กลุ่ม Diicot เพิ่มความสามารถของ Cayosin Botnet จาก Cryptojacking สู่ DDoS attack

นักวิจัยด้าน Cybersecurity ค้นพบ Payload ที่ไม่เคยถูกพบมาก่อน ซึ่งเกี่ยวข้องกับกลุ่มผู้โจมตีชาวโรมาเนียที่มีชื่อว่า Diicot ซึ่งสามารถนำมาใช้โจมตีในรูปแบบ Distributed Denial-of-Service (DDoS) ได้

นักวิจัยจาก Cado Security ระบุว่า "ชื่อ Diicot มาจากชื่อของหน่วยงานด้านอาชญากรรม และต่อต้านการก่อการร้ายในโรมาเนีย ซึ่งหลักฐานจากการดำเนินงานของกลุ่มนี้ประกอบไปด้วยข้อความ และภาพที่เกี่ยวข้องกับองค์กรดังกล่าว"

Diicot (née Mexals) ถูกพบครั้งแรกโดย Bitdefender ในเดือนกรกฎาคม 2021 ซึ่งผู้โจมตีใช้เครื่องมือ SSH brute-forcer ที่ใช้ภาษา Go โดยเรียกเครื่องมือนี้ว่า Diicot Brute เพื่อเจาะเข้าสู่ host ของ Linux ซึ่งเป็นส่วนหนึ่งของแคมเปญ cryptojacking

ในเดือนเมษายนที่ผ่านมา บริษัท Akamai ระบุว่าเป็นการกลับมาอีกครั้งของแคมเปญการโจมตีในปี 2021 ซึ่งเชื่อว่าเริ่มต้นขึ้นประมาณเดือนตุลาคม 2022 โดยสร้างรายได้ให้กับผู้โจมตีไปแล้วประมาณ 10,000 ดอลลาร์สหรัฐ

Stiv Kupchik นักวิจัยจาก Akamai ระบุว่า "ผู้โจมตีเคยใช้ Payload การโจมตีแบบต่อเนื่องเพื่อติดตั้ง Monero cryptominer ซึ่งความสามารถใหม่ในครั้งนี้ ได้แก่ การใช้ Secure Shell Protocol (SSH) ในรูปแบบ worm module, การปกปิดการทำงานของ Payload ที่ดีขึ้น และ LAN spreader module รูปแบบใหม่"

การวิเคราะห์ล่าสุดจาก Cado Security แสดงให้เห็นว่ากลุ่มผู้โจมตีนี้กำลังใช้งาน Botnet ชนิดที่หาได้ง่าย และพร้อมใช้งานที่ชื่อว่า Cayosin ซึ่งเป็นตระกูลมัลแวร์ที่มีลักษณะคล้ายกับ Qbot และ Mirai

โดยการพัฒนาในรูปแบบนี้เป็นสัญญาณว่ากลุ่มผู้โจมตีจะมีความสามารถในการโจมตีแบบ DDoS ได้ด้วย ซึ่งพฤติกรรมอื่น ๆ ที่กลุ่มนี้ดำเนินการได้ รวมถึงการเปิดเผยข้อมูลส่วนตัวของกลุ่ม Hacker คู่แข่ง และการใช้แอปพลิเคชัน Discord เพื่อรับส่งคำสั่ง และขโมยข้อมูลจากเครื่องของเหยื่อ

แคมเปญการโจมตีใหม่นี้มุ่งเป้าหมายที่เป็น Router ที่ใช้ระบบปฏิบัติการ Linux-based สำหรับ embedded devices ด้วยโอเพนซอร์ซอย่าง OpenWrt ซึ่งการนำ Cayosin มาใช้ แสดงให้เห็นถึงความตั้งใจของ Diicot ที่จะทำการโจมตีด้วยรูปแบบที่หลากหลาย (ไม่ใช่แค่ cryptojacking) ขึ้นอยู่กับประเภทของเป้าหมายที่พวกเขาพบ

โดยขั้นตอนในการโจมตีของ Diicot ยังคงสอดคล้องกับรูปแบบเดิม โดยมักใช้เครื่องมือ SSH brute-forcing ที่ปรับเเต่งขึ้นมาเองในการเข้าถึงระบบ และแพร่กระจาย malware เพิ่มเติม เช่น Mirai variant และ crypto miner

เครื่องมืออื่น ๆ ที่ใช้โดยผู้โจมตีมีดังนี้

Chrome - เป็นเครื่องมือสแกนจากอินเทอร์เน็ตที่ใช้เทคโนโลยี Zmap ซึ่งสามารถเขียนผลลัพธ์ของการทำงานลงในไฟล์ข้อความ ("bios.

พบการโจมตีแบบ Cryptojacking รูปแบบใหม่ มุ่งเป้าไปที่ Kubernetes Clusters เพื่อขุดเหรียญ Dero

นักวิจัยด้านความปลอดภัยทางไซเบอร์ได้พบแคมเปญการโจมตีเพื่อขุดเหรียญ cryptocurrency สำหรับเหรียญ Dero เป็นครั้งแรกตั้งแต่เดือนกุมภาพันธ์ 2023

CrowdStrike รายงานว่า "การดำเนินการ Cryptojacking ของเหรียญ Dero นี้มุ้งเน้นไปที่การค้นหา Kubernetes clusters ที่มีการเปิดใช้งานแบบไม่ระบุตัวตน ที่เปิดใช้งานบน Kubernetes API และเปิดใช้งานพอร์ตที่ไม่ได้มาตรฐานที่สามารถเข้าถึงได้จากอินเทอร์เน็ต"

การพัฒนานี้เป็นการเปลี่ยนแปลงที่สำคัญจาก Monero ซึ่งเป็นสกุลเงินดิจิทัลที่พบบ่อยในแคมเปญการโจมตีเพื่อขุดเหรียญ cryptocurrency มีความเป็นไปได้ว่าสาเหตุเนื่องมาจาก Dero มีผลตอบแทนที่สูง และมีฟีเจอร์ที่ไม่ระบุตัวตนที่เหมือนกัน หรือดีกว่า Monero

การโจมตีนี้มาจากผู้ไม่หวังดีที่มีแรงจูงใจทางด้านการเงิน โดยการโจมตีจะเริ่มต้นด้วยการสแกนหา Kubernetes clusters ที่ตั้งค่าการตรวจสอบสิทธิ์เป็น '--anonymous-auth=true' ซึ่งอนุญาตให้ส่งคำขอแบบไม่ระบุตัวตนไปยังเซิร์ฟเวอร์ เพื่อฝัง payloads ที่เป็นอันตราย โดยมีต้นทางเป็น IP Address จาก 3 แห่งในสหรัฐฯ

การโจมตีนี้รวมถึงการติดตั้ง Kubernetes DaemonSet ชื่อ 'proxy-api' ซึ่งจะถูกใช้ในการฝัง pod ที่เป็นโปรแกรมควบคุมทุก ๆ Node ของ Kubernetes cluster เพื่อเริ่มต้นการขุดเหรียญ cryptocurrency

เพื่อให้เกิดผลเช่นนั้น ไฟล์ YAML ของ DaemonSet จะถูกสั่งให้รัน Docker image ที่มีไฟล์ไบนารีชื่อ 'pause' ซึ่งเป็นโปรแกรมสำหรับขุดเหรียญ Dero

ในการติดตั้ง Kubernetes ที่ถูกต้อง 'pause' containers จะถูกใช้โดย Kubernetes เพื่อทำการบูต pod โดยทางบริษัทระบุว่า "ผู้ไม่หวังดีอาจจะใช้ชื่อนี้เพื่อแฝงตัวเข้ากับระบบ และหลีกเลี่ยงการตรวจจับ

CrowdStrike ระบุว่าตรวจพบการโจมตีที่เหมือนกันนี้ในการขุดเหรียญ Morero ด้วยการโจมตี Kubernetes clusters โดยพยายามลบ "proxy-api" DaemonSet ที่เกี่ยวข้องกับการโจมตีเพื่อขุดเหรียญ Dero

โดยเป็นสัญญาณให้เห็นถึงการโจมตีเพื่อแย่งชิงระหว่างกลุ่มที่มีเจตนาสำหรับการ Cryptojacking ซึ่งแข่งขันกันเพื่อใช้ทรัพยากรบนคลาวด์ในการเข้าควบคุมเครื่อง และใช้ทรัพยากรของเครื่องทั้งหมด

นักวิจัยจาก CrowdStrike คาดว่า "ทั้ง 2 แคมเปญ พยายามค้นหาเพื่อโจมตี Kubernetes ที่ยังไม่ถูกโจมตี และกำลังแข่งขันกัน"

 

ที่มา : thehackernews

 

ScrubCrypt ใช้การโจมตีแบบ Cryptojacking โดยมุ่งเป้าหมายไปที่ Oracle WebLogic

กลุ่มผู้โจมตีที่มีเป้าหมายสำหรับการขุดเหรียญคริปโตเคอเรนซีชื่อ "8220 Gang" ใช้มัลแวร์ crypter สำหรับการโจมตีตัวใหม่ชื่อ ScrubCrypt เพื่อใช้ในการโจมตีแบบ Cryptojacking

ตามรายงานของ Fortinet FortiGuard Labs กระบวนการโจมตีเริ่มต้นด้วยการใช้ช่องโหว่ของ Oracle WebLogic server เพื่อดาวน์โหลดสคลิปต์ PowerShell ที่มี ScrubCrypt อยู่ภายใน (more…)

“Pro-Ocean” มัลแวร์ Cryptojacking ชนิดใหม่พุ่งเป้าหมายไปเซิร์ฟเวอร์ Apache, Oracle และ Redis

นักวิจัยจาก Palo Alto Network ได้เปิดเผยถึงการตรวจพบมัลแวร์ Cryptojacking ชนิดใหม่ที่มีชื่อว่า Pro-Ocean ของกลุ่มแฮกเกอร์ Rocke ที่พุ่งเป้าหมายไปยังเซิร์ฟเวอร์อินสแตนซ์ที่มีช่องโหว่ของ Apache ActiveMQ, Oracle WebLogic และ Redis

มัลแวร์ Pro-Ocean กำหนดเป้าหมายการโจมตีไปยังแอปพลิเคชันบนคลาวด์เซิร์ฟเวอร์และใช้ประโยชน์จากช่องโหว่ของเซิร์ฟเวอร์ Oracle WebLogic (CVE-2017-10271), Apache ActiveMQ (CVE-2016-3088) และอินสแตนซ์ Redis ที่ไม่ได้รับการแพตช์ความปลอดภัยเพื่อเข้าควบคุมเซิร์ฟเวอร์ของเป้าหมาย

นักวิจัยจาก Palo Alto Networks ได้ทำการวิเคราะห์มัลแวร์และพบว่ามัลแวร์มีความสามารถของรูทคิตและเวิร์มที่ถูกทำการปรับปรุงใหม่ ซึ่งจะช่วยให้มัลแวร์สามารถซ่อนกิจกรรมที่เป็นอันตรายและแพร่กระจายไปยังซอฟต์แวร์ที่อยู่บนเครือข่ายของเป้าหมายได้ นอกจากนี้มัลแวร์ยังมีความสามารถของ Cryptojacking ที่ถูกใช้ในการขุด Monero ที่มาพร้อมกับโมดูลที่จะคอย Monitor การใช้งานของ CPU ซึ่งถาหากมีการใช้งาน CPU มากกว่า 30% ตัวมัลแวร์จะทำการ Kill โปรเซสการทำงานทิ้ง เพื่อเป็นการป้องกันการถูกตรวจจับความผิดปกติของการทำงาน

ทั้งนี้ผู้ดูแลระบบเซิร์ฟเวอร์ Oracle WebLogic, Apache ActiveMQ และอินสแตนซ์ Redis ควรรีบทำการอัปเดตแพตช์ความปลอดภัยให้เป็นเวอร์ชันล่าสุดเพื่อป้องกันการตกเป็นเป้าหมายการโจมตีของมัลแวร์ Pro-Ocean

ที่มา: bleepingcomputer

“Black-T” มัลแวร์ Crypto-mining พัฒนาความสามารถในการขโมยรหัสผ่านบนระบบ Linux

ทีมนักวิจัย Unit 42 จาก Palo Alto Networks ได้เผยถึงการพบเวิร์ม cryptojacking ที่มีชื่อว่า “Black-T” จากกลุ่ม TeamTNT ซึ่งเป็นกลุ่มที่รู้จักกันในการกำหนดเป้าหมายเพื่อโจมตี AWS จากนั้นทำการใช้ Monero (XMR) cryptocurrency โดยเวิร์มที่ถูกค้นพบนั้นได้ถูกพัฒนาใหม่ทั้งการเพิ่มความสามารถในการขโมยรหัสผ่านและเครื่องสแกนเครือข่ายเพื่อให้ง่ายต่อการแพร่กระจายไปยังอุปกรณ์ที่มีช่องโหว่อื่นๆ

จากรายงานของทีมนักวิจัย Unit 42 พบว่า TeamTNT ได้เพิ่มความสามารถของมัลแวร์ในการใช้เครื่องมือ zgrab ซึ่งเป็นเครื่องมือสแกนเครือข่ายชนิดเดียวกับ pnscan และ masscan ที่อยู่ภายใน Black-T อยู่แล้วทำการสแกนเป้าหมาย ทั้งนี้เครื่องมือสแกน masscan ที่ใช้โดย Black-T ก็ได้รับการอัปเดตเพื่อกำหนดเป้าหมายเป็นพอร์ต TCP 5555 ซึ่งอาจบอกเป็นนัยว่า TeamTnT อาจกำหนดเป้าหมายไปที่อุปกรณ์ Android นอกจากนี้ Black-T ยังได้เพิ่ม Mimikatz แบบโอเพนซอร์สสองตัวคือ mimipy (รองรับ Windows / Linux / macOS) และ mimipenguin (รองรับ Linux) ทำการอ่านข้อมูลรหัสแบบ plaintext ภายในหน่วยความจำของระบบที่ถูกบุกรุกและส่งไปยังเซิร์ฟเวอร์ C&C ของ TeamTNT

ด้วยการรวมเทคนิคและขั้นตอนทั้งหมดเข้าด้วยกัน TeamTNT สามารถใช้บ็อตเน็ตของเซิร์ฟเวอร์ที่ถูกบุกรุกเพื่อทำการสแกนหา Docker daemon API เพิ่มเติม ภายในเครือข่ายโดยใช้เครื่องมือ masscan, pnscan และ zgrab และเมื่อมัลแวร์สามารถบุกรุกแล้วได้จะทำการติดตั้ง Kubernetes และ Docker และหลังจากนั้นจะปรับใช้ payload binary ใน container เพื่อทำการเริ่มต้น Monero (XMR) cryptocurrency ภายในเครื่องที่บุกรุก

ทั้งนี้ผู้ดูแลระบบควรทำการตรวจสอบให้แน่ใจว่า Docker daemon API บนระบบคลาวด์ของท่านไม่ถูกเปิดเผยและสามารถเข้าถึงได้จากอินเตอร์เน็ตและเพื่อเป็นการป้องกันการตกเป็นเหยือของมัลแวร์ ผู้ดูแลระบบควรใช้ทำการติดตั้งและใช้งาน Next-Generation Firewall ในระบบของท่าน

ที่มา : bleepingcomputer

Malvertising Campaign Mines Cryptocurrency Right in Your Browser

แจ้งเตือนการโจมตี Cryptojacking ขุดบิทคอยน์ผ่านเว็บไซต์

ESET แจ้งเตือนพฤติกรรมของนักพัฒนามัลแวร์ที่เริ่มมีการใช้งานไลบรารีจาวาสคริปต์เพื่อบังคับให้มีการขุดบิทคอยน์หรือสกุลเงินดิจิตัลอื่นๆ ทันทีที่ผู้ใช้งานเข้าชมเว็บไซต์ ส่งผลกระทบต่อประสิทธิภาพในการใช้งานระบบของผู้ใช้งานโดยตรง

หนึ่งในไลบรารีที่มีการใช้งานอย่างแพร่หลายคือไลบรารีที่ถูกพัฒนาต่อจาก MineCrunch ซึ่งถูกพัฒนามาตั้งแต่ปี 2014 นักพัฒนามัลแวร์มุ่งโจมตีเว็บไซต์ในแถบยูเครนและรัสเซียโดยเฉพาะอย่างยิ่งเว็บไซต์ที่ผู้ใช้งานมักจะใช้งานเป็นเวลานาน เช่น เว็บสตรีมมิ่งหนัง และทำการแฮกเพื่อฝังสคริปต์ดังกล่าวลงไป ESET กล่าวเพิ่มเติมว่าเป้าหมายของอาชญากรเหล่านี้มุ่งเน้นไปที่สกุลเงินที่ติดตามตัวได้ยาก อาทิ Monero หรือ Zcash

นอกเหนือจาก MinChrunch แล้ว ไลบรารีอีกชนิดหนึ่งที่มักมีการนิยมใช้คือ CoinHive นักพัฒนาด้านความปลอดภัย Jerome Dangu ค้นพบว่า ผู้พัฒนามัลแวร์ยังมีการฝังสคริปต์ดังกล่าวไว้ในเว็บไซต์ฟิชชิ่งหรือเว็บไซต์ที่สะกดชื่อผิด (typosquatiing) เพื่อหาประโยชน์ทางอ้อมอีกด้วย

ในขณะนี้ปลั๊กอินในเว็บเบราว์เซอร์หลายรายได้เพิ่มฟีเจอร์ในการบล็อคการโจมตีในลักษณะนี้แล้ว อาทิ AdBlock Plus และ AdGuard รวมไปถึงยังมีการพัฒนาปลั๊กอินในเว็บเบราว์เซอร์ที่ป้องกันการโจมตีในลักษณะนี้โดยเฉพาะอีกด้วย อาทิ AntiMiner, No Coin และ minerBlock แนะนำให้ผู้ใช้งานเพิ่มความระมัดระวังเมื่อเข้าเว็บไซต์ที่มีความเสี่ยงสูง รวมถึงเพิ่มมาตรการป้องกันการโจมตีในลักษณะนี้

ที่มา : BLEEPINGCOMPUTER