Den nu berygtede EternalBlue udnytte indsat i WannaCry ransomware udbruddet og i fordelingen af Adylkuzz minearbejder bruges nu til at levere den Nitol bagdør og Gh0st RAT. Begge trusler har eksisteret i flere år og er igen indgår i ondsindede operationer.
SMB Fejl fra WannaCry og Adylkuzz kampagner Indsat Once Again
FireEye forskere siger, at de kriminelle bag denne kampagne er igen ved hjælp af den selvsamme SMB brist (MS017-010) der blev gearede til distribution af WannaCry.
"Vi observerede lab maskiner sårbare over for SMB udnytte blev angrebet af en trussel skuespiller ved hjælp af EternalBlue udnytte til at få shell adgang til maskinen,”FireEye forskere nylig delt.
Mere om Gh0st RAT
Som allerede nævnt, RAT er blevet indsat i forskellige ondsindede operationer i mange år. Interessant, dens primære anvendelse er som en nationalstat værktøj til APT angreb mod offentlige institutioner og politisk engageret mål. Gh0st RAT var også en af de bagdøre søges af malware Hunter, det "specialiseret Shodan crawler, der udforsker internettet på udkig efter kommando & kontrollere (C2S) servere til botnets".
Mere om Backdoor.Nitol
Nitol, eller Backdoor.Nitol har været en del af operationer bygget på en fjernkode fejl ved hjælp af ADODB.Stream ActiveX Object påvirker ældre versioner af Internet Explorer, FireEye siger forskerne. Interessant, både Nitol og Gh0st er blevet distribueret via CVE-2014-6332 sårbarhed og i spam rettet mod PowerShell kommandoer.
Den indledende udnytte teknik, der anvendes på SMB niveau (ved Backdoor.Nitol og Gh0st) svarer til, hvad vi er blevet set i WannaCry kampagner; dog, når en maskine er lykkedes inficeret, denne særlige angreb åbner en shell til at skrive instruktioner i en VBScript-fil og derefter udfører det at hente nyttelast på en anden server.
Gh0st RAT Prøve Signeret med stjålne certifikat
Ifølge forskere, kombinationen af EternalBlue og VBScript har spredt Nitol i Singapore og Nitol i Sydasien. Også, prøverne erhvervet af FireEye blev underskrevet med et fælles digitalt certifikat, som er mest sandsynligt stjålet:
Den Gh0St RAT prøve observeret i dette angreb, samt andre tilknyttede prøver identificeret af FireEye er alle underskrevet med et fælles digitalt certifikat, der påstås at være fra 北京 研 创 达 科技 有限公司 (Beijing Institute of Technology Co, Ltd). Stjålet eller ulovligt indkøbte Code Signing certifikater anvendes i stigende grad til at låne legitimitet til malware. Se appendiks for detaljer om den observerede kode signeringscertifikatet.
Afslutningsvis, tilsætning af EternalBlue til Metasploit har gjort tingene meget let for angribere at udnytte disse fejl. Forskere forventer flere trussel grupper til at begynde at udnytte de samme sårbarheder til at levere forskellige nyttelast.
Milena Dimitrova
En inspireret forfatter og indholdschef, der har været hos SensorsTechForum siden projektets start. En professionel med 10+ års erfaring med at skabe engagerende indhold. Fokuseret på brugernes privatliv og malware udvikling, hun tror stærkt på en verden, hvor cybersikkerhed spiller en central rolle. Hvis almindelig sund fornuft giver ingen mening, hun vil være der til at tage noter. Disse noter senere kan blive til artikler! Følg Milena @Milenyim
Følg mig:
Ja, jeg havde det her.. det har været her i årevis.. lægge undercover.. Jeg vil vædde på, at det er udbredt.. eneste tegn var en hurtig flash, hvis adgang vdisk, når du åbner diskviewer.. kommandoen fandt ingen virtuel disk.. og som jeg gravede dybere det reared sit hoved lol.. nu låst ude af netværksenheder.. enhver iso, jeg downloader, omdirigeres.. det er i firmwaren.. måtte udskifte mit bundkort ram og gpu for at rense min primære pc.. ad det ormer så… Jeg vil vædde på, at en stor del af mennesker har dette, hvis de bruger windows.. Jeg har stor erfaring med reparation og diagnostik af computere… for pokker, selv andre teknikere, jeg har vist, trækker bare på skuldrene.. kun gode genkender selv dette som alt andet end en Windows-filkorruption. Så vis dem, at Windows-billedet har et indlejret linux-boot-filsystem hahaha… meget få ville vide, at de havde det, endnu mindre kunne få det ud