Появи се нов SMB червей
Цели, към момента има десетки системи по света, които са уязвими на EternalBlue, експлойт кода за сериозна накърнимост в SMB, приближаващ от арсенала на Агенцията за национална сигурност на Съединени американски щати (АНС). Това стана ясно тази седмица не посредством изследване на някоя компания за киберсигурност, а с триумфа на Indexsinas (или NSABuffMiner), следващият интернет червей, основаващ се на EternalBlue.
В края на 2016, незнайна до тогава хакерска група с името The Shadow Brokers, че са съумели да обхванат в системите на The Equation Group, кибершпионска организация, зад която се допуска, че стоят американските служби и по-точно АНС. При офанзивата, групата е достигнала до арсенала на АНС, с който са атакувани системи по целия свят за провеждането на разследващи и саботажни действия. Ставаше дума за голям пакет с кибероръжия, които нападат незнайни до този миг недостатъци в разнообразни софтуерни артикули на огромни компании и организации. Хакерите започнаха да оферират на търг откраднатото, а експерти по сигурност показваха терзанията си за възможни офанзиви благодарение на въпросните кибероръжия. И те не закъсняха. Макар и от АНС да уверяваха по какъв начин това са към този момент остарели хакерски стратегии, то очевидно EternalBlue и EternalRomance – експлойти за уязвимости в SMB (v1) не бяха такива. Именно те бяха употребявани от незнайна страна за създаването на червей, с който те доставиха рансъмуер към десетки хиляди системи по света. Междувременно в повдигащо доста въпроси деяние, Microsoft бяха забавили излизането на месечните си ъпдейти за Windows – или не, не стана ясно. Но хиляди необновени системи бяха заключени от WannaCry.
Вече сме 2021, само че експлойт кода за слабостите в имплементацията на остарелия мрежов протокол в Windows към момента работи. За акцията с Indexsinas сигнализират от Guardicore. Те са записали офанзиви посредством EternalBlue в началото в азиатско-тихоокеанския район, а след това и в Съединени американски щати. Неизвестна хакерска група е съчетала три от кибероръжията на АНС (EternalBlue, EternalRomance и DOUBLE PULSAR) с прочут от 2019 ботнет, който копае крипто от жертвите си (NSABuffMiner) и RAT (remote-access trojan) стратегия. Това, което вършат хакерите е да сканират за открити портове на уязвими сървърни SMB съоръжения (по информация на Guardicore изложените на Интернет SMB сървъри през днешния ден са над 1.2 милиона). След като си обезпечат достъп до сървъра, атакуващата страна търси следи от различен злотворен код в системата и процесите, свързани с него, като ги отстранява преди да продължи работата си. Те стопират и процесите, свързани с налични принадлежности за мониторинг, които могат да ги открият, извършва се, след което изтрива първичните си файлове. Тук и влизат в деяние експлойте на АНС, които се употребяват за инжектиране на код в Windows процеси (explorer.exe или lsass.exe) и свалянето на в допълнение злотворен код от сървър под командването им, измежду който и стратегия, която копае Monero. Освен това, зловредните стратегии се популяризират в мрежовия периметър, търсейки в допълнение уязвими системи. Guardicore, че въпросната акция елементарно може да бъде променена за доставянето на друг вид зловредни стратегии, като да вземем за пример рансъмуер.
В края на 2016, незнайна до тогава хакерска група с името The Shadow Brokers, че са съумели да обхванат в системите на The Equation Group, кибершпионска организация, зад която се допуска, че стоят американските служби и по-точно АНС. При офанзивата, групата е достигнала до арсенала на АНС, с който са атакувани системи по целия свят за провеждането на разследващи и саботажни действия. Ставаше дума за голям пакет с кибероръжия, които нападат незнайни до този миг недостатъци в разнообразни софтуерни артикули на огромни компании и организации. Хакерите започнаха да оферират на търг откраднатото, а експерти по сигурност показваха терзанията си за възможни офанзиви благодарение на въпросните кибероръжия. И те не закъсняха. Макар и от АНС да уверяваха по какъв начин това са към този момент остарели хакерски стратегии, то очевидно EternalBlue и EternalRomance – експлойти за уязвимости в SMB (v1) не бяха такива. Именно те бяха употребявани от незнайна страна за създаването на червей, с който те доставиха рансъмуер към десетки хиляди системи по света. Междувременно в повдигащо доста въпроси деяние, Microsoft бяха забавили излизането на месечните си ъпдейти за Windows – или не, не стана ясно. Но хиляди необновени системи бяха заключени от WannaCry.
Вече сме 2021, само че експлойт кода за слабостите в имплементацията на остарелия мрежов протокол в Windows към момента работи. За акцията с Indexsinas сигнализират от Guardicore. Те са записали офанзиви посредством EternalBlue в началото в азиатско-тихоокеанския район, а след това и в Съединени американски щати. Неизвестна хакерска група е съчетала три от кибероръжията на АНС (EternalBlue, EternalRomance и DOUBLE PULSAR) с прочут от 2019 ботнет, който копае крипто от жертвите си (NSABuffMiner) и RAT (remote-access trojan) стратегия. Това, което вършат хакерите е да сканират за открити портове на уязвими сървърни SMB съоръжения (по информация на Guardicore изложените на Интернет SMB сървъри през днешния ден са над 1.2 милиона). След като си обезпечат достъп до сървъра, атакуващата страна търси следи от различен злотворен код в системата и процесите, свързани с него, като ги отстранява преди да продължи работата си. Те стопират и процесите, свързани с налични принадлежности за мониторинг, които могат да ги открият, извършва се, след което изтрива първичните си файлове. Тук и влизат в деяние експлойте на АНС, които се употребяват за инжектиране на код в Windows процеси (explorer.exe или lsass.exe) и свалянето на в допълнение злотворен код от сървър под командването им, измежду който и стратегия, която копае Monero. Освен това, зловредните стратегии се популяризират в мрежовия периметър, търсейки в допълнение уязвими системи. Guardicore, че въпросната акция елементарно може да бъде променена за доставянето на друг вид зловредни стратегии, като да вземем за пример рансъмуер.
Източник: kaldata.com
КОМЕНТАРИ