Tuy nhiên, nhóm tin tặc này đã không thực hiện đánh cắp dữ liệu người dùng như thường lệ. Thay vào đố, mã khai thác được tin tặc sử dụng để đào tiền ảo. Theo báo cáo được công bố, Tin tặc đã đào được ít nhất 661 đồng Monero tương đương giá trị lên tới 226.000 đô.

Nhóm tin tặc này đã sử dụng mã khai thác dựa trên mã khai thác được công bố trong tháng mười hai cuối năm vừa qua bởi chuyên gia bảo mật Lian Zhang người trung quốc. Ngay sau khi nghiên cứu của Lian Zhang được công bố đã có nhiều báo cáo về việc tin tặc lợi dụng lỗ hổng này để đào tiền ảo từ rất nhiều vị trí khác nhau – Tấn công được thực hiện từ những máy chủ của Digital Ocean, GoDaddy, Verizon Business Services, Athenix.

 

Trong báo cáo của Marinho, tin tặc đã cài đặt một gói phần mềm đào tiền ảo Moreno hợp pháp có tên gọi là XMRIG lên 722 hệ thống WebLogic và PeopleSoff – rất nhiều trong số chúng chạy dịch vụ Public Cloud. Trong đó có hơn 140 hệ thống sử dụng dịch vụ Amazon Web Service Public Cloud, ngoài ra có 30 hệ thống sử dụng dịch vụ Oracle public cloud.

Mã khai thác giúp cho tin tặc dễ dàng quét và kiểm tra các hệ thống có chứa lỗ hổng, ứng dụng máy chủ web Oracle chưa được vá lỗi có thể nhanh chóng trở thành nạn nhân của các cuộc tấn công này. Tuy nhiên, hành vi của mã độc đã bị phát hiện nhanh chóng bởi hệ thống bảo mật do tin tặc “thả” các công cụ đào tiền ảo hoặc mã độc từ tiến trình Java hoặc là tắt ứng dụng máy chủ web để sử dụng công cụ đào tiền ảo làm nhiều nhà quản trị hệ thống nghi ngờ.

Người dùng là doanh nghiệp, tổ chức cần phải chú ý rà soát, kiểm tra lại toàn bộ hệ thống. Ngoài việc ngăn chặn tin tặc có thể xâm nhập hệ thống thông qua lỗi này bằng cách cập nhật phần mềm và bản vá từ nhá phát triển, Người dùng nên thực hiện kiểm tra cũng như đánh giá lại mức độ an toàn của toàn bộ hệ thống vì rất có thể tin tặc không chỉ thực hiện đào tiền ảo mà đã chui sâu vào trong hệ thống.

 

Theo ArsTechnica