มันมาแล้ว !! เตือนภัย SambaCry เจาะช่องโหว่ Linux ผ่าน Samba

หลังจากที่ทีมงาน Samba ออกแพทช์อุดช่องโหว่อายุนานกว่า 7 ปี ซึ่งช่วยให้แฮ็คเกอร์สามารถเข้าควบคุมระบบปฏิบัติการ Linux จากระยะไกลได้เมื่อประมาณ 2 สัปดาห์ก่อน ล่าสุดพบว่ามีกลุ่มแฮ็คเกอร์เริ่มโจมตีอุปกรณ์ Linux ผ่านช่องโหว่ดังกล่าวเพื่อสั่งให้ขุดเหมืองเงินดิจิทัลสร้างรายได้ให้กับตนเองแล้ว

นักวิจัยหลายฝ่ายเริ่มเรียกช่องโหว่นี้ว่า SambaCry หรือ EternalRed เนื่องจากแฮ็คเกอร์เจาะระบบปฏิบัติการ Linux ผ่านช่องโหว่โปรโตคอล SMB และมีลักษณะคล้ายคลึงกับการแพร่ระบาดของ WannaCry ที่เกิดขึ้นเมื่อช่วงกลางเดือนพฤษภาคมที่ผ่านมา ซึ่งการโจมตีนี้ช่วยให้แฮ็คเกอร์สามารถเปิด “Pipe” บน Samba Server อัปโหลดมัลแวร์และสั่งรันเพื่อเข้าควบคุม Server ได้

แฮ็คเกอร์เริ่มโจมตีผ่านช่องโหว่ SambaCry เมื่อประมาณวันที่ 30 พฤษภาคมที่ผ่านมา โดยทำการสแกนเครือข่ายอินเทอร์เน็ตเพื่อค้นหา Samba File Sharing Server ที่ยังไม่ได้อัปเดตแพทช์ปิดช่องโหว่ จากนั้นจะทำการทดสอบว่าสามารถอัปโหลดโค้ดและสั่งรันได้หรือไม่ผ่านการทดลองโหลดไฟล์จำนวน 8 ไฟล์เข้าสู่ Server นั้นๆ ถ้าสามารถรันโค้ดได้สำเร็จ แฮ็คเกอร์จะทำการอัปโหลดมัลแวร์เข้าไป 2 ไฟล์ ซึ่งไฟล์แรกทำหน้าที่เป็น Remote Shell ที่ให้สิทธิ์การเข้าถึงแบบ Root แก่แฮ็คเกอร์ และอีกไฟล์หนึ่งเป็นเวอร์ชันดัดแปลงของเครื่องมือสำหรับใช้ขุดเหมืองเงินดิจิทัลชื่อดังที่ชื่อว่า Cpuminer

การใช้ Remote Shell เพื่อติดตั้ง Cpuminer เวอร์ชันดัดแปลงนี้ ถูกเรียกว่าเป็นการโจมตีแบบ EternalMiner

ผู้เชี่ยวชาญจาก Kaspersky Lab ได้ทำการติดตามการโจมตีแบบ EternalMiner ตั้งแต่ช่วงแรก พบว่าแฮ็คเกอร์ที่อยู่เบื้องหลังการโจมตีนี้ขุดเหมืองเงินดิจิทัล Monero ผ่านทาง Samba Server ที่ตัวเองเข้าควบคุม และทำรายได้ไปแล้วมากถึง 98 Monero หรือประมาณ 180,000 บาท ดังนั้นแล้ว เพื่อไม่ให้ Samba Server ของตนตกเป็นเหยื่อของแฮ็คเกอร์ แนะนำให้ผู้ดูแลระบบอัปเดตแพทช์เพื่ออุดช่องโหว่ CVE-2017-7494 โดยด่วน

ที่มา: https://www.bleepingcomputer.com/news/security/linux-servers-hijacked-to-mine-cryptocurrency-via-sambacry-vulnerability/

About techtalkthai

ทีมงาน TechTalkThai เป็นกลุ่มบุคคลที่ทำงานในสาย Enterprise IT ที่มีความเชี่ยวชาญทางด้าน Network, Security, Server, Storage, Operating System และ Virtualization มารวมตัวกันเพื่ออัพเดตข่าวสารทางด้าน Enterprise IT ให้แก่ชาว IT ในไทยโดยเฉพาะ

Check Also

Fortinet เตือนให้ผู้ใช้เฝ้าระวังช่องโหว่ Zero-day ที่ถูกใช้โจมตีจริงแล้ว

Fortinet ได้ออกมาเตือนถึงช่องโหว่ Zero-day ที่มีการใช้งานโจมตีจริง ซึ่งพบว่าคนร้ายมีการใช้ช่องโหว่เพื่อเข้าไปสร้างแอคเค้าน์ใหม่สำหรับการใช้ SSL VPN รวมถึงมีการเปลี่ยนแปลงค่าคอนฟิคต่างๆ โดยแนะนำให้ปิดการเข้าถึงหน้าบริหารจัดการผ่าน HTTP/HTTPS ลงก่อน

Cohesity ผนึกกำลังพันธมิตรเสริมแกร่งความสามารถตอบสนองภัยคุกคาม

Cohesity Cyber Event Response Team (CERT) เพิ่มความร่วมมือกับ Third Party หลายราย เพื่อยกระดับประสิทธิภาพในการตอบสนองภัยคุกคามทางไซเบอร์ เช่น ข้อมูลรั่วไหล แรนซัมแวร์ เป็นต้น