พบการโจมตีแบบใหม่ ผ่านทาง Domain หมดอายุ ทำให้แฮกเกอร์ใช้เทคนิควาง Backdoors บนเซิร์ฟเวอร์กว่า 4,000 ตัว
เป้าหมายการโจมตีในครั้งนี้อยู่ที่ระบบของรัญบาลและมหาวิทยาลัยทั่วโลก เท่าที่รู้ในตอนนี้เครื่องที่โดนไปแล้วก็มีของรัฐบาลจีน ศาลรัฐบาลไนจีเรีย และระบบเครือข่ายรัฐบาลบังคลาเทศ
นอกจานี้ ยังพบเครื่องของสถาบันการศึกษาของไทย จีนและเกาหลี ติดไวรัสไปเรียบร้อยแล้วด้วย
Backdoor (แบ็คดอร์) คือ คือเครื่องมือหรือโค้ดที่แอบซ่อนอยู่ในระบบที่ถูกโจมตี เพื่อให้แฮกเกอร์สามารถเข้าถึงและควบคุมระบบได้โดยไม่ได้รับอนุญาต มักถูกใช้เพื่อเข้าถึงระบบซ้ำและดำเนินการเพิ่มเติม เช่น ขโมยข้อมูลหรือปล่อยมัลแวร์
การโจมตีครั้งนี้เกี่ยวข้องกับโดเมนหมดอายุที่เคยถูกใช้เป็นเซิร์ฟเวอร์ควบคุม (C2) ที่มีมัลแวร์หรือ Backdoors ในระบบเป้าหมาย นักวิจัยพบว่าแฮกเกอร์ได้ใช้โดเมนเหล่านี้ในการควบคุมเซิร์ฟเวอร์กว่า 4,000 ตัวทั่วโลก
เมื่อแฮกเกอร์จดโดเมนใหม่ พวกเขาสามารถควบคุมระบบที่เคยติดมัลแวร์ได้อีกครั้ง เช่น ดึงข้อมูลที่เก็บไว้หรือใช้เซิร์ฟเวอร์เป้าหมายสำหรับโจมตีเพิ่มเติม
โดยทางทีมนักวิจัยจาก WatchTowr ตรวจสอบโดเมนที่ถูกใช้ในเว็บเชลล์ที่หมดอายุ และซื้อคืนเพื่อควบคุมแบ็คดอร์เหล่านั้น หลังจากตั้งระบบบันทึกข้อมูล พวกเขาพบว่ามัลแวร์ยังคงทำงานอยู่ส่งคำขอไปยังโดเมนเหล่านี้ ทำให้สามารถระบุผู้ที่ตกเป็นเหยื่อบางรายได้
จากการซื้อคืนโดเมนกว่า 40 ชื่อ พวกเขาได้รับการสื่อสารจากระบบที่ถูกโจมตีกว่า 4,000 ระบบ ที่พยายามส่งข้อมูลกลับไปยังเซิร์ฟเวอร์เดิม (“phone home”)
แบ็คดอร์ที่พบมีหลายประเภทไม่ว่าจะเป็น r57shell แบบดั้งเดิม, c99shell ขั้นสูง รวมไปถึง web shell ‘China Chopper’ ที่เชื่อมต่อกับกลุ่ม APT
นอกจากนี้ในรายงานยังกล่าวถึงแบ็คดอร์ที่เกี่ยวข้องกับกลุ่ม Lazarus อีกด้วย แม้ว่าในภายหลังจะมีการชี้แจงว่ามีแนวโน้มว่าเครื่องมือของผู้ก่อภัยคุกคามนี้จะถูกผู้อื่นนำไปใช้ซ้ำ
ในตอนนี้ทาง WatchTowr ได้มอบความความรับผิดชอบในการจัดการโดเมนที่ถูกแฮ็กให้กับมูลนิธิ Shadowserver เพื่อให้แน่ใจว่าโดเมนเหล่านั้นจะไม่สามารถถูกเข้าควบคุมได้ในอนาคต ขณะนี้ Shadowserver กำลังรวบรวมข้อมูลการรับส่งข้อมูลทั้งหมดที่ส่งจากระบบที่ถูกแฮ็กไปยังโดเมนของตน
แม้ว่าการวิจัยของ WatchTowr จะไม่ซับซ้อน แต่ก็แสดงให้เห็นว่าโดเมนที่หมดอายุจากการดำเนินการของมัลแวร์ยังคงสามารถเป็นช่องทางสำหรับอาชญากรทางไซเบอร์รายใหม่ได้ ซึ่งอาจจะตกเป็นเหยื่อได้จากการจดทะเบียนโดเมนควบคุมเท่านั้น
ที่มา – Bleeping Computer