Los investigadores de seguridad descubrieron recientemente una nueva herramienta que está explorando activamente para servicios web expuestos y contraseñas por defecto.
Los investigadores llamaron la herramienta maliciosa “Xwo”. El nombre es tomado de su nombre del módulo principal. Xwo es más probable en relación a las familias de malware descubiertos previamente Xbash y MongoLock.
¿Cómo se descubrió el malware Xwo? Lo que es Xwo?
Labs alienígenas investigadores notaron por primera vez Xwo se sirve desde un servidor de dejar caer un archivo llamado xwo.exe.
En breve, el malware es un Xwo bot escáner basado en Python creado con el propósito de reconocimiento. Basado en IP Intervalos recibidos desde un servidor de comando y control, el malware tamiza para las contraseñas por defecto para los servicios, informar de los resultados. Xwo puede no ser necesariamente malicioso pero está siendo desplegado para tales fines.
asociaciones de Xwo con MongoLock y Xbash
MongoLock dirigido bases de datos MongoDB que no tenían ninguna protección y acceso remoto había dejado abiertas. MongoLock limpió estas bases de datos y utiliza tácticas de extorsión para tratar de engañar a las partes a las víctimas a pagar una cuota de rescate por supuestamente recuperar sus datos comprometida.
https://sensorstechforum.com/mongo-lock-ransomware-deletes-vulnerable-mongodb-databases/”] Mongo bloqueo ransomware Elimina vulnerables Bases de datos MongoDB.
Los investigadores afirman que tanto Xwo y MongoLock utilizan código basado en Python similares, el mando y el control de nombres de dominio, y tienen una superposición en la infraestructura de servidores de comando y control.
La diferencia entre los dos es que Xwo no tiene ninguna capacidad de ransomware o explotación, sino que envía el robo de credenciales y acceso a los servicios de nuevo a la infraestructura de comando y control.
La cepa de malware Xbash combina características de cuatro categorías de malware - ransomware, botnet, gusano, y los mineros cripto. De acuerdo con investigadores de la Unidad de Palo Alto Networks 42, ransomware capacidades y redes de bots de Xbash están dirigidos a sistemas Linux donde el malware es instruido para eliminar las bases de datos. Como para Windows, Xbash se utiliza para fines cryptomining y auto-propagación, el aprovechamiento de vulnerabilidades de seguridad conocidas en Hadoop, Redis, y servicios ActiveMQ.
Parece ser que el script en Python de Xwo contiene código copiado de XBash.
A partir de este informe, no está claro si Xwo se relaciona con el mismo adversario conocido como “Grupo del Hierro”, o si se han reutilizado código público. Sobre la base de nuestra investigación hasta la fecha, una relación potencial puede existbetween Hierro Ciberdelincuencia Group y Rocke. No somos capaces de evaluar la relación con confianza aceptable a partir de este informe, investigadores dijeron.
Otras especificaciones Xwo
Después de que se ejecuta, Xwo que lleve a cabo una solicitud HTTP POST al azar con un agente de usuario de una lista de opciones codificado. El malware entonces recibe instrucciones desde el dominio de mando y control con un intervalo de red pública codificada para escanear. Es de destacar que “el rango de IP suministrada por la infraestructura C2 se base64 codifica y se comprime zlib".
La infraestructura de comando y control de Xwo se asocia con MongoLock. Los patrones específicos se siguen en términos de registro de dominios que imitan los organismos de seguridad y de noticias y sitios web como Rapid7 (rapid7.com), PCRisk (pcrisk.com), y el sitio de la cebolla de ProPublica (propub3r6espa33w.onion) pero con TLD .TK.
Xwo también explorará el alcance de la red puesto a disposición por el servidor de comando y control. Lo siguiente es la actividad de reconocimiento con el fin de recoger información sobre los servicios disponibles. Los investigadores creen que los actores de amenaza recogen esta información para su uso posterior.
La información recopilada incluye:
– El uso de credenciales predeterminadas en FTP, MySQL, PostgreSQL, MongoDB, Redis, memcached.
– credenciales y configuraciones erróneas por defecto de Tomcat.
– Por defecto caminos SVN y Git.
– repositoryformatversion contenidos Git.
– detalles PhpMyAdmin.
– rutas de respaldo www.
– RealVNC Empresa Direct Connect.
– accesibilidad RSYNC.
En conclusión, Xwo parece ser un nuevo paso hacia una capacidad de avanzar, y los investigadores esperan que el valor total de la herramienta de reconocimiento que se actuó en en futuros ataques.
Milena Dimitrova
Un escritor inspirado y administrador de contenido que ha estado con SensorsTechForum desde que comenzó el proyecto.. Un profesional con 10+ años de experiencia en la creación de contenido atractivo. Centrado en la privacidad de los usuarios y el desarrollo de malware, ella cree firmemente en un mundo donde la seguridad cibernética juega un papel central. Si el sentido común no tiene sentido, ella estará allí para tomar notas. Esas notas pueden convertirse más tarde en artículos! Siga Milena @Milenyim
Sígueme: