آزمایشگاه تخصصی آپا دانشگاه فردوسی مشهد::FUM CERT Lab. (Computer Emergency Response Team)

بیش از پانصد هزار ماشین تحت ویندوز با نرم‌افزار استخراج ارز دیجیتال Monero آلوده شده‌اند

عنوانبیش از پانصد هزار ماشین تحت ویندوز با نرم‌افزار استخراج ارز دیجیتال Monero آلوده شده‌اند
گروه اصلیOther
شرح خبر

 

به گفته محققان Proofpoint، بیش از 526000 میزبان ویندوزی – غالباً سرویس‌دهنده‌های ویندوز – توسط یک کاوش‌گر ارز دیجیتال Monero با نام Smominru آلوده شده‌اند.

در یک وبلاگ مرتبط با وب‌گاه Proofpoint، که از اواخر ماه می 2017 در حال مانیتورینگ کاوش‌گر ارز دیجیتال است، تشریح شده که این کاوش‌گر، با سوءاستفاده از نقض امنیتی EternalBlue (CVE-2017-0144)، گسترش پیدا کرده و مادامی‌که Smominru به خوبی مستند شده، استفاده آن از زیرساخت مدیریت ویندوز، برای بدافزار استخراج ارز چندان رایج نیست.

«بر مبنای قدرت هش مرتبط با آدرس پرداخت Monero برای این عملیات، به‌نظر می‌رسد اندازه این بات‌نت تقریباً دو برابر Adylkuzz می‌باشد. اپراتورها تا کنون حدود 8900 مورد ارز Monero را استخراج کرده‌اند (که این هفته بین 2.8 تا 3.6 میلیون دلار ارزش‌ گذاری شده است). این بات‌نت هر روزه حدود 24 ارز Monero را استخراج می‌کند، که به‌طور متوسط در این هفته 8500$ ارزش داشته است.»

Proofpint افزود، دست‌کم 25 میزبان به‌واسطه EternalBlue حملات را هدایت کردند، تا گره‌های جدید را آلوده کرده و اندازه بات‌نت را افزایش دهند، و به نظر می‌رسد این میزبان‌ها تحت سیستم ناشناخته شبکه AS63199 قرار دارند.

«سایر محققان حملاتی را به‌واسطه SQL Server گزارش کردند، و ما معتقدیم که به احتمال زیاد، عاملان، مشابه اکثر مهاجمان EternalBlue، از EsteemAudit (CVE-2017-0176 RDP) استفاده کرده‌اند. زیرساخت فرمان و کنترل (C&C) بات‌نت تحت SharkTech میزبانی می‌شود، که ما در رابطه با این سوءاستفاده اطلاع‌رسانی کردیم، اما هنوز پاسخی دریافت نکردیم.»

Proofpoint هشدار داد که اپراتورهای این بات‌نت مقاوم هستند، و از انواع سوءاستفاده‌های موجود بهره می‌برند تا بات‌نت خود را گسترش دهند، و روش‌های متعددی برای بازیابی پس از عملیات تخریب پیدا کرده‌اند.

«از آنجایی‌که به‌ نظر می‌رسد اکثر گره‌ها در این بات‌نت سرویس‌دهنده‌های ویندوز هستند، تأثیر عملکرد بر روی زیرساخت‌های تجاری، که به‌طور بالقوه بحرانی هستند، ممکن است بالا باشد، همانگونه که هزینه افزایش مصرف انرژی توسط سرویس‌دهنده‌ها، به میزان زیادی به ظرفیت نزدیک‌تر است.»

به گفته Nadav Avital، محقق امنیت در Imperva، «بدافزار استخراج ارز دیجیتال، صرف‌نظر از اهداف مهاجمین، به محبوب‌ترین حالت عملیاتی برای آن‌ها تبدیل شده است. تحلیل‌های ما همچنین ارزهای دیجیتال ناشناخته مورد علاقه مهاجمان را نشان داد، که برجسته‌ترین آن‌ها، Monero می‌باشد. ارزهای دیجیتال به‌دلیل امنیت، محرمانگی و ردیابی دشوار محبوبیت دارند. از آن‌جایی که بسیاری از سرویس‌دهنده‌ها به موقع به‌روزرسانی یا وصله نمی‌شوند، مهاجمان شانس بزرگتری برای موفقیت دارند.»

آدرس اینترنتی خبرhttps://www.infosecurity-magazine.com/news/over-500000-machines-infected/
تاریخ درج خبر1396-11-16
صفحه اصلی | تماس با ما | معرفی آزمایشگاه | ورود
©2018 Ferdowsi University Of Mashhad
مرکز آپا | آپا | آپا چیست