Cisco เตือนภัย เซิร์ฟเวอร์ที่ใช้ JBoss เวอร์ชันเก่า อาจถูกใช้เป็นฐานของ Ransomware

by mk
16 April 2016 - 01:41

Talos หน่วยวิจัยความปลอดภัยของ Cisco ออกมาเตือนภัย ransomware บนเครื่องเซิร์ฟเวอร์ ที่อาศัยช่องโหว่จาก JBoss เวอร์ชันเก่า

ransomware ชุดนี้มีชื่อว่า Samas/Samsam/MSIL.B/C ระบาดมาตั้งแต่เดือนมีนาคม โดยเน้นไปที่เซิร์ฟเวอร์ของโรงพยาบาล รูปแบบการโจมตีจะใช้ JexBoss สแกนหาเซิร์ฟเวอร์ JBoss ที่มีช่องโหว่ แล้วใช้เซิร์ฟเวอร์ตัวนั้นเป็นฐานในการปล่อย ransomware ไปยังพีซีในองค์กรต่อไป

ล่าสุด Talos วิเคราะห์รูปแบบการโจมตีในเชิงลึก พบว่ามัลแวร์ชุดนี้ยังแพร่ระบาดไปยังแวดวงการศึกษา ที่ใช้ซอฟต์แวร์จัดการห้องสมุด Follett Destiny ด้วย ส่วนพฤติกรรมการโจมตี JBoss พบว่าเครื่องที่โดนเจาะจะถูกฝัง webshell เป็น backdoor ให้แฮ็กเกอร์เข้ามาใช้งานในภายหลัง

Talos แนะนำให้ตรวจสอบโพรเซสที่รันอยู่ ถ้าพบชื่อ "mela", "shellinvoker", "jbossinvoker", "zecmd", "cmd", "genesis", "sh3ll", "Inovkermngrt", "jbot" แปลว่าอาจโดนของเข้าแล้ว ให้ตัดการเชื่อมต่อจากภายนอกและตรวจสอบระบบทันที

ที่มา - Talos (1), Talos (2), Ars Technica (1), Ars Technica (2)

Blognone Jobs Premium