Coinminer Campaigns Target Redis, Apache Solr, and Windows Servers

สัปดาห์ที่ผ่านมา มีการแจ้งเตือนว่า Windows Server, Redis และ Apache Solr กำลังตกเป็นเป้าหมายในการโจมตีและติดตั้งมัลแวร์ coinminer เป็นจำนวน การโจมตีดังกล่าวนั้นสามารถแยกออกได้เป็น 2 รูปแบบ

** รูปแบบการโจมตีที่พุ่งเป้า Redis และ Windows Server **

จากรายงาน Imperva ได้ตั้งชื่อสำหรับแคมเปญนี้ว่า RedisWannaMine โดยแฮกเกอร์จะอาศัยช่องโหว่ของ Redis ที่เป็นเวอร์ชั่นเก่าๆ ที่ได้รับหมายเลขช่องโหว่ CVE-2017-9805 เพื่อโจมตีเซิร์ฟเวอร์ผ่านทางอินเตอร์เน็ต เมื่อเข้าถึงเครื่องเหยื่อสำเร็จแล้ว แฮกเกอร์จะทำการติดตั้งมัลแวร์ ReddisWannaMine หลังจากนั้นก็จะทำการรัน coinminer นอกจากนี้ ReddisWannaMine ยังสามารถแพร่กระจายตัวเองด้วยการสแกนหาเครื่องเหยื่อที่มีการใช้งาน SMB เพื่อโจมตีผ่านช่องโหว่อีกด้วย

** รูปแบบการโจมตีที่พุ่งเป้า Apache Solr **

ทีม ISC SANS กล่าวว่ายังมี Apache Solr ที่ตกเป็นเป้าหมายในการโจมตีครั้งนี้อีกด้วย โดยโจมตีผ่านทางช่องโหว่ Apache Solr ที่ไม่ได้ทำการอัพเดทแพทช์หมายเลข CVE-2017-12629 แต่การทำงานก็ไม่ได้ต่างจาก ReddisWannaMine มากนัก โดยจะเน้นไปที่ใช้เครื่องเหยื่อที่ติดไวรัสเพื่อขุดเหมือง ทาง ISC SANS ได้ระบุถึงเครื่อง เซิร์ฟเวอร์ ที่ได้รับผลกระทบโดยประมาณ 1,777 ราย เกิดขึ้นในช่วง วันที่ 28 กุมภาพันธ์ และวันที่ 8 มีนาคม ที่ผ่านมา

ที่มา : bleepingcomputer

Read more