ກຸ່ມຜູ້ປະສົງຮ້າຍ ທີ່ຢູ່ເບື້ອງຫຼັງໃນການໂຈມຕີມີຊື່ວ່າ Blue Mockingbird ຊຶ່ງໄດ້ເລີ່ມເຄື່ອນໄຫວຕັ້ງແຕ່ທ້າຍປີກ່ອນ, ໂດຍຊ່ອງໂຫວ່ CVE-2019-18935 ເກີດຂຶ້ນກັບເຟຣມເວີກ (framework) ທີ່ຊື່ວ່າ Telerik ຊຶ່ງຖືກນຳໃຊ້ໃນສ່ວນປະກອບຂອງ UI. ຄວາມອັນຕະລາຍກໍ່ຄືຫຼາຍໆບໍລິສັດ ຫຼື ນັກພັດທະນາຫຼາຍໆຄົນ ຍັງບໍ່ຮູ້ເຖິງການມີຢູ່ຂອງ Telerik ໃນແອັບພິເຄຼຊັນ ຂອງຕົວເອງເລີຍ. ດັ່ງນັ້ນ, ຈຶ່ງເປັນເລື່ອງຍາກຫຼາຍທີ່ຈະຮູ້ວ່າສິ່ງທີ່ໃຊ້ງານຢູ່ນັ້ນ ໄດ້ຮັບການອັບເດດແລ້ວ ຫຼື ຍັງ, ໂດຍຊ່ອງໂຫວ່ນີ້ ທາງດ້ານ National Security Agency of US (NSA) ແລະ The Australian Cyber Security Centre (ACSC) ໄດ້ຂຶ້ນບັນຊີທີ່ມີການນຳມາໃຊ້ໂຈມຕີຫຼາຍໃນປີ 2019 ແລະ 2020.

ສຳລັບພຶດຕິກຳຂອງກຸ່ມຜູ້ປະສົງຮ້າຍ ເມື່ອສາມາດເຈາະເຂົ້າໄປດ້ວຍຊ່ອງໂຫວ່ນີ້ແລ້ວ ກໍ່ຈະມີການວາງ Web Shell ແລະ ນຳໃຊ້ເຕັກນິກ Juicy Potato ເພື່ອຍົກລະດັບສິດໃຫ້ເຖິງລະດັບຜູ້ເບິ່ງແຍງລະບົບ ແລະ ແກ້ໄຂການຕັ້ງຄ່າເຊີເວີ ເພື່ອຮອງຮັບການ reboot ໄດ້ອີກເທື່ອໜຶ່ງ. ນອກຈາກນີ້, ເມື່ອເຂົ້າເຖິງລະບົບໄດ້ທັງໝົດແລ້ວ ກໍ່ຈະດາວໂຫຼດ ແລະ ຕິດຕັ້ງ XMRRig ທີ່ເປັນແອັບການຂຸດ Cryptocurrency ໃຫ້ເຂົ້າມາເຮັດວຽກຕື່ມ.

ດ້ວຍເຫດນີ້ ຜູ້ໃຊ້ງານອາດຈະໃຊ້ Firewall ເພື່ອປິດກັ້ນຊ່ອງໂຫວ່ ຫຼື ສາມາດເບິ່ງຕົວຊີ້ບອກວິທີການບຸກລຸກ (https://redcanary.com/blog/blue-mockingbird-cryptominer/ ) ຈາກ ທ່ານ Red Canary.

ເອກະສານອ້າງອີງ:  

1. https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2019-18935 
2. https://ohpe.it/juicy-potato/
3. https://www.zdnet.com/article/thousands-of-enterprise-systems-infected-by-new-blue-mockingbird-malware-gang/