SystemBC ซึ่งเป็นมัลแวร์ตระกูลหนึ่งที่ถูกบันทึกครั้งแรกในปี 2019 ได้พัฒนาขึ้นเป็นโครงสร้างบอตเน็ตขนาดใหญ่ที่ควบคุมอุปกรณ์ที่ถูกยึดไปกว่า 10,000 เครื่องทั่วโลก มันทำหน้าที่หลักเป็น SOCKS5 proxy และ backdoor ที่ช่วยให้ผู้โจมตีสามารถปกปิดทราฟฟิกที่เป็นอันตรายและคงการเข้าถึงเครือข่ายที่ถูกบุกรุกได้ในระยะยาว โครงสร้าง ‘backconnect’ นี้ทำให้เครือข่ายมีความยืดหยุ่นและสามารถรอดพ้นจากการขัดขวางโดยหน่วยงานบังคับใช้กฎหมายได้ เช่น Operation Endgame ของ Europol ในเดือนพฤษภาคม 2024 ปัจจุบันบอตเน็ตได้เปลี่ยนเป้าหมายไปที่ผู้ให้บริการโฮสติ้งแทนเครือข่ายที่อยู่อาศัย ทำให้การติดเชื้อมักจะคงอยู่นานกว่าปกติ โดยเฉลี่ย 38 วัน และบางครั้งนานกว่า 100 วัน บอตเน็ตนี้ถือเป็นขั้นตอนสำคัญก่อนการติดตั้งแรนซัมแวร์ ใช้สำหรับการขโมยข้อมูลและการโจมตีเพิ่มเติม การวิเคราะห์พบว่าสหรัฐอเมริกาเป็นเป้าหมายหลักที่มีอุปกรณ์ถูกโจมตีมากกว่า 4,300 เครื่อง ตามด้วยเยอรมนี ฝรั่งเศส และสิงคโปร์ รวมถึงการบุกรุกในสภาพแวดล้อมของรัฐบาลที่สำคัญในเวียดนามและบูร์กินาฟาโซ นอกจากนี้ยังมีการค้นพบ SystemBC สายพันธุ์ Perl ที่ไม่เคยมีการบันทึกมาก่อน ซึ่งออกแบบมาเพื่อหลบเลี่ยงการตรวจจับจากโปรแกรมป้องกันไวรัสแบบดั้งเดิม โดยถูกติดตั้งผ่าน ELF binary droppers ชื่อ ‘SafeObject’ และ ‘StringHash’ ที่ใช้การแพ็คแบบ UPX เพื่อซ่อนโค้ดที่เป็นอันตราย Droppers เหล่านี้จะค้นหาไดเรกทอรีที่สามารถเขียนได้และดำเนินการติดตั้ง payload จำนวนมาก โค้ด dropper ยังมีสตริงภาษารัสเซีย ซึ่งอาจบ่งบอกถึงต้นกำเนิดของผู้คุกคาม
Severity: สูง
System Impact:
- อุปกรณ์ที่ถูกยึดกว่า 10,000 เครื่องทั่วโลก
- เครือข่ายที่ถูกบุกรุก
- ผู้ให้บริการโฮสติ้ง
- เซิร์ฟเวอร์ความหนาแน่นสูงที่โฮสต์เว็บไซต์ทางการของรัฐบาลในเวียดนามและบูร์กินาฟาโซ
Technical Attack Steps:
- SystemBC มัลแวร์เข้าครอบงำอุปกรณ์ต่างๆ
- อุปกรณ์ที่ติดเชื้อมัลแวร์จะถูกเปลี่ยนเป็น SOCKS5 proxy และ backdoor
- ผู้โจมตีใช้ proxy เหล่านี้เพื่อปกปิดทราฟฟิกที่เป็นอันตรายและคงการเข้าถึง (สถาปัตยกรรม backconnect)
- มีการติดตั้ง SystemBC สายพันธุ์ Perl ที่ไม่เคยมีการบันทึกมาก่อน ซึ่งหลบเลี่ยงการตรวจจับจากโปรแกรมป้องกันไวรัส
- การติดตั้งเกิดขึ้นผ่าน ELF binary droppers (‘SafeObject’, ‘StringHash’) ที่ใช้การแพ็คแบบ UPX
- เมื่อคลายแพ็คแล้ว droppers จะค้นหาไดเรกทอรีที่สามารถเขียนได้บนระบบโฮสต์
- มีการดำเนินการ payload ที่ฝังอยู่หลายร้อยรายการ
- บอตเน็ตถูกใช้เป็นขั้นตอนเริ่มต้นสำหรับการติดตั้งแรนซัมแวร์ การขโมยข้อมูล และการโจมตีเพิ่มเติม
Recommendations:
Short Term:
- เร่งดำเนินการเฝ้าระวังตัวชี้วัด (indicators) ของ SystemBC เชิงรุก เพื่อป้องกันการยกระดับไปสู่การโจมตีด้วยแรนซัมแวร์
Long Term:
- คงไว้ซึ่งการเฝ้าระวังตัวชี้วัดของ SystemBC อย่างต่อเนื่อง พร้อมทั้งเสริมสร้างความแข็งแกร่งในการป้องกันเครือข่าย การตรวจจับที่ปลายทาง (endpoint detection) และความสามารถในการตอบสนองต่อเหตุการณ์ เพื่อรับมือและลดผลกระทบจากการโจมตีด้วยบอตเน็ตดังกล่าวในระยะยาว
Source: https://cybersecuritynews.com/systembc-botnet-hijacked-10000-devices/
Share this content: