Impact Level : Medium
Affected Platform : Windows with SMBv1
Conclusion : เอาเป็นแบบอย่าง! มัลแวร์ขโมยข้อมูล Emomet และ Trickbot เริ่มมีโมดูลแพร่กระจายตัวเองตาม WannaCry และ NotPetya
นักวิจัยจาก FlashPoint ได้มีการตรวจพบรุ่นใหม่ (1000029) ของมัลแวร์ Trickbot ซึ่งเป็นมัลแวร์ขโมยข้อมูลที่แพร่กระจายเป็นจำนวนมากในสหรัฐฯ และอังกฤษ โดยในรุ่นใหม่ของ Trickbot นี้มีการเพิ่มฟีเจอร์ในการแพร่กระจายตัวเองตามแบบของ WannaCry และ NotPetya เข้าไปด้วย
Trickbot มีการใช้ EternalBlue ในการแพร่กระจายโดยโจมตีช่องโหว่ MS17-010 โดยมันจะทำการสแกนหาโดเมนในเครือข่ายโดยใช้ Windows API "NetServerEnum" และ LDAP จากเดิมที่แพร่กระจายเป็นหลักผ่านทางอีเมลฟิชชิ่ง จุดแตกต่างจาก WannaCry คือ Trickbot ไม่มีการสุ่มสแกนไอพีบนอินเตอร์เน็ตเพื่อแพร่กระจายกัน
นักวิจัยจาก Fidelis และ Barkly ก็ตรวจพบมัลแวร์ Emomet ในรุ่นที่พยายามกระจายตัวเองด้วยการโจมตีแบบ brute force เพื่อเข้าถึงระบบอื่นในเครือข่ายด้วย
Recommendation : แนะนำให้แพตช์ช่องโหว่ MS17-010 รวมถึงเพิ่มความปลอดภัยของระบบปฏิบัติการด้วยวิธีการ hardening เพื่อลดความเสี่ยงจากมัลแวร์เหล่านี้
ที่มา : ZDNet
You must be logged in to post a comment.