Киберпреступники распространяют криптомайнер с помощью EternalBlue

Киберпреступники атакуют азиатских пользователей с помощью троянов и майнеров криптовалюты Monero, распространяющихся с помощью эксплоита EternalBlue и локальных приложений на атакуемых системах.

В январе нынешнего года вредоносная кампания, жертвами которой стали пользователи в Китае, была зафиксирована исследователями компании Qihoo 360. В то время злоумышленники использовали инструменты с открытым исходным кодом Invoke-SMBClient и PowerDump для завершения хеширования паролей и осуществления атак pass-the-hash.

Теперь же киберпреступники добавили в свое вредоносное ПО разработанный Агентством национальной безопасности США и утекший в Сеть эксплоит EternalBlue, сообщает компания Trend Micro. Изначально эксперты фиксировали атаки с его использованием только в Японии, однако затем они распространились на Австралию, Тайвань, Гонконг, Индию и Вьетнам.

После успешного заражения системы вредоносное ПО загружает со своего C&C-сервера скрипт PowerShell, а также записывает MAC-адрес зараженного компьютера и сканирует его на наличие антивирусных решений. В свою очередь скрипт загружает троян, детектируемый Trend Micro как TrojanSpy.Win32.BEAHNY.THCACAI. Троян собирает данные о системе (имя компьютера, GUID, MAC-адрес, версию ОС, характеристики видеокарты и системное время).

Вместе с трояном загружается PowerShell-реализация варианта Mimikatz, добавляющая вредоносу функцию самораспространения. Также загружается криптомайнер XMRig, развертываемый с помощью PowerShell и внедряемый прямиком в собственный процесс с помощью инструмента с открытым исходным кодом Invoke-ReflectivePEInjection.

Pass-the-hash – один из видов атаки повторного воспроизведения. Она позволяет атакующему авторизоваться на удаленном сервере, аутентификация на котором осуществляется с использованием протокола NTLM или LM.

Источник: Securitylab