XMrig атакует через PowerShell-скрипты и EternalBlue - Proxy-Base Community - Анонимность и безопасность в интернете.
Бесплатные прокси. Количество:
Прокси для пользователей форума (API). Количество:
Купить доступ к прокси-листам (API). Количество:
 



Информация по хайдам / репутации

(РЕКОМЕНДУЮ) №1 >>>DDos Атака<<|>>DDoS Service<<< ДДОС СЕРВИС<<|>>Заказать DDOS
Все инфопродукты и приватная информация бесплатно
Старый 15.04.2019, 19:40   #1 (permalink)
VPN
 
Аватар для Proxy-Base-News
 
Регистрация: 16.09.2015
Сообщений: 1,041
Member ID: 35426

Репутация: 24
Репутация: 24
Сказал(а) спасибо: 0
Поблагодарили 8 раз(а) в 8 сообщениях
Топикстартер (автор темы) По умолчанию XMrig атакует через PowerShell-скрипты и EternalBlue

Эксперты Trend*Micro обнаружили криптоджекинговую кампанию, которая объединила в*себе несколько вредоносных PowerShell-скриптов и*эксплойт EternalBlue. Атаки злоумышленников направлены на*пользователей в*странах Азиатско-Тихоокеанского региона.

Для*доставки майнера XMrig на*компьютеры жертв организаторы кампании используют специфический загрузчик с*целым набором вредоносных функций. Первым делом он отправляет организаторам кампании MAC-адрес зараженной машины и*данные об*установленном защитном ПО. Далее программа скачивает PowerShell-скрипт, который догружает дополнительные модули. Эксперты отмечают, что в*основном это новые копии зловреда.

Загрузчик уточняет, какие компоненты отсутствуют на*компьютере жертвы, и*устанавливает их актуальные версии. После этого зловред отправляет операторам расширенные данные об*устройстве, включая имя машины, версию ОС и*информацию о*видеопамяти.

«Хотя эти данные могут показаться не*слишком ценными, они позволяют четко идентифицировать конкретный компьютер,*— подчеркивают исследователи.*— В*дальнейшем с*их помощью преступники смогут отслеживать активность пользователей».

Криптомайнер XMrig также разворачивается на*компьютере с*помощью PowerShell. Примечательно, что код на*загрузку и*запуск зловреда встроен внутрь opensource-скрипта*— это позволило преступникам не*использовать дополнительный файл. Эксперты также нашли в*коде дроппера отсылку еще к*одному исполняемому компоненту, но*изучить его не*удалось, поскольку на*момент обнаружения соответствующий URL был неактивен.

Программа эффективно распространяется по*корпоративной сети, пытаясь авторизоваться с*помощью вшитых паролей. На*пораженных компьютерах она меняет настройки брандмауэров таким образом, чтобы те сами скачивали и*запускали дистрибутив зловреда. Отдельный блок паролей обеспечивает возможность взлома SQL-баз.

В*дополнение к*слабым учетным данным обнаруженный загрузчик применяет технику pass*the*hash, авторизуясь на*удаленных серверах с*помощью хешированных паролей, которые хранятся на*зараженных компьютерах. За*эту функцию отвечает бинарный Python-файл, который скачивает и*запускает PowerShell-версию легитимной утилиты Mimikatz. В*случае успеха этот компонент запускает передачу файлов через SMB-протокол, используя доступный в*Сети скрипт Invoke-SMBClient.

Если*же первые два способа не*дают ожидаемый результат, программа выполняет эксплойт EternalBlue. Эта брешь SMB-протокола ранее спровоцировала эпидемии WannaCry и*Petya, после чего ее взяли на*вооружение операторы самых разных зловредов.

В*настоящий момент нет данных о*числе жертв обнаруженного зловреда. Известно, что его первые атаки были зафиксированы в*Китае, после чего он отметился в*Австралии, Вьетнаме, Гонконге, Индии и*Японии.

Авторы исследования указали, что обнаруженный зловред представляет собой серьезную угрозу благодаря возможности быстро распространяться и*долго оставаться незамеченным.

«Растущая популярность PowerShell вместе со*все большим количеством opensource-скриптов позволяют предположить, что в*ближайшем будущем мы увидим еще немало подобных программ»,*— заключают эксперты.

В*январе специалисты обнаружили LNK-зловред, который использовал PowerShell-скрипт для*показа нежелательной рекламы. Создатели вредоносного ПО распространяли его через торрент-трекеры под*видом пиратской копии фильма «Девушка, которая застряла в*паутине».

Источник: https://threatpost.ru/xmrig-attacks-...exploit/32275/
Proxy-Base-News вне форума   Ответить с цитированием
Ответ

Опции темы Поиск в этой теме
Поиск в этой теме:

Расширенный поиск
Опции просмотра

Ваши права в разделе
Вы не можете создавать новые темы
Вы не можете отвечать в темах
Вы не можете прикреплять вложения
Вы не можете редактировать свои сообщения

BB коды Вкл.
Смайлы Вкл.
[IMG] код Вкл.
HTML код Выкл.
Trackbacks are Вкл.
Pingbacks are Вкл.
Refbacks are Вкл.


Похожие темы
Тема Автор Раздел Ответов Последнее сообщение
Киберпреступники отказываются от вредоносного ПО в пользу PowerShell Proxy-Base-News Новости IT 0 28.02.2019 03:40
metasploit + powershell вирус = поднятие прав на RDP chingizbel Брут дедиков, способы брута, нужный софт 5 05.12.2018 22:44
Группировка APT28 использовала EternalBlue для атак на отели Proxy-Base-News Новости IT 0 10.10.2017 08:00
Хакеры комбинируют спам, макросы Microsoft Word и PowerShell Proxy-Base-News Новости IT 0 18.03.2016 16:20




DDoS Protected




Мы в твиттере, Proxy-Base.Org Twitter

Proxy-Base Community - Анонимность и безопасность в интернете.
Наши партнеры: CRC Labs, SEO-Crack.Com, Garsuk.Com, SED Team, Skladchik.com, BSS Family

Powered by vBulletin® | Булка сделана в пекарне®
Copyright © 2000 - , Jelsoft Enterprises Ltd. Перевод: zCarot
Вся информация на сайте выложена исключительно в ознакомительных целях.