Breaking News

ผู้เชี่ยวชาญพบมัลแวร์ใช้ Windows BITS เพื่อติดต่อเซิร์ฟเวอร์ควบคุม

ผู้เชี่ยวชาญจาก ESET ได้ออกมาเปิดเผยเรื่องราวของมัลแวร์ใช้ Windows BITS เพื่อลอบติดต่อกับเซิร์ฟเวอร์ควบคุม โดยคาดว่าจะเป็นกลุ่มของแฮ็กเกอร์ที่มีนามแฝงว่า Stealth Falcon

Background Intelligence Transfer Service (BITS) เป็นส่วนประกอบหนึ่งใน Windows ที่ถูกใช้เพื่อนำส่งการอัปเดตต่างๆ สู่ผู้ใช้งานเมื่อไม่ได้ใช้งานเครือข่าย เช่น Windows Update, Microsoft Update, Server Update และ System Center Configuration Update เป็นต้น รวมถึง Windows Defender ก็ใช้ช่องทางนี้เพื่ออัปเดต Signature ด้วย ทั้งนี้แอปพลิเคชันอื่นก็มีความเป็นไปได้ที่จะเข้ามาใช้ช่องทางนี้ อย่างตอนนี้ที่ Mozilla กำลังพยายามพัฒนาให้ Firefox สามารถใช้ BITS เพื่ออัปเดตได้

อย่างไรก็ตามดูเหมือนว่าเหรียญย่อมมีสองด้านเสมอเพราะหลายปีที่ผ่านมา BITS เคยถูกใช้ในแคมเปญการโจมตีมาแล้วหลายครั้ง ซึ่งมีแนวโน้มว่าจะพบเห็นได้บ่อยขึ้นด้วย โดยล่าสุด ESET ก็ได้เผยถึงกลุ่ม Stealth Falcon ที่ได้ใช้ช่องทางนี้กับ Backdoor ของตนเพื่อลอบติดต่อกับเซิร์ฟเวอร์ ที่คาดว่าหลายองค์กรไม่ค่อยใส่ใจกับทราฟฟิคทางของ BITS เท่าไหร่นัก

สำหรับ Stealth Falcon นั้นเป็นกลุ่มแฮ็กเกอร์ระดับรัฐที่รายงานของ Citizen Lab องค์กรไม่แสวงหาผลกำไรด้านความมั่นคงปลอดภัยและสิทธิมนุษยชนได้ออกรายงานครั้งแรกในปี 2016 ว่ามุ่งโจมตีฝั่งตรงข้ามของ UAE โดยคาดว่าเริ่มเคลื่อนไหวมาตั้งแต่ปี 2012 แล้วด้วยซ้ำ พร้อมกับเครื่องมือ Backdoor ที่เขียนด้วย PowerShell อย่างไรก็ดีจากการวิเคราะห์ของ ESET ในรอบใหม่ก็ค่อนข้างแน่ใจว่าเป็นกลุ่มเดียวกันเพราะใช้โดเมนเดียวกันกับรอบก่อน รวมถึงยังมีการ Hardcoded เลข ID เอาไว้ด้วยเพียงแต่พัฒนามัลแวร์ด้วยคนละภาษากัน ดังนั้นจากนี้ต่อไปผู้ใช้งานทุกท่านก็ใส่ใจกับ BITS ให้มากขึ้นด้วยนะครับ

ที่มา :  https://www.zdnet.com/article/newly-discovered-cyber-espionage-malware-abuses-windows-bits-service/


About nattakon

จบการศึกษา ปริญญาตรีและโท สาขาวิศวกรรมคอมพิวเตอร์ KMITL เคยทำงานด้าน Engineer/Presale ดูแลผลิตภัณฑ์ด้าน Network Security และ Public Cloud ในประเทศ ปัจจุบันเป็นนักเขียน Full-time ที่ TechTalkThai

Check Also

ARUBA แจกฟรี คู่มือการออกแบบ LAN/WLAN สำหรับผู้ใช้งาน 500 คน ฉบับปี 2019

Aruba Networks ผู้พัฒนาเทคโนโลยีระบบเครือข่ายและความมั่นคงปลอดภัยสำหรับองค์กร ได้ออกเอกสาร ARUBA CAMPUS FOR MIDSIZE NETWORKS: Design & Deployment Guide เพื่อเป็นแนวทางให้แก่เหล่า IT Manager, Network Engineer และผู้ดูแลระบบ IT ในการออกแบบระบบเครือข่ายที่มีผู้ใช้งานจำนวนไม่เกิน 500 คน โดยมีรายละเอียดและวิธีการโหลดเอกสารฟรีๆ ดังนี้

Microsoft เตรียมเพิ่ม DNS over HTTPS (DOH) บน Windows 10

Microsoft ประกาศแผนการพัฒนาระบบปฏิบัติการ Windows 10 ให้รองรับการใช้โปรโตคอล DNS over HTTPS (DoH) ในอนาคต เพื่อเพิ่มความมั่นคงปลอดภัยและความเป็นส่วนบุคคลให้แก่ผู้ใช้งาน ในขณะที่ยังคงเตรียมเพิ่มการรองรับ DNS over TLS …