بدافزار MassMiner با بهره‌برداری از چندین آسیب‌پذیری به سرورهای وب حمله می‌کند

 

بدافزار استخراج ارز مجازی MassMiner که اخیرا توسط شرکت AlienVault کشف شده است، با بهره برداری از چندین آسیب پذیری شانس خود را در به خطر انداختن سرورهای وب افزایش می دهد. این بدافزار دارای یک ابزار اسکن اینترنتی به نام MassScan است که در این مورد، فهرستی از محدوده ی IP های خصوصی و عمومی را در حین اجرا اسکن می کند. MassMiner پس از آلوده کردن هدف، تلاش می کند تا ابتدا در سایر میزبان ها بر روی شبکه ی محلی و سپس از طریق اینترنت گسترش یابد.


شرکت AlienVault چندین نسخه از بدافزار MassMiner را مشاهده کرده و اعلام کرده است که این بدافزار همچنان به گسترش خود ادامه می‌دهد. این شرکت امنیتی چند سیستم آسیب‌دیده را در آسیا، آمریکای لاتین و اروپا شناسایی کرده، اما هنوز سطح آلودگی مشخص نشده است.


این بدافزار پس از به‌کارگیری MassScan به‌منظور شناسایی سیستم‌های آسیب‌پذیر، تلاش می‌کند تا با بهره‌برداری از چندین آسیب‌پذیری آن‌ها را مورد هدف قرار دهد. این آسیب‌پذیری‌ها عبارتند از؛ بهره‌برداری از آسیب‌پذیری موجود در WebServer با شناسه‌ی CVE-2017-10271، بهره‌برداری از آسیب‌پذیری موجود در SMB متعلق به آژانس امنیت ملی آمریکا با شناسه‌ی CVE-2017-0143 (بهره‌برداری EternalBlue که برای نصب DoublePulsar استفاده می‌شود) و بهره‌برداری از آسیب‌پذیری موجود در آپاچی استراتوس با شناسه‌ی CVE-2017-5638. این بدافزار، سرورهای SQL مایکروسافت را نیز با استفاده از SQLck مورد حمله‌ی جستجوی فراگیر قرار می‌دهد.


پس از آلوده شدن یک سرور SQL مایکروسافت، اسکریپتی اجرا می‌شود که بدافزار  MassMiner را نصب خواهد کرد، به‌دنبال آن اسکریپت دیگری اجرا می‌شود که ویژگی‌های مهم امنیتی مانند آنتی‌ویروس‌ها را بر روی سرور غیرفعال می‌کند. بدافزار MassMiner بر روی سرورهای Weblogic با استفاده از اسکریپت PowerShell و بر روی سرورهای آپاچی استراتوس با استفاده از اسکریپت VisualBasic دانلود می‌شود.


این بدافزار پس از گسترش یافتن، وظایف را برای اجرای مولفه‌های خود زمان‌بندی کرده، لیست کنترل دسترسی (ACL) را برای دسترسی کامل به فایل‌های خاص سیستم تغییر داده و دیواره‌ی آتش ویندوز را غیرفعال می‌کند. بدافزار MassMiner یک فایل پیکربندی را از یک سرور راه دور دانلود می‌کند. این فایل حاوی اطلاعاتی در مورد سرور برای دانلود به‌روزرسانی‌ها، یک فایل اجرایی برای آلوده کردن ماشین‌های دیگر و همچنین کیف پول مونرو و مخزن استخراج برای ارسال ارزهای استخراج‌شده به آن می‌باشد.


محققان اشاره کردند: «اگر درخواست HTTP برای فایل پیکربندی، پاسخی در پی نداشته باشد، بدافزار قادر است با استفاده از پیکربندی پیش‌فرض خود، استخراج‌کننده را باموفقیت اجرا نماید.» این بدافزار علاوه بر استخراج‌کننده‌ی ارز مجازی، تلاش می‌کند تا دربِ پشتی Gh0st را نیز بر روی ماشین‌های آلوده نصب کند. این امر نشان می‌دهد که اپراتورهای بدافزار ممکن است حملات بیشتری را راه‌اندازی کنند، همان‌طور که اخیرا در مورد بدافزار PyRoMine نیز مشاهده شده است. شرکت AlienVault تاکنون دو کیف پول مونرو متعلق به اپراتورهای MassMiner را شناسایی کرده است.
 

منبع

پست‌های مشابه

Leave a Comment