Поднялась волна атак с использованием BlueKeep, жертвы получают майнер

Поднялась волна атак с использованием BlueKeep, жертвы получают майнер

Печально известная уязвимость BlueKeep, получившая идентификатор CVE-2019-0708, в настоящее время используется в реальных атаках, цель которых — установить в систему жертвы вредоносный майнер криптовалюты. Напомним, что данная проблема безопасности затрагивает службы удалённого рабочего стола (RDS).

Примечательно, что Microsoft устранила BlueKeep ещё в мае, попутно предупредив пользователей: уязвимость можно использовать для распространения червей вроде WannaCry.

Успешная эксплуатация бреши позволяет злоумышленнику выполнить код, отправляя специально созданные RDP-запросы. Дошло до того, что не только Microsoft, но и различные госучреждения предупредили пользователей об опасности.

Несмотря на выпуск патча и для довольно старых версий системы (например, Windows XP), аналитики полагают, что более 700 тысяч компьютеров до сих пор уязвимы для атак.

Исследователь Кевин Бомонт, давший уязвимости BlueKeep имя, поддерживает ханипот-систему BluePot, чтобы обнаружить попытки эксплуатации бреши в реальных атаках.

По словам Бомонта, последние атаки начались 23 октября — в этот день ханипоты эксперта начали сбоить и перезагружаться. 2 ноября стало ясно, что киберпреступники запустили атаки, в которых эксплуатируется BlueKeep.

В частности, атакующие задействовали специальный модуль Metasploit, выпущенный в начале сентября. Специалисты в итоге выяснили, что целью злоумышленников была установка вредоносного майнера Monero в систему жертвы.

Образец этого зловреда в настоящее время детектируется 31 антивирусом на VirusTotal.

Anti-Malware Яндекс ДзенПодписывайтесь на канал "Anti-Malware" в Telegram, чтобы первыми узнавать о новостях и наших эксклюзивных материалах по информационной безопасности.

Финансистам и промышленникам России раздают бэкдор PhantomDL

В начале этого месяца защитные решения «Лаборатории Касперского» отбили две волны вредоносных рассылок на адреса российских организаций — госструктур, производственных предприятий, финансовых институтов, энергетических компаний.

Суммарно эксперты насчитали около 1000 адресов получателя. Анализ показал, что при открытии вредоносного вложения или активации вставленной ссылки в систему загружается написанный на Go вредонос PhantomDL (продукты Kaspersky детектируют его с вердиктом Backdoor.Win64.PhantomDL).

Поддельные сообщения были написаны от имени контрагента целевой организации и имитировали продолжение переписки. Исследователи предположили, что почтовые ящики отправителей могли взломать, а письма — украсть, чтобы придать убедительность подобным фейкам:

 

Вложенный или указанный ссылкой RAR-архив в большинстве случаев был запаролен. Он содержал маскировочный документ и одноименную папку с файлом, снабженным двойным расширением — например, Счёт-Фактура.pdf .exe.

Последний нацелен на уязвимость CVE-2023-38831 (разработчик WinRAR пропатчил ее в августе прошлого года). После отработки эксплойта в систему устанавливается PhantomDL, используемый для кражи файлов, а также загрузки и запуска дополнительных утилит, в том числе инструмента удаленного администрирования.

По данным экспертов, весной этого года через аналогичные рассылки авторы атак на территории России раздавали DarkWatchman RAT.

Anti-Malware Яндекс ДзенПодписывайтесь на канал "Anti-Malware" в Telegram, чтобы первыми узнавать о новостях и наших эксклюзивных материалах по информационной безопасности.

RSS: Новости на портале Anti-Malware.ru