Преступники используют DoublePulsar и EternalBlue для установки майнера

Преступники используют DoublePulsar и EternalBlue для установки майнера

Преступники используют DoublePulsar и EternalBlue для установки майнера

В новой вредоносной кампании злоумышленники используют инструменты АНБ США — бэкдор DoublePulsar и эксплойт EternalBlue. Эти инструменты помогают киберпреступникам устанавливать вредоносный майнер в корпоративных сетях.

Киберпреступную операцию проанализировали эксперты компании Symantec, которые дали ей имя Beapy. Ранее о Beapy также сообщали компании Qihoo 360 и Trend Micro, однако Symantec чуть больше углубилась в детали.

Первые признаки вредоносной операции Beapy были зафиксированы в январе 2019 года. Уже тогда стало понятно, что злоумышленники предпочитают атаковать корпоративный сектор — 98% жертв составляли именно предприятия.

Атака начиналась с фишингового письма, содержащего документ Excel, который в случае открытия скачивал в систему DoublePulsar. Далее у преступников открывалась возможность использовать эксплойт EternalBlue для атак на протокол Microsoft Windows Server Message Block (SMB). В результате атакующие получали возможность удаленно выполнить код.

Далее вредонос связывался с командным сервером C&C, после чего в ход шли скрипты PowerShells, а потом, уже как кульминация, — установка на зараженный компьютер вредоносной программы-майнера.

EternalBlue также использовался для заражения остальных компьютеров в корпоративной сети.

Помимо эксплойта для SMB, кампания Beapy также рассчитывала на инструмент Mimikatz, который может извлекать пароли Windows. В случае его использования зловред мог распространяться и на пропатченные компьютеры.

В Symantec также рассказали, что злоумышленники пытались использовать эксплойты для уязвимости CVE-2017-5638 в Apache Struts, CVE-2017-12615 в Apache Tomcat и CVE-2017-10271 в Oracle WebLogic Server. Таким образом, преступники атаковали и веб-серверы.

Напомним, что специалист в области безопасности Шон Диллон, работающий в RiskSence, разработал PoC-бэкдор, на создание которого его вдохновили инструменты АНБ США, слитые в Сеть весной 2017 года. Бэкдор получил имя SMBdoor.

AM LiveПодписывайтесь на канал "AM Live" в Telegram, чтобы первыми узнавать о главных событиях и предстоящих мероприятиях по информационной безопасности.

UserGate и МУЛЬТИФАКТОР подтвердили совместимость своих решений

Компании UserGate и МУЛЬТИФАКТОР провели испытания и подтвердили, что их продукты успешно работают вместе. Речь идёт о совместимости межсетевого экрана UserGate Next-Generation Firewall (NGFW) и службы каталогов MULTIDIRECTORY. По итогам тестирования был оформлен соответствующий сертификат.

Интеграция позволяет администраторам использовать MULTIDIRECTORY для централизованной аутентификации пользователей и управления учётными записями в инфраструктуре на базе UserGate NGFW.

MULTIDIRECTORY — российская служба каталогов с открытым исходным кодом, адаптированная под Microsoft Active Directory. Её можно использовать для постепенного перехода с AD на отечественное решение. Продукт включён в реестр российского ПО под номером 28333.

UserGate Next-Generation Firewall — это межсетевой экран, совмещающий функции файрвола и системы обнаружения вторжений. Он сертифицирован ФСТЭК России (№ 3905), внесён в реестр российского ПО (№ 1194) и соответствует 4-му уровню доверия.

По словам представителей компаний, интеграция упрощает работу с корпоративными учётными записями и может быть полезна организациям, которые стремятся отказаться от иностранных решений в инфраструктуре.

AM LiveПодписывайтесь на канал "AM Live" в Telegram, чтобы первыми узнавать о главных событиях и предстоящих мероприятиях по информационной безопасности.

RSS: Новости на портале Anti-Malware.ru