Cybersecurity
- 21 ส.ค. 63
-
1277
-
แจ้งเตือน พบมัลแวร์ FritzFrog โจมตีเซิร์ฟเวอร์ SSH ทั่วโลก จุดประสงค์เพื่อขุดเงินดิจิทัล
ทีมนักวิจัยด้านความมั่นคงปลอดภัยจาก Guardicore ได้รายงานการโจมตีโดยใช้มัลแวร์ที่มีชื่อว่า FritzFrog เป้าหมายการโจมตีคือเซิร์ฟเวอร์ที่เปิดให้เชื่อมต่อได้ผ่านบริการ SSH (secure shell) จุดประสงค์การโจมตีเพื่อใช้เป็นฐานขุดสกุลเงินดิจิทัล (cryptocurrency) จากรายงาน การโจมตีดังกล่าวเริ่มขึ้นตั้งแต่เดือนมกราคม 2563 เป้าหมายหลักของการโจมตีส่วนใหญ่เป็นหน่วยงานภาครัฐ สถาบันการศึกษา และสถาบันการเงิน
FritzFrog เป็นมัลแวร์ที่ถูกพัฒนาด้วยภาษา Golang พฤติกรรมการทำงานนั้นสามารถจัดให้เป็นได้ทั้งประเภท botnet และ worm กล่าวคือตัวมัลแวร์มีความสามารถในการเปลี่ยนเครื่องที่ตกเป็นเหยื่อให้กลายเป็นเครื่องที่ใช้เพื่อรับคำสั่งจากผู้ไม่หวังดี และตัวมัลแวร์สามารถแพร่กระจายตัวเองไปยังเครื่องอื่น ๆ ผ่านระบบเครือข่ายได้
ช่องทางการโจมตีของ FritzFrog จะเริ่มจากการ brute force เพื่อล็อกอินเข้าไปยังเซิร์ฟเวอร์ผ่านช่องทาง SSH หลังจากที่โจมตีสำเร็จแล้วจะเพิ่ม public key ของผู้โจมตีเข้าไปยัง authorized_keys บนเครื่องเป้าหมายเพื่อใช้เป็นช่องทางในการเชื่อมต่อเข้ามาในภายหลัง จากนั้นมัลแวร์จะรันคำสั่ง netcat เปิดพอร์ตหมายเลย 1234 เพื่อรอรับคำสั่งจากเครื่องสั่งการและควบคุม (command and control หรือ C2) โดยในขั้นตอนสุดท้ายจะติดตั้งเครื่องมือสำหรับขุดเงินดิจิทัลสกุล Monero พร้อมรันโปรแกรมที่มีการใช้งาน CPU ในระดับสูง จุดประสงค์เพื่อกลบเกลื่อนและทำให้สังเกตความผิดปกติได้ยาก
ในการติดต่อกับเครื่อง C2 นั้นตัวมัลแวร์จะใช้ใช้การเชื่อมต่อแบบ peer-to-peer (P2P) ซึ่งเป็นการเชื่อมต่อแบบไม่มีศูนย์กลางที่ชัดเจน จึงเป็นการยากที่จะตัดวงจรการเชื่อมต่อจากเครื่อง C2 ทั้งหมดได้ การรับส่งข้อมูลกับเครื่อง C2 ถูกเข้ารหัสลับ นอกจากนี้ตัวมัลแวร์ยังเน้นทำงานบนแรมโดยไม่มีการเขียนไฟล์ลงบนดิสก์ (fileless) รวมถึงรองรับการทำลายข้อมูลในแรมด้วย เพื่อให้การวิเคราะห์หาร่องรอยของมัลแวร์ในภายหลังนั้นทำได้ยาก
จากรายงานพบเครื่องเซิร์ฟเวอร์ที่ตกเป็นเหยื่อของมัลแวร์ FritzFrog นั้นมีอยู่ทั่วโลก รวมถึงประเทศไทยด้วย เพื่อหลีกเลี่ยงและป้องกันความเสี่ยงที่อาจเกิดขึ้น ผู้ดูแลระบบควรตั้งค่าการล็อกอินผ่าน SSH ให้มีความมั่นคงปลอดภัย เช่น ป้องกันการ brute force หรือใช้ key แทนการใช้รหัสผ่าน รวมถึงหมั่นตรวจสอบความผิดปกติของเซิร์ฟเวอร์อย่างสม่ำเสมอ ทั้งนี้ ทางทีม Guardicore ได้เผยแพร่ข้อมูล IoC ที่เกี่ยวข้อง และสคริปต์สำหรับตรวจจับมัลแวร์ FritzFrog โดยผู้ดูแลระบบสามารถตรวจสอบข้อมูลเพิ่มเติมได้ตามลิงก์ต่อไปนี้ https://github.com/guardicore/labs_campaigns/tree/master/FritzFrog
ที่มา: Guardicore, Bleeping Computer, The Hacker News