I ricercatori di sicurezza hanno recentemente scoperto un nuovo strumento che è attivamente la scansione per i servizi web a vista e password di default.
I ricercatori hanno doppiato lo strumento dannoso “Xwo”. Il nome è preso dal nome del modulo primario. Xwo è molto probabilmente legati alle famiglie di malware precedentemente scoperti Xbash e MongoLock.
Come è stato il malware Xwo scoperto? Che cosa è Xwo?
Labs Alien ricercatori hanno prima notato Xwo viene servito da un server cadere un file chiamato xwo.exe.
In breve, il malware è un Xwo Scanner bot basato su Python creato allo scopo di ricognizione. Sulla base di intervalli IP ricevuto da un server di comando e controllo, il malware setaccia per le password predefinite per i servizi, riferire i risultati. Xwo può non essere necessariamente dannoso, ma viene distribuito per tali scopi.
associazioni di Xwo con MongoLock e Xbash
MongoLock mirato database MongoDB che non avevano alcuna protezione ed aveva accesso remoto lasciate aperte. MongoLock asciugò questi database e utilizzato tattiche di estorsione per cercare di ingannare le parti vittima a pagare una tassa riscatto per presunto recuperare i loro dati compromessa.
https://sensorstechforum.com/mongo-lock-ransomware-deletes-vulnerable-mongodb-databases/”] Mongo Blocco ransomware Elimina database MongoDB vulnerabili.
I ricercatori dicono che sia Xwo e MongoLock utilizzano codice Python-based simile, il comando e il controllo del dominio di denominazione, e hanno una sovrapposizione in infrastrutture server di comando e controllo.
La differenza tra i due è che Xwo non ha capacità di ransomware o di sfruttamento, ma invia le credenziali rubate e accesso al servizio di nuovo alle infrastrutture di comando e controllo.
Il ceppo di malware Xbash unisce le caratteristiche di quattro categorie di malware - ransomware, botnet, verme, e minatori crypto. Secondo i ricercatori dell'Unità di Palo Alto Networks’ 42, capacità di ransomware e botnet di Xbash sono rivolti a sistemi Linux in cui il malware è incaricato di eliminare i database. Come per Windows, Xbash viene utilizzato per scopi cryptomining e auto-propagazione, sfruttando note vulnerabilità di sicurezza in Hadoop, Redis, e servizi di ActiveMQ.
Sembra che lo script python di Xwo contiene codice copiato da XBash.
A partire da questo rapporto, non è chiaro se Xwo riferisce con la stessa avversario denominato “Gruppo di ferro”, o se hanno riproposto il codice pubblico. Sulla base della nostra ricerca per data, un rapporto potenziale può existbetween Ferro criminalità informatica del Gruppo e Rocke. Non siamo in grado di valutare il rapporto con fiducia accettabile di questo rapporto, hanno detto i ricercatori.
Ulteriori specifiche Xwo
Dopo che è eseguita, Xwo è impostato per eseguire una richiesta HTTP POST con un casuale User-Agent da un elenco hardcoded di scelte. Il malware poi riceve istruzioni dal dominio di comando e controllo con un range di rete pubblica codificato per eseguire la scansione. E 'degno di nota che “la gamma di IP fornito dal infrastrutture C2 è base64 codificato e compresso zlib".
L'infrastruttura di comando e controllo di Xwo è associato con MongoLock. modelli specifici sono seguiti in termini di domini registrazione mimano le organizzazioni di sicurezza e di notizie e siti web come Rapid7 (rapid7.com), PCRisk (pcrisk.com), e il sito cipolla di ProPublica (propub3r6espa33w.onion) ma con TLD .tk.
Xwo sarà anche la scansione della gamma di rete messa a disposizione dal server di comando e controllo. La prossima è l'attività di ricognizione con lo scopo di raccogliere informazioni sui servizi disponibili. I ricercatori ritengono che gli attori minaccia raccogliere queste informazioni per un uso successivo.
Le informazioni raccolte include:
– L'utilizzo di credenziali di default in FTP, MySQL, PostgreSQL, MongoDB, Redis, memcached.
– credenziali di default Tomcat e errori di configurazione.
– Predefinito percorsi SVN e Git.
– contenuti repositoryformatversion Git.
– dettagli PhpMyAdmin.
– percorsi di backup Www.
– RealVNC Enterprise Direct Connect.
– RSYNC l'accessibilità.
Insomma, Xwo sembra essere un nuovo passo verso una capacità di avanzamento, e ricercatori si aspettano l'intero valore dello strumento di ricognizione da agito su in attacchi futuri.
Milena Dimitrova
Uno scrittore ispirato e un gestore di contenuti che è stato con SensorsTechForum dall'inizio del progetto. Un professionista con 10+ anni di esperienza nella creazione di contenuti accattivanti. Incentrato sulla privacy degli utenti e lo sviluppo di malware, crede fortemente in un mondo in cui la sicurezza informatica gioca un ruolo centrale. Se il buon senso non ha senso, lei sarà lì per prendere appunti. Quelle note possono poi trasformarsi in articoli! Seguire Milena @Milenyim
Seguimi: