XMrig атакует через PowerShell-скрипты и EternalBlue

Эксперты Trend Micro обнаружили криптоджекинговую кампанию, которая объединила в себе несколько вредоносных PowerShell-скриптов и эксплойт EternalBlue. Атаки злоумышленников направлены на пользователей в странах Азиатско-Тихоокеанского региона.

Для доставки майнера XMrig на компьютеры жертв организаторы кампании используют специфический загрузчик с целым набором вредоносных функций. Первым делом он отправляет организаторам кампании MAC-адрес зараженной машины и данные об установленном защитном ПО. Далее программа скачивает PowerShell-скрипт, который догружает дополнительные модули. Эксперты отмечают, что в основном это новые копии зловреда.

Загрузчик уточняет, какие компоненты отсутствуют на компьютере жертвы, и устанавливает их актуальные версии. После этого зловред отправляет операторам расширенные данные об устройстве, включая имя машины, версию ОС и информацию о видеопамяти.

«Хотя эти данные могут показаться не слишком ценными, они позволяют четко идентифицировать конкретный компьютер, — подчеркивают исследователи. — В дальнейшем с их помощью преступники смогут отслеживать активность пользователей».

Криптомайнер XMrig также разворачивается на компьютере с помощью PowerShell. Примечательно, что код на загрузку и запуск зловреда встроен внутрь opensource-скрипта — это позволило преступникам не использовать дополнительный файл. Эксперты также нашли в коде дроппера отсылку еще к одному исполняемому компоненту, но изучить его не удалось, поскольку на момент обнаружения соответствующий URL был неактивен.

Программа эффективно распространяется по корпоративной сети, пытаясь авторизоваться с помощью вшитых паролей. На пораженных компьютерах она меняет настройки брандмауэров таким образом, чтобы те сами скачивали и запускали дистрибутив зловреда. Отдельный блок паролей обеспечивает возможность взлома SQL-баз.

В дополнение к слабым учетным данным обнаруженный загрузчик применяет технику pass the hash, авторизуясь на удаленных серверах с помощью хешированных паролей, которые хранятся на зараженных компьютерах. За эту функцию отвечает бинарный Python-файл, который скачивает и запускает PowerShell-версию легитимной утилиты Mimikatz. В случае успеха этот компонент запускает передачу файлов через SMB-протокол, используя доступный в Сети скрипт Invoke-SMBClient.

Если же первые два способа не дают ожидаемый результат, программа выполняет эксплойт EternalBlue. Эта брешь SMB-протокола ранее спровоцировала эпидемии WannaCry и Petya, после чего ее взяли на вооружение операторы самых разных зловредов.

В настоящий момент нет данных о числе жертв обнаруженного зловреда. Известно, что его первые атаки были зафиксированы в Китае, после чего он отметился в Австралии, Вьетнаме, Гонконге, Индии и Японии.

Авторы исследования указали, что обнаруженный зловред представляет собой серьезную угрозу благодаря возможности быстро распространяться и долго оставаться незамеченным.

«Растущая популярность PowerShell вместе со все большим количеством opensource-скриптов позволяют предположить, что в ближайшем будущем мы увидим еще немало подобных программ», — заключают эксперты.

В январе специалисты обнаружили LNK-зловред, который использовал PowerShell-скрипт для показа нежелательной рекламы. Создатели вредоносного ПО распространяли его через торрент-трекеры под видом пиратской копии фильма «Девушка, которая застряла в паутине».

Источник: https://threatpost.ru/xmrig-attacks-through-powershell-and-eteranlblue-exploit/32275/

Дата: 2019-04-15 16:23:56

Источник: https://exploit.in/2019/12356/