Неизвестные злоумышленники начали использовать недавно закрытую брешь в Samba чтобы распространять ресурсоемкую утилиту майнинга криптовалют.
На сегодня, операция принесла атакующим около $6000, но число скомпрометированных компьютеров растет. Это означает, что значительное количество инсталляций Samba по-прежнему уязвимо и не обновлено.
Атака также демонстрирует, что уязвимость в Samba, CVE-2017-7494, может расширить сферу применения атак наподобие EternalBlue на системы с Linux и UNIX. Samba – это программный пакет, благодаря которому Linux- и UNIX-серверы могут предоставлять свои принтеры и файлы по протоколу SMB, интегрируя эти сервисы в сети Windows-компьютеров.
Уязвимость в Samba похожа на ошибку в SMB-подсистеме Windows, которой 12 мая воспользовались злоумышленники для распространения вымогателя WannaCry. Тогда атакующие использовали эксплойт EternalBlue, взятый предположительно из арсенала АНБ. Эксперты предупреждали, что EternalBlue может быть оснащен любой вредоносной «боеголовкой», не обязательно вымогателем – и теперь то же самое относится к уязвимости в Samba, названной SambaCry.
Исследователи из «Лаборатории Касперского» сообщили, что один из их компьютеров-ловушек (honeypot) был поражен первыми эксплойтами, нацеленными на уязвимость в Samba, еще 30 мая. Вредоносная нагрузка, которую нес на себе эксплойт, состояла из двух частей: Linux-бэкдор и утилита под названием Cpuminer. Последняя использует мощности пораженных компьютеров чтобы добывать криптовалюту Monero.
«В результате действий злоумышленников атакованная машина превращается в рабочую лошадку на большой ферме, занимающейся добычей криптовалюты для атакующих», – заявили эксперты в своём отчете на Securelist. Интересно, что идентификатор кошелька Monero и адрес пула майнеров жестко прописаны во вредоносном коде.
«Судя по полученным данным, первые крипто-монетки поступили на счет уже на следующий день — 30-го апреля», – пишут авторы отчета. «В первый день злоумышленники получили всего около 1 XMR (примерно 55$ на 08.06.2017), а в последнюю неделю они уже получали порядка 5 XMR ежедневно. Это говорит о том, что ботнет устройств, трудящихся на благо злоумышленников, благополучно растет».
По состоянию на вечер пятницы, атакующие «намайнили» уже около $6000, а в «Лаборатории Касперского» заявили, что не могут точно оценить масштаб атаки. После публикации о уязвимости в Samba три недели назад, в Rapid7 заявили, что сканирование Интернета при помощи собственного сервиса ProjectSonar выявило более 104000 устройств с запущенным сервером Samba уязвимых версий на порту 445 (SMB). Более 92000 используют версии Samba, для которых не выпущены заплатки. Уязвимость появилась в Samba 3.5.0 (2010 г.), администраторам надо обновить Samba до безопасных версий: 4.6.4, 4.5.10 и 4.4.14.
«Лаборатория Касперского» уточнила, что эксплойт собран в виде подключаемого модуля Samba (на иллюстрации ниже). После проверки прав доступа – записи тестового файла с произвольным именем – атакующий подбирает перебором путь к записанному файлу на сервере. Наиболее очевидные пути указаны в инструкции к Samba, отмечают авторы отчета. После нахождения пути, эксплойт загружается и выполняется в контексте процесса Samba-сервера, он удаляется на диске и остается только в виртуальной памяти.
Эксперты указывают, что атака на компьютере-ловушке содержала два файла, Linux-бэкдор и майнер, INAebsGB.so и cblRWuoCc.so соответственно. INAebsGB.so является реверс-шеллом, то есть подключается к прописанному атакующим IP и порту, чтобы хакер мог получить удаленный доступ к зараженному компьютеру.
«В результате злоумышленники имеют возможность удаленно выполнять произвольные shell-команды, будь то скачивание и запуск файла из интернета или удаление всех данных на компьютере жертвы», — комментируют авторы отчета, добавляя что это похоже на эксплойт SambaCry в Metasploit. Другой файл, cblRWuoCc.so, загружает и запускает Cpuminer с домена, зарегистрированного 29 апреля.
В то же время, другая группа атакующих использовала EternalBlue чтобы распространять майнер криптовалют под название Adylkuzz – он добывает те же Monero на Windows-компьютерах. Monero продвигается как криптовалюта для любителей конфиденциальности, и в системе принято множество мер чтобы затруднить отслеживание активностей по блокчейну.
Атаки Adylkuzz предшествовали WannaCry – первые образцы датированы 24 апреля, — сообщили исследователи из Proofpoint. Более 20 виртуальных частных серверов сканировали интернет в поисках мишеней с открытым портом 445, используемым для SMB-трафика и являющимся целью атак EternalBlue и DoublePulsar.
Скачайте SafeUM — общайтесь приватно, без рекламы и спама.
