นักวิจัยจาก Palo Alto Network ได้เปิดเผยถึงการตรวจพบมัลแวร์ Cryptojacking ชนิดใหม่ที่มีชื่อว่า Pro-Ocean ของกลุ่มแฮกเกอร์ Rocke ที่พุ่งเป้าหมายไปยังเซิร์ฟเวอร์อินสแตนซ์ที่มีช่องโหว่ของ Apache ActiveMQ, Oracle WebLogic และ Redis

มัลแวร์ Pro-Ocean กำหนดเป้าหมายการโจมตีไปยังแอปพลิเคชันบนคลาวด์เซิร์ฟเวอร์และใช้ประโยชน์จากช่องโหว่ของเซิร์ฟเวอร์ Oracle WebLogic (CVE-2017-10271), Apache ActiveMQ (CVE-2016-3088) และอินสแตนซ์ Redis ที่ไม่ได้รับการแพตช์ความปลอดภัยเพื่อเข้าควบคุมเซิร์ฟเวอร์ของเป้าหมาย

นักวิจัยจาก Palo Alto Networks ได้ทำการวิเคราะห์มัลแวร์และพบว่ามัลแวร์มีความสามารถของรูทคิตและเวิร์มที่ถูกทำการปรับปรุงใหม่ ซึ่งจะช่วยให้มัลแวร์สามารถซ่อนกิจกรรมที่เป็นอันตรายและแพร่กระจายไปยังซอฟต์แวร์ที่อยู่บนเครือข่ายของเป้าหมายได้ นอกจากนี้มัลแวร์ยังมีความสามารถของ Cryptojacking ที่ถูกใช้ในการขุด Monero ที่มาพร้อมกับโมดูลที่จะคอย Monitor การใช้งานของ CPU ซึ่งถาหากมีการใช้งาน CPU มากกว่า 30% ตัวมัลแวร์จะทำการ Kill โปรเซสการทำงานทิ้ง เพื่อเป็นการป้องกันการถูกตรวจจับความผิดปกติของการทำงาน

ทั้งนี้ผู้ดูแลระบบเซิร์ฟเวอร์ Oracle WebLogic, Apache ActiveMQ และอินสแตนซ์ Redis ควรรีบทำการอัปเดตแพตช์ความปลอดภัยให้เป็นเวอร์ชันล่าสุดเพื่อป้องกันการตกเป็นเป้าหมายการโจมตีของมัลแวร์ Pro-Ocean

ที่มา: bleepingcomputer

Guardicore ออกรายงานวิเคราะห์มัลแวร์ขุดเหมือง Monero ตัวใหม่ชื่อ FritzFrog โจมตี Linux ผ่าน SSH มีลักษณะเป็น worm และ botnet มุ่งเป้าหมายโจมตีหน่วยงานรัฐ ภาคการศึกษา และสถาบันการเงิน พบโจมตีตั้งแต่เดือนมกราคม 2020 ในขณะนี้มีเหยื่อติดเชื้อราวๆ 500 เซิร์ฟเวอร์และมีความพยายามโจมตี brute force กว่าล้านไอพี

FritzFrog เป็นมัลแวร์ที่มีความซับซ้อน มีการสั่งงานกันผ่าน peer-to-peer (P2P) คือคุยกันระหว่าง FritzFrog แต่ละตัวโดยไม่มีต้องมี Command & Control (C&C) ที่เป็นศูนย์กลางรวมถึงมีการรัน payload ในเมมโมรี่ ทำให้ยากต่อการตรวจจับ

เมื่อ FritzFrog ยึดเครื่องผ่าน SSH สำเร็จ มันจะลบตัวเองทิ้ง และรันด้วยโปรเสส ชื่อ ifconfig และ nginx จากนั้นมันจะรอคำสั่งต่อไปผ่าน port 1234 ซึ่งตามปกติแล้ว port 1234 มีความผิดปกติและตรวจจับได้ง่าย แต่ FritzFrog ใช้วิธีเพิ่ม SSH authorized_keys เพื่อให้ผู้โจมตีส่งคำสั่งผ่าน SSH แล้วเปิด netcat client บนเครื่องของเหยื่อเพื่อส่งคำสั่งจาก SSH ไปยัง port 1234 ทำให้ตรวจจับไม่ได้จากไฟร์วอลโดยตรงว่ามีการส่งคำสั่งมาจากเน็ตเวิร์คผ่าน port 1234 นอกจากนี้ยังมีการรันโปรเสสชื่อ libexec เพื่อขุดเหมือง Monero

Guardicore ระบุวิธีตรวจจับ FritzFrog ไว้ดังต่อไปนี้
1 ใช้สคริป detect_fritzfrog.

นักวิเคราะห์ของ Cybersecurity and Infrastructure Security Agency (CISA) ได้ทำการรบรวม Signature ที่ทำการตรวจพบและได้รับความนิยมสุงสุดในเดือนพฤษภาคมที่ผ่านมา โดยข้อมูลที่ทำการรวบรวมนั้นทำการรวบรวามผ่านระบบตรวจจับการบุกรุกแห่งชาติ หรือ National Intrusion Detection System (IDS) ซึ่งเป็นที่รู้จักกันในชื่อ “EINSTEIN” โดยรายละเอียดและ Signature ที่ถูกพบมากที่สุดมีดังนี้

NetSupport Manager Remote Access Tool (RAT) เป็นเครื่องมือการเข้าถึงจากระยะไกลที่ถูกกฏหมาย โดยซอฟต์แวร์ซึ่งเมื่อทำการติดตั้งบนเครื่องของเหยื่อแล้วจะอนุญาตให้ทำการควบคุมได้จากระยะไกลและสามารถทำการขโมยข้อมูลได้
Kovter เป็นโทรจันที่มีหลายสายพันธุ์ มีลักษณะคล้ายแรนซัมแวร์และมักถูกพบการใช้โดยผู้ประสงค์ร้ายที่ต้องการดำเนินการหลอกลวงผู้ใช้งานที่เป็นเป้าหมายให้ทำการติดเชื้อจากนั้นจะทำการขโมยข้อมูลจากเครื่องเป้าหมายไปยังเซิร์ฟเวอร์ C2 ของผู้ดำเนินการ
XMRig เป็นประเภทของ miner cryptocurrency ที่ใช้ทรัพยากรของเครื่องที่ติดเชื้อทำการขุด Monero ซึ่งอาจทำให้คอมพิวเตอร์ที่เป็นเหยื่อมีความร้อนสูงเกินไปและทำให้ไม่สามารถใช้ทรัพยากรระบบได้ดีหรือบางครั้งก็ไม่สามารถใช้งานได้
CISA ได้ออกคำเเนะนำและเเนวทางปฏิบัติสำหรับองค์กรเพื่อหลีกเลี่ยงจากภัยคุกความข้างต้น

ทำการปรับปรุงและอัพเดต signature ของซอฟต์แวร์ป้องกันไวรัสอยู่เสมอ
ทำการตรวจสอบให้เเน่ใจว่าระบบมีการอัพเดตแพตซ์เป็นเวอร์ชั่นล่าสุด
จำกัดสิทธ์และบังคับใช้นโยบายการติดตั้งและการเรียกใช้งานซอฟต์แวร์ที่ละเมิดลิขสิทธิ์
บังคับใช้นโยบายการใช้รหัสผ่านที่คาดเดาได้ยาก
ใช้ความระมัดระวังเมื่อเปิดสิ่งที่แนบมากับอีเมล แม้ว่าสิ่งที่แนบมาและดูเหมือนว่าจะผู้ส่งจะเป็นที่รู้จัก
เปิดใช้งานไฟร์วอลล์
ตรวจสอบพฤติกรรมการการใช้เข้าเว็บไซต์ของผู้ใช้ รวมถึงการเข้าถึงเว็บไซต์ที่มีเนื้อหาไม่เอื้ออำนวย
ใช้ความระมัดระวังเมื่อใช้ USB
สแกนซอฟต์แวร์ทั้งหมดที่ดาวน์โหลดจากอินเทอร์เน็ตก่อนดำเนินการเปิดหรือติดตั้ง
ทั้งนี้ผู้ที่สนใจ Snort Signature ที่กล่าวมาข้างต้นสามารถเข้าไปดูได้จากแหล่งที่มา

ที่มา: us-cert

นักวิจัยจาก Guardicore Labs ได้แจ้งเตือนแคมเปญใหม่ “Vollgar botnet” ที่ใช้ crypto-mining botnet โจมตีฐานข้อมูล Microsoft SQL Server (MSSQL) จุดประสงค์พื่อโจมตีและติดตั้งมัลแวร์ Monero และ Vollar cryptocurrency miners

แคมเปญ “Vollgar Botnet” นี้เริ่มโจมตีตั้งแต่เดือนพฤษภาคม 2561 โดยจะทำการสแกนหาเซิร์ฟเวอร์ที่เปิดให้เข้าถึงพอร์ต SQL Server จากอินเทอร์เน็ต จากนั้นจะทำการโจมตีแบบ brute-force กับฐานข้อมูล Microsoft SQL ที่ตั้งค่ารหัสผ่านที่คาดเดาได้ง่าย เพื่อเข้ายึดเซิร์ฟเวอร์รวมไปถึงเพิ่มผู้ใช้ใหม่ที่มีสิทธิ์เป็นผู้ดูแลระบบ โดยจากนั้นจะทำการติดตั้งมัลแวร์ Monero, Vollar cryptocurrency miners และมัลแวร์ประเภท Remote Access Trojan (RATs) เพื่อขโมยข้อมูลและใช้เป็นฐานโจมตีต่อไป ทั้งนี้พบผู้ติดมัลแวร์ประมาณ 2,000 และ 3,000 ต่อวัน

 

การป้องกันการโจมตีและคำเเนะนำ

Guardicore Labs ได้จัดเตรียมสคริปต์สำหรับตรวจสอบโดยเป็นสคริปต์ภาษา Powershell เพื่อช่วยในการตรวจสอบเส้นทางและ IOCs ของ Vollgar miner

สำหรับผู้ดูแลระบบควรตั้งค่ารหัสผ่านของ Microsoft SQL Server ให้คาดเดาได้ยาก ทำการตรวจสอบและเฝ้าระวังรูปการล็อกอินที่ผิดปกติ และควรเปิดการล็อกอินเข้ามายัง Microsoft SQL Server ได้จากอินเทอร์เน็ต

ที่มา: bleepingcomputer.

Imperva ค้นพบการโจมตีเซิร์ฟเวอร์ PostgreSQL เพื่อติดตั้งมัลแวร์การทำเหมืองข้อมูล cryptocurrency ซึ่งมัลแวร์นี้ถูกซ่อนไว้ในภาพดารา Hollywood ชื่อดังอย่าง Scarlett Johansson

ผู้บุกรุกทำการโจมตี PostgreSQL ผ่านการใช้ module ที่ได้รับการดัดแปลงสำหรับหลีกเลี่ยงการตรวจจับใน Metasploit เมื่อได้ shell ของเครื่องแล้ว สิ่งแรกที่ทำคือการตรวจสอบข้อมูลของ CPU และ GPU ว่าเหมาะสมต่อการทำ cryptocurrency mining ขนาดไหน จากนั้นจะทำการดาวน์โหลดภาพของ Scarlett Johansson จากเว็บไฟล์โฮสติ้ง เมื่อทำการตรวจสอบภาพดังกล่าวพบว่ามีข้อมูลไบนารีที่ผิดปกติซ่อนไว้

จากการตรวจสอบ wallet address ของแฮ็กเกอร์พบว่ามี coin มูลค่าประมาณ 90,000 เหรียญ ซึ่งหมายความว่าผู้โจมตีน่าจะมีการฝังโปรแกรมขุดไว้บนเซิร์ฟเวอร์หลายเครื่องแล้ว

แต่ทำไมผู้โจมตีใช้รูปภาพของคนดังเพื่อฝังมัลแวร์? นักวิจัยเชื่อว่าการทำเช่นนี้เป็นการหลอกลวงโปรแกรมรักษาความปลอดภัยเนื่องจากเทคนิคการผนวกรหัสไบนารีกับไฟล์รูปภาพหรือเอกสารที่แท้จริงทำให้ไฟล์ดูถูกต้องปลอดภัยและสามารถผ่านซอฟต์แวร์ป้องกันไวรัสส่วนใหญ่ได้

ที่มา : hackread

ทีมนักวิจัยด้านความปลอดภัยจาก CheckPoint ได้ออกมาเปิดเผยถึงแคมเปญการโจมตีล่าสุดเพื่อแพร่กระจายมัลแวร์ Coinminer โดยมีเป้าหมายเป็นเซิร์ฟเวอร์ Jenkins ที่มีช่องโหว่ด้านความปลอดภัย จากการประเมินเบื้องต้น ผู้ประสงค์สามารถสร้างรายได้กว่า 3 ล้านดอลลาร์สหรัฐฯ เมื่อแปลงจากสกุลเงิน Monero แล้ว แนะนำให้รีบแพตช์ช่องโหว่โดยด่วน

สำหรับช่องโหว่ที่ผู้ประสงค์ร้ายมุ่งโจมตีนั้นเป็นช่องโหว่รหัส CVE-2017-1000353 ซึ่งมีที่มาจากกระบวนการ serialization/deserialization อย่างไม่ปลอดภัยของ Jenkins CLI ทำให้ผู้ประสงค์ร้ายมีโอกาสในการสแกนหาเซิร์ฟเวอร์ Jenkins ที่สามารถเข้าถึงได้จากอินเตอร์เน็ตและทำการทดลองโจมตีช่องโหว่ดังกล่าวเพื่อที่จะรันโค้ดที่เป็นอันตรายจากระยะไกลเพื่อควบคุมการทำงานของระบบเป้าหมายได้ ช่องโหว่ดังกล่าวส่งผลกระทบจนถึงเวอร์ชัน 2.56 สำหรับ main line release และจนถึงเวอร์ชัน 2.46.1 สำหรับ LTS release

Recommendation : โครงการ Jenkins ได้ออกมาคำแนะนำให้ผู้ใช้งานทำการอัปเกรด Jenkins เป็นเวอร์ชันล่าสุดก่อน (2.57 สำหรับ main line release และ 2.46.2 สำหรับ LTS release) จากนั้นให้ทำการปิดการเข้าถึงจากระยะไกลผ่านทาง CLI โดยเปลี่ยนขั้นตอนในการเข้าถึงเป็นโปรโตคอลอื่นๆ อาทิ HTTP หรือ SSH แทน

Affected Platform : Jenkins main line release จนถึงเวอร์ชัน 2.56 และ Jenkins LTS release จนถึงเวอร์ชัน 2.46.1

ที่มา : hackread

ช่องโหว่ โดยมีจุดประสงค์เพื่อแพร่กระจายมัลแวร์ขุด Monero "DDG" คาดมีจำนวนกว่า 4,000 เซิร์ฟเวอร์ สร้างรายได้กว่าเกือบ 1 ล้านดอลลาร์

อ้างอิงผลการสำรวจของ Netlab การโจมตีในครั้งนี้นั้นดูเหมือนจะมีจุดเริ่มต้นมาตั้งแต่ช่วงเดือนมีนาคม 2017 โดยผู้โจมตีนั้นพุ่งเป้าไปที่การเดารหัสผ่านสำหรับเซิร์ฟเวอร์ที่เป็น Redis และโจมตีด้วยช่องโหว่รหัส CVE-2017-11467 เพื่อให้สามารถรันโค้ดที่เป็นอันตรายได้กับเป้าหมายที่เป็น OrientDB จากสถิติการโจมตีที่รวบรวมมาได้นั้น 73% ของเซิร์ฟเวอร์ที่ถูกโจมตีนั้นอยู่ในจีนซึ่งส่วนแบ่งที่มีมากที่สุดนั้นมาจากเซิร์ฟเวอร์ที่เป็น Redis

เพื่อเป็นการป้องกันการแพร่กระจายของมัลแวร์ ผู้ดูแลระบบและผู้ใช้งานควรมีการปฏิบัติการ security best practice อย่างเคร่งครัด โดยสำหรับ Redis นั้น สามารถดำเนินการตามขั้นตอนแนะนำได้ที่ https://redis.

สรุปย่อ

ทีมนักวิจัยด้านความปลอดภัย Unit 42 จาก Palo Alto Networks ได้ประกาศสถิติการแพร่กระจายของมัลแวร์ประเภท miner ซึ่งพุ่งเป้าไปที่การสร้างผลกำไรในสกุลเงินออนไลน์แบบเสมือนย้อนหลัง 4 เดือน โดยพบว่ายอดดาวโหลดไฟล์โปรแกรมของมัลแวร์ประเภทดังกล่าวในอันดับที่ 1 นั้นมีที่มาจากประเทศไทยกว่า 3,500,000 ครั้ง และมากกว่าอันดับ 2 เกือบเท่าตัว

ทีมตอบสนองการโจมตีและภัยคุกคามจากบริษัทขอแนะนำให้ทำการตรวจสอบการแพร่กระจายของมัลแวร์ตามคำแนะนำในหัวข้อ "ขั้นตอนแนะนำในการจัดการกับภัยคุกคาม" ด้านล่างโดยด่วนที่สุด

ทำความรู้จักกับภัยคุกคามประเภทมัลแวร์ขุดบิทคอยน์
กระบวนการหนึ่งที่สำคัญของระบบเงินแบบไม่มีศูนย์กลาง (decentralized system) คือการที่ผู้ใช้งานในระบบนั้นมีหน้าที่ในการช่วยกันตรวจสอบธุรกรรมที่เกิดขึ้นว่าถูกต้องหรือไม่ และเพื่อจูงใจให้เกิดการตรวจสอบต่อไปเรื่อยๆ ผู้ที่ช่วยในการตรวจสอบธุรกรรมก็จะได้รับ "ผลตอบแทน" นั้นเป็นรางวัล กระบวนการที่ผู้ใช้งานช่วยกันพิสูจน์ความถูกต้องของธุรกรรมนั้นถูกเรียกชื่อตามวิธีการว่า mining

อย่างไรก็ตามการ mining เพื่อให้ได้ผลตอบแทนนั้นแท้จริงเปรียบเสมือนกับการแก้ปัญหาโจทย์ทางคณิตศาสตร์รูปแบบหนึ่งที่เป็นงานที่คอมพิวเตอร์ถนัด การแย่งชิงเพื่อให้สามารถแก้โจทย์ปัญหาได้ก่อนจึงเกิดขึ้นในรูปแบบของการทุ่มพลังในการประมวลผลของคอมพิวเตอร์หลายสิบหรือหลายร้อยเครื่องเพื่อแข่งขันกันว่าผู้ใดจะได้ "คำตอบที่ถูกต้อง" หรือ "ผลตอบแทน" ก่อนกัน

แน่นอนว่าทุกๆ คนนั้นอยากเป็นผู้ชนะ และชัยชนะที่มาพร้อมกับผลตอบแทนมูลค่าสูงย่อมทำให้เกิดการแข่งขันที่สกปรก ผู้ประสงค์ร้ายหรือแฮกเกอร์จึงอาศัยการโจมตีช่องโหว่ของระบบคอมพิวเตอร์ต่างๆ เพื่อแพร่กระจายโปรแกรมสำหรับ mining ซึ่งเมื่อเริ่มทำงานแล้ว โปรแกรม mining จะดึงทรัพยากรของระบบคอมพิวเตอร์ทั้งหมดเพื่อใช้ในการกระบวนการ mining โดยมีปลายทางเพื่อสร้างผลตอบแทนให้กับเจ้าของกระเป๋าหรือเจ้าของบัญชีที่ควบคุมมัลแวร์ให้มากที่สุด
การแพร่กระจายของมัลแวร์ขุดบิทคอยน์
สำหรับมัลแวร์ miner ซึ่งพุ่งเป้าไปที่สกุลเงิน Monero นั้น ทีม Unit 42 ได้ทำการสรุปวิธีการที่ผู้ประสงค์ร้ายใช้ในการแพร่กระจายมัลแวร์ซึ่งมีความแตกต่างกันตามช่วงเวลาตามรายละเอียดดังนี้

ในส่วนของการดาวโหลดและติดตั้งตัวเองนั้น ผู้ประสงค์ร้ายได้มีการใช้งานบริการ Adf.