Истина где-то ниже
Декабрь 13, 2018

Свежий штамм Satan использует несколько эксплойтов для атаки

Очень плохоПлохоСреднеХорошоОчень хорошо (Еще нет голосов, оставьте первым)
Загрузка...

Новый вариант шифровальщика Satan, обнаруженный специалистами из NSFocus и Sangfor, атакует серверы под управлением Windows и Linux, используя уязвимости в Apache Struts 2, WebLogic, Tomcat и других платформах.

Зловред Lucky распространяется, как червь, и не только кодирует пользовательские файлы, но и устанавливает на инфицированную машину майнер. Исследователи отмечают высокий потенциал штамма, однако указывают на ошибки в криптоалгоритме, которые можно использовать для восстановления данных.

По словам аналитиков, вредоносный комплект состоит из нескольких модулей, один из которых отвечает за заражение целевой системы и загрузку остальных компонентов. Оказавшись на устройстве, скрипт связывается с командным центром, а в случае нападения на Linux-сервер еще и прописывается в автозагрузке.

Дроппер получает из центра управления криптографический модуль, а также скрипт, отслеживающий TCP-трафик зараженной машины для выявления открытых портов других устройств. Lucky шифрует пользовательские документы, таблицы и базы данных, оставляя в неприкосновенности системные объекты, отвечающие за работу ОС.

Как пояснили специалисты, зловред использует алгоритм AES в режиме Electronic Codebook (ECB) для поблочного шифрования каждого файла. Программа переименовывает зашифрованные объекты и добавляет к их названию расширение .lucky.

По данным NSFocus, из-за неправильной работы с памятью вредоносный скрипт не может окончательно удалить секретный ключ с диска после окончания шифрования. Этот баг в ряде случаев позволяет восстановить поврежденные данные, особенно на серверах под управлением Windows. В качестве второго объекта полезной нагрузки выступает майнер XMRig, доступный для скачивания на GitHub.

Параллельно с установкой майнера и шифрованием пользовательских данных Lucky атакует серверы, работающие под управлением Windows, пытаясь эксплуатировать брешь в SMB (Eternal Blue), многократно описанную ИБ-специалистами и закрытую Microsoft еще в марте 2017 года. Для внедрения на другие серверы зловред использует ряд уязвимостей:

  • Давний баг платформы JBoss, замеченный в атаках вымогателя SamSam в 2016 году.
  • Ошибку CVE-2018-1273 в плагине Spring Data разработки Pivotal, которая допускает удаленное выполнение кода.
  • Уязвимость в Oracle WebLogic, применявшуюся для засева майнеров.
  • Несколько брешей в фреймворке Apache Struts 2, ставших причиной многочисленных утечек персональных данных.

В некоторых случаях для взлома целевых систем Lucky применяет брутфорс-атаку, перебирая распространенные варианты логинов и паролей. По словам специалистов, индикатором атаки могут служить обращения к IP командных серверов, с которыми связывается вредоносная программа:

  • 90[.]158[.]225
  • 179[.]65[.]195
  • 247[.]83[.]135
  • 90[.]158[.]224

Источник: https://threatpost.ru/lucky-satan-offspring-uses-many-exploits/29676/