Le EternalBlue tristement célèbre exploit déployé dans l'épidémie ransomware WannaCry et dans la distribution des mineur Adylkuzz est maintenant utilisé pour fournir la porte dérobée Nitol et Gh0st RAT. Les deux menaces ont été autour depuis plusieurs années et sont à nouveau inclus dans les activités malveillantes.
Le Flaw SMB de WannaCry et des campagnes Adylkuzz Déployé Une fois Encore une fois
les chercheurs FireEye disent que les criminels derrière cette campagne utilisent encore une fois le même défaut de SMB (MS017-010) qui a été mobilisé pour la distribution de WannaCry.
"Nous avons observé des machines de laboratoire vulnérables aux PME exploitent ont été attaqués par un acteur de la menace à l'aide du EternalBlue exploiter pour obtenir un accès shell à la machine,» chercheurs FireEye récemment partagé.
En savoir plus sur Gh0st RAT
Comme déjà mentionné, la RAT a été déployé dans diverses opérations malveillantes depuis de nombreuses années. Intéressant, son utilisation principale est comme un outil État-nation pour les attaques APT contre les organismes gouvernementaux et des objectifs politiquement engagés. Gh0st RAT était aussi l'un des backdoors recherché par Malware Hunter, la "spécialisée crawler Shodan qui explore l'Internet à la recherche de commande & contrôle (C2S) serveurs pour les réseaux de zombies".
En savoir plus sur Backdoor.Nitol
Nitol, ou Backdoor.Nitol a fait partie des opérations construites sur une faille d'exécution de code à distance en utilisant l'objet ADODB.Stream ActiveX affectant les anciennes versions d'Internet Explorer, les chercheurs disent FireEye. Intéressant, à la fois Nitol et Gh0st ont été distribués par la vulnérabilité CVE-2014-6332 et dans les campagnes de spam ciblant les commandes PowerShell.
La première technique utilisée à exploiter le niveau SMB (par Backdoor.Nitol et Gh0st) est similaire à ce que nous avons vu dans les campagnes WannaCry; cependant, Une fois qu'une machine est infectée avec succès, cette attaque ouvre un shell pour écrire des instructions dans un fichier VBScript et exécute ensuite pour récupérer la charge utile sur un autre serveur.
Exemple gh0st RAT signé avec certificat volé
Selon les chercheurs, la combinaison de EternalBlue et VBScript a été répand Nitol à Singapour et en Asie du Sud Nitol. Aussi, les échantillons acquis par FireEye ont été signés avec un certificat numérique commun qui est le plus susceptible de vol:
L'échantillon gh0st RAT observé dans cette attaque, ainsi que d'autres échantillons associés identifiés par FireEye sont tous signés avec un certificat numérique commun prétendant provenir 北京 研 创 达 科技 有限公司 (Beijing Institute of Science and Technology Co., Ltd). certificats de signature de code volés ou illégitimement achetés sont de plus en plus utilisés pour donner une légitimité aux logiciels malveillants. Voir l'annexe pour plus de détails sur le certificat de signature de code observé.
En conclusion, l'ajout de EternalBlue à Metasploit a rendu les choses très facile pour les attaquants d'exploiter ces failles. Les chercheurs attendent plusieurs groupes de menace pour commencer tirant parti des mêmes vulnérabilités pour fournir différentes charges utiles.
Milena Dimitrova
Un écrivain et gestionnaire de contenu inspiré qui travaille avec SensorsTechForum depuis le début du projet. Un professionnel avec 10+ années d'expérience dans la création de contenu engageant. Axé sur la vie privée des utilisateurs et le développement des logiciels malveillants, elle croit fermement dans un monde où la cybersécurité joue un rôle central. Si le bon sens n'a pas de sens, elle sera là pour prendre des notes. Ces notes peuvent se tourner plus tard dans les articles! Suivre Milena @Milenyim
Suivez-moi:
Ouais j'ai eu ça.. c'est ici depuis des années.. pose sous couverture.. Je parie que c'est répandu.. le seul signe était un flash rapide si l'accès au vdisk lors de l'ouverture de diskviewer.. la commande n'a trouvé aucun disque virtuel.. et alors que je creusais plus profondément, il a relevé la tête lol.. maintenant verrouillé hors des périphériques réseau.. tous les iso que je télécharge sont redirigés.. c'est dans le firmware.. J'ai dû remplacer la RAM et le GPU de ma carte mère pour nettoyer mon PC principal.. ad it vers donc… Je parie qu'un grand nombre de personnes ont cela s'ils utilisent Windows.. J'ai beaucoup d'expérience dans la réparation et le diagnostic d'ordinateurs… diable même d'autres techniciens que j'ai montrés juste hausser les épaules.. seuls les bons reconnaissent même cela comme autre chose qu'une corruption de fichier Windows. Ensuite, montrez-leur que l'image Windows a un système de fichiers de démarrage Linux intégré hahaha… très peu sauraient qu'ils l'ont encore moins pourraient le sortir