Microsoft ได้ออกมาเตือนเกี่ยวกับ Cryptomining Malware ที่กำหนดเป้าหมายไปยัง Linux Servers 

พบกลุ่มผู้ไม่ประสงค์ดีที่รู้จักกันในชื่อ 8220 ได้ทำการอัปเดต Malware Toolset เพื่อใช้โจมตี Linux Servers  
โดยมีเป้าหมายในการติดตั้งซอฟต์แวร์ขุดสกุลเงินดิจิทัล (Cryptocurrency)  

กลุ่มผู้ไม่ประสงค์ดี 8220 เป็นกลุ่มผู้ไม่ประสงค์ดีจากประเทศจีน พบครั้งแรกเมื่อปี 2017 ซึ่งนักวิจัยได้ตั้งชื่อตามพฤติกรรมในการสื่อสารกับ Command-and-Control (C2) Servers ผ่าน Port 8220 นอกจากนี้ยังเป็นผู้พัฒนาเครื่องมือ 
ที่ชื่อว่า whatMiner โดยได้รับความร่วมมือจากกลุ่มผู้ไม่ประสงค์ดี Rocke และ มีลักษณะการโจมตีผ่านช่องโหว่ 
หรือ ใช้ซอฟต์แวร์ในการขุดสกุลเงินดิจิทัล (Cryptocurrency) 

Microsoft พบว่าการโจมตีล่าสุดบนระบบ i686 และ x86_64 Linux พบว่าผู้ไม่ประสงค์ดีใช้การโจมตีแบบ  
Remote Code Execution ผ่านช่องโหว่ Atlassian Confluence Server (CVE-2022-26134) และ Oracle WebLogic  
(CVE-2019-2725) หากโจมตีสำเร็จจะทำการเรียกใช้ Malware Loader จาก C2 Servers ที่ออกแบบมาเพื่อติดตั้งซอฟต์แวร์  
PwnRig Miner และ IRC Bot ซึ่งตัว Loader จะใช้ IP Port Scanner Tool “masscan” เพื่อค้นหาเซิร์ฟเวอร์ SSH อื่น ๆ  
ในเครือข่ายจากนั้นจะใช้เครื่องมือ SSH Brute Force ชื่อว่า “spirit” ที่ใช้ภาษาโปรแกรม GoLang ในการแพร่กระจาย โดยมีวิธีการหลบหลีกระบบรักษาความปลอดภัยด้วยการลบไฟล์ Log ปิดการใช้งาน Cloud Monitor และ ซอฟแวร์รักษาความปลอดภัย  

คำแนะนำ 

  • ตรวจสอบ Software Patch, Operation System Patch, Application หรือ Service อื่น ๆ ที่ใช้งานให้ทันสมัยอยู่เสมอ เพื่อป้องกันภัยคุกคามที่อาจเกิดขึ้นจากช่องโหว่ที่มีอยู่ 
  • ทำการ Pentest ทดสอบเซิฟเวอร์ว่ามีช่องโหว่ตรงจุดไหนบ้าง เพื่อการป้องกันการโจมตีดังกล่าวผ่านทางช่องโหว่ 
  • ทำการตัดการเชื่อมต่อหรือทำ Whitelist IP Address ที่ขอใช้ Port 8220 เท่าที่จำเป็นบนอุปกรณ์ Firewall  
    หรือ ใช้ VPN 
  • ทำการ Cyber Security Compromise Assessment 
  • ใช้ Private หรือ Public Key แทนการใช้ Password 
  • ตั้ง Password ยาว ๆ และ มีตัวอักษรเยอะ ๆ เช่น ตัวเล็ก ตัวใหญ่ อักขระพิเศษ ตัวเลข เป็นต้น 
  • กำหนดจำนวนครั้งที่ป้อน Password ผิด แล้วก็ Disable Account ชั่วคราว 
  • จำกัดสิทธิ์การเข้าถึง SSH  

Ref : https://thehackernews.com/2022/06/microsoft-warns-of-cryptomining-malware.html 

Share