ทำไม OPSEC Failures ถึงทำให้ Coquettte's Malware Campaigns หลุดออกมา?

ทำไม OPSEC Failures ถึงทำให้ Coquettte’s Malware Campaigns หลุดออกมา?

April 7, 2025

ในโลกไซเบอร์ที่เต็มไปด้วยภัยคุกคามและแฮ็กเกอร์ที่ทำงานอย่างมีประสิทธิภาพ การรักษาความปลอดภัยของข้อมูลและโครงสร้างพื้นฐานของเว็บไซต์เป็นสิ่งที่ทุกองค์กรต้องให้ความสำคัญอย่างยิ่ง และเมื่อมีการละเมิดข้อกำหนดการรักษาความปลอดภัย (OPSEC) ของแฮ็กเกอร์ มันอาจนำไปสู่การเปิดเผยกิจกรรมอาชญากรรมไซเบอร์ที่กำลังดำเนินอยู่ได้อย่างง่ายดาย

หนึ่งในกรณีที่น่าสนใจล่าสุดเกิดขึ้นจากการที่แฮ็กเกอร์ที่ใช้ชื่อว่า “Coquettte” ได้เปิดเผยการดำเนินการของเขาผ่านการผิดพลาดในการรักษาความปลอดภัย โดยเฉพาะเมื่อใช้บริการของผู้ให้บริการโฮสติ้งแบบ Bulletproof (BPH) ที่มีชื่อว่า Proton66 ซึ่งได้กลายเป็นสถานที่สำคัญสำหรับการกระจายมัลแวร์และการทำกิจกรรมผิดกฎหมายต่าง ๆ

ความผิดพลาดของ OPSEC และการเปิดเผยข้อมูล

การละเมิด OPSEC ครั้งนี้เริ่มต้นเมื่อบริษัทด้านการวิเคราะห์ภัยคุกคามอย่าง DomainTools พบว่าเว็บไซต์ปลอมชื่อว่า cybersecureprotect.com ซึ่งหลอกลวงผู้ใช้ให้เชื่อว่าเป็นบริการโปรแกรมป้องกันไวรัส ถูกโฮสต์อยู่บน Proton66 โดยเว็บไซต์นี้ไม่เพียงแต่หลอกลวงผู้ใช้งานให้ดาวน์โหลดซอฟต์แวร์ที่เป็นอันตราย แต่ยังเปิดเผยโครงสร้างของเซิร์ฟเวอร์ที่ใช้ในการดำเนินกิจกรรมผิดกฎหมาย

ในภายหลัง การวิเคราะห์พบว่าเซิร์ฟเวอร์นี้ถูกใช้โดยแฮ็กเกอร์ชื่อ “Coquettte” ซึ่งใช้โฮสติ้งจาก Proton66 ในการกระจายมัลแวร์ที่ถูกซ่อนไว้ในไฟล์ ZIP ชื่อ CyberSecure Pro.zip ที่ผู้ใช้ถูกหลอกให้ดาวน์โหลดจากเว็บไซต์ดังกล่าว หลังจากติดตั้งไฟล์นี้ไปแล้ว มัลแวร์จะทำการดาวน์โหลดซอฟต์แวร์ที่อันตรายมากขึ้นจากเซิร์ฟเวอร์ที่ควบคุมโดยแฮ็กเกอร์นี้ ซึ่งต่อมาจะทำการโหลด Rugmi loader ที่ใช้ในการติดตั้งมัลแวร์ประเภท Lumma, Vidar, และ Raccoon ซึ่งเป็นเครื่องมือที่ใช้ขโมยข้อมูลส่วนบุคคล

ความเป็นมือใหม่ของ Coquettte

สิ่งที่น่าสนใจคือการค้นพบว่า Coquettte ไม่ใช่แฮ็กเกอร์ที่มีประสบการณ์มากนัก เขาถูกระบุว่าเป็น “นักพัฒนาซอฟต์แวร์วัย 19 ปี” และตามข้อมูลที่พบในเว็บไซต์ส่วนตัวของเขา เขากำลังศึกษาด้านการพัฒนาซอฟต์แวร์อยู่ สิ่งนี้ทำให้เราทราบว่าเขาอาจเป็นนักเรียนที่มีความรู้ในด้านเทคโนโลยี แต่ยังขาดประสบการณ์ในการดำเนินการทางไซเบอร์อย่างมืออาชีพ

การพลาดท่าของเขาในการเปิดเผยข้อมูลบางอย่าง เช่น การลงทะเบียนโดเมน cia[.]tf โดยใช้อีเมลที่เชื่อมโยงกับ Coquettte แสดงให้เห็นถึงความผิดพลาดที่เกิดจากการขาดประสบการณ์ในการรักษาความปลอดภัยในการดำเนินการของเขา

การเชื่อมโยงกับกลุ่มแฮ็กเกอร์

จากการวิเคราะห์ต่อไปพบว่า Coquettte อาจเกี่ยวข้องกับกลุ่มแฮ็กเกอร์ที่ชื่อว่า “Horrid” โดยมีการใช้โครงสร้างพื้นฐานเดียวกันกับเว็บไซต์และกิจกรรมที่เกี่ยวข้องกับอาชญากรรมไซเบอร์และการขายข้อมูลที่ผิดกฎหมาย การดำเนินการของ Coquettte อาจเป็นส่วนหนึ่งของความพยายามในการสร้างกลุ่มแฮ็กเกอร์หน้าใหม่หรือการสนับสนุนกิจกรรมไซเบอร์ที่ผิดกฎหมายในวงกว้าง

มัลแวร์ที่เกี่ยวข้องกับ Proton66

โปรแกรมมัลแวร์ที่ถูกแพร่กระจายผ่านบริการ BPH ของ Proton66 ไม่ได้จำกัดเพียงแค่ Coquettte แต่ยังพบว่า Proton66 ได้ถูกใช้ในการแพร่กระจายมัลแวร์ต่าง ๆ เช่น GootLoader, Matanbuchus, SpyNote, และ SocGholish ซึ่งเป็นเครื่องมือที่ใช้ในการขโมยข้อมูลผู้ใช้หรือฝังโค้ดที่เป็นอันตรายบนเว็บไซต์ต่าง ๆ เพื่อหลอกลวงผู้ใช้ให้ป้อนข้อมูลที่ละเอียดอ่อน

การใช้บริการ BPH ช่วยให้แฮ็กเกอร์เหล่านี้สามารถหลีกเลี่ยงการตรวจจับจากเจ้าหน้าที่และบุคคลภายนอกได้ เนื่องจากลักษณะของการให้บริการที่มีความเป็นส่วนตัวสูงและยากต่อการปิดกั้นจากหน่วยงานที่เกี่ยวข้อง

คำแนะนำและการป้องกัน

การละเมิดที่เกิดขึ้นในกรณีนี้ทำให้เห็นถึงความสำคัญของการรักษาความปลอดภัยในการดำเนินกิจกรรมออนไลน์ การระมัดระวังในการดาวน์โหลดไฟล์จากแหล่งที่ไม่น่าเชื่อถือ การหลีกเลี่ยงเว็บไซต์ปลอมที่หลอกลวงให้ติดตั้งซอฟต์แวร์ที่ไม่รู้จัก และการตรวจสอบความปลอดภัยของโครงสร้างพื้นฐานที่ใช้งาน รวมไปถึงการใช้เทคนิคการเข้ารหัสและการตรวจสอบสิทธิ์ที่มีความปลอดภัยสูง

หากคุณกำลังมองหาวิธีปกป้องข้อมูลส่วนบุคคลและธุรกิจจากภัยคุกคามออนไลน์ อย่าลืมแชร์บทความนี้เพื่อให้ข้อมูลถึงเพื่อน ๆ หรือเพื่อนร่วมงานที่อาจได้รับผลกระทบจากภัยคุกคามเหล่านี้ และหากคุณต้องการเรียนรู้เพิ่มเติมเกี่ยวกับการป้องกันภัยคุกคามไซเบอร์ หรืออยากได้คำแนะนำเกี่ยวกับการรักษาความปลอดภัยออนไลน์ อย่าลืมสมัครรับข่าวสารและบทความจากเรา!

แสดงความคิดเห็น หรือ แชร์ บทความนี้เพื่อสร้างความตระหนักรู้ในเรื่องของความปลอดภัยทางไซเบอร์ให้กับชุมชนออนไลน์!

Post Views: 59