TOPICS

TOPICS

Outlaw hacker กลับมาแล้ว และโหดกว่าเดิม


2022.03.22

Outlaw hacker กลับมาแล้ว และโหดกว่าเดิม

กลุ่มอาชญากรไซเบอร์ที่ฟื้นคืนชีพกลับมาทำกิจกรรมอีกครั้งหลังจากหายไปเกือบสองปี พร้อมอาวุธที่ขับเคลื่อนด้วยบอทใหม่ที่เพิ่มจำนวนตัวเอง อาจทำให้เซิร์ฟเวอร์คอมพิวเตอร์หลายพันเครื่องทั่วยุโรปตกอยู่ในความเสี่ยง

 

 

The Outlaw Hacking Group ซึ่งคาดว่าหายไปแล้วในปี 2020 หลังจากเปิดตัวมาสองปี ถูกตรวจพบโดย CYE บริษัทรักษาความปลอดภัยทางไซเบอร์ของอิสราเอล ซึ่งเปิดเผยรายละเอียดต่อข่าวไซเบอร์

 

CYE ดำเนินการนิติดิจิทัลบนคอมพิวเตอร์ของบริษัทลูกค้าในเดือนกุมภาพันธ์ โดยระบุเวกเตอร์แบบสองง่ามโดยใช้ซอฟต์แวร์ที่เป็นอันตรายซึ่งเปิดการโจมตี SSH brute force บนเซิร์ฟเวอร์พร้อมกันในขณะที่จี้เพื่อจุดประสงค์ในการขุด crypto IP ล่าสุดที่ CYE ระบุเพื่อใช้เป็นแพลตฟอร์มสำหรับการโจมตีคือ 46.101.189.37 – ได้รับการยอมรับอย่างเป็นทางการว่าเป็นอันตรายโดย VirusTotal เว็บไซต์เฝ้าระวังด้านดิจิทัล

 

Eli Smajda นักวิเคราะห์ความปลอดภัยทางไซเบอร์ของ CYE กล่าวว่า “เราตระหนักว่าเป็นกลุ่ม Outlaw เพราะมันใช้ TTP [ยุทธวิธี เทคนิค และขั้นตอน] เดียวกัน “สิ่งที่พวกเขาทำตามปกติคือเซิร์ฟเวอร์โจมตีทั่วโลก – โดยเฉพาะในยุโรป”

แม้ว่า TTP ของแก๊งค์จะยังคงไม่เปลี่ยนแปลง แต่ดูเหมือนว่าจะได้อัปเกรดชุดเครื่องมือเพื่อหลบเลี่ยงซอฟต์แวร์ป้องกันไวรัสและซอฟต์แวร์รักษาความปลอดภัยอื่นๆ ได้ดีขึ้น แต่สิ่งที่เลวร้ายที่สุดของการฟื้นคืนชีพของ Outlaw คือแนวทางไฮบริดที่ตอนนี้ดูเหมือนว่าจะใช้ ซึ่งเป็นการผสมผสานที่เป็นอันตรายระหว่างเวกเตอร์โจมตีของมนุษย์และบอทขับเคลื่อน

 


Weapons upgrade

“เมื่อเราตระหนักว่าเป็นกลุ่ม Outlaw เราก็เริ่มค้นคว้าพวกเขา” Smajdi กล่าว “ครั้งสุดท้ายที่พวกเขาเห็นพวกเขาคือในปี 2020 แต่สิ่งที่น่าสนใจยิ่งกว่าคือไม่มีเครื่องมือใดที่เราพบว่าคุ้นเคย”

 

“นอกเหนือจากการขุด crypto และการโจมตี SSH พวกเขายังติดตั้ง Linux rootkit XORDDOS ซึ่งรู้วิธีเปิดการโจมตี DDOS ขนาดใหญ่และสามารถทำสิ่งอื่น ๆ เช่นขโมยข้อมูลได้” Smajda กล่าว “พวกเขาเปลี่ยนวิธีปฏิบัติ – เราเห็นพวกเขาพยายามโจมตีเป้าหมายนับพันทั่วยุโรป”

 

เขาชี้แจงว่าการตรวจสอบคร่าวๆ ของ IPs ที่ติดไวรัสเผยให้เห็นหลายอย่างที่ได้รับการจัดทำดัชนีให้กับบริษัทในยุโรป นอกจากนี้ Outlaw ยังได้พัฒนากลไกบางอย่างที่จะลบและดาวน์โหลดไฟล์ก่อนที่จะไปยังเป้าหมายโปรโตคอลเพิ่มเติม ซึ่งทำให้มันเป็นเวกเตอร์โจมตีแบบทวีคูณในตัวเอง

 

Smajda กล่าวว่า “มันยังคงดำเนินต่อไป และฉันไม่รู้ว่าจะหยุดหรือหยุดที่ตรงไหน แต่ดูเหมือนว่า IP ใหม่จะดึงเอา IP ใหม่เข้ามา และพยายามโจมตีให้มากที่สุดเท่าที่จะทำได้” “ดังนั้นสิ่งที่เราสรุปได้คือเราเพิ่งเห็นการกลับมาของ Outlaw – และมันกำลังโจมตียุโรป”

 

เขาเสริมว่า CYE ได้ดำเนินการอย่างรวดเร็วพอที่จะช่วยชีวิตลูกค้าได้ แต่เขาเตือนว่ากลุ่ม Outlaw อาจเปิดตัวการโจมตีประเภทเดียวกันที่ประสบความสำเร็จในที่อื่น “มันไม่ได้กำหนดเป้าหมายไปยังเซิร์ฟเวอร์ใดเซิร์ฟเวอร์หนึ่ง เพราะมันพยายามกระจายออกไปเสมอ” เขากล่าว

 

Smajdi กล่าวว่าเขาเชื่อว่าการโจมตีน่าจะได้รับการประสานงานด้วยตนเองโดยสมาชิกของกลุ่ม Outlaw แต่ก็ใช้บอทเพื่อทวีคูณตัวเองด้วย

 

“ดูเหมือนว่าจะเป็นแบบกึ่งอัตโนมัติ แต่ฉันคิดว่ามีการดำเนินการแบบแมนนวลจำนวนมาก IP ไม่ได้เป็นเพียงการสุ่ม แต่ได้รับการคัดเลือกล่วงหน้าแล้ว [ผู้โจมตี] รู้ว่าพวกเขากำลังทำอะไร”

 

เขากล่าวเสริมว่า: “ตอนแรกฉันคิดว่ามันเป็นแค่บอทคุยกัน แต่คุณจะเห็นว่าผู้โจมตีทำสิ่งต่าง ๆ บนเซิร์ฟเวอร์ เช่น การสร้างและเรียกใช้แบตช์ไฟล์ ดังนั้นจึงไม่ใช่ [ทั้งหมด] แบบอัตโนมัติ”

 

Smajdi เน้นย้ำว่าช่องโหว่สำคัญประการหนึ่งที่ Outlaw Hacker Group จะพยายามหาช่องโหว่คือเซิร์ฟเวอร์ Linux ซึ่งเขาอ้างว่าถูกประเมินค่าสูงเกินไปในแง่ของความปลอดภัย ลูกค้าของเขาได้รับประโยชน์จากการมีเซิร์ฟเวอร์ Linux ที่มีช่องโหว่ประมาณ 70% ได้รับการปกป้องด้วยซอฟต์แวร์ Microsoft Defender รุ่นดัดแปลงพิเศษ

 


 

อยู่อย่างไรให้ปลอดภัย

เพื่อขัดขวางการโจมตีใดๆ ธุรกิจในยุโรปที่ใช้เซิร์ฟเวอร์ Linux ควรติดตั้งซอฟต์แวร์และปิดใช้งานการเข้าสู่ระบบโดยใช้ข้อมูลประจำตัวชื่อและรหัสผ่าน อนุญาตให้เข้าถึงได้ผ่านคีย์ SSH เท่านั้นเพื่อป้องกันการเข้าสู่ระบบรูทจากเครือข่ายภายนอกบริษัท

 

เขาเสริมว่าพวกนอกกฎหมายใช้ “งาน cron” ซึ่งเป็นโปรแกรมที่ถูกต้องตามกฎหมายที่ใช้ในการจัดกำหนดการงานดิจิทัลบนคอมพิวเตอร์ เพื่อติดตั้งคีย์ SSH ที่เป็นอันตรายของตนเองในไฟล์เป้าหมาย ทำให้สามารถเข้าถึงคอมพิวเตอร์ที่มีการป้องกันด้วยรหัสผ่านโดยไม่ได้รับอนุญาต ด้วยเหตุนี้ เขาจึงกระตุ้นให้ธุรกิจต่างๆ ตรวจสอบการเปลี่ยนแปลงคำสั่งคอมพิวเตอร์ตามกำหนดเวลาอย่างใกล้ชิด บล็อกการจัดการ SSH จากอินเทอร์เน็ต และอนุญาตการเชื่อมต่อจากเซิร์ฟเวอร์ไปยังที่อยู่ IP ที่ได้รับอนุมัติเท่านั้น

 

Smajdi เน้นย้ำว่าแม้ในขั้นต้น Outlaws จะเน้นไปที่ธุรกิจที่ทำงานในอุตสาหกรรมยานยนต์และการเงิน เมื่อ บริษัท รักษาความปลอดภัยข้อมูล TrendMicro ตรวจพบครั้งแรกในปี 2561 วิธีการโจมตีแบบใหม่หมายความว่าธุรกิจใด ๆ ก็ตกอยู่ในความเสี่ยง

 

“ฉันไม่คิดว่ามันเกี่ยวกับธุรกิจหรือภาคส่วนใดโดยเฉพาะ” เขากล่าว “มันจบลงแล้ว หากคุณอ่อนแอ คุณจะได้รับผลกระทบ”

 

 

ที่มา : Outlaw hackers are back – and they’re tougher than ever | Cybernews

 

ไปที่หน้าบทความ

บทความที่เกี่ยวข้อง


pagetop