พบมัลแวร์ RubyMiner เจาะระบบ Linux และ Windows Server หวังทำ Cryptocurrency Mining

Check Point, Certego และ Ixia ออกมาแจ้งเตือนถึง RubyMiner มัลแวร์ขุดเหรียญดิจิทัลตัวใหม่ที่กำลังแพร่ระบาดอยู่ในขณะนี้ โดยพุ่งเป้าทั้ง Linux และ Windows Server ที่ใช้ซอฟต์แวร์เวอร์ชันเก่าและยังไม่ได้รับการแพทช์ หวังหลอกใช้ทรัพยากรเครื่องในการขุดเหรียญเงินดิจิทัล

Credit: MichaelWuensch

Stefan Tanase จาก Ixia ระบุว่า แฮ็กเกอร์ผู้อยู่เบื้องหลัง RubyMiner ใช้เครื่องมือทำ Web Server Fingerprint ที่เรียกว่า p0f ในการสแกนและค้นหา Linux และ Windows Server ที่รันซอฟต์แวร์เวอร์ชันเก่าที่ยังไม่ได้ทำการแพตช์ หลังจากที่ค้นเจอแล้ว แฮ็กเกอร์จะทำการเจาะระบบผ่านช่องโหว่เพื่อฝังมัลแวร์ RubyMiner ลงไปบน Server เครื่องนั้นๆ โดยช่องโหว่ที่แฮ็กเกอร์ใช้ประกอบด้วย

  • Ruby on Rails XML Processor YAML Deserialization Code Execution (CVE-2013-0156)
  • PHP php-cgi Query String Parameter Code Execution (CVE-2012-1823; CVE-2012-2311; CVE-2012-2335; CVE-2012-2336; CVE-2013-4878)
  • Microsoft IIS ASP Scripts Source Code Disclosure (CVE-2005-2678)

Check Point ได้ทำการตรวจสอบพฤติกรรมของมัลแวร์ RubyMiner ในรายละเอียดเชิงลึกจากการทำ Honeypot พบว่าโค้ดสำหรับโจมตีประกอบด้วย Shell Commands หลายชุด และมีการเคลียร์และเพิ่ม Cron Jobs สำหรับดาวน์โหลดสคริปต์อันตรายมาซ่อนไว้ในไฟล์ robots.txt ซึ่งสคริปต์ดังกล่าวจะทำการดาวน์โหลดและติดตั้ง XMRig Monero Miner เวอร์ชันที่ถูกดัดแปลงมาเป็นพิเศษลงบน Server

จนถึงตอนนี้ พบว่ามี Server ที่ติดมัลแวร์ RubyMiner ไปแล้วประมาณ 700 เครื่อง สร้างรายได้ให้แก่แฮ็กเกอร์ประมาณ $540 (17,200 บาท) โดยใช้เวลาเพียงประมาณ 1 สัปดาห์เท่านั้น

รายละเอียดเชิงเทคนิค: https://research.checkpoint.com/rubyminer-cryptominer-affects-30-ww-networks/

ที่มา: https://www.bleepingcomputer.com/news/security/linux-and-windows-servers-targeted-with-rubyminer-malware/


About techtalkthai

ทีมงาน TechTalkThai เป็นกลุ่มบุคคลที่ทำงานในสาย Enterprise IT ที่มีความเชี่ยวชาญทางด้าน Network, Security, Server, Storage, Operating System และ Virtualization มารวมตัวกันเพื่ออัพเดตข่าวสารทางด้าน Enterprise IT ให้แก่ชาว IT ในไทยโดยเฉพาะ

Check Also

Red Hat เปิดโอเพ่นซอร์สแพลตฟอร์ม Kubernetes Security ของตน

StackRox คือบริษัทที่ทำด้าน Kubernetes Security ที่ Red Hat เข้าครอบครองในปี 2021 โดยล่าสุด Red Hat ได้ตัดสินใจเป็นโอเพ่นซอร์สในโปรเจ็คนี้

Azure เปิดทดสอบ DNS Private Resolver

Azure ได้ลดความยุ่งยากเรื่องของโซลูชัน DNS ให้ผู้ใช้งานอีกระดับด้วยการประกาศทดลอง DNS Private Resolver