แฮกเกอร์ใช้เครื่องมือ Open Source ขโมยข้อมูลบัญชีผู้ใช้และรหัสผ่าน

แฮกเกอร์ใช้เครื่องมือ Open Source ขโมยข้อมูลบัญชีผู้ใช้และรหัสผ่าน

ขอบคุณภาพจาก twenty20.com

นักวิจัยระบุ Chimaera คือชื่อปฏิบัติการเจาะระบบของแฮกเกอร์กลุ่มใหม่ที่ชื่อ TeamTNT

นักวิจัยด้านความปลอดภัยค้นพบปฏิบัติการใหม่ที่นำโดยกลุ่มอาชญากรไซเบอร์ TeamTNT ที่มุ่งเป้าไปยังระบบปฏิบัติการและแอปพลิเคชันหลาย ๆ ตัว

ข้อมูลจาก AT&T Alien Labs เผยว่า ปฏิบัติการนี้นี้มีชื่อว่า Chimaera ซึ่งใช้ทั้ง multiple shell/batch script เครื่องมือ open source ใหม่ ๆ ตัวขุดเหรียญคริปโต บอทของ TeamTNT IRC และอื่น ๆ อีกมากมาย

จากการสืบสวนเซิร์ฟเวอร์ C&C (Command and control server) ของกลุ่มนี้ นักวิจัยพบว่าปฏิบัติการดังกล่าวเริ่มดำเนินการมาตั้งแต่เดือนกรกฎาคมปีนี้ และมีส่วนในเคสติดไวรัสหลายพันกว่าเคสทั่วโลก

นักวิจัยกล่าวว่า แฮกเกอร์ใช้เครื่องมือ open source แบบใหม่เพื่อขโมยบัญชีผู้ใช้และรหัสผ่านจากเครื่องที่ติดไวรัส และมุ่งเป้าโจมตีระบบปฏิบัติการต่าง ๆ อย่าง Windows และ Linux รุ่นต่าง ๆ รวมถึง Alpine (สำหรับคอนเทนเนอร์), AWS, Docker และ Kubernetes ด้วย

เครื่องมือที่แฮกเกอร์ใช้ ได้แก่ Masscan และตัวสแกนพอร์ตเพื่อค้นหาผู้ติดไวรัสรายใหม่ Process Header เพื่อใช้งานบอทจากเมมโมรีโดยตรง ใช้ 7z เพื่อแตกไฟล์ที่ถูกดาวน์โหลด และ b374k shell ซึ่งเป็นตัวดูแลเว็บแบบ PHP ที่สามารถใช้ควบคุมระบบที่ติดไวรัสได้ และ Lazagne ซึ่งเป็นเครื่องมือ open source สำหรับระบบปฏิบัติการบนเว็บต่าง ๆ ที่ทำหน้าที่จัดเก็บข้อมูลรับรองตัวตนของหลายๆ แอปพลิเคชัน

เมื่อโจมตีระบบ Windows ผู้โจมตีจะใช้ script อันตรายที่ทำการดาวน์โหลดเครื่องมือทั้งหมดที่ต้องใช้ในการแตกไฟล์และรันตัวโปรแกรม Xmrig miner ซึ่งรวมถึงการใช้ซอฟต์แวร์ 7z เพื่อแตกไฟล์ที่ถูกดาวน์โหลดและซอฟต์แวร์ Nssm เพื่อเพิ่ม miner เข้ามาเป็นบริการในเครื่องด้วย

ที่น่าเป็นห่วงก็คือ ตัวอย่างมัลแวร์ที่นักวิจัยรวบรวมมานั้นยังไม่ถูกโปรแกรมแอนตี้ไวรัสจับได้ ส่วนตัวอย่างอื่น ๆ ก็มีอัตราการถูกตรวจพบต่ำ

“อย่างไรก็ตาม ตัว Defender สามารถปรับใช้กลยุทธ์เชิงรุกในการทำให้ระบบของพวกเขาแข็งแกร่งขึ้นได้ ตัวอย่างเช่น ในกรณีการโจมตีระดับสูงเมื่อเร็วๆ นี้ที่โจมตี Kubernetes ก็มีการโจมตีโดย TeamTNT ด้วย และเมื่อเดือนสิงหาคมของปีนี้ ทาง NSA (National Security Agency) และ CISA (Cybersecurity and Infrastructure Security Agency) ก็เผยแพร่คู่มือ Kubernetes Hardening Guidance " Ofer Caspi นักวิจัยด้านความปลอดภัยของ Alien Labs กล่าว

Caspi กล่าวว่า ขณะที่นักวิจัยกำลังสังเกตปฏิบัติการเก่าๆ ของ TeamTNT อยู่ แฮกเกอร์กลุ่มนี้กำลังมุ่งเป้าไปยังการขโมยข้อมูลรับรองตัวตนของระบบคลาวด์ โดยใช้ระบบที่ติดไวรัสในการขุดเหรียญคริปโต และใช้เครื่องของเหยื่อในทางที่ผิดเพื่อค้นหาระบบที่มีช่องโหว่อื่น ๆ และทำการแพร่กระจายไวรัส

“การใช้เครื่องมือ open-source อย่าง Lazagne ช่วยให้ TeamTNT รอดพ้นการตรวจจับไปได้ชั่วขณะหนึ่ง และทำให้แอนตี้ไวรัสตรวจจับได้ยากขึ้น” Caspi กล่าวเสริม

นักวิจัยเร่งเร้าให้องค์กรต่าง ๆ มีการอัปเดตซอฟต์แวร์อยู่เสมอ และรักษาระดับการเข้าถึงอินเทอร์เน็ตบนเซิร์ฟเวอร์ Linux และอุปกรณ์ IoT ให้น้อยที่สุด และควรใช้ไฟร์วอลล์ที่ตั้งค่าอย่างเหมาะสม

ที่มา: https://bit.ly/3BfIyx2