นักวิจัยด้านความปลอดภัยได้ค้นพบมัลแวร์ใหม่ที่ติดตั้งโปรแกรมการขุด cryptocurrency ที่ถูกต้องบนเซิร์ฟเวอร์ Windows และ Linux ที่มีการป้องกันไม่ดี Avigayil Mechtinger จาก Intezer ผู้เชี่ยวชาญด้านการวิเคราะห์มัลแวร์ ได้ติดตามเวิร์มข้ามแพลตฟอร์มที่ติดตั้ง XMRig Miner เพื่อขุด Monero สกุลเงินดิจิทัลตั้งแต่ต้นเดือนธันวาคม จากข้อมูลของ Mechtinger เวิร์มมุ่งเป้าไปที่สาธารณะต่อการติดตั้ง MySQL, Tomcat และ Jenkins ที่มีรหัสผ่านที่ไม่รัดกุม
ใช้งานและกลายพันธุ์
เพื่ออธิบายขั้นตอนการทำงานของเวิร์ม Mechtinger เขียนว่าเวิร์มค้นหาบริการ Tomcat, Jenkins และ MySQL ด้วยพอร์ตที่เปิดอยู่ จากนั้นจึงบังคับตัวเองเข้ามาอย่างไร้ความปราณี จากนั้นจะส่งสคริปต์อัปโหลดไปยังเซิร์ฟเวอร์ที่ถูกบุกรุกซึ่งจะหลุดออกไปและเรียกใช้ XMRig Miner เวิร์มเวอร์ชันก่อนหน้ายังพยายามที่จะใช้ประโยชน์จากช่องโหว่ WebLogic ล่าสุด (CVE-2020-14882) ในระหว่างการวิเคราะห์ของ Mechtinger ผู้โจมตียังคงอัปเดตเวิร์มบนเซิร์ฟเวอร์ Command and Control (C&C) ต่อไป สิ่งนี้บ่งชี้ว่า "มีการใช้งานและสามารถกำหนดเป้าหมายบริการที่มีการกำหนดค่าไม่ดีเพิ่มเติมในการอัปเดตในอนาคต" เขาเขียน
![captura de pantalla del análisis de Intezer]()
(เครดิตรูปภาพ: Intezer) ในรายงานของเธอ Mechtinger ตั้งข้อสังเกตว่าโค้ดเวิร์มนั้น "เกือบจะเหมือนกัน" สำหรับเป้าหมาย Windows และ Linux ซึ่งเธอกล่าวว่า "แสดงให้เห็นว่าภัยคุกคาม Linux ยังคงบินอยู่ใต้เรดาร์ของเวิร์ม "โปรดทราบว่าเวิร์มล่าสุดนี้ตามมา การค้นพบเวิร์ม PgMiner ซึ่งใช้ประโยชน์จากช่องโหว่ที่มีการโต้แย้งในเซิร์ฟเวอร์ PostgreSQL ที่ใช้ Linux เพื่อติดตั้งเครื่องขุด cryptocurrency Mechtinger ยังชี้ให้เห็นแนวโน้มอีกประการหนึ่ง: “ในปี 2020 เราเห็นแนวโน้มที่โดดเด่นของมัลแวร์ Golang ที่กำหนดเป้าหมายไปที่แพลตฟอร์มต่าง ๆ รวมถึง Windows, Linux, Mac และ Android เราเชื่อด้วยความมั่นใจเป็นอย่างยิ่งว่าสิ่งนี้จะดำเนินต่อไปในปี 2021” Via: BleepingComputer