4 ช่องทางพร้อมกัน
1. Solana blockchain: C2 server addresses จะถูกเข้ารหัสไว้ใน memo fields ของธุรกรรมบนบล็อกเชน ทำให้เกิดจุดรับส่งข้อมูลลับที่ไม่สามารถแก้ไขเปลี่ยนแปลงได้ และไม่สามารถปิดระบบได้ด้วยวิธีการทั่วไปตามปกติ
2. BitTorrent Distributed Hash Table (DHT): GlasswormRAT จะส่งคำสั่งไปยังเครือข่าย peer-to-peer ของ BitTorrent เพื่อดึงข้อมูลการตั้งค่า ที่จัดเก็บไว้คู่กับ hardcoded public keys ซึ่งเป็นการใช้ประโยชน์จากเครือข่ายในรูปแบบ no single point of failure
3. Public calendar service: Glassworm ใช้ชื่อ event ใน Google Calendar เป็นจุดส่งข้อมูลลับสำหรับเส้นทาง C2 ที่เข้ารหัสแบบ Base64
4. Direct server connections: โครงสร้างพื้นฐาน C2 แบบดั้งเดิมที่โฮสต์อยู่บนผู้ให้บริการ commercial VPS ทำหน้าที่เป็นกลไกสุดท้ายในการส่งเพย์โหลดขั้นสุดท้าย
เนื่องด้วย architecture แบบนี้ การปิดช่องทางการสื่อสารเพียงช่องทางเดียวจะมีผลกระทบต่อการทำงานของ Glassworm น้อยมาก เนื่องจากสามารถเปลี่ยนไปใช้ช่องทางอื่นได้ ทำให้ผู้โจมตีสามารถควบคุมระบบได้ต่อไป
CrowdStrike ระบุว่า ต้องปิดช่องทางการสื่อสารทั้งสี่ช่องทางพร้อมกันอย่างเป็นระบบ ส่งผลให้เครื่องที่ติดมัลแวร์ไม่สามารถรับคำสั่ง หรือเพย์โหลดใหม่ได้อีกต่อไป
หลังจากปิดช่องทางแล้ว เครื่องทั้งหมดที่ถูกโจมตีด้วย Glassworm จะส่งสัญญาณไปยัง IP 164[.]92[.]88[.]210 ซึ่งควบคุมดูแลโดย CrowdStrike
องค์กรต่าง ๆ ควรตรวจสอบ IOC นี้ภายในเครือข่าย และดำเนินการแก้ไขทันที นอกจากนี้ นักวิจัยยังได้เผยแพร่ YARA rules เพื่อใช้ตรวจสอบ และยืนยันการติดมัลแวร์บนเครื่องโฮสต์ที่ต้องสงสัย
ที่มา : bleepingcomputer
You must be logged in to post a comment.