Контакты
Подписка 2024
Персональные данные
4 апреля. Персональные данные в 2024 году: регулирование, практика, тенденции
Представляйте решения на онлайн-конференции!

Вредоносная кампания BlackSquid превращает web-серверы в майнинговые фермы

05/06/19

Mone miningСпециалисты Trend Micro обнаружили новую кампанию по добыче криптовалюты Monero, нацеленную на web-серверы, сетевые и съемные накопители.

Для незаметного заражения устройств операторы кампании, получившей название BlackSquid, используют 8 эксплоитов для различных уязвимостей, в том числе утекший инструмент EternalBlue из арсенала Агентства национальной безопасности США, а также ряд эксплоитов для багов в ПО Rejetto HFS (CVE-2014-6287), Apache Tomcat (CVE-2017-12615), Windows Shell (CVE-2017-8464) и нескольких версиях фреймворка ThinkPHP.

После заражения сервера BlackSquid проводит проверку на предмет того, где находится (в виртуальной машине, песочнице и т.д.), и используются ли инструменты анализа. Если вредонос оказывается в опасной для него среде, он прекращает вредоносную деятельность. Инфицирование происходит через уязвимости в web-приложениях, которые используют серверы. С помощью API GetTickCount вредонос выбирает IP-адреса доступных web-серверов и компрометирует их, используя эксплоиты и брутфорс. Далее вредоносная программа определяет, какая видеокарта установлена: если Nvidia или AMD, на систему загружаются модули XMRig для добычи криптовалюты.

BlackSquid может использоваться не только для майнинга криптовалюты, но и для повышения прав на системе, кражи конфиденциальных данных, нарушения работы аппаратного и программного обеспечения, а также для осуществления атак на организации.

Судя по некоторым нюансам, BlackSquid все еще находится на стадии разработки. Как полагают эксперты, его авторы экспериментируют с различными видами атак, пытаясь определить наименее затратные. На данном этапе злоумышленники загружают на скомпрометированные серверы майнеры Monero, но в будущем могут переключиться на другие угрозы.

Распространение BlackSquid осуществляется с помощью инструмента EternalBlue и бэкдора DoublePulsar. Несмотря на то, что патч для данных уязвимостей доступен с марта 2017 года, тысячи систем по-прежнему остаются уязвимыми. Согласно статистике компании Check Point, по состоянию на 20 марта 2019 года более 600 тыс. корпоративных систем все еще не защищены от атак с использованием EternalBlue.

Темы:майнингУгрозыTrend Micro
NGFW
9 апреля. Отечественные NGFW: как защитить облачную инфраструктуру и настроить обнаружение кибератак
Участвуйте и представляйте решения!
Статьи по темеСтатьи по теме

Участвуйте в проектах

редакции журнала
"Информационная безопасность" 

КАЛЕНДАРЬ МЕРОПРИЯТИЙ 2024
ПОСЕТИТЬ МЕРОПРИЯТИЯ
ВЫСТУПИТЬ НА КОНФЕРЕНЦИЯХ
СТАТЬ АВТОРОМ
SOAR, IRP, SOC
3 апреля. Отечественные ИT-платформы и ПО для объектов КИИ
Участвуйте!

Еще темы...

More...