L'EternalBlue ormai famigerato exploit distribuito nel focolaio ransomware WannaCry e nella distribuzione della minatore Adylkuzz ora viene utilizzato per fornire la backdoor Nitol e Gh0st RAT. Entrambe le minacce sono stati in giro per diversi anni e sono ancora una volta inclusi in operazioni dannose.
Il difetto SMB da WannaCry e Adylkuzz campagne Distribuito Once Again
ricercatori FireEye dicono che i criminali che stanno dietro questa campagna sono ancora una volta utilizzando lo stesso difetto SMB (MS017-010) che è stato sfruttato per la distribuzione di WannaCry.
"Abbiamo osservato le macchine di laboratorio vulnerabili al SMB exploit sono stati attaccati da un attore pericolo utilizzando l'EternalBlue exploit per ottenere l'accesso alla shell alla macchina,”ricercatori FireEye recente diviso.
Di più su Gh0st RAT
Come già accennato, RAT è stato distribuito in varie operazioni dannose per molti anni. È interessante notare che, il suo uso primario è come strumento di stato-nazione per gli attacchi APT contro le agenzie governative e gli obiettivi politicamente impegnati. Gh0st RAT è stato anche uno dei backdoor cercato da malware Hunter, il "crawler Shodan specializzata che esplora Internet alla ricerca di comando & controllo (C2S) server per la botnet".
Di più su Backdoor.Nitol
Nitol, o Backdoor.Nitol ha fatto parte delle operazioni grazie ad una falla di esecuzione di codice remoto utilizzando l'oggetto ADODB.Stream ActiveX che interessano le vecchie versioni di Internet Explorer, i ricercatori dicono FireEye. È interessante notare che, sia Nitol e Gh0st sono stati distribuiti attraverso la vulnerabilità CVE-2014-6332 e in campagne di spam rivolte comandi PowerShell.
L'iniziale tecnica utilizzata a livello SMB exploit (da Backdoor.Nitol e Gh0st) è simile a quello che abbiamo visto nelle campagne WannaCry; tuttavia, una volta che una macchina viene infettata con successo, questo particolare attacco si apre una shell di scrivere le istruzioni in un file VBScript e poi lo esegue per andare a prendere il carico utile su un altro server.
Gh0st Esempio RAT Firmato con Stolen certificato
Secondo i ricercatori, la combinazione di EternalBlue e VBScript si è diffuso Nitol a Singapore e in Asia meridionale Nitol. Anche, i campioni acquisiti da FireEye sono stati firmati con un certificato digitale comune che è più probabile rubato:
Il campione Gh0st RAT osservato in questo attacco, così come altri campioni associati identificate da FireEye sono tutti firmati con un certificato digitale comune, che pretendono di essere da 北京 研 创 达 科技 有限公司 (Beijing Institute of Science and Technology Co., Ltd). certificati di firma codice rubati o illecitamente acquistati sono sempre più utilizzati per dare legittimità al malware. Vedere l'appendice per i dettagli sul certificato di firma del codice osservato.
Insomma, l'aggiunta di EternalBlue al Metasploit ha reso le cose molto facile per gli attaccanti di sfruttare questi difetti. I ricercatori si aspettano più gruppi minaccia per iniziare a sfruttare le medesime vulnerabilità per fornire diversi carichi utili.
Milena Dimitrova
Uno scrittore ispirato e un gestore di contenuti che è stato con SensorsTechForum dall'inizio del progetto. Un professionista con 10+ anni di esperienza nella creazione di contenuti accattivanti. Incentrato sulla privacy degli utenti e lo sviluppo di malware, crede fortemente in un mondo in cui la sicurezza informatica gioca un ruolo centrale. Se il buon senso non ha senso, lei sarà lì per prendere appunti. Quelle note possono poi trasformarsi in articoli! Seguire Milena @Milenyim
Seguimi:
Sì, è successo.. è qui da anni.. sdraiato sotto copertura.. Scommetto che è diffuso.. l'unico segno era un flash rapido se accedi a vdisk all'apertura di diskviewer.. comando trovato nessun disco virtuale.. e mentre scavavo più a fondo, alzò la testa lol.. ora bloccato fuori dai dispositivi di rete.. tutte le iso che scarico vengono reindirizzate.. è nel firmware.. ho dovuto sostituire la ram e la gpu della mia scheda madre per pulire il mio pc principale.. ad esso vermi così… Scommetto che un'enorme fetta di persone ha questo se usano Windows.. Ho molta esperienza nella riparazione e diagnostica di computer… diamine, anche altri tecnici che ho mostrato fanno spallucce.. solo quelli buoni lo riconoscono come qualcosa tranne che come un danneggiamento di file di Windows. E poi mostra em che l'immagine di Windows ha un file system di avvio Linux incorporato hahaha… pochissimi saprebbero di averlo ancora meno potrebbero tirarlo fuori