O agora infame exploit EternalBlue implantado no surto de ransomware WannaCry e na distribuição do Mineiro adylkuzz agora está sendo usado para entregar o backdoor Nitol e Gh0st RAT. Ambas as ameaças já existem há vários anos e mais uma vez estão incluídas em operações maliciosas.
A falha de SMB das campanhas WannaCry e Adylkuzz implantadas mais uma vez
Os pesquisadores da FireEye dizem que os criminosos por trás dessa campanha estão mais uma vez usando a mesma falha de SMB (MS017-010) que foi aproveitado para a distribuição de WannaCry.
“Observamos máquinas de laboratório vulneráveis à exploração SMB foram atacadas por um ator de ameaça usando a exploração EternalBlue para obter acesso shell à máquina,”Pesquisadores FireEye recentemente compartilhado.
Mais sobre Gh0st RAT
Como já mencionado, o RAT foi implantado em várias operações maliciosas por muitos anos. Curiosamente, seu principal uso é como uma ferramenta de estado-nação para ataques APT contra agências governamentais e alvos politicamente engajados. Gh0st RAT também foi um dos backdoors procurados pelo Malware Hunter, a "rastreador Shodan especializado que explora a Internet em busca de comando & ao controle (C2S) servidores de botnets”.
Mais sobre Backdoor.Nitol
Nitol, ou Backdoor.Nitol faz parte das operações criadas sobre uma falha de execução remota de código usando o objeto ADODB.Stream ActiveX, afetando versões mais antigas do Internet Explorer, Pesquisadores da FireEye dizem. Curiosamente, Nitol e Gh0st foram distribuídos por meio da vulnerabilidade CVE-2014-6332 e em campanhas de spam direcionadas a comandos do PowerShell.
A técnica de exploração inicial usada no nível SMB (por Backdoor.Nitol e Gh0st) é semelhante ao que vimos nas campanhas WannaCry; Contudo, uma vez que uma máquina é infectada com sucesso, este ataque em particular abre um shell para escrever instruções em um arquivo VBScript e, em seguida, executa-o para buscar a carga em outro servidor.
Amostra Gh0st RAT assinada com certificado roubado
De acordo com pesquisadores, a combinação de EternalBlue e VBScript tem espalhado o Nitol em Cingapura e o Nitol no Sul da Ásia. Além disso, as amostras adquiridas pela FireEye foram assinadas com um certificado digital comum que provavelmente é roubado:
A amostra Gh0St RAT observada neste ataque, bem como outras amostras associadas identificadas pela FireEye, são todas assinadas com um certificado digital comum que diz ser da Beijing Yanchuangda Technology Co., Ltd. (Instituto de Ciência e Tecnologia de Pequim Co., Ltd). Certificados de assinatura de código roubados ou comprados ilegitimamente são cada vez mais usados para dar legitimidade a malware. Veja o apêndice para detalhes completos sobre o certificado de assinatura de código observado.
Em conclusão, a adição de EternalBlue ao Metasploit tornou as coisas muito fáceis para os invasores explorarem essas falhas. Os pesquisadores esperam que mais grupos de ameaças comecem a aproveitar as mesmas vulnerabilidades para fornecer cargas úteis diferentes.
Sim, eu tive isso acontecer.. está aqui há anos.. deitada disfarçada.. Aposto que é generalizado.. único sinal foi um flash rápido se acessar o vdisk ao abrir o diskviewer.. comando não encontrou nenhum disco virtual.. um como eu cavei mais fundo ele ergueu sua cabeça lol.. agora bloqueado de dispositivos de rede.. qualquer iso que eu baixar são redirecionados.. está no firmware.. tive que substituir minha placa-mãe ram e gpu para limpar meu pc principal.. anúncio que vermes assim… Aposto que uma grande parte das pessoas tem isso se usarem o Windows.. Tenho muita experiência em reparos e diagnósticos de computadores… diabos até mesmo outros técnicos que eu mostrei apenas encolhem os ombros.. apenas os bons reconhecem isso como qualquer coisa, exceto uma corrupção de arquivo do Windows. Em seguida, mostre a imagem do Windows com um sistema de arquivos de inicialização do linux embutido hahaha… muito poucos saberiam que eles o tinham ainda menos poderiam tirá-lo