เซิร์ฟเวอร์ที่ใช้ในการปล่อยมัลแวร์นั้น โดยทั่วไปแฮกเกอร์มักใช้บัญชีที่แฮกเพื่อเข้าใช้งานเซิร์ฟเวอร์ของผู้ให้บริการที่มีคุณภาพ และความน่าเชื่อถือสูง แต่ก็ยังมีเซิร์ฟเวอร์อีกประเภทหนึ่งที่เรียกได้ว่า เป็นเซิร์ฟเวอร์ที่กฎหมายเข้าถึง และเล่นงานได้ยาก โดยเซิร์ฟเวอร์ประเภทนี้ถูกเรียกว่าเซิร์ฟเวอร์กันกระสุน หรือ Bulletproof Hosting Providers (BHP)
จากรายงานโดยเว็บไซต์ Infosecurity Magazine ได้กล่าวถึงการตรวจพบพฤติกรรมการทำงานของแฮกเกอร์มือสมัครเล่นจากรัสเซียในการใช้เซิร์ฟเวอร์รูปแบบดังกล่าวในการแพร่กระจายมัลแวร์โดยทางทีมวิจัยจาก DomainTools บริษัทผู้เชี่ยวชาญด้านการสืบสวนพฤติกรรมการก่อการร้ายทางไซเบอร์ ซึ่งทางทีมวิจัยได้ตรวจพบว่า แฮกเกอร์มือสมัครเล่นที่ใช้นามแฝงว่า ‘Coquettte’ ได้มีการใช้งานบริการเซิร์ฟเวอร์ประเภทดังกล่าวที่มีชื่อว่า Proton66 ซึ่งเป็นเซิร์ฟเวอร์ที่เป็นที่นิยมในหมู่อาชญากรไซเบอร์ โดยผู้ให้บริการรายนี้มีพฤติกรรมในการปฏิเสธคำร้องเรียนถึงการที่เซิร์ฟเวอร์ถูกนำไปใช้งานในทางที่ผิดทั้งหมด
สำหรับพฤติกรรมการทำงานของแฮกเกอร์มือสมัครเล่นรายดังกล่าว ทางทีมวิจัยได้เปิดเผยว่า แฮกเกอร์รายดังกล่าวได้สร้างเว็บไซต์ปลอม cybersecureprotect[.]com ซึ่งอวดอ้างว่าเป็นเว็บไซต์สำหรับแจกซอฟต์แวร์แอนตี้ไวรัสที่มีชื่อว่า ‘CyberSecure Pro’ ฟรี แต่ที่จริงแล้วเป็นซอฟต์แวร์ปลอมซึ่งข้างในนั้นกลับเป็นมัลแวร์นกต่อ (Loader) ที่มีชื่อว่า Rugmi สำหรับใช้ในการปล่อยมัลแวร์ตัวอื่น ๆ ลงบนเครื่องของเหยื่อ โดยทางแฮกเกอร์ได้ฝากเว็บไซต์นี้ไว้บนเซิร์ฟเวอร์ของ Proton66
หลังจากที่ทีมวิจัยทำการเข้าตรวจสอบโฟลเดอร์หนึ่งบนเว็บไซต์ ก็ได้พบว่าภายในนั้นมีไฟล์บีบอัดนามสกุล .Zip ที่เมื่อคลายไฟล์ก็จะเป็นไฟล์ติดตั้งในรูปแบบ Windows Installer ที่มีสอดไส้มัลแวร์ Rugmi อยู่ภายใน แทนที่จะเป็นซอฟต์แวร์ดังที่อวดอ้าง ซึ่งเมื่อติดตั้งเสร็จแล้ว ตัวมัลแวร์จะติดต่อกับ URL 2 ตัวที่ถูกฝังอยู่ในโค้ดของมัลแวร์ นั่นคือ cia[.]tf และ quitarlosi[.]
โดยหนึ่งในนั้นอย่าง cia[.]tf จะทำหน้าที่เป็นเซิร์ฟเวอร์ควบคุม (C2 หรือ Command and Control) เพื่อดาวน์โหลดมัลแวร์ตัวจริง ซึ่งอาจจะเป็นมัลแวร์ประเภทเพื่อการขโมยข้อมูล (Infostealer), มัลแวร์เพื่อการเรียกค่าไถ่ (Ransomware) และโทรจัน โดยมัลแวร์หลัก ๆ ที่แฮกเกอร์ใช้ตามที่ทางทีมวิจัยตรวจสอบได้ นั่นคือ Vidar, Raccoon Stealer V2, Lumma Stealer และ Rescoms และแน่นอนคือ ตัวเซิร์ฟเวอร์ดังกล่าวก็ได้ถูกฝากไว้บนบริการของ Proton66 อีกเช่นเดียวกัน โดยบริการทั้งในส่วนของเซิร์ฟเวอร์ C2 และตัวเว็บไซต์ล้วนถูกลงทะเบียนไว้ด้วยอีเมลเดียวกัน คือ root[@]coquettte[.]com
นอกจากการใช้บริการดังกล่าวเพื่อการปล่อยมัลแวร์แล้ว ทางแฮกเกอร์รายนี้ยังได้มีการดำเนินกิจการผิดกฎหมายต่าง ๆ ผ่านทางบริการเซิร์ฟเวอร์ Proton66 อีกจำนวนหนึ่ง เช่น meth[.]to ซึ่งเนื้อหาภายในเว็บไซต์นั้นล้วนเต็มไปด้วยเนื้อหาเกี่ยวกับยาเสพติด และอาวุธผิดกฎหมาย เช่น วิธีการผลิตยาไอซ์ (Methamphetamine), การประกอบระเบิด C4 เป็นตอน ขณะที่เว็บไซต์อย่างเป็นทางการของแฮกเกอร์รายดังกล่าวอย่าง coquettte[.]com กลับถูกฝากไว้บนบริการฝากเว็บไซต์ที่ถูกกฎหมายที่มีความน่าเชื่อถือสูงอย่าง AWS (Amazon Web Service) แทน
โดยบนเว็บไซต์ได้ระบุว่า เป็นนักพัฒนาซอฟต์แวร์อายุ 18 ปีที่กำลังจะเรียนต่อปริญญาตรีด้านวิทยาศาสตร์คอมพิวเตอร์ ซึ่งถึงแม้ข้อมูลดังกล่าวจะไม่สามารถยืนยันได้ว่าเป็นความจริงหรือไม่ ? แต่ทางทีมวิจัยก็คาดการณ์ว่าจะเป็นความจริง โดยให้ความเห็นว่า “ผู้กระทำคงเป็นแค่นักเรียน นักศึกษา ที่ขาดประสบการณ์ พลาดได้ก็ทั้งจุดเล็ก ๆ อย่างเช่น การเผลอให้ผู้ใช้งานภายนอกสามารถเข้าถึงโฟลเดอร์บนเว็บไซต์ที่ใช้สำหรับก่ออาชญากรรมไซเบอร์ได้”
ทางทีมวิจัยยังคาดการณ์อีกว่า Coquettte อาจเป็นเพียงนามแฝงของสมาชิกรายหนึ่งของกลุ่มแฮกเกอร์ขนาดใหญ่ที่มีชื่อว่า Horrid โดยเมื่อตรวจสอบเว็บไซต์ของรายนี้อย่าง meth.to เทียบกับเว็บไซต์อื่น ๆ อย่างเช่น horrid.xyz, terrorist.ovh และ meth.su ทางทีมวิจัยได้พบความเชื่อมโยงกันของพฤติกรรมของเว็บไซต์เหล่านี้ แต่ก็ยังคาดการณ์อีกว่า แฮกเกอร์รายนี้คงเป็นเพียงแค่สมาชิกธรรมดา ๆ รายหนึ่ง ไม่ใช่ตัวการใหญ่ของกลุ่มแฮกเกอร์ดังกล่าว
————————————————————————————————–
ที่มา : thaiware / วันที่เผยแพร่ 21 เมษายน 2568
Link : https://news.thaiware.com/21704.html
