ผู้เชี่ยวชาญเตือนระวังภัยมัลแวร์ ‘Purple Fox’ หลังอัปเกรตเพิ่มความสามารถแพร่กระจายตัวเอง

Purple Fox เป็นมัลแวร์ที่ถูกพบครั้งในแรกในปี 2018 ซึ่งล่าสุดนักวิจัยพบว่าได้ถูกปรับปรุงให้สามารถแพร่กระจายตัวได้ด้วยการสแกนหาเหยื่อในอินเทอร์เน็ตและ Brute-force ผ่าน SMB

credit : Guardicore Labs

ประวัติที่ผ่านมาของ Purple Fox

Purple Fox เป็นมัลแวร์ที่เริ่มถูกจับตาครั้งแรกในปี 2018 ซึ่ง ณ เวลานั้นมีเหยื่อแล้วถึง 30,000 เครื่อง โดยมัลแวร์มีความสามารถด้าน Rootkit และ Backdoor รวมถึงสามารถใช้เป็นตัวดาวน์โหลดมัลแวร์อื่นเข้ามาติดตั้งเพิ่มได้ ซึ่งในอดีตเดิมทีมัลแวร์ก็ได้สนใจผู้ใช้งานระบบ Windows อยู่แล้ว โดยเข้ามาผ่านทาง Web Browser ด้วยช่องโหว่ด้าน Memory Corruption และการยกระดับสิทธิ์ ในเดือนพฤษภาคมปี 2020 ถือเป็นช่วงพีคของ Purple Fox เพราะได้ขยายปริมาณเหยื่อจนถึง 90,000 เครื่อง

ความสามารถแพร่กระจายตัวเอง

จากข้อมูลของ Guardicore Labs เมื่อช่วงปลายปีที่ผ่านมา ผู้เชี่ยวชาญเริ่มพบว่า Purple Fox มีความพยายามสแกนพอร์ตของเครื่องระบบ Windows ผ่านอินเทอร์เน็ต โดยวิธีการหนึ่งที่ใช้เพื่อเจาะเข้าไปในระบบก็คือสามารถทำการโจมตีแบบ Brute force ต่อพอร์ต 445 ซึ่งเมื่อเข้ามาได้แล้วจะติดตั้ง Rootkit โอเพ่นซอร์สที่ชื่อ Hidden (https://github.com/JKornev/hidden/) เพื่อเพิ่มความสามารถให้รอดพ้นจากการรีบูตระบบ (Persistence) และซ่อนไฟล์ที่เกี่ยวข้องเอาไว้ นอกจากนี้เครื่องที่ติดมัลแวร์ก็จากกลายเป็นส่วนหนึ่งของกองทัพที่ช่วยสแกนหาเหยื่ออื่นเพิ่มต่อไป อีกวิธีการหนึ่งที่คนร้ายยังใช้เพื่อติดตั้งมัลแวร์เข้าสู่เครื่องเหยื่อก็คือการ Phishing ผ่านทางอีเมลนั่นเอง

เป้าหมาย

สำหรับเป้าหมายหลักของคนร้ายก็คือระบบ Windows อาทิเช่น IIS 7.5, Microsoft FTP, Microsoft RPC, Microsoft SQL Server 2008R2, Microsoft HTTPAPI Httpd 2.0 และ Microsoft Terminal Service เป็นต้น ผู้ที่สนใจตรวจสอบระบบท่านสามารถดู Indicator of Compromise (IOCs) ของ Purple Fox ได้ที่ https://github.com/guardicore/labs_campaigns/tree/master/Purple_Fox หรือรายงานจาก Guardicore Labs ที่ https://www.guardicore.com/labs/purple-fox-rootkit-now-propagates-as-a-worm/

ที่มา : https://www.bleepingcomputer.com/news/security/purple-fox-malware-worms-its-way-into-exposed-windows-systems/ และ https://www.securityweek.com/purple-fox-malware-squirms-worm-windows


About nattakon

จบการศึกษา ปริญญาตรีและโท สาขาวิศวกรรมคอมพิวเตอร์ KMITL เคยทำงานด้าน Engineer/Presale ดูแลผลิตภัณฑ์ด้าน Network Security และ Public Cloud ในประเทศ ปัจจุบันเป็นนักเขียน Full-time ที่ TechTalkThai

Check Also

TechTalk Webinar : Defense in Depth – Ransomware Ready with Commvault

VSTECS ร่วมกับ Computer Union และ Commvault ขอเชิญผู้สนใจในสายงาน IT ทุกท่านเข้าร่วมงานสัมมนาออนไลน์ในหัวข้อ "Defense in Depth - Ransomware Ready with Commvault" โดยท่านจะได้เรียนรู้เกี่ยวกับโซลูชันการป้องกันข้อมูลจากแรนซัมแวร์เพื่อทำให้ระบบขององค์กรเป็นไปตามแนวทาง Defense in Depth งานจะจัดขึ้นในวันจันทร์ที่ 6 มิถุนายน 2565 เวลา 14.00 - 15.30 น. มีกำหนดการลงทะเบียนดังนี้

พบช่องโหว่ร้ายแรงกระทบ vRealize, VCF, WorkspaceONE ทีมงาน CISA ประกาศหน่วยงานภายใต้การดูแลให้แพตช์ใน 5 วัน

VMware ได้มีการออกแพตช์ช่องโหว่ร้ายแรงใหม่ 2 รายการซึ่งทำให้คนร้ายสามารถ Bypass การพิสูจน์ตัวตนและยกระดับสิทธิ์ โดยส่งผลกระทบในหลายผลิตภัณฑ์ ไม่นานนัก CISA ได้ประกาศให้หน่วยงานภายใต้กำกับดูแลของตนให้เร่งแพตช์ช่องโหว่ใน 5 วัน หากทำไม่ได้ให้ตัดระบบเหล่านั้นออกจากเครือข่ายจนกว่าจะแล้วเสร็จ