TrendLab (หน่วย Research ของ TrendMicro) พบ malware ที่โจมตีไปยังเครื่อง Windows Server โดยการใช้งาน Eternal Blue และ WMI command ในการแพร่กระจายและฝัง CoinMiner เพื่อหาเงินทาง Crypto Money

ขั้นตอนการโจมตีและแพร่กระจาย รวมถึงการติดตั้ง CoinMiner คือ เริ่มจากการโจมตีด้วย EternalBlue, จากนั้นก็ติดตั้ง script สำหรับการติดต่อไปยัง C&C Server ผ่านการใช้งาน WMI command โดย Malware ดังกล่าวจะทำการรันจาก memory และใช้ script ที่ได้จาก Command and Control Server (C&C Server) ในการทำงาน จากนั้นเมื่อได้ script จาก C&C Server ก็จะทำงานตามที่ script กำหนดอีกที ซึ่งเป็นการใช้ payload ในการทำงานที่แตกต่างกัน

แน่นอนว่าเมื่อ Malware ใช้ EternalBlue ในการโจมตีและแพร่กระจาย นั่นหมายความว่าเราก็สามารถป้องกันการโจมตีของ Malware ได้ด้วยการปิด SMBv1 นั่นเอง (ดูวิธีการ disable SMBv1 ได้เลยครับ)

Source:: BleepingComputer,TrendMicro