นักวิจัยด้านความปลอดภัยจาก Juniper Threat Labs ได้ทำการตรวจพบเวิร์มและบ็อตเน็ตชนิดใหม่ที่อาศัย GitHub และ Pastebin ในการสร้างโค้ดคอมโพเนนต์ที่เป็นอันตรายและมีโมดูลในการโจมตีที่แตกต่างกันอย่างน้อย 12 โมดูลและมัลแวร์ยังมีความสามารถในการแพร่กระจายในรูปแบบอัตโนมัติ โดยมัลแวร์อาจนำไปสู่การแพร่กระจายภายในเครือข่ายองค์กรหรือไปยังโฮสต์ของผู้ใช้ที่ทำการเชื่อมต่อ ซึ่งนักวิจัยได้มัลแวร์ชนิดนี้ว่า “Gitpaste-12”
มัลแวร์“Gitpaste-12” ถูกตรวจพบครั้งแรกประมาณวันที่ 15 ตุลาคม ที่ผ่านมา โดยมัลแวร์จะมีโมดูลที่ใช้ในการโจมตีซึ่งประกอบไปด้วยช่องโหว่จำนวน 11 ช่องโหว่คือ CVE-2017-14135 (Webadmin plugin for opendreambox), CVE-2020-24217 (HiSilicon video encoders), CVE-2017-5638 (Apache Struts), CVE-2020-10987 (Tenda router), CVE-2014-8361 (Realtek SDK), CVE-2020-15893 (Dlink routers), CVE-2013-5948 (Asus routers), EDB-ID: 48225 (Netlink GPON Router), EDB-ID: 40500 (AVTECH IP Camera), CVE-2019-10758 (CVE-2019-10758) และ CVE-2017-17215 (Huawei router)
นักวิจัยกล่าวว่าขึ้นตอนการโจมตีของ Gitpaste-12 จะเริ่มต้นโดยการดาวน์โหลดสคริปต์จาก Pastebin URL ซึ่งจะสั่งให้โฮสต์ที่ติดเชื้อเรียกใช้สคริปต์นี้ต่อไปทุกๆ นาที จากนี้มัลแวร์จะดาวน์โหลด Shell script หลักจาก GitHub ซึ่งก็คือ https: //raw.githubusercontent [.] com/cnmnmsl-001/-/master/shadu1 (ปัจจุบันถูกลบออกไปแล้ว) โดยภายในสคริปต์มีคำสั่งหลายคำสั่งสำหรับผู้โจมตีเพื่อปิดใช้งานความสามารถด้านความปลอดภัยที่แตกต่างกันของระบบ ซึ่งอาจรวมถึง Firewall rules, SELinux และ AppArmor เป็นต้น นอกจากนี้มัลแวร์ยังได้ทำการติดตั้งเครื่องมือ Cryptocurrency Monero (XMR) เพื่อใช้ในการขุด Cryptocurrency อีกด้วย
นักวิจัยยังตั้งข้อสังเกตว่าระบบที่ถูกบุกรุกบางระบบมีพอร์ต TCP 30004 และ 30005 ที่เปิดสำหรับรับคำสั่งผ่าน reverse shell ทั้งนี้ผู้ดูแลระบบสามารถดู Indicators of Compromise (IOCs) ได้ที่เเหล่งที่มา
ที่มา: bleepingcomputer.com