จากที่มีการเตือนภัยเรื่องการพบ Gandcrab Ransomware ที่มุ่งโจมตีดาต้าเบส MySQL ไปเมื่อวานก่อน ล่าสุดมีการออกมาเตือนภัยอีกครั้งหนึ่ง โดยนักวิจัยด้านความมั่นคงปลอดภัยไซเบอร์จาก Guardicore Labs ได้ออกมาแจ้งเตือนถึงแคมเปญ NANSH0U ที่มีตรวจพบการแพร่ระบาดของมัลแวร์ Cryptojacking ระบาดอยู่บน MsSQL และ PhpMyAdmin Servers ในขณะนี้
โดยกระบวนการทำงานของมัลแวร์นั้นเริ่มด้วยการที่แฮกเกอร์จะทำการลักลอบส่ง Payload ที่แตกต่างกันกว่า 20 รูปแบบผ่านทาง Hosting Provider โดยพุ่งเป้าไปยัง MsSQL และ PhpMyAdmin Servers ที่สามารถเข้าถึงได้จากอินเทอร์เน็ต จากนั้นจะใช้เทคนิค Brute Force เพื่อทำการเจาะทะลุระบบพิสูจน์ตัวตน เมื่อเข้าถึงระบบภายในได้แล้ว แฮกเกอร์จะรันคำสั่ง MsSQL เพื่อดาวน์โหลด Payload จาก Remote File Server ของตนเข้ามาติดตั้ง
หลังจากนั้นจะใช้ประโยชน์จากช่องโหว่ Privilege Escalation (CVE-2014-4113) ที่ได้มาจากการดาวน์โหลดไฟล์ Payload เพื่อมายกระดับสิทธิ์ของตนเป็น SYSTEM จากนั้นจะทำการติดตั้งมัลแวร์ Cryptocurrency Mining เพื่อลอบขุดเหรียญ TurtleCoin รวมไปถึงทำการติดตั้ง Kernel-mode Rootkit เพื่อป้องกันไม่ให้ Process ของตัวมันเองถูกกำจัดทิ้ง
Guardicore Labs เปิดเผยว่า แคมเปญ NANSH0U มีต้นตอมาจากกลุ่มแฮกเกอร์ APT ชาวจีน ถูกตรวจพบครั้งแรกเมื่อต้นเดือนเมษายน จนถึงตอนนี้มี MsSQL และ PhpMyAdmin Servers ตกเป็นเหยื่อรวมแล้วมากกว่า 50,000 เครื่องแล้ว โดยผู้ดูแลระบบสามารถตรวจสอบว่า Server ของตนติดมัลแวร์ชนิดนี้หรือไม่ โดยใช้ PowerShell Script ได้ที่ Github หรือสามารถอ่านรายละเอียดเชิงเทคนิคเพิ่มเติมได้ที่ Guardicore
Credit : thehackernews
Facebook Comments