Zero
L’ultima versione di NRSMiner è stata avvistata in recenti attacchi in Asia che sta compromettendo sistemi in cui non è stata applicata la patch contro il noto EternalBlue sfruttare.
Secondo i ricercatori di sicurezza informatica F-Secure, senza patch macchine in Asia-centrata in Vietnam, sono stati infettati con l’ultima versione di NRSMiner, malware, progettato per rubare le risorse di calcolo in ordine alla miniera di cryptocurrency.
A partire dalla metà di novembre dello scorso anno, l’ultima ondata di attacchi è anche attivamente la diffusione tra i paesi tra cui la Cina, il Giappone, e l’Ecuador.
La nuova versione del malware si basa sul EternalBlue sfruttare la diffusione attraverso le reti locali.
Vedere anche: gli hacker Cinesi attingere diplomatiche dell’UE, la rete di comunicazione
EternalBlue è un SMBv1 (Server Message Block 1.0) exploit che è in grado di innescare l’esecuzione di codice remoto (RCE), gli attacchi via vulnerabile di Windows Server Message Block (SMB) servizi di file-sharing. La falla di sicurezza è responsabile per l’attacco, CVE-2017-0144, ha rilasciato una patch da parte di Microsoft nel Marzo 2017, e ancora molti sistemi non sono ancora stati aggiornati e restano vulnerabili a un attacco.
Era più di un anno fa che EternalBlue prima notizia di come il mondo è stato afferrato dalla diffusione di WannaCry, una forma di ransomware che ha colpito le organizzazioni di tutto il mondo tra cui il regno UNITO, il National Health Service (NHS), FedEx, Renault, e le banche mondiali. WannaCry, legata alla corea del Nord e gli hacker e le Lazzaro di gruppo, utilizzato EternalBlue come vettore d’infezione, al fine di diffondere.
Di seguito il compromesso di centinaia di migliaia di Pc durante il WannaCry scoppio, gli aggressori hanno poi sfruttato lo stesso difetto per la diffusione di un’altra forma di ransomware noto come Petya.
Si ritiene EternalBlue è stato originariamente l’opera della National Security Agency (NSA)’s di Equazione Gruppo, dopo l’esame lo strumento è stato reso possibile dal suo rilascio pubblico come parte di una cache pubblicato online da the Shadow Broker gruppo di hacker.
Continua a leggere: Perché il “fisso” di Windows EternalBlue sfruttare non morire
NRSMiner fa uso di XMRig Monero minatore a dirottare un sistema infetto CPU per la mia per il Monero (XMR) cryptocurrency. NRSMiner è anche in grado di scaricare i moduli di aggiornamento, aggiornare le vecchie versioni di malware presenti su una macchina, e l’eliminazione di file e servizi installati da installazioni precedenti.
La variante più recente del NRSMiner infetta nuove macchine sia attraverso le vecchie versioni del malware stesso, forzando un download di un programma di aggiornamento di moduli di sistema /cartella temp o affidandosi a EternalBlue.
L’exploit si sviluppa attraverso Wininit.exe che, in sede di esecuzione di decomprimere i file di cui uno di nome svchost.exe altrimenti noto come EternalBlue 2.2.0. Wininit.exe sarà quindi eseguire la scansione la porta TCP 445 per qualsiasi altro — e potenzialmente vulnerabili — sistemi prima di eseguire l’exploit.
TechRepublic: la sicurezza del Sito paradosso: che Cosa è un piccolo business fare?
In caso di successo, il DoublePulsar backdoor viene quindi eseguita tramite un file chiamato spoolsv.exe. DoublePulsar, un kernel payload, ganci x86 e 64-bit dei sistemi e fa uso di porte da aprire computer infetti da malware aggiuntivo payload, così come forgiare un percorso di comando e controllo (C&C) server per scopi di furto di informazioni e l’esecuzione di comandi da C&C operatori.
Questo backdoor in questo scenario viene utilizzata sia per mantenere la persistenza su un computer infetto e per implementare il Snmpstorsrv servizio, che è in grado di continuamente la scansione per i nuovi, sistemi vulnerabili.
CNET: Malware sospetta che avanza a diversi quotidiani’ di produzione
Questo non è il solo caso di EternalBlue utilizzato per lo scopo di cryptojacking. Altre campagne includono Wannamine, un taglia-e-incolla lo sforzo di codifica che è ancora stato in grado di compromettere macchine in tutto il mondo, e RedisWannaMine, che gli obiettivi di Windows server.
Indicatori di compromesso sono state elencate da F-Secure.
Precedente e relativa copertura
Google Chrome difetto patchato tre anni dopo l’iniziale report2018 più alto profilo cryptocurrency catastrofi e cyberattacksHacker spoofing ignora 2FA di sicurezza in Gmail, destinazioni di sicuro i servizi di posta elettronica
Argomenti Correlati:
Di sicurezza, TV
La Gestione Dei Dati
CXO
Centri Dati
0