สำนักงานสืบสวนกลาง (FBI) และสำนักงานความมั่นคงปลอดภัยไซเบอร์และโครงสร้างพื้นฐานสำคัญ (CISA) ของสหรัฐอเมริการ่วมกันแถลงกรณีกลุ่มแฮกเกอร์ที่มีส่วนเกี่ยวข้องกับรัฐบาลอิหร่านเข้าแฮกหน่วยงานพลเรือนแห่งหนึ่งด้วยการปล่อยซอฟต์แวร์ขุดคริปโทเคอน์เรนซีเข้าไปยังระบบ

แฮกเกอร์รายนี้แฮกเข้าไปยังเซิร์ฟเวอร์ VMware Horizon ที่ไม่ได้รับการอัปเดตให้เป็นปัจจุบันจนสามารถเปิดใช้งานโค้ดจากระยะไกลได้

ในรายงานที่ออกโดย CISA เผยว่าแฮกเกอร์ใช้ซอฟต์แวร์ขุดคริปโทเคอร์เรนซีในตระกูล XMRig ในบรรดาไฟล์ที่พบมีทั้ง Kernel Driver ไฟล์ EXE ของระบบปฏิบัติการ Windows 2 ตัว และไฟล์สำหรับควบคุมพฤติกรรมของหนึ่งในไฟล์ EXE ที่พบ

CISA ได้ปฏิบัติการตอบโต้เพื่อแก้ไขปัญหาที่เกิดขึ้นต่อหน่วยงานดังกล่าวในช่วงระหว่างกลางเดือนมิถุนายน จนถึงกลางเดือนกรกฎาคม 2022 จึงพบว่าหลังจากที่แฮกเกอร์ปล่อย XMRig แล้ว ก็ได้เจาะเพื่อล้วงเอาข้อมูลรหัสผ่าน และฝัง Ngrok ลงในอุปกรณ์หลายตัวเพื่อฝังตัวอยู่ในเครือข่ายของเหยื่อในระยะยาวได้

ทั้งนี้ FBI และ CISA แนะนำให้องค์กรต่าง ๆ คอยอัปเดตซอฟต์แวร์ต่าง ๆ อย่างสม่ำเสมอเพื่อปิดช่องโหว่ สร้างรายชื่อรหัสผ่านที่เคยถูกแฮกไปแล้วเพื่อไม่นำกลับมาใช้อีก และยกระดับมาตรการทางไซเบอร์อย่างเคร่งครัดและรัดกุม

ที่มา Security Affairs

พิสูจน์อักษร : สุชยา เกษจำรัส