Nueva campaña utiliza exploits de la NSA para minería de Monero
tomoneda Monero.
La campaña sido detectada por F5 Networks, que la ha denominado Zealot, debido a zealot.zip, uno de los archivos malignos unidos a los servidores objeto de los ataques. Según se indica, el ataque ha sido posible mediante el mismo exploit utilizado en el hack de Equifax.
Los investigadores Maxim Zavodchik y Liron Segal, de F5 Networks, los atacantes escanean Internet en busca de servidores vulnerables; es decir, no parcheados, utilizando dos exploits, CVE-2017-5638 y CVE-2017-9822, para Apache Struts y DotNetNuke ASP.NET CMS, respectivamente.
La vulnerabilidad de Apache Struts es la misma que otros atacantes utilizaron en meses pasados para vulnerar los sistemas de gigante financiero estadounidense Equifax. Paralelamente, otro grupo de delincuentes utilizó la misma vulnerabilidad en abril para atacar servidores Struts, donde instalaron ransomware.
Al encontrar un servidor Windows vulnerable, los atacantes instalan EternalBlue y EternalSynergy, dos exploits de la NSA filtrados a Internet por el grupo autodenominado Shadow Brokers. En algunos casos, también utilizaron PowerShell de Windows para descargar e instalar una aplicación de malware utilizada para la minería de Monero.
Los investigadores de F5 recalcan que los atacantes pudieron haber utilizado la última etapa del proceso; es decir, la instalación de malware, para instalar a su antojo virus y troyanos, aparte de ransomware. Cabe señalar que los atacantes sólo descargaron US$8500 en algunos monederos dispersos, lo que lleva a preguntarse si acaso el objetivo era más bien probar un concepto de ataque, en el lugar de procurar un botín económico. Esta perspectiva se ve refrendada por los expertos Zavodchik y Segal, quienes comentaron: “el nivel de sofisticación que hemos visto en la campaña Zealot nos lleva a creer que esta fue desarrollada y ejecutada por actores con conocimientos muy superiores a los de quienes normalmente operan botnets”. Con ellos se referían a la capacidad de instalar y activar una cadena de infección de varios niveles, para luego instalar malware avanzado y especialmente adaptado, y finalmente la capacidad de desplazarse lateralmente entre distintas capas de una red
Ver información original al respecto en Fuente:
NOTA: Los interesados en información sobre contrato de soporte Asistencia Tecnica de SATINFO y/o licencia de uso/actualizaciones de sus utilidades, contacten con info@satinfo.es
__________
Este blog no se hace responsable de las opiniones y comentarios de los textos en los que se cita la Fuente, ofreciendo su contenido solo para facilitar el acceso a la información del mismo.
Puedes seguir cualquier respuesta a esta entrada mediante el canal RSS 2.0. Los comentarios y los pings están cerrados.
Los comentarios están cerrados.