พบมัลแวร์ RubyMiner เจาะระบบ Linux และ Windows Server หวังทำ Cryptocurrency Mining

Check Point, Certego และ Ixia ออกมาแจ้งเตือนถึง RubyMiner มัลแวร์ขุดเหรียญดิจิทัลตัวใหม่ที่กำลังแพร่ระบาดอยู่ในขณะนี้ โดยพุ่งเป้าทั้ง Linux และ Windows Server ที่ใช้ซอฟต์แวร์เวอร์ชันเก่าและยังไม่ได้รับการแพทช์ หวังหลอกใช้ทรัพยากรเครื่องในการขุดเหรียญเงินดิจิทัล

Credit: MichaelWuensch

Stefan Tanase จาก Ixia ระบุว่า แฮ็กเกอร์ผู้อยู่เบื้องหลัง RubyMiner ใช้เครื่องมือทำ Web Server Fingerprint ที่เรียกว่า p0f ในการสแกนและค้นหา Linux และ Windows Server ที่รันซอฟต์แวร์เวอร์ชันเก่าที่ยังไม่ได้ทำการแพตช์ หลังจากที่ค้นเจอแล้ว แฮ็กเกอร์จะทำการเจาะระบบผ่านช่องโหว่เพื่อฝังมัลแวร์ RubyMiner ลงไปบน Server เครื่องนั้นๆ โดยช่องโหว่ที่แฮ็กเกอร์ใช้ประกอบด้วย

  • Ruby on Rails XML Processor YAML Deserialization Code Execution (CVE-2013-0156)
  • PHP php-cgi Query String Parameter Code Execution (CVE-2012-1823; CVE-2012-2311; CVE-2012-2335; CVE-2012-2336; CVE-2013-4878)
  • Microsoft IIS ASP Scripts Source Code Disclosure (CVE-2005-2678)

Check Point ได้ทำการตรวจสอบพฤติกรรมของมัลแวร์ RubyMiner ในรายละเอียดเชิงลึกจากการทำ Honeypot พบว่าโค้ดสำหรับโจมตีประกอบด้วย Shell Commands หลายชุด และมีการเคลียร์และเพิ่ม Cron Jobs สำหรับดาวน์โหลดสคริปต์อันตรายมาซ่อนไว้ในไฟล์ robots.txt ซึ่งสคริปต์ดังกล่าวจะทำการดาวน์โหลดและติดตั้ง XMRig Monero Miner เวอร์ชันที่ถูกดัดแปลงมาเป็นพิเศษลงบน Server

จนถึงตอนนี้ พบว่ามี Server ที่ติดมัลแวร์ RubyMiner ไปแล้วประมาณ 700 เครื่อง สร้างรายได้ให้แก่แฮ็กเกอร์ประมาณ $540 (17,200 บาท) โดยใช้เวลาเพียงประมาณ 1 สัปดาห์เท่านั้น

รายละเอียดเชิงเทคนิค: https://research.checkpoint.com/rubyminer-cryptominer-affects-30-ww-networks/

ที่มา: https://www.bleepingcomputer.com/news/security/linux-and-windows-servers-targeted-with-rubyminer-malware/




About techtalkthai

ทีมงาน TechTalkThai เป็นกลุ่มบุคคลที่ทำงานในสาย Enterprise IT ที่มีความเชี่ยวชาญทางด้าน Network, Security, Server, Storage, Operating System และ Virtualization มารวมตัวกันเพื่ออัพเดตข่าวสารทางด้าน Enterprise IT ให้แก่ชาว IT ในไทยโดยเฉพาะ

Check Also

สรุป 5 ข้อคิดจากงานสัมมนา Dell EMC เลือกซื้อ PC, Notebook สำหรับองค์กรอย่างไรดีในปี 2018

ในงานสัมมนา Customer DG Transformation Workshop with Microsoft ที่จัดขึ้นโดย Dell EMC และ Microsoft เมื่อเดือนมกราคม 2018 ที่ผ่านมา …

Google ประกาศเข้าซื้อกิจการ Xively เสริมทัพระบบ IoT สำหรับองค์กร

Google ประกาศเข้าซื้อกิจการของ Xively ธุรกิจด้าน Enterprise IoT Platform จาก LogMeIn เพื่อเสริมความเข้มแข็งให้กับบริการกลุ่ม IoT บน Cloud ของ Google