GuardiCore ออกประกาศแจ้งเตือนหลังจากค้นพบพฤติกรรมของมัลแวร์ชนิดใหม่ Prowli ซึ่งมุ่งโจมตีระบบด้วยวิธีการ brute force แล้วไปถึงใช้ช่องโหว่ที่เป็นที่รู้จักกันอยู่แล้วเพื่อเข้าควบคุมระบบ โดยมีจุดประสงค์ในการใช้ระบบเพื่อขุดบิทคอยน์และใช้เพื่อเป็นฐานการโจมตีในลักษณะอื่นๆ
มัลแวร์ Prowli มีการใช้ช่องโหว่ดังต่อไปนี้
- ในกรณีที่เป้าหมายเป็นเว็บไซต์ WordPress มัลแวร์จะใช้ช่องโหว่ที่มีอยู่แล้วรวมไปถึงการเดารหัสผ่านเพื่อเข้าถึงหน้าการตั้งค่า
- ในกรณีที่เป้าหมายเป็น Joomla! ที่มีการรันส่วนเสริม K2 มัลแวร์จะใช้ช่องโหว่รหัส CVE-2018-7482
- ในกรณีที่เป้าหมายเป็นอุปกรณ์โมเด็ม มัลแวร์จะพุ่งเป้าโจมตีเซอร์วิส TR-064 และ TR-069 ที่มีช่องโหว่อยู่แล้ว
- ในกรณีที่เป้าหมายเป็นอุปกรณ์ HP Data Protector มัลแวร์จะใช้ช่องโหว่รหัส (CVE-2014-2623)
- ใช้การคาดเดารหัสผ่านสำหรับ Drupal, phpMyadmin, NFS และ SMB
เมื่อเข้าควบคุมระบบเป้าหมายได้สำเร็จมัลแวร์จะมีการใช้แบ็คดอร์อย่าง WSO Web Shell รวมไปถึงติดตั้งโปรแกรมขุดบิทคอยน์และใช้ระบบดังกล่าวในเป็นช่องทางในการแพร่กระจายมัลแวร์อื่นๆ ด้วย
ที่มา: bleepingcomputer
You must be logged in to post a comment.