เมื่อช่วงปลายเดือนที่ผ่านมา Red Canary ทีมวิเคราะห์ด้านความปลอดภัยจากบริษัท cloud security ตรวจพบระบบงานของบริษัทขนาดใหญ่กว่า 1,000 บริษัท ที่ถูกโจมตีด้วย cryptocurrency mining malware และอาจถูกควบคุมจากกลุ่ม Blue Mockingbird ซึ่งเชื่อว่าการเริ่มปฎิบัติการตั้งแต่เดือนธันวาคม 2019 มาแล้วจนถึงปัจจุบัน โดยกลุ่ม Blue Mockingbird จะทำการโจมตีไปยัง Server ทั่วไปที่มีการใช้งาน ASP.NET apps และ Telerik framework เพื่อใช้จัดการ user interface (UI) ซึ่งกลุ่มแฮกเกอร์ใช้ช่องโหว่ CVE-2019-18935 เพื่อทำการวาง web shell บนเครื่องเป้าหมายและใช้เทคนิค the Juicy Potato เพื่อเข้าถึงสิทธิ์ระดับ Admin และแก้ไขค่า Config ต่าง ๆ ของ Server หลังจากนั้นจะดาวน์โหลดและติดตั้ง XMRRig เพื่อสามารถขุด Monero (XMR) cryptocurrency

Red Canary อธิบายเพิ่มว่าโดยส่วนใหญ่ IIS servers จะมีการเชื่อมต่อไปยังระบบเครือข่ายภายในขององค์กร ซึ่งกลุ่มแฮกเกอร์จะพยายามแพร่กระจาย malware ผ่าน RDP (Remote Desktop Protocol) หรือ SMB (Server Message Block) ด้วย Telerik UI component และช่องโหว่นี้เป็นส่วนหนึ่งของ ASP.NET เวอร์ชันล่าสุด ซึ่งตัว Telerik component หลาย ๆ ตัวก็อาจเป็นเวอร์ชันเก่า ๆ ทำให้องค์กรเกิดช่องโหว่ในการโจมตีได้ โดยหลายบริษัทและผู้พัฒนาโปรแกรมยังไม่ทราบว่า Telerik UI component ถูกใช้งานและเป็นส่วนหนึ่งของโปรแกรมด้วย โดย US National Security Agency (NSA) และ Australian Cyber Security Centre (ACSC) ยังได้ทำการแจ้งเตือนช่องโหว่ CVE-2019-18935 ของ Telerik UI  ว่าเป็นช่องโหว่ที่ต้องเฝ้าระวัง ซึ่งถ้าหากไม่สามารถอัปเดตได้ทันที ให้ทำการ block ช่องโหว่ที่พยายามโจมตีด้วย CVE-2019-18935 ที่อุปกรณ์ Firewall หรือสแกนเครื่อง server และ workstation ด้วย Indicators of compromise ตามที่ Red Canary รายงานก็สามารถช่วยได้เช่นกัน

ที่มา:

ภาพถ่ายโดย : André François McKenzie on Unsplash



เนื้อหาที่เกี่ยวข้อง

1. พบช่องโหว่ BootHole อาจกระทบต่อ Windows macOs และ Linux

2. 2 ปีที่ผ่านมา พบกว่า 15,000 ล้านบัญชี ถูกขายบน Dark Web

3. โดนทุกวงการ ล่าสุดธุรกิจกลุ่มเครื่องดื่มตกเป็นเหยื่อ Maze ransomware

4. แอปฯ Polar Fitness เผยตำแหน่งของผู้ใช้ กระทบข้อมูลทางการทหาร

5. ทำไม Ransomware แค่จ่ายแต่ไม่จบ ต้องเสียอะไรอีกบ้าง