>> サイバーニュース >Backdoor.Nitolを配信するためにデプロイされたEternalBlueエクスプロイト, Gh0st RAT
サイバーニュース

Backdoor.Nitolを配信するためにデプロイされたEternalBlueエクスプロイト, Gh0st RAT

WannaCryランサムウェアの発生と配布で展開された今では悪名高いEternalBlueエクスプロイト Adylkuzzマイナー 現在、NitolバックドアとGh0stRATの配信に使用されています. 両方の脅威は数年前から存在しており、悪意のある操作に再び含まれています.

WannaCryおよびAdylkuzzキャンペーンのSMBの欠陥が再び展開されました

FireEyeの研究者は、このキャンペーンの背後にいる犯罪者が再びまったく同じSMBの欠陥を使用していると言います (MS017-010) WannaCryの配布に活用されました.

「「SMBエクスプロイトに対して脆弱なラボマシンが、EternalBlueエクスプロイトを使用して攻撃者によって攻撃され、マシンへのシェルアクセスを取得していることを確認しました。,」FireEyeの研究者は最近 共有.

Gh0stRATの詳細

すでに述べたように, RATは、長年にわたってさまざまな悪意のある操作に導入されてきました. 興味深いことに, その主な用途は、政府機関および政治的関与のある標的に対するAPT攻撃のための国民国家ツールとしてです。. Gh0st RATは、MalwareHunterによって検索されたバックドアの1つでもありました。, 「コマンドを探してインターネットを探索する専用のShodanクローラー & コントロール (C2) ボットネット用サーバー」.

関連記事: Malware Hunterは、ボットネットのコマンドセンターとコントロールセンターを特定します

Backdoor.Nitolの詳細

ニトール, またはBackdoor.Nitolは、古いバージョンのInternetExplorerに影響を与えるADODB.StreamActiveXオブジェクトを使用したリモートコード実行の欠陥に基づいて構築された操作の一部です。, FireEyeの研究者は言う. 興味深いことに, NitolとGh0stの両方が、CVE-2014-6332の脆弱性を介して、PowerShellコマンドを標的とするスパムキャンペーンで配布されています.

SMBレベルで使用される最初のエクスプロイト手法 (Backdoor.NitolとGh0stによる) WannaCryキャンペーンで見られたものと似ています; でも, マシンが正常に感染すると, この特定の攻撃は、シェルを開いてVBScriptファイルに命令を書き込み、それを実行して別のサーバーでペイロードをフェッチします.

盗まれた証明書で署名されたGh0stRATサンプル

研究者によると, EternalBlueとVBScriptの組み合わせにより、シンガポールではNitolが、南アジアではNitolが普及しています。. また, FireEyeによって取得されたサンプルは、盗まれた可能性が最も高い共通のデジタル証明書で署名されています:

この攻撃で観察されたGh0StRATサンプル, FireEyeによって識別された他の関連サンプルはすべて、北京尚创达科技有限公司からのものであると称する共通のデジタル証明書で署名されています (北京科学技術研究所。, 株式会社). 盗まれた、または不正に購入されたコード署名証明書は、マルウェアに正当性を与えるためにますます使用されています. 観察されたコード署名証明書の詳細については、付録を参照してください.

関連記事: WannaCrySMBワームよりも強力なEternalRocksワーム

結論は, MetasploitにEternalBlueが追加されたことで、攻撃者はこれらの欠陥を非常に簡単に悪用できるようになりました。. 研究者は、より多くの脅威グループが同じ脆弱性を利用して異なるペイロードを配信し始めることを期待しています.

ミレーナ・ディミトロワ

プロジェクトの開始以来SensorsTechForumに所属しているインスピレーションを得たライター兼コンテンツマネージャー. の専門家 10+ 魅力的なコンテンツの作成における長年の経験. ユーザーのプライバシーとマルウェア開発に焦点を当てています, 彼女はサイバーセキュリティが中心的な役割を果たす世界を強く信じています. 常識が意味をなさない場合, 彼女はメモを取るためにそこにいます. それらのメモは後で記事になる可能性があります! Milena@Milenyimをフォローする

その他の投稿

フォローしてください:
ツイッター

1 コメント
  1. リー

    ええ、私はこれを起こさせました。. それは何年もここにあります。. 覆面を置く。. 私はそれが広まっているに違いない。. diskviewerを開いたときにvdiskにアクセスした場合、サインのみがクイックフラッシュでした。. コマンドで仮想ディスクが見つかりませんでした。. 深く掘り下げると頭が上がってきました笑。. ネットワークデバイスからロックアウトされました。. ダウンロードしたISOはリダイレクトされます。. それはファームウェアにあります。. プライマリPCをクリーニングするには、マザーボードのRAMとGPUを交換する必要がありました。. 広告それはワームなので… 彼らがウィンドウズを使うならば、私は人々の大部分がこれを持っているに違いない。. 私はコンピューターの修理と診断の経験が豊富です… 私が見せた他の技術でさえ肩をすくめるだけです。. 良い人だけがこれをWindowsファイルの破損以外のものとして認識します. 次に、WindowsイメージにLinuxブートファイルシステムが埋め込まれていることを示します。… 彼らがそれを持っていて、それを出すことができることを知っている人はほとんどいません

    返事

コメントを残す

あなたのメールアドレスが公開されることはありません. 必須フィールドは、マークされています *

This website uses cookies to improve user experience. By using our website you consent to all cookies in accordance with our プライバシーポリシー.
同意します