Beveiliging onderzoekers onlangs ontdekt een nieuwe tool die actief is het scannen voor blootgestelde webservices en standaard wachtwoorden.
De onderzoekers nagesynchroniseerde de kwaadaardige functie “Xwo”. De naam is ontleend aan de primaire naam van de module. Xwo heeft hoogstwaarschijnlijk te maken met eerder ontdekte malware families Xbash en MongoLock.
Hoe werd de Xwo malware ontdekt? Wat is Xwo?
Alien Labs onderzoekers merkten eerste Xwo wordt geserveerd vanaf een server laten vallen van een bestand met de naam xwo.exe.
Kortom, de Xwo malware een Python-gebaseerde bot scanner gemaakt voor het doel van de verkenning. Op basis van IP-bereiken ontvangen van een command and control-server, de malware zeeft voor standaard wachtwoorden voor diensten, verslag uit te brengen van de resultaten. Xwo misschien niet per se schadelijk zijn, maar het wordt ingezet voor dergelijke doeleinden.
associaties Xwo met MongoLock en Xbash
MongoLock gerichte MongoDB databanken die geen bescherming had en remote access opengelaten. MongoLock veegde deze databases en gebruikt afpersing tactiek om te proberen en te bedriegen het slachtoffer partijen bij een losgeld te betalen voor zogenaamd hun gecompromitteerde gegevens herstellen.
https://sensorstechforum.com/mongo-lock-ransomware-deletes-vulnerable-mongodb-databases/”] Mongo Lock Ransomware Wist Kwetsbare MongoDB Databases.
Onderzoekers zeggen dat zowel Xwo en MongoLock gebruik maken van soortgelijke Python gebaseerde code, command and control domeinnaamsysteem, en een overlap in command and control serverinfrastructuur.
Het verschil tussen de twee is dat Xwo geen ransomware of exploitatie-mogelijkheden heeft, maar stuurt gestolen geloofsbrieven en toegang dienst terug naar de command and control infrastructuur.
De Xbash malware stam combineert kenmerken van vier malware categorieën - ransomware, botnet, worm, en crypto mijnwerkers. Volgens de onderzoekers van Unit Palo Alto Networks’ 42, Xbash's ransomware en botnet mogelijkheden zijn gericht op Linux-systemen waar de malware wordt geïnstrueerd om databases te wissen. Zoals voor Windows, Xbash wordt gebruikt voor cryptomining doeleinden en zelf-propagatie, gebruik te maken van bekende beveiligingsproblemen in Hadoop, Redis, en ActiveMQ diensten.
Het lijkt erop dat de python script van Xwo bevat code gekopieerd van XBash.
Met ingang van dit rapport, Het is onduidelijk of Xwo betrekking met zelfde tegenstander zogenaamde “ijzergroep”, of als ze de openbare code hebben hergebruikt. Op basis van ons onderzoek tot op heden, een potentiële relatie kan existbetween Iron Cybercrime Group en Rocke. We zijn niet in staat om de relatie met aanvaardbare zelfvertrouwen als van dit rapport te beoordelen, onderzoekers zei.
Verdere Xwo specificaties
Na het is uitgevoerd, Xwo is ingesteld op een HTTP POST-aanvraag met een willekeurige User-Agent uit te voeren vanaf een hardcoded lijst van keuzemogelijkheden. De malware ontvangt vervolgens instructies van de command and control domein met een gecodeerde openbare bereik van het netwerk te scannen. Het is opmerkelijk dat “de infrastructuur van de C2 toegevoerde IP bereik base64 gecodeerd en gecomprimeerd zlib".
De commando- en controlestructuur infrastructuur van Xwo wordt geassocieerd met MongoLock. Specifieke patronen worden gevolgd op het gebied van het registreren van domeinen nabootsen veiligheid en nieuws organisaties en websites zoals Rapid7 (rapid7.com), PCRisk (pcrisk.com), en ProPublica's ui website (propub3r6espa33w.onion) maar met .tk TLD's.
Xwo zal ook het bereik van het netwerk ter beschikking gesteld door de command and control-server scannen. Vervolgens is verkenning activiteit met als doel het verzamelen van informatie over de beschikbare services. Onderzoekers geloven dat de dreiging acteurs verzamelen deze informatie voor later gebruik.
Verzamelde informatie omvat:
– Het gebruik van standaard referenties in FTP, MySQL, PostgreSQL, MongoDB, Redis, memcached.
– Tomcat standaard geloofsbrieven en misconfiguraties.
– Standaard SVN en Git paden.
– Git repositoryformatversion inhoud.
– PhpMyAdmin informatie.
– Www backup paden.
– RealVNC Enterprise Direct Connect.
– RSYNC toegankelijkheid.
Tenslotte, Xwo lijkt een nieuwe stap naar een voortschrijdend vermogen te, en onderzoekers verwachten dat de volledige waarde van de verkenning gereedschap worden gehandeld in toekomstige aanvallen.
Milena Dimitrova
Een bevlogen schrijver en contentmanager die sinds de start van het project bij SensorsTechForum werkt. Een professional met 10+ jarenlange ervaring in het creëren van boeiende inhoud. Gericht op de privacy van gebruikers en malware ontwikkeling, ze gelooft sterk in een wereld waar cybersecurity speelt een centrale rol. Als het gezond verstand heeft geen zin, ze zullen er zijn om aantekeningen te maken. Deze toelichtingen kunnen later om te zetten in artikelen! Volg Milena @Milenyim
Volg mij: