เตือนมัลแวร์ Nansh0u แพร่ระบาด MsSQL และ PhpMyAdmin Servers ไปแล้วกว่า 50,000 เครื่อง

นักวิจัยด้านความมั่นคงปลอดภัยไซเบอร์จาก Guardicore Labs ออกมาแจ้งเตือนถึงแคมเปญ Cryptojacking บน MsSQL และ PhpMyAdmin Servers ที่กำลังแพร่ระบาดอยู่ในขณะนี้ ซึ่งมีผู้ตกเป็นเหยื่อแล้วกว่า 50,000 ราย เรียกแคมเปญการโจมตีนี้ว่า Nansh0u

Guardicore Labs ระบุว่า แคมเปญการโจมตีดังกล่าวมีต้นตอมาจากกลุ่มแฮ็กเกอร์ APT ชาวจีน เริ่มต้นการโจมตีเมื่อวันที่ 26 กุมภาพันธ์ที่ผ่านมา ซึ่งแฮ็กเกอร์ได้ลอบส่ง Payload ที่แตกต่างกันกว่า 20 รูปแบบผ่านทาง Hosting Provider หลายราย โดยพุ่งเป้าไปยัง MsSQL และ PhpMyAdmin Servers ที่สามารถเข้าถึงได้จากอินเทอร์เน็ต ก่อนจะใช้เทคนิค Brute Force เพื่อทำการเจาะทะลุระบบพิสูจน์ตัวตน เมื่อเข้าถึงระบบภายในได้แล้ว แฮ็กเกอร์จะรันคำสั่ง MsSQL เพื่อดาวน์โหลด Payload จาก Remote File Server ของตนเข้ามาติดตั้งและรันโดยใช้สิทธิระดับ SYSTEM

จากการตรวจสอบพบว่า Payload ที่ถูกดาวน์โหลดมาติดตั้งนั้นจะใช้ประโยชน์จากช่องโหว่ Privilege Escalation (CVE-2014-4113) เพื่อยกระดับสิทธิ์ของตนเป็น SYSTEM จากนั้นทำการติดตั้งมัลแวร์ Cryptocurrency Mining เพื่อลอบขุดเหรียญ TurtleCoin รวมไปถึงทำการติดตั้ง Kernel-mode Rootkit เพื่อป้องกันไม่ให้ Process ของตัวมันเองถูกกำจัดทิ้ง

Credit: Guardicore.com

Nansh0u ถูกตรวจพบครั้งแรกเมื่อต้นเดือนเมษายน จนถึงตอนนี้มี MsSQL และ PhpMyAdmin Servers ตกเป็นเหยื่อรวมแล้วมากกว่า 50,000 เครื่อง ผู้ดูแลระบบสามารถตรวจสอบว่า Server ของตนติดมัลแวร์ชนิดนี้หรือไม่โดยใช้ PowerShell Script นี้ [ดาวน์โหลด]

รายละเอียดเชิงเทคนิค: https://www.guardicore.com/2019/05/nansh0u-campaign-hackers-arsenal-grows-stronger/
ที่มา: https://thehackernews.com/2019/05/hacking-mysql-phpmyadmin.html


About techtalkthai

ทีมงาน TechTalkThai เป็นกลุ่มบุคคลที่ทำงานในสาย Enterprise IT ที่มีความเชี่ยวชาญทางด้าน Network, Security, Server, Storage, Operating System และ Virtualization มารวมตัวกันเพื่ออัพเดตข่าวสารทางด้าน Enterprise IT ให้แก่ชาว IT ในไทยโดยเฉพาะ

Check Also

นักวิจัยเผยการโจมตีใหม่ส่งผลกระทบกับ Intel CPU ‘Plundervolt Attack’

กลุ่มนักวิจัยจาก 3 มหาวิทยาลัยในยุโรปได้ร่วมกันศึกษาและเผยแพร่วิธีการโจมตีใหม่ที่ส่งผลกระทบกับ Integrity ของ Intel SGX ที่ชื่อว่า ‘Plundervolt’

Microsoft แพตช์อุดช่องโหว่เดือนธันวาคม

สำหรับแพตช์เดือนสุดท้ายของปีจาก Microsoft ประกอบด้วยการแก้ไขช่องโหว่จำนวนกว่า 36 รายการ โดย 7 รายการเป็นช่องโหว่ร้ายแรงและอีก 28 รายการมีความรุนแรงระดับปานกลาง