นักวิจัยจาก Palo Alto Network ได้เปิดเผยถึงการตรวจพบมัลแวร์ Cryptojacking ชนิดใหม่ที่มีชื่อว่า Pro-Ocean ของกลุ่มแฮกเกอร์ Rocke ที่พุ่งเป้าหมายไปยังเซิร์ฟเวอร์อินสแตนซ์ที่มีช่องโหว่ของ Apache ActiveMQ, Oracle WebLogic และ Redis

มัลแวร์ Pro-Ocean กำหนดเป้าหมายการโจมตีไปยังแอปพลิเคชันบนคลาวด์เซิร์ฟเวอร์และใช้ประโยชน์จากช่องโหว่ของเซิร์ฟเวอร์ Oracle WebLogic (CVE-2017-10271), Apache ActiveMQ (CVE-2016-3088) และอินสแตนซ์ Redis ที่ไม่ได้รับการแพตช์ความปลอดภัยเพื่อเข้าควบคุมเซิร์ฟเวอร์ของเป้าหมาย

นักวิจัยจาก Palo Alto Networks ได้ทำการวิเคราะห์มัลแวร์และพบว่ามัลแวร์มีความสามารถของรูทคิตและเวิร์มที่ถูกทำการปรับปรุงใหม่ ซึ่งจะช่วยให้มัลแวร์สามารถซ่อนกิจกรรมที่เป็นอันตรายและแพร่กระจายไปยังซอฟต์แวร์ที่อยู่บนเครือข่ายของเป้าหมายได้ นอกจากนี้มัลแวร์ยังมีความสามารถของ Cryptojacking ที่ถูกใช้ในการขุด Monero ที่มาพร้อมกับโมดูลที่จะคอย Monitor การใช้งานของ CPU ซึ่งถาหากมีการใช้งาน CPU มากกว่า 30% ตัวมัลแวร์จะทำการ Kill โปรเซสการทำงานทิ้ง เพื่อเป็นการป้องกันการถูกตรวจจับความผิดปกติของการทำงาน

ทั้งนี้ผู้ดูแลระบบเซิร์ฟเวอร์ Oracle WebLogic, Apache ActiveMQ และอินสแตนซ์ Redis ควรรีบทำการอัปเดตแพตช์ความปลอดภัยให้เป็นเวอร์ชันล่าสุดเพื่อป้องกันการตกเป็นเป้าหมายการโจมตีของมัลแวร์ Pro-Ocean

ที่มา: bleepingcomputer

สัปดาห์ที่ผ่านมา มีการแจ้งเตือนว่า Windows Server, Redis และ Apache Solr กำลังตกเป็นเป้าหมายในการโจมตีและติดตั้งมัลแวร์ coinminer เป็นจำนวน การโจมตีดังกล่าวนั้นสามารถแยกออกได้เป็น 2 รูปแบบ

** รูปแบบการโจมตีที่พุ่งเป้า Redis และ Windows Server **

จากรายงาน Imperva ได้ตั้งชื่อสำหรับแคมเปญนี้ว่า RedisWannaMine โดยแฮกเกอร์จะอาศัยช่องโหว่ของ Redis ที่เป็นเวอร์ชั่นเก่าๆ ที่ได้รับหมายเลขช่องโหว่ CVE-2017-9805 เพื่อโจมตีเซิร์ฟเวอร์ผ่านทางอินเตอร์เน็ต เมื่อเข้าถึงเครื่องเหยื่อสำเร็จแล้ว แฮกเกอร์จะทำการติดตั้งมัลแวร์ ReddisWannaMine หลังจากนั้นก็จะทำการรัน coinminer นอกจากนี้ ReddisWannaMine ยังสามารถแพร่กระจายตัวเองด้วยการสแกนหาเครื่องเหยื่อที่มีการใช้งาน SMB เพื่อโจมตีผ่านช่องโหว่อีกด้วย

** รูปแบบการโจมตีที่พุ่งเป้า Apache Solr **

ทีม ISC SANS กล่าวว่ายังมี Apache Solr ที่ตกเป็นเป้าหมายในการโจมตีครั้งนี้อีกด้วย โดยโจมตีผ่านทางช่องโหว่ Apache Solr ที่ไม่ได้ทำการอัพเดทแพทช์หมายเลข CVE-2017-12629 แต่การทำงานก็ไม่ได้ต่างจาก ReddisWannaMine มากนัก โดยจะเน้นไปที่ใช้เครื่องเหยื่อที่ติดไวรัสเพื่อขุดเหมือง ทาง ISC SANS ได้ระบุถึงเครื่อง เซิร์ฟเวอร์ ที่ได้รับผลกระทบโดยประมาณ 1,777 ราย เกิดขึ้นในช่วง วันที่ 28 กุมภาพันธ์ และวันที่ 8 มีนาคม ที่ผ่านมา

ที่มา : bleepingcomputer

ช่องโหว่ โดยมีจุดประสงค์เพื่อแพร่กระจายมัลแวร์ขุด Monero "DDG" คาดมีจำนวนกว่า 4,000 เซิร์ฟเวอร์ สร้างรายได้กว่าเกือบ 1 ล้านดอลลาร์

อ้างอิงผลการสำรวจของ Netlab การโจมตีในครั้งนี้นั้นดูเหมือนจะมีจุดเริ่มต้นมาตั้งแต่ช่วงเดือนมีนาคม 2017 โดยผู้โจมตีนั้นพุ่งเป้าไปที่การเดารหัสผ่านสำหรับเซิร์ฟเวอร์ที่เป็น Redis และโจมตีด้วยช่องโหว่รหัส CVE-2017-11467 เพื่อให้สามารถรันโค้ดที่เป็นอันตรายได้กับเป้าหมายที่เป็น OrientDB จากสถิติการโจมตีที่รวบรวมมาได้นั้น 73% ของเซิร์ฟเวอร์ที่ถูกโจมตีนั้นอยู่ในจีนซึ่งส่วนแบ่งที่มีมากที่สุดนั้นมาจากเซิร์ฟเวอร์ที่เป็น Redis

เพื่อเป็นการป้องกันการแพร่กระจายของมัลแวร์ ผู้ดูแลระบบและผู้ใช้งานควรมีการปฏิบัติการ security best practice อย่างเคร่งครัด โดยสำหรับ Redis นั้น สามารถดำเนินการตามขั้นตอนแนะนำได้ที่ https://redis.