CDIC 2023

เตือนคนขุดเหมืองเงินดิจิทัลเสี่ยงถูก Satori Botnet โจมตีโดยไม่รู้ตัว

ทีมนักวิจัยด้านความมั่นคงปลอดภัยจาก Netlab ของ Qihoo 360 ออกมาแจ้งเตือนถึง Satori Botnet สายพันธุ์ใหม่ ซึ่งพุ่งเป้าโจมตีผู้ใช้ซอฟต์แวร์ Claymore ในการขุดเหมืองเงินดิจิทัล หลังพบเหยื่อหลายรายถูกเปลี่ยนการตั้งค่าสำหรับใช้ขุดเหมืองเป็นของแฮ็กเกอร์แทน กลายเป็นว่าตนเองถูกหลอกให้ขุดเงินดิจิทัลฟรีๆ

Satori เป็น Botnet เวอร์ชันดัดแปลงของ Mirai IoT DDoS Botnet ชื่อดัง โดยปรากฏโฉมครั้งแรกเมื่อต้นเดือนธันวาคม 2017 ที่ผ่านมา ซึ่งต่างจาก Mirai ตรงที่ แทนที่จะใช้การ Brute Force เพื่อเข้าควบคุมอุปกรณ์ กลับใช้การ Exploit ช่องโหว่ของอุปกรณ์ IoT ที่ใช้เฟิร์มแวร์เวอร์ชันเก่าแทน ได้แก่ CVE-2014-8361 ซึ่งเป็นช่องโหว่บนอุปกรณ์ที่ใช้ Realtek SDK และ CVE-2017-17215 ช่องโหว่บน Router ของ Huawei อย่างไรก็ตาม แค่เพียง 2 ช่องโหว่นี้ ก็ช่วยให้ Satori สามารถเข้าควบคุมอุปกรณ์ได้มากถึง 500,000 – 700,000 เครื่อง

ถึงแม้ว่า C&C Server ของ Satori จะถูกปิดไปแล้วหลังจากที่ปฎิบัติการเริ่มต้นเพียงแค่ 2 สัปดาห์ แต่ล่าสุดทาง Netlab กลับพบ วันที่ 8 มกราคม Satori สายพันธุ์ใหม่เริ่มแพร่ระบาดอย่างช้าๆ และมีการเพิ่ม Exploit เข้าไปอีก 1 รายการ ที่น่าสนใจคือ แทนที่จะพุ่งเป้าโจมตีอุปกรณ์ IoT แบบเดิม Exploit ดังกล่าวกลับถูกใช้โจมตี Claymore ซึ่งเป็นซอฟต์แวร์สำหรับทำ Cryptocurrency Mining แทน

จากการตรวจสอบพบว่า Exploit ที่เพิ่มเข้ามานี้ใช้โจมตีช่องโหว่บนระบบบริหารจัดการของ Claymore ช่วยให้แฮ็กเกอร์สามารถเข้าควบคุมอุปกรณ์ได้โดยที่ไม่จำเป็นต้องพิสูจน์ตัวตน ส่งผลให้แฮ็กเกอร์เปลี่ยนการตั้งค่าของ Claymore ไปให้ขุดเหรียญ Ethereum ให้ตนเองแทน

New pool: eth-us2.dwarfpool.com:8008
New wallet: 0xB15A5332eB7cD2DD7a4Ec7f96749E769A371572d

จนถึงตอนนี้ ผ่านมา 10 วัน พบว่า Satori สามารถทำรายได้จากการแฮ็กซอฟต์แวร์ Claymore ของคนอื่นไปแล้วมากกว่า 1 ETH (ประมาณ 32,000 บาท) แนะนำให้ผู้ใช้ Claymore สำหรับขุดเหรียญรีบตรวจสอบการตั้งค่าของตนและทำการอัปเดตซอฟต์แวร์เวอร์ชันล่าสุดทันที

รายละเอียดเชิงเทคนิค: http://blog.netlab.360.com/art-of-steal-satori-variant-is-robbing-eth-bitcoin-by-replacing-wallet-address-en/

ที่มา: https://www.bleepingcomputer.com/news/security/satori-botnet-is-now-attacking-ethereum-mining-rigs/


About techtalkthai

ทีมงาน TechTalkThai เป็นกลุ่มบุคคลที่ทำงานในสาย Enterprise IT ที่มีความเชี่ยวชาญทางด้าน Network, Security, Server, Storage, Operating System และ Virtualization มารวมตัวกันเพื่ออัพเดตข่าวสารทางด้าน Enterprise IT ให้แก่ชาว IT ในไทยโดยเฉพาะ

Check Also

ขอเชิญร่วมงานสัมมนาออนไลน์ Elevating Security with Akamai พบกับโซลูชันด้านความมั่นคงปลอดภัยที่ล้ำสมัยจาก Akamai Technologies [อังคารที่ 19 ธันวาคม 23] เวลา14.00 น.

ในยุคที่ภัยคุกคามทางไซเบอร์กำลังพัฒนาไปอย่างรวดเร็วอย่างที่ไม่เคยเกิดขึ้นมาก่อน ธุรกิจต่างๆ ต้องการโซลูชันความปลอดภัยที่แข็งแกร่งและครอบคลุมเพื่อปกป้องสินทรัพย์ดิจิทัลของบริษัท ขอเชิญผู้สนใจทุกท่านเข้าร่วมงานสัมมนาออนไลน์สุดพิเศษนี้ โดยท่านจะได้พบกับเทคโนโลยีการรักษาความปลอดภัยที่ล้ำสมัยจาก Akamai Technologies โดยมุ่งเน้นไปที่ความปลอดภัยของ API การปกป้องฝั่งไคลเอ็นต์ และตัวป้องกันบัญชี

ขอเชิญผู้สนใจเข้าร่วม งาน VSM365 | Softde’but Ep.18  ในหัวข้อ ❝ ปกป้ององค์กรของคุณ จากการโจมตีทางไซเบอร์ขั้นสูง ด้วย Proofpoint ❞

Softde’but ขอเชิญผู้สนใจเข้าร่วม งาน VSM365 | Softde’but Ep.18 ในหัวข้อ ❝ ปกป้ององค์กรของคุณ จากการโจมตีทางไซเบอร์ขั้นสูง ด้วย Proofpoint ❞ โดยงานจะจัดขึ้นในวันศุกร์ที่ …