
ที่มาภาพ: The Hacker News
ติดตั้งปลอม 7‑Zip ทำอุปกรณ์เป็นโหนดพร็อกซี่เรสิดเชียน
⚡ สรุป 30 วิ
กลุ่ม Lurking Lizard ใช้ตัวติดตั้งปลอมของ 7‑Zip เพื่อสร้างโหนดพร็อกซี่เรสิดเชียนจากคอมพิวเตอร์ผู้ใช้ ส่งทราฟฟิกโดยไม่เปิดเผยตัวตน…
การวิจัยด้านความปลอดภัยไซเบอร์เมื่อเร็ว ๆ นี้เปิดเผยรายละเอียดของกลุ่มอาชญากรดิจิทัลที่เรียกว่า Lurking Lizard ซึ่งได้สร้างธุรกิจพร็อกซี่เรสิดเชียน (residential proxy) แบบครบวงจรโดยใช้ตัวติดตั้งปลอมของ 7‑Zip ทำให้เครื่องคอมพิวเตอร์ของผู้ใช้กลายเป็นโหนดพร็อกซีที่ให้บริการการส่งข้อมูลแบบไม่ระบุตัวตน การเปิดเผยนี้สำคัญเพราะแสดงถึงรูปแบบใหม่ของการจัดหาเครือข่ายบอทเพื่อทำกิจกรรมอันตรายบนอินเทอร์เน็ต
Overview
กลุ่ม Lurking Lizard เริ่มดำเนินการตั้งแต่เดือนสิงหาคม 2022 ตามข้อมูลจากบริษัท Infoblox ผู้ให้บริการข้อมูลภัยคุกคามด้าน DNS แม้ว่าจะยังไม่มีการระบุจำนวนอุปกรณ์ที่ถูกจับทำเป็นโหนดพร็อกซีอย่างชัดเจน แต่การใช้โดเมนลักษณะคล้ายกันกว่า 230 แห่งบ่งบอกถึงระดับความซับซ้อนของโครงสร้างพื้นฐานที่จัดตั้งขึ้นเพื่อหลบเลี่ยงการตรวจจับ
โดยวิธีการหลักคือการปลอมแปลงไฟล์ติดตั้ง 7‑Zip ซึ่งเป็นโปรแกรมอัดและแตกไฟล์ที่ได้รับความนิยมอย่างกว้างขวาง ผู้โจมตีมักจะกระจายลิงก์ดาวน์โหลดผ่านเว็บไซต์สแปมหรือโซเชียลมีเดีย ทำให้ผู้ใช้หลายพันคนอาจดาวน์โหลดไฟล์ที่ดูเหมือนปลอดภัยแต่จริง ๆ แล้วเป็นมัลแวร์ชนิดหนึ่ง
เมื่อไฟล์ถูกติดตั้งบนเครื่อง ผู้โจมตีจะทำการเปลี่ยนแปลงการตั้งค่าเครือข่ายและติดตั้งซอฟต์แวร์ควบคุมระยะไกล (C2) เพื่อให้โหนดนั้นสามารถรับคำสั่งส่งต่อทราฟฟิกอินเทอร์เน็ตผ่าน IP ของผู้ใช้จริง ซึ่งเป็นลักษณะของพร็อกซีเรสิดเชียนที่มักถูกนำไปใช้ในกิจกรรมหลบเลี่ยงการตรวจจับหรือทำโจมตีแบบ DDoS
Threat Actor Profile
กลุ่ม Lurking Lizard ยังไม่มีข้อมูลเปิดเผยเกี่ยวกับโครงสร้างองค์กรหรือภูมิหลังของผู้ก่อตั้ง แต่การดำเนินงานที่ต่อเนื่องตั้งแต่ปี 2022 แสดงให้เห็นถึงความเชี่ยวชาญด้านการจัดการโดเมนและการหลบหนีจากระบบป้องกัน DNS ของหลายประเทศ
ตามรายงานของ Infoblox โดเมนลักษณะคล้าย (lookalike domains) ที่ใช้ในการกระจายตัวติดตั้งปลอมถูกออกแบบให้มีชื่อที่คล้ายกับเว็บไซต์หรือบริการที่เกี่ยวข้องกับการดาวน์โหลดซอฟต์แวร์บีบอัดไฟล์ เช่น “7zip‑download.com” หรือ “get7‑zipp.org” ทำให้ผู้ใช้ยากต่อการแยกความแตกต่างระหว่างลิงก์ปลอดภัยและอันตราย
กลุ่มนี้ยังได้ตั้งค่าเซิร์ฟเวอร์ C2 ในหลายภูมิภาคเพื่อกระจายโหลดของทราฟฟิกที่มาจากโหนดพร็อกซี ทำให้การติดตามแหล่งกำเนิดของการโจมตีหรือการสืบค้นข้อมูลยากขึ้น นอกจากนี้ยังมีหลักฐานว่าพวกเขาใช้ระบบชำระเงินผ่านคริปโตเคอร์เรนซี่เพื่อรับค่าบริการจากลูกค้าที่ต้องการใช้พร็อกซีเหล่านี้
Attack Vector & Infrastructure
กระบวนการโจมตีประกอบด้วยหลายขั้นตอนสำคัญที่สังเกตได้จากข้อมูล DNS และไฟล์มัลแวร์ที่ถูกดักจับ
- ดาวน์โหลดไฟล์ปลอม: ผู้ใช้คลิกลิงก์จากอีเมลหรือเว็บไซต์ที่น่าสงสัย ซึ่งนำไปสู่การดาวน์โหลดตัวติดตั้ง 7‑Zip ปลอม
- การติดตั้งและทำงานเบื้องหลัง: ไฟล์ติดตั้งจะสร้างกระบวนการหลายตัวบนระบบเพื่อหลีกเลี่ยงการตรวจจับของโปรแกรมป้องกันไวรัส
- เชื่อมต่อกับ C2: มัลแวร์ติดต่อเซิร์ฟเวอร์ควบคุมระยะไกลที่อยู่ในโดเมนลักษณะคล้ายดังกล่าว เพื่อลากข้อมูลโหนดและรับคำสั่งการทำงานต่อไป
โครงสร้างพื้นฐานของ Lurking Lizard ประกอบด้วยเครือข่าย CDN (Content Delivery Network) และบริการ DNS ที่หลากหลายเพื่อกระจายโดเมนและ IP ให้ทั่วโลก การใช้เทคนิค “fast-flux” ทำให้ระยะเวลาที่โดเมนหรือ IP อยู่ในระบบบล็อกสั้นลง ส่งผลให้การปิดกั้นโดยผู้ดูแลเครือข่ายทำได้ยากกว่า
Impact on Victims
ผู้ใช้งานที่ติดตั้งไฟล์ปลอมจะพบว่าอุปกรณ์ของตนถูกใช้เป็นโหนดพร็อกซีโดยไม่มีความรู้ ซึ่งมีผลกระทบหลายด้าน
จากมุมมองของบุคคลทั่วไป การทำงานของโหนดเหล่านี้อาจทำให้แบนด์วิดท์ของบ้านเพิ่มขึ้นอย่างไม่คาดคิด หรือทำให้ค่าใช้จ่ายอินเทอร์เน็ตสูงขึ้น เนื่องจากทราฟฟิกที่ไม่ได้เป็นของผู้ใช้จริงถูกส่งผ่านระบบเครือข่ายภายในบ้าน
ในระดับองค์กร การใช้ IP ของโหนดเรสิดเชียนเพื่อดำเนินการโจมตีหรือสแปมอาจทำให้ระบบของบริษัทถูกบล็อกโดยบริการความปลอดภัย หรือเสียชื่อเสียงเมื่อต้องรับผิดชอบต่อการกระจายมัลแวร์ที่เกิดจาก IP ของพนักงาน
นอกจากนี้ การมีโหนดพร็อกซีจำนวนมากในเครือข่ายทั่วโลกยังช่วยสนับสนุนตลาดมิจฉาชีพด้านสื่อออนไลน์ เช่น การสร้างคลิกปลอม หรือการทำ SEO ปลอม ซึ่งเป็นปัญหาที่ส่งผลต่อเศรษฐกิจดิจิทัลโดยรวม
Mitigation & Recommendations
ผู้ใช้ควรตรวจสอบแหล่งที่มาของไฟล์ติดตั้ง 7‑Zip อย่างเคร่งครัด โดยดาวน์โหลดเฉพาะจากเว็บไซต์ทางการของโครงการ (เช่น 7‑zip.org) และเปิดใช้งานการสแกนแบบเรียลไทม์บนอุปกรณ์
องค์กรควรเสริมความปลอดภัยด้าน DNS ด้วยการใช้บริการกรองโดเมนที่สามารถตรวจจับและบล็อก lookalike domains ที่มีลักษณะคล้ายกับชื่อแบรนด์หรือซอฟต์แวร์ยอดนิยม นอกจากนี้ การทำ Threat Intelligence Feed จากผู้ให้บริการเช่น Infoblox จะช่วยให้ทีมความปลอดภัยติดตามการเปลี่ยนแปลงของโครงสร้างพื้นฐานของกลุ่ม Lurking Lizard ได้เร็วขึ้น
หากสงสัยว่าระบบอาจถูกนำไปเป็นโหนดพร็อกซี ควรตรวจสอบกระบวนการเชื่อมต่อออกจากเครือข่าย (outbound traffic) เพื่อค้นหา IP หรือโดเมนที่ไม่คุ้นเคย และทำการกักกันหรือกำจัดมัลแวร์โดยใช้เครื่องมือด้านการตอบสนองเหตุการณ์ (IR) ที่ทันสมัย
Analysis
การใช้ไฟล์ติดตั้ง 7‑Zip ปลอมเป็นวิธีการโจมตีที่อาศัยความเชื่อถือของซอฟต์แวร์ที่ได้รับความนิยม ซึ่งทำให้กลุ่มผู้ร้ายสามารถดึงดูดเหยื่อได้โดยไม่ต้องพึ่งพาการหลอกลวงแบบฟิชชิงระดับสูง การกระจายโดเมนกว่า 230 แห่งยังสะท้อนถึงการลงทุนในทรัพยากรด้านโครงสร้างพื้นฐานของกลุ่มที่ค่อนข้างมาก
จากมุมมองของอุตสาหกรรมความปลอดภัย การตรวจจับและป้องกันมัลแวร์รูปแบบนี้ต้องพึ่งพาการร่วมมือระหว่างผู้ให้บริการ DNS, บริษัทแอนตี้ไวรัส และผู้ใช้เอง การบังคับใช้มาตรฐานการลงนามดิจิทัล (code signing) อย่างเข้มงวดบนแพลตฟอร์มแจกจ่ายซอฟต์แวร์อาจเป็นแนวทางหนึ่งที่ช่วยลดความเสี่ยงต่อการดาวน์โหลดไฟล์ปลอม
สุดท้าย การที่โหนดพร็อกซีเหล่านี้ถูกใช้เพื่อสนับสนุนบริการมิจฉาชีพแบบเรสิดเชียน แสดงให้เห็นถึงการบูรณาการระหว่างอาชญากรรมไซเบอร์และตลาดเครือข่ายแฝง (underground market) ซึ่งจะทำให้การจัดการกับภัยคุกคามประเภทนี้ต้องใช้แนวทางหลายด้านร่วมกัน
Summary
กลุ่ม Lurking Lizard ใช้ตัวติดตั้งปลอมของ 7‑Zip เพื่อเปลี่ยนอุปกรณ์ผู้ใช้งานเป็นโหนดพร็อกซีเรสิดเชียนโดยอาศัยเครือข่ายโดเมนลักษณะคล้ายกว่า 230 แห่ง ตั้งแต่เดือนสิงหาคม 2022 การระบุตัวและป้องกันภัยคุกคามนี้ต้องอาศัยการตรวจสอบแหล่งที่มาของซอฟต์แวร์อย่างเข้มงวดและการใช้บริการกรอง DNS ที่ทันสมัย.
แชร์บทความนี้:
ชอบบทความแบบนี้?
สมัคร AI Automate Weekly Newsletter — รับเคล็ดลับ AI + how-to ใหม่
ทุกสัปดาห์ตรงถึง inbox ฟรี ไม่มีสแปม
แหล่งข่าวต้นฉบับ
- ชื่อต้นฉบับ
- Fake 7-Zip Installers Turn Devices Into Residential Proxy Nodes
- ผู้เขียน
- [email protected] (The Hacker News)
- แหล่ง
- The Hacker News
- วันที่เผยแพร่
- 9 กรกฎาคม 2569 เวลา 11:01



