P2PInfect Botnet กลับมาเริ่มโจมตีอีกครั้ง มุ่งเป้า Redis Server

P2PInfect Botnet กลับมาเริ่มโจมตีอีกครั้ง มาพร้อม Ransomware module ใหม่ มุ่งเป้า Redis Server

Cado Security รายงานการตรวจพบ P2PInfect Botnet กลับมาเริ่มโจมตีอีกครั้ง มีการอัปเดต Ransomware module ใหม่สำหรับการใช้โจมตี โดย P2PInfect ถูกพบเป็นครั้งแรกเมื่อเดือนกรกฎาคมปีที่แล้วโดย Unit 42 ขณะนั้นมีการมุ่งเป้าโจมตี Redis Server ผ่านช่องโหว่ที่มีอยู่ และใช้วิธีการกระจายตัวผ่านฟีเจอร์ Redis replication ในลักษณะ peer-to-peer มีการใช้เทคนิคต่างๆในการเข้าโจมตีกว่านับพันครั้ง เช่น Cron-based persistence, Fallback communication และ SSH lockout ซึ่งหลังจากที่เข้าสู่ระบบได้ ก็จะทำการแฝงตัวอยู่ภายในและไม่มีการโจมตีใดๆต่อ

เมื่อวันที่ 16 พฤษภาคมที่ผ่านมา P2PInfect ได้กลับมาถูกตรวจพบอีกครั้ง โดยมีการเพิ่ม Ransomware module ใหม่เข้ามา ตัว Botnet จะสั่งให้ดาวน์โหลด ransomware payload (rsagen) ผ่าน URL ที่กำหนด มีความพยายามในการเข้ารหัสไฟล์หลายประเภทและใช้นามสกุลไฟล์ “.encrypted” เช่น ฐานข้อมูล (SQL, SQLITE3, DB), เอกสาร (DOC, XLS) และไฟล์มีเดีย (MP3, WAV, MKV) นอกจากนี้ยังมีการติดตั้ง XMR (Monero) miner ในเครื่องเป้าหมายอีกด้วย และมีการใช้ user-mode rootkit เพื่อซ่อน process การทำงานของตัวเอง

ผู้ดูแลระบบควรทำการตรวจสอบการตั้งค่าความปลอดภัยของระบบ Redis Server และอัปเดตแพตช์ความปลอดภัยอย่างสม่ำเสมอ

ที่มา: Bleeping Computer

About เด็กฝึกงาน TechTalkThai หมายเลข 1

นักเขียนผู้มีความสนใจใน Enterprise IT ด้วยประสบการณ์กว่า 10 ปีในไทย ปัจจุบันใช้ชีวิตอยู่ที่ Cupertino, CA แต่ยังคงมุ่งมั่นในการแบ่งปันความรู้และประสบการณ์ด้านเทคโนโลยีให้กับทุกคน

Check Also

VRCOMM จับมือ Hillstone Networks ให้บริการ NGFW, ADC และ NDR ภายในแนวคิด Integrative Cybersecurity

Digital Transformation สร้างความซับซ้อนให้แก่ระบบ IT ทลายขอบเขตการรักษาความมั่นคงปลอดภัยจากแค่ห้อง Data Center สู่ระบบ Cloud และอุปกรณ์ Endpoint การรักษาความมั่นคงปลอดภัยทางไซเบอร์ในยุคดิจิทัลจึงต้องการความครอบคลุมและประสานการทำงานได้อย่างบูรณาการ VRCOMM ผู้จัดจำหน่ายโซลูชันด้าน Network …

Google ถอดซอฟต์แวร์ Antivirus ของ Kaspersky ออกจาก Play Store พร้อมปิดบัญชี

ช่วงวันหยุดสุดสัปดาห์ที่ผ่านมา Google ได้มีการถอดแอป Security ของทาง Kaspersky ออกจาก Google Play Store รวมทั้งปิดบัญชีนักพัฒนาของบริษัทสัญชาติรัสเซียไปอีกด้วย