แฮกเกอร์สุดแปลก! โจมตีเซิร์ฟเวอร์ Linux ผ่านช่องโหว่ Apache ActiveMQ ติดตั้งมัลแวร์ DripDropper เสร็จแล้วช่วยอัปเดตแพตช์ปิดช่องโหว่ให้
วงการความปลอดภัยไซเบอร์พบพฤติกรรมสุดแปลกของผู้ไม่หวังดี เมื่อกลุ่มแฮกเกอร์นิรนามได้อาศัยช่องโหว่ความปลอดภัยร้ายแรงในซอฟต์แวร์ Apache ActiveMQ ที่ถูกค้นพบมาเกือบ 2 ปี เพื่อเจาะเข้าระบบ Linux บนคลาวด์และฝังมัลแวร์ตัวใหม่ที่ชื่อว่า "DripDropper"
แต่เรื่องที่น่าประหลาดใจคือ หลังจากที่แฮกเกอร์สามารถเข้ายึดระบบและติดตั้งกลไกสำหรับแฝงตัวในระยะยาวได้สำเร็จ พวกเขากลับทำการ "อัปเดตแพตช์" เพื่อปิดช่องโหว่ที่ตัวเองใช้เจาะเข้ามาเสียเอง! จากรายงานของบริษัทความปลอดภัย Red Canary ระบุว่า การกระทำเช่นนี้มีจุดประสงค์เพื่อป้องกันไม่ให้แฮกเกอร์กลุ่มอื่นใช้ช่องทางเดียวกันเข้ามาโจมตีซ้ำ และเพื่อช่วยปกปิดร่องรอยการบุกรุกของตนเอง
ช่องโหว่ร้ายแรงที่ยังคงเป็นเป้าหมาย
การโจมตีครั้งนี้อาศัยช่องโหว่ CVE-2023-46604 ซึ่งมีความรุนแรงระดับสูงสุด (CVSS score: 10.0) โดยเป็นช่องโหว่ที่เปิดให้ผู้โจมตีสามารถรันคำสั่งอันตรายจากระยะไกลได้ แม้ว่าช่องโหว่นี้จะมีแพตช์แก้ไขออกมาตั้งแต่ปลายปี 2023 แล้ว แต่ก็ยังคงมีระบบจำนวนมากที่ยังไม่อัปเดต ทำให้ตกเป็นเป้าหมายของการโจมตีเพื่อปล่อยมัลแวร์หลากหลายชนิด ไม่ว่าจะเป็นแรนซัมแวร์ HelloKitty, Linux rootkits ไปจนถึงบอตเน็ต GoTitan
รู้จัก DripDropper มัลแวร์ตัวใหม่
ในการโจมตีล่าสุดที่ Red Canary ตรวจพบ แฮกเกอร์ได้ใช้สิทธิ์ที่ได้มาจากการเจาะระบบเพื่อแก้ไขการตั้งค่า SSH ให้สามารถล็อกอินในฐานะผู้ดูแลสูงสุด (root) ได้ จากนั้นจึงทำการติดตั้งมัลแวร์ที่ไม่เคยพบมาก่อนในชื่อ DripDropper
DripDropper เป็นมัลแวร์ประเภท Downloader ที่ถูกออกแบบมาให้ทำงานบนระบบ Linux โดยมันจะติดต่อกลับไปยังบัญชี Dropbox ของแฮกเกอร์ เพื่อดาวน์โหลดไฟล์อันตรายเพิ่มเติมอีก 2 ตัว ซึ่งการใช้บริการที่ถูกกฎหมายอย่าง Dropbox ทำให้การโจมตีแนบเนียนและยากต่อการตรวจจับ
ไฟล์ที่ถูกดาวน์โหลดมาจะทำหน้าที่สร้างกลไกการคงอยู่ถาวร (Persistence) ในระบบ ทั้งโดยการแก้ไขไฟล์ตั้งค่าเวลาทำงานอัตโนมัติ (cron job) และแก้ไขการตั้งค่า SSH เพื่อใช้เป็นประตูหลังสำรองสำหรับการเข้าถึงระบบในอนาคต
เจาะแล้วปิด...กลยุทธ์ใหม่ของแฮกเกอร์?
ขั้นตอนสุดท้ายที่น่าสนใจที่สุดคือ แฮกเกอร์จะดาวน์โหลดแพตช์สำหรับช่องโหว่ CVE-2023-46604 มาติดตั้งให้กับเครื่องของเหยื่อ เพื่อปิดช่องทางที่พวกเขาใช้เข้ามา
"การปิดช่องโหว่ไม่ได้ส่งผลกระทบต่อการทำงานของพวกเขาเลย เพราะพวกเขาได้สร้างช่องทางอื่น ๆ สำหรับการเข้าถึงระบบไว้เรียบร้อยแล้ว" นักวิจัยกล่าว
เหตุการณ์นี้ถือเป็นเครื่องเตือนใจสำคัญสำหรับองค์กรต่าง ๆ ว่า การอัปเดตแพตช์ความปลอดภัยอย่างสม่ำเสมอเป็นสิ่งที่ไม่ควรมองข้าม นอกจากนี้ ควรจำกัดการเข้าถึงบริการภายในโดยอนุญาตเฉพาะ IP ที่เชื่อถือได้หรือผ่าน VPN เท่านั้น และหมั่นตรวจสอบบันทึก (log) ของระบบเพื่อตรวจจับกิจกรรมที่ผิดปกติ
#ดรกฤษฎาแก้ววัดปริง #ไทยสมาร์ทซิตี้ #SmartCity #DRKRIT #สมาร์ทซิตี้คลิก