Nul
De nieuwste versie van NRSMiner is gespot in de recente aanslagen in Azië die in te boeten systemen die niet gepatched zijn tegen de bekende EternalBlue exploiteren.
Volgens cybersecurity onderzoekers van F-Secure, niet gecorrigeerde machines in Azië — gecentreerd in Vietnam — zijn besmet met de nieuwste versie van NRSMiner, malware ontworpen voor het stelen van computerbronnen in om de mijne voor cryptocurrency.
Vanaf medio November vorig jaar, de laatste golf van aanvallen is ook actief verspreiden over de landen, waaronder China, Japan, Ecuador.
De nieuwe versie van de malware is gebaseerd op de EternalBlue exploiteren verspreid via lokale netwerken.
Zie ook: Chinese hackers tik op in de EU diplomatieke communicatie netwerk
EternalBlue is een SMBv1 (Server Message Block 1.0) exploiteren die in staat is te activeren tot uitvoering van externe code (RCE) aanvallen via kwetsbare Windows Server Message Block (SMB) file-sharing diensten. Het lek verantwoordelijk is voor de aanval, CVE-2017-0144, werd door Microsoft gepatcht in Maart 2017 en nog veel systemen hebben nog steeds niet bijgewerkt en blijft kwetsbaar voor aanvallen.
Het was meer dan een jaar geleden dat EternalBlue eerste de krantenkoppen als de wereld werd gegrepen door de verspreiding van WannaCry, een vorm van ransomware die getroffen organisaties wereldwijd, waaronder de BRITSE National Health Service (NHS), FedEx, Renault, en de banken. WannaCry, gekoppeld aan de Noord-koreaanse hackers en de Lazarus-groep, gebruikt EternalBlue als een infectie vector om te verspreiden.
Na het compromis van honderdduizenden Pc ‘ s tijdens de WannaCry uitbraak, aanvallers vervolgens benut de dezelfde fout te verspreiden een andere vorm van ransomware bekend als Petya.
Er wordt aangenomen EternalBlue was oorspronkelijk het werk van de AMERIKAANSE National Security Agency (NSA)’s Vergelijking van de Groep, na het onderzoek van het programma is mogelijk gemaakt door de publieke release als onderdeel van een cache online gepubliceerd door de Schaduw Makelaars hacken van de groep.
Te lezen op: Waarom de ‘vaste’ Windows EternalBlue exploiteren zal niet sterven
NRSMiner maakt gebruik van de XMRig Monero mijnwerker te kapen van een geïnfecteerd systeem van de CPU naar de mijne voor de Monero (XMR) cryptocurrency. NRSMiner is ook in staat om te downloaden update-modules, vernieuwen oudere versies van de malware aanwezig is op een computer en verwijderen van bestanden en services is geïnstalleerd door eerdere installaties.
De nieuwste variant van NRSMiner infecteert nieuwe machines, hetzij door oude versies van dezelfde malware door het forceren van een download van een updater-module in het systeem /temp-map of door te vertrouwen op EternalBlue.
De exploit wordt verspreid via Wininit.exe, die bij de uitvoering zal uitpakken van gecomprimeerde bestanden, waaronder een met de naam svchost.exe, ook wel bekend als EternalBlue 2.2.0. Wininit.exe scan vervolgens de TCP-poort 445 voor alle andere beschikbare — en potentieel kwetsbare — systemen voor het uitvoeren van de exploit.
TechRepublic: de beveiliging van de Website paradox: Wat is een klein bedrijf om te doen?
Als het succesvol is, de DoublePulsar backdoor wordt dan uitgevoerd via een bestand met de naam spoolsv.exe. DoublePulsar, een kernel lading, haken x86 64-bit systemen en maakt gebruik van de poorten te openen besmette machines om aanvullende malware payloads, evenals smeden een pad naar een command-and-control (C&C) server voor de toepassing van diefstal van informatie en de uitvoering van opdrachten door het C&C-exploitanten.
Deze backdoor is gebruikt in dit scenario zowel voor het handhaven van de persistentie op een geïnfecteerde machine en voor de uitvoering van de Snmpstorsrv dienst, die in staat is om voortdurend te zoeken naar nieuwe, kwetsbare systemen.
CNET: Malware verdacht van hobbling verschillende kranten’ productie
Dit is niet het enige geval van EternalBlue wordt gebruikt voor het doel van cryptojacking. Andere campagnes zijn Wannamine, een knip-en-plak-codering inspanning die heeft nog in staat geweest om een compromis machines wereldwijd, en RedisWannaMine, die zich richt op Windows-servers.
De indicatoren van de compromis zijn opgenomen door F-Secure.
Vorige en aanverwante dekking
Google Chrome-lek gepatcht drie jaar na de eerste report2018 de meest high-profile cryptocurrency rampen en cyberattacksHacker spoofing omzeilt 2FA veiligheid in Gmail, doelen, beveiligde e-mail diensten
Verwante Onderwerpen:
Beveiliging TV
Data Management
CXO
Datacenters
0