Вредоносная кампания BlackSquid превращает web-серверы в майнинговые фермы
Организаторы кампании задействуют в атаках 8 эксплоитов, включая EternalBlue.
Специалисты Trend Micro обнаружили новую кампанию по добыче криптовалюты Monero, нацеленную на web-серверы, сетевые и съемные накопители. Для незаметного заражения устройств операторы кампании, получившей название BlackSquid, используют 8 эксплоитов для различных уязвимостей, в том числе утекший инструмент EternalBlue из арсенала Агентства национальной безопасности США, а также ряд эксплоиты для багов в ПО Rejetto HFS (CVE-2014-6287), Apache Tomcat (CVE-2017-12615), Windows Shell (CVE-2017-8464) и нескольких версиях фреймворка ThinkPHP.
После заражения сервера BlackSquid проводит проверку на предмет того, где находится (в виртуальной машине, песочнице и т.д.), и используются ли инструменты анализа. Если вредонос оказывается в опасной для него среде, он прекращает вредоносную деятельность. Инфицирование происходит через уязвимости в web-приложениях, которые используют серверы. С помощью API GetTickCount вредонос ищет IP-адреса доступных серверов и компрометирует их, используя эксплоиты и брутфорс. Далее вредоносная программа определяет, какая видеокарта установлена: если Nvidia или AMD, на систему загружаются модули XMRig для добычи криптовалюты.
BlackSquid может использоваться не только для майнинга криптовалюты, но и для повышения прав на системе, кражи конфиденциальных данных, нарушения работы аппаратного и программного обеспечения, а также для осуществления атак на организации.
Судя по некоторым нюансам, BlackSquid все еще находится на стадии разработки. Как полагают эксперты, его авторы экспериментируют с различными видами атак, пытаясь определить наименее затратные. На данном этапе злоумышленники загружают на скомпрометированные серверы майнеры Monero, но в будущем могут переключиться на другие угрозы.
Распространение BlackSquid осуществляется с помощью инструмента EternalBlue и бэкдора DoublePulsar. Несмотря на то, что патч для данных уязвимостей доступен с марта 2017 года, тысячи систем по-прежнему остаются уязвимыми. Согласно статистике компании Check Point, по состоянию на 20 марта 2019 года более 600 тыс. корпоративных систем все еще не защищены от атак с использованием EternalBlue.