Κυριακή, 5 Απριλίου, 07:36
Αρχική security Εκμετάλλευση της BlueKeep ευπάθειας για cryptomining σε Windows συστήματα

Εκμετάλλευση της BlueKeep ευπάθειας για cryptomining σε Windows συστήματα

BlueKeep Η RDP ευπάθεια BlueKeep στο Windows Remote Desktop Services χρησιμοποιείται αυτή τη στιγμή από hackers για cryptomining σκοπούς. Οι επιτιθέμενοι εκμεταλλεύονται ευάλωτα συστήματα για να κλέψουν cryptocurrencies.

Οι προσπάθειες επίθεσης παρατηρήθηκαν μέσω honeypots. Ο ερευνητής ασφάλειας, που ανακάλυψε τις απόπειρες, είναι ο Kevin Beaumont. Ο ερευνητής παρατήρησε ότι πολλά honeypots του EternalPot RDP honeypot δικτύου του άρχισαν να «κρασάρουν» και να κάνουν επανεκκίνηση. Τα honeypots ήταν ενεργά για περίπου μισό χρόνο. Το Σάββατο ήταν η πρώτη φορά που παρατηρήθηκε δυσλειτουργία. Ωστόσο, ο Beaumont παρατήρησε ότι τα μηχανήματα στην Αυστραλία δεν «κράσαραν».

Ο ερευνητής MalwareTech (διαδικτυακό όνομα) εξέτασε τα θέματα που ανέφερε ο Beaumont και κατέληξε στο ότι το «κρασάρισμα» οφείλεται στην ευπάθεια BlueKeep. Ο MalwareTech είπε ότι οι επιτιθέμενοι χρησιμοποίησαν την ευπάθεια BlueKeep με στόχο την εγκατάσταση ενός Monero Miner.

Η πρώτη ανάλυση του MalwareTech έδειξε ότι ένα αρχικό payload εκτελεί μια κωδικοποιημένη PowerShell εντολή, που κατεβάζει ένα δεύτερο κωδικοποιημένο PowerShell script. Το τελικό payload είναι ένα cryptominer (πιθανότατα για το Monero).

Σύμφωνα με τον ερευνητή, το κακόβουλο λογισμικό δεν είναι worm, αλλά εκμεταλλεύεται μαζικά την ευπάθεια BlueKeep. Έτσι, ο ερευνητής κατάλαβε ότι οι επιτιθέμενοι χρησιμοποιούν μάλλον έναν σαρωτή BlueKeep, ο οποίος τους βοηθά να εντοπίσουν τα ευάλωτα συστήματα, ώστε να εγκαταστήσουν το cryptominer.

Ο ερευνητής είπε, επίσης, ότι ο server που χρησιμοποιείται για την εκμετάλλευση της ευπάθειας  παίρνει τις IP διευθύνσεις του στόχου από μια προκαθορισμένη λίστα.

Ένας συνδυασμός cryptominer και σαρωτή BlueKeep είχε αναφερθεί και τον Ιούλιο. Το κακόβουλο λογισμικό, που συνδύαζε αυτά τα δύο χαρακτηριστικά, ονομάστηκε Watchbog και στόχευε κυρίως Linux servers.

Η εταιρεία Intezer είχε μελετήσει, τότε, το κακόβουλο λογισμικό και είχε διαπιστώσει ότι η ενσωμάτωση του σαρωτή «υποδηλώνει ότι το WatchBog ετοιμάζει μια λίστα ευάλωτων συστημάτων, τα οποία οι hackers θα στοχεύουν στο μέλλον ή θα τα πουλήσουν σε άλλους».

Ωστόσο, σύμφωνα με τον MalwareTech, οι τωρινές επιθέσεις δεν σχετίζονται με το κακόβουλο λογισμικό Watchbog.

BlueKeep: Σύντομο ιστορικό της ευπάθειας

Η ευπάθεια BlueKeep (CVE-2019-0708) έκανε την εμφάνισή της πριν από πολλούς μήνες. Οι ειδικοί ασφαλείας την αξιολόγησαν ως κρίσιμη, καθώς επιτρέπει τη διάδοση κακόβουλου λογισμικού σε ευάλωτα συστήματα χωρίς παρέμβαση χρήστη. Πολλές κυβερνήσεις και εταιρείες ασφαλείας άρχισαν να προειδοποιούν για την κρισιμότητα της ευπάθειας κι έτσι η Microsoft κυκλοφόρησε ένα patch στις 14 Μαΐου.

Συνήθως, η εκμετάλλευση αυτής της RDP ευπάθειας καταλήγει σε «κρασάρισμα» του συστήματος στόχου. Οι ερευνητές, που δημιούργησαν ένα working exploit, προσπάθησαν να κρατήσουν μυστικές τις λεπτομέρειες, ώστε να μην μπορέσουν οι hackers να φτιάξουν άμεσα μια δική τους έκδοση και να εκμεταλλευτούν τα μη ενημερωμένα συστήματα.

Ποιες εκδόσεις των Windows επηρεάζονται;

Ευτυχώς, η BlueKeep ευπάθεια δεν επηρεάζει όλες τις εκδόσεις των Windows. Σύμφωνα με τη Microsoft, οι hackers μπορούν να επηρεάσουν τα Windows 7, Windows Server 2008 R2 και Windows Server 2008 και να εγκαταστήσουν cryptominer.

Absenta Mia
Absenta Miahttps://www.secnews.gr
Being your self, in a world that constantly tries to change you, is your greater achievement

ΑΦΗΣΤΕ ΜΙΑ ΑΠΑΝΤΗΣΗ

Please enter your comment!
Please enter your name here

LIVE NEWS

Απομακρυσμένη εργασία: Πώς μπορούν να “επιβιώσουν” οι επιχειρήσεις;

Η απομακρυσμένη εργασία είναι μία πολιτική που ακολουθούν επιχειρήσεις όλων των μεγεθών ενόψει της πανδημίας του Κορωνοϊού. Τις τελευταίες εβδομάδες έχει σημειωθεί...

Samsung: Δωρεά αξίας $ 29 εκατομμυρίων για την μάχη ενάντια στον κορωνοϊό

Η Samsung Electronics προχώρησε σε μια δωρεά αξίας $ 29 εκατομμυρίων σε κυβερνήσεις και κοινότητες που έχουν...

Με παρακολουθεί το αφεντικό μου όσο εργάζομαι από το σπίτι;

Με παρακολουθεί το αφεντικό μου όσο εργάζομαι από το σπίτι; Έχετε αναρωτηθεί αν αυτές τις μέρες -λόγω πανδημίας η πλειοψηφία εργάζεται από...

Επιθέσεις Ransomware και DDoS: Οι κυβερνοεγκληματίες εντείνουν τις δραστηριότητές τους εν μέσω του κορωνοϊού

Οι εγκληματίες του κυβερνοχώρου χρησιμοποιούν τις ανησυχίες γύρω από την επιδημία του κορωνοϊού σε μια προσπάθεια μεγιστοποίησης του αντίκτυπου των επιθέσεων...

Ερευνητές προτείνουν μέθοδο παρακολούθησης του κορωνοϊού μέσω των smartphone

Καθώς ο COVID-19 συνεχίζει να εξαπλώνεται, οι ερευνητικές ομάδες σε ολόκληρο τον κόσμο χρησιμοποιούν το χρόνο και τις δεξιότητές τους για να...

Το μήνυμα της Zoom προς τους πελάτες της για τα θέματα ασφαλείας

Μετά την πρόσφατη ανακάλυψη των κενών ασφαλείας στην εφαρμογή Zoom, η εταιρεία δημοσίευσε μία επίσημη απάντηση προς...

Cache: Κρυμμένα αρχεία στην προσωρινή μνήμη επιβραδύνουν το Google Chrome

Το Google Chrome ανήκει στην κατηγορία των πιο δημοφιλών browsers και χρησιμοποιείται από μεγάλο ποσοστό χρηστών. Ωστόσο, έχει ένα σημαντικό αρνητικό χαρακτηριστικό...

Πώς να συνδέσω και να ρυθμίσω ακουστικά στο Windows 10 PC;

Τα ακουστικά είναι ένα πολύ χρήσιμο εργαλείο επικοινωνίας, ιδιαίτερα αυτή την περίοδο, που οι περισσότεροι εργαζόμαστε από...

APT Hackers χρησιμοποιούν το Crimson RAT εναντίον Ινδικών τραπεζών

Σύμφωνα με ερευνητές ασφαλείας στον κυβερνοχώρο, μία νέα καμπάνια APT, χρησιμοποιεί το Crimson RAT και επιτίθεται σε...

ProtonMail: Κυκλοφόρησε νέα εφαρμογή για να συνδέεστε τοπικά

ProtonMail - Κυκλοφόρησε νέα εφαρμογή για να συνδέεστε τοπικά: Οι επιθέσεις στο διαδίκτυο αυξάνονται καθημερινά και η...