Impact Level: High

Affected Platform : Cross Platform

มัลแวร์ SambaCry ซึ่งมีการใช้ช่องโหว่ในชื่อเดียวกันบน Samba ที่พึ่งได้รับแพตช์มาเมื่อไม่นานมานี้ กำลังถูกใช้โดยมัลแวร์ CowerSnail ในรูปแบบเดียวกับการแพร่กระจายของ WannaCry
จากการวิเคราะห์ของ Kaspersky มัลแวร์ CowerSnail น่าจะเป็นมัลแวร์ที่ถูกพัฒนาโดยนักพัฒนาเดียวกับที่พัฒนามัลแวร์ SambaCry อันเนื่องมาจากการใช้ C&C server เดียวกัน มัลแวร์ CowerSnail ถูกออกแบบมาให้ทำงานได้บนหลายระบบโดยพุ่งเป้าไปที่การแพร่กระจายและฝังตัวเป็นระยะเวลานานผ่านการควบคุมบนโปรโตคอล IRC ที่ทำให้ผู้โจมตีสามารถสั่งการมัลแวร์ได้จากระยะไกล

Recommendation : แนะนำให้ตรวจสอบความผิดปกติของระบบอย่างสม่ำเสมอเพื่อตรวจหาการมีอยู่ของมัลแวร์

ที่มา : The Register

มีการใช้ช่องโหว่ SambaCry เพื่อติดตั้งแบ็คดอร์บนอุปกรณ์ Linux ที่ใช้เซิร์ฟเวอร์แชร์ไฟล์ Samba เวอร์ชันเก่า

ผู้เชี่ยวชาญจากบริษัท Trend Micro กล่าวว่าการโจมตีส่วนใหญ่ได้มุ่งเป้าไปที่อุปกรณ์จัดเก็บข้อมูลแบบ NAS (Network-attached Storage) ซึ่งบางส่วนจะมาพร้อมกับเซิร์ฟเวอร์ Samba เพื่อให้สามารถทำงานร่วมกันระหว่างไฟล์ระบบปฏิบัติการต่างๆได้

มัลแวร์ที่นักวิจัยให้ชื่อว่า SHELLBIND ได้ใช้ประโยชน์จากช่องโหว่ SambaCry (หรือ EternalRed) ที่เปิดเผยต่อสาธารณในปลายเดือนพฤษภาคม 2017 ช่องโหว่ CVE-2017-7494 มีผลกับซอฟต์แวร์ Samba ทุกเวอร์ชันที่เปิดตัวในช่วงเจ็ดปีที่ผ่านมาตั้งแต่เวอร์ชัน 3.5.0 เป็นต้นไป สองสัปดาห์หลังจากที่ทีม Samba แก้ไขซอฟต์แวร์และรายละเอียดช่องโหว่แก่สาธารณะ มีการใช้ SambaCry เพื่อติดตั้งเซิร์ฟเวอร์ Linux และติดตั้งโปรแกรมเหมืองเงินดิจิทัล EternalMiner

นักวิจัยชี้ SHELLBIND เป็นโทรจันแบ็คดอร์ที่ช่วยให้ผู้โจมตีสามารถใช้ remote shell ที่เครื่องของเหยื่อได้ โทรจันนี้ได้รับการกำหนดค่าให้เปลี่ยนกฎไฟร์วอลล์และเปิดพอร์ต TCP 61422 ดังนั้นผู้โจมตีจึงสามารถเชื่อมต่อกับอุปกรณ์ที่ถูกบุกรุกได้

ที่มา : bleepingcomputer

ก่อนหน้านี้มีข่าวช่องโหว่ของ Samba ไปแล้ว ซึ่งแน่นอนว่ามีคนไปเปรียบเทียบกับช่องโหว่ MS17-010 ใน SMB Service ซึ่งคล้ายคลึงกันมาก จนกระทั่งให้ชื่อช่องโหว่นี้ว่า SambaCry
ล่าสุดเมื่อคืนวันที่ 7/6/2017 ที่ผ่านมามีคนพบ Malware ใน Linux ที่ใช้ช่องโหว่ CVE-2017-7494 ของ Samba ซึ่งเป็น port 445 ในการกระจายตัวเช่นเดียวกับ WannaCry เลย จนมีหลายๆคนให้ชื่อ Malware ตัวนี้ว่า SambaCry ไปเลย แต่ที่ส่วนที่แตกต่างกันคือ SambaCry จะมีการโจมตีเพื่อฝังตัวขุด Crypto Currency แทน (พฤติกรรมจะคล้ายๆกับ adylkuzz) ซึ่งนั่นทำให้หาก User นั้นติดก็จะแทบไม่รู้เรื่องเลยว่าติด malware และหากทำการนำไฟล์ malware ดังกล่าวไปตรวจใน Virustotal.