Proofpointのセキュリティ研究者は、WannaCryグローバルランサムウェアの発生で展開されたのと同じエクスプロイトを使用した別の攻撃があったことを明らかにしました. より具体的には, ProofpointのKafeineの研究者は、EternalBlueエクスプロイトがDoublePulsarとして概説されたバックドアと一緒に使用されたと言います. どちらもWannaCryオペレーションでデプロイされました. ランサムウェアの代わりに, でも, この他のキャンペーンは、Adylkuzzとして識別される暗号通貨マイニングソフトウェアを配布していました.
AdylkuzzWannaCryに関する技術的な詳細
Proodpoint 言う 彼らが発見したことEternalBlueとDoublePulsarの両方を使用して暗号通貨マイナーAdylkuzzをインストールする別の非常に大規模な攻撃.「「
初期の統計によると、この攻撃はWannaCryよりも規模が大きい可能性があります, 世界中の何十万ものPCとサーバーに影響を与える: この攻撃はSMBネットワークをシャットダウンして、他のマルウェアによるさらなる感染を防ぐためです。 (WannaCryワームを含む) 同じ脆弱性を介して, 実際、先週のWannaCry感染の拡大を制限した可能性があります.
研究者たちは、Adylkuzz攻撃が4月の間に始まったと信じています 24 と5月 2. WannaCryランサムウェアキャンペーンに似ています, この攻撃は、悪用された脆弱性に対処する3月以降のMicrosoftUpdateをまだインストールしていないマシンを標的にすることにも非常に成功しました。.
AdylKuzzディスカバリー
qWannaCryキャンペーンの調査中, EternalBlue攻撃に対して脆弱なラボマシンを公開しました. WannaCryを見ることを期待していましたが, ラボのマシンは、実際には予期しない、ノイズの少ないゲストに感染していました: 暗号通貨マイナーAdylkuzz. 操作を数回繰り返したところ、同じ結果になりました: 内部 20 脆弱なマシンをオープンウェブにさらす数分, Adylkuzzマイニングボットネットに登録されました.
AdylKuzzの症状
共有Windowsリソースへのアクセスの喪失、およびPCとサーバーのパフォーマンスの低下は、このマルウェアの主な症状の1つです。.
いくつかの大規模な組織も、元々WannaCryキャンペーンに起因するネットワークの問題を報告しました, 研究者は注意します. 組織が抱えていたこれらの問題は、おそらくAdylkuzzの活動によって引き起こされたものです。, 身代金メモの報告がなかったので. さらに悪いことに、この攻撃は進行中のようであり、あまり注目されていませんが, 確かに「非常に大きく、潜在的に非常に破壊的」.
Adylkuzz攻撃は、TCPポートでインターネットを大規模にスキャンしていることがわかっているいくつかの仮想プライベートサーバーから開始されます 445 潜在的な犠牲者のために. マシンがEternalBlueを介して正常に悪用されたら, その後、DoublePulsarバックドアに感染します. 攻撃の次の段階は、別のホストから実行されるAdylkuzzのダウンロードとアクティブ化です。. マルウェアが実行されると、最初にそれ自体がすでに実行されている可能性のあるインスタンスをすべて停止し、SMB通信をブロックしてさらなる感染を回避します, 研究者は彼らのレポートで説明します.
ついに, Adylkuzzは、被害者のパブリックIPアドレスを特定し、マイニング手順をダウンロードします, クリプトマイナー, といくつかのクリーンアップツール. また, クリプトマイナーバイナリとマイニング命令をいつでもホストする複数のAdylkuzzコマンドアンドコントロールサーバーがあります.
AdylkuzzはMonero暗号通貨のマイニングに使用されています
モネロ (XMR) 安全なものとして宣伝されています, プライベート, 追跡不可能な通貨. オープンソースであり、すべての人が自由に利用できます. モネロと, あなたはあなた自身の銀行です. モネロの関係者によると Webサイト, あなただけがあなたの資金を管理し、責任を負います, そしてあなたのアカウントとトランザクションは詮索好きな目から秘密にされます.
今年の初め, Moneroの犯罪の可能性について書きました, 犯罪的エクスプロイトの可能性のために連邦局の注目を集めていた.
Moneroはで発売されました 2014 プライバシー機能が強化されています. これはBytecoinコードベースのフォークであり、IDを隠すリング署名を使用します. これは、暗号通貨がどの資金が誰にそして誰によって双方向に送られたかを隠す方法です.
研究者は、彼らがより多くを識別したと言います 20 スキャンして攻撃するためのホスト設定. また、12を超えるアクティブなAdylkuzzコマンドアンドコントロールサーバーを認識しています。. おそらくもっと多くのMoneroマイニング支払いアドレスとAdylkuzzコマンドアンドコントロールサーバーがあります.
さまざまなセキュリティ会社の研究者は、さらに多くの関連する攻撃が続くことを期待しているためです, 妥協を避けるために、組織とホームユーザーの両方がすぐにシステムにパッチを適用することを強くお勧めします.
ミレーナ・ディミトロワ
プロジェクトの開始以来SensorsTechForumに所属しているインスピレーションを得たライター兼コンテンツマネージャー. の専門家 10+ 魅力的なコンテンツの作成における長年の経験. ユーザーのプライバシーとマルウェア開発に焦点を当てています, 彼女はサイバーセキュリティが中心的な役割を果たす世界を強く信じています. 常識が意味をなさない場合, 彼女はメモを取るためにそこにいます. それらのメモは後で記事になる可能性があります! Milena@Milenyimをフォローする
フォローしてください: