Google เข้าขัดขวางเครือข่ายพร็อกซีที่อยู่อาศัย IPIDEA ซึ่งขับเคลื่อนด้วยมัลแวร์

Google Threat Intelligence Group (GTIG) ร่วมกับพันธมิตรในอุตสาหกรรม ได้เข้าขัดขวางการทำงานของ IPIDEA ซึ่งเป็นหนึ่งในเครือข่ายพร็อกซีที่อยู่อาศัยที่ใหญ่ที่สุดที่ผู้ไม่หวังดีใช้ โดยการดำเนินการนี้รวมถึงการยึดโดเมนที่เกี่ยวข้องกับบริการ IPIDEA การจัดการอุปกรณ์ที่ติดมัลแวร์ และการกำหนดเส้นทางทราฟฟิกพร็อกซี นอกจากนี้ ยังมีการแบ่งปันข้อมูลเกี่ยวกับชุดพัฒนาซอฟต์แวร์ (SDK) ของ IPIDEA ที่ใช้ในการเผยแพร่เครื่องมือพร็อกซี การดำเนินการครั้งนี้มีเป้าหมายเพื่อลดขีดความสามารถของเครือข่ายที่อำนวยความสะดวกในการก่ออาชญากรรมไซเบอร์หลากหลายรูปแบบ

Severity: สูง

System Impact:

• เครือข่ายพร็อกซีที่อยู่อาศัย (Residential Proxy Networks)
• ที่อยู่ IP ของผู้ใช้งานตามบ้านและธุรกิจขนาดเล็ก
• อุปกรณ์ที่ถูกบุกรุก (Compromised Devices) ทั้งในเครือข่ายและระบบปฏิบัติการ
• อุปกรณ์ Android (ผ่านแอปพลิเคชัน Android ที่ติดมัลแวร์และ SDKs เช่น Packet SDK, Castar SDK, Hex SDK, Earn SDK)
• ระบบปฏิบัติการ Windows (ผ่านไฟล์ไบนารี Windows ที่ติดมัลแวร์ซึ่งปลอมเป็น OneDriveSync หรือ Windows Update)
• บริการ VPN และ SSH (เป้าหมายของการโจมตีแบบ Brute-force ขนาดใหญ่)
• แพลตฟอร์ม SaaS (สำหรับการเข้าถึงบัญชีเหยื่อ)
• โครงสร้างพื้นฐานการควบคุม Botnet (เช่น Aisuru และ Kimwolf)

Technical Attack Steps:

1. 1. **การเผยแพร่มัลแวร์**: ผู้ดำเนินการ IPIDEA แจกจ่ายแอปพลิเคชัน Android ที่ติดมัลแวร์ซึ่งฝัง SDKs สำหรับการพร็อกซี (เช่น Packet SDK, Castar SDK, Hex SDK, Earn SDK) และไฟล์ไบนารี Windows กว่า 3,000 ไฟล์ที่ปลอมแปลงเป็นโปรแกรมที่น่าเชื่อถือ (เช่น OneDriveSync หรือ Windows Update) พวกเขายังโปรโมตแอปพลิเคชัน VPN และพร็อกซีฟรีที่แอบเปลี่ยนอุปกรณ์ของผู้ใช้ให้กลายเป็นโหนดออก (exit nodes) ของเครือข่ายพร็อกซีโดยไม่ได้รับความยินยอม
2. 2. **การบุกรุกอุปกรณ์**: ผู้ใช้ติดตั้งแอปพลิเคชันหรือซอฟต์แวร์ที่เป็นอันตรายเหล่านี้โดยไม่รู้ตัว ทำให้อุปกรณ์ของพวกเขาถูกบุกรุกและถูกรวมเข้ากับเครือข่ายพร็อกซีที่อยู่อาศัยของ IPIDEA
3. 3. **การทำงานของเครือข่ายพร็อกซี**: อุปกรณ์ที่ถูกบุกรุกเหล่านี้ (ซึ่งมีที่อยู่ IP ของผู้ใช้ตามบ้าน/ธุรกิจขนาดเล็ก) จะถูกใช้เพื่อส่งต่อทราฟฟิกของผู้ไม่หวังดี ช่วยให้ผู้โจมตีสามารถปกปิดกิจกรรมที่เป็นอันตรายของตนได้
4. 4. **โครงสร้าง Command and Control (C2)**: IPIDEA ดำเนินงานบนระบบ C2 แบบสองชั้น ชั้นแรกให้การกำหนดค่าและเวลา รวมถึงรายการโหนดสำหรับชั้นที่สอง ชั้นที่สองประกอบด้วยเซิร์ฟเวอร์ประมาณ 7,400 เครื่องที่ทำหน้าที่มอบหมายงานพร็อกซีและส่งต่อทราฟฟิก
5. 5. **กิจกรรมที่เป็นอันตราย**: ผู้ไม่หวังดีใช้พร็อกซีเหล่านี้ในกิจกรรมที่เป็นอันตรายหลากหลาย เช่น การเข้ายึดบัญชี, การสร้างบัญชีปลอม, การขโมยข้อมูลรับรอง, การดึงข้อมูลที่ละเอียดอ่อน, การโจมตีแบบ Password Spraying, การควบคุมบอตเน็ต, การปกปิดโครงสร้างพื้นฐาน และการโจมตีแบบ DDoS (เช่น Botnet Aisuru และ Kimwolf)

Recommendations:

Short Term:

• ตรวจสอบให้แน่ใจว่าอุปกรณ์ Android ได้รับการอัปเดตและเปิดใช้งาน Google Play Protect เพื่อให้สามารถตรวจจับและบล็อกแอปพลิเคชันที่มี SDKs ที่เกี่ยวข้องกับ IPIDEA ได้โดยอัตโนมัติ

Long Term:

• ระมัดระวังแอปพลิเคชันที่เสนอการชำระเงินเพื่อแลกกับการใช้แบนด์วิดท์อินเทอร์เน็ต
• หลีกเลี่ยงการใช้แอปพลิเคชัน VPN และพร็อกซีฟรีจากผู้เผยแพร่ที่ไม่น่าเชื่อถือ
• หมั่นอัปเดตระบบปฏิบัติการและแอปพลิเคชันทั้งหมดให้เป็นเวอร์ชันล่าสุดเสมอ
• ใช้โซลูชันป้องกันไวรัส/มัลแวร์ที่มีชื่อเสียงและเชื่อถือได้
• ตรวจสอบสิทธิ์การเข้าถึงของแอปพลิเคชันอย่างละเอียดก่อนการติดตั้ง
• หลีกเลี่ยงการดาวน์โหลดซอฟต์แวร์จากแหล่งที่ไม่เป็นทางการหรือไม่น่าเชื่อถือ

Source: https://www.bleepingcomputer.com/news/security/google-disrupts-ipidea-residential-proxy-networks-fueled-by-malware/