セキュリティ研究者は最近、公開されたWebサービスとデフォルトのパスワードを積極的にスキャンする新しいツールを発見しました.
研究者たちは悪意のあるツール「Xwo」を吹き替えました. 名前は、プライマリモジュール名から取得されます. Xwoは、以前に発見されたマルウェアファミリーXbashおよびMongoLockに関連している可能性が最も高いです。.
Xwoマルウェアはどのようにして発見されましたか? Xwoとは?
Alien Labsの研究者は、Xwoがサーバーから提供されてxwo.exeという名前のファイルをドロップしていることに最初に気づきました。.
要するに, Xwoマルウェアは Pythonベースのボットスキャナー 偵察を目的として作成されました. コマンドおよび制御サーバーから受信したIP範囲に基づく, マルウェアはサービスのデフォルトパスワードを選別します, 結果を報告する. Xwoは必ずしも悪意があるとは限りませんが、そのような目的で展開されています.
XwoとMongoLockおよびXbashとの関連付け
MongoLockは、保護がなく、リモートアクセスが開いたままになっているMongoDBデータベースを対象としました. MongoLockはこれらのデータベースを一掃し、恐喝戦術を使用して被害者をだまし、侵害されたデータを回復したと思われる身代金を支払わせようとしました。.
https://Sensorstechforum.com/mongo-lock-ransomware-deletes-vulnerable-mongodb-databases/”] Mongo Lock Ransomwareは、脆弱なMongoDBデータベースを削除します.
研究者は、XwoとMongoLockの両方が同様のPythonベースのコードを利用していると言います, コマンドアンドコントロールドメインの命名, コマンドアンドコントロールサーバーインフラストラクチャが重複しています.
2つの違いは、Xwoにはランサムウェアや悪用機能がないことです。, むしろ、盗まれた資格情報とサービスアクセスをコマンドアンドコントロールインフラストラクチャに送り返します.
Xbashマルウェア株は、ランサムウェアという4つのマルウェアカテゴリの特性を組み合わせたものです。, ボットネット, いも虫, と暗号マイナー. パロアルトネットワークスのユニットの研究者によると 42, Xbashのランサムウェアおよびボットネット機能は、マルウェアがデータベースを削除するように指示されているLinuxシステムを対象としています。. Windowsは, Xbashは、暗号化の目的と自己伝播に使用されます, Hadoopの既知のセキュリティ脆弱性を活用する, Redis, およびActiveMQサービス.
XwoのPythonスクリプトには、XBashからコピーされたコードが含まれているようです。.
このレポートの時点で, Xwoが「鉄族」として知られている同じ敵と関係があるかどうかは不明です, または、パブリックコードを再利用した場合. これまでの調査に基づく, IronCybercrimeGroupとRockeの間に潜在的な関係が存在する可能性があります. このレポートの時点では、許容できる自信を持って関係を評価することはできません。, 研究者は言った.
その他のXwo仕様
実行後, Xwoは、ハードコードされた選択肢のリストからランダムなUser-Agentを使用してHTTPPOSTリクエストを実行するように設定されています. 次にマルウェアは、スキャンするためのエンコードされたパブリックネットワーク範囲を持つコマンドアンドコントロールドメインからの指示を受け取ります. 注目に値するのは「C2インフラストラクチャによって提供されるIP範囲は、base64でエンコードされ、zlibで圧縮されています」.
XwoのコマンドアンドコントロールインフラストラクチャはMongoLockに関連付けられています. セキュリティやニュース組織を模倣したドメインの登録や、Rapid7などのWebサイトに関しては、特定のパターンに従います。 (Rapid7.com), PCRisk (pcrisk.com), とプロパブリカのタマネギサイト (propub3r6espa33w.onion) ただし、.tkTLDを使用する.
Xwoは、コマンドアンドコントロールサーバーによって利用可能になったネットワーク範囲もスキャンします. 次は、利用可能なサービスに関する情報を収集することを目的とした偵察活動です。. 研究者は、脅威アクターが後で使用するためにこの情報を収集すると信じています.
収集される情報には以下が含まれます:
– FTPでのデフォルトのクレデンシャルの使用, MySQL, PostgreSQL, MongoDB, Redis, Memcached.
– Tomcatのデフォルトのクレデンシャルと設定ミス.
– デフォルトのSVNおよびGitパス.
– Gitrepositoryformatversionコンテンツ.
– PhpMyAdminの詳細.
– Wwwバックアップパス.
– RealVNC Enterprise Direct Connect.
– RSYNCのアクセシビリティ.
結論は, Xwoは、機能を向上させるための新しいステップのようです。, 研究者は、偵察ツールの完全な価値が将来の攻撃で実行されることを期待しています.