พบมัลแวร์ RubyMiner เจาะระบบ Linux และ Windows Server หวังทำ Cryptocurrency Mining

Check Point, Certego และ Ixia ออกมาแจ้งเตือนถึง RubyMiner มัลแวร์ขุดเหรียญดิจิทัลตัวใหม่ที่กำลังแพร่ระบาดอยู่ในขณะนี้ โดยพุ่งเป้าทั้ง Linux และ Windows Server ที่ใช้ซอฟต์แวร์เวอร์ชันเก่าและยังไม่ได้รับการแพทช์ หวังหลอกใช้ทรัพยากรเครื่องในการขุดเหรียญเงินดิจิทัล

Credit: MichaelWuensch

Stefan Tanase จาก Ixia ระบุว่า แฮ็กเกอร์ผู้อยู่เบื้องหลัง RubyMiner ใช้เครื่องมือทำ Web Server Fingerprint ที่เรียกว่า p0f ในการสแกนและค้นหา Linux และ Windows Server ที่รันซอฟต์แวร์เวอร์ชันเก่าที่ยังไม่ได้ทำการแพตช์ หลังจากที่ค้นเจอแล้ว แฮ็กเกอร์จะทำการเจาะระบบผ่านช่องโหว่เพื่อฝังมัลแวร์ RubyMiner ลงไปบน Server เครื่องนั้นๆ โดยช่องโหว่ที่แฮ็กเกอร์ใช้ประกอบด้วย

  • Ruby on Rails XML Processor YAML Deserialization Code Execution (CVE-2013-0156)
  • PHP php-cgi Query String Parameter Code Execution (CVE-2012-1823; CVE-2012-2311; CVE-2012-2335; CVE-2012-2336; CVE-2013-4878)
  • Microsoft IIS ASP Scripts Source Code Disclosure (CVE-2005-2678)

Check Point ได้ทำการตรวจสอบพฤติกรรมของมัลแวร์ RubyMiner ในรายละเอียดเชิงลึกจากการทำ Honeypot พบว่าโค้ดสำหรับโจมตีประกอบด้วย Shell Commands หลายชุด และมีการเคลียร์และเพิ่ม Cron Jobs สำหรับดาวน์โหลดสคริปต์อันตรายมาซ่อนไว้ในไฟล์ robots.txt ซึ่งสคริปต์ดังกล่าวจะทำการดาวน์โหลดและติดตั้ง XMRig Monero Miner เวอร์ชันที่ถูกดัดแปลงมาเป็นพิเศษลงบน Server

จนถึงตอนนี้ พบว่ามี Server ที่ติดมัลแวร์ RubyMiner ไปแล้วประมาณ 700 เครื่อง สร้างรายได้ให้แก่แฮ็กเกอร์ประมาณ $540 (17,200 บาท) โดยใช้เวลาเพียงประมาณ 1 สัปดาห์เท่านั้น

รายละเอียดเชิงเทคนิค: https://research.checkpoint.com/rubyminer-cryptominer-affects-30-ww-networks/

ที่มา: https://www.bleepingcomputer.com/news/security/linux-and-windows-servers-targeted-with-rubyminer-malware/

About techtalkthai

ทีมงาน TechTalkThai เป็นกลุ่มบุคคลที่ทำงานในสาย Enterprise IT ที่มีความเชี่ยวชาญทางด้าน Network, Security, Server, Storage, Operating System และ Virtualization มารวมตัวกันเพื่ออัพเดตข่าวสารทางด้าน Enterprise IT ให้แก่ชาว IT ในไทยโดยเฉพาะ

Check Also

Tenable จับมือ Anthropic เข้าร่วม “Project Glasswing” ยกระดับการป้องกันไซเบอร์ในยุค AI [Guest Post]

การเข้าร่วม Project Glasswing และการได้ร่วมทำงานกับ Claude Mythos Preview ในครั้งนี้ จะช่วยให้ Tenable สามารถสนับสนุนลูกค้าให้เข้าใจพฤติกรรมของโมเดล AI ระดับแนวหน้า (Frontier AI) …

Amazon เตรียมปลดระวาง Mechanical Turk ไม่รับผู้ใช้งานเพิ่มแล้ว

Amazon Web Services (AWS) ได้ยุติการรับลูกค้าใหม่สำหรับบริการที่มีอายุเก่าแก่หลายทศวรรษอย่าง Mechanical Turk เป็นที่เรียบร้อยแล้ว ซึ่งนับเป็นสัญญาณเตือนถึงจุดสิ้นสุดของแพลตฟอร์มตลาดแรงงานแบบคราวด์ซอร์สรุ่นบุกเบิกนี้