De inmiddels beruchte Eternalblue exploit ingezet in de WannaCry ransomware uitbraak en in de verdeling van de Adylkuzz mijnwerker wordt nu gebruikt om de Nitol achterdeur en Gh0st RAT leveren. Beide bedreigingen zijn al enkele jaren en worden opnieuw opgenomen in kwaadaardige activiteiten.
De SMB Flaw van WannaCry en Adylkuzz Campagnes Ingezet Once Again
FireEye onderzoekers zeggen dat de criminelen achter deze campagne weer gebruik maken van de zeer dezelfde SMB fout (MS017-010) die werd ingezet voor de distributie van WannaCry.
"We zagen lab machines kwetsbaar voor de SMB exploit werden aangevallen door een bedreiging acteur met behulp van de Eternalblue exploiteren om shell toegang krijgen tot het apparaat,”FireEye onderzoekers onlangs gedeelde.
Meer over Gh0st RAT
Zoals reeds gezegd, De rat is ingezet in diverse kwaadaardige activiteiten voor vele jaren. belangwekkend, het primaire gebruik is als een natie-staat tool voor APT-aanvallen tegen de overheid en politiek geëngageerde targets. Gh0st RAT was ook een van de backdoors gezocht door Malware Hunter, de "gespecialiseerde Shodan crawler die het internet verkent op zoek naar commando & controle (c2s) servers voor botnets".
Meer over Backdoor.Nitol
Nitol, of Backdoor.Nitol is een deel van de activiteiten gebouwd op een uitvoering van externe code fout gebruik van de ADODB.Stream ActiveX-objecten die van invloed oudere versies van Internet Explorer geweest, FireEye onderzoekers zeggen. belangwekkend, zowel Nitol en Gh0st zijn verspreid via de CVE-2014-6332 kwetsbaarheid en in spam campagnes die zijn gericht PowerShell commando's.
De aanvankelijke exploit techniek op het niveau SMB (door Backdoor.Nitol en Gh0st) is vergelijkbaar met wat we hebben gezien in WannaCry campagnes; echter, zodra een machine met succes is geïnfecteerd, deze bijzondere aanval opent een shell om instructies te schrijven in een VBScript-bestand en voert vervolgens naar de payload te halen op een andere server.
Gh0st RAT Sample Ondertekend met gestolen certificaat
Volgens onderzoekers, de combinatie van Eternalblue en VBScript zich verspreid Nitol in Singapore en Nitol in Zuid-Azië. Ook, de overgenomen door FireEye monsters werden ondertekend met een gemeenschappelijk digitaal certificaat dat het meest waarschijnlijk is gestolen:
De gh0st RAT monster waargenomen bij deze aanval, evenals andere bijbehorende monsters geïdentificeerd door FireEye zijn allemaal ondertekend met een gemeenschappelijk digitaal certificaat afkomstig lijkt te komen uit 北京 研 创 达 科技 有限公司 (Beijing Institute of Science and Technology Co., Ltd). Gestolen of onrechtmatig gekocht code signing certificaten worden steeds meer gebruikt om legitimiteit te verlenen aan malware. Zie de bijlage voor volledige details over de waargenomen code signing certificaat.
Tenslotte, de toevoeging van Eternalblue aan Metasploit heeft dingen heel gemakkelijk gemaakt voor aanvallers om deze gebreken te exploiteren. De onderzoekers verwachten dat meer bedreiging voor groepen om te beginnen gebruik te maken van dezelfde kwetsbaarheden op verschillende payloads leveren.
Milena Dimitrova
Een bevlogen schrijver en contentmanager die sinds de start van het project bij SensorsTechForum werkt. Een professional met 10+ jarenlange ervaring in het creëren van boeiende inhoud. Gericht op de privacy van gebruikers en malware ontwikkeling, ze gelooft sterk in een wereld waar cybersecurity speelt een centrale rol. Als het gezond verstand heeft geen zin, ze zullen er zijn om aantekeningen te maken. Deze toelichtingen kunnen later om te zetten in artikelen! Volg Milena @Milenyim
Volg mij:
Yeah I had this happen.. it’s been here for years.. laying undercover.. I bet it’s widespread.. only sign was a quick flash if access vdisk when opening diskviewer.. command found no virtual disk.. an as I dug deeper it reared its head lol.. now locked out of network devices.. any iso I download are redirected.. it’s in the firmware.. had to replace my motherboard ram and gpu to clean my primary pc.. ad it worms so… I bet a huge chunk of people have this if they use windows.. I’m very experience in computer repair and diagnostics… heck even other techs I’ve shown just shrug.. only good ones even recognize this as anything except a windows file corruption. An then show em the windows image has a linux boot file system embedded hahaha… very few would know they had it even less could get it out