ติดตั้งปลอม 7‑Zip ทำอุปกรณ์เป็นโหนดพร็อกซี่เรสิดเชียน

ที่มาภาพ: The Hacker News

Security-อ่าน 9 นาทีThe Hacker News

ติดตั้งปลอม 7‑Zip ทำอุปกรณ์เป็นโหนดพร็อกซี่เรสิดเชียน

⚡ สรุป 30 วิ

กลุ่ม Lurking Lizard ใช้ตัวติดตั้งปลอมของ 7‑Zip เพื่อสร้างโหนดพร็อกซี่เรสิดเชียนจากคอมพิวเตอร์ผู้ใช้ ส่งทราฟฟิกโดยไม่เปิดเผยตัวตน…

การวิจัยด้านความปลอดภัยไซเบอร์เมื่อเร็ว ๆ นี้เปิดเผยรายละเอียดของกลุ่มอาชญากรดิจิทัลที่เรียกว่า Lurking Lizard ซึ่งได้สร้างธุรกิจพร็อกซี่เรสิดเชียน (residential proxy) แบบครบวงจรโดยใช้ตัวติดตั้งปลอมของ 7‑Zip ทำให้เครื่องคอมพิวเตอร์ของผู้ใช้กลายเป็นโหนดพร็อกซีที่ให้บริการการส่งข้อมูลแบบไม่ระบุตัวตน การเปิดเผยนี้สำคัญเพราะแสดงถึงรูปแบบใหม่ของการจัดหาเครือข่ายบอทเพื่อทำกิจกรรมอันตรายบนอินเทอร์เน็ต

Overview

กลุ่ม Lurking Lizard เริ่มดำเนินการตั้งแต่เดือนสิงหาคม 2022 ตามข้อมูลจากบริษัท Infoblox ผู้ให้บริการข้อมูลภัยคุกคามด้าน DNS แม้ว่าจะยังไม่มีการระบุจำนวนอุปกรณ์ที่ถูกจับทำเป็นโหนดพร็อกซีอย่างชัดเจน แต่การใช้โดเมนลักษณะคล้ายกันกว่า 230 แห่งบ่งบอกถึงระดับความซับซ้อนของโครงสร้างพื้นฐานที่จัดตั้งขึ้นเพื่อหลบเลี่ยงการตรวจจับ

โดยวิธีการหลักคือการปลอมแปลงไฟล์ติดตั้ง 7‑Zip ซึ่งเป็นโปรแกรมอัดและแตกไฟล์ที่ได้รับความนิยมอย่างกว้างขวาง ผู้โจมตีมักจะกระจายลิงก์ดาวน์โหลดผ่านเว็บไซต์สแปมหรือโซเชียลมีเดีย ทำให้ผู้ใช้หลายพันคนอาจดาวน์โหลดไฟล์ที่ดูเหมือนปลอดภัยแต่จริง ๆ แล้วเป็นมัลแวร์ชนิดหนึ่ง

เมื่อไฟล์ถูกติดตั้งบนเครื่อง ผู้โจมตีจะทำการเปลี่ยนแปลงการตั้งค่าเครือข่ายและติดตั้งซอฟต์แวร์ควบคุมระยะไกล (C2) เพื่อให้โหนดนั้นสามารถรับคำสั่งส่งต่อทราฟฟิกอินเทอร์เน็ตผ่าน IP ของผู้ใช้จริง ซึ่งเป็นลักษณะของพร็อกซีเรสิดเชียนที่มักถูกนำไปใช้ในกิจกรรมหลบเลี่ยงการตรวจจับหรือทำโจมตีแบบ DDoS

Threat Actor Profile

กลุ่ม Lurking Lizard ยังไม่มีข้อมูลเปิดเผยเกี่ยวกับโครงสร้างองค์กรหรือภูมิหลังของผู้ก่อตั้ง แต่การดำเนินงานที่ต่อเนื่องตั้งแต่ปี 2022 แสดงให้เห็นถึงความเชี่ยวชาญด้านการจัดการโดเมนและการหลบหนีจากระบบป้องกัน DNS ของหลายประเทศ

ตามรายงานของ Infoblox โดเมนลักษณะคล้าย (lookalike domains) ที่ใช้ในการกระจายตัวติดตั้งปลอมถูกออกแบบให้มีชื่อที่คล้ายกับเว็บไซต์หรือบริการที่เกี่ยวข้องกับการดาวน์โหลดซอฟต์แวร์บีบอัดไฟล์ เช่น “7zip‑download.com” หรือ “get7‑zipp.org” ทำให้ผู้ใช้ยากต่อการแยกความแตกต่างระหว่างลิงก์ปลอดภัยและอันตราย

กลุ่มนี้ยังได้ตั้งค่าเซิร์ฟเวอร์ C2 ในหลายภูมิภาคเพื่อกระจายโหลดของทราฟฟิกที่มาจากโหนดพร็อกซี ทำให้การติดตามแหล่งกำเนิดของการโจมตีหรือการสืบค้นข้อมูลยากขึ้น นอกจากนี้ยังมีหลักฐานว่าพวกเขาใช้ระบบชำระเงินผ่านคริปโตเคอร์เรนซี่เพื่อรับค่าบริการจากลูกค้าที่ต้องการใช้พร็อกซีเหล่านี้

Attack Vector & Infrastructure

กระบวนการโจมตีประกอบด้วยหลายขั้นตอนสำคัญที่สังเกตได้จากข้อมูล DNS และไฟล์มัลแวร์ที่ถูกดักจับ

  • ดาวน์โหลดไฟล์ปลอม: ผู้ใช้คลิกลิงก์จากอีเมลหรือเว็บไซต์ที่น่าสงสัย ซึ่งนำไปสู่การดาวน์โหลดตัวติดตั้ง 7‑Zip ปลอม
  • การติดตั้งและทำงานเบื้องหลัง: ไฟล์ติดตั้งจะสร้างกระบวนการหลายตัวบนระบบเพื่อหลีกเลี่ยงการตรวจจับของโปรแกรมป้องกันไวรัส
  • เชื่อมต่อกับ C2: มัลแวร์ติดต่อเซิร์ฟเวอร์ควบคุมระยะไกลที่อยู่ในโดเมนลักษณะคล้ายดังกล่าว เพื่อลากข้อมูลโหนดและรับคำสั่งการทำงานต่อไป

โครงสร้างพื้นฐานของ Lurking Lizard ประกอบด้วยเครือข่าย CDN (Content Delivery Network) และบริการ DNS ที่หลากหลายเพื่อกระจายโดเมนและ IP ให้ทั่วโลก การใช้เทคนิค “fast-flux” ทำให้ระยะเวลาที่โดเมนหรือ IP อยู่ในระบบบล็อกสั้นลง ส่งผลให้การปิดกั้นโดยผู้ดูแลเครือข่ายทำได้ยากกว่า

Impact on Victims

ผู้ใช้งานที่ติดตั้งไฟล์ปลอมจะพบว่าอุปกรณ์ของตนถูกใช้เป็นโหนดพร็อกซีโดยไม่มีความรู้ ซึ่งมีผลกระทบหลายด้าน

จากมุมมองของบุคคลทั่วไป การทำงานของโหนดเหล่านี้อาจทำให้แบนด์วิดท์ของบ้านเพิ่มขึ้นอย่างไม่คาดคิด หรือทำให้ค่าใช้จ่ายอินเทอร์เน็ตสูงขึ้น เนื่องจากทราฟฟิกที่ไม่ได้เป็นของผู้ใช้จริงถูกส่งผ่านระบบเครือข่ายภายในบ้าน

ในระดับองค์กร การใช้ IP ของโหนดเรสิดเชียนเพื่อดำเนินการโจมตีหรือสแปมอาจทำให้ระบบของบริษัทถูกบล็อกโดยบริการความปลอดภัย หรือเสียชื่อเสียงเมื่อต้องรับผิดชอบต่อการกระจายมัลแวร์ที่เกิดจาก IP ของพนักงาน

นอกจากนี้ การมีโหนดพร็อกซีจำนวนมากในเครือข่ายทั่วโลกยังช่วยสนับสนุนตลาดมิจฉาชีพด้านสื่อออนไลน์ เช่น การสร้างคลิกปลอม หรือการทำ SEO ปลอม ซึ่งเป็นปัญหาที่ส่งผลต่อเศรษฐกิจดิจิทัลโดยรวม

Mitigation & Recommendations

ผู้ใช้ควรตรวจสอบแหล่งที่มาของไฟล์ติดตั้ง 7‑Zip อย่างเคร่งครัด โดยดาวน์โหลดเฉพาะจากเว็บไซต์ทางการของโครงการ (เช่น 7‑zip.org) และเปิดใช้งานการสแกนแบบเรียลไทม์บนอุปกรณ์

องค์กรควรเสริมความปลอดภัยด้าน DNS ด้วยการใช้บริการกรองโดเมนที่สามารถตรวจจับและบล็อก lookalike domains ที่มีลักษณะคล้ายกับชื่อแบรนด์หรือซอฟต์แวร์ยอดนิยม นอกจากนี้ การทำ Threat Intelligence Feed จากผู้ให้บริการเช่น Infoblox จะช่วยให้ทีมความปลอดภัยติดตามการเปลี่ยนแปลงของโครงสร้างพื้นฐานของกลุ่ม Lurking Lizard ได้เร็วขึ้น

หากสงสัยว่าระบบอาจถูกนำไปเป็นโหนดพร็อกซี ควรตรวจสอบกระบวนการเชื่อมต่อออกจากเครือข่าย (outbound traffic) เพื่อค้นหา IP หรือโดเมนที่ไม่คุ้นเคย และทำการกักกันหรือกำจัดมัลแวร์โดยใช้เครื่องมือด้านการตอบสนองเหตุการณ์ (IR) ที่ทันสมัย

Analysis

การใช้ไฟล์ติดตั้ง 7‑Zip ปลอมเป็นวิธีการโจมตีที่อาศัยความเชื่อถือของซอฟต์แวร์ที่ได้รับความนิยม ซึ่งทำให้กลุ่มผู้ร้ายสามารถดึงดูดเหยื่อได้โดยไม่ต้องพึ่งพาการหลอกลวงแบบฟิชชิงระดับสูง การกระจายโดเมนกว่า 230 แห่งยังสะท้อนถึงการลงทุนในทรัพยากรด้านโครงสร้างพื้นฐานของกลุ่มที่ค่อนข้างมาก

จากมุมมองของอุตสาหกรรมความปลอดภัย การตรวจจับและป้องกันมัลแวร์รูปแบบนี้ต้องพึ่งพาการร่วมมือระหว่างผู้ให้บริการ DNS, บริษัทแอนตี้ไวรัส และผู้ใช้เอง การบังคับใช้มาตรฐานการลงนามดิจิทัล (code signing) อย่างเข้มงวดบนแพลตฟอร์มแจกจ่ายซอฟต์แวร์อาจเป็นแนวทางหนึ่งที่ช่วยลดความเสี่ยงต่อการดาวน์โหลดไฟล์ปลอม

สุดท้าย การที่โหนดพร็อกซีเหล่านี้ถูกใช้เพื่อสนับสนุนบริการมิจฉาชีพแบบเรสิดเชียน แสดงให้เห็นถึงการบูรณาการระหว่างอาชญากรรมไซเบอร์และตลาดเครือข่ายแฝง (underground market) ซึ่งจะทำให้การจัดการกับภัยคุกคามประเภทนี้ต้องใช้แนวทางหลายด้านร่วมกัน

Summary

กลุ่ม Lurking Lizard ใช้ตัวติดตั้งปลอมของ 7‑Zip เพื่อเปลี่ยนอุปกรณ์ผู้ใช้งานเป็นโหนดพร็อกซีเรสิดเชียนโดยอาศัยเครือข่ายโดเมนลักษณะคล้ายกว่า 230 แห่ง ตั้งแต่เดือนสิงหาคม 2022 การระบุตัวและป้องกันภัยคุกคามนี้ต้องอาศัยการตรวจสอบแหล่งที่มาของซอฟต์แวร์อย่างเข้มงวดและการใช้บริการกรอง DNS ที่ทันสมัย.

แชร์บทความนี้:

ชอบบทความแบบนี้?

สมัคร AI Automate Weekly Newsletter — รับเคล็ดลับ AI + how-to ใหม่
ทุกสัปดาห์ตรงถึง inbox ฟรี ไม่มีสแปม

แหล่งข่าวต้นฉบับ

ชื่อต้นฉบับ
Fake 7-Zip Installers Turn Devices Into Residential Proxy Nodes
ผู้เขียน
[email protected] (The Hacker News)
แหล่ง
The Hacker News
วันที่เผยแพร่
9 กรกฎาคม 2569 เวลา 11:01

Related

บทความที่เกี่ยวข้อง

สเปนจับผู้ต้องสงสัยแฮกติวิสต์สนับสนุนรัสเซียหลั่งข้อมูล FBISecurity
9 กรกฎาคม 2569 เวลา 14:31

สเปนจับผู้ต้องสงสัยแฮกติวิสต์สนับสนุนรัสเซียหลั่งข้อมูล FBI

สเปนจับผู้ต้องสงสัยในเมือง Palencia เชื่อมโยงกับกลุ่มแฮกติวิสต์รัสเซียหลายองค์กร ได้รับข้อมูลจาก FBI…

The Register7 นาที
EY ไล่ออกพนักงานสองคนหลังพบว่าถูกเข้าถึงบัญชีธนาคารนายกรัฐมนตรีออสเตรเลียโดยไม่ได้รับอนุญาตSecurity
8 กรกฎาคม 2569 เวลา 05:30

EY ไล่ออกพนักงานสองคนหลังพบว่าถูกเข้าถึงบัญชีธนาคารนายกรัฐมนตรีออสเตรเลียโดยไม่ได้รับอนุญาต

บริษัทตรวจสอบระดับโลก EY ออสเตรเลียได้ไล่พนักงานสองคนหลังพบว่าพวกเขาเข้าถึงข้อมูลบัญชีธนาคารของนายกรัฐมนตรี Anthony Albanese โดยไม่ได้รับอนุญาต…

The Register7 นาที
เปลี่ยนจาก Pi‑hole ไปใช้ AdGuard Home พร้อม Unbound บน OPNsense ทำให้เครือข่ายสะอาดขึ้น.Security
6 กรกฎาคม 2569 เวลา 17:30

เปลี่ยนจาก Pi‑hole ไปใช้ AdGuard Home พร้อม Unbound บน OPNsense ทำให้เครือข่ายสะอาดขึ้น.

ผู้เขียนย้ายจาก Pi‑hole ไปใช้ AdGuard Home ร่วมกับ Unbound บนเราเตอร์ OPNsense เพื่อรวมฟีเจอร์กรองโฆษณาและไฟร์วอลล์ในเครื่องเดียว…

XDA Developers7 นาที
การวิจัยเปิดเผยวิธีจัดส่งมัลแวร์ผ่าน API ของ ClickFix ที่หลบการตรวจจับSecurity
3 กรกฎาคม 2569 เวลา 12:30

การวิจัยเปิดเผยวิธีจัดส่งมัลแวร์ผ่าน API ของ ClickFix ที่หลบการตรวจจับ

การวิจัยวิเคราะห์ payload ของ ClickFix พบว่าอาชญากรไซเบอร์ใช้เซิร์ฟเวอร์ API ส่งไฟล์อันตรายแบบอับฟุสเคชั่น ทำให้หลบการตรวจจับของ Windows และระบบ EPP แบบเดิม

The Hacker News6 นาที
คัดลอกลิงก์แล้ว!