เมื่อสองเดือนที่แล้ว มีรายงานพบช่องโหว่สำคัญที่เปิดให้รันโค้ดจากระยะไกล ทีถูกแฮ็กเกอร์ใช้ประโยชน์มานานกว่า 7 ปี บนซอฟต์แวร์แชร์ไฟล์บนเครือข่ายอย่าง Samba ทำให้แฮ็กเกอร์สามารถเข้าควบคุมเครื่องลีนุกส์และยูนิกส์ได้อย่างสมบูรณ์ ซึ่งเราเรียกช่องโหว่นี้ว่า SambaCry เนื่องจากคล้ายกับช่องโหว่ที่ WannaCry ใช้ประโยชน์จาก SMB บนวินโดวส์
แม้ว่าช่องโหว่นี้จะถูกแพ็ตช์เมื่อปลายเดือนพฤษภาคม แต่ก็มีการดึงช่องโหว่ดังกล่าวมาใช้ใหม่โดยมัลแวร์ตัวใหม่ล่าสุด ซึ่งออกมาพุ่งโจมตีกลุ่มอุปกรณ์ IoT โดยเฉพาะพวกแอพพลายแอนซ์ NAS ทั้งหลาย ซึ่งทางทีมวิจัยของ Trend Micro ได้ออกมาเตือนเมื่อเร็วๆ นี้
ช่องโหว่ SambaCry นี้ ถูกพบว่าส่วนใหญ่ใช้ในการติดตั้งซอฟต์แวร์ขุดเหมืองบิทคอยน์ที่รู้จักกันในชื่อ “CPUminer” ซึ่งครั้งนี้เป็นการขุดบิทคอยน์สกุล “Monero” ที่นิยมขุดบนระบบลีนุกส์ แต่ล่าสุดในเดือนกรกฎาคมนี้ Trend Micro พบการหันเหเป้าหมายการโจมตีไปยังอุปกรณ์ NAS ของธุรกิจขนาดเล็กและขนาดกลางเป็นหลัก
มัลแวร์ตัวนี้ถูกเรียกกันว่า SHELLBIND ซึ่งทำงานได้บนสถาปัตยกรรมที่หลากหลายมาก ไม่ว่าจะเป็น MIPS, ARM, และ PowerPC โดยส่งเข้ามาในรูปของอ๊อพเจ็กต์สำหรับแชร์ไฟล์หรือ (.SO) ฝังเข้ามาในโฟลเดอร์พับลิกของ Samba ซึ่งจะคอยเชื่อมต่อกับเซิร์ฟเวอร์สั่งการที่ตั้งอยู่แอฟริกาตะวันออก พร้อมทั้งแอบแก้ไขกฎไฟร์วอลล์เพื่ออำนวยความสะดวกให้ตัวเองด้วย
ที่มา : http://thehackernews.com/2017/07/linux-malware-sambacry.html
