เตือน Prowli Malware แพร่ระบาดไปยัง Servers, Modems และอุปกรณ์ IoT แล้วกว่า 40,000 ชิ้น

GuardiCore ผู้ให้บริการโซลูชัน Breach Detection ชื่อดัง ออกมาแจ้งเตือนถึง Botnet ตัวใหม่ ชื่อว่า Prowli ซึ่งแพร่ระบาดไปยัง Web Servers, Modems และอุปกรณ์ IoT ทั่วโลกไปแล้วกว่า 40,000 เครื่อง เสี่ยงถูกใช้ลอบทำ Cryptocurrency Mining และเปลี่ยนเส้นทางทราฟฟิกของผู้ใช้ไปยังเว็บของแฮ็กเกอร์

จากการตรวจสอบ GuardiCore พบว่า Prowli Botnet แพร่กระจายตัวไปยังอุปกรณ์ต่างๆ ผ่านช่องโหว่และการโจมตีแบบ Brute Force เพื่อเข้าควบคุมอุปกรณ์ ซึ่งอุปกรณ์ที่ตกเป็นเหยื่อ ได้แก่

  • ไซต์ WordPress – โจมตีผ่านช่องโหว่หลายรายการ และ Brute Force ไปยัง Admin Panel
  • ไซต์ Joomla! ที่รัน K2 Extension – ผ่านช่องโหว่ CVE-2018-7482
  • DSL Modem หลายรุ่น – ผ่านช่องโหว่ที่เคยเปิดเผยมาแล้ว
  • Server ที่รัน HP Data Protector – ผ่านช่องโหว่ CVE-2014-2623
  • Drupal, PhpMyAdmin Installations, NFS Boxes และ Servers ที่เปิดพอร์ต SMB – ผ่านทางการเดารหัสผ่านแบบ Brute Force

นอกจากนี้ Prowli ยังมีโมดูล SSH Scanner สำหรับเดา Username/Password อุปกรณ์ที่เปิดพอร์ต SSH บนอินเทอร์เน็ตอีกด้วย

หลังจากที่อุปกรณ์เหล่านั้นถูกเจาะเข้าไปแล้ว Prowli จะตรวจสอบดูว่าอุปกรณ์สามารถขุดเหรียญดิจิทัลแบบหนักๆ ได้หรือไม่ ถ้าได้ จะทำการติดตั้ง Monero Miner และ r2r2 Worm ซึ่งจะทำการสแกนหาเหยื่อรายอื่นแล้วโจมตีแบบ Brute Force ผ่าน SSH เพื่อเข้าควบคุมต่อไป ส่วน Server ที่รัน CMS นั้นจะถูกแทรกโค้ดมัลแวร์เพื่อเปลี่ยนเส้นทางของผู้ใช้ที่เข้าถึงเว็บไซต์ไปยัง Traffice Distributed System ซึ่งจะส่งทราฟฟิกต่อไปยังเว็บไซต์ของแฮ็กเกอร์ หรือเว็บไซต์หลอกลวงต่อไป

จนถึงตอนนี้ พบว่า Prowli แพร่กระจายตัวไปยังอุปกรณ์แล้วกว่า 40,000 เครื่อง บนระบบเครือข่ายกว่า 9,000 บริษัท ซึ่งส่วนใหญ่ถูกใช้เพื่อขุดเหรียญดิจิทัลสร้างรายได้ให้แก่แฮ็กเกอร์ โดยเหยื่อส่วนใหญ่มาจากประเทศบราซิล จีน สหรัฐฯ และรัสเซีย

รายละเอียดเชิงเทคนิค: https://www.guardicore.com/2018/06/operation-prowli-traffic-manipulation-cryptocurrency-mining/

ที่มา: https://www.bleepingcomputer.com/news/security/prowli-malware-operation-infected-over-40-000-servers-modems-and-iot-devices/


About techtalkthai

ทีมงาน TechTalkThai เป็นกลุ่มบุคคลที่ทำงานในสาย Enterprise IT ที่มีความเชี่ยวชาญทางด้าน Network, Security, Server, Storage, Operating System และ Virtualization มารวมตัวกันเพื่ออัพเดตข่าวสารทางด้าน Enterprise IT ให้แก่ชาว IT ในไทยโดยเฉพาะ

Check Also

การโจมตี DDoS จะมีอายุครบรอบ 20 ปีในเดือนกรกฎาคม 2019 นี้

วันที่ 22 กรกฎาคม 2019 ที่จะถึงนี้ จะถือเป็นวันครบรอบอายุ 20 ปีของการโจมตีแบบ Distributed Denial of Service หรือ DDoS ที่เกิดขึ้นครั้งแรกเมื่อ 20 ปีก่อนหน้าซึ่งเกิดขึ้นภายในระบบเครือข่ายของมหาวิทยาลัย University of Minnesota นั่นเอง

Facebook รับ แอบเก็บข้อมูลอีเมลผู้ใช้กว่า 1,500,000 รายโดยไม่ได้รับอนุญาต

หลังจากที่มีคนจับได้ว่า Facebook แอบถามรหัสผ่านอีเมลของผู้ใช้ใหม่ระหว่างกระบวนการยืนยันตัวตนเมื่อต้นเดือนเมษายนที่ผ่านมาจนถูกตั้งข้อสังเกตว่า Facebook พยายามเข้าถึงอีเมลของผู้ใช้โดยมิชอบเพื่อแอบเก็บข้อมูลอีเมลเหล่านั้นหรือไม่ ล่าสุด Facebook ได้ออกมายอมรับแล้วว่าเป็นความจริง