Неизвестные злоумышленники эксплуатируют уязвимость SambaCry для установки бэкдоров на Linux-устройствах, использующих старые версии файлообменного сервера Samba.
Подробности об уязвимости SambaCry, также известной как EternalRed (CVE-2017-7494), были раскрыты в мае текущего года.
Спустя две недели после ее публичного раскрытия хакеры стали эксплуатировать уязвимость для заражения Linux-серверов майнером криптовалюты EternalMiner. Теперь эксперты Trend Micro обнаружили, что в атаках с эксплуатацией SambaCry также используется вредоносное ПО SHELLBIND, которое представляет собой простой бэкдор-троян, позволяющий удаленно открывать оболочку на инфицированных устройствах.
Вредонос изменяет политики локального межсетевого экрана и открывает TCP-порт 61422, благодаря чему атакующий может подключаться к взломанному устройству. SHELLBIND сообщает своему оператору об успешном заражении, пингуя сервер 169[.]239[.]128[.]123 через порт 80. Атакующий извлекает новые IP-адреса из журнала сервера и вручную подключается к каждому инфицируемому хосту через порт 61422. Доступ к оболочке трояна защищен паролем, вшитым в код вредоноса.
В отличие от EternalMiner, инфицирующем в основном Linux-серверы, SHELLBIND был обнаружен преимущественно на сетевых хранилищах данных (NAS), хотя он заражал и другие устройства «Интернета вещей» (IoT).
Скачайте SafeUM — общайтесь приватно, без рекламы и спама.
