เตือนคนขุดเหมืองเงินดิจิทัลเสี่ยงถูก Satori Botnet โจมตีโดยไม่รู้ตัว

ทีมนักวิจัยด้านความมั่นคงปลอดภัยจาก Netlab ของ Qihoo 360 ออกมาแจ้งเตือนถึง Satori Botnet สายพันธุ์ใหม่ ซึ่งพุ่งเป้าโจมตีผู้ใช้ซอฟต์แวร์ Claymore ในการขุดเหมืองเงินดิจิทัล หลังพบเหยื่อหลายรายถูกเปลี่ยนการตั้งค่าสำหรับใช้ขุดเหมืองเป็นของแฮ็กเกอร์แทน กลายเป็นว่าตนเองถูกหลอกให้ขุดเงินดิจิทัลฟรีๆ

Satori เป็น Botnet เวอร์ชันดัดแปลงของ Mirai IoT DDoS Botnet ชื่อดัง โดยปรากฏโฉมครั้งแรกเมื่อต้นเดือนธันวาคม 2017 ที่ผ่านมา ซึ่งต่างจาก Mirai ตรงที่ แทนที่จะใช้การ Brute Force เพื่อเข้าควบคุมอุปกรณ์ กลับใช้การ Exploit ช่องโหว่ของอุปกรณ์ IoT ที่ใช้เฟิร์มแวร์เวอร์ชันเก่าแทน ได้แก่ CVE-2014-8361 ซึ่งเป็นช่องโหว่บนอุปกรณ์ที่ใช้ Realtek SDK และ CVE-2017-17215 ช่องโหว่บน Router ของ Huawei อย่างไรก็ตาม แค่เพียง 2 ช่องโหว่นี้ ก็ช่วยให้ Satori สามารถเข้าควบคุมอุปกรณ์ได้มากถึง 500,000 – 700,000 เครื่อง

ถึงแม้ว่า C&C Server ของ Satori จะถูกปิดไปแล้วหลังจากที่ปฎิบัติการเริ่มต้นเพียงแค่ 2 สัปดาห์ แต่ล่าสุดทาง Netlab กลับพบ วันที่ 8 มกราคม Satori สายพันธุ์ใหม่เริ่มแพร่ระบาดอย่างช้าๆ และมีการเพิ่ม Exploit เข้าไปอีก 1 รายการ ที่น่าสนใจคือ แทนที่จะพุ่งเป้าโจมตีอุปกรณ์ IoT แบบเดิม Exploit ดังกล่าวกลับถูกใช้โจมตี Claymore ซึ่งเป็นซอฟต์แวร์สำหรับทำ Cryptocurrency Mining แทน

จากการตรวจสอบพบว่า Exploit ที่เพิ่มเข้ามานี้ใช้โจมตีช่องโหว่บนระบบบริหารจัดการของ Claymore ช่วยให้แฮ็กเกอร์สามารถเข้าควบคุมอุปกรณ์ได้โดยที่ไม่จำเป็นต้องพิสูจน์ตัวตน ส่งผลให้แฮ็กเกอร์เปลี่ยนการตั้งค่าของ Claymore ไปให้ขุดเหรียญ Ethereum ให้ตนเองแทน

New pool: eth-us2.dwarfpool.com:8008
New wallet: 0xB15A5332eB7cD2DD7a4Ec7f96749E769A371572d

จนถึงตอนนี้ ผ่านมา 10 วัน พบว่า Satori สามารถทำรายได้จากการแฮ็กซอฟต์แวร์ Claymore ของคนอื่นไปแล้วมากกว่า 1 ETH (ประมาณ 32,000 บาท) แนะนำให้ผู้ใช้ Claymore สำหรับขุดเหรียญรีบตรวจสอบการตั้งค่าของตนและทำการอัปเดตซอฟต์แวร์เวอร์ชันล่าสุดทันที

รายละเอียดเชิงเทคนิค: http://blog.netlab.360.com/art-of-steal-satori-variant-is-robbing-eth-bitcoin-by-replacing-wallet-address-en/

ที่มา: https://www.bleepingcomputer.com/news/security/satori-botnet-is-now-attacking-ethereum-mining-rigs/




About techtalkthai

ทีมงาน TechTalkThai เป็นกลุ่มบุคคลที่ทำงานในสาย Enterprise IT ที่มีความเชี่ยวชาญทางด้าน Network, Security, Server, Storage, Operating System และ Virtualization มารวมตัวกันเพื่ออัพเดตข่าวสารทางด้าน Enterprise IT ให้แก่ชาว IT ในไทยโดยเฉพาะ

Check Also

Azure เพิ่มการ Customize ใหม่ให้ฟังก์ชัน Migrate สนองความต้องการตามธุรกิจ

Azure ออกฟีเจอร์ใหม่ในการทำแผนการ Migration เพื่อสามารถตอบโจทย์ความต้องการให้เหมาะสมตามลักษณะของธุรกิจได้อย่างยืดหยุ่นมากขึ้น

พบช่องโหว่ของ Firmware บนมือถือ Android กว่า 25 รุ่นในหลายยี่ห้อ

นักวิจัยจาก Kryptowire บริษัทด้านความมั่นคงปลอดภัยบนมือถือและ IoT ของสหรัฐได้เผยถึงช่องโหว่กว่า 47 รายการใน Firmware และแอปพลิเคชันดั้งเดิม (ถูกติดตั้งมาก่อนจำหน่าย) บนมือถือ Android กว่า 25 โมเดลจากหลายค่าย …