Cisco Talos เผย 3 กลุ่มแฮ็กเกอร์ที่มุ่งเจาะบริการระดับองค์กรเพื่อทำ Cryptomining

Cisco Talos ได้ทำรายงานศึกษาเจาะลึกถึงกลุ่มอาชญากรทางไซเบอร์ที่มุ่งเน้นเจาะระบบบริการระดับองค์ เช่น Jenkins, Hadoop, Jboss และ Struts2 เพื่อทำการแอบขุดเหมืองเงินดิจิทัล โดยแบ่งเป็น 3 กลุ่มหลักคือ Rocke, 8220 Mining และ Tor2Mine

เทคนิคที่กลุ่มคนร้ายใช้มีความคล้ายคลึงกัน เช่น เอาเครื่องมือและสคิร์ปต์ไปฝากไว้บน GitHub, PasteBin และโดเมน .tk หรือแม้กระทั่งแอบสคิร์ปต์ที่จำเป็นในการปฏิบัติการไว้ภายใต้ไฟล์ JPEG โดยรายได้ของทั้ง 3 กลุ่มนี้รวมกันประมาณ 1,200 เหรียญ Monero ซึ่งเคยพุ่งสูงสุดประมาณ 400 ดอลล่าร์สหรัฐต่อ 1 เหรียญ เรื่องราวของทั้ง 3 กลุ่มที่ Talos ได้ระบุในรายงานมีดังนี้

  • Rocke ได้เน้นโจมตีบริการอย่าง Apache Struts 2, Jboss และ Jenkins รวมถึงมีการใช้ GitHub, HTTP File Servers (HFS), JavaScript Backdoor, ไฟล์ JPEG ที่ซ่อนคำสั่งไว้ และ ELF / PE miner สำหรับการปฏิบัติการ นอกจากนี้ยังได้ใช้สคิร์ปต์ที่ทำให้เกิดการกระจายตัวเองไปยังเซิร์ฟเวอร์อื่นที่มีช่องโหว่ด้วย
  • 8220 Mining จากการศึกษา Rocke ทำให้สามารถขยายผลถึงวิธีการคล้ายกันของคนร้ายทั้งสองกลุ่มคือมีการฝากโปรเจ็คของตนไว้บน GitHub เช่นกัน โดยที่มาของชื่อคือกลุ่มนี้ได้มาจากการส่งคำสั่งควบคุมผ่านทาง TCP พอร์ต 8220 นั่นเองซึ่งกลุ่มนี้ทำรายได้ไปแล้วกว่า 200,000 เหรียญสหรัฐฯ สำหรับในโปรเจ็คของคนร้ายนั้นประกอบด้วยวิธีการโจมตี Redis, Oracle WebLogic, Structs 2, Drupal และ Hadoop Yarn รวมถึงวิธีการติดตั้งตัวขุดเหมืองต่างๆ และยังมีการใช้งาน Docker Image อันตรายด้วย
  • tor2mine กลุ่มนี้ได้เลือกใช้งานเกตเวย์ของ Tor สำหรับการส่งคำสั่งควบคุมซึ่งไม่จำเป็นต้องติดตั้งตัวไคลเอนต์บนเซิร์ฟเวอร์เหยื่อแต่อย่างใด โดยกลุ่มนี้สนใจทั้ง Linux และ Windows เพราะมีการใช้ทั้ง PowerShell และ Bash เพื่อดาวน์โหลดตัวขุดเหมือง รวมถึงมีการใช้ช่องโหว่อย่าง EternalBlue และ EternalRomance เพื่อขยายวงการโจมตีด้วย

ที่มา : https://www.bleepingcomputer.com/news/security/a-look-at-3-illicit-mining-groups-who-target-enterprise-services/



About nattakon

จบการศึกษา ปริญญาตรีและโท สาขาวิศวกรรมคอมพิวเตอร์ KMITL เคยทำงานด้าน Engineer/Presale ดูแลผลิตภัณฑ์ด้าน Network Security และ Public Cloud ในประเทศ ปัจจุบันเป็นนักเขียน Full-time ที่ TechTalkThai

Check Also

สัมภาษณ์พิเศษ Silver Peak : เมื่อ SD-WAN ตอบโจทย์ได้มากกว่าธุรกิจสาขา

SD-WAN เป็นเทคโนโลยีที่ถูกพูดถึงเป็นอย่างมากในไม่กี่ปีมานี้ โดยจากสถิติหลายแห่ง เช่น Gartner เองยังคงเชื่อว่าการเติบโตดังกล่าวจะดำเนินต่อไปในอีกหลายปีข้างหน้า อย่างไรก็ตามหลายคนอาจจะเข้าใจว่า SD-WAN เหมาะสำหรับธุรกิจที่มีสาขาจำนวนมากเท่านั้น ซึ่งวันนี้เองทางทีมงาน TechTalkThai ได้มีโอกาสเข้าสัมภาษณ์ผู้บริหารของ Silver Peak ที่ …

พบ 25 แอปพลิเคชันบน Android แอบเก็บเงินค่าบริการหลังพ้นช่วงทดลองใช้

เมื่อหลายวันก่อน Sophos ได้รายงานเกี่ยวกับการค้นพบ 25 แอปพลิเคชันที่แอบเก็บค่าบริการผู้ใช้งานเมื่อไม่ทำการกดยกเลิกช่วงทดลอง โดยจากตัวเลขสถิติมีผู้ดาวน์โหลดรวมกันกว่า 600 ล้านครั้ง