Cisco Talos เผย 3 กลุ่มแฮ็กเกอร์ที่มุ่งเจาะบริการระดับองค์กรเพื่อทำ Cryptomining

Cisco Talos ได้ทำรายงานศึกษาเจาะลึกถึงกลุ่มอาชญากรทางไซเบอร์ที่มุ่งเน้นเจาะระบบบริการระดับองค์ เช่น Jenkins, Hadoop, Jboss และ Struts2 เพื่อทำการแอบขุดเหมืองเงินดิจิทัล โดยแบ่งเป็น 3 กลุ่มหลักคือ Rocke, 8220 Mining และ Tor2Mine

เทคนิคที่กลุ่มคนร้ายใช้มีความคล้ายคลึงกัน เช่น เอาเครื่องมือและสคิร์ปต์ไปฝากไว้บน GitHub, PasteBin และโดเมน .tk หรือแม้กระทั่งแอบสคิร์ปต์ที่จำเป็นในการปฏิบัติการไว้ภายใต้ไฟล์ JPEG โดยรายได้ของทั้ง 3 กลุ่มนี้รวมกันประมาณ 1,200 เหรียญ Monero ซึ่งเคยพุ่งสูงสุดประมาณ 400 ดอลล่าร์สหรัฐต่อ 1 เหรียญ เรื่องราวของทั้ง 3 กลุ่มที่ Talos ได้ระบุในรายงานมีดังนี้

  • Rocke ได้เน้นโจมตีบริการอย่าง Apache Struts 2, Jboss และ Jenkins รวมถึงมีการใช้ GitHub, HTTP File Servers (HFS), JavaScript Backdoor, ไฟล์ JPEG ที่ซ่อนคำสั่งไว้ และ ELF / PE miner สำหรับการปฏิบัติการ นอกจากนี้ยังได้ใช้สคิร์ปต์ที่ทำให้เกิดการกระจายตัวเองไปยังเซิร์ฟเวอร์อื่นที่มีช่องโหว่ด้วย
  • 8220 Mining จากการศึกษา Rocke ทำให้สามารถขยายผลถึงวิธีการคล้ายกันของคนร้ายทั้งสองกลุ่มคือมีการฝากโปรเจ็คของตนไว้บน GitHub เช่นกัน โดยที่มาของชื่อคือกลุ่มนี้ได้มาจากการส่งคำสั่งควบคุมผ่านทาง TCP พอร์ต 8220 นั่นเองซึ่งกลุ่มนี้ทำรายได้ไปแล้วกว่า 200,000 เหรียญสหรัฐฯ สำหรับในโปรเจ็คของคนร้ายนั้นประกอบด้วยวิธีการโจมตี Redis, Oracle WebLogic, Structs 2, Drupal และ Hadoop Yarn รวมถึงวิธีการติดตั้งตัวขุดเหมืองต่างๆ และยังมีการใช้งาน Docker Image อันตรายด้วย
  • tor2mine กลุ่มนี้ได้เลือกใช้งานเกตเวย์ของ Tor สำหรับการส่งคำสั่งควบคุมซึ่งไม่จำเป็นต้องติดตั้งตัวไคลเอนต์บนเซิร์ฟเวอร์เหยื่อแต่อย่างใด โดยกลุ่มนี้สนใจทั้ง Linux และ Windows เพราะมีการใช้ทั้ง PowerShell และ Bash เพื่อดาวน์โหลดตัวขุดเหมือง รวมถึงมีการใช้ช่องโหว่อย่าง EternalBlue และ EternalRomance เพื่อขยายวงการโจมตีด้วย

ที่มา : https://www.bleepingcomputer.com/news/security/a-look-at-3-illicit-mining-groups-who-target-enterprise-services/


About nattakon

จบการศึกษา ปริญญาตรีและโท สาขาวิศวกรรมคอมพิวเตอร์ KMITL เคยทำงานด้าน Engineer/Presale ดูแลผลิตภัณฑ์ด้าน Network Security และ Public Cloud ในประเทศ ปัจจุบันเป็นนักเขียน Full-time ที่ TechTalkThai

Check Also

พบช่องโหว่บนแอปพลิเคชัน ES File Explorer ผู้ใช้กว่าร้อยล้านตกอยู่ในความเสี่ยง

Robert Baptiste นักวิจัยด้านความมั่นคงปลอดภัยได้พบช่องโหว่บนแอปพลิเคชัน ES File Explorer หรือโปรแกรมจัดการไฟล์ในฝั่งแอนดรอยด์ที่มียอดดาวน์โหลดกว่า 100 ล้านครั้ง โดยช่องโหว่ทำให้แฮ็กเกอร์สามารถโหลดข้อมูลจากอุปกรณ์และ SD Card ของเหยื่อออกมาได้ นอกจากนี้นักวิจัยได้จัดทำวีดีโอสาธิตไว้ด้วย

Cisco Webinar: Cloud-managed Network Meraki Security Camera and MDM

Cisco ขอเรียนเชิญเหล่า IT Manager, Network Engineer, IT Admin, Security Engineer และผู้ที่เกี่ยวข้องกับการดูแลระบบ IT ภายในองค์กรทุกท่าน เข้าร่วมฟัง Cisco Webinar ในหัวข้อเรื่อง "Cisco Meraki Webinar Series 3: Cloud-managed Network Meraki Security Camera and MDM" โดย Cisco Systems ประเทศไทย ในวันอังคารที่ 22 มกราคม 2019 เวลา 14.00 – 15.30 น. พร้อมลุ้นรับ Meraki MX Series มูลค่า 20,000 บาทไปใช้ฟรีๆ