Microsoft พบมัลแวร์ที่มุ่งเป้าหมายไปที่ Windows และ Linux

Microsoft เตือนลูกค้าเกี่ยวกับมัลแวร์ LemonDuck ได้มุ่งเป้าหมายไปยังระบบ Windows และ Linux โดยทำการแพร่กระจายผ่านอีเมลฟิชชิ่ง, การโจมตีผ่านทางอุปกรณ์ USB และการโจมตีในรูปแบบ brute force attacks เช่นเดียวกับการโจมตีที่มุ่งเป้าหมายไปที่ช่องโหว่ใน Exchange Server เพื่อเข้าควบคุมและใช้ Exchange Server ในการทำขุดเหมืองบิทคอยน์

          กลุ่มผู้ไม่ประสงค์ดีที่อยู่เบื้องหลัง LemonDuck ใช้ประโยชน์จากข้อบกพร่องด้านความปลอดภัย โดยใช้ช่องโหว่ที่เป็นเวอร์ชันเก่า ในขณะที่ทีมรักษาความปลอดภัยกำลังมุ่งเน้นไปที่การแก้ไขข้อบกพร่องที่สำคัญ รวมไปถึงการลบมัลแวร์ของผู้โจมตีรายอื่นออกจากอุปกรณ์ที่ถูกบุกรุก และป้องกันการติดไวรัสตัวใหม่ โดนการแก้ไขช่องโหว่เดิม

          นักวิจัยของ Cisco เปิดเผยว่า LemonDuck ใช้ซอฟต์แวร์อัตโนมัติในการสแกน, ตรวจจับ และใช้ประโยชน์จากเซิร์ฟเวอร์ก่อนที่จะทำการโหลดเพย์โหลด ซึ่ง LemonDuck ได้โจมตีไปที่ประเทศจีน, สหรัฐอเมริกา, รัสเซีย, เยอรมนี, สหราชอาณาจักร, อินเดีย, เกาหลี, แคนาด,า ฝรั่งเศส, และเวียดนาม โดยมุ่งเน้นไปที่ภาคการผลิตและอุสาหกรรม IoT

          โดยกลุ่มผู้ไม่ประสงค์ดีได้เพิ่มการแฮกในรูปแบบ hands-on-keyboard หรือการแฮกด้วยตนเองหลังจากการละเมิดสิทธิครั้งแรก นอกจากนี้ยังได้สร้างซอร์ฟแวร์ที่เรียกว่า automated task เพื่อใช้ช่องโหว่ของ Eternal Blue ผ่านพอร์ต SMB ซึ่งใช้ประโยชน์จากการของ NSA

          ช่องโหว่ที่ถูกโจมตี ได้แก่ CVE-2017-0144 (EternalBlue), CVE-2017-8464 (LNK RCE), CVE-2019-0708 (BlueKeep), CVE-2020-0796 (SMBGhost), CVE-2021-26855 (ProxyLogon), CVE-2021-26857 (ProxyLogon), CVE-2021-26858 (ProxyLogon) และ CVE-2021-27065 (ProxyLogon)

          Microsoft เปิดเผยว่า เมื่อมัลแวร์ LemonDuck อยู่ในเมลบ็อกซ์ มันจะพยายามเรียกใช้สคริปต์ที่ใช้ข้อมูลประจำตัวที่มีอยู่ในอุปกรณ์ ซึ่งสคริปต์จะสั่งให้เมลบ็อกซ์ส่งสำเนาของข้อความฟิชชิ่งพร้อมกับข้อความที่ถูกตั้งไว้ล่วงหน้าและไฟล์แนบสำหรับส่งถึงผู้ติดต่อทั้งหมด

คำแนะนำ

  • ไม่ควรคลิกลิงค์หรือดาวน์โหลดไฟล์จากอีเมลที่ถูกส่งจากบุคคลที่ไม่รู้จัก
  • อัปเดตซอฟแวร์ Antivirus และทำการสแกนอย่างสม่ำเสมอ

Ref: https://www.zdnet.com/article/microsoft-warns-over-this-unusual-malware-that-targets-windows-and-linux/?&web_view=true

Share