Ботнет DirtyMoe обзавелся червеобразным модулем для быстрого распространения

19 марта, 2022

Один модуль может генерировать и атаковать сотни тысяч частных и общедоступных IP-адресов в день.

98107d9bdf53a60dbb7dc8e5d60c1592.webp
Вредоносное ПО под названием DirtyMoe получило новые возможности червеобразного распространения, которые позволяют ему расширять свою сферу действия, не требуя какого-либо взаимодействия с пользователем.

«Модуль использует старые известные уязвимости, например, EternalBlue и уязвимость повышения привилегий Windows Hot Potato. Один червеобразный модуль может генерировать и атаковать сотни тысяч частных и общедоступных IP-адресов в день. Многие компании подвержены рискам атак, поскольку все еще используют непропатченные системы или ненадежные пароли», — сказал специалист Мартин Хлумецки (Martin Chlumecky) из Avast.

Ботнет DirtyMoe с 2016 года используется для проведения криптоджекинга и распределенных атак типа «отказ в обслуживании» (DDoS). Вредонос развертывается с помощью внешних наборов эксплоитов, таких как PurpleFox, или внедренных установщиков Telegram Messenger.

В ходе атак также используется служба DirtyMoe, запускающая два дополнительных процесса (Core и Executioner) для загрузки модулей майнинга криптовалюты Monero и червеобразного распространения вредоносного ПО.

Модули атакуют компьютеры, используя несколько уязвимостей для установки вредоносного ПО, при этом каждый модуль нацелен на конкретную уязвимость:
  • CVE-2019-9082: ThinkPHP — RCE-уязвимость;
  • CVE-2019-2725: Oracle Weblogic Server — RCE-уязвимость десериализации AsyncResponseService;
  • CVE-2019-1458: Уязвимость повышения локальных привилегий WizardOpium;
  • CVE-2018-0147: Уязвимость десериализации;
  • CVE-2017-0144: RCE-уязвимость EternalBlue SMB (MS17-010);
  • MS15-076: Уязвимость повышения привилегий Hot Potato Windows.
Основная цель червеобразного модуля червя — получить возможность удаленного выполнения кода с правами администратора и установить новый экземпляр DirtyMoe. Одной из основных функций компонента является создание списка IP-адресов для атаки на основе геологического местоположения модуля.

Подробнее:
 
Назад
Сверху Снизу