Firma ochroniarska Red Canary wykryła grupę podobnych zagrożeń, które wyciekły górników Monero do urządzeń sieci biznesowej. Zostało to zgłoszone 7 maja poprzez publikację na jego stronie internetowej.
Red Canary powiedział, że „monitorują potencjalnie nowe zagrożenie, które polega na wdrożeniu ładunków wydobywczych kryptowaluty Monero na komputerach z systemem Windows w wielu organizacjach”.
Firma z siedzibą w Denver w Kolorado ochrzciła tę grupę podobnych działań, jak Blue Mockingbird (Blue Nightingale), które zostały wykryte po raz pierwszy w grudniu ubiegłego roku i od tego czasu monitorowanie jest kontynuowane, w końcu wykrywając ładunki górnicze opracowane do końca kwietnia ubiegłego roku, a konkretnie 26 lutego.
Blue Mockingbird wykorzystuje lukę
Red Canary stwierdził, że złośliwe oprogramowanie Blue Mockingbird filtruje ładunki wydobywcze Monero w postaci biblioteki DLL (Dynamic Link Library) i że wykorzystują one lukę w deserializacji, która wpływa na niektóre publiczne aplikacje internetowe:
„Wstępny dostęp uzyskują dzięki wykorzystaniu publicznych aplikacji internetowych, w szczególności tych, które korzystają z interfejsu użytkownika Telerik dla ASP.NET, a następnie wykonania i trwałości przy użyciu wielu technik”. Czerwony Kanarek.
Red Canary wyjaśnił, że wspomniana podatność była punktem wyjścia w co najmniej dwóch incydentach związanych z Niebieskim Kosogłosem i że chociaż była powszechna, nie jest wyłączna dla tego typu ataków.
Po tym, jak zagrożenie wykorzysta tę lukę, firma zajmująca się bezpieczeństwem dodała: „Dwie biblioteki DLL są ładowane do aplikacji internetowej działającej na serwerze sieci Web z systemem Windows II”.
Dystrybutor XMRIG w sieciach korporacyjnych
Red Canary poinformował, że głównym ładunkiem rozpowszechnianym jako DLL poprzez ataki Blue Mockingbird jest wersja narzędzia do eksploracji stron internetowych Monero XMRIG , które, jak zauważyli, jest „popularnym narzędziem do eksploracji Monero typu open source niż przeciwnicy można je łatwo skompilować w niestandardowe narzędzia. ”
Z Red Canary ustalono, że ładunkiem był górnik XMRIG na podstawie różnych testów. Wśród nich wspomnieli, że każda biblioteka DLL zawiera sekcję binarną „, która wygląda unikatowo dla ładunków wydobywczych kryptowaluty, ponieważ zawiera algorytm sprawdzania poprawności pracy RandomX, którego może używać XMRIG”.
Podobnie Red Canary wskazał, że znaleźli różne odniesienia do „xmrig” i ich numerów wersji w ciągach binarnych, a także inne słowa występujące w wierszach poleceń górnika XMRIG, takie jak: coin, donate-level, max-cpu -usage, priorytet procesora i plik dziennika.
Należy zauważyć, że firma zauważyła trzy sposoby wykonania tego narzędzia wydobywczego: pierwszym zgłoszonym przypadkiem było wykonanie jawnego wywołania eksportu DLL, które, jak wskazali, wydawały się wyłączne dla tego rodzaju ładunku; drugi używał opcji wiersza poleceń; a trzecią formą wykonania było „obciążenie skonfigurowane jako biblioteka DLL usługi Windows”, poinformował Red Canary.
Podobnie jak inne ataki złośliwego oprogramowania, które wyodrębniają zasoby bez zgody użytkownika, Blue Mockingbird przenosi się również w sieciach biznesowych , dystrybuując programy wydobywcze w organizacjach:
«Zauważyliśmy, że Blue Mockingbird przeniósł się bocznie, używając kombinacji protokołu pulpitu zdalnego, aby uzyskać dostęp do uprzywilejowanych systemów i Eksploratora Windows, aby później rozdzielić ładunki do systemów zdalnych (T1021.001 protokół pulpitu zdalnego, T1021.002 SMB / Udziały administracyjne systemu Windows). W niektórych przypadkach zaplanowane zadania były tworzone zdalnie schtasks.exe /S aby zapewnić wykonanie ». Czerwony Kanarek.
Firma ochroniarska wyjaśniła, że do tej pory zidentyfikowała dwa adresy Monero używane przez Blue Mockingbird i wskazała, że są aktywne. Ponieważ jest to Monero, firma poinformowała, że nie może ustalić równowagi tych adresów
„Każde przesyłane dane jest kompilowane ze standardową listą najczęściej używanych domen wydobywczych Monero wraz z adresem portfela Monero. Do tej pory zidentyfikowaliśmy dwa adresy portfeli wykorzystywane przez Blue Mockingbird, które są w aktywnym obiegu. Ze względu na prywatny charakter Monero nie widzimy równowagi tych portfeli, aby oszacować ich sukces. ” Czerwony Kanarek.
Podobnie w październiku ubiegłego roku dostawca produktów cyberbezpieczeństwa Cyberbit poinformował, że ponad 50% wszystkich systemów komputerowych na międzynarodowym lotnisku w Europie (których dokładna nazwa i lokalizacja nie została ujawniona) zostało zainfekowanych złośliwym oprogramowaniem wydobywczym. od Monero. Odkrycie miało miejsce, gdy firma zainstalowała jeden z produktów cyberbezpieczeństwa na tym lotnisku.
Polecane zdjęcie autorstwa Gerda Altmanna / pixabay.com
Źródło wiadomości: Bitcoin.es
Dodaj komentarz