นักวิจัยด้านความปลอดภัยทางไซเบอร์ได้ออกมาเตือนถึงมัลแวร์ botnet ตัวใหม่ที่ชื่อ HTTPBot ซึ่งถูกใช้เพื่อมุ่งเป้าโจมตีไปที่อุตสาหกรรมเกม รวมถึงบริษัทเทคโนโลยี และสถาบันการศึกษาในประเทศจีน
NSFOCUS ระบุว่า “ในช่วงหลายเดือนที่ผ่านมา HTTPBot ได้ขยายตัวอย่างรวดเร็ว โดยใช้อุปกรณ์ที่ติดมัลแวร์เป็นฐานในการโจมตีระบบภายนอกอย่างต่อเนื่อง และใช้การโจมตีแบบ simulated HTTP Flood ที่มาพร้อมกับเทคนิคการ obfuscation ทำให้สามารถหลบหลีกระบบตรวจจับแบบ rule-based ได้”
HTTPBot ถูกพบครั้งแรกในเดือนสิงหาคม 2024 โดยได้รับชื่อจากการใช้โปรโตคอล HTTP ในการโจมตีแบบ DDoS (Distributed Denial-of-Service) โดยมัลแวร์ตัวนี้ถูกเขียนด้วยภาษา Golang ซึ่งถือเป็นเรื่องที่ค่อนข้างผิดปกติ เนื่องจากเป้าหมายหลักเป็นระบบปฏิบัติการ Windows
Botnet trojan ที่ทำงานบนระบบ Windows ตัวนี้ ถูกใช้ในการโจมตีเป้าหมายแบบเฉพาะเจาะจงอย่างแม่นยำ โดยมุ่งเป้าไปที่ business interfaces ที่มีมูลค่าสูง เช่น ระบบการล็อกอินเกม และระบบการชำระเงิน
บริษัทที่มีสำนักงานใหญ่ในปักกิ่ง ระบุว่า “การโจมตีที่มีความแม่นยำสูงนี้ ก่อให้เกิดภัยคุกคามต่ออุตสาหกรรมที่ต้องพึ่งพาการโต้ตอบแบบเรียลไทม์ นอกจากนี้ HTTPBot ถือเป็นจุดเปลี่ยนแนวทางของการโจมตีแบบ DDoS โดยจากเดิมที่จะเน้นการใช้ทราฟฟิกโจมตีแบบไม่ระบุเป้าหมาย (indiscriminate traffic suppression) ไปสู่การโจมตีจุดสำคัญของธุรกิจอย่างแม่นยำ (high-precision business strangulation)”
มีการคาดการณ์ว่า HTTPBot ถูกใช้ในการโจมตีไปแล้วไม่น้อยกว่า 200 ครั้ง นับตั้งแต่ต้นเดือนเมษายน 2025 ที่ผ่านมา โดยการโจมตีเหล่านี้มุ่งเป้าไปที่ อุตสาหกรรมเกม, บริษัทเทคโนโลยี, สถาบันการศึกษา และเว็บไซต์ด้านการท่องเที่ยวในประเทศจีน
เมื่อมัลแวร์ถูกติดตั้ง และเริ่มทำงาน มัลแวร์จะซ่อน graphical user interface (GUI) ของตัวเอง เพื่อหลีกเลี่ยงการถูกตรวจสอบจากทั้งผู้ใช้งาน และเครื่องมือรักษาความปลอดภัย โดยมีเป้าหมายเพื่อเพิ่มความสามารถในการแอบแฝงเพื่อการโจมตี นอกจากนี้มัลแวร์ยังใช้วิธีการปรับแต่ง Windows Registry โดยไม่ได้รับอนุญาต เพื่อให้สามารถทำงานได้โดยอัตโนมัติทุกครั้งที่ระบบเริ่มทำงาน
จากนั้น botnet ตัวนี้จะดำเนินการเชื่อมต่อกับเซิร์ฟเวอร์ command-and-control (C2) เพื่อรอรับคำสั่งเพิ่มเติมในการดำเนินการโจมตีแบบ HTTP flood ซึ่งจะทำโดยการส่ง HTTP request ปริมาณมหาศาลไปยังเป้าหมายที่กำหนดไว้ นอกจากนี้ HTTPBot ยังรองรับโมดูลการโจมตีหลากหลายรูปแบบ โดยมีรายละเอียดดังต่อไปนี้ :
BrowserAttack: เป็นการโจมตีที่ใช้ instances ของ Google Chrome ที่ซ่อนอยู่ เพื่อเลียนแบบ traffic ให้ดูเหมือนถูกต้องตามปกติ ขณะเดียวกันก็จะดึงทรัพยากรของเซิร์ฟเวอร์ไปใช้ทั้งหมด
HttpAutoAttack: เป็นการโจมตีที่ใช้ คุกกี้ (Cookies-based) เพื่อจำลองเซสชันให้ดูเหมือนเป็นของผู้ใช้จริงมากที่สุด
HttpFpDlAttack: เป็นการโจมตีที่ใช้โปรโตคอล HTTP/2 ที่มีประสิทธิภาพสูงกว่ารุ่นเก่า (HTTP/1.1) ที่พยายามมุ่งเน้นในการเพิ่มภาระของ CPU loader บนเซิร์ฟเวอร์ โดยบังคับให้เซิร์ฟเวอร์ตอบสนองด้วยข้อมูลขนาดใหญ่กลับมา
WebSocketAttack: เป็นการโจมตีที่ใช้โปรโตคอล "ws://" และ "wss://" เพื่อสร้างการเชื่อมต่อแบบ WebSocket กับเป้าหมาย
PostAttack: เป็นการโจมตีที่ใช้ HTTP POST request อย่างต่อเนื่องเพื่อส่งข้อมูลเข้าสู่เซิร์ฟเวอร์เป้าหมาย
CookieAttack: เป็นการโจมตีที่เพิ่ม cookie processing flow เข้าไปในวิธีการโจมตีแบบ BrowserAttack เพื่อเพิ่มความซับซ้อน และความสมจริงในการจำลอง traffic
NSFOCUS ระบุเพิ่มเติมว่า "โดยทั่วไปแล้ว ตระกูล DDoS Botnet มักจะรวมกลุ่มกันอยู่บนแพลตฟอร์ม Linux และอุปกรณ์ IoT อย่างไรก็ตาม ตระกูล HTTPBot Botnet กลับมุ่งเป้าไปที่ระบบปฏิบัติการ Windows โดยเฉพาะ"
"ด้วยการจำลอง protocol layers อย่างลึกซึ้ง และเลียนแบบพฤติกรรมของเบราว์เซอร์จริง HTTPBot จึงสามารถหลบเลี่ยงระบบป้องกันที่อาศัย protocol integrity ได้ นอกจากนี้มันยังเข้าควบคุมทรัพยากรเซสชันของเซิร์ฟเวอร์อย่างต่อเนื่อง ผ่าน URL paths ที่สุ่มขึ้นมา และกลไก cookie replenishment แทนที่จะอาศัยแค่ปริมาณทราฟฟิกจำนวนมากเพียงอย่างเดียว"
ที่มา : thehackernews.