พบมัลแวร์ตัวใหม่ที่มีชื่อว่า 'ProxyShellMiner' ได้ใช้ประโยชน์จากช่องโหว่ของ Microsoft Exchange ProxyShell เพื่อติดตั้งเครื่องขุด cryptocurrency ผ่านทาง Windows domain เพื่อขุดเหรียญ cryptocurrency ให้กับ Hacker

ProxyShell เป็นชื่อของช่องโหว่ Exchange สามรายการที่ถูกพบ และได้รับการแก้ไขไปแล้วโดย Microsoft ในปี 2021 โดยเมื่อใช้งานร่วมกันทั้งสามช่องโหว่ จะทำให้สามารถหลบเลี่ยงการตรวจสอบ และเรียกใช้โค้ดที่เป็นอันตรายจากระยะไกลได้ (Remote Code Execution (RCE)) จึงทำให้สามารถเข้าควบคุมเซิร์ฟเวอร์ Exchange ได้อย่างสมบูรณ์และเข้าถึงระบบอื่น ๆ บนเครือข่ายของเป้าหมายได้อีกด้วย

ProxyShellMiner

Morphisec บริษัทด้านความปลอดภัยทางไซเบอร์ ได้เปิดเผยการค้นพบมัลแวร์ตัวใหม่ที่ชื่อว่า 'ProxyShellMiner' ที่ใช้ประโยชน์จากช่องโหว่ CVE-2021-34473 และ CVE-2021-34523 ในการเข้าถึงเครือข่ายของเหยื่อ

จากนั้น Hacker จะปล่อยเพย์โหลดมัลแวร์ .NET ลงในโฟลเดอร์ NETLOGON ของ domain controller เพื่อให้แน่ใจว่าอุปกรณ์ทั้งหมดบนเครือข่ายจะเรียกใช้มัลแวร์ อีกทั้งเพื่อให้มัลแวร์สามารถใช้งานได้ จำเป็นต้องมีพารามิเตอร์บรรทัดคำสั่งที่เหมือนกับรหัสผ่านสำหรับส่วนประกอบของ XMRig miner

โดย ProxyShellMiner ใช้ embedded dictionary ซึ่งเป็นอัลกอริธึมแบบ XOR decryption ที่ดาวน์โหลดจากเซิร์ฟเวอร์ภายนอก จากนั้นจะใช้ตัวสั่งการที่ใช้ภาษา C# ในชื่อ CSC.exe และพารามิเตอร์ "InMemory" เพื่อดำเนินการใช้โมดูล embedded code ต่อไป

ต่อมา ProxyShellMiner จะดาวน์โหลดไฟล์ชื่อ "DC_DLL" และสั่ง .NET reflection เพื่อแยกอาร์กิวเมนต์สำหรับตัวกำหนด task scheduler, ค่า XML และ XMRig key ซึ่งไฟล์ DLL จะใช้สำหรับการถอดรหัสไฟล์เพิ่มเติม นอกจากนี้โปรแกรมทั้งสองรายการที่ทำการดาวน์โหลดมาก่อนหน้านี้จะทำการฝังตัวในระบบ (Persistence) ด้วยการสร้าง task scheduler ให้ทำงานเมื่อมีผู้ใช้งานเข้าสู่ระบบ และทำการดาวน์โหลด malware loader มาอีก 2 รายการพร้อมไฟล์อื่น ๆ อีกสี่ไฟล์

หลังจากนั้นจะทำการติดตั้งไปยัง browser ในระบบของเหยื่อเพื่อทำการฝังตัวในพื้นที่หน่วยความจำ ซึ่งเรียกกระบวนการนี้ว่า "process hollowing" จากนั้นจะเลือกกลุ่มการขุดแบบสุ่มจากรายการในฮาร์ดโค้ด และเริ่มการขุดเหรียญ cryptocurrency บนระบบของเหยื่อ

ในขั้นตอนสุดท้ายของกระบวนการโจมตี ProxyShellMiner จะทำการสร้าง firewall rule เพื่อบล็อกการรับส่งข้อมูลขาออกทั้งหมด โดยปรับใช้กับ Windows Firewall profile เพื่อป้องกันไม่ให้เหยื่อรู้ตัว รวมไปการถึงป้องกันการตรวจจับจากอุปกรณ์ป้องกันด้านความปลอดภัย โดยมัลแวร์จะรออย่างน้อย 30 วินาทีหลังจากที่ติดตั้งบน browser และก่อนที่จะสร้าง firewall rule เพื่อสร้าง backdoor ในการเรียกออกไปภายนอก

Morphisec ระบุว่า นอกจากผลกระทบที่จะทำให้ระบบเกิดปัญหา ประสิทธิภาพของเซิร์ฟเวอร์ลดลง และเครื่องร้อนเกินไปแล้วนั้น Hacker ยังสามารถโจมตีในรูปแบบอื่น ๆ ได้อีกด้วย เช่น เรียกใช้คำสั่งที่เป็นอันตรายจากระยะไกล (RCE) จึงแนะนำให้ผู้ดูแลระบบทำการอัปเดตแพตซ์ด้านความปลอดภัยอย่างสม่ำเสมอ รวมไปถึงจัดหาระบบตรวจจับ และป้องกันภัยคุกคามที่ครอบคลุม และหลากหลายเพื่อป้องกันระบบ

ที่มา : bleepingcomputer

ช่องโหว่ VMware Workspace ONE Access ที่ปัจจุบันได้รับการแก้ไขไปแล้ว พบว่ากำลังถูกใช้ในการโจมตีเพื่อติดตั้ง cryptocurrency miners และ Ransomware บนเครื่องที่ถูกโจมตี

Cara Lin นักวิจัยของ Fortinet FortiGuard Labs ระบุในรายงานว่า ผู้โจมตีตั้งใจที่จะใช้ทรัพยากรของเหยื่อให้มากที่สุดไม่เพียงแค่ติดตั้ง RAR1Ransom เท่านั้น แต่ยังเพื่อแพร่กระจาย GuardMiner เพื่อทำการขุดเหรียญคริปโตเคอเรนซี

ช่องโหว่นี้มีหมายเลข CVE-2022-22954 (คะแนน CVSS: 9.8) ซึ่งเป็นช่องโหว่ในการเรียกใช้โค้ดที่เป็นอันตรายจากระยะไกล ซึ่งเกิดจาก server-side template injection แม้ว่าช่องโหว่ดังกล่าวจะได้รับการแก้ไขไปแล้วโดย VMware ในเดือนเมษายน พ.ศ. 2565 แต่ก็ยังมีการพยายามโจมตีอยู่อย่างต่อเนื่อง

Fortinet ระบุว่าตรวจพบการโจมตีในเดือนสิงหาคม พ.ศ. 2565 ที่เป็นการพยายามโจมตีเพื่อติดตั้ง Mirai botnet บน Linux รวมถึง RAR1Ransom และ GuardMiner ซึ่งเป็นเวอร์ชันหนึ่งของ XMRig Monero miner

Mirai ถูกออกแบบมาเพื่อเปิดใช้การโจมตีแบบ DoS และ brute-force attacks โดยมุ่งเป้าไปที่อุปกรณ์ประเภท IoT

การแพร่กระจายของ RAR1Ransom และ GuardMiner โดยใช้ PowerShell หรือเชลล์สคริปต์ขึ้นอยู่กับระบบปฏิบัติการ RAR1ransom จะใช้ประโยชน์จาก WinRAR เพื่อล็อคไฟล์โดยการใส่รหัสผ่าน

นอกจากนี้ GuardMiner ยังมีความสามารถในการเผยแพร่ไปยังโฮสต์อื่น ๆ โดยใช้ช่องโหว่ในการเรียกใช้โค้ดจากระยะไกลในซอฟต์แวร์อื่น ๆ รวมถึงช่องโหว่ใน Apache Struts, Atlassian Confluence และ Spring Cloud Gateway

ที่มา: thehackernews