ผู้เชี่ยวชาญด้าน security นามว่า เจมส์ ควินน์ ได้พบกับ Cryptominers สายพันธุ์ใหม่ที่ชื่อว่า ZombieBoy ซึ่งอาจมีต้นกำเนิดมาจากประเทศจีน

ความสามารถของ ZombieBoy นั้นถือว่าหลากหลายมาก เช่น สามารถใช้เครื่องมือ Gh0st RAT เข้าจัดการไฟล์ dll(dynamic link library), ใช้งาน WinEggDrop ที่ทำให้แฮกเกอร์สามารถเข้าถึงคอมพิวเตอร์ที่ได้รับผลกระทบจากระยะไกลได้ และที่สำคัญคือสามารถลบเลี่ยงระบบ security ซึ่งรวมถึงช่องโหว่ RDP(Remote Desktop Protocol) รหัส CVE-2017-9073 และ Server Message Block Protocol) รหัส CVE-2017-0143 และ CVE-2017-0146 นอกจากการนี้ยังมีการใช้ DoublePulsar และ EternalBlue เพื่อสร้าง Backdoors สำหรับการติด Malware อื่นๆ ซึ่งสร้างความยากลำบากในการแก้ไขอย่างมาก

อีกหนึ่งความลำบากของการตรวจสอบ ZombieBoy คือไม่สามารถทำให้ ZombieBoy ทำงานบน VMs(virtual machines)ได้ ดังนั้นจึงไม่สามารถทำวิศวกรรมย้อนกลับ Malware ตัวนี้ได้

ที่มา:hackread

นักวิจัยด้านความปลอดภัยจากไทยคุณวรวิทย์ วังวรัญญู ได้ทำการพัฒนาเครื่องมือสำหรับโจมตีช่องโหว่ (exploit) ใหม่โดยมีต้นแบบจากเครื่องมือ ETERNALSYNERGY ที่ถูกเผยแพร่โดยกลุ่ม The Shadow Brokers โดยการพัฒนาเครื่องมือสำหรับโจมตีช่องโหว่ใหม่นี้ทำให้ความสามารถของ TERNALSYNERGY ได้ใช้ประโยชน์จาก ETERNALSYNERGY ซึ่งสามารถกำหนดเป้าหมายไปยังเวอร์ชันใหม่ๆของระบบปฏิบัติการ Windows ได้ เช่น Windows 10
ETERNALSYNERGY เป็นหนึ่งในเครื่องมือสำหรับโจมตีของ NSA ที่เปิดเผยโดยกลุ่มการแฮ็กเกอร์ Shadow Brokers ตามการวิเคราะห์ทางเทคนิคของ Microsoft เครื่องมือ ETERNALSYNERGY สามารถทำให้ผู้โจมตีสามารถรันโค้ดบนเครื่อง Windows โดยผ่านทางช่องโหว่จากโปรโตคอล SMB version 1 ช่องโหว่นี้ถูกกำหนดเป็น CVE-2017-0143

การโจมตีนี้ทำงานได้กับ Windows 8 ตามที่ Microsoft กล่าว ซึ่งเทคนิคที่ใช้ ETERNALSYNERGY แบบเดิมไม่ได้ผลกับบนแพลตฟอร์มใหม่ ๆ เนื่องจากมีการปรับปรุงความปลอดภัยของเคอร์เนลหลายจุด ปัจจุบันผู้บุกรุกสามารถใช้ประโยชน์จากทั้ง ETERNALSYNERGY และ ETERNALROMANCE เพื่อกำหนดเป้าหมายได้เกือบทุกเวอร์ชั่นของ Windows ตั้งแต่ XP ไปจนถึง Windows Server 2016 ยกเว้นเพียง Windows 10 นั่นคือประมาณ 75% ของพีซีทุกเครื่องที่ใช้ Windows ทั้งหมดที่มีในปัจจุบัน

ที่มา : bleepingcomputer