Trend Micro เผยพบมัลแวร์ใหม่ ‘BlackSquid’ ในไทยและอเมริกามุ่งใช้ทรัพยากรขุดเหมือง

Trend Micro ได้เปิดเผยรายถึงการพบมัลแวร์ตัวใหม่โดยตั้งชื่อว่า ‘BlackSquid’ ซึ่งมีการใช้งานช่องโหว่ร้ายแรงกว่า 7 รายการ ทั้งยังมีความสามารถตรวจสอบการถูก Debug และ Sandbox โดยมุ่งโจมตีเว็บเซิร์ฟเวอร์เพื่อขุดเหมือง Monero นอกจากนี้ Trend Micro พบตัวอย่างแล้วในไทยและอเมริกาเมื่อไม่กี่วันก่อน

Credit: ShutterStock.com

สิ่งที่ทำให้ BlackSquid นั้นน่าสนใจกว่ามัลแวร์ตัวอื่นๆ คือการใช้งานช่องโหว่สำคัญกว่า 7 รายการซึ่งมัลแวร์ปกติทั่วไปจะมีการใช้งานช่องโหว่แค่ 1 ถึง 2 รายการเท่านั้น สำหรับช่องโหว่มีดังนี้

  • EternalBlue/DoublePulsar
  • 3 ช่องโหว่สำหรับ ThinkPHP 
  • CVE-2014-6287 บน Rejetto HTTP File Server
  • CVE-2017-12615 บน Apache Tomcat
  • CVE-1017-8464 บน Windows Sheel 

ไอเดียคือเริ่มแรก BlackSquid จะใช้ GetTickCount API เพื่อสุ่มหา live IP ของเว็บเซิร์ฟเวอร์จากนั้นจึงเริ่มการโจมตีผ่านการใช้ช่องโหว่หรือ Brute-force อย่างไรก็ตามเมื่อเข้ามาแล้วมัลแวร์จะยังไม่บุ่มบ่ามทันทีเพราะจะมีกลไกเพื่อทำการเช็คบางอย่าง เช่น Username, ไดร์ฟเวอร์ หรือ DLL เพื่อให้แน่ใจว่าไม่ในอยู่ใน Sandbox, Virtual Machine หรือ Debugger จากนั้นจึงเริ่มปฏิบัติการ นอกจากนี้ Trend Micro ยังได้ชี้ถึงรูปแบบการติดมัลแวร์ตัวนี้ว่าเป็นไปได้ 3 ทางคือ Webpage, การใช้ช่องโหว่ และ Removable Network Drive

สำหรับเป้าหมายสุดท้ายนั้น BlackSquid มีการติดตั้ง XMRig เข้ามาเพื่อขุดเหมืองเงินดิจิทัล Monero แต่ไม่เพียงเท่านั้นหากตรวจสอบพบว่าเครื่องเหยื่อใช้การ์ดจอ Nvidia หรือ AMD ก็จะมีส่วนประกอบเพิ่มเติมเพื่อใช้งาน GPU ร่วมขุดเหมืองด้วย ทั้งนี้ Trend Micro ชี้ว่าหลังจากที่ใช้งานช่องโหว่ได้สำเร็จก็จะมีสิทธิ์ระดับเดียวกับผู้ใช้งานและสามารถแพร่กระจายตัวเองต่อไปด้วย

อย่างไรก็ตามจากการวิเคราะห์ของ Trend Micro พบว่ามีหลักฐานหลายส่วนแสดงว่ามัลแวร์ยังอยู่ในเพียงขั้นพัฒนาเท่านั้นคือ พบเรื่องของ Error Code, ใช้เทคนิคที่หาได้ฟรีตามแหล่งใต้ดิน หรือแม้กระทั่งการสุ่ม IP เพื่อโจมตีแทนที่จะลงทุนเพิ่มด้วย Shodan เป็นต้น ทำให้ไม่สามารถคาดเดาได้ว่านอกจากทำการขุดเหมืองแล้วใจจริงเวอร์ชันสุดท้ายคนร้ายตั้งใจจะทำอะไรเพิ่มหรือไม่ นอกจากนั้นที่สำคัญคือ Trend Micro ระบุว่ามีการค้นพบตัวอย่างของมัลแวร์แล้วในประเทศไทยและอเมริกาช่วงอาทิตย์สุดท้ายของเดือนพฤษาคมที่ผ่านมา

ผู้สนใจสามารถติดตามรายงานฉบับเต็มจาก Trend Micro ได้ที่นี่

ที่มา : https://www.zdnet.com/article/blacksquid-malware-has-bag-of-exploits-to-drop-cryptocurrency-miners/ และ https://www.bleepingcomputer.com/news/security/blacksquid-uses-7-exploits-to-infect-web-servers-with-miners/


About nattakon

จบการศึกษา ปริญญาตรีและโท สาขาวิศวกรรมคอมพิวเตอร์ KMITL เคยทำงานด้าน Engineer/Presale ดูแลผลิตภัณฑ์ด้าน Network Security และ Public Cloud ในประเทศ ปัจจุบันเป็นนักเขียน Full-time ที่ TechTalkThai

Check Also

ฟรี eBook: A Developer’s Guide to Building AI Applications โดย Microsoft

Microsoft เปิดให้ดาวน์โหลด eBook เรื่อง A Developer’s Guide to Building AI Applications สำหรับนักพัฒนาที่ต้องการสร้างแอปพลิเคชันและ Bot อัจฉริยะโดยใช้เทคโนโลยี AI …

Fortinet เปิดตัว FortiWeb 6.1.0 เสริมฟีเจอร์ Machine Learning และ Botnet Detection

Fortinet ผู้ให้บริการโซลูชันด้านความมั่นคงปลอดภัยสมรรถนะสูง ประกาศเปิดตัว FortiWeb เวอร์ชัน 6.1.0 ใหม่ล่าสุด พร้อมผสานเทคโนโลยี Machine Learning เข้าไปยังฟีเจอร์ต่างๆ รวมไปถึงปรับปรุง Botnet Detection ให้มีประสิทธิภาพดียิ่งขึ้น