มีการใช้ช่องโหว่ SambaCry เพื่อติดตั้งแบ็คดอร์บนอุปกรณ์ Linux ที่ใช้เซิร์ฟเวอร์แชร์ไฟล์ Samba เวอร์ชันเก่า
ผู้เชี่ยวชาญจากบริษัท Trend Micro กล่าวว่าการโจมตีส่วนใหญ่ได้มุ่งเป้าไปที่อุปกรณ์จัดเก็บข้อมูลแบบ NAS (Network-attached Storage) ซึ่งบางส่วนจะมาพร้อมกับเซิร์ฟเวอร์ Samba เพื่อให้สามารถทำงานร่วมกันระหว่างไฟล์ระบบปฏิบัติการต่างๆได้
มัลแวร์ที่นักวิจัยให้ชื่อว่า SHELLBIND ได้ใช้ประโยชน์จากช่องโหว่ SambaCry (หรือ EternalRed) ที่เปิดเผยต่อสาธารณในปลายเดือนพฤษภาคม 2017 ช่องโหว่ CVE-2017-7494 มีผลกับซอฟต์แวร์ Samba ทุกเวอร์ชันที่เปิดตัวในช่วงเจ็ดปีที่ผ่านมาตั้งแต่เวอร์ชัน 3.5.0 เป็นต้นไป สองสัปดาห์หลังจากที่ทีม Samba แก้ไขซอฟต์แวร์และรายละเอียดช่องโหว่แก่สาธารณะ มีการใช้ SambaCry เพื่อติดตั้งเซิร์ฟเวอร์ Linux และติดตั้งโปรแกรมเหมืองเงินดิจิทัล EternalMiner
นักวิจัยชี้ SHELLBIND เป็นโทรจันแบ็คดอร์ที่ช่วยให้ผู้โจมตีสามารถใช้ remote shell ที่เครื่องของเหยื่อได้ โทรจันนี้ได้รับการกำหนดค่าให้เปลี่ยนกฎไฟร์วอลล์และเปิดพอร์ต TCP 61422 ดังนั้นผู้โจมตีจึงสามารถเชื่อมต่อกับอุปกรณ์ที่ถูกบุกรุกได้
ที่มา : bleepingcomputer
You must be logged in to post a comment.