Trend Micro виявила кампанію з видобутку криптовалюти Monero, націлену на web-сервери, мережеві та знімні накопичувачі
Trend Micro виявила кампанію з видобутку криптовалюти Monero, націлену на web-сервери, мережеві та знімні накопичувачі
Фахівці Trend Micro виявили нову кампанію з видобутку криптовалюти Monero, націлену на web-сервери, мережні та знімні накопичувачі.
Для непомітного зараження пристроїв оператори кампанії, що отримала назву BlackSquid, використовують 8 експлоїтів для різних вразливостей, у тому числі інструмент EternalBlue, що втік, з арсеналу Агентства національної безпеки США, а також ряд експлоїтів для багів у ПО Rejetto HFS (CVE-201 ), Apache Tomcat (CVE-2017-12615), Windows Shell (CVE-2017-8464) та кількох версіях фреймворку ThinkPHP.
Після зараження сервера BlackSquid проводить перевірку на предмет того, де знаходиться (у віртуальній машині, пісочниці тощо), і чи використовуються інструменти аналізу. Якщо шкідливість виявляється в небезпечного йому середовищі, він припиняє шкідливу діяльність. Інфікування відбувається через уразливості у web-додатках, які використовують сервери. За допомогою API GetTickCount шкідливість шукає IP-адреси доступних серверів і компрометує їх, використовуючи експлоїти та брутфорс. Далі шкідлива програма визначає, яку відеокарту встановлено: якщо Nvidia або AMD, на систему завантажуються модулі XMRig для видобутку криптовалюти.
BlackSquid може використовуватися не тільки для майнінгу криптовалюти, але й для підвищення прав на системі, крадіжки конфіденційних даних, порушення роботи апаратного та програмного забезпечення, а також для атак на організації.
Судячи з деяких нюансів, BlackSquid все ще перебуває на стадії розробки. Як вважають експерти, його автори експериментують із різними видами атак, намагаючись визначити найменш затратні. На цьому етапі зловмисники завантажують на компрометовані сервери майнери Monero, але в майбутньому можуть переключитися на інші загрози.
Поширення BlackSquid здійснюється за допомогою інструменту EternalBlue та бекдору DoublePulsar. Незважаючи на те, що патч для даних уразливостей доступний з березня 2017 року, тисячі систем, як і раніше, залишаються вразливими. Згідно з статистикою компанії Check Point, станом на 20 березня 2019 року понад 600 тис. корпоративних систем все ще не захищені від атак з використанням EternalBlue.
