อุปกรณ์องค์กรหลายพันเครื่องทั่วโลกกำลังตกเป็นเป้าหมายของแคมเปญมัลแวร์ตัวใหม่ที่เรียกว่า Blue Mockingbird เมื่อติดไวรัสแล้ว มัลแวร์นี้จะดาวน์โหลดและติดตั้งเพย์โหลดเพิ่มเติมที่ใช้อุปกรณ์ดังกล่าวเพื่อขุดสกุลเงินดิจิทัล Monero ซึ่งจะส่งไปยังแฮกเกอร์ ตามที่นักวิจัยจากบริษัทรักษาความปลอดภัยบนคลาวด์ Red Canary ช่องโหว่นี้เปิดใช้งานตั้งแต่เดือนธันวาคมปีที่แล้วและดำเนินต่อไปจนถึงเดือนเมษายน แฮกเกอร์จะกำหนดเป้าหมายเซิร์ฟเวอร์สาธารณะที่มีช่องโหว่ซึ่งใช้โครงสร้างพื้นฐาน UI ของ Telerik เมื่อแฮกเกอร์สามารถเข้าถึงระบบได้ พวกเขาจะใช้เทคนิค JuicyPotato เพื่อเข้าถึงระดับผู้ดูแลระบบ และปรับใช้เครื่องมือการขุด Monero XMRIG ที่จัดทำเป็นแพ็กเกจเป็น DLL บนระบบ Windows
ไนติงเกลสีน้ำเงิน
หากพบว่าเซิร์ฟเวอร์ที่ได้รับผลกระทบเชื่อมต่อกับเครือข่ายภายในของบริษัท แฮกเกอร์จะพยายามแพร่กระจายมัลแวร์ผ่านเครือข่ายโดยใช้การเชื่อมต่อ Remote Desktop Protocol (RDP) หรือ Server Message Block (SMB) นักวิจัยเชื่อว่าอินเทอร์เฟซผู้ใช้ Telerik เวอร์ชันล้าสมัยซึ่งเป็นส่วนหนึ่งของแอปพลิเคชันเซิร์ฟเวอร์ที่ใช้ ASP.Net อาจเป็นสาเหตุที่แท้จริงที่อยู่เบื้องหลังช่องโหว่นี้ รายงาน Red Canary ระบุว่าในขณะที่แฮกเกอร์กำหนดเป้าหมายไปที่องค์กรขนาดเล็ก พวกเขาอาจแตะต้องอุปกรณ์หลายพันเครื่องแล้ว จำนวนอุปกรณ์ที่ติดไวรัสจริงอาจสูงกว่านี้ เนื่องจากบริษัทที่ถือว่าปลอดภัยก็มีแนวโน้มที่จะถูกโจมตีจากการขุด crypto เช่นกัน “เช่นเดียวกับบริษัทรักษาความปลอดภัยอื่นๆ เรามีการมองเห็นขอบเขตภัยคุกคามที่จำกัด และไม่มีทางรู้ขอบเขตทั้งหมดของภัยคุกคามนี้ได้” เรด คานารี กล่าวในแถลงการณ์ “ภัยคุกคามนี้โดยเฉพาะอย่างยิ่งมีผลกระทบต่อองค์กรจำนวนไม่มากที่เราควบคุมอุปกรณ์ปลายทาง อย่างไรก็ตาม เราสังเกตเห็นการติดเชื้อภายในองค์กรเหล่านี้ประมาณ 1,000 รายในช่วงเวลาสั้นๆ” เพื่อป้องกันภัยคุกคามเหล่านี้ นักวิจัยแนะนำให้แพตช์เว็บเซิร์ฟเวอร์และเว็บแอปพลิเคชัน โดยเสริมว่าหากเป็นไปไม่ได้ ความพยายามเหล่านี้ควรถูกบล็อกในระดับเริ่มต้นโดยใช้ไฟร์วอลล์ ที่มา: ZDNet