BlackSquid zararli dasturiy ta’minot kampaniyasi veb-serverlarni konchilik fermalariga aylantiradi
Kampaniya tashkilotchilari o‘z hujumlarida sakkizta ekspluatatsiyadan foydalanmoqda, jumladan EternalBlue.
Trend Micro tadqiqotchilari veb-serverlar, tarmoq drayverlari va olinadigan xotira qurilmalariga qaratilgan yangi Monero kon kampaniyasini kashf etdilar. BlackSquid deb nomlangan ushbu kampaniya operatorlari qurilmalarni aniqlanmasdan yuqtirish uchun turli zaifliklar uchun sakkizta ekspluatatsiyadan, jumladan AQSh Milliy Xavfsizlik Agentligidan sizib chiqqan EternalBlue vositasidan, shuningdek Rejetto HFS (CVE-2014-6287), Windows1162 (Apache-2014-6287), Windows1162-dagi xatolar uchun bir nechta ekspluatatsiyalardan foydalanmoqda. Shell (CVE-2017-8464) va ThinkPHP ramkasining bir nechta versiyalari.
Serverni yuqtirgandan so’ng, BlackSquid uning joylashuvini (virtual mashina, sandbox va boshqalar) va tahlil vositalaridan foydalanilayotganligini tekshiradi. Agar zararli dastur xavfli muhitda o’zini topsa, u zararli faoliyatini to’xtatadi. INFEKTSION serverlar tomonidan ishlatiladigan veb-ilovalardagi zaifliklar orqali sodir bo’ladi. GetTickCount API yordamida zararli dastur kirish mumkin bo’lgan serverlarning IP manzillarini qidiradi va ekspluatatsiyalar va shafqatsiz hujumlar yordamida ularni buzadi. Keyin zararli dastur o’rnatilgan grafik kartani aniqlaydi: agar u Nvidia yoki AMD kartasi bo’lsa, kriptovalyutani qazib olish uchun XMRig modullari tizimga yuklab olinadi.
BlackSquid nafaqat kriptovalyutani qazib olish, balki tizim imtiyozlarini oshirish, maxfiy ma’lumotlarni o’g’irlash, apparat va dasturiy ta’minotni buzish va tashkilotlarga hujum qilish uchun ham qo’llanilishi mumkin.
Ba’zi tafsilotlarga qaraganda, BlackSquid hali rivojlanish bosqichida. Mutaxassislarning fikricha, uning yaratuvchilari turli xil hujum usullarini sinab ko’rishadi va eng arzonlarini aniqlashga harakat qilishadi. Hozirda tajovuzkorlar Monero konchilarni buzilgan serverlarga yuklamoqda, biroq ular kelajakda boshqa tahdidlarga o‘tishlari mumkin.
BlackSquid EternalBlue vositasi va DoublePulsar backdoor yordamida tarqatiladi. Ushbu zaifliklar uchun yamoq 2017 yil mart oyidan beri mavjud bo’lsa-da, minglab tizimlar zaifligicha qolmoqda. Check Point statistik maʼlumotlariga koʻra, 2019-yil 20-mart holatiga koʻra, 600 000 dan ortiq korporativ tizimlar EternalBlue hujumlaridan himoyalanmagan.
