กลุ่ม 8220 ได้ทำการอัปเดต Malware Toolset เพื่อใช้โจมตี Linux Servers
พบกลุ่มผู้ไม่ประสงค์ดีที่รู้จักกันในชื่อ 8220 ได้ทำการอัปเดต Malware Toolset เพื่อใช้โจมตี Linux Servers
โดยมีเป้าหมายในการติดตั้งซอฟต์แวร์ขุดสกุลเงินดิจิทัล (Cryptocurrency)
กลุ่มผู้ไม่ประสงค์ดี 8220 เป็นกลุ่มผู้ไม่ประสงค์ดีจากประเทศจีน พบครั้งแรกเมื่อปี 2017 ซึ่งนักวิจัยได้ตั้งชื่อตามพฤติกรรมในการสื่อสารกับ Command-and-Control (C2) Servers ผ่าน Port 8220 นอกจากนี้ยังเป็นผู้พัฒนาเครื่องมือ
ที่ชื่อว่า whatMiner โดยได้รับความร่วมมือจากกลุ่มผู้ไม่ประสงค์ดี Rocke และ มีลักษณะการโจมตีผ่านช่องโหว่
หรือ ใช้ซอฟต์แวร์ในการขุดสกุลเงินดิจิทัล (Cryptocurrency)
Microsoft พบว่าการโจมตีล่าสุดบนระบบ i686 และ x86_64 Linux พบว่าผู้ไม่ประสงค์ดีใช้การโจมตีแบบ
Remote Code Execution ผ่านช่องโหว่ Atlassian Confluence Server (CVE-2022-26134) และ Oracle WebLogic
(CVE-2019-2725) หากโจมตีสำเร็จจะทำการเรียกใช้ Malware Loader จาก C2 Servers ที่ออกแบบมาเพื่อติดตั้งซอฟต์แวร์
PwnRig Miner และ IRC Bot ซึ่งตัว Loader จะใช้ IP Port Scanner Tool “masscan” เพื่อค้นหาเซิร์ฟเวอร์ SSH อื่น ๆ
ในเครือข่ายจากนั้นจะใช้เครื่องมือ SSH Brute Force ชื่อว่า “spirit” ที่ใช้ภาษาโปรแกรม GoLang ในการแพร่กระจาย โดยมีวิธีการหลบหลีกระบบรักษาความปลอดภัยด้วยการลบไฟล์ Log ปิดการใช้งาน Cloud Monitor และ ซอฟแวร์รักษาความปลอดภัย
คำแนะนำ
- ตรวจสอบ Software Patch, Operation System Patch, Application หรือ Service อื่น ๆ ที่ใช้งานให้ทันสมัยอยู่เสมอ เพื่อป้องกันภัยคุกคามที่อาจเกิดขึ้นจากช่องโหว่ที่มีอยู่
- ทำการ Pentest ทดสอบเซิฟเวอร์ว่ามีช่องโหว่ตรงจุดไหนบ้าง เพื่อการป้องกันการโจมตีดังกล่าวผ่านทางช่องโหว่
- ทำการตัดการเชื่อมต่อหรือทำ Whitelist IP Address ที่ขอใช้ Port 8220 เท่าที่จำเป็นบนอุปกรณ์ Firewall
หรือ ใช้ VPN
- ทำการ Cyber Security Compromise Assessment
- ใช้ Private หรือ Public Key แทนการใช้ Password
- ตั้ง Password ยาว ๆ และ มีตัวอักษรเยอะ ๆ เช่น ตัวเล็ก ตัวใหญ่ อักขระพิเศษ ตัวเลข เป็นต้น
- กำหนดจำนวนครั้งที่ป้อน Password ผิด แล้วก็ Disable Account ชั่วคราว
- จำกัดสิทธิ์การเข้าถึง SSH
Ref : https://thehackernews.com/2022/06/microsoft-warns-of-cryptomining-malware.html