หลังจากที่ทีมงาน Samba ออกแพทช์อุดช่องโหว่อายุนานกว่า 7 ปี ซึ่งช่วยให้แฮ็คเกอร์สามารถเข้าควบคุมระบบปฏิบัติการ Linux จากระยะไกลได้เมื่อประมาณ 2 สัปดาห์ก่อน ล่าสุดพบว่ามีกลุ่มแฮ็คเกอร์เริ่มโจมตีอุปกรณ์ Linux ผ่านช่องโหว่ดังกล่าวเพื่อสั่งให้ขุดเหมืองเงินดิจิทัลสร้างรายได้ให้กับตนเองแล้ว
นักวิจัยหลายฝ่ายเริ่มเรียกช่องโหว่นี้ว่า SambaCry หรือ EternalRed เนื่องจากแฮ็คเกอร์เจาะระบบปฏิบัติการ Linux ผ่านช่องโหว่โปรโตคอล SMB และมีลักษณะคล้ายคลึงกับการแพร่ระบาดของ WannaCry ที่เกิดขึ้นเมื่อช่วงกลางเดือนพฤษภาคมที่ผ่านมา ซึ่งการโจมตีนี้ช่วยให้แฮ็คเกอร์สามารถเปิด “Pipe” บน Samba Server อัปโหลดมัลแวร์และสั่งรันเพื่อเข้าควบคุม Server ได้
แฮ็คเกอร์เริ่มโจมตีผ่านช่องโหว่ SambaCry เมื่อประมาณวันที่ 30 พฤษภาคมที่ผ่านมา โดยทำการสแกนเครือข่ายอินเทอร์เน็ตเพื่อค้นหา Samba File Sharing Server ที่ยังไม่ได้อัปเดตแพทช์ปิดช่องโหว่ จากนั้นจะทำการทดสอบว่าสามารถอัปโหลดโค้ดและสั่งรันได้หรือไม่ผ่านการทดลองโหลดไฟล์จำนวน 8 ไฟล์เข้าสู่ Server นั้นๆ ถ้าสามารถรันโค้ดได้สำเร็จ แฮ็คเกอร์จะทำการอัปโหลดมัลแวร์เข้าไป 2 ไฟล์ ซึ่งไฟล์แรกทำหน้าที่เป็น Remote Shell ที่ให้สิทธิ์การเข้าถึงแบบ Root แก่แฮ็คเกอร์ และอีกไฟล์หนึ่งเป็นเวอร์ชันดัดแปลงของเครื่องมือสำหรับใช้ขุดเหมืองเงินดิจิทัลชื่อดังที่ชื่อว่า Cpuminer
การใช้ Remote Shell เพื่อติดตั้ง Cpuminer เวอร์ชันดัดแปลงนี้ ถูกเรียกว่าเป็นการโจมตีแบบ EternalMiner
Cryptocurrency miner #EternalMiner using #SambaCry #CVE_2017_7494 to infect Linux servers. brand new sample @malwrhunterteam. pic.twitter.com/aXlEQKkdtq
— Omri Ben Bassat (@omri9741) June 8, 2017
ผู้เชี่ยวชาญจาก Kaspersky Lab ได้ทำการติดตามการโจมตีแบบ EternalMiner ตั้งแต่ช่วงแรก พบว่าแฮ็คเกอร์ที่อยู่เบื้องหลังการโจมตีนี้ขุดเหมืองเงินดิจิทัล Monero ผ่านทาง Samba Server ที่ตัวเองเข้าควบคุม และทำรายได้ไปแล้วมากถึง 98 Monero หรือประมาณ 180,000 บาท ดังนั้นแล้ว เพื่อไม่ให้ Samba Server ของตนตกเป็นเหยื่อของแฮ็คเกอร์ แนะนำให้ผู้ดูแลระบบอัปเดตแพทช์เพื่ออุดช่องโหว่ CVE-2017-7494 โดยด่วน