MassMiner использует для атаки проверенные временем решения
04 мая 2018 г., пятница
Кампания по распространению зловреда нацелена на эксплуатацию уязвимостей, уже ставших причиной нашумевших атак.
ИБ-эксперты зафиксировали новую волну кибератак на интернет-серверы по всему миру. Кампания, получившая название MassMiner, использует несколько популярных эксплойтов, чтобы установить на скомпрометированные компьютеры программы для нелегальной добычи криптовалюты Monero.
Для размещения вредоносного ПО мошенники эксплуатируют давно известные уязвимости в Windows SMB, Oracle WebLogic и Apache Struts, которые ранее уже использовались в подобных атаках.
Так, в рамках новой киберкампании пущена в ход CVE-2017-10271, которая уже не раз становилась причиной взлома серверов WebLogic. В январе 2018 года злоумышленники сгенерировали 611 токенов Monero, воспользовавшись этой ошибкой. Ее же эксплуатировал бесфайловый зловред GhostMiner пару месяцев спустя.
Windows SMB взламывается через известный эксплойт EternalBlue, который использовался для атаки шифровальщика WannaCry. Несмотря на совместные усилия ИБ-экспертов и разработчиков, в Интернете остается еще немало систем, беззащитных перед этой угрозой. В марте 2018-го непропатченные компьютеры нашлись даже в парке авиастроительной корпорации Boeing.
Платформа Apache Struts атакуется при помощи CVE-2017-5638, уже использовавшейся для взлома серверов кредитного бюро Equifax. В прошлом году сотрудники агентства не установили критически важный патч, что повлекло за собой утечку персональных данных 145 млн клиентов.
Под угрозой оказались и системы под управлением Microsoft SQL. Для компрометации этой СУБД злоумышленники применяют инструмент SQLck. Утилита использует метод перебора для получения root-привилегий, после чего устанавливает вредоносный скрипт для загрузки майнера XMRig. Зловред не раз попадал на радары специалистов — например, его распространением занимается ботнет Muhstik.
В криптокошельке, связанном с MassMiner, сейчас находится 1200 токенов Monero — примерно $295 тысяч, однако не ясно, являются ли они результатом только этой кампании или же сгенерированы ранее. Исследователи отмечают, что методы распространения вредоносных программ пока находятся в стадии изучения, но предполагают, что атака связана с ботнетом Smominru.
По оценкам экспертов, эта сеть скомпрометированных устройств насчитывает не менее 500 тысяч компьютеров. Ранее Smominru специализировался на доставке DDoS-зловреда Mirai, однако в последнее время переключился на добычу криптовалюты.