จากที่เมื่อเดือนก่อนเราได้รายงานไปถึงช่องโหว่ RCE ใน Apache Struts2 ซึ่งทำให้มีเครื่องถูกยึดมากมาย ล่าสุดมีการสรุปผลประกอบการของ Hacker ที่ได้จากการหาเงินในช่องทางต่างๆโดยการใช้ช่องโหว่ดังกล่าวออกมาแล้วครับ

จากตอนแรกที่ช่องโหว่นี้ถูกเปิดเผยออกมา ทาง F5 และ Talos ของ CISCO ได้ออกมาบอกว่า Hacker เจาะเว็บไซด์ที่ส่วนใหญ่เป็น Linux และเมื่อโจมตีช่องโหว่นี้ได้สำเร็จก็ทำการติดตั้ง botnet ที่ชื่อว่า “PowerBot” จากนั้นจึงเริ่มเปลี่ยนไปใช้ Malware ที่เอาไว้ DDoS ที่อื่นผ่านการควบคุมด้วยช่องทาง IRC อย่าง PerlBot หรือ Shellbot

และพัฒนาต่อไปถึงขั้นติดตั้งแอพพลิเคชั่นสำหรับการขุด Monero Cryptocurrency (คล้ายๆกับ Bitcoin) โดยใช้เครื่องมือที่ชื่อว่า “minerd” และอีกแหล่งที่แจ้งเข้ามาคือ SANS พบว่ามีการฝัง perl backdoor เพิ่มเติมในเครื่องที่ถูกแฮ็คอีกด้วย

อีกทั้งในวันที่ 20 มีนาคม 2017 ที่ผ่านมา มีการเปลี่ยนกลุ่มเป้าหมายจาก Linux ไปเป็น Windows เพื่อฝัง Cerber Ransomware อีกด้วย โดย Attacker จะทำการโจมตีโดยใช้ช่องโหว่ Apache Struts2 จากนั้นจึงรันโปรแกรม BITSAdmin เพื่อ download และติดตั้ง Cerber Ransomware เพื่อเข้ารหัสไฟล์ภายในเครื่องต่อไปนั่นเอง

จากการตรวจสอบพบว่า BitCoin ID ที่ Attacker ใช้ในการให้เหยื่อโอนเงินไปให้มีการพบในเหยื่อหลายๆคนที่ติด Cerber Ransomware และจากการตรวจสอบ BitCoin ID ดังกล่าว พบว่ามี BitCoin อยู่ทั้งหมดประมาณ 84 Bitcoin (หรือประมาณ 100,000$)  โดยในเหยื่อแต่ละคนที่ถูกโจมตีจะถูกบังคับให้โอน BitCoin ไปให้ Attacker ดังกล่าวประมาณคนละ 2.2 BitCoin ซึ่งจากการ report ของทั้ง SANS และ F5 ก็พบว่ายังมีการโจมตีโดยวิธีดังกล่าวอย่างต่อเนื่อง

หากใครที่ให้บริการเว็บไซด์ด้วย Apache Struts2 อยู่ก็อย่าลืม update patch กันด้วยนะครับ

Source:: BleepingComputer.com