พบมัลแวร์ Capoae แทรกซึมเข้าเว็บ WordPress เพื่อติดตั้ง Backdoor

Larry Cashdollar นักวิจัยด้านความปลอดภัยของ Akamai ได้เขียนบทความไว้เมื่อไม่นานมานี้ว่า “วิธีการหลักของมัลแวร์ในการกระจายมัลแวร์จะอาศัยช่องโหว่ และระบบที่มีการจัดการด้านความปลอดภัยต่ำ เมื่อระบบติดมัลแวร์แล้ว ก็จะถูกใช้เพื่อการขุดเหรียญคริปโต”

มัลแวร์ Capoae (ย่อมาจาก “Сканирование” ซึ่งเป็นคำภาษารัสเซียที่แปลว่า “Scanning”) นี้ก็มีหลักการเช่นเดียวกัน มันจะทำการส่งมัลแวร์ผ่านปลั๊กอิน “download-monitor” ซึ่งเป็นปลั๊กอิน สำหรับ WordPress

เมื่อมัลแวร์ตัวนี้ติดตั้งลงบนเว็บสำเร็จ จากนั้นจะใช้สิทธิ์ในระดับผู้ดูแลระบบ เริ่มทำการโจมตี โดยใช้ Golang binary ในการถอดรหัสฟังก์ชัน แล้วใช้ปลั๊กอินโทรจันเพื่อส่งคำขอ GET จากโดเมนที่ถูกควบคุมโดยแฮกเกอร์

นอกจากนี้ยังมีฟีเจอร์ในการถอดรหัสและรัน Payload ได้อีกด้วย Golang binary ก็ยังสามารถใช้ประโยชน์จากช่องโหว่ทำการสั่งรันโค้ดจากระยะไกลผ่านทาง Oracle WebLogic Server (CVE-2020-14882), NoneCms (CVE-2018-20062), and Jenkins (CVE-2019-1003029 และ CVE-2019-1003030) เพื่อเข้าไปรัน SSH จากนั้นก็จะเปิดโปรแกรมขุดเหรียญ XMRig mining

แต่ที่เด็ดสุดก็คือ มัลแวร์ตัวนี้จะใช้เส้นทางระบบที่ถูกต้องเพื่อเข้าไปสู่ระบบไบนารี แล้วทำการสุ่มสร้างชื่อไฟล์ด้วยตัวอักขระ 6 ตัว จากนั้นทำการคัดลอกไฟล์ลงในตำแหน่งใหม่ของระบบ เมื่อทำการรันไฟล์เรียบร้อยแล้ว มันก็จะลบมัลแวร์ทิ้งทันที

Larry บอกว่าจุดประสงค์ของแฮกเกอร์ คือต้องการติดตั้งโปรแกรมขุดบนเครื่อง Server ให้ได้มากที่สุด

ดังนั้น เพื่อเป็นการป้องกัน Larry บอกว่า Server ที่ใช้นั้นอย่าใช้ค่าเริ่มต้นหรือคาดเดาง่าย หรือมีการปรับแอปพลิเคชั่นเพื่อใช้งานร่วมกันบน Server และตรวจสอบให้แน่ใจว่ามีการอัปเดตแอปพลิเคชั่นเหล่านั้นอยู่เสมอ และคอยดูว่าบน Server มีการใช้ทรัพยากรที่สูงกว่าปกติหรือไม่ หรือมีการทำงานแปลกๆ ไปจากเดิมหรือเปล่า คอยเช็คว่ามีการเข้าใช้งานที่น่าสงสัยบ้างหรือไม่ การคอยตรวจสอบรายงานเสมอๆ ก็จะสามารถช่วยให้คุณได้รู้ว่ามี Server เครื่องไหนถูกบุกรุกได้

ที่มา: the hacker news