Các nhà nghiên cứu tại ESET vừa phát hiện ra hành vi này. Họ nói rằng hacker sử dụng CVE-2017-7269, một lỗ hổng trên các máy chủ IIS 6.0 để chiếm quyền kiểm soát và cài công cụ đào Monero.
CVE-2017-7269 là lỗ hổng trên dịch vụ WebDAV của IIS và được phát hiện vào cuối tháng 3 bởi 2 nhà nghiên cứu người Trung. Tài thời điểm đó, nó vẫn là lỗ hổng zero-day.
Hai nhà nghiên cứu cũng đã cung cấp mã khai thác POC trên GitHub https://github.com/edwardz246003/IIS_exploit để giúp các quản trị hệ thống xác định xem họ có dùng bản IIS 6.0 chưa được vá hay không.
Tác giả malware hầu như không phải làm gì
ESET cho biết malware sử dụng đoạn mã khai thác POC này cùng với công cụ quét và tìm các máy chủ IIS 6.0 có lỗ hổng. Trên những máy chủ này, họ khai thác đoạn mã để tải về công cụ đào Monero.
Ngày càng nhiều malware đào tiền ảo trên máy người dùng
Dù nghe khá ấn tượng nhưng ESET nói rằng tác giả malware này làm rất ít việc. Chỉnh sửa đoạn mã khai thác rất sơ sài, công cụ đào Monero cũng chỉ là một phiên bản khác của một dự án mã nguồn mở có tên xmrig, phiên bản 0.8.2 (phát hành vào 26/5/2017).
“Chúng tôi không biết kẻ tấn công dùng phần mềm quét nào để tìm máy có lỗ hổng nhưng có nhiều đoạn mã mẫu và phần mềm khai thác có sẵn, chúng tôi nghĩ họ chẳng phải làm gì nhiều”, Michal Poslusny, nhà nghiên cứu tại ESET cho hay.
Bản chỉnh sửa của công cụ đào Monero và ngày cập nhật xmrig cùng là một ngày nên có lẽ việc cập nhật cũng không tốn thời gian hay phức tạp gì. Dẫu vậy, kẻ tấn công vẫn kiếm được bộn tiền.
Malware đào tiền ảo đang ngày càng gia tăng
ESET cho biết kẻ xấu quét tìm máy chủ IIS 6.0 từ cuối tháng 5 và sau vài lần gián đoạn, giờ họ vẫn đang thực hiện.
“Malware đào tiền ảo không mới nhưng chúng đang tăng vọt vì nhiều yếu tố”, Poslusny nói. Hai đối thủ của ESET cũng thấy điều tương tự. Trong 2 tuần qua, Kaspersky báo cáo hơn 1,65 triệu máy tính nhiễm malware đào tiền ảo trong 8 tháng đầu năm. IBM cũng báo cáo sự gia tăng của malware tiền ảo trên mạng doanh nghiệp. Hành vi đào tiền ảo trên trình duyệt cũng lan rộng.
Đã có bản vá
Người dùng Windows Server hiện vẫn chạy IIS 6.0 cần cập nhật bản vá của Microsoft phát hành vào tháng 6. https://blogs.windows.com/windowsexperience/2017/06/13/microsoft-releases-additional-updates-protect-potential-nation-state-activity/ và https://blogs.technet.microsoft.com/msrc/2017/06/13/june-2017-security-update-release/ . Microsoft đưa ra bản vá này sau khi Windows XP và Server 2003 đạt điểm End-of-Life cách đây nhiều năm.
Lỗ hổng trên IIS 6.0 được khai thác lần này có cùng CVE xác định như EXPLODINGCAN NSA bị rò rỉ từ Shadow Brokers vào tháng 4. Microsoft vá KB3197835 để khắc phục.
Nếu không thể cập nhật từ bản vá của Microsoft, sysadmin có thể tìm tới bản vá của một công ty an ninh mạng khác. https://pages.ensilo.com/download-the-patch-for-esteemaudit-exploit