บ้าน Securitywatch Windigo แย่งชิงเซิร์ฟเวอร์ 25,000 เซิร์ฟเวอร์เพื่อกระจายสแปมมัลแวร์

Windigo แย่งชิงเซิร์ฟเวอร์ 25,000 เซิร์ฟเวอร์เพื่อกระจายสแปมมัลแวร์

2024

วีดีโอ: à¹€à¸žà¸¥à¸‡à¹ à¸”à¸™à¸‹à¹Œà¸¡à¸²à¹ƒà¸«à¸¡à¹ˆ2017à¹€à¸šà¸ªà¹ à¸™à¹ˆà¸™à¸Ÿà¸±à¸‡à (กันยายน 2024)

วีดีโอ: à¹€à¸žà¸¥à¸‡à¹ à¸”à¸™à¸‹à¹Œà¸¡à¸²à¹ƒà¸«à¸¡à¹ˆ2017à¹€à¸šà¸ªà¹ à¸™à¹ˆà¸™à¸Ÿà¸±à¸‡à (กันยายน 2024)

ผู้โจมตีติดเชื้อและควบคุมเซิร์ฟเวอร์ Unix มากกว่า 25, 000 เครื่องเพื่อสร้างแพลตฟอร์มการกระจายสแปมและมัลแวร์ขนาดใหญ่ ESET กล่าว ผู้ดูแลระบบ Linux และ Unix ต้องตรวจสอบทันทีว่าเซิร์ฟเวอร์ของตนอยู่ในกลุ่มผู้เสียหายหรือไม่

กลุ่มที่อยู่เบื้องหลังการโจมตีนั้นใช้เซิร์ฟเวอร์ที่ติดเชื้อเพื่อขโมยข้อมูลประจำตัวแจกจ่ายสแปมและมัลแวร์และเปลี่ยนเส้นทางผู้ใช้ไปยังไซต์ที่เป็นอันตราย เซิร์ฟเวอร์ที่ติดไวรัสส่งข้อความสแปม 35 ล้านฉบับต่อวันและเปลี่ยนเส้นทางผู้เยี่ยมชมเว็บไซต์กว่าครึ่งล้านรายต่อวันปิแอร์มาร์กสำนักผู้จัดการโปรแกรมความปลอดภัยที่ ESET กล่าว นักวิจัยเชื่อว่าแคมเปญที่เรียกว่า Operation Windigo นั้นได้ทำการแย่งชิงเซิร์ฟเวอร์มากกว่า 25, 000 เครื่องในช่วงสองปีครึ่งที่ผ่านมา กลุ่มปัจจุบันมี 10, 000 เซิร์ฟเวอร์ภายใต้การควบคุมของพวกเขาสำนักกล่าวว่า

ESET ออกเอกสารทางเทคนิคพร้อมรายละเอียดเพิ่มเติมเกี่ยวกับแคมเปญและรวมถึงคำสั่ง ssh แบบง่ายซึ่งผู้ดูแลระบบสามารถใช้เพื่อพิจารณาว่าเซิร์ฟเวอร์ของพวกเขาถูกขโมย หากเป็นเช่นนั้นผู้ดูแลระบบควรติดตั้งระบบปฏิบัติการอีกครั้งบนเซิร์ฟเวอร์ที่ติดไวรัสและเปลี่ยนข้อมูลรับรองทั้งหมดที่เคยใช้ในการเข้าสู่เครื่อง ผู้ดูแลระบบควรถือว่ารหัสผ่านทั้งหมดและกุญแจ OpenSSH ส่วนตัวที่ใช้ในเครื่องนั้นถูกบุกรุกและควรเปลี่ยน ESET เตือน คำแนะนำนี้ใช้ได้กับทั้งผู้ดูแลระบบ Unix และ Linux

การเช็ดเครื่องและติดตั้งระบบปฏิบัติการใหม่อีกครั้งอาจเป็นเรื่องที่รุนแรงเล็กน้อย แต่เมื่อพิจารณาว่าผู้โจมตีได้ขโมยข้อมูลประจำตัวของผู้ดูแลระบบติดตั้งไว้นอกบ้านและได้รับการเข้าถึงจากระยะไกลไปยังเซิร์ฟเวอร์

องค์ประกอบการโจมตี

Windigo อาศัยค๊อกเทลมัลแวร์ที่มีความซับซ้อนในการไฮแจ็คและแพร่เชื้อเซิร์ฟเวอร์รวมถึง Linux / Ebury, แบ็คดอร์ OpenSSH และผู้ขโมยข้อมูลประจำตัวรวมถึงมัลแวร์อีกห้าชิ้น ในช่วงสุดสัปดาห์เดียวนักวิจัย ESET ได้สังเกตที่อยู่ IP มากกว่า 1.1 ล้านที่อยู่ผ่านโครงสร้างพื้นฐานของ Windigo ก่อนที่จะถูกเปลี่ยนเส้นทางไปยังไซต์ที่เป็นอันตราย

เว็บไซต์ที่ถูกโจมตีโดย Windigo ทำให้ผู้ใช้ Windows ที่ติดเชื้อใช้ประโยชน์จากการฉ้อโกงการคลิกและการส่งสแปมมัลแวร์แสดงให้เห็นว่ามีเว็บไซต์ที่น่าสงสัยสำหรับผู้ใช้ Mac และออกเส้นทางผู้ใช้ iPhone ไปยังเว็บไซต์ลามกออนไลน์ องค์กรที่มีชื่อเสียงเช่น cPanel และ kernel.org เป็นหนึ่งในผู้ที่ตกเป็นเหยื่อแม้ว่าพวกเขาจะทำความสะอาดระบบของพวกเขาแล้วก็ตาม

ระบบปฏิบัติการที่ได้รับผลกระทบจากองค์ประกอบของสแปม ได้แก่ Linux, FreeBSD, OpenBSD, OS X, และแม้แต่ Windows

เซิร์ฟเวอร์ Rogue

เมื่อพิจารณาว่าเว็บไซต์สามในห้าของโลกกำลังทำงานบนเซิร์ฟเวอร์ Linux Windigo มีผู้ที่อาจตกเป็นเหยื่อ แบ็คดอร์ที่ใช้ในการประนีประนอมเซิร์ฟเวอร์นั้นถูกติดตั้งด้วยตนเองและใช้ประโยชน์จากการกำหนดค่าที่ไม่ดีและการควบคุมความปลอดภัยไม่ใช่ช่องโหว่ของซอฟต์แวร์ในระบบปฏิบัติการ ESET กล่าว

“ ตัวเลขนี้มีความสำคัญหากคุณพิจารณาว่าแต่ละระบบเหล่านี้มีการเข้าถึงแบนด์วิดธ์ที่สำคัญการจัดเก็บพลังงานในการคำนวณและหน่วยความจำ” สำนักกล่าว

เซิร์ฟเวอร์ที่ติดมัลแวร์จำนวนหนึ่งสามารถก่อให้เกิดอันตรายได้มากกว่าบอทเน็ตขนาดใหญ่ของคอมพิวเตอร์ทั่วไป เซิร์ฟเวอร์โดยทั่วไปมีฮาร์ดแวร์และกำลังการประมวลผลที่ดีกว่าและมีการเชื่อมต่อเครือข่ายที่เร็วกว่าคอมพิวเตอร์ของผู้ใช้ปลายทาง จำได้ว่าการปฏิเสธการให้บริการที่มีประสิทธิภาพกระจายการโจมตีเว็บไซต์ธนาคารต่างๆเมื่อปีที่แล้วมาจากเว็บเซิร์ฟเวอร์ที่ติดเชื้อในศูนย์ข้อมูล หากทีมที่อยู่เบื้องหลัง Windigo เปลี่ยนกลยุทธ์จากเพียงแค่ใช้โครงสร้างพื้นฐานเพื่อกระจายสแปมและมัลแวร์ไปสู่สิ่งที่น่าสนใจยิ่งขึ้นความเสียหายที่เกิดขึ้นอาจมีนัยสำคัญ