พบมัลแวร์ Quasar Linux ล่องหนได้ มุ่งโจมตีเหล่านักพัฒนาซอฟต์แวร์

พบมัลแวร์ Quasar Linux ล่องหนได้ มุ่งโจมตีเหล่านักพัฒนาซอฟต์แวร์

การทำอาชีพนักพัฒนาซอฟต์แวร์ หรือ Developer หรือ เรียกสั้น ๆ ว่า Dev นั้น ในปัจจุบันเรียกได้ว่ามีชีวิตที่ยากลำบากเนื่องจากต้องต่อสู้กับทั้งระบบปัญญาประดิษฐ์ (AI หรือ Artificial Intelligence), การเลิกจ้าง, คู่แข่งในวงการจำนวนมาก และยังต้องตกเป็นเป้าหมายหลักของแฮกเกอร์ และมัลแวร์อีกด้วย เช่น ข่าวนี้

จากรายงานโดยเว็บไซต์ Bleeping Computer ได้กล่าวถึงการตรวจพบมัลแวร์ตัวใหม่บนระบบปฏิบัติการ Linux ที่มีชื่อว่า Quasar Linux (QLNX) โดยมัลแวร์ดังกล่าวนั้นเป็นลูกผสมกันระหว่างมัลแวร์ประเภทเปิดประตูหลังของระบบ (Backdoor), มัลแวร์ขโมยรหัสผ่าน (Credential Stealer) และมัลแวร์ประเภทเข้าควบคุมระบบเครื่องในระดับลึก (Rootkit) ซึ่งมัลแวร์ตัวนี้จะทำงานในสภาวะแวดล้อม (Environment) สำหรับการพัฒนาซอฟต์แวร์ เช่น npm, PyPI, GitHub, AWS, Docker และ Kubernetes ทำให้นอกจากตัวมัลแวร์จะสามารถโจมตีกลุ่มนักพัฒนาซอฟต์แวร์ได้แล้ว ยังอาจนำไปสู่การทำการโจมตีในวงกว้างด้วยการทำการโจมตีห่วงโซ่อุปทาน (Supply Chain Attack) หรือการสอดไส้มัลแวร์ลงไปในแพ็คเกจ (Package) ซอฟต์แวร์แล้วทำการเผยแพร่ (Publish) ผ่านทางช่องทางดังกล่าว

ในด้านการแอบซ่อนตัวเองอยู่บนระบบนั้น ทางทีมวิจัยจาก Trend Micro บริษัทผู้พัฒนาเครื่องมือต่อต้านภัยไซเบอร์ชื่อดัง พบว่าตัวมัลแวร์มีความสามารถในการล่องหน (Stealth) แฝงตัวอยู่บนระบบอย่างเนียน ๆ ได้อย่างยาวนาน ด้วยการใช้วิธีการหลายอย่าง เช่น การรันบนหน่วยความจำโดยตรง (In-Memory Execution), การลบไฟล์ติดตั้ง (Binary) ของตัวมัลแวร์ออกจากระบบ, การลบบันทึกการทำงาน (Log Wiping), การแฝงตัวอยู่ใน Process ที่ปลอมชื่อจนเหมือน Process ทั่วไป (Process Sproofing) และการลบหลักฐานร่องรอยสำหรับตรวจสอบ (Forensic Environment Variables) ต่าง ๆ ซึ่งในส่วนของการคงทนตัวเองอยู่บนระบบ (Persistence) นั้นตัวมัลแวร์ได้มีการใช้กลไก (Mechanic) มากถึง 7 ตัว คือ LD_PRELOAD, systemd, crontab, init.d scripts, XDG autostart และ ‘.bashrc’ injection ซึ่งจะช่วยรับประกันได้ว่า ตัวมัลแวร์จะอยู่บนระบบได้นานเท่านาน

สำหรับในส่วนของฟังก์ชันการทำงานของมัลแวร์นั้น ก็ได้แบ่งออกเป็นฟังก์ชันมากมายถึง 7 ตัวเช่นเดียวกัน ดังนี้

ฟังก์ชันแบบมัลแวร์ที่เข้าถึงระบบจากระยะไกล (RAT หรือ Remote Access Trojan) ซึ่งเป็นแกนกลางหลัก (Core) ของมัลแวร์ตัวนี้ ซึ่งตัวฟังก์ชันนี้จะมีการรองรับการใช้งานคำสั่ง (Command) สำหรับจัดการกับเครื่องของเหยื่อมากถึง 58 คำสั่ง โดยครอบคลุมถึง การเข้าถึง Shell (Shell Access), การจัดการไฟล์และ Process, การควบคุมระบบ (System Control), และการจัดการระบบเครือข่าย (Network) โดยตัวฟังก์ชันนี้จะติดต่อรับคำสั่งจากเซิร์ฟเวอร์ควบคุม (C2 หรือ Command and Control) ผ่านทางช่องทางโปรโตคอล TCP/TLS หรือ HTTP/S ที่ถูกดัดแปลงมาเป็นพิเศษสำหรับมัลแวร์ตัวนี้เท่านั้น

ฟังก์ชันเข้าถึงระบบในเชิงลึก หรือ Rootkit ซึ่งจะเป็นการทำงานร่วมกันอย่างเงียบเชียบ ล่องหนอยู่ภายในระบบ ของกลไก 2 ตัว นั่นคือ Userland LD_PRELOAD Rootkit และ eBPF Component ที่มีความสามารถในการเข้าถึงแก่นของระบบ (Kernel) ซึ่งมัลแวร์ส่วนนี้จะใช้ Hook บนเลเยอร์ของ Userland ในการซ่อนไฟล์, Process, และสิ่งที่เกี่ยวข้องมัลแวร์ทั้งหมด ขณะที่ eBPF จะทำการซ่อน PIDs, ตำแหน่งของไฟล์ (File Paths) และพอร์ตที่ใช้ในการติดต่อกับเครือข่าย (Network Port) ในระดับ Kernel

ฟังก์ชันสำหรับการขโมยข้อมูลรหัสผ่าน (Credential Stealer) ซึ่งจะเป็นฟังก์ชันที่นำเอาเครื่องมือเก็บเกี่ยวรหัสผ่าน (Credential Harvesting) ที่สามารถเก็บรหัสผ่านหลากรูปแบบ เช่น กุญแจ SSH keys, เว็บเบราว์เซอร์, การตั้งค่า (Configs) ของระบบคลาวด์และระบบการพัฒนาซอฟต์แวร์, /etc/shadow, และ Clipboard ร่วมกับมัลแวร์เปิดประตูหลังของระบบ (Backdoor) แบบ PAM ที่สามารถเข้าแทรกแซง (Intercept) ข้อมูลสำหรับการยืนยันตัวตน (Authentication) ในรูปแบบข้อความไม่เข้ารหัส (Plaintext) ได้

ฟังก์ชันสอดแนม (Surveillance) เช่น ระบบตรวจจับการพิมพ์ (Keylogging), ระบบแอบบันทึกภาพหน้าจอ, และระบบแอบมองข้อมูล Clipboard

ฟังก์ชันสำหรับการรัน (Execution) และการยิง (Injection) ใช้ในการยิง Process ต่าง ๆ เช่น ptrace และ /proc/pid/mem และในการรันไฟล์มัลแวร์ (Payload) บนหน่วยความจำโดยตรง เช่น shared objects และ BOF/COFF

ฟังก์ชันสอดส่องไฟล์ระบบ (Filesystem Monitoring) ใช้ในการติดตามไฟล์ระบบผ่านทาง inotify