AppsecZone

Ботнет DirtyMoe обзавелся червеобразным модулем для быстрого распространения

Ботнет DirtyMoe обзавелся червеобразным модулем для быстрого распространения Ботнет DirtyMoe обзавелся червеобразным модулем для быстрого распространения Ботнет DirtyMoe обзавелся червеобразным модулем для быстрого распространения
21.03.2022

Вредоносное ПО под названием DirtyMoe получило новые возможности червеобразного распространения, которые позволяют ему расширять свою сферу действия, не требуя какого-либо взаимодействия с пользователем, сообщает SecurityLab.

«Модуль использует старые известные уязвимости, например, EternalBlue и уязвимость повышения привилегий Windows Hot Potato. Один червеобразный модуль может генерировать и атаковать сотни тысяч частных и общедоступных IP-адресов в день. Многие компании подвержены рискам атак, поскольку все еще используют непропатченные системы или ненадежные пароли», — сказал специалист Мартин Хлумецки (Martin Chlumecky) из Avast.

Ботнет DirtyMoe с 2016 года используется для проведения криптоджекинга и распределенных атак типа «отказ в обслуживании» (DDoS). Вредонос развертывается с помощью внешних наборов эксплоитов, таких как PurpleFox, или внедренных установщиков Telegram Messenger.

В ходе атак также используется служба DirtyMoe, запускающая два дополнительных процесса (Core и Executioner) для загрузки модулей майнинга криптовалюты Monero и червеобразного распространения вредоносного ПО.

Модули атакуют компьютеры, используя несколько уязвимостей для установки вредоносного ПО, при этом каждый модуль нацелен на конкретную уязвимость:

  • CVE-2019-9082: ThinkPHP — RCE-уязвимость;

  • CVE-2019-2725: Oracle Weblogic Server — RCE-уязвимость десериализации AsyncResponseService;

  • CVE-2019-1458: Уязвимость повышения локальных привилегий WizardOpium;

  • CVE-2018-0147: Уязвимость десериализации;

  • CVE-2017-0144: RCE-уязвимость EternalBlue SMB (MS17-010);

  • MS15-076: Уязвимость повышения привилегий Hot Potato Windows.

Основная цель червеобразного модуля червя — получить возможность удаленного выполнения кода с правами администратора и установить новый экземпляр DirtyMoe. Одной из основных функций компонента является создание списка IP-адресов для атаки на основе геологического местоположения модуля.


Комментарии 0


Назад