TechTalkThai ศูนย์รวมข่าว Enterprise IT ออนไลน์แห่งแรกในประเทศไทย
Purple Fox เป็นมัลแวร์ที่ถูกพบครั้งในแรกในปี 2018 ซึ่งล่าสุดนักวิจัยพบว่าได้ถูกปรับปรุงให้สามารถแพร่กระจายตัวได้ด้วยการสแกนหาเหยื่อในอินเทอร์เน็ตและ Brute-force ผ่าน SMB
ประวัติที่ผ่านมาของ Purple Fox
Purple Fox เป็นมัลแวร์ที่เริ่มถูกจับตาครั้งแรกในปี 2018 ซึ่ง ณ เวลานั้นมีเหยื่อแล้วถึง 30,000 เครื่อง โดยมัลแวร์มีความสามารถด้าน Rootkit และ Backdoor รวมถึงสามารถใช้เป็นตัวดาวน์โหลดมัลแวร์อื่นเข้ามาติดตั้งเพิ่มได้ ซึ่งในอดีตเดิมทีมัลแวร์ก็ได้สนใจผู้ใช้งานระบบ Windows อยู่แล้ว โดยเข้ามาผ่านทาง Web Browser ด้วยช่องโหว่ด้าน Memory Corruption และการยกระดับสิทธิ์ ในเดือนพฤษภาคมปี 2020 ถือเป็นช่วงพีคของ Purple Fox เพราะได้ขยายปริมาณเหยื่อจนถึง 90,000 เครื่อง
ความสามารถแพร่กระจายตัวเอง
จากข้อมูลของ Guardicore Labs เมื่อช่วงปลายปีที่ผ่านมา ผู้เชี่ยวชาญเริ่มพบว่า Purple Fox มีความพยายามสแกนพอร์ตของเครื่องระบบ Windows ผ่านอินเทอร์เน็ต โดยวิธีการหนึ่งที่ใช้เพื่อเจาะเข้าไปในระบบก็คือสามารถทำการโจมตีแบบ Brute force ต่อพอร์ต 445 ซึ่งเมื่อเข้ามาได้แล้วจะติดตั้ง Rootkit โอเพ่นซอร์สที่ชื่อ Hidden (https://github.com/JKornev/hidden/) เพื่อเพิ่มความสามารถให้รอดพ้นจากการรีบูตระบบ (Persistence) และซ่อนไฟล์ที่เกี่ยวข้องเอาไว้ นอกจากนี้เครื่องที่ติดมัลแวร์ก็จากกลายเป็นส่วนหนึ่งของกองทัพที่ช่วยสแกนหาเหยื่ออื่นเพิ่มต่อไป อีกวิธีการหนึ่งที่คนร้ายยังใช้เพื่อติดตั้งมัลแวร์เข้าสู่เครื่องเหยื่อก็คือการ Phishing ผ่านทางอีเมลนั่นเอง
เป้าหมาย
สำหรับเป้าหมายหลักของคนร้ายก็คือระบบ Windows อาทิเช่น IIS 7.5, Microsoft FTP, Microsoft RPC, Microsoft SQL Server 2008R2, Microsoft HTTPAPI Httpd 2.0 และ Microsoft Terminal Service เป็นต้น ผู้ที่สนใจตรวจสอบระบบท่านสามารถดู Indicator of Compromise (IOCs) ของ Purple Fox ได้ที่ https://github.com/guardicore/labs_campaigns/tree/master/Purple_Fox หรือรายงานจาก Guardicore Labs ที่ https://www.guardicore.com/labs/purple-fox-rootkit-now-propagates-as-a-worm/
ที่มา : https://www.bleepingcomputer.com/news/security/purple-fox-malware-worms-its-way-into-exposed-windows-systems/ และ https://www.securityweek.com/purple-fox-malware-squirms-worm-windows
