CDIC 2023

ผู้เชี่ยวชาญเตือนระวังภัยมัลแวร์ ‘Purple Fox’ หลังอัปเกรตเพิ่มความสามารถแพร่กระจายตัวเอง

Purple Fox เป็นมัลแวร์ที่ถูกพบครั้งในแรกในปี 2018 ซึ่งล่าสุดนักวิจัยพบว่าได้ถูกปรับปรุงให้สามารถแพร่กระจายตัวได้ด้วยการสแกนหาเหยื่อในอินเทอร์เน็ตและ Brute-force ผ่าน SMB

credit : Guardicore Labs

ประวัติที่ผ่านมาของ Purple Fox

Purple Fox เป็นมัลแวร์ที่เริ่มถูกจับตาครั้งแรกในปี 2018 ซึ่ง ณ เวลานั้นมีเหยื่อแล้วถึง 30,000 เครื่อง โดยมัลแวร์มีความสามารถด้าน Rootkit และ Backdoor รวมถึงสามารถใช้เป็นตัวดาวน์โหลดมัลแวร์อื่นเข้ามาติดตั้งเพิ่มได้ ซึ่งในอดีตเดิมทีมัลแวร์ก็ได้สนใจผู้ใช้งานระบบ Windows อยู่แล้ว โดยเข้ามาผ่านทาง Web Browser ด้วยช่องโหว่ด้าน Memory Corruption และการยกระดับสิทธิ์ ในเดือนพฤษภาคมปี 2020 ถือเป็นช่วงพีคของ Purple Fox เพราะได้ขยายปริมาณเหยื่อจนถึง 90,000 เครื่อง

ความสามารถแพร่กระจายตัวเอง

จากข้อมูลของ Guardicore Labs เมื่อช่วงปลายปีที่ผ่านมา ผู้เชี่ยวชาญเริ่มพบว่า Purple Fox มีความพยายามสแกนพอร์ตของเครื่องระบบ Windows ผ่านอินเทอร์เน็ต โดยวิธีการหนึ่งที่ใช้เพื่อเจาะเข้าไปในระบบก็คือสามารถทำการโจมตีแบบ Brute force ต่อพอร์ต 445 ซึ่งเมื่อเข้ามาได้แล้วจะติดตั้ง Rootkit โอเพ่นซอร์สที่ชื่อ Hidden (https://github.com/JKornev/hidden/) เพื่อเพิ่มความสามารถให้รอดพ้นจากการรีบูตระบบ (Persistence) และซ่อนไฟล์ที่เกี่ยวข้องเอาไว้ นอกจากนี้เครื่องที่ติดมัลแวร์ก็จากกลายเป็นส่วนหนึ่งของกองทัพที่ช่วยสแกนหาเหยื่ออื่นเพิ่มต่อไป อีกวิธีการหนึ่งที่คนร้ายยังใช้เพื่อติดตั้งมัลแวร์เข้าสู่เครื่องเหยื่อก็คือการ Phishing ผ่านทางอีเมลนั่นเอง

เป้าหมาย

สำหรับเป้าหมายหลักของคนร้ายก็คือระบบ Windows อาทิเช่น IIS 7.5, Microsoft FTP, Microsoft RPC, Microsoft SQL Server 2008R2, Microsoft HTTPAPI Httpd 2.0 และ Microsoft Terminal Service เป็นต้น ผู้ที่สนใจตรวจสอบระบบท่านสามารถดู Indicator of Compromise (IOCs) ของ Purple Fox ได้ที่ https://github.com/guardicore/labs_campaigns/tree/master/Purple_Fox หรือรายงานจาก Guardicore Labs ที่ https://www.guardicore.com/labs/purple-fox-rootkit-now-propagates-as-a-worm/

ที่มา : https://www.bleepingcomputer.com/news/security/purple-fox-malware-worms-its-way-into-exposed-windows-systems/ และ https://www.securityweek.com/purple-fox-malware-squirms-worm-windows


About nattakon

จบการศึกษา ปริญญาตรีและโท สาขาวิศวกรรมคอมพิวเตอร์ KMITL เคยทำงานด้าน Engineer/Presale ดูแลผลิตภัณฑ์ด้าน Network Security และ Public Cloud ในประเทศ ปัจจุบันเป็นนักเขียน Full-time ที่ TechTalkThai

Check Also

Google Chrome ออกแพตช์ Zero-day ใหม่ นับเป็นตัวที่ 5 ของปีนี้

Google Chrome ออกแพตช์ Zero-day ใหม่ นับเป็นตัวที่ 5 ของปีนี้

เชิญร่วมงานสัมมนาออนไลน์ BAYCOMS Cybersecurity Day 2023 วันที่ 6 ตุลาคม 2023

Bay Computing ขอเชิญผู้บริหารและผู้ปฏิบัติงานด้าน IT Security เข้าร่วมสัมมนาออนไลน์ BAYCOMS Cybersecurity Day 2023 ซึ่งจัดขึ้นภายใต้ธีม “First Class Cybersecurity to …