TechTalkThai ศูนย์รวมข่าว Enterprise IT ออนไลน์แห่งแรกในประเทศไทย
Trend Micro ได้เปิดเผยรายถึงการพบมัลแวร์ตัวใหม่โดยตั้งชื่อว่า ‘BlackSquid’ ซึ่งมีการใช้งานช่องโหว่ร้ายแรงกว่า 7 รายการ ทั้งยังมีความสามารถตรวจสอบการถูก Debug และ Sandbox โดยมุ่งโจมตีเว็บเซิร์ฟเวอร์เพื่อขุดเหมือง Monero นอกจากนี้ Trend Micro พบตัวอย่างแล้วในไทยและอเมริกาเมื่อไม่กี่วันก่อน
สิ่งที่ทำให้ BlackSquid นั้นน่าสนใจกว่ามัลแวร์ตัวอื่นๆ คือการใช้งานช่องโหว่สำคัญกว่า 7 รายการซึ่งมัลแวร์ปกติทั่วไปจะมีการใช้งานช่องโหว่แค่ 1 ถึง 2 รายการเท่านั้น สำหรับช่องโหว่มีดังนี้
- EternalBlue/DoublePulsar
- 3 ช่องโหว่สำหรับ ThinkPHP
- CVE-2014-6287 บน Rejetto HTTP File Server
- CVE-2017-12615 บน Apache Tomcat
- CVE-1017-8464 บน Windows Sheel
ไอเดียคือเริ่มแรก BlackSquid จะใช้ GetTickCount API เพื่อสุ่มหา live IP ของเว็บเซิร์ฟเวอร์จากนั้นจึงเริ่มการโจมตีผ่านการใช้ช่องโหว่หรือ Brute-force อย่างไรก็ตามเมื่อเข้ามาแล้วมัลแวร์จะยังไม่บุ่มบ่ามทันทีเพราะจะมีกลไกเพื่อทำการเช็คบางอย่าง เช่น Username, ไดร์ฟเวอร์ หรือ DLL เพื่อให้แน่ใจว่าไม่ในอยู่ใน Sandbox, Virtual Machine หรือ Debugger จากนั้นจึงเริ่มปฏิบัติการ นอกจากนี้ Trend Micro ยังได้ชี้ถึงรูปแบบการติดมัลแวร์ตัวนี้ว่าเป็นไปได้ 3 ทางคือ Webpage, การใช้ช่องโหว่ และ Removable Network Drive
สำหรับเป้าหมายสุดท้ายนั้น BlackSquid มีการติดตั้ง XMRig เข้ามาเพื่อขุดเหมืองเงินดิจิทัล Monero แต่ไม่เพียงเท่านั้นหากตรวจสอบพบว่าเครื่องเหยื่อใช้การ์ดจอ Nvidia หรือ AMD ก็จะมีส่วนประกอบเพิ่มเติมเพื่อใช้งาน GPU ร่วมขุดเหมืองด้วย ทั้งนี้ Trend Micro ชี้ว่าหลังจากที่ใช้งานช่องโหว่ได้สำเร็จก็จะมีสิทธิ์ระดับเดียวกับผู้ใช้งานและสามารถแพร่กระจายตัวเองต่อไปด้วย
อย่างไรก็ตามจากการวิเคราะห์ของ Trend Micro พบว่ามีหลักฐานหลายส่วนแสดงว่ามัลแวร์ยังอยู่ในเพียงขั้นพัฒนาเท่านั้นคือ พบเรื่องของ Error Code, ใช้เทคนิคที่หาได้ฟรีตามแหล่งใต้ดิน หรือแม้กระทั่งการสุ่ม IP เพื่อโจมตีแทนที่จะลงทุนเพิ่มด้วย Shodan เป็นต้น ทำให้ไม่สามารถคาดเดาได้ว่านอกจากทำการขุดเหมืองแล้วใจจริงเวอร์ชันสุดท้ายคนร้ายตั้งใจจะทำอะไรเพิ่มหรือไม่ นอกจากนั้นที่สำคัญคือ Trend Micro ระบุว่ามีการค้นพบตัวอย่างของมัลแวร์แล้วในประเทศไทยและอเมริกาช่วงอาทิตย์สุดท้ายของเดือนพฤษาคมที่ผ่านมา
ผู้สนใจสามารถติดตามรายงานฉบับเต็มจาก Trend Micro ได้ที่นี่
ที่มา : https://www.zdnet.com/article/blacksquid-malware-has-bag-of-exploits-to-drop-cryptocurrency-miners/ และ https://www.bleepingcomputer.com/news/security/blacksquid-uses-7-exploits-to-infect-web-servers-with-miners/
