Den EternalBlue Exploit Indsat at levere Backdoor.Nitol, Gh0st RAT
CYBER NEWS

Den EternalBlue Exploit Indsat at levere Backdoor.Nitol, Gh0st RAT

Den nu berygtede EternalBlue udnytte indsat i WannaCry ransomware udbruddet og i fordelingen af Adylkuzz minearbejder bruges nu til at levere den Nitol bagdør og Gh0st RAT. Begge trusler har eksisteret i flere år og er igen indgår i ondsindede operationer.

SMB Fejl fra WannaCry og Adylkuzz kampagner Indsat Once Again

FireEye forskere siger, at de kriminelle bag denne kampagne er igen ved hjælp af den selvsamme SMB brist (MS017-010) der blev gearede til distribution af WannaCry.

"Vi observerede lab maskiner sårbare over for SMB udnytte blev angrebet af en trussel skuespiller ved hjælp af EternalBlue udnytte til at få shell adgang til maskinen,”FireEye forskere nylig delt.

Mere om Gh0st RAT

Som allerede nævnt, RAT er blevet indsat i forskellige ondsindede operationer i mange år. Interessant, dens primære anvendelse er som en nationalstat værktøj til APT angreb mod offentlige institutioner og politisk engageret mål. Gh0st RAT var også en af ​​de bagdøre søges af malware Hunter, det "specialiseret Shodan crawler, der udforsker internettet på udkig efter kommando & kontrollere (C2S) servere til botnets".

relaterede Story: Malware Hunter lokaliserer Command og Kontrolcentrene Botnets

Mere om Backdoor.Nitol

Nitol, eller Backdoor.Nitol har været en del af operationer bygget på en fjernkode fejl ved hjælp af ADODB.Stream ActiveX Object påvirker ældre versioner af Internet Explorer, FireEye siger forskerne. Interessant, både Nitol og Gh0st er blevet distribueret via CVE-2014-6332 sårbarhed og i spam rettet mod PowerShell kommandoer.

Den indledende udnytte teknik, der anvendes på SMB niveau (ved Backdoor.Nitol og Gh0st) svarer til, hvad vi er blevet set i WannaCry kampagner; dog, når en maskine er lykkedes inficeret, denne særlige angreb åbner en shell til at skrive instruktioner i en VBScript-fil og derefter udfører det at hente nyttelast på en anden server.

Gh0st RAT Prøve Signeret med stjålne certifikat

Ifølge forskere, kombinationen af ​​EternalBlue og VBScript har spredt Nitol i Singapore og Nitol i Sydasien. Også, prøverne erhvervet af FireEye blev underskrevet med et fælles digitalt certifikat, som er mest sandsynligt stjålet:

Den Gh0St RAT prøve observeret i dette angreb, samt andre tilknyttede prøver identificeret af FireEye er alle underskrevet med et fælles digitalt certifikat, der påstås at være fra 北京 研 创 达 科技 有限公司 (Beijing Institute of Technology Co, Ltd). Stjålet eller ulovligt indkøbte Code Signing certifikater anvendes i stigende grad til at låne legitimitet til malware. Se appendiks for detaljer om den observerede kode signeringscertifikatet.

relaterede Story: EternalRocks Worm mere magtfulde end WannaCry SMB Worm

Afslutningsvis, tilsætning af EternalBlue til Metasploit har gjort tingene meget let for angribere at udnytte disse fejl. Forskere forventer flere trussel grupper til at begynde at udnytte de samme sårbarheder til at levere forskellige nyttelast.

Avatar

Milena Dimitrova

En inspireret forfatter og indhold leder, der har været med SensorsTechForum for 4 år. Nyder ’Mr. Robot’og frygt’1984’. Fokuseret på brugernes privatliv og malware udvikling, hun tror stærkt på en verden, hvor cybersikkerhed spiller en central rolle. Hvis almindelig sund fornuft giver ingen mening, hun vil være der til at tage noter. Disse noter senere kan blive til artikler! Følg Milena @Milenyim

Flere indlæg

Følg mig:
Twitter

Efterlad en kommentar

Din e-mail-adresse vil ikke blive offentliggjort. Krævede felter er markeret *

Frist er opbrugt. Venligst genindlæse CAPTCHA.

Del på Facebook Del
Loading ...
Del på Twitter Tweet
Loading ...
Del på Google Plus Del
Loading ...
Del på Linkedin Del
Loading ...
Del på Digg Del
Del på Reddit Del
Loading ...
Del på Stumbleupon Del
Loading ...