Bezpečnostná firma Trend Micro odhalila novú celosvetovú cryptojackingovú kampaň namierenú proti firmám a inštitúciám zo vzdelávacieho, telekomunikačného, mediálneho a technologického sektora.
Útočníci zneužívajú zraniteľnosti v neaktualizovaných systémoch Windows Server 2003 SP2, Windows 7 Ultimate Professional SP1 a Windows XP Professional. Spomedzi všetkých prípadov bolo až 35 percent zaznamenaných v Číne. Ďalšie obete pochádzali najmä z Indie, Vietnamu, Thajska a Indonézie. Len od marca tohto roku výskumníci zaregistrovali na infikovaných zariadeniach viac ako 80 rôznych modifikácii ťažobného nástroja XMRig na ťažbu kryptomeny monero. Novinkou je, že útočníci ich šírili pomocou nástrojov skupiny Equation Group, ktoré sa pred časom objavili na internete. Ako tvrdí Trend Micro, ide o nový trend, keď na distribúciu banálnych typov malvéru kyberzločinci využívajú pokročilé nástroje známe najmä z cielených útokov sofistikovanejších aktérov.
„Zistenia, o ktorých tu diskutujeme, nás utvrdzujú v podozrení, že začínajúci kyberzločinci ľahko získavajú prístup k tomu, čo považujeme za nástroje ´vojenskej triedy´ – a využívajú ich na zdanlivo bežnú kyberzločineckú aktivitu.“ Jedným z nich je napríklad backdoor Vools, ktorý zneužíva zraniteľnosť EternalBlue. Spolu s ním útočníci používajú aj nástroj Mimikatz na získavanie hesiel do účtov. Hoci výskumníci nedokázali odhaliť pôvodcu útokov, všetky indície naznačujú, že za nimi stojí jeden páchateľ.
Firma informovala o podobnom prípade už začiatkom júna. Malvér BlackSquid, ktorý zneužíval zraniteľnosti EternalBlue a DoublePulsar, sa vtedy šíril po Thajsku a Spojených štátoch. Hoci išlo už o sofistikovanejší nástroj, ktorý sa dokázal šíriť ako červ, využíval antidetekčné metódy a distribuoval XMRig, výskumníci v jeho kóde objavili množstvo chýb. Domnievajú sa preto, že išlo skôr o testovaciu fázu vývoja malvéru, ktorý má do budúcna potenciál nielen ťažiť kryptomeny, ale aj zlepšovať útočníkove možnosti na krádež informácií.
Zdroj: Cybersec