1726202978.png
1731393918.jpg
1732076627.jpg
1730459076.jpg
1730782055.jpg
1730966771.jpg
1731999875.jpg
แฮกเกอร์ใช้เครื่องมือ Open Source ขโมยข้อมูลบัญชีผู้ใช้และรหัสผ่าน
แฮกเกอร์ใช้เครื่องมือ Open Source ขโมยข้อมูลบัญชีผู้ใช้และรหัสผ่าน
นักวิจัยระบุ Chimaera คือชื่อปฏิบัติการเจาะระบบของแฮกเกอร์กลุ่มใหม่ที่ชื่อ TeamTNT
นักวิจัยด้านความปลอดภัยค้นพบปฏิบัติการใหม่ที่นำโดยกลุ่มอาชญากรไซเบอร์ TeamTNT ที่มุ่งเป้าไปยังระบบปฏิบัติการและแอปพลิเคชันหลาย ๆ ตัว
ข้อมูลจาก AT&T Alien Labs เผยว่า ปฏิบัติการนี้นี้มีชื่อว่า Chimaera ซึ่งใช้ทั้ง multiple shell/batch script เครื่องมือ open source ใหม่ ๆ ตัวขุดเหรียญคริปโต บอทของ TeamTNT IRC และอื่น ๆ อีกมากมาย
จากการสืบสวนเซิร์ฟเวอร์ C&C (Command and control server) ของกลุ่มนี้ นักวิจัยพบว่าปฏิบัติการดังกล่าวเริ่มดำเนินการมาตั้งแต่เดือนกรกฎาคมปีนี้ และมีส่วนในเคสติดไวรัสหลายพันกว่าเคสทั่วโลก
นักวิจัยกล่าวว่า แฮกเกอร์ใช้เครื่องมือ open source แบบใหม่เพื่อขโมยบัญชีผู้ใช้และรหัสผ่านจากเครื่องที่ติดไวรัส และมุ่งเป้าโจมตีระบบปฏิบัติการต่าง ๆ อย่าง Windows และ Linux รุ่นต่าง ๆ รวมถึง Alpine (สำหรับคอนเทนเนอร์), AWS, Docker และ Kubernetes ด้วย
เครื่องมือที่แฮกเกอร์ใช้ ได้แก่ Masscan และตัวสแกนพอร์ตเพื่อค้นหาผู้ติดไวรัสรายใหม่ Process Header เพื่อใช้งานบอทจากเมมโมรีโดยตรง ใช้ 7z เพื่อแตกไฟล์ที่ถูกดาวน์โหลด และ b374k shell ซึ่งเป็นตัวดูแลเว็บแบบ PHP ที่สามารถใช้ควบคุมระบบที่ติดไวรัสได้ และ Lazagne ซึ่งเป็นเครื่องมือ open source สำหรับระบบปฏิบัติการบนเว็บต่าง ๆ ที่ทำหน้าที่จัดเก็บข้อมูลรับรองตัวตนของหลายๆ แอปพลิเคชัน
เมื่อโจมตีระบบ Windows ผู้โจมตีจะใช้ script อันตรายที่ทำการดาวน์โหลดเครื่องมือทั้งหมดที่ต้องใช้ในการแตกไฟล์และรันตัวโปรแกรม Xmrig miner ซึ่งรวมถึงการใช้ซอฟต์แวร์ 7z เพื่อแตกไฟล์ที่ถูกดาวน์โหลดและซอฟต์แวร์ Nssm เพื่อเพิ่ม miner เข้ามาเป็นบริการในเครื่องด้วย
ที่น่าเป็นห่วงก็คือ ตัวอย่างมัลแวร์ที่นักวิจัยรวบรวมมานั้นยังไม่ถูกโปรแกรมแอนตี้ไวรัสจับได้ ส่วนตัวอย่างอื่น ๆ ก็มีอัตราการถูกตรวจพบต่ำ
“อย่างไรก็ตาม ตัว Defender สามารถปรับใช้กลยุทธ์เชิงรุกในการทำให้ระบบของพวกเขาแข็งแกร่งขึ้นได้ ตัวอย่างเช่น ในกรณีการโจมตีระดับสูงเมื่อเร็วๆ นี้ที่โจมตี Kubernetes ก็มีการโจมตีโดย TeamTNT ด้วย และเมื่อเดือนสิงหาคมของปีนี้ ทาง NSA (National Security Agency) และ CISA (Cybersecurity and Infrastructure Security Agency) ก็เผยแพร่คู่มือ Kubernetes Hardening Guidance " Ofer Caspi นักวิจัยด้านความปลอดภัยของ Alien Labs กล่าว
Caspi กล่าวว่า ขณะที่นักวิจัยกำลังสังเกตปฏิบัติการเก่าๆ ของ TeamTNT อยู่ แฮกเกอร์กลุ่มนี้กำลังมุ่งเป้าไปยังการขโมยข้อมูลรับรองตัวตนของระบบคลาวด์ โดยใช้ระบบที่ติดไวรัสในการขุดเหรียญคริปโต และใช้เครื่องของเหยื่อในทางที่ผิดเพื่อค้นหาระบบที่มีช่องโหว่อื่น ๆ และทำการแพร่กระจายไวรัส
“การใช้เครื่องมือ open-source อย่าง Lazagne ช่วยให้ TeamTNT รอดพ้นการตรวจจับไปได้ชั่วขณะหนึ่ง และทำให้แอนตี้ไวรัสตรวจจับได้ยากขึ้น” Caspi กล่าวเสริม
นักวิจัยเร่งเร้าให้องค์กรต่าง ๆ มีการอัปเดตซอฟต์แวร์อยู่เสมอ และรักษาระดับการเข้าถึงอินเทอร์เน็ตบนเซิร์ฟเวอร์ Linux และอุปกรณ์ IoT ให้น้อยที่สุด และควรใช้ไฟร์วอลล์ที่ตั้งค่าอย่างเหมาะสม
ที่มา: https://bit.ly/3BfIyx2
สงวนลิขสิทธิ์ Copyright © 2024 บริษัท ควิกเซิร์ฟ โปรไวเดอร์ จำกัด
124/124 หมู่ที่ 2 ถนนนครอินทร์ ตำบลบางสีทอง อำเภอบางกรวย จังหวัดนนทบุรี 11130
โทรศัพท์ 0-2496-1234 โทรสาร 0-2496-1001