Microsoft เปิดเผยกลุ่ม Cryptomining มุ่งเป้าหมายยึดครอง Kubernetes Cluster ซึ่งใช้ทำ Machine Learning

Microsoft ได้ออกเผยแพร่รายงานซึ่งมีรายละเอียดของการโจมตี Kubeflow ซึ่งเป็นชุดเครื่องมือสำหรับการใช้งาน Machine learning (ML) ซึ่งอยู่ใน Kubernetes

Yossi Weizman นักวิจัยด้านความปลอดภัยของ Microsoft Azure Security Center ได้ออกมาเปิดเผยถึงการโจมตีว่า การโจมตีเกิดขึ้นตั้งแต่เดือนเมษายนที่ผ่านมา และสามารถตรวจจับกลุ่มที่ทำการโจมตี Kubernetes Cluster นี้ได้ 10 กลุ่มด้วยกันโดยเป้าหมายของการโจมตีนั้นพุ่งเป้าไปที่ Kubeflow ซึ่งเป็นชุดเครื่องมือสำหรับการใช้งาน Machine learning (ML) โดยโหนดของ ML นั้นจะมีประสิทธิภาพค่อนข้างสูง ผู้โจมตีจึงกำหนดเป้าหมายเพื่อใช้โหนดในการติดตั้งแอปพลิเคชั่นการขุด Monero Cryptocurrency

Weizman กล่าวว่าตั้งแต่เดือนเมษายนกลุ่ม Cryptomining ได้สแกนหา Dashboard ของผู้ดูแลระบบที่สามารถเข้าถึงผ่านอินเทอร์เน็ตเมื่อสามารถเข้าถึงได้จะทำการ Deploy ตัว Server Image ตัวใหม่ลงบน Kubeflow Cluster เพื่อที่จะสามารถใช้งาน XMRig ซึ่งเป็นแอปพลิเคชั่นการขุด Monero Cryptocurrency

Weizman ได้ออกคำเเนะนำผู้ดูแลระบบเซิร์ฟเวอร์ให้ทำการตรวจสอบ Kubeflow Instances ว่าถูกบุกรุกหรือไม่โดยมีวิธีการตรวจสอบดังนี้

ให้ทำการตรวจสอบว่าใน Container นั้นมีการ Deploy Server Images ที่ไม่รู้จักหรือไม่ โดยสามารถใช้คำสั่งทำการตรวจสอบดังนี้
kubectl get pods –all-namespaces -o jsonpath=" {.items[*].spec.

Zoom ถูกปลอมโปรแกรมการติดตั้งเพื่อใช้แพร่กระจายมัลแวร์

Zoom ถูกปลอมโปรแกรมการติดตั้งเพื่อใช้แพร่กระจายมัลแวร์

TrendMicro ได้รายงานว่าพบการเเพร่กระจายของตัวโปรแกรมติดตั้งไคลเอนต์ Zoom ที่แฝงมาพร้อมกับมัลแวร์เช่น Coinminers, Remote Access Trojans ในคอมพิวเตอร์ของเหยื่อ

TrendMicro ยังได้กล่าวว่าพบตัวติดตั้งไคลเอนต์ที่ถูกต้องของ Zoom ที่มาพร้อมกับมัลแวร์ Coinminer ถูกใช้เพื่อล่อลวงผู้ใช้ที่ต้องการติดตั้งซอฟต์แวร์ แต่ไฟล์การติดตั้งที่ผู้ใช้ดาวน์โหลดนี้ไม่ได้มาจากเว็บไซต์ทางการของ Zoom

เมื่อทำการติดตั้งไคลเอนต์เสร็จเรียบร้อย มัลแวร์นี้จะพยายามใช้ GPU และ CPU เพื่อทำการขุดหา Monero Cryptocurrency ซึ่งจะทำให้คอมพิวเตอร์ช้าลงและทำให้คอมพิวเตอร์เกิดความร้อนที่มากเกินไปซึ่งอาจเป็นที่มาทำให้ฮาร์ดแวร์เสียหายได้

ยังมีโปรแกรมติดตั้งไคลเอนต์ Zoom ตัวอื่นจะแฝงมัลแวร์ njRAT Remote Access Trojan หรือที่รู้จักกันชื่อ Bladabindi ซึ่งจะทำให้ผู้โจมตีเข้าถึงคอมพิวเตอร์ของเหยื่อที่ติดไวรัส เเละสามารถขโมยข้อมูล, ถ่ายภาพหน้าจอด้วยกล้องเว็บแคมบนคอมพิวเตอร์หรือรันคำสั่งเพื่อดาวน์โหลดและติดตั้งมัลแวร์อื่น ๆ

เพื่อเป็นแนวทางป้องกันให้ดาวน์โหลดไคลเอนต์ Zoom จากส่วนการดาวน์โหลดในเว็บไซต์อย่างเป็นทางการบนเว็บไซต์ Zoom.