แคมเปญการโจมตีแบบ Proxyjacking สร้างรายได้จากแบนด์วิธของเซิร์ฟเวอร์ SSH ที่ถูกโจมตี

Akamai เปิดเผยการค้นพบแคมเปญการโจมตีของกลุ่ม Hacker ที่ได้มุ่งเป้าการโจมตีไปยัง SSH servers ที่มีช่องโหว่ ด้วยการโจมตีแบบ proxyjacking และนำแบนด์วิธอินเทอร์เน็ตที่ไม่ได้ใช้ของ SSH servers ที่ถูกโจมตีไปขายต่อเพื่อสร้างรายได้ ในลักษณะเดียวกันกับการโจมตีแบบ cryptojacking ที่กลุ่ม Hacker ได้ทำการใช้ประโยชน์จาก SSH servers ที่ถูกโจมตีเพื่อขุดเหรียญ cryptocurrency โดยกลยุทธ์ทั้งหมดนี้เป็นการใช้ประโยชน์จากเครื่อง SSH servers ที่ถูกโจมตี เพื่อสร้างรายได้ให้แก่กลุ่ม Hacker

ทั้งนี้ Akamai พบว่าการโจมตีแบบ proxyjacking ตรวจจับได้ค่อนข้างยาก เนื่องจาก Hacker จะใช้เฉพาะแบนด์วิธที่ไม่ได้ใช้งานของระบบที่ถูกโจมตี ซึ่งไม่ส่งผลกระทบต่อความเสถียร และประสิทธิภาพการใช้งาน เนื่องจาก Hacker ได้ทำการตั้งค่า proxy ที่สามารถช่วยปกปิดร่องรอยการโจมตี โดยมีเป้าหมายเพื่อขายแบนด์วิธอินเทอร์เน็ตเท่านั้น ทำให้เหยื่อสามารถตรวจจับได้ยาก

นักวิจัยพบว่า Hacker จะโจมตีไปยัง SSH servers ที่มีช่องโหว่ โดยใช้ SSH Protocol ในการการเข้าถึงเครื่องจากระยะไกล และเรียกใช้ scripts อันตรายที่แอบเชื่อมต่อเซิร์ฟเวอร์ของเหยื่อเข้าสู่เครือข่าย peer-to-peer (P2P) เช่น Peer2Proxy หรือ Honeygain

โดยทาง Akamai ได้พบรายการ IP ที่เกี่ยวข้องจากการตรวจสอบ และ proxy อื่น ๆ อีกอย่างน้อย 16,500 รายการ ที่ถูกแชร์ไว้บนฟอรัมออนไลน์

การบริการ Proxyware และ Docker containers

นักวิจัยของ Akamai พบการโจมตีครั้งแรกเมื่อวันที่ 8 มิถุนายน 2023 หลังพบการเชื่อมต่อ SSH หลายจุดใน honeypots ที่ถูกสร้างขึ้นโดยทีม Security Intelligence Response Team (SIRT)

ทีม SIRT พบว่า เมื่อ Hacker ทำการเชื่อมต่อกับหนึ่งใน SSH servers ที่มีช่องโหว่ Hacker จะใช้สคริปต์ Bash ที่เข้ารหัส Base64 เพื่อเพิ่ม SSH servers ที่ถูกโจมตีไปยังเครือข่าย proxy ของ Honeygain หรือ Peer2Profit

โดยสคริปต์ดังกล่าวจะทำการตั้งค่า container ด้วยการดาวน์โหลดอิมเมจ Peer2Profit หรือ Honeygain Docker และทำการกำจัด bandwidth-sharing container ที่มีอยู่เดิมอีกด้วย รวมไปถึงการติดตั้ง cryptominer เพื่อทำการโจมตี cryptojacking ในเครื่องดังกล่าว และติดตั้ง hacking tools อื่น ๆ เพิ่มเติม

ทั้งนี้แคมเปญที่พบดังกล่าวเป็นแค่เพียงส่วนหนึ่งของการโจมตีแบบ proxyjacking เท่านั้น เนื่องจากก่อนหน้านี้ก็พบการรายงานการโจมตีประเภทดังกล่าวจาก Cisco Talos และ Ahnlab เช่นเดียวกัน โดยได้เชื่อมต่อไปยังเครือข่าย proxy ของ Honeygain, Nanowire, Peer2Profit, IPRoyal และอื่น ๆ เช่นเดียวกันกับที่ทาง Sysdig ได้ค้นพบแคมเปญการโจมตี proxyjackers ในเดือนเมษายน 2023 ที่ Hacker ได้โจมตีผ่านช่องโหว่ Log4j เพื่อเข้าถึงระบบ ทำให้สามารถสร้างรายได้ได้สูงถึง $1,000 สำหรับอุปกรณ์ทุก ๆ 100 เครื่องที่ถูกเพิ่มลงในรายการ proxyware botnet

 

ที่มา : bleepingcomputer

Read more