Οι hackers πίσω από το Smominru botnet παραβίασαν σχεδόν 90.000 Windows υπολογιστές τον περασμένο μήνα χρησιμοποιώντας το EternalBlue exploit και επιτελώντας brute force attacks σε MS-SQL, RDP, Telnet υπηρεσίες.
Ερευνητής αποκάλυψε ότι το botnet μολύνει περισσότερα από 4000 συστήματα καθημερινά, και καταλαμβάνει τον έλεγχο εκμεταλλευόμενο τις ευπάθειες στα μη αναβαθμισμένα συστήματα.
Το Smominru botnet στοχεύει αρκετές χώρες, συμπεριλαμβανομένων της Κίνας, της Ταϊβάν, της Ρωσίας, της Βραζιλίας και των ΗΠΑ όπου υπήρχαν αρκετές χιλιάδες μολυσμένα συστήματα σε εκπαιδευτικά ιδρύματα, ιατρικές εταιρίες ακόμη και σε ορισμένες cybersecurity εταιρείες.
Οι εγκληματίες δεν επικεντρώνονται σε συγκεκριμένους στόχους, απλώς ξεκινούν την επίθεση και παραβιάζουν κάθε σύστημα που έχει ευπαθείς διακομιστές.
Το Smominru botnet διανέμεται ως worm, οπότε αν μολύνει κάποιο από τα συστήματα του δικτύου, τότε εξαπλώνεται σε άλλα δίκτυα του οργανισμού.
Τα Windows 7 και Windows Server 2008 είναι τα πιο μολυσμένα συστήματα με το 85% από αυτές τις εκδόσεις να είναι εξαιρετικά ευάλωτες στο ExternalBlue exploit.
Πώς το Smominru Botnet μολύνει ένα σύστημα;
Οι επιτιθέμενοι πίσω από το Smoninru χρησιμοποιούν Powershell script που ονομάζεται blueps.txt που ρίχνει τη μηχανή του θύματος -ως το πρώτο στάδιο της μόλυνσης- και ξεκινούν την εκτέλεση των δυαδικών αρχείων καθώς και επιπρόσθετων λειτουργιών.
Αργότερα δημιουργούν ένα νέο χρήστη admin που ονομάζεται admin $ και κατεβάζουν τα πρόσθετα scripts για να εκτελέσουν την κακόβουλη διαδικασία.
Επίσης, ανοίγουν πολλά backdoor από τη μολυσμένη συσκευή για να εκτελεστούν διάφορες λειτουργίες, όπως δημιουργία νέων χρηστών και προγραμματισμένη εργασία.
Το Smominru botnet απενεργοποιεί και αποκλείει τα άλλα campaigns στο μολυσμένο μηχάνημα και διαγράφει το σχετικό αρχείο της υπάρχουσας κακόβουλης καμπάνιας.
Κατά τη διάρκεια της διαδικασίας μόλυνσης, το botnet μπλοκάρει διάφορες θύρες TCP (SMB, RPC) προκειμένου να αποτρέψει άλλους εισβολείς να παραβιάζουν τις μολυσμένες μηχανές τους.
Smominru Botnet Worm Module
Όπως συζητήσαμε παραπάνω, τα binary files από το blueps.txt περιέχουν διάφορα κακόβουλα προγράμματα, όπως το worm downloader (u.exe / ups.exe), Trojan horse (upsupx.exe) και MBR rootkit (max.exe / ok.exe).
Μια μονάδα worm u.exe είναι υπεύθυνη για τη λήψη των αρχείων DLL από το command and control server που σαρώσει το δίκτυο, εντοπίζει τις ευπάθειες και τις αναφέρει.
Ένα άλλο εκτελέσιμο αρχείο αφαιρεί τον open-source Trojan που ονομάζεται PcShare που είναι ικανό για λήψη και εγκατάσταση, command and control, λήψη στιγμιότυπων οθόνης, κλοπή πληροφοριών και έχει χρησιμοποιηθεί κυρίως για λήψη του Monecrypto miner.
Οι hackers πίσω από αυτή την επίθεση χρησιμοποίησαν σχεδόν 20 servers ως μέρος του botnet και οι περισσότεροι διακομιστές φιλοξενούνται στις Η.Π.Α., με ορισμένους hosted από ISPs στη Μαλαισία και τη Βουλγαρία.
