Cisco Talos เผย 3 กลุ่มแฮ็กเกอร์ที่มุ่งเจาะบริการระดับองค์กรเพื่อทำ Cryptomining

Cisco Talos ได้ทำรายงานศึกษาเจาะลึกถึงกลุ่มอาชญากรทางไซเบอร์ที่มุ่งเน้นเจาะระบบบริการระดับองค์ เช่น Jenkins, Hadoop, Jboss และ Struts2 เพื่อทำการแอบขุดเหมืองเงินดิจิทัล โดยแบ่งเป็น 3 กลุ่มหลักคือ Rocke, 8220 Mining และ Tor2Mine

เทคนิคที่กลุ่มคนร้ายใช้มีความคล้ายคลึงกัน เช่น เอาเครื่องมือและสคิร์ปต์ไปฝากไว้บน GitHub, PasteBin และโดเมน .tk หรือแม้กระทั่งแอบสคิร์ปต์ที่จำเป็นในการปฏิบัติการไว้ภายใต้ไฟล์ JPEG โดยรายได้ของทั้ง 3 กลุ่มนี้รวมกันประมาณ 1,200 เหรียญ Monero ซึ่งเคยพุ่งสูงสุดประมาณ 400 ดอลล่าร์สหรัฐต่อ 1 เหรียญ เรื่องราวของทั้ง 3 กลุ่มที่ Talos ได้ระบุในรายงานมีดังนี้

  • Rocke ได้เน้นโจมตีบริการอย่าง Apache Struts 2, Jboss และ Jenkins รวมถึงมีการใช้ GitHub, HTTP File Servers (HFS), JavaScript Backdoor, ไฟล์ JPEG ที่ซ่อนคำสั่งไว้ และ ELF / PE miner สำหรับการปฏิบัติการ นอกจากนี้ยังได้ใช้สคิร์ปต์ที่ทำให้เกิดการกระจายตัวเองไปยังเซิร์ฟเวอร์อื่นที่มีช่องโหว่ด้วย
  • 8220 Mining จากการศึกษา Rocke ทำให้สามารถขยายผลถึงวิธีการคล้ายกันของคนร้ายทั้งสองกลุ่มคือมีการฝากโปรเจ็คของตนไว้บน GitHub เช่นกัน โดยที่มาของชื่อคือกลุ่มนี้ได้มาจากการส่งคำสั่งควบคุมผ่านทาง TCP พอร์ต 8220 นั่นเองซึ่งกลุ่มนี้ทำรายได้ไปแล้วกว่า 200,000 เหรียญสหรัฐฯ สำหรับในโปรเจ็คของคนร้ายนั้นประกอบด้วยวิธีการโจมตี Redis, Oracle WebLogic, Structs 2, Drupal และ Hadoop Yarn รวมถึงวิธีการติดตั้งตัวขุดเหมืองต่างๆ และยังมีการใช้งาน Docker Image อันตรายด้วย
  • tor2mine กลุ่มนี้ได้เลือกใช้งานเกตเวย์ของ Tor สำหรับการส่งคำสั่งควบคุมซึ่งไม่จำเป็นต้องติดตั้งตัวไคลเอนต์บนเซิร์ฟเวอร์เหยื่อแต่อย่างใด โดยกลุ่มนี้สนใจทั้ง Linux และ Windows เพราะมีการใช้ทั้ง PowerShell และ Bash เพื่อดาวน์โหลดตัวขุดเหมือง รวมถึงมีการใช้ช่องโหว่อย่าง EternalBlue และ EternalRomance เพื่อขยายวงการโจมตีด้วย

ที่มา : https://www.bleepingcomputer.com/news/security/a-look-at-3-illicit-mining-groups-who-target-enterprise-services/

About nattakon

จบการศึกษา ปริญญาตรีและโท สาขาวิศวกรรมคอมพิวเตอร์ KMITL เคยทำงานด้าน Engineer/Presale ดูแลผลิตภัณฑ์ด้าน Network Security และ Public Cloud ในประเทศ ปัจจุบันเป็นนักเขียน Full-time ที่ TechTalkThai

Check Also

Google Cloud เพิ่ม BigQuery datasets บน Marketplace แล้ว

Google Cloud ประกาศเปิดให้ผู้ใช้งานสามารถเข้าถึงชุดข้อมูล BigQuery datasets ผ่าน Google Cloud Marketplace ด้วยการผสานการทำงานร่วมกับ BigQuery Analytics Hub เพื่อเพิ่มช่องทางการเข้าถึงข้อมูลสำหรับองค์กร

ผู้เชี่ยวชาญเตือนพบช่องโหว่ Zero-day กระทบผู้ใช้ Zyxel หลายรุ่น เสี่ยงต่อการถูกโจมตี

มีการค้นพบช่องโหว่ Zero-day ในผลิตภัณฑ์ Zyxel หลายรุ่น ซึ่งพบการโจมตีจริงแล้ว แแต่ที่ผู้เชี่ยวชาญแสดงความเป็นห่วงงเพราะทาง Vendor ยืนยันว่าผลิตภัณฑ์เหล่านั้นหมดอายุไปแล้วและจะไม่มีการแพตช์ ทำให้ผู้ใช้งานอาจเป็นเป้านิ่งสำหรับ Botnet หรือ การโจมตีทางไซเบอร์