พบแฮกเกอร์ทำการโจมตีด้วย ProxyJacking แบบต่างๆ มีการกำหนดเป้าหมายไปที่การเจาะเซิร์ฟเวอร์ SSH ที่มีช่องโหว่ ซึ่งสร้างรายได้จากการใช้งาน Proxyware ที่ให้ค่าตอบแทนสำหรับการแบ่งปันแบนด์วิธที่ไม่ได้ใช้ โดยแฮกเกอร์จะใช้ SSH สำหรับการเข้าถึงระยะไกลและเรียกใช้สคริปต์ที่เป็นอันตรายเพื่อแอบอ้างเป็นเซิร์ฟเวอร์ของเหยื่อเพื่อเข้าสู่เครือข่ายพร็อกซี Peer-to-Peer (P2P) เช่น Peer2Proxy หรือ Honeygain
ในวันที่ 8 มิถุนายน Akamai ตรวจพบการโจมตีที่เชื่อมต่อ SSH จำนวนมากถูกสร้างขึ้นด้วย honeypots เมื่อเชื่อมต่อกับหนึ่งในเซิร์ฟเวอร์ SSH ที่มีช่องโหว่สำเร็จ แฮกเกอร์จะติดตั้งสคริปต์ Bash
ที่เข้ารหัสใน Base64 ซึ่งงสคริปต์นี้จะรวมระบบที่ถูกโจมตีไว้ในเครือข่าย Proxy ของ Honeygain
หรือ Peer2Profit นอกจากนี้ สคริปต์ยังสร้าง Container Environment โดยการดาวน์โหลดอิมเมจ Docker ของเครือข่าย Proxy ในขณะเดียวกันก็ขัดขวางการทำงานของ Container ตัวอื่น
และจากการตรวจสอบเพิ่มเติมพบว่ายังมี Cryptocurrency Miners, Exploits และ Hacking Tools บนเซิร์ฟเวอร์ที่ตกเป็นเหยื่ออีกด้วย ซึ่งบ่งชี้ว่าแฮกเกอร์อาจเปลี่ยนไปใช้ ProxyJacking อย่างสมบูรณ์หรือใช้เป็นเครื่องมือเพิ่มเติมในการสร้างรายได้แบบ Passive Income
ProxyJacking ได้กลายเป็นช่องทางใหม่สำหรับอาชญากรไซเบอร์ในการสร้างผลกำไรจากอุปกรณ์ที่ตกเป็นเหยื่อ ซึ่งวิธีนี้นำเสนอทางเลือกที่มากกว่าการ Hijacking แบบเข้ารหัสและแนะนำความท้าทายที่เกิดจากการโจมตี Proxied Layer 7
Microsoft ได้เปิดตัวแคมเปญ Cryptomining ที่กำลังดำเนินอยู่ ซึ่งเกี่ยวข้องกับการ Hijacking SSH Credentials สำหรับระบบ Linux และ Windows ที่มีช่องโหว่ และเมื่อเดือนที่แล้ว
นักวิจัยของ ASEC ค้นพบแคมเปญที่เผยแพร่บ็อตเน็ต Tsunami บนเซิร์ฟเวอร์ SSH ที่มีช่องโหว่ นอกเหนือจากนี้แฮกเกอร์ยังแพร่กระจาย ShellBot, XMRig Miner และ Log Cleaner
เพื่อดำเนินการโจมตี DDoS และการเข้ารหัสไฟล์อีกด้วย.
คำแนะนำ
- การใช้รหัสผ่านที่คาดเดายาก
- การจัดการอัปเดตแพตช์อย่างสม่ำเสมอ
- การบันทึกเก็บ Log ที่ครอบคลุม
อ้างอิง : https://cyware.com/news/hackers-use-proxyjacking-to-profit-from-compromised-ssh-servers-bandwidth-df87141d