“Prometei” Botnet เวอร์ชันใหม่แพร่ระบาดกว่า 10,000 ระบบทั่วโลก

มัลแวร์ Botnet เวอร์ชันอัปเดต ชื่อ "Prometei" ได้แพร่กระจายไปมากกว่า 10,000 ระบบทั่วโลกตั้งแต่เดือนพฤศจิกายน 2022

การแพร่กระจายที่เกิดขึ้น มีรายงานว่าเหยื่อส่วนใหญ่อยู่ในประเทศบราซิล, อินโดนีเซีย และตุรกี

Prometei ถูกพบครั้งแรกในปี 2016 โดยเป็น Botnet ที่มีส่วนประกอบจำนวนมาก และมีหลากหลายวิธีในการการแพร่กระจาย เช่น การใช้ช่องโหว่ ProxyLogon ของ Microsoft Exchange Server

มีข้อสันนิษฐานเกี่ยวกับผู้โจมตีที่อยู่เบื้องหลังว่าอาจมีความเชื่อมโยงกับประเทศรัสเซีย เนื่องจาก Prometei หลีกเลี่ยงที่จะโจมตีเหยื่อที่อยู่ในประเทศรัสเซีย (more…)

GoBruteforcer มัลแวร์ตัวใหม่ใช้ภาษา Golang-Based โจมตีเว็บเซิร์ฟเวอร์ด้วยวิธีการ Brute-Force

พบมัลแวร์ตัวใหม่ที่ใช้ภาษา Golang ชื่อว่า 'GoBruteforcer' มุ่งเป้าหมายไปที่เซิร์ฟเวอร์ phpMyAdmin, MySQL, FTP, และ Postgres เพื่อเชื่อมโยงอุปกรณ์เข้า botnet

นักวิจัยของ Palo Alto Networks Unit 42 กล่าวว่า "GoBruterforcer ใช้ Classless Inter-Domain Routing (CIDR) block เพื่อสแกนเครือข่ายในระหว่างการโจมตี และมีเป้าหมายเป็นที่อยู่ IP ทั้งหมดของ CIDR range"

ผู้ไม่หวังดีใช้การสแกน CIDR block เพื่อเข้าถึงเครือข่ายเป้าหมายบน IP ที่แตกต่างกันภายในเครือข่าย แทนที่จะใช้ IP แบบเดียวเป็นเป้าหมาย (more…)

MyloBot Botnet แพร่กระจายอย่างรวดเร็วทั่วโลกมากกว่า 50,000 เครื่องต่อวัน

BitSight บริษัทด้านความปลอดภัย ได้ค้นพบ Botnet ที่มีความน่าสนใจซึ่งมีการแพร่กระจายได้อย่างรวดเร็วในชื่อ MyloBot โดยเหยื่อส่วนใหญ่อยู่ในประเทศอินเดีย สหรัฐอเมริกา อินโดนีเซีย และอิหร่าน โดยพบว่ามีเครื่องที่ติด MyloBot เพิ่มเฉลี่ย 50,000 เครื่องต่อวัน ซึ่งพบว่าลดลงจากปี 2020 ที่มีติดเฉลี่ย 250,000 เครื่องต่อวัน (more…)

Microsoft: Sysrv botnet targets Windows, Linux servers with new exploits

Sysrv botnet กำหนดเป้าหมายเซิร์ฟเวอร์ Windows และ Linux ด้วยช่องโหว่ใหม่

Microsoft กล่าวว่า Sysrv botnet กำลังใช้ประโยชน์จากช่องโหว่ใน Spring Framework และ WordPress เพื่อติดตั้งมัลแวร์ cryptomining บนเซิร์ฟเวอร์ Windows และ Linux ที่มีช่องโหว่

Microsoft ค้นพบมัลแวร์ Sysrv สายพันธุ์ใหม่ที่ชื่อว่า Sysrv-K ที่ถูกพัฒนาให้มีความสามารถมากขึ้น และยังสามารถสแกนหา WordPress ที่ไม่ได้แพตช์ และมีการใช้ Spring

โดยทีม Microsoft Security Intelligence กล่าวในเธรดบน Twitter ถึง Sysrv-K ที่มีความสามารถเข้าควบคุมเว็บเซิร์ฟเวอร์ได้โดยใช้ประโยชน์จากช่องโหว่ต่างๆ โดยช่องโหว่เหล่านี้ได้มีการแก้ไขแล้วด้วยการอัปเดตความปลอดภัย รวมถึงช่องโหว่เก่าใน WordPress plugins และช่องโหว่ใหม่ๆ เช่น CVE-2022-22947

CVE-2022-22947 เป็นช่องโหว่ Code injection บน Spring Cloud Gateway library ที่ทำให้ถูกโจมตีในรูปแบบ remote code execution บนระบบที่ยังไม่ได้อัปเดตแพตช์ได้ โดยในส่วนหนึ่งของความสามารถใหม่เหล่านี้ Sysrv-K จะสแกนหา configuration files และ backups ของ WordPress เพื่อขโมย database credentials และใช้ในการเข้าควบคุมเว็บเซิร์ฟเวอร์

Sysrv กำลังสแกนจากอินเทอร์เน็ต เพื่อหาเซิร์ฟเวอร์ Windows และ Linux ที่มีช่องโหว่ในองค์กร เพื่อติดตั้ง Monero (XMRig) miners และเพย์โหลดมัลแวร์อื่นๆ

ในการแฮ็กเข้าสู่เว็บเซิร์ฟเวอร์เหล่านี้ botnet จะใช้ประโยชน์จากช่องโหว่ในเว็บแอป และฐานข้อมูล เช่น PHPUnit, Apache Solar, Confluence, Laravel, JBoss, Jira, Sonatype, Oracle WebLogic และ Apache Struts

หลังจากติดตั้ง cryptocurrency miners และปรับใช้ payloads ของตัวเองแล้ว Sysrv ยังแพร่กระจายตัวเองโดยอัตโนมัติบนเครือข่ายผ่านการ brute force attacks โดยใช้ SSH private keys ที่รวบรวมจากเซิร์ฟเวอร์ที่ติดมัลแวร์ (เช่น bash history, ssh config, and known_hosts files)

botnet propagator จะสแกนไปบนอินเทอร์เน็ตเพื่อหาระบบ Windows และ Linux ที่มีช่องโหว่ให้มากขึ้น เพื่อทำการเพิ่ม Monero mining bots

ที่มา : www.

พบ Botnet ใหม่ บนระบบปฏิบัติการ Linux ใช้ประโยชน์จากช่องโหว่ Log4J โดยใช้ DNS Tunneling ในการติดต่อกลับไปยัง C&C Server

Botnet ที่ถูกพบเมื่อไม่นานมานี้ กำลังมุ่งเป้าไปที่ระบบปฏิบัติการ Linux โดยพยายามยึดครองเครื่องเหยื่อเพื่อสร้างเป็น Army of Bots ที่พร้อมจะขโมย sensitive info, ติดตั้ง Rootkits, สร้าง Reverse Shells, และทำหน้าที่เป็น Web Traffic Proxies

มัลแวร์ที่เพิ่งค้นพบใหม่นี้มีชื่อเรียกว่า B1txor20 โดยนักวิจัยที่ Network Security Research Lab ของ Qihoo 360(360 Netlab) ซึ่งพบว่าตัวมันมุ่งเป้าการโจมตีไปยังระบบปฏิบัติการ Linux ARM, X64 CPU

Botnet ใช้ช่องโหว่ Log4J เพื่อแพร่กระจายมัลแวร์ ซึ่งเป็น Attack Vector ที่น่าสนใจเนื่องจากมี Vendors หลายสิบรายใช้ไลบรารี Apache Log4j Logging ที่มีช่องโหว่

นักวิจัยพบ Botnet B1txor20 เป็นครั้งแรกเมื่อวันที่ 9 กุมภาพันธ์ บนระบบ Honeypot ของพวกเขา

มัลแวร์ B1txor20 เป็น Backdoor บน Linux Platform ซึ่งใช้เทคโนโลยี DNS Tunneling เพื่อสร้างช่องทางการสื่อสารกับ C2 นอกเหนือจากฟังก์ชัน Backdoor แล้ว B1txor20 ยังมีฟังก์ชันต่าง ๆ เช่น การเปิด Socket5 Proxy, การดาวน์โหลดและติดตั้ง Rootkit จากระยะไกล

DNS Tunneling ใช้เพื่อปกปิดการรับส่งข้อมูลกับ C2

สิ่งที่ทำให้มัลแวร์ B1txor20 โดดเด่นคือ การใช้ DNS tunneling สำหรับช่องทางการสื่อสารกับเซิร์ฟเวอร์ Command and Control(C2) ซึ่งเป็นเทคนิคที่เก่าแต่ยังคงเชื่อถือได้ โดยผู้ไม่หวังดีใช้ประโยชน์จากโปรโตคอล DNS เพื่อสร้าง tunnel malware และ data via DNS queries

นักวิจัยอธิบายเกี่ยวกับมัลแวร์ไว้ว่า "Bot จะส่งข้อมูลสำคัญที่ถูกขโมย เช่น ผลการดำเนินการตามคำสั่ง และข้อมูลอื่น ๆ ไปยัง C2 ในลักษณะ DNS request" หลังจากได้รับ Request แล้ว C2 จะส่ง Payload กลับไปยัง Bot เพื่อตอบกลับ DNS request ด้วยวิธีนี้ Bot และ C2 จึงสามารถสื่อสารได้โดยใช้โปรโตคอล DNS ได้

นักวิจัย 360 Netlab ยังพบ Features ที่พัฒนาแล้วจำนวนมากที่ยังไม่ได้ถูกนำไปใช้ เนื่องจาก Features บางอย่างยังไม่สมบูรณ์ เราคิดว่าผู้พัฒนามัลแวร์ B1txor20 จะยังคงปรับปรุง และเปิดใช้งาน Features ต่าง ๆ ในอนาคต

ข้อมูลเพิ่มเติม รวมถึง indicators of compromise (IOCs) และรายการคำสั่ง C2 ทั้งหมด ดูได้ที่ 360 Netlab report

การใช้ประโยชน์จากช่องโหว่ Log4J อย่างต่อเนื่องโดย Botnets

ตั้งแต่มีการเปิดเผยช่องโหว่ของ Log4J ผู้ไม่หวังดีจำนวนมากเริ่มใช้ช่องโหว่ดังกล่าวในการโจมตี รวมถึงกลุ่มที่ได้รับการสนับสนุนซึ่งมีข้อมูลเชื่อมโยงกับรัฐบาลในจีน, อิหร่าน, เกาหลีเหนือ, และตุรกี รวมถึงโดย Ransomware gangs

นักวิจัย 360 Netlab กล่าวเสริมว่า "เนื่องจากช่องโหว่ของ Log4J ถูกเปิดเผยออกมา เราจึงเห็นมัลแวร์จำนวนมากขึ้นเช่น wagon, Elknot, Gafgyt, Mirai" ตัวอย่างเช่น ในเดือนธันวาคม พบผู้ไม่หวังดีใช้ประโยชน์จากช่องโหว่ด้านความปลอดภัยของ Log4J เพื่อทำให้อุปกรณ์ Linux ที่มีช่องโหว่ ติดมัลแวร์ Mirai และมัลแวร์ Muhstik

Barracuda ยืนยันรายงานของ 360 Netlab เมื่อต้นเดือนที่ผ่านมา โดยกล่าวว่าพวกเขาพบ Payloads ต่าง ๆ ที่กำหนดเป้าหมายการโจมตีไปยัง Server ที่มีช่องโหว่ Log4j เช่นเดียวกัน

ที่มา : bleepingcomputer

แฮกเกอร์พบช่องโหว่ใหม่สำหรับข้ามขั้นตอนการพิสูจน์ตัวตนบน Router ที่ใช้เฟิร์มแวร์ Arcadyan กระทบผู้ใช้งานจำนวนมาก

 

กลุ่มแฮกเกอร์ไม่ทราบชื่อกำลังใช้ประโยชน์จากช่องโหว่ร้ายแรงในการข้ามขั้นตอนการพิสูจน์ตัวตน ทำให้สามารถเข้าควบคุม Router และแพร่มัลแวร์ Mirai botnet เพื่อใช้ในการโจมตี DDoS

CVE-2021-20090 (CVSS score: 9.9) เป็นช่องโหว่ Path Traversal บนเว็บอินเตอร์เฟสของ Router ซึ่งทำให้แฮกเกอร์สามารถข้ามขั้นตอนการพิสูจน์ตัวตนเพื่อเข้าควบคุม Router ได้ ซึ่งช่องโหว่นี้เกิดขึ้นกับเฟิร์มแวร์ของ Arcadyan โดยผู้เชี่ยวชาญจาก Tenable ได้เปิดเผยเมื่อวันที่ 3 สิงหาคม ว่าช่องโหว่นี้น่าจะมีมานานกว่า 10 ปีแล้ว  ซึ่งส่งผลกระทบกับ Router อย่างน้อย 20 รุ่นจากผู้ผลิต 17 ราย

 

การใช้ประโยชน์จากช่องโหว่นี้จะทำให้แฮกเกอร์สามารถข้ามขั้นตอนการพิสูจน์ตัวตน และเข้าถึงข้อมูลสำคัญต่างๆ ได้ เช่น Request tokens ซึ่งสามารถใช้เพื่อส่ง Request ไปแก้ไขการตั้งค่าของ Router ได้

ต่อมาไม่นาน Juniper Threat Labs ก็ค้นพบการโจมตีซึ่งพยายามจะใช้ประโยชน์จากช่องโหว่นี้มาจาก IP address ซึ่งระบุว่าอยู่ในประเทศจีน โดยเริ่มตั้งแต่วันที่ 5 สิงหาคม ที่แฮกเกอร์พยายามจะปล่อย Mirai botnet ไปยัง Router ต่างๆ ซึ่งผู้เชี่ยวชาญให้ความเห็นว่าพฤติกรรมการโจมตีที่พบนี้แสดงให้เห็นว่าเป็นการโจมตีจากแฮกเกอร์กลุ่มเดียวกันกับรายงานเหตุการณ์การโจมตีของผู้เชี่ยวชาญจาก Palo Alto Network ซึ่งได้พบเห็นการโจมตีในรูปแบบเดียวกันนี้ตั้งแต่ในช่วงเดือนมีนาคม

นอกจากช่องโหว่ CVE-2021-20090 แล้ว แฮกเกอร์ยังพยายามใช้ช่องโหว่อื่นๆ ในการโจมตี Router อีก เช่น

CVE-2020-29557 (Pre-authentication remote code execution in D-Link DIR-825 R1 devices)
CVE-2021-1497 และ CVE-2021-1498 (Command injection vulnerabilities in Cisco HyperFlex HX)
CVE-2021-31755 (Stack buffer overflow vulnerability in Tenda AC11 leading to arbitrary code execution)
CVE-2021-22502 (Remote code execution flaw in Micro Focus Operation Bridge Reporter)
CVE-2021-22506 (Information Leakage vulnerability in Micro Focus Access Manager)

เพื่อหลีกเลี่ยงการถูกโจมตี ผู้เชี่ยวชาญได้แนะนำให้ผู้ใช้งานพยายามอัพเดตเฟิร์มแวร์ของ Router ให้เป็นเวอร์ชันปัจจุบันอยู่เสมอ

ที่มา: thehackernews

กลุ่ม Cryptojacking จากโรมาเนีย มีการใช้เทคนิคการ Brute force แบบใหม่ “Diicot brute” เพื่อถอดรหัสผ่านบนเครื่องที่ใช้ Linux และติดตั้งมัลแวร์ cryptominer

นักวิจัยของ Bitdefender ให้ข้อมูลว่า กลุ่ม Crytojacking โจมตีด้วยวิธีการ SSH brute-forcer ที่เรียกว่า Diicot brute เพื่อเข้าถึงเครื่อง Linux และติดตั้ง miner XMRig ซึ่งเป็น open-source ที่ถูกดัดแปลงเพื่อใช้ในการทำ Crytojacking โดยกลุ่มแฮกเกอร์จำนวนมาก

นักวิจัยกล่าวว่า กลุ่ม Crytojacking นี้มีความเกี่ยวข้องกับ botnet ที่พัฒนาบน Linux-based ซึ่งมักใช้ในการทำ DDoS อย่างน้อย 2 ตัวด้วยกันคือ “Chernobyl” และ Perl IRC bot โดยแรงจูงใจหลักของ campaign นี้คือการติดตั้งมัลแวร์สำหรับขุด Monero Coin (XMR) และยังมีเครื่องมือที่สามารถขโมยข้อมูลจากผู้ใข้งานได้

Cryptojacking ได้รายได้จากการขุดไม่มากนัก เลยเป็นเหตุผลให้ผู้โจมตีนิยมใช้ botnet เพื่อพยายามแพร่กระจายไปยังอุปกรณ์ต่างๆให้มากที่สุด เพราะการต้องติดตั้งระบบเพื่อใช้ในการขุด Cryptocurrency ไม่คุ้มค่ามากพอในปัจจุบัน ดังนั้นผู้โจมตีจึงต้องใช้วิธีเข้าควบคุมเครื่องต่างๆที่พวกเค้าควบคุมไว้จากระยะไกลแทน

ผู้โจมตีกำหนดเป้าหมายไปที่เครื่องที่มีการตั้งค่าเริ่มต้น หรือรหัสผ่านที่ไม่ปลอดภัย เป็นเหตุผลว่าทำไมผู้ใช้งานถึงโดน SSH Brute-forcing ได้อย่างง่ายดาย

ผู้เชี่ยวชาญจาก Bitdefender กล่าวเพิ่มเติมว่า การที่แฮกเกอร์ Brute force SSH ที่มีรหัสผ่านที่สามารถคาดเดาได้ง่ายไม่ใช่เรื่องแปลก แต่ที่วิธีการที่ทำให้ไม่สามารถตรวจจับการโจมตีได้เป็นเรื่องที่ยากกว่า ซึ่ง Diicot Brute force มีความสามารถในการหลบเลี่ยงระบบที่คาดว่าถูกทำไว้เป็น Honeypots ได้อีกด้วย

นักวิจัยจาก Bitdefenderได้ติดตามกลุ่ม Cryptojacking ซึ่งพบการดาวน์โหลดมัลแวร์จาก “.93joshua” แต่น่าแปลกที่สามารถตรวจพบ “[http://45[.]32[.]112[.]68/.sherifu/.93joshua]” ในไดเร็กทอรีที่สามารถเปิดได้อย่างง่ายผิดปกติ แม้ว่าจะมีการซ่อนไฟล์จำนวนมากรวมไว้ในสคริปต์อื่นๆ และนักวิจัยยังพบว่ามีโดเมนที่เกี่ยวข้องอื่นๆเช่น mexalz.

นักวิจัยตรวจพบ Botnet กำลังพยายามสแกนหาไฟล์ ENV ที่ถูกเก็บโดยไม่ปลอดภัยจากอินเทอร์เน็ตเป็นจำนวนมาก

Daniel Bunce นักวิจัยด้านความปลอดภัยจาก SecurityJoes ได้เปิดเผยถึงกลุ่มผู้ประสงค์ร้ายทำการใช้ Botnet เพื่อสแกนหาไฟล์ ENV หรือ Environment file ที่ถูกเก็บโดยไม่ปลอดภัย โดยไฟล์ ENV เป็นไฟล์คอนฟิกูเรชันประเภทหนึ่งที่มักถูกใช้ใน development tool เฟรมเวิร์กเช่น Docker, Node.

Microsoft และกลุ่มพันธมิตรเตรียมจัดการขั้นเด็ดขาดกับ TrickBot botnet

 

 

 

 

 

 

Microsoft Defender team และกลุ่มพันธมิตรอันประกอบไปด้วย FS-ISAC, ESET, Lumen Black Lotus Labs, NTT และ Symantec ได้ประกาศถึงความพยายามในการประสานงานเพื่อทำการปิดโครงสร้างพื้นฐานที่เป็นแบ็กเอนด์ของบ็อตเน็ต TrickBot

การประสานความร่วมมือระหว่า Microsoft, ESET, Symantec และกลุ่มพันธมิตรอื่นๆ ที่ใช้เวลาหลายเดือนในการรวบรวมตัวอย่างมัลแวร์ TrickBot ที่มีจำนวนมากกว่า 125,000 ตัวอย่าง ซึ่งจากการวิเคราะห์เนื้อหา, การแยกข้อมูลและการจัดกลุ่มข้อมูลที่เกี่ยวกับการทำงานภายในของมัลแวร์รวมถึงเซิร์ฟเวอร์ทั้งหมดที่บ็อตเน็ตใช้ควบคุมคอมพิวเตอร์ที่ติดไวรัสและให้บริการโมดูลเพิ่มเติม เพื่อขออำนาจจากศาลในการเข้าควบคุมเซิร์ฟเวอร์บ็อตเน็ต TrickBot

ซึ่งด้วยหลักฐานทีทำการรวมรวมมานี้ศาลได้อนุมัติให้ Microsoft และกลุ่มพันธมิตรสามารถทำการปิดการใช้งาน IP addresses, ข้อมูลและเนื้อหาที่ถูกจัดเก็บไว้ใน C&C เซิร์ฟเวอร์และยังสามารถระงับการให้บริการเซิร์ฟเวอร์ทั้งหมดที่ทำการเชื่อมต่อไปยังบ็อตเน็ตจากผู้เช่าบริการเซิร์ฟเวอร์

บ็อตเน็ต TrickBot ถูกพบครั้งแรกในปี 2016 ในรูปแบบของ banking trojan ก่อนที่จะถูกพัฒนาไปเป็นมัลแวร์อเนกประสงค์ที่กลุ่มอาชญากรใช้ในการเเพร่กระจายและให้บริการในรูปที่เรียกว่า MaaS (Malware-as-a-Service) ซึ่งเป็นรูปแบบการให้บริการเช่ามัลแวร์เพื่อใช้ในการโจมตี นอกจากนี้บ็อตเน็ต TrickBot ยังมีความเชื่อมโยงกับกลุ่ม ransomware เช่น Ryuk และ Conti อีกด้วย

ที่มา: zdnet.

IBM เผย Mozi Botnet เเพร่กระจายในเครือข่ายอุปกรณ์ IoT ถึง 90 % ในช่องครึ่งปีที่ผ่านมา

IBM เผย Mozi Botnet เเพร่กระจายในเครือข่ายอุปกรณ์ IoT ถึง 90 % ในช่องครึ่งปีที่ผ่านมา

IBM ได้ออกรายงานถึงการเเพร่กระจายของ botnet ในระหว่างเดือนตุลาคม 2019 ถึงเดือนมิถุนายน 2020 โดยรายงานพบว่าการเเพร่กระจายกว่า 90 เปอร์เซ็นต์นั้นมากจาก Mozi botnet ซึ่งใช้เครือข่าย loT เป็นฐานในการเเพร่กระจาย

Mozi botnet ถูกตรวจพบโดยผู้เชี่ยวชาญด้านความปลอดภัยจาก 360 Netlab ซึ่งในช่วงเวลาที่ค้นพบนั้น botnet มีการกำหนดเป้าหมายไปที่เราเตอร์ Netgear, D-Link และ Huawei โดยการโจมตีผ่านการ brute force รหัสผ่าน Telnet ที่อ่อนแอ เมื่อเข้าถึงอุปกรณ์ได้แล้ว botnet จะพยายามเรียกใช้เพย์โหลดที่เป็นอันตรายและ botnet จะใช้เครือข่าย Mozi P2P ที่ถูกสร้างโดยใช้โปรโตคอล Distributed Hash Table (DHT) เพื่อสร้างเครือข่าย P2P ในการเเพร่กระจาย

นอกจากการเเพร่กระจายแล้ว Mozi botnet ยังมีความสามารถในการการโจมตี DDoS, การรวบรวมข้อมูล, ดำเนินการเพย์โหลดของ URL ที่ระบุและเรียกใช้ระบบหรือคำสั่งที่กำหนดเอง ทั้งนี้นักวิจัยของ IBM ได้ค้นพบว่าโครงสร้างพื้นฐานที่ Mozi botnet ใช้นั้นตั้งอยู่ในประเทศจีนเป็นหลัก (84%)

นักวิจัยคาดว่าอุปกรณ์ที่จะได้รับผลกระทบจาก Mozi botnet คือ เราเตอร์ Eir D1000, อุปกรณ์ Vacron NVR , อุปกรณ์ที่ใช้ Realtek SDK, Netgear R7000 และ R6400, เราเตอร์ DGN1000 Netgear, MVPower DVR, เราเตอร์ Huawei HG532, อุปกรณ์ D-Link, GPON เราเตอร์, อุปกรณ์ D-Link, กล้องวงจรปิด DVR

เพื่อปกป้องอุปกรณ์ IoT และเราเตอร์จากการโจมตี ผู้ใช้ควรทำการอัปเดตเฟิร์มแวร์เป็นเวอร์ชันล่าสุดและควรทำการเปลื่ยนรหัสผ่านตั้งต้นเป็นรหัสผ่านที่ปลอดภัย ทั้งนี้ควรปิดการใช้งานเข้าถึงจากระยะไกลผ่านอินเทอร์เน็ตหากไม่จำเป็น

โดยสามารถดู IOC ได้จาก : Securityintelligence

ที่มา : Securityaffairs | blog.