Breaking News

นักวิจัยช่วยกันทลายเครือข่ายเซิร์ฟเวอร์ที่ร่วมกระจายมัลแวร์

นักวิจัยจาก Abuse.ch, Brillant และ Proofpoint ได้ร่วมกันทลายเครือข่ายของเซิร์ฟเวอร์ C&C เบื้องหลังของ EITest หรือเครือข่ายของเซิร์ฟเวอร์จำนวนมากที่ถูกแทรกซึมโดยการติดตั้ง Backdoor เพื่อดูดทราฟฟิคปกติของเว็บไซต์และ Redirect ผู้ใช้ไปยังเพจอันตรายเป็นต้น (Traffic Distribution System)

Credit: Tashatuvango/ShutterStock

 

ประวัติของ EITest มีดังนี้

  • ปรากฏในตลาดของอาชญากรในปี 2011 เริ่มแรกผู้ก่อตั้งหวังใช้เพื่อผลักดันทราฟฟิคไปยัง Exploit Kit (ซอฟต์แวร์ที่รันอยู่บนเซิร์ฟเวอร์ที่ค้นหาและใช้ช่องโหว่บนเครื่องผู้ใช้งานเพื่ออัปโหลดและรันโค้ดอันตรายกับเหยื่อ) ของตนที่ชื่อ Glazunov ที่ใช้เพื่อติดตั้ง Trojan ที่ชื่อ Zaccess แต่ก็ไม่ได้เป็นผลด้านการคุกคามเท่าไหร่นัก
  • ปี 2014 ทีมงานจึงปล่อย EITest ให้กับผู้เขียนมัลแวร์รายอื่นมาเช่าใช้ต่อไป หลังจากนั้นมา EITest ก็มีส่วนแพร่กระจาย Ransomware อย่างนับไม่ถ้วน หรือ มีส่วนในการส่งผู้ใช้ไปยังไซต์ที่ทำ Social Engineering

จากการศึกษาของ Proofpoint พบว่า EITest ได้เสนอขายทราฟฟิคที่ปล้นมาได้จากไซต์ที่ถูกแฮ็กสนนราคาประมาณ $20 เหรียญต่อผู้ใช้งาน 1 พันคน โดยขั้นต่ำของการซื้อขายอยู่ที่ 5 หมื่นคน ต่อมาเมื่อต้นปี 2017 นักวิจัยจาก BrillantIT ได้เข้าไปศึกษาการทำงานภายใน EITest ทั้งหมด จากการเข้ายึดโดเมนหนึ่งชื่อ Stat-dns.com จนในที่สุดหลังจากวิเคราะห์การไหลของทราฟฟิคที่มีเหยื่อกว่า 2 ล้านคนรายวันมาจากเว็บไซต์ที่ถูกแฮ็กกว่า 52,000 แห่งและส่วนใหญ่เป็น WordPress

อย่างไรก็ตามหลังจากทลายเครือข่ายแล้วก็ไม่มีความพยายามของทีม EITest ที่จะนำระบบกลับมาอีกเลย แต่ก็ยังมีเครือข่ายลักษณะนี้ในตลาดอีก เช่น Fobos, Nyay และ Seamless เป็นต้น

ที่มา : https://www.bleepingcomputer.com/news/security/researchers-take-down-network-of-52-000-infected-servers-distributing-malware/

 


About nattakon

จบการศึกษา ปริญญาตรีและโท สาขาวิศวกรรมคอมพิวเตอร์ KMITL เคยทำงานด้าน Engineer/Presale ดูแลผลิตภัณฑ์ด้าน Network Security และ Public Cloud ในประเทศ ปัจจุบันเป็นนักเขียน Full-time ที่ TechTalkThai

Check Also

เตือนผู้ใช้ Docker คอนฟิกพลาดอาจถูกโจมตีเพื่อลอบขุดเหรียญ Monero ได้

นักวิจัยด้านความมั่นคงปลอดภัยจาก Juniper Networks ออกมาแจ้งเตือนผู้ใช้ Docker Services ถ้าคอนฟิกไม่รอบคอบอาจถูกแฮ็กเกอร์โจมตีเพื่อลอบติดตั้ง Container แล้วรันสคริปต์เพื่อขุดเหรียญเงิน Monero ได้

AWS ออกฟีเจอร์ใหม่ป้องกันข้อมูลรั่วไหลบน S3 โดยไม่ตั้งใจ

ที่ผ่านมาเกิดเหตุการณ์ผู้ใช้งาน AWS S3 ได้ตั้งค่าการเข้าถึงผิดพลาดอยู่บ่อยครั้ง วันนี้เอง AWS จึงได้ออกฟีเจอร์ใหม่ที่ช่วยผู้ใช้งานสามารถตั้งค่าพื้นฐานของ S3 ให้มีความมั่นคงปลอดภัยได้ง่ายมากขึ้น