Исследователи обнаружили новое семейство вредоносных программ, которое использует набор из восьми эксплойтов для взлома веб-серверов, сетевых дисков и съемных дисков.
Это вредоносное ПО, получившее название BlackSquid, обнаруживало удаление программ XMRig cryptominer, но злоумышленники могли легко использовать его для доставки других вредоносных данных на зараженные устройства, а также для получения несанкционированного доступа, повышения привилегий, кражи информации, отключения аппаратных и программных систем и многого другого, согласно сообщению в блоге сегодня Trend Micro.
«Наша телеметрия наблюдала наибольшее количество попыток атак с использованием BlackSquid в Таиланде и США в последнюю неделю мая», — предупреждает автор блога Джонлери Триунфанте.
В арсенал инструментов BlackSquid входят:
- эксплойт EternalBlue Windows SMB, имплантат DoublePulsar,
- три эксплойта ThinkPHP,
- уязвимость файлового сервера Rejetto HTTP CVE-2014-6287,
- уязвимость Apache Tomcat CVE-2017-12615 и ошибка Windows CVE-2017-8464.
Помимо использования уязвимостей, вредоносные программы могут также выполнять атаки методом перебора.
Все эксплойты были доступны на протяжении многих лет, поэтому пользователи могут легко защитить себя, загрузив давно просроченные обновления безопасности.
«BlackSquid может заразить систему с трех начальных точек входа:
- через зараженную веб-страницу, посещенную из-за зараженных известных серверов;
- через эксплойты в качестве основной начальной точки входа для заражения веб-серверов;
- через съемные или сетевые диски», — продолжает сообщение в блоге.
Тем не менее, он отменит инфекцию в целях самосохранения, если обнаружит признаки среды песочницы или других нежелательных элементов.
EternalBlue и DoublePulsar
EternalBlue и DoublePulsar, оба инструмента, связанные с Агентством национальной безопасности. Которые были похищены таинственной хакерской группой Shadow Brokers в 2017 году и используются BlackSquid для распространения по сети после первоначального заражения, поясняет Trend Micro. Вредонос использует CVE-2017-8464 для выполнения своих копий, которые он помещает в сеть и на съемные диски и использует другие эксплойты для атаки на веб-серверы различными способами.
TrendMicro сообщает, что BlackSquid загружает и запускает один или двух 64-разрядных компонента XMRig. Которые используют криптовалюту Monero. Первый компонент загружается в его ресурс и действует как основной майнер. Однако он также проверяет наличие видеокарт Nvidia и AMD с помощью языка запросов инструментария управления Windows. Если он находит видеокарту, он загружает второго майнера в систему, чтобы «найти ресурс графического процессора (GPU)».
Однако Trend Micro заметил некоторый ошибочный код и намеренно пропущенные подпрограммы. Что говорит о том, что разработчики вредоносного ПО вероятно, находятся на стадии разработки и тестирования. Возможно, они изучают, как получить максимальную прибыль от атак, имея два компонента для майнинга, независимо от установленных ресурсов графического процессора в системе. Кроме того, они все еще могут пытаться определить конкретные цели, не вкладывая много капитала.
Уведомление:Кибератаки и технологические риски лидируют в отрасли криптовалют