တစ်ဦးရှုပ်ထွေးပွေလီအောင်လုပ်လှည့်ကွက်အဖြစ်လက်မှတ်ဖိုင်တွေသုံးနေစဉ်ဆိုက်ဘာလုံခြုံရေးကုမ္ပဏီတစ်ခုက Trend Micro နဲ့ malware တွေကိုတူးဖော်တိုက်ခိုက် monero တပ်ဆင်ရန် Oracle ကဘလော့ဂျ server ကိုတစ်ဦးအားနည်းချက်အမြတ်ထုတ်ခဲ့ပြီးပြီ (XMR) အတည်ပြုလိုက်ပါတယ်။ အဆိုပါသတင်းကိုဇွန်လ 10 ရက်နေ့တွင်ထုတ်ဝေတဲ့ Trend Micro နဲ့ blog post တစ်ခုတွင်ထုတ်ဖော်ပြသခဲ့သည်။
ပိုင်ရှင်၏သဘောတူခွင့်ပြုချက်သို့မဟုတ်ပညာအတတ်မရှိဘဲ cryptocurrencies အဘို့ငါမှကွန်ပျူတာတစ်လုံးရဲ့ processing power အသုံးပြု malware ကို install လုပ်၏အလေ့အကျင့် – ယခင်ကအစီရင်ခံအဖြစ်, ကိုယ်ပျောက် crypto သတ္တုတွင်းများ၏ပုံစံများကိုလည်းစက်မှုလုပ်ငန်းသက်တမ်း cryptojacking နှင့်အတူရည်ညွှန်းကြသည်။
Trend Micro နဲ့ရဲ့ post ကိုအဆိုအရ theOracle ဘလော့ဂျအားနည်းချက်တစ်ခုကလုံခြုံရေး patch ကို ( "CVE-2019-2725") – သတင်းများအရတစ်ဦး deserialization အမှားကြောင့်ဖြစ်ရတဲ့ – အမျိုးသားအားနည်းချက်ဒေတာဘေ့စအစောပိုင်းကဒီနွေဦးအတွက်ဖြန့်ချိခဲ့သည်။
သို့သော် Trend Micro နဲ့အားနည်းချက်ပြီးသား cryptojacking ရည်ရွယ်ချက်များအတွက်အမြတ်ထုတ်ခြင်း, ကမှန်ကန်ကြောင်းအတည်ပြုခြင်းနှင့်စွပ်စွဲချက်များကိုသုံးသပ်တော်မူကြောင်းကိုအတည်ပြုထားပြီးကြောင်းစွပ်စွဲသည့် Sans ISC InfoSec ဖိုရမ်ပေါ်မှာပေါ်ထွက်လာကြောင်းအစီရင်ခံစာများကိုးကား။
အဆိုပါကုမ္ပဏီဖော်ထုတ်တိုက်ခိုက်မှုကြောင့် "စိတ်ဝင်စားစရာကောင်းတဲ့လှည့်ကွက်" အဖြစ်ဖော်ပြထားတယ်ဘယ်အရာကိုတပ်ဖြန့်ကြောင်းမှတ်ချက်ပြု – "အဆိုပါ malware ကိုတစ်ခုရှုပ်ထွေးပွေလီအောင်လုပ်နည်းဗျူဟာအဖြစ်လက်မှတ်ဖိုင်တွေအတွက်၎င်း၏အန္တရာယ်ရှိတဲ့ codes တွေကိုဖုံးကွယ်" အမည်ရကြောင်း:
"malware ကိုဖုံးကွယ်ဖို့လက်မှတ်ဖိုင်တွေကို အသုံးပြု. ၏စိတ်ကူးရှုပ်ထွေးပွေလီအောင်လုပ်ရည်ရွယ်ချက်များအတွက်လက်မှတ်ဖိုင်များကိုအသုံးပြုခြင်းဖြင့်သစ်တစ်ခုတဦးတည်း ( … ) မဖြစ်ဒေါင်းလုပ်ဖိုင်အဖြစ်ရှုမြင်သောလက်မှတ်ဖိုင် format နဲ့၌တည်ရှိ၏ကတည်းက malware ကိုတစ်ဖဲ့ကိုရခြင်းဖြစ်နိုင်သည်ထောက်လှမ်းရှောင်နိုင်ပါတယ် ပုံမှန် – ။ အထူးသဖြင့် HTTPS ကိုဆက်သွယ်မှုထူထောင်သည့်အခါ "
Trend Micro နဲ့ရဲ့သုံးသပ်ချက်ကတော့ malware ကို command-and-ထိန်းချုပ်မှု server မှတစ်ဦးလက်မှတ်ဖိုင်ရဲ့ download, ချက်ချင်းတစ် PowerShell command ကို execute မှ CVE-2019-2725 ယူအမြတ်ထုတ်သည်ဟုထုတ်ပြန်ချက်တွင်ဖော်ပြထားသည်ခြင်းဖြင့်စတင်ခဲ့သည်။
အဆိုပါ XMR မိုင်းလုပ်သား payload ၏ installation အပါအဝင် – – ၎င်း၏ခြေလှမ်းများနှင့်ဝိသေသလက္ခဏာများခြေရာကောက်ရန်ဆက်လက်ပြီးနောက် Micro နဲ့ဗွီအိုအေက၎င်း၏လက်ရှိဖြန့်ကျက်အတွက်သိသာ Anomaly မှတ်ချက်ပြု:
"(အို) ddly မလုံလောက်ခြင်း, ဝှက်လက်မှတ်ဖိုင်ကနေ PS command ကို၏ကွပ်မျက်အပေါ်သို့အခြားအန္တရာယ်ရှိတဲ့ဖိုင်တွေအစောပိုင်းကဖော်ပြခဲ့တဲ့လက်မှတ်ဖိုင်ပုံစံကနေတဆင့်ဝှက်ထားခံရမပါဘဲဒေါင်းလုဒ်လုပ်နေကြသည်။ ဒါဟာရှုပ်ထွေးပွေလီအောင်လုပ်နည်းလမ်းကိုလက်ရှိမှာနောက်ပိုင်းရက်စွဲမှာ pegged သည်အခြား malware များမျိုးကွဲရန်၎င်း၏တိုးချဲ့နှင့်အတူ၎င်း၏ထိရောက်မှုကိုစမ်းသပ်လျက်ရှိကြောင်းညွှန်ပြပါလိမ့်မယ်။ "
The post cryptojacking များ၏အန္တရာယ်လျော့ပါးစေရန်အလို့ငှာလုံခြုံရေး patch ကိုအတူနောက်ဆုံးပေါ်ဗားရှင်းသူတို့ရဲ့ဆော့ဖ်ဝဲကို update လုပ်ဖို့ဘလော့ဂျဆာဗာသုံးပြီးကုမ္ပဏီများရန်ထောက်ခံချက်နှင့်အတူအဆုံးသတ်ခဲ့သည်။
မကြာသေးမီကဖော်ပြခဲ့သည်အဖြစ်, Trend Micro နဲ့ XMR-သတ္တုတူးဖော်ရေး malware ကိုကယ်နှုတ်တော်မူတစ်ခု obfuscated PowerShell script ကိုအသုံးပြုခဲ့ဖူးကြောင်းအစောပိုင်းလှုပ်ရှားမှုများန်းမှာတစ်မဲဆွယ်စည်းရုံးရေးအတွက်, ဒီနွေဦးတရုတ်-based စနစ်များကိုပစ်မှတ်ထား XMR cryptojacking အတွက်အဓိက uptick ရှာဖွေတွေ့ရှိ။