SafeUM
Home Блог Услуги Скачать Помощь О нас Пополнить
EN
RU

Axarhöfði 14, 110 Reykjavik, Iceland

Iceland - 2015
SafeUM
Блог
Услуги
Скачать
Помощь
О нас
Пополнить
Меню
RU
Язык
EN
RU
Архив
TOP Security!
15 Июнь 2017

Майнеры криптовалют воспользовались уязвимостью в Samba

Неизвестные злоумышленники начали использовать недавно закрытую брешь в Samba чтобы распространять ресурсоемкую утилиту майнинга криптовалют.

На сегодня, операция принесла атакующим около $6000, но число скомпрометированных компьютеров растет. Это означает, что значительное количество инсталляций Samba по-прежнему уязвимо и не обновлено.

Атака также демонстрирует, что уязвимость в Samba, CVE-2017-7494, может расширить сферу применения атак наподобие EternalBlue на системы с Linux и UNIX. Samba – это программный пакет, благодаря которому Linux- и UNIX-серверы могут предоставлять свои принтеры и файлы по протоколу SMB, интегрируя эти сервисы в сети Windows-компьютеров.

Уязвимость в Samba похожа на ошибку в SMB-подсистеме Windows, которой 12 мая воспользовались злоумышленники для распространения вымогателя WannaCry. Тогда атакующие использовали эксплойт EternalBlue, взятый предположительно из арсенала АНБ. Эксперты предупреждали, что EternalBlue может быть оснащен любой вредоносной «боеголовкой», не обязательно вымогателем – и теперь то же самое относится к уязвимости в Samba, названной SambaCry.

Исследователи из «Лаборатории Касперского» сообщили, что один из их компьютеров-ловушек (honeypot) был поражен первыми эксплойтами, нацеленными на уязвимость в Samba, еще 30 мая.  Вредоносная нагрузка, которую нес на себе эксплойт, состояла из двух частей: Linux-бэкдор и утилита под названием Cpuminer. Последняя использует мощности пораженных компьютеров чтобы добывать криптовалюту Monero.

«В результате действий злоумышленников атакованная машина превращается в рабочую лошадку на большой ферме, занимающейся добычей криптовалюты для атакующих», – заявили эксперты в своём отчете на Securelist. Интересно, что идентификатор кошелька Monero и адрес пула майнеров жестко прописаны во вредоносном коде.

«Судя по полученным данным, первые крипто-монетки поступили на счет уже на следующий день — 30-го апреля», – пишут авторы отчета.  «В первый день злоумышленники получили всего около 1 XMR (примерно 55$ на 08.06.2017), а в последнюю неделю они уже получали порядка 5 XMR ежедневно. Это говорит о том, что ботнет устройств, трудящихся на благо злоумышленников, благополучно растет».

По состоянию на вечер пятницы, атакующие «намайнили» уже около $6000, а в «Лаборатории Касперского» заявили, что не могут точно оценить масштаб атаки. После публикации о уязвимости в Samba три недели назад, в Rapid7 заявили, что сканирование Интернета  при помощи собственного сервиса ProjectSonar выявило более 104000 устройств с запущенным сервером Samba уязвимых версий на порту 445 (SMB). Более 92000 используют версии Samba, для которых не выпущены заплатки. Уязвимость появилась в Samba 3.5.0 (2010 г.), администраторам надо обновить Samba до безопасных версий: 4.6.4, 4.5.10 и 4.4.14.

«Лаборатория Касперского» уточнила, что эксплойт собран в виде подключаемого модуля Samba (на иллюстрации ниже). После проверки прав доступа – записи тестового файла с произвольным именем – атакующий подбирает перебором путь к записанному файлу на сервере. Наиболее очевидные пути указаны в инструкции к Samba, отмечают авторы отчета. После нахождения пути, эксплойт загружается и выполняется в контексте процесса Samba-сервера, он удаляется на диске и остается только в виртуальной памяти.

Эксперты указывают, что атака на компьютере-ловушке содержала два файла, Linux-бэкдор и майнер, INAebsGB.so и cblRWuoCc.so соответственно. INAebsGB.so является реверс-шеллом, то есть подключается к прописанному атакующим IP и порту, чтобы хакер мог получить удаленный доступ к зараженному компьютеру.

«В результате злоумышленники имеют возможность удаленно выполнять произвольные shell-команды, будь то скачивание и запуск файла из интернета или удаление всех данных на компьютере жертвы», — комментируют авторы отчета, добавляя что это похоже на эксплойт SambaCry в Metasploit. Другой файл, cblRWuoCc.so, загружает и запускает Cpuminer с домена, зарегистрированного 29 апреля.

В то же время, другая группа атакующих использовала EternalBlue чтобы распространять майнер криптовалют под название Adylkuzz – он добывает те же Monero на Windows-компьютерах. Monero продвигается как криптовалюта для любителей конфиденциальности, и в системе принято множество мер чтобы затруднить отслеживание активностей по блокчейну.

Атаки Adylkuzz предшествовали WannaCry – первые образцы датированы 24 апреля, — сообщили исследователи из Proofpoint. Более 20 виртуальных частных серверов сканировали интернет в поисках мишеней с открытым портом 445, используемым для SMB-трафика и являющимся целью атак EternalBlue и DoublePulsar.


Скачайте SafeUM — общайтесь приватно, без рекламы и спама.

Теги:
Samba утечка информации
Источник:
Threatpost
615
ДРУГИЕ НОВОСТИ
7 Июнь 2018 safeum news imgage Ворующий данные вирус для роутеров умеет обходить шифрование
4 Июнь 2018 safeum news imgage Мошенники атакуют пользователей сервиса Booking.com
1 Июнь 2018 safeum news imgage Оператор крупнейшей точки обмена трафиком подал в суд на немецкую спецслужбу
30 Май 2018 safeum news imgage ФБР выявило два инструмента северокорейских кибершпионов
29 Май 2018 safeum news imgage Новый закон позволил европейцам требовать миллиарды у Google и Facebook
25 Май 2018 safeum news imgage Предустановленное вредоносное ПО обнаружили на сотнях моделей смартфонов
24 Май 2018 safeum news imgage GPS-трекеры для домашних животных позволяют следить за их хозяевами
23 Май 2018 safeum news imgage К Google подали иск из-за слежки за пользователями iPhone
21 Май 2018 safeum news imgage Данные о местоположении всех смартфонов в США оказались в открытом доступе
18 Май 2018 safeum news imgage Власти США запустили фальшивое ICO
17 Май 2018 safeum news imgage Хакеры похитили сотни миллионов у банков Мексики
17 Май 2018 safeum news imgage Крупнейшие сотовые операторы США продают доступ к данным о местоположении клиентов
16 Май 2018 safeum news imgage В Австралии Google обвинили в сборе данных за счет пользователей
15 Май 2018 safeum news imgage Wi-Fi для пассажиров позволяет хакерам захватить управление поездом
15 Май 2018 safeum news imgage Произошла утечка данных трёх миллионов пользователей Facebook
Все новости
SafeUM
Конфиденциальность Наши технологии О компании
Контакты
Скачать
SafeUM © Безопасный универсальный мессенджер

Axarhöfði 14,
110 Reykjavik, Iceland

Iceland - 2015