TechTalkThai ศูนย์รวมข่าว Enterprise IT ออนไลน์แห่งแรกในประเทศไทย
Check Point, Certego และ Ixia ออกมาแจ้งเตือนถึง RubyMiner มัลแวร์ขุดเหรียญดิจิทัลตัวใหม่ที่กำลังแพร่ระบาดอยู่ในขณะนี้ โดยพุ่งเป้าทั้ง Linux และ Windows Server ที่ใช้ซอฟต์แวร์เวอร์ชันเก่าและยังไม่ได้รับการแพทช์ หวังหลอกใช้ทรัพยากรเครื่องในการขุดเหรียญเงินดิจิทัล
Stefan Tanase จาก Ixia ระบุว่า แฮ็กเกอร์ผู้อยู่เบื้องหลัง RubyMiner ใช้เครื่องมือทำ Web Server Fingerprint ที่เรียกว่า p0f ในการสแกนและค้นหา Linux และ Windows Server ที่รันซอฟต์แวร์เวอร์ชันเก่าที่ยังไม่ได้ทำการแพตช์ หลังจากที่ค้นเจอแล้ว แฮ็กเกอร์จะทำการเจาะระบบผ่านช่องโหว่เพื่อฝังมัลแวร์ RubyMiner ลงไปบน Server เครื่องนั้นๆ โดยช่องโหว่ที่แฮ็กเกอร์ใช้ประกอบด้วย
- Ruby on Rails XML Processor YAML Deserialization Code Execution (CVE-2013-0156)
- PHP php-cgi Query String Parameter Code Execution (CVE-2012-1823; CVE-2012-2311; CVE-2012-2335; CVE-2012-2336; CVE-2013-4878)
- Microsoft IIS ASP Scripts Source Code Disclosure (CVE-2005-2678)
Check Point ได้ทำการตรวจสอบพฤติกรรมของมัลแวร์ RubyMiner ในรายละเอียดเชิงลึกจากการทำ Honeypot พบว่าโค้ดสำหรับโจมตีประกอบด้วย Shell Commands หลายชุด และมีการเคลียร์และเพิ่ม Cron Jobs สำหรับดาวน์โหลดสคริปต์อันตรายมาซ่อนไว้ในไฟล์ robots.txt ซึ่งสคริปต์ดังกล่าวจะทำการดาวน์โหลดและติดตั้ง XMRig Monero Miner เวอร์ชันที่ถูกดัดแปลงมาเป็นพิเศษลงบน Server
จนถึงตอนนี้ พบว่ามี Server ที่ติดมัลแวร์ RubyMiner ไปแล้วประมาณ 700 เครื่อง สร้างรายได้ให้แก่แฮ็กเกอร์ประมาณ $540 (17,200 บาท) โดยใช้เวลาเพียงประมาณ 1 สัปดาห์เท่านั้น
รายละเอียดเชิงเทคนิค: https://research.checkpoint.com/rubyminer-cryptominer-affects-30-ww-networks/
