พบ P2P Botnet ระบาดหนัก ‘FritzFrog’ แทรกซึมเซิร์ฟเวอร์องค์กรได้แล้วอย่างน้อย 500 แห่ง

Guardicore ผู้เชี่ยวชาญด้านความมั่นคงปลอดภัยทางไซเบอร์ได้เผยผลการศึกษา Botnet ตัวใหม่ที่มุ่งเน้นโจมตีองค์กรสำคัญ เช่น หน่วยงานรัฐบาล ธุรกิจการเงิน หรือองค์กรการศึกษา เบื้องต้นพบว่ามีเซิร์ฟเวอร์อย่างน้อย 500 ตัวอยู่ในเครือของการปฏิบัติการแล้ว

credit : Guardicore, BleepingComputer

เป้าหมายหลักของคนร้ายมุ่งเน้นไปที่องค์กรใหญ่ๆ เช่น หน่วยงานรัฐบาล ธุรกิจการเงิน องค์กรการศึกษา ธุรกิจการแพทย์ หรือผู้ให้บริการโทรคมนาคม ในประเทศสหรัฐฯและแถบยุโรป โดยไอเดียการโจมตีง่ายมากคือคนร้ายได้ Brute-force SSH Server ขององค์กรต่างๆ เพื่อเจาะเข้าไป แต่สิ่งที่ทำให้ FritzFrog น่าจับตามองมีดังนี้

1.) เมื่อเจาะเข้ามาได้แล้วมัลแวร์จะปฏิบัติการแบบ Fileless ใน Memory เท่านั้น เพื่อหลีกเลี่ยงการตรวจจับ

2.) ณ โอกาสแรกมัลแวร์ยังไม่ได้ใช้พอร์ทแปลกๆ ทันที ซึ่งหากเป็นเช่นนั้นอาจจะถูกอุปกรณ์ป้องกันตรวจจับได้ แต่ FritzFrog จะเชื่อมต่อกับเซิร์ฟเวอร์ของเหยื่อผ่าน SSH พอร์ท 22 หรือ 2222 ก่อน หลังจากนั้นค่อยเพิ่ม RSA SSH Key เข้ามาใน authorized_keys บนเครื่อง เมื่อสำเร็จแล้วจะปล่อย netcat client เป็น Backdoor ไว้ผ่านพอร์ท 1234 เพื่อเชื่อมต่อกับเซิร์ฟเวอร์ของคนร้าย 

3.) มัลแวร์จะมีการเพิ่มเครื่องที่แฮ็กได้เข้ามายังฐานข้อมูลเป็น Slave จากนั้นคำสั่งปฏิบัติการอื่นๆ จะถูกเข้ารหัสด้วย AES ซึ่งนักวิจัยพบว่ามัลแวร์มีคำสั่งปฏิบัติการมากกว่า 30 คำสั่ง

4.) มัลแวร์เชื่อมต่อหากันด้วยโปรโตคอล P2P ที่เขียนขึ้นมาแบบพิเศษ ซึ่งบ่งชี้ได้ว่าคนร้ายนั้นชั้นเซียนทีเดียว

ตั้งแต่มกราคมปีนี้ Guardicore ได้ติดตาม FritzFrog อย่างใกล้ชิดและพบว่ามัลแวร์มี Variant ต่างๆ แปรไปถึง 20 แบบ โดยถูกพัฒนาขึ้นจากภาษา Golang ซึ่งแม้เป้าประวงค์หลักจะเป็นเรื่องของการขุดเหมืองเงินดิจิทัล แต่ด้วยลูกเล่นขั้นสูงที่พบก็ดูเหมือนว่ามัลแวร์ตัวนี้น่าสนใจเป็นอย่างยิ่ง สำหรับผู้สนใจสามารถศึกษา Indicator of Compromise จาก Guardicore ได้ที่นี่ 

ที่มา :  https://www.bleepingcomputer.com/news/security/fritzfrog-malware-attacks-linux-servers-over-ssh-to-mine-monero/ และ  https://www.zdnet.com/article/new-fritzfrog-p2p-botnet-has-breached-at-least-500-enterprise-government-servers/


About nattakon

จบการศึกษา ปริญญาตรีและโท สาขาวิศวกรรมคอมพิวเตอร์ KMITL เคยทำงานด้าน Engineer/Presale ดูแลผลิตภัณฑ์ด้าน Network Security และ Public Cloud ในประเทศ ปัจจุบันเป็นนักเขียน Full-time ที่ TechTalkThai

Check Also

กลุ่ม RansomHouse ได้กล่าวอ้างถึงการโจรกรรมข้อมูล 450GB จาก AMD

บริษัท AMD ยักษ์ใหญ่ด้านเทคโนโลยีถูกโจมตีทางไซเบอร์ที่ปฏิบัติการโดยกลุ่มอาชญากรทางไซเบอร์ RansomHouse เมื่อเดือนมกราคมที่ผ่านมา ทำให้ข้อมูล 450GB สูญหาย  

CISA ออกคู่มือแนะความมั่นคงปลอดภัยบนคลาวด์

CISA ได้จัดทำคู่มือเพื่อให้ความรู้ความเข้าใจเกี่ยวกับการปฏิบัติตัวของหน่วยงานในสหรัฐฯ แต่จากเนื้อหาแล้วก็สามารถนำมาประยุกต์ใช้อ้างอิงกับองค์กรส่วนใหญ่ได้ครับ