Sikkerhed forskere for nylig opdaget et nyt værktøj, der er aktivt scanning for udsatte webtjenester og standard passwords.
Forskerne døbt ondsindet værktøj ”Xwo”. Navnet er taget fra sit primære modul navn. Xwo er sandsynligvis relateret til tidligere opdaget malware familier Xbash og MongoLock.
Hvordan blev Xwo malware opdaget? Hvad er Xwo?
Alien Labs forskere først bemærket Xwo bliver serveret fra en server slippe en fil med navnet xwo.exe.
Kort, den Xwo malware er en Python-baserede bot-scanner skabt med henblik på rekognoscering. Baseret på IP intervaller modtaget fra en kommando og kontrol-server, malware sifts til standard adgangskoder til tjenester, rapportering tilbage resultaterne. Xwo måske ikke nødvendigvis skadelig, men det er ved at blive indsat til sådanne formål.
Xwo foreninger med MongoLock og Xbash
MongoLock målrettet MongoDB databaser, som ikke havde nogen beskyttelse og havde fjernadgang efterladt åben. MongoLock udslettet disse databaser og brugt afpresning taktik til at forsøge at narre offeret parter til at betale en løsesum gebyr for angiveligt at inddrive deres kompromitteret data.
https://sensorstechforum.com/mongo-lock-ransomware-deletes-vulnerable-mongodb-databases/”] Mongo Lock Ransomware Sletter Sårbare MongoDB Databaser.
Forskere siger, at både Xwo og MongoLock udnytte lignende Python-baserede kode, kommando og kontrol domæne navngivning, og har et overlap i kommando og kontrol-server-infrastruktur.
Forskellen mellem de to er, at Xwo ikke har nogen ransomware eller udnyttelse kapaciteter, men snarere sender stjålne legitimationsoplysninger og service adgang tilbage til kommando og kontrol-infrastruktur.
Den Xbash malware stammen kombinerer karakteristika fire malware kategorier - ransomware, botnet, orm, og krypto minearbejdere. Ifølge forskere fra Palo Alto Networks’ Enhed 42, Xbash s ransomware og botnet kapaciteter er rettet mod Linux-systemer, hvor malware er instrueret til at slette databaser. Som til Windows, Xbash anvendes til cryptomining formål og self-propagation, udnytte kendte sikkerhedshuller i Hadoop, Redis, og ActiveMQ tjenester.
Det fremgår, at Python-script af Xwo indeholder kode kopieret fra XBash.
Som i denne rapport, det er uklart, om Xwo vedrører med samme modstander kaldet ”Iron Group”, eller hvis de har repurposed offentlig kode. Baseret på vores forskning til dato, en potentiel forhold kan existbetween Jern Cyberkriminalitet Group og Rocke. Vi kan ikke vurdere forholdet med acceptabel tillid som af denne rapport, forskerne sagde.
Yderligere Xwo specifikationer
Efter den er henrettet, Xwo er sat til at udføre en HTTP POST anmodning med en tilfældig User-Agent fra en hardcodede liste af valgmuligheder. Den malware modtager derefter instruktioner fra kommando og kontrol domæne med et kodet offentlige net rækkevidde til at scanne. Det er bemærkelsesværdigt, at ”IP-interval leveret af C2 infrastrukturen er base64 kodet og zlib komprimeret".
Kommando- og kontrolstruktur infrastruktur Xwo er forbundet med MongoLock. Specifikke mønstre følges med hensyn til registrering domæner efterligner sikkerheds- og nyheder organisationer og websites såsom Rapid7 (rapid7.com), PCRisk (pcrisk.com), og ProPublica s løg websted (propub3r6espa33w.onion) men med .tk TLD'er.
Xwo vil også scanne netværket rækkevidde stilles til rådighed af kommando og kontrol-server. Næste er rekognoscering aktivitet med det formål at indsamle oplysninger om tilgængelige tjenester. Forskere mener, at truslen aktører indsamle disse oplysninger til senere brug.
Indsamlede oplysninger omfatter:
– Anvendelse af standardindstillinger legitimationsoplysninger i FTP, MySQL, PostgreSQL, MongoDB, Redis, memcached.
– Tomcat standard legitimationsoplysninger og fejlkonfigurationer.
– Standard SVN og Git stier.
– Git indhold repositoryformatversion.
– phpMyAdmin detaljer.
– Www backup stier.
– RealVNC Enterprise Direct Connect.
– RSYNC tilgængelighed.
Afslutningsvis, Xwo synes at være et nyt skridt i retning af en fremrykkende kapacitet, og forskere forventer den fulde værdi af den rekognoscering værktøj til at blive handlet på i fremtidige angreb.
Milena Dimitrova
En inspireret forfatter og indholdschef, der har været hos SensorsTechForum siden projektets start. En professionel med 10+ års erfaring med at skabe engagerende indhold. Fokuseret på brugernes privatliv og malware udvikling, hun tror stærkt på en verden, hvor cybersikkerhed spiller en central rolle. Hvis almindelig sund fornuft giver ingen mening, hun vil være der til at tage noter. Disse noter senere kan blive til artikler! Følg Milena @Milenyim
Følg mig: