Эксплоит EternalBlue используется для доставки бэкдора Nitol и RAT Gh0st
Эксплоит EternalBlue, примененный в кампании по заражению вымогательским ПО WannaCry, теперь используется для распространения бэкдора Nitol и трояна для удаленного доступа Gh0st, сообщили специалисты компании FireEye.
По аналогии с операторами WannaCry злоумышленники эксплуатируют ту же уязвимость в протоколе SMB (Microsoft Server Message Block). Проблема связана с тем, как сервер Microsoft Server Message Block 1.0 (SMBv1) обрабатывает определенные запросы и позволяет выполнить произвольный код на целевой системе. Эксплуатация уязвимости осуществляется путем отправки специально сформированного пакета на сервер SMBv1. Microsoft исправила данную проблему в марте нынешнего года.
Gh0st представляет собой троян для удаленного доступа для Windows, который уже в течение нескольких лет используется различными поддерживаемыми правительствами хакерскими группировками для атак на госорганы, активистов и другие связанные с политикой мишени.
По данным FireEye, ранее бэкдор Nitol распространялся путем эксплуатации позволяющей выполнить произвольный код уязвимости в устаревших версиях Internet Explorer, а также через спам-кампании.
Операторы Nitol и Gh0st применяют технику эксплуатации подобную использованной в кампании WannaCry, но за рядом исключений. Например, в ходе данных атак после успешного инфицирования открывается shell для записи инструкций в файл VBScript, который затем исполняется и на компьютер загружается полезная нагрузка с другого сервера.
Как отметили эксперты, перенос эксплоита EternalBlue на платформу Metasploit упростил злоумышленникам эксплуатацию уязвимостей в Windows. По прогнозам исследователей, уже в ближайшем будущем стоит ожидать рост числа атак, использующих данные проблемы для распространения вредоносного ПО.
Эксплоит - компьютерная программа, фрагмент программного кода или последовательность команд, которые используют уязвимости в программном обеспечении и применяются для осуществления атаки на вычислительную систему. Целью атаки является захват контроля над системой или нарушение ее корректной работы.
Читайте также
- Ошибка в API Facebook предоставляла доступ к фото 6,8 млн пользователей
- Одного ноутбука оказалось достаточно для компрометации всей корпоративной сети
- Депутаты Госдумы разработали план по обеспечению работы Рунета на случай отключения от Сети
- Морские суда часто подвергаются кибератакам
- 25 декабря состоится встреча сообщества специалистов по кибербезопасности АСУ ТП / RUSCADASEC
- Уязвимость в приложении Logitech позволяла удаленно инициировать нажатие клавиш
