Kiberjinoyatchilar EternalBlue yordamida kriptomaynerlarni tarqatishmoqda.
Hujumchilar Monero kriptovalyuta maynerini tarqatish uchun AQSh razvedka agentliklarining texnologiyalaridan foydalanganlar.
Kiberjinoyatchilar osiyolik foydalanuvchilarni EternalBlue eksploiti va maqsadli tizimlardagi mahalliy ilovalar orqali tarqatiladigan troyanlar va Monero kriptovalyuta maynerlari bilan nishonga olishmoqda. Joriy yilning yanvar oyida Qihoo 360 tadqiqotchilari tomonidan Xitoydagi foydalanuvchilarga qaratilgan zararli dastur kampaniyasi aniqlandi. O’sha paytda hujumchilar parolni xeshlashni yakunlash va xeshni o’tkazish hujumlarini amalga oshirish uchun ochiq kodli Invoke-SMBClient va PowerDump vositalaridan foydalanganlar.
Trend Micro xabar berishicha, endi kiberjinoyatchilar o’zlarining zararli dasturlariga AQSh Milliy xavfsizlik agentligi tomonidan ishlab chiqilgan va internetga tarqalib ketgan EternalBlue ekspluatatsiyasini qo’shishdi. Dastlab mutaxassislar uni faqat Yaponiyada ishlatib hujumlarni aniqladilar, ammo keyinchalik ular Avstraliya, Tayvan, Gonkong, Hindiston va Vetnamga tarqaldi.
Tizimni muvaffaqiyatli yuqtirgandan so’ng, zararli dastur o’zining C&C serveridan PowerShell skriptini yuklab oladi, yuqtirilgan kompyuterning MAC manzilini yozib oladi va uni antivirus dasturi uchun skanerlaydi. Bu skript, o’z navbatida, Trend Micro tomonidan TrojanSpy.Win32.BEAHNY.THCACAI sifatida aniqlangan troyanni yuklab oladi. Troyan tizim ma’lumotlarini (kompyuter nomi, GUID, MAC manzili, OT versiyasi, grafik karta xususiyatlari va tizim vaqti) to’playdi.
Troyan zararli dasturga o’z-o’zini tarqatish imkoniyatlarini qo’shadigan Mimikatz variantining PowerShell implementatsiyasini yuklab oladi. Shuningdek, u PowerShell orqali joylashtiriladigan va ochiq kodli Invoke-ReflectivePEInjection vositasi yordamida to’g’ridan-to’g’ri o’z jarayoniga kiritiladigan XMRig kriptomaynerini ham yuklab oladi.
Pass-the-hash – bu qayta ijro etish hujumining bir turi. Bu tajovuzkorga NTLM yoki LM protokoli yordamida autentifikatsiya qilingan masofaviy serverga kirish imkonini beradi.
