มัลแวร์ GorillaBot โจมตีผู้ใช้งาน Windows ในกว่า 100 ประเทศทั่วโลก ด้วยการยิงคำสั่งกว่า 3 แสนครั้งใน 3 สัปดาห์

การใช้งานมัลแวร์นั้นนอกจากจะเป็นการใช้เพื่อโจมตีเครื่องของผู้ใช้งานโดยตรงแล้ว ยังมีมัลแวร์อีกประเภทที่เป็นเสมือนกันชักใยเครื่องของเหยื่อเพื่อเข้าเป็นส่วนหนึ่งของเครือข่ายสำหรับการโจมตีระบบที่ใหญ่กว่า นั่นคือมัลแวร์ประเภท Botnet

จากรายงานโดยเว็บไซต์ Cyber Security News ได้รายงานถึงการตรวจพบมัลแวร์ประเภท Botnet ตัวใหม่ที่มีชื่อว่า GorillaBot ซึ่งมัลแวร์ดังกล่าวนี้เป็นมัลแวร์ที่ถูกสร้างขึ้นต่อยอดมาจากมัลแวร์ประเภทเดียวกันที่มีชื่อว่า Mirai ที่เคยระบาดหนัก และโด่งดังในช่วงปี ค.ศ. 2024 (พ.ศ. 2567) ที่ผ่านมา โดยมัลแวร์ตัวนี้ได้ถูกตรวจพบโดยทีมวิจัยจาก NSFOCUS Global ในช่วงเดือนกันยายนปีเดียวกันนั้นเอง ซึ่งมัลแวร์ GorillaBot นั้นจะมุ่งเน้นการแพร่กระจายตัวเองไปยังอุปกรณ์ที่เชื่อมต่อกับอินเทอร์เน็ต (Internet-of-Things หรือ IoTs) เพื่อใช้เครื่องมือดังกล่าวในการเข้าร่วมเป็นส่วนหนึ่งของเครือข่ายสำหรับการยิงเป้าหมายให้หยุดทำงาน (DDoS หรือ Distributed Denial-of-Service) โดยจะมุ่งเน้นไปยังระบบที่ใช้งานระบบปฏิบัติการ Windows เป็นหลัก ซึ่งถึงแม้ทางทีมวิจัยจะได้ไม่ได้เปิดเผยว่ามีเครื่องติดเชื้อมัลแวร์ดังกล่าวมากเพียงใด แต่ก็ได้มีการเปิดเผยว่า มัลแวร์ดังกล่าวได้รวมพลังยิงคำสั่งเพื่อโจมตีเป้าหมายถึง 3 แสนคำสั่ง สู่เหยื่อในกว่า 100 ประเทศภายใน 3 สัปดาห์ ซึ่งสามารถเรียกได้ว่าเป็นการโจมตีในระดับที่ค่อนข้างใหญ่มาก

ในส่วนรายละเอียดเชิงเทคนิคนั้น ทางทีมวิจัยจาก Any.Run เปิดเผยว่า ถึงแม้มัลแวร์ดังกล่าวจะมีความคล้ายคลึงกับ Mirai หลายอย่าง แต่มีความพิเศษกว่าตรงที่ ตัวมัลแวร์มีกลไกเข้ารหัส (Encryption Algorithms) ที่ถูกสร้างมาโดยเฉพาะให้มีความซับซ้อนสูง รวมทั้งมีฟีเจอร์ต่อต้านการดีบั๊ก (Anti-Debugging) ช่วยเพิ่มความยากในการตรวจจับและวิเคราะห์มากขึ้นไปอีกเท่าตัว ทั้งยังช่วยให้ระบบรักษาความปลอดภัยไม่สามารถตรวจจับการสื่อสารระหว่างตัวมัลแวร์ และเซิร์ฟเวอร์ควบคุม (C2 หรือ Command and Control) ได้โดยง่ายอีกด้วย

ในส่วนของการทำงานนั้น ถึงแม้ทางแหล่งข่าวจะไม่ได้ให้รายละเอียดว่า อุปกรณ์ IoTs นั้นได้รับมัลแวร์นี้จากช่องทางใด แต่ก็มีการเปิดเผยว่า หลังจากที่มัลแวร์สามารถฝังตัวลงบนอุปกรณ์เป้าหมายได้สำเร็จ ก็จะทำการติดต่อสื่อสารกับเซิร์ฟเวอร์ C2 ผ่านทางช่องทาง Socket TCP ในทันที โดยในการสื่อสารนั้นจะมีการเข้ารหัสในรูปแบบ XTEA แบบปรับแต่งมาให้เข้ากับมัลแวร์เรียบร้อยแล้ว โดยวิธีการเข้ารหัสแบบดังกล่าวนั้นเป็นการเข้ารหัสที่ได้รับความนิยมในหมู่มัลแวร์ประเภท Botnet ที่ใช้สื่อสารระหว่างตัวมัลแวร์และตัวเซิร์ฟเวอร์ ไม่เพียงแต่เข้ารหัสในการสื่อสารเท่านั้น ตัวมัลแวร์ยังมีการใช้ระบบยืนยันตัวตนผ่านทางโทเคน แบบ SHA-256 เพื่อยืนยันตัวตนว่าเป็นมัลแวร์ตัวจริง ไม่ใช่นักวิเคราะห์ที่ปลอมตัวเป็นมัลแวร์ลอบเข้ามาติดต่อเก็บข้อมูล หลังจากที่มัลแวร์ได้ทำการยืนยันตัวตนเรียบร้อย ตัวมัลแวร์ก็จะทำการรับคำสั่งจากเซิร์ฟเวอร์ลงมาประมวลผล และทำการโจมตีทันที

นอกจากนั้นทางทีมวิจัยยังได้เปิดเผยวิธีการเลี่ยงการตรวจจับจากระบบรักษาความปลอดภัยบนเครื่องของเหยื่อ ซึ่งมี 2 ขั้นตอนดังนี้

• ตัวมัลแวร์จะทำการวิเคราะห์ไฟล์ระบบในโฟลเดอร์ /proc เพื่อตรวจสอบว่า ตัวมัลแวร์รันบนเครื่องเป้าหมายอยู่จริง ๆ
• จากนั้นจึงทำการตรวจสอบองค์ประกอบที่เกี่ยวข้องกับ Kubernetes เช่นไฟล์หรือโฟลเดอร์ที่เกี่ยวข้องกับ “Kubepods” เช่น /proc/1/cgroup ซึ่งถ้าตรวจพบ มัลแวร์จะหยุดทำงานอย่างอัตโนมัติในทันที

ไม่เพียงเท่านั้น ตัวระบบต่อต้านการดีบั๊กของมัลแวร์ยังจะทำการตรวจสอบหาเครื่องมือดีบั๊กด้วยวิธีการต่าง ๆ เช่นตรวจสอบในส่วนฟิลด์ของ TracerPid ที่อยู่ภายใน /proc/self/status โดยถ้าตรวจพบตัวมัลแวร์ก็จะทำการปิดการทำงานโดยไม่ได้ทำการรันส่วนมัลแวร์หลัก (Payload) ในทันทีเช่นเดียวกัน

สำหรับมาตรการป้องกันนั้น ทางทีมวิจัยได้ระบุว่า ผู้ใช้งานควรทำการอัปเดตอุปกรณ์ IoT และอุปกรณ์ด้านเครือข่ายอย่างสม่ำเสมอ รวมไปถึงการรันเครื่องมือสำหรับการตรวจสอบมัลแวร์ที่มีการอัปเดตอย่างสม่ำเสมอ เพื่อทำการตรวจว่ามัลแวร์ดังกล่าวได้เข้ามาสู่ระบบแล้วหรือยัง เพื่อกำจัดมัลแวร์อย่างทันท่วงที