Black Hat Asia 2023

เตือน Prowli Malware แพร่ระบาดไปยัง Servers, Modems และอุปกรณ์ IoT แล้วกว่า 40,000 ชิ้น

GuardiCore ผู้ให้บริการโซลูชัน Breach Detection ชื่อดัง ออกมาแจ้งเตือนถึง Botnet ตัวใหม่ ชื่อว่า Prowli ซึ่งแพร่ระบาดไปยัง Web Servers, Modems และอุปกรณ์ IoT ทั่วโลกไปแล้วกว่า 40,000 เครื่อง เสี่ยงถูกใช้ลอบทำ Cryptocurrency Mining และเปลี่ยนเส้นทางทราฟฟิกของผู้ใช้ไปยังเว็บของแฮ็กเกอร์

จากการตรวจสอบ GuardiCore พบว่า Prowli Botnet แพร่กระจายตัวไปยังอุปกรณ์ต่างๆ ผ่านช่องโหว่และการโจมตีแบบ Brute Force เพื่อเข้าควบคุมอุปกรณ์ ซึ่งอุปกรณ์ที่ตกเป็นเหยื่อ ได้แก่

  • ไซต์ WordPress – โจมตีผ่านช่องโหว่หลายรายการ และ Brute Force ไปยัง Admin Panel
  • ไซต์ Joomla! ที่รัน K2 Extension – ผ่านช่องโหว่ CVE-2018-7482
  • DSL Modem หลายรุ่น – ผ่านช่องโหว่ที่เคยเปิดเผยมาแล้ว
  • Server ที่รัน HP Data Protector – ผ่านช่องโหว่ CVE-2014-2623
  • Drupal, PhpMyAdmin Installations, NFS Boxes และ Servers ที่เปิดพอร์ต SMB – ผ่านทางการเดารหัสผ่านแบบ Brute Force

นอกจากนี้ Prowli ยังมีโมดูล SSH Scanner สำหรับเดา Username/Password อุปกรณ์ที่เปิดพอร์ต SSH บนอินเทอร์เน็ตอีกด้วย

หลังจากที่อุปกรณ์เหล่านั้นถูกเจาะเข้าไปแล้ว Prowli จะตรวจสอบดูว่าอุปกรณ์สามารถขุดเหรียญดิจิทัลแบบหนักๆ ได้หรือไม่ ถ้าได้ จะทำการติดตั้ง Monero Miner และ r2r2 Worm ซึ่งจะทำการสแกนหาเหยื่อรายอื่นแล้วโจมตีแบบ Brute Force ผ่าน SSH เพื่อเข้าควบคุมต่อไป ส่วน Server ที่รัน CMS นั้นจะถูกแทรกโค้ดมัลแวร์เพื่อเปลี่ยนเส้นทางของผู้ใช้ที่เข้าถึงเว็บไซต์ไปยัง Traffice Distributed System ซึ่งจะส่งทราฟฟิกต่อไปยังเว็บไซต์ของแฮ็กเกอร์ หรือเว็บไซต์หลอกลวงต่อไป

จนถึงตอนนี้ พบว่า Prowli แพร่กระจายตัวไปยังอุปกรณ์แล้วกว่า 40,000 เครื่อง บนระบบเครือข่ายกว่า 9,000 บริษัท ซึ่งส่วนใหญ่ถูกใช้เพื่อขุดเหรียญดิจิทัลสร้างรายได้ให้แก่แฮ็กเกอร์ โดยเหยื่อส่วนใหญ่มาจากประเทศบราซิล จีน สหรัฐฯ และรัสเซีย

รายละเอียดเชิงเทคนิค: https://www.guardicore.com/2018/06/operation-prowli-traffic-manipulation-cryptocurrency-mining/

ที่มา: https://www.bleepingcomputer.com/news/security/prowli-malware-operation-infected-over-40-000-servers-modems-and-iot-devices/


About techtalkthai

ทีมงาน TechTalkThai เป็นกลุ่มบุคคลที่ทำงานในสาย Enterprise IT ที่มีความเชี่ยวชาญทางด้าน Network, Security, Server, Storage, Operating System และ Virtualization มารวมตัวกันเพื่ออัพเดตข่าวสารทางด้าน Enterprise IT ให้แก่ชาว IT ในไทยโดยเฉพาะ

Check Also

Microsoft Teams, VirtualBox, Tesla ถูกเจาะ Zero-days ในงาน Pwn2Own

Microsoft Teams, VirtualBox, Tesla ถูกเจาะ Zero-days ในงาน Pwn2Own Vancouver 2023 ผู้เข้าแข่งขันกวาดเงินรางวัลสูงสุด 475,000 เหรียญ หรือประมาณ 16 …

[Video] NCSA Webinar Series EP.8 – WAAP ช่วยยกระดับ Security Posture ขององค์กรได้อย่างไร

สำหรับผู้ที่ไม่ได้เข้าฟังการบรรยาย NCSA Webinar Series EP.8 เรื่อง “WAAP ช่วยยกระดับ Security Posture ขององค์กรได้อย่างไร” ที่เพิ่งจัดไปเมื่อสัปดาห์ที่ผ่านมา หรือต้องการรับชมการบรรยายซ้ำอีกครั้ง สามารถเข้าชมวิดีโอบันทึกย้อนหลังได้ที่บทความนี้ครับ