พบ TrickBot พัฒนาตัวเองไปตาม SSH Keys

นักวิจัย Unit 42 group จาก Palo Alto Networks ได้ออกมาโพสเกี่ยวกับค้นพบว่า มัลแวร์ TrickBot ได้พัฒนาตัวเองเพื่อสามารถปลดล็อครหัสผ่าน และเข้าไปขโมยข้อมูลจากแอพพลิเคชั่น OpenSSH กับ OpenVPN ได้

เป้าหมายของ TrickBot นี้จะอยู่ที่โฮสต์ที่ติดตั้งระบบปฏิบัติการ Windows โดยจทำการดาวน์โหลดโมดูลต่างๆ แต่ละโมดูลจะมีหน้าที่การทำงานแตกต่างกันไป หนึ่งในนั้นได้แก่โมดูล pwgrab64 ซึ่งจะใช้ดึงข้อมูลการ Login ของผู้ใช้ที่เก็บในแคชของเบราว์เซอร์ รวมไปถึงแอพพิลเคชั่นต่างๆ ที่ติดตั้งด้วย

ซึ่งทาง Kevin Bocek รองประธานฝ่ายกลยุทธ์ด้านความปลอดภัย และผู้เชี่ยวชาญด้านภัยคุกคามจาก Venafi กล่าวว่าหากแฮกเกอร์ได้ SSH Keys ไป ก็จะสามารถควบคุมอุปกรณ์ผู้ใช้ได้ ดังนั้น จึงควรเปลี่ยน SSH Keys อยู่เสมอ แต่หลายๆ องค์กร รวมไปถึงโนาคารกลับไม่เคยเปลี่ยน SSH Keys เลย ที่แย่ไปกว่านั้น หลายๆ SSH Keys ไม่มีวันหมดอายุ จนเกิดเป็นช่องโหว่ ทำให้แฮกเกอร์สามารถทำการโจมตีได้

ที่มา: Threat Post