Cisco Talos เผย 3 กลุ่มแฮ็กเกอร์ที่มุ่งเจาะบริการระดับองค์กรเพื่อทำ Cryptomining

Cisco Talos ได้ทำรายงานศึกษาเจาะลึกถึงกลุ่มอาชญากรทางไซเบอร์ที่มุ่งเน้นเจาะระบบบริการระดับองค์ เช่น Jenkins, Hadoop, Jboss และ Struts2 เพื่อทำการแอบขุดเหมืองเงินดิจิทัล โดยแบ่งเป็น 3 กลุ่มหลักคือ Rocke, 8220 Mining และ Tor2Mine

เทคนิคที่กลุ่มคนร้ายใช้มีความคล้ายคลึงกัน เช่น เอาเครื่องมือและสคิร์ปต์ไปฝากไว้บน GitHub, PasteBin และโดเมน .tk หรือแม้กระทั่งแอบสคิร์ปต์ที่จำเป็นในการปฏิบัติการไว้ภายใต้ไฟล์ JPEG โดยรายได้ของทั้ง 3 กลุ่มนี้รวมกันประมาณ 1,200 เหรียญ Monero ซึ่งเคยพุ่งสูงสุดประมาณ 400 ดอลล่าร์สหรัฐต่อ 1 เหรียญ เรื่องราวของทั้ง 3 กลุ่มที่ Talos ได้ระบุในรายงานมีดังนี้

  • Rocke ได้เน้นโจมตีบริการอย่าง Apache Struts 2, Jboss และ Jenkins รวมถึงมีการใช้ GitHub, HTTP File Servers (HFS), JavaScript Backdoor, ไฟล์ JPEG ที่ซ่อนคำสั่งไว้ และ ELF / PE miner สำหรับการปฏิบัติการ นอกจากนี้ยังได้ใช้สคิร์ปต์ที่ทำให้เกิดการกระจายตัวเองไปยังเซิร์ฟเวอร์อื่นที่มีช่องโหว่ด้วย
  • 8220 Mining จากการศึกษา Rocke ทำให้สามารถขยายผลถึงวิธีการคล้ายกันของคนร้ายทั้งสองกลุ่มคือมีการฝากโปรเจ็คของตนไว้บน GitHub เช่นกัน โดยที่มาของชื่อคือกลุ่มนี้ได้มาจากการส่งคำสั่งควบคุมผ่านทาง TCP พอร์ต 8220 นั่นเองซึ่งกลุ่มนี้ทำรายได้ไปแล้วกว่า 200,000 เหรียญสหรัฐฯ สำหรับในโปรเจ็คของคนร้ายนั้นประกอบด้วยวิธีการโจมตี Redis, Oracle WebLogic, Structs 2, Drupal และ Hadoop Yarn รวมถึงวิธีการติดตั้งตัวขุดเหมืองต่างๆ และยังมีการใช้งาน Docker Image อันตรายด้วย
  • tor2mine กลุ่มนี้ได้เลือกใช้งานเกตเวย์ของ Tor สำหรับการส่งคำสั่งควบคุมซึ่งไม่จำเป็นต้องติดตั้งตัวไคลเอนต์บนเซิร์ฟเวอร์เหยื่อแต่อย่างใด โดยกลุ่มนี้สนใจทั้ง Linux และ Windows เพราะมีการใช้ทั้ง PowerShell และ Bash เพื่อดาวน์โหลดตัวขุดเหมือง รวมถึงมีการใช้ช่องโหว่อย่าง EternalBlue และ EternalRomance เพื่อขยายวงการโจมตีด้วย

ที่มา : https://www.bleepingcomputer.com/news/security/a-look-at-3-illicit-mining-groups-who-target-enterprise-services/


About nattakon

จบการศึกษา ปริญญาตรีและโท สาขาวิศวกรรมคอมพิวเตอร์ KMITL เคยทำงานด้าน Engineer/Presale ดูแลผลิตภัณฑ์ด้าน Network Security และ Public Cloud ในประเทศ ปัจจุบันเป็นนักเขียน Full-time ที่ TechTalkThai

Check Also

3 ประเด็นสำคัญด้าน Cloud Security ที่ทุกธุรกิจองค์กรต้องใส่ใจ โดย Radware

ในปี 2019 ที่ผ่านมานี้ เราได้เห็นเหตุการณ์ด้าน Cybersecurity ที่เกี่ยวข้องกับระบบ Cloud มากมาย ทาง Radware เองก็ได้ออกมาสรุปถึง 3 ประเด็นหลักที่เหล่าธุรกิจองค์กรควรให้ความสำคัญเพื่อปกป้องระบบ Cloud ที่ตนเองใช้งานอยู่ดังนี้

นิวออร์ลีนส์ประกาศ “ภาวะฉุกเฉิน” หลังถูก Ransomware โจมตี

LaToya Cantrell นายกเทศมนตรีแห่งเมืองนิวออร์ลีนส์ รัฐลุยเซียนา สหรัฐฯ สั่งปิดระบบคอมพิวเตอร์ของเมืองและประกาศ “ภาวะฉุกเฉิน” เมื่อวันศุกร์ที่ 13 ธันวาคมที่ผ่านมา หลังถูก Ransomware โจมตี