Ryan Robinson ผู้เชี่ยวชาญจาก Intezer ค้นพบมัลแวร์ตัวใหม่บนระบบปฏิบัติการ Linux ในรูปแบบที่ไม่เคยถูกพบมาก่อน โดยครั้งนี้ใช้ชื่อว่า Lightning Framework ความพิเศษคือมันสามารถแก้ไข architecture และติดตั้ง Rootkit บนเครื่องเป้าหมายได้อีกด้วย นอกจากนี้ยังมีความสามารถอื่นๆอีกมาย เช่น มีการติดต่อกับผู้โจมตีทั้งแบบ Auto และแบบ Active, การเปิด SSH บนเครื่องเป้าหมาย รวมไปถึงการปรับเปลี่ยนคำสั่งที่ใช้ในการควบคุมเครื่องเหยื่อได้อีกด้วย

ลักษณะการโจมตี

มัลแวร์นี้จะใช้ Downloader โหลด Module ที่ชื่อ kbioset และ kkdmflush ซึ่งทำหน้าที่สำหรับดึงปลั๊กอินอื่นๆอย่างน้อย 7 ชนิดจาก Server ภายนอกมาติดตั้ง ซึ่งปลั๊กอินเหล่านี้จะถูกเรียกใช้ใน Component หลักในเวลาต่อมา

นอกจากจะทำหน้าที่ในการดาวโหลด Module ต่างๆแล้ว Downloader จะทำหน้าที่ปกป้องให้ Module ที่โหลดมาคงอยู่บนระบบได้ด้วย
จากนั้น Module หลักของมัลแวร์จะสร้างช่องทางการติดต่อกับเซิร์ฟเวอร์ command-and-control (C2) เพื่อดึงคำสั่งในการรันปลั๊กอิน ซึ่งมีทั้งคำสั่ง Run PowerShell, อัปโหลดไฟล์ไปยัง C2 Server,เขียนข้อมูลลงในไฟล์ หรือแม้แต่อัปเดต และลบตัวเองออกจากเครื่องเป้าหมาย
สุดท้าย มันจะทำการสร้างสคริปต์สำหรับ Autorun ทำให้ตัวมันทำงานทันทีแม้จะมีการ Reboot ระบบ

สิ่งที่น่าสนใจของ Lightning Framework คือเป็น Framework ขนาดใหญ่ที่พัฒนาขึ้นสำหรับโจมตี Linux Server โดยเฉพาะ ผู้ใช้งานจึงต้องหมั่นติดตามข่าวสารอย่างใกล้ชิด

ที่มา : thehackernews

มัลแวร์ตัวใหม่ที่พึ่งถูกบนระบบปฏิบัติการ Linux กำลังถูกใช้เพื่อขโมยข้อมูลจากระบบ และแพร่กระจายไปยัง process ต่างๆที่ทำงานอยู่บนเครื่อง

นักวิจัยด้านความปลอดภัยของ Intezer Labs ซึ่งเป็นผู้ค้นพบ ตั้งชื่อมัลแวร์ว่า OrBit โดยมัลแวร์จะทำการ hijack shared libraries เพื่อดักจับการเรียกใช้ฟังก์ชัน โดยการแก้ไขตัวแปร LD_PRELOAD บนอุปกรณ์ที่ถูกโจมตี

นอกจากนี้มันยังสามารถเชื่อมโยงฟังก์ชันต่างๆ เพื่อหลบเลี่ยงการตรวจจับ, ควบคุมพฤติกรรมของ process, แอบแฝงตัวอยู่บนระบบโดยการแพร่กระจายไปยัง process ใหม่ และซ่อนพฤติกรรมการเชื่อมต่อบนเครือข่าย ตัวอย่างเช่น เมื่อมัลแวร์แฝงตัวเข้าไปใน process ที่ทำงานอยู่ มัลแวร์ OrBit สามารถเลือกที่จะแสดงผลลัพธ์ของการทำงาน เพื่อซ่อนร่องรอยของการมีอยู่ของมันไม่ให้ถูกพบบน Log

Nicole Fishbein นักวิจัยด้านความปลอดภัยของ Intezer Labs อธิบายว่า "มัลแวร์ใช้เทคนิคการหลีกเลี่ยงการตรวจจับขั้นสูง ทำให้มันสามารถแอบแฝงตัวอยู่บนระบบได้ และทำให้ผู้โจมตีสามารถเข้าถึงเครื่องเหยื่อด้วยการ Remote ผ่าน SSH เพื่อค้นหาข้อมูล credentials บนระบบ"

"เมื่อมัลแวร์ถูกติดตั้งแล้ว มันจะแพร่กระจายไปยัง process ต่างๆที่กำลังทำงานอยู่บนเครื่องทั้งหมด รวมถึง process ใหม่ๆที่จะถูกใช้งานในภายหลังด้วย"

แม้ว่าในช่วงแรกส่วนประกอบของ dropper และ payload ของ OrBit จะยังไม่ถูกตรวจจับได้โดย Antivirus engine แต่ในปัจจุบันผู้ให้บริการ Antivirus หลายรายก็เริ่มอัปเดต และแจ้งเตือนผู้ใช้งานเมื่อมีการตรวจพบ OrBit ได้แล้ว

OrBit ไม่ใช่มัลแวร์บน Linux ที่มีความสามารถในการหลีกเลี่ยงการตรวจจับตัวแรกที่ถูกตรวจพบ โดยก่อนหน้านี้มัลแวร์ Symbiote ที่ใช้คำสั่ง LD_PRELOAD เพื่อโหลดตัวเองเข้าสู่ process ต่างๆที่กำลังทำงานอยู่บนเครื่อง และไม่ทิ้งร่องรอยของการทำงานของมันไว้ และ BPFDoor มัลแวร์อีกตัวหนึ่งที่ตรวจพบเมื่อเร็ว ๆ นี้ที่ปลอมตัวโดยใช้ชื่อของ Linux daemons ทั่วๆไป ซึ่งก็ช่วยทำให้มันไม่เคยถูกตรวจจับได้มานานกว่าห้าปี

มัลแวร์ทั้งสองตัวนี้ใช้ฟังก์ชัน BPF (Berkeley Packet Filter) เพื่อตรวจสอบ และจัดการการรับส่งข้อมูลบนเครือข่าย ซึ่งช่วยซ่อนช่องทางการสื่อสารจากการตรวจจับโดยอุปกรณ์ด้านความปลอดภัย

มัลแวร์ Linux อีกตัวซึ่งเป็น rootkit ภายใต้การพัฒนาในชื่อ Syslogk และถูกเปิดเผยโดยนักวิจัยของ Avast เมื่อเดือนที่แล้ว ก็สามารถบังคับโหลดโมดูลของตัวเองลงใน Linux kernel, เปิด backdoor บนเครื่องเหยื่อ และซ่อน directory และการเชื่อมต่อบนเครือข่ายเพื่อหลบเลี่ยงการตรวจจับได้

แม้ว่าจะไม่ใช่มัลแวร์ตัวแรกๆที่มุ่งเป้าไปที่ Linux แต่ OrBit ก็ถือว่ามาพร้อมกับความสามารถที่แตกต่างจากมัลแวร์ตัวอื่น ๆ เนื่องจากมันสามารถขโมยข้อมูลจากขโมยข้อมูลจากคำสั่ง และยูทิลิตี้ต่างๆ และจัดเก็บไว้ในไฟล์เฉพาะที่ถูกสร้างขึ้นบนเครื่อง นอกจากนี้ยังมีการใช้ไฟล์จำนวนมากเพื่อจัดเก็บข้อมูล ซึ่งเป็นสิ่งที่ไม่เคยเห็นมาก่อนในมัลแวร์ตัวอื่นๆ" Fishbein กล่าวเสริม

อีกสิ่งที่ทำให้มัลแวร์ตัวนี้มีความน่าสนใจเป็นพิเศษก็คือการเชื่อมต่อกับไลบรารี่บนเครื่องของเหยื่อจำนวนมาก ซึ่งทำให้มันสามารถแอบแฝงตัว และหลบเลี่ยงการตรวจจับในขณะที่กำลังขโมยข้อมูล และตั้งค่า SSH backdoor

ที่มา: www.

Cybersecurity and Infrastructure Security Agency (CISA) ได้เพิ่มช่องโหว่ Linux ที่มีความรุนแรงสูงที่รู้จักในชื่อ PwnKit ในรายการช่องโหว่ที่กำลังถูกใช้ในการโจมตีอยู่ในปัจจุบัน

ช่องโหว่ด้านความปลอดภัยหมายเลข CVE-2021-4034 (คะแนน CVSS: 7.8) เกิดจาก component pkexec ของ Polkit ที่ถูกใช้ใน Linux distributions ต่างๆ เช่น Ubuntu, Debian, Fedora และ CentOS  โดย PwnKit จะเป็นการโจมตีในรูปแบบ memory corruption ซึ่งจะทำให้ผู้โจมตีสามารถได้สิทธิ์ root บนระบบได้

นักวิจัยจาก Qualys ซึ่งเป็นผู้พบช่องโหว่ดังกล่าวระบุว่าช่องโหว่เกิดจาก pkexec ซึ่งหมายความว่าจะส่งผลกระทบกับ Polkit ทุกเวอร์ชัน และไม่เคยมีใครพบช่องโหว่ดังกล่าวมาก่อนหน้านี้เลยกว่า 12 ปี ตั้งแต่ที่มีการเปิดตัวครั้งแรกของ pkexec ในเดือนพฤษภาคม 2552  โดยมีการปล่อยโค้ด proof-of-concept (PoC) exploit ออกมา หลังจากที่ Qualys เผยแพร่รายละเอียดทางเทคนิคสำหรับช่องโหว่ PwnKit เพียง 3 ชั่วโมงเท่านั้น

(more…)

ผู้เชี่ยวชาญจาก Trend Micro ได้ค้นพบแรนซัมแวร์ตัวใหม่ที่ที่มีชื่อว่า Cheers ซึ่งมีเป้าหมายหลัก ๆ คือ VMware ESXi Server ที่เป็นแพลตฟอร์มที่นิยมใช้กันอย่างแพร่หลายทั่วโลก

ระบบสำคัญของหลายองค์กรต่างอยู่ในแพลตฟอร์มนี้ ซึ่งหากโจมตีได้สำเร็จจนทำให้ระบบหยุดทำงาน ก็จะส่งผลต่อการดำเนินธุรกิจรวมไปถึงกระทบต่อชื่อเสียงขององค์กรอีกด้วย

ลักษณะการทำงาน

เมื่อเซิร์ฟเวอร์ VMware ESXi ถูกโจมตีได้สำเร็จ แรนซัมแวร์จะทำการสแกนหาไฟล์ที่มีนามสกุล .log, .vmdk, .vmem, .vswp, และไฟล์ extensions ที่นามสกุล .vmsn
ซึ่งเป็นไฟล์สำคัญของ ESXi ทั้งหมด เช่นไฟล์ Snapshot หรือ log files จากนั้นจะทำการเปลี่ยนนามสกุลไฟเหล่านั้นล์เป็น “.Cheers” แล้วทำการเข้ารหัสไฟล์โดยใช้ SOSEMANUK stream cipher และลบคีย์ในการกู้คืนออก ซึ่งระหว่างแรนซัมแวร์ทำการสแกนโฟลเดอร์เพื่อเข้ารหัส มันก็จะทำการสร้าง Text ไฟล์ที่ชื่อ ‘How To Restore Your Files.

Sysrv botnet กำหนดเป้าหมายเซิร์ฟเวอร์ Windows และ Linux ด้วยช่องโหว่ใหม่

Microsoft กล่าวว่า Sysrv botnet กำลังใช้ประโยชน์จากช่องโหว่ใน Spring Framework และ WordPress เพื่อติดตั้งมัลแวร์ cryptomining บนเซิร์ฟเวอร์ Windows และ Linux ที่มีช่องโหว่

Microsoft ค้นพบมัลแวร์ Sysrv สายพันธุ์ใหม่ที่ชื่อว่า Sysrv-K ที่ถูกพัฒนาให้มีความสามารถมากขึ้น และยังสามารถสแกนหา WordPress ที่ไม่ได้แพตช์ และมีการใช้ Spring

โดยทีม Microsoft Security Intelligence กล่าวในเธรดบน Twitter ถึง Sysrv-K ที่มีความสามารถเข้าควบคุมเว็บเซิร์ฟเวอร์ได้โดยใช้ประโยชน์จากช่องโหว่ต่างๆ โดยช่องโหว่เหล่านี้ได้มีการแก้ไขแล้วด้วยการอัปเดตความปลอดภัย รวมถึงช่องโหว่เก่าใน WordPress plugins และช่องโหว่ใหม่ๆ เช่น CVE-2022-22947

CVE-2022-22947 เป็นช่องโหว่ Code injection บน Spring Cloud Gateway library ที่ทำให้ถูกโจมตีในรูปแบบ remote code execution บนระบบที่ยังไม่ได้อัปเดตแพตช์ได้ โดยในส่วนหนึ่งของความสามารถใหม่เหล่านี้ Sysrv-K จะสแกนหา configuration files และ backups ของ WordPress เพื่อขโมย database credentials และใช้ในการเข้าควบคุมเว็บเซิร์ฟเวอร์

Sysrv กำลังสแกนจากอินเทอร์เน็ต เพื่อหาเซิร์ฟเวอร์ Windows และ Linux ที่มีช่องโหว่ในองค์กร เพื่อติดตั้ง Monero (XMRig) miners และเพย์โหลดมัลแวร์อื่นๆ

ในการแฮ็กเข้าสู่เว็บเซิร์ฟเวอร์เหล่านี้ botnet จะใช้ประโยชน์จากช่องโหว่ในเว็บแอป และฐานข้อมูล เช่น PHPUnit, Apache Solar, Confluence, Laravel, JBoss, Jira, Sonatype, Oracle WebLogic และ Apache Struts

หลังจากติดตั้ง cryptocurrency miners และปรับใช้ payloads ของตัวเองแล้ว Sysrv ยังแพร่กระจายตัวเองโดยอัตโนมัติบนเครือข่ายผ่านการ brute force attacks โดยใช้ SSH private keys ที่รวบรวมจากเซิร์ฟเวอร์ที่ติดมัลแวร์ (เช่น bash history, ssh config, and known_hosts files)

botnet propagator จะสแกนไปบนอินเทอร์เน็ตเพื่อหาระบบ Windows และ Linux ที่มีช่องโหว่ให้มากขึ้น เพื่อทำการเพิ่ม Monero mining bots

ที่มา : www.

ทีมวิจัย Microsoft 365 Defender ได้ค้นพบช่องโหว่ในการยกระดับสิทธิ์ของ Linux สองรายการ (หมายเลข CVE-2022-29799 และ CVE-2022-29800) ที่เรียกว่า “Nimbuspwn”

ช่องโหว่ดังกล่าวอยู่ใน systemd component ที่เรียกว่า networked-dispatcher ซึ่งเป็น dispatcher daemon สำหรับการเปลี่ยนแปลงสถานะการเชื่อมต่อ systemd-networkd โดยผู้โจมตีสามารถใช้ประโยชน์จากช่องโหว่ เพื่อเข้าถึงสิทธิ์รูทบนระบบ และสามารถนำมาใช้ในการโจมตีในลักษณะอื่นๆต่อไป เช่น แรนซัมแวร์ เป็นต้น

Microsoft ได้ค้นพบช่องโหว่ดังกล่าวในขณะที่ตรวจสอบข้อความบน System Bus ซึ่งเป็นส่วนหนึ่งของการตรวจสอบโค้ด และการวิเคราะห์แบบ Dynamic โดย Microsoft อธิบายว่า “การตรวจสอบ code flow สำหรับ networkd-dispatcher เผยให้เห็นถึงปัญหาด้านความปลอดภัยหลายประการ ไม่ว่าจะเป็นการข้ามผ่านไดเรกทอรี (directory traversal), symlink race และ time-of-check-time-of-use race condition issues.

Botnet ที่ถูกพบเมื่อไม่นานมานี้ กำลังมุ่งเป้าไปที่ระบบปฏิบัติการ Linux โดยพยายามยึดครองเครื่องเหยื่อเพื่อสร้างเป็น Army of Bots ที่พร้อมจะขโมย sensitive info, ติดตั้ง Rootkits, สร้าง Reverse Shells, และทำหน้าที่เป็น Web Traffic Proxies

มัลแวร์ที่เพิ่งค้นพบใหม่นี้มีชื่อเรียกว่า B1txor20 โดยนักวิจัยที่ Network Security Research Lab ของ Qihoo 360(360 Netlab) ซึ่งพบว่าตัวมันมุ่งเป้าการโจมตีไปยังระบบปฏิบัติการ Linux ARM, X64 CPU

Botnet ใช้ช่องโหว่ Log4J เพื่อแพร่กระจายมัลแวร์ ซึ่งเป็น Attack Vector ที่น่าสนใจเนื่องจากมี Vendors หลายสิบรายใช้ไลบรารี Apache Log4j Logging ที่มีช่องโหว่

นักวิจัยพบ Botnet B1txor20 เป็นครั้งแรกเมื่อวันที่ 9 กุมภาพันธ์ บนระบบ Honeypot ของพวกเขา

มัลแวร์ B1txor20 เป็น Backdoor บน Linux Platform ซึ่งใช้เทคโนโลยี DNS Tunneling เพื่อสร้างช่องทางการสื่อสารกับ C2 นอกเหนือจากฟังก์ชัน Backdoor แล้ว B1txor20 ยังมีฟังก์ชันต่าง ๆ เช่น การเปิด Socket5 Proxy, การดาวน์โหลดและติดตั้ง Rootkit จากระยะไกล

DNS Tunneling ใช้เพื่อปกปิดการรับส่งข้อมูลกับ C2

สิ่งที่ทำให้มัลแวร์ B1txor20 โดดเด่นคือ การใช้ DNS tunneling สำหรับช่องทางการสื่อสารกับเซิร์ฟเวอร์ Command and Control(C2) ซึ่งเป็นเทคนิคที่เก่าแต่ยังคงเชื่อถือได้ โดยผู้ไม่หวังดีใช้ประโยชน์จากโปรโตคอล DNS เพื่อสร้าง tunnel malware และ data via DNS queries

นักวิจัยอธิบายเกี่ยวกับมัลแวร์ไว้ว่า "Bot จะส่งข้อมูลสำคัญที่ถูกขโมย เช่น ผลการดำเนินการตามคำสั่ง และข้อมูลอื่น ๆ ไปยัง C2 ในลักษณะ DNS request" หลังจากได้รับ Request แล้ว C2 จะส่ง Payload กลับไปยัง Bot เพื่อตอบกลับ DNS request ด้วยวิธีนี้ Bot และ C2 จึงสามารถสื่อสารได้โดยใช้โปรโตคอล DNS ได้

นักวิจัย 360 Netlab ยังพบ Features ที่พัฒนาแล้วจำนวนมากที่ยังไม่ได้ถูกนำไปใช้ เนื่องจาก Features บางอย่างยังไม่สมบูรณ์ เราคิดว่าผู้พัฒนามัลแวร์ B1txor20 จะยังคงปรับปรุง และเปิดใช้งาน Features ต่าง ๆ ในอนาคต

ข้อมูลเพิ่มเติม รวมถึง indicators of compromise (IOCs) และรายการคำสั่ง C2 ทั้งหมด ดูได้ที่ 360 Netlab report

การใช้ประโยชน์จากช่องโหว่ Log4J อย่างต่อเนื่องโดย Botnets

ตั้งแต่มีการเปิดเผยช่องโหว่ของ Log4J ผู้ไม่หวังดีจำนวนมากเริ่มใช้ช่องโหว่ดังกล่าวในการโจมตี รวมถึงกลุ่มที่ได้รับการสนับสนุนซึ่งมีข้อมูลเชื่อมโยงกับรัฐบาลในจีน, อิหร่าน, เกาหลีเหนือ, และตุรกี รวมถึงโดย Ransomware gangs

นักวิจัย 360 Netlab กล่าวเสริมว่า "เนื่องจากช่องโหว่ของ Log4J ถูกเปิดเผยออกมา เราจึงเห็นมัลแวร์จำนวนมากขึ้นเช่น wagon, Elknot, Gafgyt, Mirai" ตัวอย่างเช่น ในเดือนธันวาคม พบผู้ไม่หวังดีใช้ประโยชน์จากช่องโหว่ด้านความปลอดภัยของ Log4J เพื่อทำให้อุปกรณ์ Linux ที่มีช่องโหว่ ติดมัลแวร์ Mirai และมัลแวร์ Muhstik

Barracuda ยืนยันรายงานของ 360 Netlab เมื่อต้นเดือนที่ผ่านมา โดยกล่าวว่าพวกเขาพบ Payloads ต่าง ๆ ที่กำหนดเป้าหมายการโจมตีไปยัง Server ที่มีช่องโหว่ Log4j เช่นเดียวกัน

ที่มา : bleepingcomputer

 

 

 

 

 

 

 

 

 

เมื่อวันอังคารที่ผ่านมา Microsoft ได้กล่าวถึงช่องโหว่ด้านความปลอดภัย 4 รายการซึ่งเป็นส่วนหนึ่งของการอัปเดต Patch Tuesday
ที่อาจจะถูกนำไปใช้ในการโจมตีโดยผู้ไม่หวังดี เพื่อกำหนดเป้าหมายไปยังลูกค้าที่ใช้บริการ Azure cloud และยกระดับสิทธิ์จนเข้ายึดระบบที่มีช่องโหว่เหล่านั้นได้จากระยะไกล

นักวิจัยจาก Wiz เรียกช่องโหว่พวกนี้รวมกันว่า OMIGOD ซึ่งช่องโหว่เหล่านี้จะส่งผลกระทบต่อ software agent ที่ชื่อว่า Open Management Infrastructure ซึ่ง Software Agent จะถูกติดตั้ง และเรียกใช้งานอัตโนมัติ โดยผู้ใช้งานไม่รู้ตัว

CVE-2021-38647 (CVSS score: 9.8) - Open Management Infrastructure Remote Code Execution Vulnerability
CVE-2021-38648 (CVSS score: 7.8) - Open Management Infrastructure Elevation of Privilege Vulnerability

CVE-2021-38645 (CVSS score: 7.8) - Open Management Infrastructure Elevation of Privilege Vulnerability

CVE-2021-38649 (CVSS score: 7.0) - Open Management Infrastructure Elevation of Privilege Vulnerability

Open Management Infrastructure (OMI) เป็นโอเพ่นซอร์สที่เทียบเท่ากับ Windows Management Infrastructure (WMI) แต่ออกแบบมาสำหรับระบบ Linux และ UNIX เช่น CentOS, Debian, Oracle Linux, Red Hat Enterprise Linux Server, SUSE Linux และ Ubuntu

ลูกค้า Azure บนเครื่อง Linux รวมถึงผู้ใช้บริการเหล่านี้มีความเสี่ยงที่จะถูกโจมตี

Azure Automation
Azure Automatic Update
Azure Operations Management Suite (OMS)
Azure Log Analytics
Azure Configuration Management
Azure Diagnostics

 

 

 

 

 

 

 

 

 

"เมื่อผู้ใช้เปิดใช้งานบริการดังกล่าว OMI จะถูกติดตั้งอย่างเงียบๆ บนเครื่อง VM (Virtual Machine) ของพวกเขา โดยทำงานด้วยสิทธิพิเศษสูงสุดเท่าที่เป็นไปได้" Nir Ohfeld นักวิจัยด้านความปลอดภัยของ Wiz กล่าว

"นอกเหนือจากลูกค้า Azure cloud แล้ว ลูกค้า Microsoft รายอื่นๆ จะได้รับผลกระทบ เนื่องจากสามารถติดตั้ง OMI บนเครื่อง Linux ได้ และมักใช้ในองค์กร" Ohfeld กล่าวเสริม

เนื่องจาก OMI ทำงานเป็น Root ที่มีสิทธิ์สูงสุด ช่องโหว่ดังกล่าวอาจถูกโจมตีโดยผู้ไม่หวังดีจากภายนอก หรือผู้ใช้ที่มีสิทธิ์ต่ำเพื่อรันโค้ดที่เป็นอันตรายจากระยะไกลบนเครื่องเป้าหมาย และยกระดับสิทธิ์ของตนเอง และทำให้ผู้ไม่หวังดีสามารถใช้ประโยชน์จากการยกระดับสิทธิ์ในการติดตั้งการโจมตีอื่นๆอีกต่อไป

ช่องโหว่ 4 รายการที่สำคัญที่สุดคือช่องโหว่เรียกใช้โค้ดที่เป็นอันตรายจากระยะไกลที่เกิดจากพอร์ต HTTPS ที่ถูกเปิดไว้ เช่น 5986, 5985 หรือ 1270 ทำให้ผู้ไม่หวังดีสามารถที่จะเข้าถึง Azure ของเป้าหมายได้ และเริ่มเคลื่อนย้ายตนเองเข้าสู่เครือข่ายของเหยื่อ

"ด้วยแพ็กเก็ตเดียว ผู้ไม่หวังดีสามารถเป็น Root บนเครื่องจากระยะไกลได้โดยเพียงแค่ลบ Authentication Header มันง่ายมาก" "นี่เป็นช่องโหว่เรียกใช้โค้ดที่เป็นอันตรายจากระยะไกลที่เราสามารถเห็นได้ในตำราเรียนตั้งแต่ในยุค 90 เป็นเรื่องผิดปกติอย่างมากที่ยังสามารถเห็นมันเกิดขึ้นกับ Endpoints นับล้าน ในปี 2021" Ohfeld กล่าว

OMI เป็นเพียงตัวอย่างหนึ่งของ Software Agent ที่แอบติดตั้งโดยผู้ใช้งานไม่รู้ตัว สิ่งสำคัญคือต้องทราบว่า Software Agent เหล่านี้ไม่ได้มีเพียงใน Azure แต่ใน Amazon Web Services และ Google Cloud Platform ก็อาจมีเช่นเดียวกัน

คำแนะนำ

ในตอนนี้ Azure ไม่สามารถ Update OMI ให้ผู้ใช้งานที่ติดตั้ง Version ที่มีช่องโหว่ได้ แต่ผู้ใช้งานสามารถแก้ไขได้โดยดาวน์โหลด Package Repository ของ Microsoft และดำเนินการ Update OMI โดย การติดตั้ง OMI Version ใหม่ รายละเอียดสามารถเข้าไปอ่านเพิ่มเติมได้ใน

ที่มา : msrc.

นักวิจัยของ Bitdefender ให้ข้อมูลว่า กลุ่ม Crytojacking โจมตีด้วยวิธีการ SSH brute-forcer ที่เรียกว่า Diicot brute เพื่อเข้าถึงเครื่อง Linux และติดตั้ง miner XMRig ซึ่งเป็น open-source ที่ถูกดัดแปลงเพื่อใช้ในการทำ Crytojacking โดยกลุ่มแฮกเกอร์จำนวนมาก

นักวิจัยกล่าวว่า กลุ่ม Crytojacking นี้มีความเกี่ยวข้องกับ botnet ที่พัฒนาบน Linux-based ซึ่งมักใช้ในการทำ DDoS อย่างน้อย 2 ตัวด้วยกันคือ “Chernobyl” และ Perl IRC bot โดยแรงจูงใจหลักของ campaign นี้คือการติดตั้งมัลแวร์สำหรับขุด Monero Coin (XMR) และยังมีเครื่องมือที่สามารถขโมยข้อมูลจากผู้ใข้งานได้

Cryptojacking ได้รายได้จากการขุดไม่มากนัก เลยเป็นเหตุผลให้ผู้โจมตีนิยมใช้ botnet เพื่อพยายามแพร่กระจายไปยังอุปกรณ์ต่างๆให้มากที่สุด เพราะการต้องติดตั้งระบบเพื่อใช้ในการขุด Cryptocurrency ไม่คุ้มค่ามากพอในปัจจุบัน ดังนั้นผู้โจมตีจึงต้องใช้วิธีเข้าควบคุมเครื่องต่างๆที่พวกเค้าควบคุมไว้จากระยะไกลแทน

ผู้โจมตีกำหนดเป้าหมายไปที่เครื่องที่มีการตั้งค่าเริ่มต้น หรือรหัสผ่านที่ไม่ปลอดภัย เป็นเหตุผลว่าทำไมผู้ใช้งานถึงโดน SSH Brute-forcing ได้อย่างง่ายดาย

ผู้เชี่ยวชาญจาก Bitdefender กล่าวเพิ่มเติมว่า การที่แฮกเกอร์ Brute force SSH ที่มีรหัสผ่านที่สามารถคาดเดาได้ง่ายไม่ใช่เรื่องแปลก แต่ที่วิธีการที่ทำให้ไม่สามารถตรวจจับการโจมตีได้เป็นเรื่องที่ยากกว่า ซึ่ง Diicot Brute force มีความสามารถในการหลบเลี่ยงระบบที่คาดว่าถูกทำไว้เป็น Honeypots ได้อีกด้วย

นักวิจัยจาก Bitdefenderได้ติดตามกลุ่ม Cryptojacking ซึ่งพบการดาวน์โหลดมัลแวร์จาก “.93joshua” แต่น่าแปลกที่สามารถตรวจพบ “[http://45[.]32[.]112[.]68/.sherifu/.93joshua]” ในไดเร็กทอรีที่สามารถเปิดได้อย่างง่ายผิดปกติ แม้ว่าจะมีการซ่อนไฟล์จำนวนมากรวมไว้ในสคริปต์อื่นๆ และนักวิจัยยังพบว่ามีโดเมนที่เกี่ยวข้องอื่นๆเช่น mexalz.

กลุ่มอาชญากรผู้อยู่เบื้องหลังมัลแวร์เรียกค่าไถ่ REvil เริ่มมีการใช้งานเครื่องมือเข้ารหัสเวอร์ชั่น Linux โดยพุ่งเป้าโจมตีเครื่องคอมพิวเตอร์แม่ข่ายแบบเสมือนหรือ Virtual Machine (VM) ที่ทำงานอยู่บน VMware ESXi เป็นหลัก ซึ่งเป็นผลมาจากความนิยมในการใช้งาน VM ขององค์กรในยุคปัจจุบันทำให้กลุ่มอาชญากรไซเบอร์เร่งพัฒนาเครื่องมือที่จะใช้ในการโจมตีด้วยการเข้ารหัสข้อมูลของ VM

เมื่อเดือนพฤษภาคมที่ผ่านมา ผู้เชี่ยวชาญด้านข่าวกรองทางไซเบอร์, Yelisey Boguslavskiy โพสต์ข้อมูลผ่านทวิตเตอร์ว่าพบข้อมูลการประกาศบนเว็บบอร์ดแห่งหนึ่งโดยกลุ่มอาชญากรผู้อยู่เบื้องหลังมัลแวร์เรียกค่าไถ่ REvil ทำการยืนยันว่าได้เปิดให้ใช้งานเครื่องมือเข้ารหัสเวอร์ชั่นระบบปฏิบัติการ Linux ซึ่งสามารถใช้โจมตีอุปกรณ์ NAS ได้อีกด้วย

เมื่อวันที่ 28 มิ.ย.64 ที่ผ่านมา กลุ่มนักวิจัยด้านความปลอดภัยทางไซเบอร์จาก MalwareHunterTeam เปิดเผยว่าตรวจพบมัลแวร์เรียกค่าไถ่ REvil เวอร์ชั่น Linux เช่นกัน หรือที่รู้จักกันในชื่อ "Sodinokibi" ซึ่งกำลังพุ่งเป้าโจมตีเครื่องแม่ข่ายที่ใช้งาน VMware ESXI

Vitali Kremez ซึ่งเป็นผู้เชี่ยวชาญด้านข่าวกรองทางไซเบอร์ให้สัมภาษณ์ BleepingComputer หลังจากมีโอกาสได้ทำการวิเคราะห์ไฟล์มัลแวร์พันธ์ุใหม่นี้ว่า มันเป็นไฟล์ ELF ชนิด 64-bit ซึ่งมีการนำรูปแบบการตั้งค่าการใช้งานเหมือนกับไฟล์ Executable ที่พบได้บนระบบปฏิบัติการ Windows และนี่เป็นครั้งแรกที่มีการค้นพบมัลแวร์เรียกค่าไถ่ REvil เวอร์ชั่น Linux ในการโจมตีที่เกิดขึ้นจริงนับตั้งแต่มันถูกเปิดให้ใช้งาน

สำหรับขีดความสามารถของมัลแวร์ชนิดนี้ ผู้โจมตีสามารถกำหนดตำแหน่งของไฟล์ที่ต้องการเข้ารหัสได้ รวมทั้งสามารถเปิดการใช้งาน "Silent Mode" ซึ่งใช้สำหรับป้องกันการปิดการทำงานของ "VMs mode" ดังแสดงตามรายละเอียดในคำแนะนำการใช้งาน (Usage Instructions) ของมัลแวร์ ดังนี้

Usage example: elf.