DirtyMoeは、新しいマルウェアサンプルの名前です。 ワーミング機能 (と マイニング 主な目的として) アバストの研究者による分析.
分析により、ワーミングモジュールが古いものをターゲットにしていることが明らかになりました, よく知られている脆弱性, そのような エターナルブルー と 焼き芋. DirtyMoeは、サービスコントロールマネージャーリモートプロトコルを使用して辞書攻撃を実行することもできます (SCMR), WMI, およびMSSQLサービス. 研究者たちはまた、ワーミングモジュールの地理的位置に基づいて被害者のIPアドレスを生成するアルゴリズムを発見しました. これは何を意味するのでしょうか?
「1つのワームモジュールが、1日あたり数十万のプライベートおよびパブリックIPアドレスを生成して攻撃する可能性があります; 多くのマシンがまだパッチが適用されていないシステムまたは弱いパスワードを使用しているため、多くの被害者が危険にさらされています,」研究者は言った. マルウェアは健全なモジュラー設計を使用していることにも注意する必要があります, つまり、広範囲にわたる脆弱性を標的とする新しいワーミングモジュールをすぐに追加できるということです。.
DirtyMoeマルウェアは野生でどのように伝播しますか?
研究者は現在、マルウェアを拡散させる3つの主要なアプローチを観察しています: PurpleFox EK, PurleFoxワーム, 注入されたテレグラムインストーラーは、DirtyMoeを広めてインストールするための媒体として機能します. でも, マルウェアが他の配布手法も使用している可能性が高い.
このマルウェアは、システムへのエントリポイントとして次の脆弱性を使用します:
CVE:2019-9082: ThinkPHP –複数のPHPインジェクションRCE
CVE:2019-2725: Oracle Weblogic Server –'AsyncResponseService'逆シリアル化RCE
CVE:2019-1458: WizardOpiumローカル権限昇格
CVE:2018-0147: デシリアライズの脆弱性
CVE:2017-0144: EternalBlueSMBリモートコード実行 (MS17-010)
MS15-076: RCEは特権の昇格を許可します (HotPotatoWindowsの特権昇格)
MSSQLServerへの辞書攻撃, SMB, およびWindowsManagementInstrumentation (WMI)
マルウェアは世界的に広まっているようです, これは、疑似ランダムIPジェネレーターを使用してターゲットを生成するというワーミング戦略の結果です。. この手法により、DirtyMoeはより柔軟で効率的になります. さらに, マルウェアは、NATの背後に隠されたマシンに拡大する可能性があります (ネットワークアクセス変換), これにより、ローカルネットワークでの横方向の動きが可能になります.
「単一のDirtyMoeインスタンスは、最大で生成および攻撃できます 6,000 1秒あたりのIPアドレス,」 レポートが追加されました.
アクティブなDirtyMoeインスタンスの数は、1日あたり数十万台のマシンを危険にさらす可能性があることを意味する可能性があります. 新しい重大な脆弱性の出現, Log4jなど, さらに、「新しいワーミングモジュールを実装するための途方もない強力な機会」を提供します。そのため、研究者はDirtyMoeのワーミング活動を監視し続けます, 新しいモジュールを探しています.
ミレーナ・ディミトロワ
プロジェクトの開始以来SensorsTechForumに所属しているインスピレーションを得たライター兼コンテンツマネージャー. の専門家 10+ 魅力的なコンテンツの作成における長年の経験. ユーザーのプライバシーとマルウェア開発に焦点を当てています, 彼女はサイバーセキュリティが中心的な役割を果たす世界を強く信じています. 常識が意味をなさない場合, 彼女はメモを取るためにそこにいます. それらのメモは後で記事になる可能性があります! Milena@Milenyimをフォローする
フォローしてください: