El EternalBlue ahora infame explotar desplegado en el brote ransomware WannaCry y en la distribución de la La minera Adylkuzz ahora está siendo utilizado para entregar la puerta trasera Nitol y Gh0st RAT. Ambas amenazas han existido desde hace varios años y una vez más se incluye en las operaciones maliciosos.
El defecto SMB de WannaCry y Adylkuzz Campañas desplegada una vez más
FireEye investigadores dicen que los criminales detrás de esta campaña son una vez más utilizando el mismo defecto SMB (MS017-010) que fue aprovechar para la distribución de WannaCry.
"Observamos máquinas de laboratorio vulnerables a la SMB explotan fueron atacados por un actor amenaza con el EternalBlue explotar para ganar acceso a una consola de la máquina,”investigadores recientemente FireEye compartido.
Más sobre Gh0st RAT
Como ya se ha mencionado, la rata ha sido desplegado en diversas operaciones maliciosos durante muchos años. Curiosamente, su uso principal es como una herramienta del Estado-nación para los ataques APT contra las agencias gubernamentales y las metas comprometidas políticamente. Gh0st RAT fue también una de las puertas traseras buscado por el malware Hunter, el "Shodan rastreador especializado que explora el Internet en busca de comandos & control (c2s) servidores para redes de bots".
Más sobre Backdoor.Nitol
manitol, o Backdoor.Nitol ha sido parte de las operaciones gracias a una falla de ejecución remota de código utilizando el objeto ActiveX ADODB.Stream que afecta a las versiones anteriores de Internet Explorer, FireEye investigadores dicen. Curiosamente, tanto Nitol y Gh0st se han distribuido a través de la vulnerabilidad CVE-2014 hasta 6332 y en las campañas de spam dirigidas a los comandos de PowerShell.
El inicial hazaña técnica utilizada en el nivel SMB (por Backdoor.Nitol y Gh0st) es similar a lo que nos han visto en campañas WannaCry; sin embargo, una vez que una máquina está infectada con éxito, este ataque particular, abre un shell para escribir instrucciones en un archivo VBScript y lo ejecuta en busca de la carga útil en otro servidor.
Gh0st Muestra RAT firmado con Certificado robados
Según los investigadores, la combinación de EternalBlue y VBScript se ha ido extendiendo Nitol en Singapur y Nitol en Asia del Sur. También, las muestras adquiridas por FireEye fueron firmados con un certificado digital común que es más probable robado:
La muestra Gh0st RAT observado en este ataque, así como otras muestras asociadas identificadas por FireEye están firmados con un certificado digital común pretenden ser de 北京 研 创 达 科技 有限公司 (Instituto de Ciencia y Tecnología Co. Beijing, Limitado). certificados de firma de código robados o ilegítimamente adquiridos se utilizan cada vez más para dar legitimidad al malware. Ver el apéndice para más detalles sobre el certificado de firma de código observado.
En conclusión, la adición de EternalBlue a Metasploit ha hecho las cosas muy fácil para los atacantes para explotar estas fallas. Los investigadores esperan más grupos peligrosos para iniciar el aprovechamiento de las mismas vulnerabilidades para entregar diferentes cargas útiles.
Milena Dimitrova
Un escritor inspirado y administrador de contenido que ha estado con SensorsTechForum desde que comenzó el proyecto.. Un profesional con 10+ años de experiencia en la creación de contenido atractivo. Centrado en la privacidad de los usuarios y el desarrollo de malware, ella cree firmemente en un mundo donde la seguridad cibernética juega un papel central. Si el sentido común no tiene sentido, ella estará allí para tomar notas. Esas notas pueden convertirse más tarde en artículos! Siga Milena @Milenyim
Sígueme:
Sí, me pasó esto.. Ha estado aquí durante años.. tendido encubierto.. Apuesto a que está muy extendido.. El único signo fue un parpadeo rápido si accedió a vdisk al abrir diskviewer.. El comando no encontró ningún disco virtual.. y a medida que cavé más profundo, levantó la cabeza jajaja.. ahora bloqueado de los dispositivos de red.. cualquier iso que descargo son redirigidos.. esta en el firmware. Tuve que reemplazar la RAM y la GPU de mi placa base para limpiar mi PC principal.. ad lo gusanos… Apuesto a que una gran parte de las personas tienen esto si usan Windows.. Tengo mucha experiencia en reparación y diagnóstico de computadoras.… Diablos, incluso otros técnicos que he mostrado solo se encogen de hombros.. solo los buenos incluso reconocen esto como algo excepto una corrupción de archivos de Windows. Y luego muéstreles que la imagen de Windows tiene un sistema de archivos de arranque de Linux incrustado jajaja… muy pocos sabrían que lo tienen menos aún podrían sacarlo