ВРЕДОНОСНАЯ АКТИВНОСТЬ, СВЯЗАННАЯ С THINKPHP, РАСТЕТ

Угрозы нулевого дня, вспышки эпидемий и всё, что ещё не изучено.
Ответить
Аватара пользователя
HADD-NEELS
Сообщения: 22782
Зарегистрирован: 12 окт 2016, 18:17

ВРЕДОНОСНАЯ АКТИВНОСТЬ, СВЯЗАННАЯ С THINKPHP, РАСТЕТ

Сообщение HADD-NEELS »

ВРЕДОНОСНАЯ АКТИВНОСТЬ, СВЯЗАННАЯ С THINKPHP, РАСТЕТ


Исследователи из Akamai Networks фиксируют рост сканов, нацеленных на выявление незакрытой RCE-уязвимости в фреймворке ThinkPHP. Обнаружив пригодное для эксплойта устройство, злоумышленники пытаются внедрить на него Linux-бот или использовать для майнинга криптовалюты.
https://threatpost.ru/akamai-reports-wi ... php/30617/

Уязвимость удаленного исполнения кода в ThinkPHP, которой был присвоен идентификатор CVE-2018-20062, разработчики устранили в начале декабря. Рабочие эксплойты для этой бреши уже выложены в открытый доступ, и злоумышленники взяли их на вооружение.

Наблюдаемая в Akamai скан-активность исходит в основном с IP-адресов, прописанных в Азиатско-Тихоокеанском регионе. Как удалось установить, проверки на уязвимость по большей части проводятся со скомпрометированных серверов, роутеров и IoT-устройств. В некоторых случаях инициатор соединения маскируется под поисковый робот Baidu (путем подмены строки User-Agent).

«Мы фиксируем порядка 600 сканов в сутки, — заявил журналистам Dark Reading эксперт Akamai Ларри Кэшдоллар (Larry Cashdollar). — Сканирование ведется во всех вертикалях — в сетях производителей ПО, поставщиков услуг по прокату автомобилей и т.д.».

Результаты эксплуатации CVE-2018-20062 могут быть различными, от открытия бэкдора до загрузки одной из многочисленных вариаций Mirai, криптомайнера или Windows-зловреда.
Так, анализируя одну из атак через ThinkPHP, Кэшдоллар обнаружил написанный на Си образец Mirai-подобного бота с именем dark.x86. Командный сервер зловреда был поднят в домене cnc[.]santaiot[.]net; для связи с ним зараженное устройство обращалось к DNS-серверу Google по IP-адресу 8.8.8.8.

На порту 23 была также замечена попытка соединения с молдавским IP 176.123.26.89 (mx5.adseto.com). В ходе тестирования dark.x86 также попытался начать поиск открытых портов Telnet, но на тестовой машине все внешние соединения были заблокированы. Из портов прослушивания, помимо TCP 17384 и UDP > 32000, эксперт отметил ssh, httpd и ftpd — по всей видимости, эти каналы используются для загрузки дополнительных файлов с C&C-сервера.

Подключение к C&C осуществляется через TCP-порт 39215; при открытии Telnet-сессии пользователь должен по подсказке (на китайском языке) ввести имя и уточнить, какие роутеры следует атаковать. Дальнейший анализ показал, что строки вредоносного кода зашифрованы путем выполнения операции XOR, а сам Linux-бот снабжен сканером и компонентом для эксплуатации уязвимостей.

Из Windows-зловредов, доставляемых через эксплойт CVE-2018-20062, Кэшдоллару попались два даунлоудера: HttpFileServer, загружающий майнер XMRig, и Download.exe, который награждает жертву многофункциональным зловредом, скрывающимся в файле mscteui.exe. Последний на поверку обладает следующими возможностями:
  • сбор учетных данных с помощью Mimikatz;
  • проведение DDoS-атак по типу SYN flood;
  • рассылка спама;
  • получение доступа путем перебора дефолтных логинов и паролей;
  • вывод данных с устройства
https://threatpost.ru/akamai-reports-wi ... php/30617/
Аватара пользователя
x-sis
Сообщения: 10358
Зарегистрирован: 26 фев 2014, 19:10
Откуда: Россия

Сообщение x-sis »

[QUOTE="HADD-NEELS, post: 52029, member: 2367"]с помощью Mimikatz[/QUOTE]
Хорошая хакерская утилита, способная "вытаскивать" пароли напрямую из памяти Windows (правда, только локальные учетные записи). Вот это как раз тот случай, когда сделанная изначально не во вред программа становится частью вредоносного ПО и используется уже в злонамеренных целях.
Аватара пользователя
HADD-NEELS
Сообщения: 22782
Зарегистрирован: 12 окт 2016, 18:17

Сообщение HADD-NEELS »

Вот и дело = что хорошая.Значит "прилетает" людям.....
Ответить

Вернуться в «Новости угроз безопасности»