พบมัลแวร์ขุดเหรียญ Coinminer เป้าหมายอยู่ที่เซิร์ฟเวอร์ลีนุกซ์

Augusto Remillano II และ Jakub Urbanec นักวิจัยจาก Trend Micro ได้พบมัลแวร์ที่มีการแชร์บางส่วนของโค้ดกับมัลแวร์ “Xbash” และมีความเกี่ยวข้องกับมัลแวร์ขุดเหรียญ “KORKERDS” ซึ่งเป็นที่รู้จักกันดีว่า เป็น rootkit (ชุดโปรแกรมที่สามารถซ่อนตัวอยู่ในคอมพิวเตอร์หรือนำมาใช้เพื่อซ่อนมัลแวร์) ที่ใช้สำหรับซ่อนมัลแวร์ รายละเอียดสามารถดูได้ที่ Linux Coin Miner Copied Scripts From KORKERDS, Removes All Other Malware and Miners

ตัวแปรของมัลแวร์ KORKERDS จะไม่ใช้ rootkit เพื่อซ่อนตัวมันเอง แต่จะดาวน์โหลดตัวขุดเหรียญ Stratum XMR-Stak โดยใช้ระบบซีพียู หรือ GPU เพื่อทำการขุดเหรียญ เริ่มจากทำให้เครื่องติดเชื้อโดยการดาวน์โหลดไฟล์ crontab ซึ่งกระบวนการต่อไปจะประกอบด้วย 3 ฟังก์ชัน ดังนี้

  • Function B: จะทำการลบมัลแวร์, ตัวขุดเหรียญ (coin miner) และไฟล์อื่นๆ ที่เกี่ยวข้องกับมัลแวร์ที่ติดตั้งไว้ในตอนแรกออกให้หมด จากนั้นจะสร้างไดเรกทอรีกับไฟล์ใหม่ จากนั้นจะหยุดกระบวนการที่เชื่อมต่อกับ IP Address ทั้งหมด ในขั้นตอนนี้นักวิจัยพบงาสการติดเชื้อนั้นมาจาก IP cameras (กล้องวงจรปิด) และ web services หลายๆ ตัว ผ่าน TCP port 8161 ซึ่งเป็นโดเมนที่แฮกเกอร์ได้ติดตั้งไฟล์ crontab ไว้เพื่อทำการโจมตีด้วยมัลแวร์
  • Functiond D: จะดาวน์โหลดไบนารีของ coin miner จาก hxxp://yxarsh.shop/64 และดำเนินการรันไฟล์ทันที
  • Function C: ดาวน์โหลดสคริปต์จาก hxxp://yxarsh.shop/0 แล้วเก็บไว้ในไฟล์ /usr/local/bin/dns จากนั้นจะสร้าง crontab ใหม่ โดยจะเรียกใช้สคริปต์นี้เมื่อเวลาตีหนึ่ง นอกจากนี้ยังดาวน์โหลดไฟล์ภาพจาก hxxp://yxarsh.shop/1.jpgไปเก็บไว้ที่ไฟล์ crontab อื่นอีกด้วยในขั้นตอนนี้มัลแวร์จะลบ logs ทั้งหมดออกจากระบบเรียบร้อยแล้ว เพื่อกลบร่องรอย อีกทั้งยังหลบเลี่ยงการลบหรือการรีบูตไฟล์ crontab ที่ฝังไว้ได้อีกด้วย

จะสังเกตเห็นได้ว่าช่วงนี้การโจมตีเซิร์ฟเวอร์ลีนุกซ์ด้วยมัลแวร์มีเพิ่มขึ้นเรื่อยๆ อีกทั้งผลกระทบที่เกิดขึ้นจากมัลแวร์ที่ใช้ขุดเหรียญต่อองค์กรมีมากกว่า ransomware ถึง 10 เท่า โดยจากรายงานการวิจัยของ Check Point ในปี 2018 จะเห็นได้ว่ามัลแวร์มีเพิ่มมากขึ้น และมีความสามารถใหม่ๆ เพิ่มขึ้นอีกด้วย

ที่มา: Bleeping Computer