▶บอตเน็ตใหม่นี้กำหนดเป้าหมายไปที่เซิร์ฟเวอร์ Linux ที่ใช้งานแอปพลิเคชันเชิงพาณิชย์ การเปรียบเทียบ

การเปรียบเทียบ
บทเรียน
บอตเน็ตใหม่นี้กำหนดเป้าหมายไปที่เซิร์ฟเวอร์ Linux ที่ใช้งานแอปพลิเคชันเชิงพาณิชย์

นักวิจัยด้านความปลอดภัยจากทีม ThreatLabZ ของ Zscaler ได้ค้นพบและวิเคราะห์มัลแวร์บน Linux ตระกูลใหม่ที่อาชญากรไซเบอร์ใช้เพื่อโจมตีเซิร์ฟเวอร์ Linux ที่ใช้งานแอปพลิเคชันทางธุรกิจ บริษัทรักษาความปลอดภัยทางไซเบอร์รายนี้ขนานนามมัลแวร์ตระกูลใหม่ DreamBus และจริงๆ แล้วมันเป็นรูปแบบของบอตเน็ตรุ่นเก่าที่เรียกว่า SytemdMiner ซึ่งปรากฏตัวครั้งแรกในปี 2019 อย่างไรก็ตาม DreamBus เวอร์ชันปัจจุบันมีการปรับปรุงหลายอย่างเหนือ SystemdMiner ปัจจุบันบ็อตเน็ต DreamBus ใช้เพื่อกำหนดเป้าหมายแอปพลิเคชันระดับองค์กรยอดนิยมจำนวนหนึ่ง รวมถึง PostgreSQL, Redis, Hadoop YARN, Apache Spark, HashiCorp Consul, SaltStack และบริการ SSH ซึ่งทั้งหมดนี้ทำงานบนเซิร์ฟเวอร์ Linux ในขณะที่แอปพลิเคชันเหล่านี้บางตัวถูกโจมตีด้วยการโจมตีแบบ bruteforce แต่แอปพลิเคชันอื่น ๆ ก็ถูกโจมตีโดยใช้คำสั่งที่เป็นอันตรายซึ่งส่งไปยังจุดสิ้นสุด API ที่ถูกเปิดเผย หรือใช้ช่องโหว่สำหรับช่องโหว่ก่อนหน้านี้

เครือข่ายซอมบี้ DreamBus

อาชญากรไซเบอร์ที่ใช้ DreamBus ดำเนินการดังกล่าวเพื่อพยายามตั้งหลักบนเซิร์ฟเวอร์ Linux ซึ่งพวกเขาสามารถดาวน์โหลดและติดตั้งแอปพลิเคชันโอเพ่นซอร์สที่ใช้ในการขุดสกุลเงินดิจิตอล Monero (XMR) นอกจากนี้ แต่ละเซิร์ฟเวอร์ที่ติดไวรัสยังเป็นส่วนหนึ่งของบอตเน็ต ตามข้อมูลของ Zscaler DreamBus ใช้มาตรการหลายอย่างเพื่อหลีกเลี่ยงการตรวจจับรวมถึงการให้มัลแวร์สื่อสารกับเซิร์ฟเวอร์ command and control (C&C) ของ botnet โดยใช้โปรโตคอล DNS-over ใหม่ HTTPS (DoH ) ซึ่งซับซ้อนมากในการกำหนดค่า เซิร์ฟเวอร์ C&C ยังโฮสต์อยู่บนเครือข่าย Tor โดยใช้ที่อยู่ .onion เพื่อทำให้การลบออกทำได้ยากขึ้น Brett Stone-Gross ผู้อำนวยการฝ่ายข่าวกรองภัยคุกคามของ Zscaler อธิบายในรายงานฉบับใหม่ว่า เป็นการยากที่จะค้นหาผู้แสดงภัยคุกคามที่อยู่เบื้องหลัง DreamBus เนื่องจากวิธีที่พวกเขาซ่อนตัวโดยใช้ Tor และเว็บไซต์แบ่งปันไฟล์ที่ไม่ระบุชื่อ ซึ่งกล่าวว่า “ในขณะที่ DreamBus กำลังถูกใช้สำหรับการขุดสกุลเงินดิจิทัล ผู้คุกคามอาจหันไปทำกิจกรรมที่ก่อกวนมากขึ้น เช่น แรนซัมแวร์ นอกจากนี้ กลุ่มภัยคุกคามอื่นๆ สามารถใช้เทคนิคเดียวกันนี้เพื่อแพร่ระบาดไปยังระบบและประนีประนอมข้อมูลที่ละเอียดอ่อนซึ่งสามารถขโมยและสร้างรายได้ได้ง่าย ผู้คุกคาม DreamBus ยังคงสร้างสรรค์นวัตกรรมและเพิ่มโมดูลใหม่เพื่อโจมตีระบบต่างๆ มากขึ้น และเผยแพร่การอัปเดตและการแก้ไขข้อบกพร่องเป็นประจำ ผู้คุกคามที่อยู่เบื้องหลัง DreamBus มีแนวโน้มที่จะปฏิบัติการต่อไปในอนาคตอันใกล้ โดยซ่อนตัวอยู่หลัง TOR และเว็บไซต์แบ่งปันไฟล์ที่ไม่เปิดเผยตัวตน ผ่านทาง ZDNet

บอตเน็ตใหม่นี้กำหนดเป้าหมายไปที่เซิร์ฟเวอร์ Linux ที่ใช้งานแอปพลิเคชันเชิงพาณิชย์

เครือข่ายซอมบี้ DreamBus (adsbygoogle = window.adsbygoogle || []).push({});

เครือข่ายซอมบี้ DreamBus