Breaking News

เตือนมัลแวร์ Nansh0u แพร่ระบาด MsSQL และ PhpMyAdmin Servers ไปแล้วกว่า 50,000 เครื่อง

นักวิจัยด้านความมั่นคงปลอดภัยไซเบอร์จาก Guardicore Labs ออกมาแจ้งเตือนถึงแคมเปญ Cryptojacking บน MsSQL และ PhpMyAdmin Servers ที่กำลังแพร่ระบาดอยู่ในขณะนี้ ซึ่งมีผู้ตกเป็นเหยื่อแล้วกว่า 50,000 ราย เรียกแคมเปญการโจมตีนี้ว่า Nansh0u

Guardicore Labs ระบุว่า แคมเปญการโจมตีดังกล่าวมีต้นตอมาจากกลุ่มแฮ็กเกอร์ APT ชาวจีน เริ่มต้นการโจมตีเมื่อวันที่ 26 กุมภาพันธ์ที่ผ่านมา ซึ่งแฮ็กเกอร์ได้ลอบส่ง Payload ที่แตกต่างกันกว่า 20 รูปแบบผ่านทาง Hosting Provider หลายราย โดยพุ่งเป้าไปยัง MsSQL และ PhpMyAdmin Servers ที่สามารถเข้าถึงได้จากอินเทอร์เน็ต ก่อนจะใช้เทคนิค Brute Force เพื่อทำการเจาะทะลุระบบพิสูจน์ตัวตน เมื่อเข้าถึงระบบภายในได้แล้ว แฮ็กเกอร์จะรันคำสั่ง MsSQL เพื่อดาวน์โหลด Payload จาก Remote File Server ของตนเข้ามาติดตั้งและรันโดยใช้สิทธิระดับ SYSTEM

จากการตรวจสอบพบว่า Payload ที่ถูกดาวน์โหลดมาติดตั้งนั้นจะใช้ประโยชน์จากช่องโหว่ Privilege Escalation (CVE-2014-4113) เพื่อยกระดับสิทธิ์ของตนเป็น SYSTEM จากนั้นทำการติดตั้งมัลแวร์ Cryptocurrency Mining เพื่อลอบขุดเหรียญ TurtleCoin รวมไปถึงทำการติดตั้ง Kernel-mode Rootkit เพื่อป้องกันไม่ให้ Process ของตัวมันเองถูกกำจัดทิ้ง

Credit: Guardicore.com

Nansh0u ถูกตรวจพบครั้งแรกเมื่อต้นเดือนเมษายน จนถึงตอนนี้มี MsSQL และ PhpMyAdmin Servers ตกเป็นเหยื่อรวมแล้วมากกว่า 50,000 เครื่อง ผู้ดูแลระบบสามารถตรวจสอบว่า Server ของตนติดมัลแวร์ชนิดนี้หรือไม่โดยใช้ PowerShell Script นี้ [ดาวน์โหลด]

รายละเอียดเชิงเทคนิค: https://www.guardicore.com/2019/05/nansh0u-campaign-hackers-arsenal-grows-stronger/
ที่มา: https://thehackernews.com/2019/05/hacking-mysql-phpmyadmin.html



About techtalkthai

ทีมงาน TechTalkThai เป็นกลุ่มบุคคลที่ทำงานในสาย Enterprise IT ที่มีความเชี่ยวชาญทางด้าน Network, Security, Server, Storage, Operating System และ Virtualization มารวมตัวกันเพื่ออัพเดตข่าวสารทางด้าน Enterprise IT ให้แก่ชาว IT ในไทยโดยเฉพาะ

Check Also

รัฐบาลไต้หวัสสั่งแบน Zoom จากประเด็นด้านความมั่นคงปลอดภัย

ไต้หวันสั่งห้ามหน่วยงานรัฐทุกแห่งใช้ Zoom ระบบ Video Conference ยอดนิยมหลังจากมีประเด็นเรื่องความมั่นคงปลอดภัยและความเป็นส่วนบุคคลถูกเปิดเผยออกมาเป็นจำนวนมาก นับเป็นรัฐบาลแรกที่ออกประกาศแบนการใช้ Zoom ในขณะนี้

Fortinet เปิดให้ดาวน์โหลด FortiClient 6.0 แบบ Standalone ฟรี

ในสถานการณ์ที่ COVID-19 กำลังแพร่ระบาดอยู่ในขณะนี้ หลายบริษัทเริ่มมีมาตรการให้พนักงานสามารถทำงานจากที่บ้าน (Work from Home) ได้ เพื่อช่วยยกระดับการรักษาความมั่นคงปลอดภัยของอุปกรณ์คอมพิวเตอร์ของพนักงาน ไม่ว่าจะเป็น Windows, MAC หรือ Linux ให้ดียิ่งขึ้น …