อุกอาจ ! แฮกเกอร์จีนเทาแฮกเซิร์ฟเวอร์ IIS ทำ Redirected คนเข้าเว็บพนัน หลอกปล่อยมัลแวร์

เว็บพนันนั้นเรียกว่าเป็นข่าวที่กำลังมาแรงในประเทศไทยทุกวันนี้ จากการที่ไทยนั้นห้ามเล่นการพนัน และตัวเว็บไซต์ยังเต็มไปด้วยการฉ้อโกง มีความเชื่อมโยงกับกลุ่มองค์กรอาชญากรรม และมัลแวร์ ในครั้งนี้เว็บพนันก็ได้ตกมาเป็นข่าวอีกครั้ง

จากรายงานโดยเว็บไซต์ The Hacker News ได้รายงานถึงการที่แฮกเกอร์ได้ทำการแฮกเซิร์ฟเวอร์ Internet Information Services หรือ IIS โดยเป็นส่วนหนึ่งของแคมเปญ SEO (Search Engine Optimization) สายมืด เพื่อที่จะเปลี่ยนปลายทาง (Redirect) ให้เหยื่อที่หลงเข้ามาบนเว็บไซต์ที่ถูกแฮก แทนที่เหยื่อจะได้เข้าเว็บไซต์ที่ต้องการเข้า กลับถูกพาไปยังเว็บไซต์การพนันออนไลน์ หรือ เว็บไซต์อันตรายอื่น ๆ แทน ซึ่งแคมเปญนี้ทางทีมวิจัยแห่งบริษัท ESET บริษัทผู้พัฒนาแอนตี้ไวรัสชื่อดัง ได้ให้ข้อมูลอีกว่า แคมเปญนี้กำลังระบาดหนักในหลายประเทศ เช่น บราซิล, เกาหลีใต้, ญี่ปุ่น, ไต้หวัน, ฟิลิปปินส์, สิงคโปร์, เวียดนาม หรือ กระทั่งประเทศไทยเองก็ตกเป็นเหยื่อของแคมเปญนี้ไปด้วย โดยทางทีมวิจัยได้ระบุว่าผู้ที่อยู่เบื้องหลังแคมเปญดังกล่าวนี้คือกลุ่มแฮกเกอร์ที่มีชื่อว่า DragonRank จากประเทศจีน ซึ่งมีความเกี่ยวข้องกับกลุ่มแฮกเกอร์ Group 9 ซึ่งมาจากจีนเช่นเดียวกัน

ซึ่งรายละเอียดทางเทคนิคเชิงลึกของแคมเปญดังกล่าวนั้น ทางแหล่งข่าวไม่ได้ระบุไว้ ระบุไว้แต่เพียงขั้นตอนคร่าว ๆ เพียงว่า แฮกเกอร์จะทำการแฮกเว็บไซต์ที่อยู่บนเซิร์ฟเวอร์ IIS โดยการทำการแทรก JavaScript ที่จะทำงานทันทีเมื่อเหยื่อเข้าสู่เว็บไซต์ โดยสคริปท์จะทำการเปลี่ยนแปลงเป้าหมายปลายทาง พาเหยื่อไปยังเว็บไซต์ที่กำหนด ซึ่งโดยมากมักจะเป็นเว็บไซต์การพนัน แต่ก็มีตรวจพบบางเว็บไซต์ที่มาในรูปแบบที่แฝงมัลแวร์อีกด้วย โดยเว็บไซต์เหล่านี้จะถูกโฮสต์อยู่บนเซิร์ฟเวอร์ควบคุมการทำงาน (C2 หรือ Command and Control) ที่แฮกเกอร์สร้างไว้

ภาพจาก : https://thehackernews.com/2025/02/dragonrank-exploits-iis-servers-with.html

นอกจากนั้นแล้ว ทางทีมวิจัยจากบริษัท Trend Micro ผู้พัฒนาแอนตี้ไวรัสชื่อดังอีกแห่งหนึ่งยังออกมาเปิดเผยถึงการตรวจพบแคมเปญที่คล้ายกันจากกลุ่มแฮกเกอร์ที่มีชื่อว่า Group 11 ซึ่งจะมีรายละเอียดแตกต่างกันเล็กน้อย โดยกลุ่มนี้จะทำการติดตั้งมัลแวร์ BadIIS ลงบนเซิร์ฟเวอร์ซึ่งตัวมัลแวร์จะเข้าไปทำการเปลี่ยนแปลงส่วนของ HTTP Response Header โดยตัวมัลแวร์จะทำการตรวจสอบ Request ที่รับเข้ามาในส่วนของ 'User-Agent' และ 'Referer' ซึ่งถ้าข้อมูลตรงกับ Search Engine หรือมีการใช้ Keyword ค้นหาที่ตรงตามที่ระบุไว้บนมัลแวร์ ก็จะทำการพากลุ่มผู้ใช้งานที่เข้ามาไปยังเว็บไซต์อันตรายทันที

ไม่เพียงเท่านั้น ทีมวิจัยยังได้ระบุอีกว่า แคมเปญต่าง ๆ เหล่านี้ มีความเกี่ยวข้องพัวพันกับเครือข่าย CDN (Content Delivery Network) ของบริษัทจีนเทาอย่าง Funnull ที่มีการก่ออาชญากรรมในรูปแบบ Infrastructure Laundering (การฟอกโครงสร้างพื้นฐาน) เพื่อใช้บริการชื่อดังอย่าง Amazon Web Services (AWS) และ Microsoft Azure ในการโฮสต์เว็บไซต์อันตรายต่าง ๆ ตามที่กล่าวไว้ข้างต้น ซึ่งเว็บไซต์ที่เกี่ยวข้องกับเหล่านี้ล้วนแต่มีการดำเนินการในทางอาชญากรรมทั้งสิ้น ไม่ว่าจะเป็น กิจกรรมการฟอกเงิน, การฉ้อโกงการค้า, การหลอกให้รัก (Romance Scam) ผ่านทางเว็บไซต์การพนันปลอม