TechTalkThai ศูนย์รวมข่าว Enterprise IT ออนไลน์แห่งแรกในประเทศไทย
หลังจากช่องโหว่ Zero-day บน Apache Struts ถูกเผยแพร่ออกสู่สาธารณะเมื่อเดือนที่ผ่านมา F5 ผู้ให้บริการโซลูชัน Application Delivery และ Cybersecurity ออกมาเปิดเผยว่า พบแฮ็คเกอร์มากกว่า 10 กลุ่มที่อาศัยช่องโหว่ดังกล่าวในการติดตั้ง Backdoor, DDoS Botnets, Cryptocurrency Miners และ Ransomware ทำเงินไปได้มากกว่า $100,000 หรือประมาณ 3,500,000 บาท
ช่องโหว่ Zero-day นี้ค้นพบเมื่อกลางเดือนมีนาคมที่ผ่านมา มีรหัส CVE-2017-5638 ซึ่งช่วยให้แฮ็คเกอร์สามารถลอบส่งคำสั่งมารันบนเครื่องเซิร์ฟเวอร์ Apache ได้ผ่านทาง Content ที่อัปโหลดเข้าไปยัง Jakarta Multipart Parser ซึ่งถูกใช้งานบน Apache Struts
F5 ระบุว่า การโจมตีเริ่มขึ้นหลังจากที่ Talos ทีมวิจัยด้าน Threat Intelligence ของ Cisco ออกมาเปิดเผยถึงช่องโหว่ดังกล่าว และเผยแพร่โค้ดสำหรับ PoC ออกมา ซึ่งการโจมตีค่อยๆ ทวีความรุนแรงยิ่งขึ้นเรื่อยๆ ช่วงแรกนั้นแฮ็คเกอร์พุ่งเป้าที่ Linux Server โดยติดตั้งมัลแวร์ PowerBot ซึ่งเป็น IRC-controlled DDoS Botnet หรือที่รู้จักกันดีในนาม PerlBot หรือ Shellbot หลังจากนั้นแฮ็คเกอร์บางกลุ่มได้เปลี่ยนไปติดตั้ง Cryptocurrency Miner ชื่อว่า Mined สำหรับขุด Monero Cryptocurrency แทน นอกจากนี้ SANS Institute ยังให้ข้อมูลเพิ่มเติมอีกว่า แฮ็คเกอร์บางกลุ่มใช้ช่องโหว่นี้ในการติดตั้ง Perl Backdoor เช่นกัน
ล่าสุด F5 และ SANS ออกมาเปิดเผยว่า แฮ็คเกอร์ได้เริ่มโจมตี Apache Struts บน Windows Server ด้วยเช่นกัน โดยแปลงโค้ดสำหรับ Exploit เล็กน้อยก็สามารถรันคำสั่งผ่าน Shell Command เพื่อเรียก BITSAdmin Utility และดาวน์โหลด Cerber Ransomware มาติดตั้งบนเครื่องของเหยื่อได้ ส่งผลให้ข้อมูลทั้งหมดบน Windows Server ถูกเข้ารหัส เหยื่อจำเป็นต้องจ่ายค่าไถ่เพื่อให้ได้ข้อมูลกลับคืนมา
“แฮ็คเกอร์ที่รันแคมเปญ [Cerber Ransomware] นี้ใช้ Bitcoin ID เดียวกันกับแคมเปญอื่นๆ ซึ่งชื่อบัญชี Bitcoin นี้ได้รับเงินไปแล้ว 84 Bitcoins (ประมาณ 3,500,000 บาท)” — F5 ระบุ
แนะนำให้ผู้ใช้ Apache Struts อัปเดตแพทช์ล่าสุดเพื่ออุดช่องโหว่โดยด่วน ดูรายละเอียดการอัปเดตแพทช์ได้ที่ https://cwiki.apache.org/confluence/display/WW/S2-045
