Black Hat Asia 2023

ผู้เชี่ยวชาญเตือนระวังภัยมัลแวร์ ‘Purple Fox’ หลังอัปเกรตเพิ่มความสามารถแพร่กระจายตัวเอง

Purple Fox เป็นมัลแวร์ที่ถูกพบครั้งในแรกในปี 2018 ซึ่งล่าสุดนักวิจัยพบว่าได้ถูกปรับปรุงให้สามารถแพร่กระจายตัวได้ด้วยการสแกนหาเหยื่อในอินเทอร์เน็ตและ Brute-force ผ่าน SMB

credit : Guardicore Labs

ประวัติที่ผ่านมาของ Purple Fox

Purple Fox เป็นมัลแวร์ที่เริ่มถูกจับตาครั้งแรกในปี 2018 ซึ่ง ณ เวลานั้นมีเหยื่อแล้วถึง 30,000 เครื่อง โดยมัลแวร์มีความสามารถด้าน Rootkit และ Backdoor รวมถึงสามารถใช้เป็นตัวดาวน์โหลดมัลแวร์อื่นเข้ามาติดตั้งเพิ่มได้ ซึ่งในอดีตเดิมทีมัลแวร์ก็ได้สนใจผู้ใช้งานระบบ Windows อยู่แล้ว โดยเข้ามาผ่านทาง Web Browser ด้วยช่องโหว่ด้าน Memory Corruption และการยกระดับสิทธิ์ ในเดือนพฤษภาคมปี 2020 ถือเป็นช่วงพีคของ Purple Fox เพราะได้ขยายปริมาณเหยื่อจนถึง 90,000 เครื่อง

ความสามารถแพร่กระจายตัวเอง

จากข้อมูลของ Guardicore Labs เมื่อช่วงปลายปีที่ผ่านมา ผู้เชี่ยวชาญเริ่มพบว่า Purple Fox มีความพยายามสแกนพอร์ตของเครื่องระบบ Windows ผ่านอินเทอร์เน็ต โดยวิธีการหนึ่งที่ใช้เพื่อเจาะเข้าไปในระบบก็คือสามารถทำการโจมตีแบบ Brute force ต่อพอร์ต 445 ซึ่งเมื่อเข้ามาได้แล้วจะติดตั้ง Rootkit โอเพ่นซอร์สที่ชื่อ Hidden (https://github.com/JKornev/hidden/) เพื่อเพิ่มความสามารถให้รอดพ้นจากการรีบูตระบบ (Persistence) และซ่อนไฟล์ที่เกี่ยวข้องเอาไว้ นอกจากนี้เครื่องที่ติดมัลแวร์ก็จากกลายเป็นส่วนหนึ่งของกองทัพที่ช่วยสแกนหาเหยื่ออื่นเพิ่มต่อไป อีกวิธีการหนึ่งที่คนร้ายยังใช้เพื่อติดตั้งมัลแวร์เข้าสู่เครื่องเหยื่อก็คือการ Phishing ผ่านทางอีเมลนั่นเอง

เป้าหมาย

สำหรับเป้าหมายหลักของคนร้ายก็คือระบบ Windows อาทิเช่น IIS 7.5, Microsoft FTP, Microsoft RPC, Microsoft SQL Server 2008R2, Microsoft HTTPAPI Httpd 2.0 และ Microsoft Terminal Service เป็นต้น ผู้ที่สนใจตรวจสอบระบบท่านสามารถดู Indicator of Compromise (IOCs) ของ Purple Fox ได้ที่ https://github.com/guardicore/labs_campaigns/tree/master/Purple_Fox หรือรายงานจาก Guardicore Labs ที่ https://www.guardicore.com/labs/purple-fox-rootkit-now-propagates-as-a-worm/

ที่มา : https://www.bleepingcomputer.com/news/security/purple-fox-malware-worms-its-way-into-exposed-windows-systems/ และ https://www.securityweek.com/purple-fox-malware-squirms-worm-windows


About nattakon

จบการศึกษา ปริญญาตรีและโท สาขาวิศวกรรมคอมพิวเตอร์ KMITL เคยทำงานด้าน Engineer/Presale ดูแลผลิตภัณฑ์ด้าน Network Security และ Public Cloud ในประเทศ ปัจจุบันเป็นนักเขียน Full-time ที่ TechTalkThai

Check Also

เรื่องใกล้ตัวกว่าที่คิด! “รู้ทันภัยไซเบอร์” ป้องกันอย่างไร..ไม่ให้ตกเป็นเหยื่อ [Guest Post]

ปัจจุบัน Cybercrime หรือ อาชญากรรมไซเบอร์เกิดขึ้นทุกวันและมีอัตราการโจมตีเพิ่มขึ้น ทำให้องค์กรในยุคปัจจุบันต้องเผชิญกับความเสี่ยงด้านความปลอดภัยมากกว่าในอดีต อีกทั้งอาชญากรรมไซเบอร์มีการพัฒนารูปแบบการจู่โจม เทคนิคและซับซ้อนมากยิ่งขึ้น พร้อมแทรกซึมเข้าสู่องค์กรเป้าหมายอยู่ตลอดเวลา แล้วจะทำอย่างไร? ให้องค์กรของคุณ…สามารถดำเนินธุรกิจได้อย่างปลอดภัย และสามารถป้องกันพร้อมรับมือกับอาชญากรรมไซเบอร์ที่อาจจะเกิดขึ้นในอนาคตได้ “Attackers are adapting and …

Microsoft OneNote เตรียมบล็อกไฟล์แนบกว่า 120 นามสกุล เพื่อเพิ่มความปลอดภัย

Microsoft OneNote เตรียมบล็อกไฟล์แนบกว่า 120 นามสกุล เพื่อเพิ่มความปลอดภัยในการใช้งาน