เตือนภัย! มัลแวร์ Chaos กลายพันธุ์ บุกถล่มระบบ Cloud พร้อมฟีเจอร์ใหม่ "พรางตัว" ขั้นเทพ
นักวิจัยด้านความปลอดภัยจาก Darktrace ได้ตรวจพบการแพร่ระบาดของมัลแวร์ Chaos เวอร์ชันใหม่ ซึ่งตอนนี้มันไม่ได้จ้องเล่นงานแค่เราเตอร์ (Router) หรืออุปกรณ์ปลายทาง (Edge Devices) แบบเดิมๆแล้ว แต่กำลังมุ่งเป้าไปที่ ระบบ Cloud ที่ตั้งค่าไม่รัดกุม (Misconfigured Cloud) เพื่อขยายอาณาจักรเครือข่ายบอตเน็ต (Botnet) ให้กว้างขวางขึ้น
จาก "DDoS" สู่ "สายลับพรางตัว"
เดิมที Chaos ถูกรู้จักในฐานะมัลแวร์ที่เน้นโจมตีแบบ DDoS (ยิงถล่มเว็บไซต์) และขุดเหรียญคริปโตฯ แต่ในเวอร์ชันล่าสุดที่ตรวจพบเมื่อเดือนที่ผ่านมา มีความเปลี่ยนแปลงที่น่าสนใจดังนี้ครับ
- เจาะผ่านช่องโหว่การตั้งค่า: มันเลือกจ้องงานระบบที่ตั้งค่าพลาด เช่น Instance ของ Hadoop หรือ Docker ที่เปิดช่องให้รันคำสั่นจากระยะไกลได้ (Remote Code Execution)
- ฟีเจอร์ใหม่ SOCKS Proxy: นี่คือตัวแสบเลยครับ มัลแวร์ตัวนี้จะเปลี่ยนเครืองที่ติดเชื้อให้กลายเป็น "ทางผ่าน" (Proxy) เพื่อใช้ส่งต่อทราฟฟิกอันตราย วิธีนี้จะช่วยผิดบังตัวตนที่แท้จริงของแฮกเกอร์ ทำให้ตรวจจับและบล็อกได้ยากขึ้นมาก
- ตัดฟิลเจอร์เก่า เพิ่มความเนียน: มันตัดระบบการแพร่กระจายผ่าน SSH แบบเดิมๆ ออก แล้วปรับโครงสร้างใหม่เกือบทั้งหมด เพื่อให้ทำงานบนระบบ Cloud ได้มีประสิทธิภาพสูงสุด
ร่องรอยชี้เป้า อาจมาจากแดนมังกร?
จากการตรวจสอบของนักวิจัย พบตัวอักษรภาษาจีนในชุดคำสั่ง และมีการใช้โครงสร้างพื้นฐาน (Infrastructure) ที่ตั้งอยู่ในประเทศจีน นอกจากนี้ โดเมนต์ที่ใช้อพร่กระจายมัลแวร์ยังมีความเชื่อมโยงกับกลุ่มอาชญากรไซเบอร์ชื่อดังอย่าง Silver Fox อีกด้วย
อย่าปล่อยให้ Cloud ของคุณ "หลวม"
การที่มัลแวร์หันมาเพิ่มฟีลเจอร์ Proxy แสดงว่าเหล่าแฮกเกอร์ไม่ได้หวังแค่จะยิงถล่มเว็บคนอื่นเท่านั้น แต่พวกเขากำลังหาทาง "สร้างรายได้" ในรูปแบบใหม่ๆ เช่น กายบริการพรางตัวในตลาดมืด
ตรวจสอบการตั้งค่า Cloud ขององค์กรให้ดี อย่าเปิด Port ทิ้งไว้โดยไม่จำเป็น และหมั่นอัปเดต Patch คาวมปลอดภัยอย่าสม่ำเสมอ เพราะถ้าพลาดเมื่อไหร่ Chaos จะเข้าไปเปลี่ยนระบบของคุณให้กลายเป็นฐานทัพของพวกมันทันที
#ดรกฤษฎาแก้ววัดปริง #ไทยสมาร์ทซิตี้ #SmartCity #DRKRIT #สมาร์ทซิตี้คลิก