Guardicore ผู้เชี่ยวชาญด้านความมั่นคงปลอดภัยทางไซเบอร์ได้เผยผลการศึกษา Botnet ตัวใหม่ที่มุ่งเน้นโจมตีองค์กรสำคัญ เช่น หน่วยงานรัฐบาล ธุรกิจการเงิน หรือองค์กรการศึกษา เบื้องต้นพบว่ามีเซิร์ฟเวอร์อย่างน้อย 500 ตัวอยู่ในเครือของการปฏิบัติการแล้ว
เป้าหมายหลักของคนร้ายมุ่งเน้นไปที่องค์กรใหญ่ๆ เช่น หน่วยงานรัฐบาล ธุรกิจการเงิน องค์กรการศึกษา ธุรกิจการแพทย์ หรือผู้ให้บริการโทรคมนาคม ในประเทศสหรัฐฯและแถบยุโรป โดยไอเดียการโจมตีง่ายมากคือคนร้ายได้ Brute-force SSH Server ขององค์กรต่างๆ เพื่อเจาะเข้าไป แต่สิ่งที่ทำให้ FritzFrog น่าจับตามองมีดังนี้
1.) เมื่อเจาะเข้ามาได้แล้วมัลแวร์จะปฏิบัติการแบบ Fileless ใน Memory เท่านั้น เพื่อหลีกเลี่ยงการตรวจจับ
2.) ณ โอกาสแรกมัลแวร์ยังไม่ได้ใช้พอร์ทแปลกๆ ทันที ซึ่งหากเป็นเช่นนั้นอาจจะถูกอุปกรณ์ป้องกันตรวจจับได้ แต่ FritzFrog จะเชื่อมต่อกับเซิร์ฟเวอร์ของเหยื่อผ่าน SSH พอร์ท 22 หรือ 2222 ก่อน หลังจากนั้นค่อยเพิ่ม RSA SSH Key เข้ามาใน authorized_keys บนเครื่อง เมื่อสำเร็จแล้วจะปล่อย netcat client เป็น Backdoor ไว้ผ่านพอร์ท 1234 เพื่อเชื่อมต่อกับเซิร์ฟเวอร์ของคนร้าย
3.) มัลแวร์จะมีการเพิ่มเครื่องที่แฮ็กได้เข้ามายังฐานข้อมูลเป็น Slave จากนั้นคำสั่งปฏิบัติการอื่นๆ จะถูกเข้ารหัสด้วย AES ซึ่งนักวิจัยพบว่ามัลแวร์มีคำสั่งปฏิบัติการมากกว่า 30 คำสั่ง
4.) มัลแวร์เชื่อมต่อหากันด้วยโปรโตคอล P2P ที่เขียนขึ้นมาแบบพิเศษ ซึ่งบ่งชี้ได้ว่าคนร้ายนั้นชั้นเซียนทีเดียว
ตั้งแต่มกราคมปีนี้ Guardicore ได้ติดตาม FritzFrog อย่างใกล้ชิดและพบว่ามัลแวร์มี Variant ต่างๆ แปรไปถึง 20 แบบ โดยถูกพัฒนาขึ้นจากภาษา Golang ซึ่งแม้เป้าประวงค์หลักจะเป็นเรื่องของการขุดเหมืองเงินดิจิทัล แต่ด้วยลูกเล่นขั้นสูงที่พบก็ดูเหมือนว่ามัลแวร์ตัวนี้น่าสนใจเป็นอย่างยิ่ง สำหรับผู้สนใจสามารถศึกษา Indicator of Compromise จาก Guardicore ได้ที่นี่
ที่มา : https://www.bleepingcomputer.com/news/security/fritzfrog-malware-attacks-linux-servers-over-ssh-to-mine-monero/ และ https://www.zdnet.com/article/new-fritzfrog-p2p-botnet-has-breached-at-least-500-enterprise-government-servers/