Die jetzt berüchtigt EternalBlue Ausnutzen von WannaCry Ransomware Ausbruch und in der Verteilung des entfalteten Adylkuzz Bergmann die Nitol Backdoor und Gh0st RAT wird nun verwendet, um zu liefern. Beide Bedrohungen gibt es schon seit mehreren Jahren und werden wieder in böswilliger Aktivitäten enthalten.
Der SMB-Flaw von WannaCry und Adylkuzz Kampagnen noch einmal Eingesetzt
FireEye Forscher sagen, dass die Kriminellen hinter dieser Kampagne wieder einmal die gleichen Fehler SMB mit (MS017-010) das war für die Verteilung von WannaCry Leveraged.
"Wir beobachteten Labormaschinen anfällig für die SMB-Exploits durch eine Bedrohung Schauspieler angegriffen wurden unter Verwendung der EternalBlue ausnutzen Shell Zugriff auf die Maschine zu gewinnen,“FireEye Forscher vor kurzem gemeinsam genutzt.
Mehr über Gh0st RAT
Wie bereits erwähnt, der RAT wurde in verschiedenen bösartigen Operationen seit vielen Jahren im Einsatz. Interessant, seine primäre Verwendung ist als Nationalstaat Werkzeug für die APT-Attacken gegen Regierungsbehörden und politisch engagierte Ziele. Gh0st RAT war auch eines der gesuchten Backdoors für von Malware Hunter, das "Fach Shodan Crawler, die das Internet suchen Befehl untersucht & Steuerung (c2s) Server für Botnets".
Mehr über Backdoor.Nitol
Nitol, oder Backdoor.Nitol hat einen Teil der Operationen auf einem Remotecodeausführung Fehler gebaut mit dem ADODB.Stream ActiveX-Objekt zu beeinflussen ältere Versionen von Internet Explorer gewesen, FireEye Forscher sagen,. Interessant, beide Nitol und Gh0st wurden über die CVE-2014-6332 Verletzlichkeit und in Spam-Kampagnen-Targeting Powershell-Befehle verteilt.
Die anfängliche auszubeuten Technik auf der Ebene verwendet SMB (von Backdoor.Nitol und Gh0st) ist ähnlich dem, was wir in WannaCry Kampagnen gesehen haben; jedoch, sobald eine Maschine erfolgreich infiziert ist, Dieser spezielle Angriff öffnet ein Shell-Befehle in eine VBScript-Datei zu schreiben und dann führt sie die Nutzlast auf einem anderen Server zu holen.
Gh0st RAT Probe mit gestohlenem Zertifikat signiert
Laut den Forschern, die Kombination von EternalBlue und VBScript wurde verbreitet Nitol in Singapur und Nitol in Südasien. Auch, die von FireEye erworbenen Proben wurden mit einem gemeinsamen digitalen Zertifikat signiert, das höchstwahrscheinlich gestohlen:
Die gh0st RAT Probe bei diesem Angriff beobachtet, sowie andere zugeordneten Proben durch FireEye identifiziert sind alle mit einem gemeinsamen digitalen Zertifikat signiert vorgibt zu sein, von 北京 研 创 达 科技 有限公司 (Beijing Institute of Science and Technology Co., Ltd). Gestohlene oder illegitim Code Signing-Zertifikate erworben werden zunehmend zu verleihen Legitimität von Malware verwendet. Im Anhang finden Sie alle Informationen zu dem beobachteten Codesignierungszertifikat.
Abschließend, die Zugabe von EternalBlue zu Metasploit hat die Dinge sehr einfach für Angreifer diese Fehler ausnutzen. Die Forscher erwarten, mehr Bedrohung Gruppen die gleichen Schwachstellen starten nutzen unterschiedliche Nutzlasten zu liefern.
Milena Dimitrova
Ein begeisterter Autor und Content Manager, der seit Projektbeginn bei SensorsTechForum ist. Ein Profi mit 10+ jahrelange Erfahrung in der Erstellung ansprechender Inhalte. Konzentriert sich auf die Privatsphäre der Nutzer und Malware-Entwicklung, sie die feste Überzeugung, in einer Welt, in der Cybersicherheit eine zentrale Rolle spielt. Wenn der gesunde Menschenverstand macht keinen Sinn, sie wird es sich Notizen zu machen. Diese Noten drehen können später in Artikel! Folgen Sie Milena @Milenyim
Folge mir:
Ja, mir ist das passiert.. es ist seit Jahren hier.. verdeckt liegen.. Ich wette, es ist weit verbreitet.. Das einzige Zeichen war ein schnelles Blinken, wenn beim Öffnen von Diskviewer auf vdisk zugegriffen wurde.. Befehl hat keine virtuelle Festplatte gefunden.. Als ich tiefer grub, hob es seinen Kopf lol.. jetzt von Netzwerkgeräten gesperrt.. Jede ISO, die ich herunterlade, wird umgeleitet.. es liegt an der Firmware.. musste meinen Motherboard-RAM und meine GPU ersetzen, um meinen primären PC zu reinigen.. ad es Würmer so… Ich wette, ein großer Teil der Leute hat das, wenn sie Windows verwenden.. Ich bin sehr erfahren in der Reparatur und Diagnose von Computern… Verdammt, sogar andere Techniker, die ich gezeigt habe, zucken nur mit den Schultern.. Nur gute erkennen dies überhaupt als etwas anderes als eine Windows-Dateibeschädigung. Und dann zeigen Sie ihnen, dass das Windows-Image ein eingebettetes Linux-Boot-Dateisystem hat, hahaha… sehr wenige würden wissen, dass sie es hatten, noch weniger konnten es herausbekommen