Les chercheurs en sécurité ont récemment découvert un nouvel outil qui analyse activement pour les services Web exposés et les mots de passe par défaut.
Les chercheurs ont surnommé l'outil malveillant « XWO ». Le nom est tiré de son nom de module primaire. XWO est très probablement lié à des familles de logiciels malveillants découverts précédemment Xbash et MongoLock.
Comment le malware XWO découvert? Qu'est-ce que XWO?
Alien Labs chercheurs ont d'abord remarqué XWO servi d'un serveur en déposant un fichier nommé xwo.exe.
En bref, le logiciel malveillant est un XWO scanner bot basé sur Python créé dans le but de reconnaissance. Sur la base de plages d'adresses IP reçues d'une commande et de contrôle du serveur, les logiciels malveillants tamise des mots de passe par défaut pour les services, faire rapport des résultats. XWO peut ne pas être nécessairement malveillant mais il est déployé à de telles fins.
Les associations de XWO avec MongoLock et Xbash
MongoLock ciblées bases de données MongoDB qui avaient aucune protection et avait accès à distance à gauche ouvert. MongoLock essuyée ces bases de données et a utilisé des tactiques d'extorsion pour tenter de duper les parties aux victimes de payer une redevance de rançon pour récupérer soi-disant leur compromission de données.
https://sensorstechforum.com/mongo-lock-ransomware-deletes-vulnerable-mongodb-databases/”] Mongo verrouillage Ransomware Supprime les bases de données vulnérables MongoDB.
Les chercheurs disent que les deux XWO et MongoLock utilisent le code à base de Python similaire, commande et domaine de contrôle nommage, et avoir un chevauchement dans l'infrastructure de serveur commande et de contrôle.
La différence entre les deux est que XWO n'a pas de capacités de ransomware ou d'exploitation, mais envoie plutôt des informations d'identification volés et l'accès aux services de retour à l'infrastructure de commandement et de contrôle.
La souche malware Xbash combine les caractéristiques des quatre catégories de programmes malveillants - ransomware, botnet, ver, et les mineurs crypto. Selon les chercheurs de l'Unité de Palo Alto Networks 42, ransomware de Xbash et les capacités botnet sont destinées à des systèmes Linux où le malware est de supprimer les bases de données instruit. Comme pour Windows, Xbash est utilisé à des fins de cryptomining et d'auto-propagation, tirant parti des failles de sécurité connues dans Hadoop, Redis, et services ActiveMQ.
Il semble que le script python de XWO contient le code copié à partir XBash.
A partir de ce rapport, on ne sait pas si XWO se rapporte à même adversaire connu sous le nom « Groupe du fer », ou si elles ont réorientés code public. Sur la base de nos recherches à ce jour, une relation potentielle peut existbetween Fer et Cybercrime Groupe Rocke. Nous sommes incapables d'évaluer la relation avec confiance acceptable de ce rapport, chercheurs.
D'autres spécifications XWO
Une fois qu'il est exécuté, XWO est configuré pour exécuter une requête HTTP POST avec un User-Agent au hasard dans une liste de choix hardcoded. Le logiciel malveillant reçoit ensuite des instructions de la commande et le contrôle de domaine avec une plage de réseau public codé pour balayer. Il est à noter que «la plage IP fournie par l'infrastructure de C2 est base64 codé et compressé zlib".
L'infrastructure de commandement et de contrôle de XWO est associée à MongoLock. modèles spécifiques sont suivis en termes d'enregistrement de domaines mimant les organismes de sécurité et des nouvelles et des sites tels que Rapid7 (rapid7.com), PCRisk (pcrisk.com), et le site de l'oignon de ProPublica (propub3r6espa33w.onion) mais avec TLDs .tk.
XWO analysera également la gamme de réseau mis à disposition par la commande et de contrôle du serveur. est l'activité suivante de reconnaissance dans le but de recueillir des informations sur les services disponibles. Les chercheurs pensent que les acteurs de la menace recueillent ces informations pour une utilisation ultérieure.
L'information recueillie comprend:
– Utilisation des informations d'identification par défaut dans FTP, MySQL, PostgreSQL, MongoDB, Redis, memcached.
– les informations d'identification par défaut de Tomcat et les erreurs de configuration.
– Par défaut chemins SVN et Git.
– contenu git repositoryformatversion.
– détails PhpMyAdmin.
– chemins de sauvegarde Www.
– RealVNC Enterprise Direct Connect.
– l'accessibilité RSYNC.
En conclusion, XWO semble être une nouvelle étape vers une capacité avancer, et les chercheurs attendent la pleine valeur de l'outil de reconnaissance pour y donner suite de futures attaques.
Milena Dimitrova
Un écrivain et gestionnaire de contenu inspiré qui travaille avec SensorsTechForum depuis le début du projet. Un professionnel avec 10+ années d'expérience dans la création de contenu engageant. Axé sur la vie privée des utilisateurs et le développement des logiciels malveillants, elle croit fermement dans un monde où la cybersécurité joue un rôle central. Si le bon sens n'a pas de sens, elle sera là pour prendre des notes. Ces notes peuvent se tourner plus tard dans les articles! Suivre Milena @Milenyim
Suivez-moi: