21/03/22
Вредоносное ПО под названием DirtyMoe получило новые возможности червеобразного распространения, которые позволяют ему расширять свою сферу действия, не требуя какого-либо взаимодействия с пользователем.
«Модуль использует старые известные уязвимости, например, EternalBlue и уязвимость повышения привилегий Windows Hot Potato. Один червеобразный модуль может генерировать и атаковать сотни тысяч частных и общедоступных IP-адресов в день. Многие компании подвержены рискам атак, поскольку все еще используют непропатченные системы или ненадежные пароли», — сказал специалист Мартин Хлумецки (Martin Chlumecky) из Avast.
Ботнет DirtyMoe с 2016 года используется для проведения криптоджекинга и распределенных атак типа «отказ в обслуживании» (DDoS). Вредонос развертывается с помощью внешних наборов эксплоитов, таких как PurpleFox, или внедренных установщиков Telegram Messenger.
В ходе атак также используется служба DirtyMoe, запускающая два дополнительных процесса (Core и Executioner) для загрузки модулей майнинга криптовалюты Monero и червеобразного распространения вредоносного ПО.
Модули атакуют компьютеры, используя несколько уязвимостей для установки вредоносного ПО, при этом каждый модуль нацелен на конкретную уязвимость:
- CVE-2019-9082: ThinkPHP — RCE-уязвимость;
- CVE-2019-2725: Oracle Weblogic Server — RCE-уязвимость десериализации AsyncResponseService;
- CVE-2019-1458: Уязвимость повышения локальных привилегий WizardOpium;
- CVE-2018-0147: Уязвимость десериализации;
- CVE-2017-0144: RCE-уязвимость EternalBlue SMB (MS17-010);
- MS15-076: Уязвимость повышения привилегий Hot Potato Windows.
Основная цель червеобразного модуля червя — получить возможность удаленного выполнения кода с правами администратора и установить новый экземпляр DirtyMoe. Одной из основных функций компонента является создание списка IP-адресов для атаки на основе геологического местоположения модуля.
