Нове і чинне шкідливе ПО відоме як BlackSquid виявили фахівці з Trend Micro.
Телеметрія Trend Micro в останній тиждень травня і перший тиждень червня зафіксувала величезну кількість атак з використанням програмного забезпечення BlackSquid в Таїланді і Сполучених Штатах.
Отже, що це таке? В першу чергу BlackSquid призначений для видобутку криптовалюти Monero на веб-сервері, мережевих і змінних накопичувачах. Все відбувається тихо і непомітно за допомогою використання 8 експлойтів, серед яких і EternalBlue (інструмент від Агентства Національної Безпеки США). Ще досить примітним є те, що інструмент BlackSquid потрапляючи в інфраструктуру жертви спочатку запускає інструмент аналізу для того, щоб перевірити і виявити середовище в якому знаходиться - віртуальна машина або sandbox, і тільки потім починає діяти. У разі, якщо BlackSquid потрапив в Sandbox - він просто перестає вести шкідливу діяльність.
BlackSquid, потрапляє в середовище через вразливості у веб-додатках, які використовуються серверами і за допомогою API GetTickCount, вибирає IP-адреси доступних серверів і компрометує їх за допомогою експлойтів і брутфорса. Далі аналізує залізо, ідентифікує який відеоадаптер використовується NVIDIA або AMD і починає майнити криптовалюту Monero за допомогою попередньо завантажених модулів XMRing. BlackSquid знаходиться на стадії розробки і також дозволяє підвищувати свої права в цільовій системі, красти конфіденційні дані і т.д.
Захистити від подібного програмного забезпечення допоможуть продукти з лінійки Trend Micro™ TippingPoint™ за допомогою фільтрів MainlineDV:
- 2383: CVE-2017-0144 - Remote Code Execution - SMB (Request)
- 2390: EQUATED - SMB (Response)
- 2498: CVE-2017-12615 - APACHE TOMCAT Remote Code Execution via JSP Upload - HTTP (Request)
- 2722: CVE-2017-0146 - Remote Code Execution - SMB (Request)
- 2786: ThinkPHP 5x Remote Code Execution - HTTP (Request)
- 2922: CVE-2014-6287 Rejetto HttpFileServer RCE Exploit - HTTP (Request)
- 2923: BLASQUI Webshell - HTTP (Request)
- 3227: CVE-2014-6287 Rejetto HttpFileServer RCE Exploit - HTTP (Request)
- 3228: BLASQUI Webshell - HTTP (Request)
- 3229: ThinkPHP 5x Remote Code Execution - HTTP (Request)
Звертаємо Вашу увагу, що продукти з лінійки Trend Micro™ TippingPoint™ доступні до замовлення в МТІ.
З оригіналом звіту від Trend Micro Ви зможете ознайомитися за посиланням:
https://blog.trendmicro.com/trendlabs-security-intelligence/blacksquid-slithers-into-servers-and-drives-with-8-notorious-exploits-to-drop-xmrig-miner/
https://btcmanager.com/blacksquid-malware-exploiting-web-servers-mine-monero/?q=/blacksquid-malware-exploiting-web-servers-mine-monero/&