Breaking News

เตือนมัลแวร์ Nansh0u แพร่ระบาด MsSQL และ PhpMyAdmin Servers ไปแล้วกว่า 50,000 เครื่อง

นักวิจัยด้านความมั่นคงปลอดภัยไซเบอร์จาก Guardicore Labs ออกมาแจ้งเตือนถึงแคมเปญ Cryptojacking บน MsSQL และ PhpMyAdmin Servers ที่กำลังแพร่ระบาดอยู่ในขณะนี้ ซึ่งมีผู้ตกเป็นเหยื่อแล้วกว่า 50,000 ราย เรียกแคมเปญการโจมตีนี้ว่า Nansh0u

Guardicore Labs ระบุว่า แคมเปญการโจมตีดังกล่าวมีต้นตอมาจากกลุ่มแฮ็กเกอร์ APT ชาวจีน เริ่มต้นการโจมตีเมื่อวันที่ 26 กุมภาพันธ์ที่ผ่านมา ซึ่งแฮ็กเกอร์ได้ลอบส่ง Payload ที่แตกต่างกันกว่า 20 รูปแบบผ่านทาง Hosting Provider หลายราย โดยพุ่งเป้าไปยัง MsSQL และ PhpMyAdmin Servers ที่สามารถเข้าถึงได้จากอินเทอร์เน็ต ก่อนจะใช้เทคนิค Brute Force เพื่อทำการเจาะทะลุระบบพิสูจน์ตัวตน เมื่อเข้าถึงระบบภายในได้แล้ว แฮ็กเกอร์จะรันคำสั่ง MsSQL เพื่อดาวน์โหลด Payload จาก Remote File Server ของตนเข้ามาติดตั้งและรันโดยใช้สิทธิระดับ SYSTEM

จากการตรวจสอบพบว่า Payload ที่ถูกดาวน์โหลดมาติดตั้งนั้นจะใช้ประโยชน์จากช่องโหว่ Privilege Escalation (CVE-2014-4113) เพื่อยกระดับสิทธิ์ของตนเป็น SYSTEM จากนั้นทำการติดตั้งมัลแวร์ Cryptocurrency Mining เพื่อลอบขุดเหรียญ TurtleCoin รวมไปถึงทำการติดตั้ง Kernel-mode Rootkit เพื่อป้องกันไม่ให้ Process ของตัวมันเองถูกกำจัดทิ้ง

Credit: Guardicore.com

Nansh0u ถูกตรวจพบครั้งแรกเมื่อต้นเดือนเมษายน จนถึงตอนนี้มี MsSQL และ PhpMyAdmin Servers ตกเป็นเหยื่อรวมแล้วมากกว่า 50,000 เครื่อง ผู้ดูแลระบบสามารถตรวจสอบว่า Server ของตนติดมัลแวร์ชนิดนี้หรือไม่โดยใช้ PowerShell Script นี้ [ดาวน์โหลด]

รายละเอียดเชิงเทคนิค: https://www.guardicore.com/2019/05/nansh0u-campaign-hackers-arsenal-grows-stronger/
ที่มา: https://thehackernews.com/2019/05/hacking-mysql-phpmyadmin.html


About techtalkthai

ทีมงาน TechTalkThai เป็นกลุ่มบุคคลที่ทำงานในสาย Enterprise IT ที่มีความเชี่ยวชาญทางด้าน Network, Security, Server, Storage, Operating System และ Virtualization มารวมตัวกันเพื่ออัพเดตข่าวสารทางด้าน Enterprise IT ให้แก่ชาว IT ในไทยโดยเฉพาะ

Check Also

ผู้เชี่ยวชาญแจกโปรแกรมถอดรหัส Nemty Ransomware

ผู้เชี่ยวชาญจาก Tesorion ได้อาสาทำเครื่องมือถอดรหัส Ramsomware ที่ชื่อ Nemty ออกมาปล่อยให้ฟรีครับ

พบคนร้ายใช้ช่องโหว่ Zero-day ของ iTunes ปล่อย BitPaymer Ransomware

คนร้ายได้เลือกใช้ช่องโหว่ Zero-day บน iTunes ในเวอร์ชัน Windows เพื่อช่วยเหลือในการโจมตีด้วย Ransomware ให้หลบเลี่ยงการตรวจจับของโซลูชันป้องกันต่างๆ