Нова шкідлива кампанія BlackSquid перетворює web-сервери на криптоферми

Фахівці Trend Micro виявили нову кампанію з видобутку криптовалюти Monero, націлену на web-сервери, мережеві і знімні накопичувачі.

Для непомітного зараження пристроїв оператори кампанії BlackSquid, використовують 8 експлойтів для різних уразливостей, в тому числі інструмент EternalBlue з арсеналу Агентства національної безпеки США, а також ряд експлойти для багів в ПЗ Rejetto HFS (CVE-2014-6287), Apache Tomcat (CVE-2017-12615), Windows Shell (CVE-2017-8464) і декількох версіях фреймворку ThinkPHP.

Після зараження сервера BlackSquid проводить перевірку на предмет того, де знаходиться (у віртуальній машині, пісочниці тощо), і чи використовуються інструменти аналізу. Якщо шкідник опинається в небезпечному для нього середовищі, він припиняє шкідливу діяльність. Інфікування відбувається через уразливості в web-додатках, які використовують сервери. За допомогою API GetTickCount шкідник шукає IP-адреси доступних серверів і компрометує їх, використовуючи експлойти і брутфорс. Далі шкідлива програма визначає, яка відеокарта встановлена: якщо Nvidia або AMD, на систему завантажуються модулі XMRig для видобутку криптовалюти.

BlackSquid може використовуватися не тільки для майнінгу криптовалюти, але і для підвищення прав на системі, крадіжки конфіденційних даних, порушення роботи апаратного та програмного забезпечення, а також для здійснення атак на організації.

Судячи з деяких нюансів, BlackSquid все ще знаходиться на стадії розробки. Як вважають експерти, його автори експериментують з різними видами атак, намагаючись визначити найменш витратні. На даному етапі зловмисники завантажують на скомпрометовані сервери майнер Monero, але в майбутньому можуть переключитися на інші загрози.

Поширення BlackSquid здійснюється за допомогою інструменту EternalBlue і бекдора DoublePulsar. Незважаючи на те, що патч для даних уразливостей доступний з березня 2017 року, тисячі систем як і раніше залишаються уразливими. Згідно зі статистикою компанії Check Point, станом на 20 березня 2019 року понад 600 тисяч корпоративних систем все ще не захищені від атак з використанням EternalBlue.

Також спеціаліст проекту Google Project Zero Тевіс Орманді (Tavis Ormandy) повідомив про уразливість в текстовому редакторі Notepad (“Блокнот”) у складі ОС Windows, що дозволяє віддалено виконати код.

До речі, інсталяція одного з головних нововведень в травневому оновленні Windows 10 May 2019 Update може призвести до непрацездатності віртуального середовища Windows Sandbox.

Нагадаємо, уразливість BlueKeep у службах віддаленого робочого столу може стати новим вектором для розповсюдження шкідливих програм. У разі використання уразливості кіберзлочинці зможуть отримати доступ до комп’ютера жертви без необхідних облікових даних або взаємодії з користувачем.

Google заявила, що додавання телефонного номера для відновлення може заблокувати всі автоматизовані спроби бота для доступу до облікових записів за допомогою облікових даних.