Cảnh báo tin tặc đang sử dụng “SambaCry” tấn công hệ thống Linux

Lỗ hổng thực thi mã từ xa trong phần mềm mạng Samba (sử dụng giao thức mạng SMB) cho phép tin tặc antivirus chiếm toàn bộ quyền kiểm soát thiết bị Linux và Unix.

Tại thời điểm hiện tại có gần 485,000 máy tính sử dụng phần mềm Samba có nguy cơ bị tấn công trên Internet. Các nhà nghiên cứu thuộc Kaspersky Lab đã thực hiện tiến hành điều tra một chiến dịch mã độc đang khai thác lỗ hổng SambaCry cùng với phần mềm đào tiền ảo.

Một nhà nghiên cứu khác, Omri Ben Bassat cũng phát hiện ra chiến dịch mã độc tương tự và đặt tên là “EternalMiner.”. Tin tặc đã chiếm kiểm soát máy tính Linux và cài đặt phần mềm “CPUminer” dùng để đào đồng tiền kĩ thuật số “Monero”.

Sau khi xâm nhập vào thiết bị có chứa lỗ hổng SambaCry, tin tặc thực hiện hai tấn công sau trên hệ thống:

• INAebsGB.so – cung cấp khả năng truy cập từ xa; thông qua đó tin tặc có thể thay đổi cấu hình của phần mềm đào tiền ảo và lây nhiễm các loại mã độc khác.
• cblRWuoCc.so – một backdoor chứa các công cụ đào tiền ảo.

Việc đào tiền ảo cần máy tính cấu hình mạnh cùng chi phí đầu tư rất lớn; việc phát tán mã độc giúp tin tặc dễ dàng có được nguồn tài nguyên mái tính vô cùng lớn.

Nhà phát triển phần mềm Samba đã phát hành bản cập nhật cho Samba phiên bản 4.6.4/4.5.10/4.4.14 và khuyến cáo người dùng cập nhật bản vá càng sớm càng sớm.