ในยุคที่เทคโนโลยีก้าวล้ำ ภัยไซเบอร์ก็พัฒนาตามไปอย่างรวดเร็ว ล่าสุดมีการค้นพบมัลแวร์ตัวใหม่บน Linux ที่ชื่อว่า Koske ซึ่งมาในรูปแบบที่หลายคนคาดไม่ถึง เพราะมันใช้เทคนิคล้ำสมัยซ่อนตัวอยู่ในภาพหมีแพนด้าน่ารักๆ ที่ดูไม่มีพิษภัย แต่กลับแฝงโค้ดอันตรายเอาไว้แนบเนียน เพื่อขโมยทรัพยากรของเครื่องเป้าหมายมาขุดเหรียญคริปโต
Koske คืออะไร?
Koske เป็นมัลแวร์สายขุดคริปโต (Cryptojacking) ที่ถูกตรวจพบโดยทีมวิจัยจากบริษัทความปลอดภัยไซเบอร์ AquaSec คือการแอบฝังโค้ดอันตรายไว้ในไฟล์ภาพแพนด้า ที่ดูเผินๆเหมือนรูปธรรมดา แต่จริงๆ แล้วสามารถรันคำสั่งแฮ็กระบบจากในหน่วยความจำได้อย่างแนบเนียน
ที่น่าสนใจกว่านั้นคือ พฤติกรรมหลายอย่างของมัลแวร์ตัวนี้ ดูฉลาดและปรับตัวได้ดี จนนักวิจัยสงสัยว่าอาจมีการใช้ AI หรือระบบอัตโนมัติ (automation) ในการพัฒนาเบื้องหลัง
เป้าหมายของมัลแวร์
มัลแวร์ตัวนี้มีเป้าหมายชัดเจน: ใช้ทรัพยากรของเครื่องเหยื่อในการขุดเหรียญดิจิทัล โดย:
- รองรับการขุดมากถึง 18 สกุลเงิน เช่น Monero, Ravencoin, Zano และ Nexa
- ประเมินความสามารถของ CPU และ GPU ก่อนเลือก miner ที่เหมาะที่สุด
- หากเหรียญหรือ mining pool ที่กำลังใช้มีปัญหา มัลแวร์จะ สลับไปใช้ตัวสำรองอัตโนมัติ
มัลแวร์ทำงานอย่างไร?
1. เริ่มต้นจาก JupyterLab ที่ตั้งค่าผิด
แฮ็กเกอร์ใช้วิธีสแกนหาระบบ JupyterLab ที่เปิดให้เข้าจากภายนอกและตั้งค่าผิดพลาด เมื่อเจาะเข้าได้ ก็สามารถรันคำสั่งในระบบได้ทันที
2. ดาวน์โหลด “ภาพแพนด้า” ที่ไม่ธรรมดา
จากนั้นระบบจะดาวน์โหลด รูปหมีแพนด้า 2 รูป จากเว็บไซต์ที่ดูน่าเชื่อถือ เช่น OVH หรือ postimage รูปเหล่านี้คือไฟล์แบบ polyglot ซึ่งสามารถเป็นได้ทั้งรูปภาพและไฟล์สคริปต์ในตัวเดียวกัน
ใครที่เปิดด้วยโปรแกรมดูภาพ ก็จะเห็นเป็นรูปแพนด้าน่ารัก แต่ถ้าระบบรันด้วย interpreter มัลแวร์จะทำงานทันที
ภายในประกอบด้วยอะไรบ้าง?
Payload 1: C-based Rootkit
ภาพแพนด้าไฟล์แรกซ่อนโค้ดภาษา C ที่ถูกเขียนและคอมไพล์ในหน่วยความจำ จากนั้นรันเป็นไฟล์ .so ที่ทำหน้าที่เป็น rootkit โดยใช้ LD_PRELOAD เพื่อ override ฟังก์ชัน readdir() ทำให้สามารถซ่อนโปรเซส ไฟล์ และโฟลเดอร์ที่เกี่ยวข้องกับมัลแวร์ไม่ให้ปรากฏในเครื่องมือทั่วไป โดยจะกรองข้อมูลจากคีย์เวิร์ด เช่น koske, hideproc หรือดึงค่า PID จากไฟล์ /dev/shm/.hiddenpid
Payload 2: Shell Script อัจฉริยะ
อีกไฟล์หนึ่งซ่อน shell script ซึ่งถูกเรียกใช้งานโดยตรงจากหน่วยความจำ ใช้คำสั่งมาตรฐานของ Linux อย่าง cron และ systemd เพื่อสร้าง persistence โดยรันซ้ำทุก 30 นาที พร้อมทั้งปรับแต่งระบบเครือข่าย เช่น เปลี่ยน DNS ไปใช้ของ Cloudflare และ Google, ล็อกไฟล์ resolv.conf ด้วย chattr +i, ล้าง iptables, รีเซ็ตค่าพร็อกซี และใช้ curl, wget, รวมถึง raw TCP ในการ brute-force หาพร็อกซีที่ใช้งานได้อย่างมีประสิทธิภาพ
แหล่งที่มา & การระบุตัวตน
- พบการใช้ IP จากเซอร์เบีย
- พบสคริปต์ที่มีคำภาษาเซอร์เบีย
- Repository ของ cryptominer อยู่ใน GitHub และมีข้อความภาษา Slovak
- แต่ยังไม่สามารถยืนยันแหล่งที่มาของผู้โจมตีได้แน่ชัด
คำเตือนจาก AquaSec
แม้ Koske จะเป็นภัยคุกคามที่ร้ายแรงแล้วในปัจจุบัน แต่มัลแวร์ในอนาคตที่ขับเคลื่อนด้วย AI อาจปรับตัวแบบเรียลไทม์ได้ และมีความอันตรายยิ่งกว่านี้อีกมาก
ที่มา: https://www.bleepingcomputer.com/news/security/new-koske-linux-malware-hides-in-cute-panda-images/