Black Hat Asia 2021

เตือนแคมเปญโจมตี Database Server ไทยตกเป็นเป้าหมายด้วย

สัปดาห์ที่ผ่านมา ทีมนักวิจัยด้านความมั่นคงปลอดภัยจาก GuardiCore Labs ออกมาแจ้งเตือนถึงแคมเปญการโจมตีใหม่ของกลุ่มแฮ็กเกอร์ชาวจีน ซึ่งมุ่งเป้าหมายไปยัง Database Server เพื่อเปลี่ยนเซิร์ฟเวอร์เหล่านั้นไปใช้ขุดเหมืองเงินดิจิทัล ขโมยข้อมูล และสร้างกองทัพ DDoS Botnet โดยไทยตกเป็นหนึ่งในเป้าหมายหลัก

Credit: Mikko Lemola/ShutterStock

ทีมนักวิจัยได้ทำการวิเคราะห์ข้อมูลการโจมตีที่เกิดขึ้นตลอดช่วงหลายเดือนที่ผ่านมา พบว่าแคมเปญดังกล่าวมีการโจมตีอย่างน้อย 3 รูปแบบ ได้แก่ Hex, Hanako และ Taylor ที่พุ่งเป้า Microsoft SQL และ MySQL Server ไม่ว่าจะเป็นระบบปฏิบัติการ Windows หรือ Linux ซึ่งเป้าหมายการโจมตีแตกต่างกันไปตามวิธีการโจมตีที่ใช้ โดย Hex จะทำการติดตั้ง Cryptocurrency Miner และ Remote Access Trojan ในขณะที่ Taylor จะติดตั้ง Keylogger และ Backdoor ส่วน Hanako จะเปลี่ยนเซิร์ฟเวอร์ให้กลายเป็น Botnet สำหรับโจมตีแบบ DDoS

ที่น่าสนใจคือ แฮ็กเกอร์ใช้เครือข่ายของระบบที่ถูกแฮ็กเป็นฐานในการโจมตี Database Server แทนที่จะใช้เครือข่ายของตนในการโจมตีเอง เพื่อป้องกันการถูกตรวจจับและปฏิบัติการถูกล่มโดย ISP หรือหน่วยงานที่เกี่ยวข้อง

เพื่อให้สามารถเข้าถึงฐานข้อมูลของลูกค้าหลังจากเจาะเข้าระบบได้แล้ว การโจมตีทั้งสามรูปแบบจะมีการวาง Backdoor ลงไปโดยอาศัยพอร์ตสำหรับทำ Remote Desktop ซึ่งช่วยให้แฮ็กเกอร์สามารถดาวน์โหลดและติดตั้งมัลแวร์อื่นได้ต่อ ไม่ว่าจะเป็น Cryptocurrency Miner, Remote Access Trojan หรือ DDoS Botnet รวมไปถึงหยุดการทำงานของโปรแกรม Antivirus ผ่านทาง Shell Command นอกจากนี้ แฮ็กเกอร์ยังทำการลบไฟล์ โฟลเดอร์ และ Registry ที่ไม่จำเป็นทิ้งเพื่อปกปิดร่องรอยของตนอีกด้วย

จนถึงตอนนี้ นักวิจัยพบว่า Hex และ Hanako ได้โจมตี Database Server ไปแล้วหลายร้อยครั้ง ในขณะที่ Taylor โจมตีไปแล้วถึงหลักหมื่นครั้งในแต่ละเดือน ซึ่งเป้าหมายหลักคือเซิร์ฟเวอร์ในประเทศจีน ไทย สหรัฐฯ และญี่ปุ่น

สำหรับผู้ดูแลระบบฐานข้อมูล แนะนำให้ป้องกันการโจมตีด้วยการทำ Hardening ตามแนวทางปฏิบัติของ MySQL และ Microsoft รวมไปถึงหมั่นตรวจสอบฐานข้อมูลและระบบต่างๆ ว่าไม่มีชื่อผู้ใช้แปลกๆ โผล่มา เช่น hanako, kisadminnew1, 401hk$, Guest และ Huazhongdiguo110

ที่มา: https://thehackernews.com/2017/12/chinese-hacking-databases.html

About techtalkthai

ทีมงาน TechTalkThai เป็นกลุ่มบุคคลที่ทำงานในสาย Enterprise IT ที่มีความเชี่ยวชาญทางด้าน Network, Security, Server, Storage, Operating System และ Virtualization มารวมตัวกันเพื่ออัพเดตข่าวสารทางด้าน Enterprise IT ให้แก่ชาว IT ในไทยโดยเฉพาะ

Check Also

เซลส์ฟอร์ซ Webinar: สรรหาและรักษาบุคลากรที่มีความสามารถ เพื่อก้าวสู่การทำงานแห่งอนาคต [12 พ.ค. 2021 – 09.30น.]

TechTalkThai ขอเรียนเชิญ CIO, CTO, CHRO, IT Manager, HR Manager, ผู้ดูแลระบบ IT, เจ้าหน้าที่ฝ่ายทรัพยากรบุคคล และผู้ที่สนใจทุกท่าน เข้าร่วมฟัง TechTalk Webinar ในหัวข้อเรื่อง "สรรหาและรักษาบุคลากรที่มีความสามารถ เพื่อก้าวสู่การทำงานแห่งอนาคต โดย เซลส์ฟอร์ซ" เพื่อทำความรู้จักเทคโนโลยีสำหรับฝ่าย HR และ IT ในการสร้าง Employee Experience ที่ดีซึ่งจะช่วยให้ธุรกิจองค์กรสามารถดำเนินต่อไปได้ท่ามกลางการทำงานแบบ Remote Work อย่างมีประสิทธิภาพ ในวันพุธที่ 12 พฤษภาคม 2021 เวลา 9.30 น. โดยมีกำหนดการและวิธีการลงทะเบียนดังนี้

[Guest Post] เหตุผลที่ผู้ผลิตอาหารในเอเชียหันมาใช้ระบบคลาวด์

ความต้องการของผู้บริโภคปัจจุบันเพิ่มขึ้นมากกว่าในอดีต  ผลพวงมาจากความคุ้นเคยที่ได้รับจากความสะดวกสบายแบบเฉพาะเจาะจงส่วนบุคคลผ่านสมาร์ทโฟนที่ทันสมัยที่มีการเชื่อมต่อตลอดเวลา รวมถึงการเพิ่มขึ้นอย่างต่อเนื่องของมาตรฐานการปฏิบัติตามข้อกำหนดด้านอาหารทั่วโลก  การรับรู้เกี่ยวกับความสำคัญด้านความปลอดภัยอาหารและคุณภาพของผลิตภัณฑ์