197/68 (IT) ประจำวันศุกร์ที่ 30 พฤษภาคม 2568
บริษัทด้านความมั่นคงปลอดภัยไซเบอร์ Darktrace เปิดเผยว่า มีการตรวจพบมัลแวร์บ็อตเน็ตตัวใหม่ชื่อ “PumaBot” ซึ่งมุ่งเป้าโจมตีอุปกรณ์ Internet of Things (IoT) ที่ทำงานบนระบบปฏิบัติการ Linux โดยใช้วิธีการเจาะระบบผ่านช่องทาง SSH ด้วยการเดารหัสผ่านแบบ brute-force เพื่อยึดระบบของเหยื่อ ขยายเครือข่ายของมัลแวร์ และส่งคำสั่งเพิ่มเติมจากเซิร์ฟเวอร์ควบคุม (C2) โดย PumaBot ไม่ได้สุ่มสแกนอินเทอร์เน็ตแบบทั่วไป แต่ใช้รายชื่อ IP ที่ดึงมาจากเซิร์ฟเวอร์ภายนอก (ssh.ddos-cc[.]org) เพื่อลดความเสี่ยงในการถูกตรวจจับ
มัลแวร์ PumaBot ยังมีการตรวจสอบระบบก่อนโจมตี เช่น ตรวจหาคำว่า “Pumatronix” ซึ่งเป็นชื่อผู้ผลิตกล้องจราจรและระบบตรวจจับเพื่อหลีกเลี่ยงระบบที่อาจเป็น honeypot หรือกับดักสำหรับดักจับมัลแวร์ เมื่อสามารถเข้าถึงระบบได้แล้ว มัลแวร์จะฝังตัวในเครื่องโดยใช้ชื่อไฟล์ปลอมว่าเป็นของระบบ Redis (เช่น /lib/redis) และสร้างบริการ systemd ปลอมในระบบ เช่น redis.service หรือ mysqI.service เพื่อให้รอดจากการรีบูต และยากต่อการตรวจสอบ มัลแวร์ยังสามารถขุดคริปโตผ่านคำสั่ง “xmrig” และ “networkxm” ที่ใช้ทรัพยากรระบบโดยไม่ได้รับอนุญาต
การวิเคราะห์เพิ่มเติมยังพบว่าเครือข่าย PumaBot มีการใช้เครื่องมือหลายชิ้นในการปฏิบัติการ เช่น โปรแกรม backdoor “ddaemon” ที่ดาวน์โหลดและติดตั้งสคริปต์เพิ่มเติม, เครื่องมือเจาะรหัสผ่าน SSH “networkxm”, และ rootkit “pam_unix.so” ที่แอบขโมยข้อมูลการล็อกอินของผู้ใช้และส่งออกไปยังเซิร์ฟเวอร์ควบคุม ผู้เชี่ยวชาญแนะนำให้ผู้ดูแลระบบเฝ้าระวังความผิดปกติในการล็อกอิน SSH โดยเฉพาะความพยายามเข้าสู่ระบบที่ล้มเหลว ตรวจสอบบริการ systemd อย่างสม่ำเสมอ ตรวจสอบไฟล์ authorized_keys และตั้งค่ากำแพงไฟร์วอลล์อย่างเข้มงวด พร้อมทั้งกรองคำร้องขอ HTTP ที่มีพฤติกรรมแปลก เช่น การใช้ header “X-API-KEY” ที่ผิดปกติ เพื่อป้องกันการโจมตีที่อาจเกิดขึ้นจากบ็อตเน็ตสายพันธุ์ใหม่นี้
แหล่งข่าว https://thehackernews.com/2025/05/new-pumabot-botnet-targets-linux-iot.html
