Proofpoint: Обнаружен еще один вредонос, использующий EternalBlue

Олег Иванов 17 Мая 2017 - 17:05

Домашние пользователи

...

Исследователи Proofpoint обнаружили еще одного вымогателя, использующего эксплойт EternalBlue. Несмотря на то, что WannaCry привлек всеобщее внимание из-за масштаба атаки, первым, кто использовал уязвимостью SMB-сервера на 445 TCP-порту, был майнер Adylkuzz.

Подобно WannaCry, атака этого зловреда использует для быстрого распространения эксплойт EternalBlue, а также NSA-бэкдор DoublePulsar, предназначенный для установки вредоносной информации на взломанных компьютерах.

Однако признаки заражения Adylkuzz не так очевидны, как в случае с WannaCry. Можно выделить потерю доступа к общим ресурсам Windows и ухудшение производительности ПК и сервера. Более того, вредоносная программа также отключает SMB-сети, чтобы предотвратить заражение жертвы другими вредоносными программами.

По словам эксперта Kafeine из ProofPoint, Adylkuzz специально исправляет уязвимость, используемую WannaCry для того, чтобы последний не заразил систему.

Исследователи утверждают, что атака Adylkuzz предшествовала атаке WannaCry, предположительно начавшись 2 мая, либо 24 апреля, по другим данным. Kafeine также отмечает, что распространение вредоноса продолжается и несет потенциальную опасность.

Атака запускается с нескольких виртуальных частных серверов. EternalBlue используется для компрометации, затем устанавливается бэкдор DoublePulsar для загрузки и запуска Adylkuzz с другого хоста. После запуска зловред останавливает любые найденные копии самого себя и блокирует связь SMB, чтобы избежать заражения другими вредоносными программами.

Следующая главная новость »

Подписывайтесь на канал "Anti-Malware" в Telegram, чтобы первыми узнавать о новостях и наших эксклюзивных материалах по информационной безопасности.

Екатерина Быстрова 26 Апреля 2024 - 15:38

Атаки на сайты Уязвимости сайтов Взлом сайтов Заражение веб-сайта Домашние пользователи

Критическая дыра в WordPress-плагине WP-Automatic используется в атаках

Киберпреступники пытаются использовать в атаках критическую уязвимость в плагине WP‑Automatic для сайтов на WordPress. В случае успешной эксплуатации брешь позволяет получить полный контроль над целевым веб-ресурсом.

Проблему, о которой идёт речь, отслеживают под идентификатором CVE-2024-27956. По шкале CVSS ей присвоили почти максимальный балл — 9,9.

«Уязвимость представляет собой возможность SQL-инъекции и создаёт серьёзные риски для владельцев веб-сайтов, поскольку злоумышленники могут получить несанкционированный доступ», — пишут специалисты WPScan в официальном уведомлении.

«Например, атакующие создают аккаунты с правами администратора, загружают вредоносные файлы и получают полный контроль над ресурсом».

По словам исследователей, проблема кроется в механизме аутентификации, реализованном в плагине WP-Automatic. Условный злоумышленник может обойти его с помощью SQL-запросов к базе данных.

В тех атаках, которые удалось отследить экспертам, CVE-2024-27956 используется для отправки несанкционированных запросов к БД и создания учётных записей уровня администратора (имена обычно начинаются на «xtw»).

После этого злоумышленники могут менять код и загружать любые файлы. В данных кампаниях атакующие устанавливают бэкдор и обфусцируют вредоносный код.

С 13 марта 2024 года команда Patchstack отследила уже 5,5 млн попыток эксплуатации CVE-2024-27956.