แฮ็กเกอร์ใช้ช่องโหว่ ProxyShell เพื่อติดตั้งเครื่องขุด cryptocurrency บนเซิร์ฟเวอร์ Microsoft Exchange ที่เปราะบาง นักวิจัยกล่าว
ผู้เชี่ยวชาญด้านความปลอดภัยทางไซเบอร์ของ Morphisec ได้สังเกตพบผู้โจมตีที่ไม่ระบุตัวตนโดยใช้ ProxyShell (คำทั่วไปสำหรับช่องโหว่หลายจุด ซึ่งเมื่อเชื่อมโยงเข้าด้วยกัน อนุญาตให้เรียกใช้โค้ดจากระยะไกล) เพื่อติดตั้ง XMRig บนเซิร์ฟเวอร์ Microsoft Exchange
XMRig เป็นหนึ่งในมัลแวร์ขุดคริปโตเคอเรนซี (cryptocurrency) ที่ได้รับความนิยมมากที่สุด โดยผลิตเคอเรนซี Monero (XMR) สำหรับผู้โจมตี Monero เป็นทางเลือกที่ได้รับความนิยมในหมู่อาชญากรไซเบอร์เนื่องจากความเป็นส่วนตัวและข้อเท็จจริงที่ว่ามันไม่สามารถติดตามได้
ซ่อนอยู่ในสายตาธรรมดา
Morphisec อ้างว่าช่องโหว่ที่ใช้ในแคมเปญนี้คือ CVE-XNUMX-XNUMXKXNUMX และ CVE-XNUMX-XNUMXKXNUMX ทั้งคู่ถูกค้นพบและแก้ไขเมื่อสองสามปีก่อน ดังนั้น วิธีที่ดีที่สุดในการป้องกันการโจมตีเหล่านี้คือการแก้ไขจุดสิ้นสุดที่เปราะบาง (เปิดในแท็บใหม่)
ผู้โจมตียังทำทุกวิถีทางเพื่อให้แน่ใจว่าพวกเขายังคงซ่อนตัวอยู่ให้นานที่สุด นักวิชาการกล่าว
เมื่อกำหนดค่าตัวขุดแล้ว ระบบจะสร้างกฎไฟร์วอลล์ ซึ่งใช้กับโปรไฟล์ไฟร์วอลล์ Windows ทุกโปรไฟล์ เพื่อบล็อกทราฟฟิกขาออกทั้งหมด ด้วยวิธีนี้ นักวิชาการกล่าวต่อ ทีมไอที และผู้สนับสนุนอื่นๆ จะไม่ได้รับแจ้งถึงการละเมิดในระบบ
นอกจากนี้ มัลแวร์จะรออย่างน้อยสามสิบวินาทีระหว่างการเริ่มต้นกระบวนการขุดและการสร้างกฎไฟร์วอลล์ เพื่อหลีกเลี่ยงการเรียกใช้สัญญาณเตือนจากเครื่องมือรักษาความปลอดภัยที่ตรวจสอบพฤติกรรมการดำเนินการของกระบวนการ
นักขุด Cryptocurrency จะไม่ทำลายคอมพิวเตอร์ แต่เนื่องจากพวกมันใช้พลังงานในการประมวลผลแทบทั้งหมด พวกเขาจะทำให้อุปกรณ์ไร้ประโยชน์อย่างแท้จริง นอกจากนี้ยังสามารถเพิ่มค่าไฟฟ้าให้กับเจ้าของคอมพิวเตอร์ได้อย่างมหาศาล
Morphisec ยังกล่าวด้วยว่าเจ้าของเซิร์ฟเวอร์ Microsoft Exchange ที่เปราะบางไม่ควรทำการโจมตีแบบเบา ๆ เพราะหลังจากเข้าสู่เครือข่ายแล้ว ไม่มีอะไรที่จะหยุดผู้โจมตีจากการรวมมัลแวร์รูปแบบอื่น ๆ
ผ่าน: BleepingComputer (เปิดในแท็บใหม่)