TechTalkThai ศูนย์รวมข่าว Enterprise IT ออนไลน์แห่งแรกในประเทศไทย
Proofpoint ผู้ให้บริการด้าน Next-generation Cybersecurity ชื่อดัง ออกมาแจ้งเตือนถึง Botnet แคมเปญใหญ่ชื่อว่า “Smominru” หรือรู้จักกันในนาม “Ismo” ซึ่งแพร่ระบาด PC ไปแล้วกว่า 526,000 เครื่อง โดยอาศัยช่องโหว่เครื่องมือแฮ็กของ NSA เพื่อฝังมัลแวร์สำหรับขุดเหรียญ Monero ได้เงินไปแล้วกว่า 72 ล้านบาท
Smominru เริ่มแพร่ระบาดเมื่อประมาณเดือนพฤษภาคม 2017 ที่ผ่านมา จนถึงตอนนี้พบว่ามีคอมพิวเตอร์ที่รันระบบปฏิบัติการ Windows ตกเป็นเหยื่อแล้วมากกว่า 526,000 เครื่อง จากการตรวจสอบพบว่าแฮ็กเกอร์น่าจะใช้คอมพิวเตอร์ไม่ต่ำกว่า 25 เครื่องในการสแกนอินเทอร์เน็ตเพื่อค้นหาคอมพิวเตอร์เป้าหมายที่มีช่องโหว่ EthernalBlue (CVE-2017-0144) และ ExteemAudit (CVE-2017-0176) ซึ่งทั้งสองต่างเป็นช่องโหว่ที่ใช้เครื่องมือแฮ็กของ NSA ที่รั่วไหลออกมาโจมตีได้ โดยประเทศที่ตกเป็นเหยื่อมากที่สุด คือ รัสเซีย อินเดีย และไต้หวัน
หลังจากที่แพร่กระจายตัวเข้าคอมพิวเตอร์เป้าหมายได้แล้ว Smominru จะทำการติดตั้งโปรแกรมสำหรับขุดเหมืองเงิน Monero ซึ่งจนถึงตอนนี้พบว่าสามารถทำรายได้ให้แก่แฮ็กเกอร์ไปแล้วกว่า 8,900 Monero หรือตีเป็นเงินสดมูลค่าสูงถึง 72 ล้านบาท
นอกจากนี้ Proofpoint ยังพบอีกว่า C&C Server ของ Smominru ถูกติดตั้งอยู่ภายใต้บริการ DDoS Protection ของ SharkTech ซึ่งทางบริษัทดังกล่าวได้รับแจ้งเตือนถึงเรื่องที่ถูกใช้เป็นเครื่องข่ายของแฮ็กเกอร์ แต่ปรากฏว่าทางบริษัทกลับนิ่งเฉย
จนถึงตอนนี้ยังไม่ทราบแน่ชัดว่า กลุ่มแฮ็กเกอร์ที่อยู่เบื้องหลังมัลแวร์ Smominru คือใคร บางฝ่ายเชื่อว่ามาจากประเทศจีน ในขณะที่บางฝ่ายพบว่า IP ต้นทางที่ใช้สแกนหาคอมพิวเตอร์ที่มีช่องโหว่มาจากสหรัฐอเมริกา
ที่มา: https://thehackernews.com/2018/01/cryptocurrency-mining-malware.html
