73/69 (IT) ประจำวันศุกร์ที่ 6 กุมภาพันธ์ 2569
ทีมนักวิจัยจาก DataDog Security Labs ตรวจพบแคมเปญการโจมตีทางไซเบอร์ที่พุ่งเป้าไปที่การเจาะระบบเซิร์ฟเวอร์ NGINX ซึ่งเป็นซอฟต์แวร์จัดการทราฟฟิกเว็บยอดนิยม โดยผู้ไม่หวังดีจะทำการแก้ไขไฟล์ Configuration เพื่อแอบติดตั้งคำสั่งรีไดเรกต์ ข้อมูลของผู้ใช้งานให้วิ่งผ่านโครงสร้างพื้นฐานของแฮกเกอร์ก่อนจะส่งไปยังปลายทางจริง การโจมตีนี้มุ่งเป้าไปที่เว็บไซต์ที่ใช้โดเมนระดับบนสุด (TLD) ในแถบเอเชียโดยพุ่งเป้าไปที่โดเมนของหน่วยงานรัฐ (.gov) และสถาบันการศึกษา (.edu) และรวมไปถึงประเทศไทย (.th) ที่ใช้งานแผงควบคุม Baota (Baota Control Panel) เป็นหลัก
เทคนิคกระบวนการทำงานของแฮกเกอร์มีความแนบเนียนสูง โดยใช้ชุดเครื่องมือ (Toolkit) ที่ทำงานเป็นลำดับขั้นตอนเพื่อฉีดคำสั่งอันตรายเข้าไปในส่วน ‘location’ blocks ของ NGINX และใช้คำสั่ง ‘proxy_pass’ ซึ่งปกติใช้สำหรับการเพิ่มประสิทธิภาพเว็บ (Load Balancing) ในการเบี่ยงเส้นทางข้อมูล วิธีการนี้ทำให้ระบบตรวจจับความปลอดภัยทั่วไปมองข้ามเนื่องจากดูเหมือนการทำงานปกติของระบบ นอกจากนี้ แฮกเกอร์ยังคงรักษาข้อมูล Header เดิม เช่น IP ของผู้ใช้ และประเภทเบราว์เซอร์ไว้ครบถ้วน เพื่อไม่ให้เกิดความสงสัยขณะที่ข้อมูลถูกส่งผ่านโครงสร้างพื้นฐานของอาชญากรไซเบอร์
สิ่งที่น่ากังวลที่สุดคือการโจมตีนี้ตรวจพบได้ยากมาก เพราะไม่ได้เป็นการเจาะผ่านช่องโหว่ของตัวซอฟต์แวร์โดยตรง แต่เป็นการแอบฝังคำสั่งในไฟล์คอนฟิกที่ผู้ดูแลระบบมักไม่ค่อยตรวจสอบ อีกทั้งผู้ใช้งานยังคงเข้าถึงเว็บไซต์ปลายทางได้ตามปกติ ทำให้แทบไม่รู้ตัวเลยว่าข้อมูลส่วนตัวกำลังถูกดักฟัง ผู้ดูแลระบบจึงควรเร่งตรวจสอบไฟล์ในโฟลเดอร์ เช่น /etc/nginx/sites-enabled และเฝ้าระวังไฟล์สคริปต์ต้องสงสัย (เช่น zx[.]sh, bt[.]sh) รวมถึงตรวจสอบการเชื่อมต่อที่ผิดปกติไปยัง IP ปลายทาง 158.94.210[.]227 ซึ่งเป็นเซิร์ฟเวอร์ควบคุม (C2) ของแฮกเกอร์
แหล่งข่าว : https://www.bleepingcomputer.com/news/security/hackers-compromise-nginx-servers-to-redirect-user-traffic/
