เตือน Prowli Malware แพร่ระบาดไปยัง Servers, Modems และอุปกรณ์ IoT แล้วกว่า 40,000 ชิ้น

GuardiCore ผู้ให้บริการโซลูชัน Breach Detection ชื่อดัง ออกมาแจ้งเตือนถึง Botnet ตัวใหม่ ชื่อว่า Prowli ซึ่งแพร่ระบาดไปยัง Web Servers, Modems และอุปกรณ์ IoT ทั่วโลกไปแล้วกว่า 40,000 เครื่อง เสี่ยงถูกใช้ลอบทำ Cryptocurrency Mining และเปลี่ยนเส้นทางทราฟฟิกของผู้ใช้ไปยังเว็บของแฮ็กเกอร์

จากการตรวจสอบ GuardiCore พบว่า Prowli Botnet แพร่กระจายตัวไปยังอุปกรณ์ต่างๆ ผ่านช่องโหว่และการโจมตีแบบ Brute Force เพื่อเข้าควบคุมอุปกรณ์ ซึ่งอุปกรณ์ที่ตกเป็นเหยื่อ ได้แก่

• ไซต์ WordPress – โจมตีผ่านช่องโหว่หลายรายการ และ Brute Force ไปยัง Admin Panel
• ไซต์ Joomla! ที่รัน K2 Extension – ผ่านช่องโหว่ CVE-2018-7482
• DSL Modem หลายรุ่น – ผ่านช่องโหว่ที่เคยเปิดเผยมาแล้ว
• Server ที่รัน HP Data Protector – ผ่านช่องโหว่ CVE-2014-2623
• Drupal, PhpMyAdmin Installations, NFS Boxes และ Servers ที่เปิดพอร์ต SMB – ผ่านทางการเดารหัสผ่านแบบ Brute Force

นอกจากนี้ Prowli ยังมีโมดูล SSH Scanner สำหรับเดา Username/Password อุปกรณ์ที่เปิดพอร์ต SSH บนอินเทอร์เน็ตอีกด้วย

หลังจากที่อุปกรณ์เหล่านั้นถูกเจาะเข้าไปแล้ว Prowli จะตรวจสอบดูว่าอุปกรณ์สามารถขุดเหรียญดิจิทัลแบบหนักๆ ได้หรือไม่ ถ้าได้ จะทำการติดตั้ง Monero Miner และ r2r2 Worm ซึ่งจะทำการสแกนหาเหยื่อรายอื่นแล้วโจมตีแบบ Brute Force ผ่าน SSH เพื่อเข้าควบคุมต่อไป ส่วน Server ที่รัน CMS นั้นจะถูกแทรกโค้ดมัลแวร์เพื่อเปลี่ยนเส้นทางของผู้ใช้ที่เข้าถึงเว็บไซต์ไปยัง Traffice Distributed System ซึ่งจะส่งทราฟฟิกต่อไปยังเว็บไซต์ของแฮ็กเกอร์ หรือเว็บไซต์หลอกลวงต่อไป

จนถึงตอนนี้ พบว่า Prowli แพร่กระจายตัวไปยังอุปกรณ์แล้วกว่า 40,000 เครื่อง บนระบบเครือข่ายกว่า 9,000 บริษัท ซึ่งส่วนใหญ่ถูกใช้เพื่อขุดเหรียญดิจิทัลสร้างรายได้ให้แก่แฮ็กเกอร์ โดยเหยื่อส่วนใหญ่มาจากประเทศบราซิล จีน สหรัฐฯ และรัสเซีย

รายละเอียดเชิงเทคนิค: https://www.guardicore.com/2018/06/operation-prowli-traffic-manipulation-cryptocurrency-mining/

ที่มา: https://www.bleepingcomputer.com/news/security/prowli-malware-operation-infected-over-40-000-servers-modems-and-iot-devices/