Cảnh báo! Hacker bắt đầu sử dụng "SambaCry khuyết tật" để Hack Hệ thống Linux



Hai tuần trước chúng tôi đã báo cáo về lỗ hổng 7 năm thực hiện mã nguy hiểm từ xa trong phần mềm mạng Samba (tái triển khai giao thức mạng SMB) cho phép một hacker từ xa có thể kiểm soát hoàn toàn các máy tính Linux và Unix dễ bị tổn thương.

Để biết thêm về lỗ hổng SambaCry (CVE-2017-7494) và cách hoạt động, bạn có thể đọc bài viết trước của chúng tôi .

Vào thời điểm đó, gần 485.000 máy tính Samba đã được tìm thấy được tiếp xúc trên Internet, và các nhà nghiên cứu dự đoán rằng các cuộc tấn công dựa trên SambaCry cũng có tiềm năng lây lan giống như ransomware WannaCry rộng rãi.

Dự đoán này được đưa ra khá chính xác vì honeypots do nhóm các nhà nghiên cứu của Kaspersky Lab thiết lập đã chiếm được một chiến dịch malware đang khai thác lỗ hổng của SambaCry để lây nhiễm các máy tính Linux bằng phần mềm khai thác cryptocurrency.

Một nhà nghiên cứu an ninh, Omri Ben Bassat, đã phát hiện độc  lập cùng một chiến dịch và đặt tên nó là "EternalMiner."

Theo các nhà nghiên cứu, một nhóm hacker đã biết đã bắt đầu tấn công các máy tính Linux chỉ một tuần sau khi lỗ hổng Samba được tiết lộ công khai và cài đặt một phiên bản nâng cấp của "CPUminer", một phần mềm khai thác mật mã khai thác mỏ " Monero ".

Sau khi thỏa hiệp các máy tính dễ bị tổn thương sử dụng lỗ hổng của SambaCry,
  • INAebsGB.so - Một trình bao đảo ngược cung cấp truy cập từ xa cho kẻ tấn công.
  • CblRWuoCc.so - Một backdoor bao gồm các tiện ích khai thác cryptocurrency - CPUminer.
Các nhà nghiên cứu của Kaspersky cho biết: "Thông qua hệ thống đảo ngược trong hệ thống, những kẻ tấn công có thể thay đổi cấu hình của một thợ mỏ đang chạy hoặc lây nhiễm vào máy tính của nạn nhân với các loại phần mềm độc hại khác.
Khai thác mỏ bí mật có thể là một khoản đầu tư tốn kém vì nó đòi hỏi một lượng lớn sức mạnh tính toán, nhưng phần mềm độc hại khai phá mã khai thác như vậy làm cho các cybercriminals dễ dàng hơn bằng cách cho phép họ sử dụng các tài nguyên máy tính của các hệ thống bị xâm nhập để tạo ra lợi nhuận.

Nếu bạn từng theo dõi The Hacker News thường xuyên, bạn phải nhận thức được Adylkuzz , một phần mềm độc hại khai thác cryptocurrency đang sử dụng lỗ hổng Windows SMB ít nhất hai tuần trước khi vụ tấn công ransomware bùng nổ.

Các phần mềm độc hại Adylkuzz cũng khai thác Monero bằng cách sử dụng số lượng lớn các tài nguyên máy tính của các hệ thống Windows bị xâm nhập.
Monero-khai thác-phần mềm

Những kẻ tấn công đằng sau cuộc tấn công của CPUminer dựa trên SambaCry đã kiếm được 98 XMR, có giá trị 5.380 ngày hôm nay và con số này liên tục tăng với sự gia tăng số lượng các hệ thống Linux bị xâm nhập.
Các nhà nghiên cứu cho biết "Trong ngày đầu tiên họ thu được khoảng 1 XMR (khoảng 55 đô la theo tỷ giá hối đoái vào ngày 08.06.2017), nhưng trong tuần trước họ đã thu được khoảng 5 XMR mỗi ngày.
Những người bảo trì Samba đã vá lỗi này trong các phiên bản Samba mới của họ là 4.6.4 / 4.5.10 / 4.4.14 và đang thúc giục những người sử dụng một phiên bản Samba dễ bị tổn thương để cài đặt miếng vá càng sớm càng tốt.

Đăng nhận xét

Mới hơn Cũ hơn