Pesquisadores de segurança descobriram recentemente uma nova ferramenta que está digitalizando ativamente para serviços web expostas e senhas padrão.
Os pesquisadores apelidaram a ferramenta maliciosa “Xwo”. O nome é retirado do nome do módulo principal. Xwo está provavelmente relacionado a famílias de malware previamente descobertos Xbash e MongoLock.
Como foi o Xwo de malware descoberto? O que é Xwo?
Labs alienígenas pesquisadores notou pela primeira vez Xwo sendo servido a partir de um servidor de soltar um arquivo chamado xwo.exe.
Em resumo, o malware Xwo é um digitalizador bot baseado em Python criado com o propósito de reconhecimento. Com base em intervalos de IP recebido de um servidor de comando e controle, os Sifts malware para senhas padrão para serviços, relatando os resultados. Xwo pode não ser necessariamente maliciosos, mas ele está sendo implantado para esses fins.
associações de Xwo com MongoLock e Xbash
MongoLock alvo bases de dados MongoDB que não tinham proteção e teve acesso remoto deixado em aberto. MongoLock limpou esses bancos de dados e táticas de extorsão usados para tentar enganar as partes vítima a pagar uma taxa de resgate por supostamente recuperar seus dados comprometidos.
https://sensorstechforum.com/mongo-lock-ransomware-deletes-vulnerable-mongodb-databases/”] Mongo Bloqueio Ransomware Exclui vulneráveis Bases de dados MongoDB.
Os pesquisadores dizem que tanto Xwo e MongoLock utilizar código baseado em Python semelhante, nomeação de comando e de domínio e controle, e ter uma sobreposição em infra-estrutura de servidor de comando e controle.
A diferença entre os dois é que Xwo não tem qualquer capacidade de ransomware ou de exploração, mas sim envia credenciais roubadas e acesso ao serviço de volta para a infra-estrutura de comando e controle.
As características combina Xbash tensão malwares de quatro categorias de malware - ransomware, botnet, Minhoca, e mineiros cripto. De acordo com pesquisadores da Unidade de Palo Alto Networks’ 42, capacidades ransomware e botnets de Xbash são destinadas a sistemas Linux onde o malware é instruído a bases de dados de exclusão. Como para Windows, Xbash é usado para fins de auto-propagação e cryptomining, aproveitando vulnerabilidades de segurança conhecidas em Hadoop, Redis, e serviços activemq.
Parece que o script python de Xwo contém o código copiado do XBash.
A partir deste relatório, não está claro se Xwo relaciona com o mesmo adversário conhecido como “Grupo de Ferro”, ou se eles têm reaproveitado código público. Com base em nossa investigação até à data, um relacionamento potencial pode existbetween Grupo Cibercrime Ferro e Rocke. Nós somos incapazes de avaliar a relação com confiança aceitável deste relatório, disseram pesquisadores.
Outras especificações Xwo
Depois ele é executado, Xwo está definido para executar uma solicitação HTTP POST com um aleatório User-Agent a partir de uma lista codificada de opções. O malware, então, recebe instruções do domínio de comando e controle com uma gama rede pública codificado para fazer a varredura. É digno de nota que “o intervalo de IP fornecido pela infra-estrutura de C2 é base64 codificado e comprimido zlib”.
A infra-estrutura de Xwo comando e controle é associado com MongoLock. padrões específicos são seguidos em termos de domínios Registrando que imitam organizações de segurança e de notícias e sites como o Rapid7 (rapid7.com), PCRisk (pcrisk.com), e local de cebola do ProPublica (propub3r6espa33w.onion) mas com TLDs .tk.
Xwo também irá verificar o alcance da rede disponibilizada pelo servidor de comando e controle. Em seguida é a atividade de reconhecimento com o fim de recolher informações sobre os serviços disponíveis. Os investigadores acreditam que os atores ameaça coletar essas informações para uso posterior.
As informações coletadas inclui:
– Uso de credenciais padrão em FTP, MySQL, PostgreSQL, MongoDB, Redis, memcached.
– Tomcat credenciais padrão e erros de configuração.
– Padrão SVN e Git caminhos.
– conteúdo repositoryformatversion Git.
– detalhes phpMyAdmin.
– caminhos de backup www.
– RealVNC Empresa Direct Connect.
– acessibilidade RSYNC.
Em conclusão, Xwo parece ser um novo passo para uma capacidade de avançar, e os pesquisadores esperam que o valor total da ferramenta de reconhecimento para ser agido sobre em ataques futuros.