Uncategories

Glupteba เลิกเป็นส่วนหนึ่งของ Operation Windigo แล้ว

มัลแวร์ Glupteba แยกตัวออกจาก Operation Windigo เรียบร้อยแล้ว

ในงานวิจัยของ ESET พบว่า Glupteba ไม่ได้เป็นส่วนหนึ่งของแผนการ Operation Windigo อีกต่อไปแล้ว

จากงานวิจัยล่าสุด Linux/Ebury ส่วนประกอบหลักของ Operation Windigo รวมถึงส่วนประกอบอื่นๆที่ยังทำให้ Operation Windigo เดินต่อไปได้ เมื่อเราทำการวิเคราะห์เพิ่มเติมและพบว่า Win32/Glubteba ที่เคยเป็นส่วนหนึ่งในการทำงานของ Windigo ไม่ได้อยู่ในแผนการ Operation Windigo อีกต่อไปแล้ว

Glupteba

Glupteba เป็น Proxy เปิดที่ Windigo เคยใช้เพื่อแพร่กระจาย Exploit Kits และยังรองรับการแพร่กระจายวิธีอื่นๆอีกมาก ทางนักวิจัยของ ESET จึงวิเคราะห์การทำงานตลอด 7 ปีที่ผ่านมาของมัน

Glupteba ปรากฏตัวครั้งแรกเมื่อปี 2011 ใน TDL-4 Bootkit ที่ขายในตลาดมืด โดยถูกใช้เป็นตัวดาวน์โหลดมัลแวร์ และ Glupteba ยังคงเป็นหนึ่งในหลายมัลแวร์ที่ติดตั้งผ่าน TDL-4 Bootkit อีกด้วย

3 ปีต่อมาเมื่อ ESET วิเคราะห์การทำงานของ Operation Windigo หลังพบเป็นส่วนหนึ่งของการโจมตีโครงสร้างพื้นฐานเซิร์ฟเวอร์ระบบปฏิบัติการ Linux ด้วยการเปลี่ยนเส้นทาง HTTP request ผ่านโทรจันที่ฝังตัวอยู่ในเว็บเซิร์ฟเวอร์ (Apache httpd, lighttpd และ nginx) โดยจะนำไปยัง DNS Server ที่ Windigo ปฏิบัติการอยู่ หากดำเนินการสำเร็จจะทำการติดตั้ง Gluptuba

ความเกี่ยวข้องของ Windigo และ Glupteba ยังไม่จบลงเท่านี้ เพราะ C&C Server ของ Glupteba ตั้งอยู่บนเครือข่ายบอทเน็ตของ Windigo

แม้ในตอนนี้ Windigo และ Glupteba จะไม่ได้มีความเกี่ยวข้องกันแล้ว แต่ผู้ใช้ Glupteba ก็ยังคงเดินหน้าแพร่กระจายมัลแวร์ แม้ผู้รับผิดชอบด้านความปลอดภัยจะทำงานขัดขวางอย่างไม่ลดละก็ตาม และ Windigo เองก็ยังคงหาช่องทางอื่นในการแพร่กระจายมัลแวร์ของตัวเองไปทั่วโลก

Author: Frédéric Vachon
Source:
https://www.welivesecurity.com/2018/03/22/glupteba-no-longer-windigo/
Translated by: Worapon H.

%d bloggers like this: