หน้าแรก Security Hacker เซิร์ฟเวอร์ MS-SQL และ PHPMyAdminกว่า 50,000 เครื่องติดมัลแวร์

เซิร์ฟเวอร์ MS-SQL และ PHPMyAdminกว่า 50,000 เครื่องติดมัลแวร์

แบ่งปัน

เมื่อวันพุธที่ผ่านมา นักวิจัยด้านความปลอดภัยทางไซเบอร์จาก Guardicore Labs ได้ออกรายงานเกี่ยวกับขบวนการแฮ็กเพื่อแอบขุดเหมืองเงินคริปโตที่แพร่กระจายในวงกว้าง โดยจ้องโจมตีเซิร์ฟเวอร์ที่ใช้ Microsoft SQL บนวินโดวส์ และ PHPMyAdmin ทั่วโลก

โดยขบวนการนี้ใช้ชื่อว่า Nansh0u ซึ่งรายงานระบุว่ามีกลุ่มแฮ็กเกอร์ชาวจีนที่ใช้การโจมตีแบบ APT อยู่เบื้องหลัง โดยได้ติดเชื้อเซิร์ฟเวอร์ไปแล้วกว่า 50,000 เครื่อง พร้อมทั้งติดตั้ง Kernel-Mode Rootkit ชั้นสูงบนเครื่องที่โดนแฮ็กเพื่อป้องกันไม่ให้มัลแวร์ถูกจัดการ

แคมเปญนี้เริ่มโจมตีกันตั้งแต่เมื่อวันที่ 26 กุมภาพันธ์ที่ผ่านมา จนเริ่มตรวจพบในช่วงต้นเดือนเมษายน โดยพบว่ามีข้อมูลเปย์โหลดที่แตกต่างกันถึง 20 เวอร์ชั่นถูกโฮสต์อยู่บนผู้ให้บริการโฮสติ้งหลายเจ้า การโจมตีจะใช้เทคนิคเดาสุ่มรหัสผ่านหรือ Brute-Force

โดยจะเริ่มการโจมตีหลังจากพบเซิร์ฟเวอร์ Windows MS-SQL และ PHPMyAdmin ที่สามารถเข้าถึงได้ผ่านทูลสแกนพอร์ตพื้นฐาน หลังจากสามารถเดารหัสจนล็อกอินเข้าบัญชีระดับแอดมินได้แล้ว ผู้โจมตีจะรันชุดคำสั่ง MS-SQL บนเครื่องเหยื่อเพื่อดาวน์โหลดข้อมูลเปย์โหลดที่เป็นอันตรายต่อไป

ที่มา : thehackernews