Вредоносная активность, связанная с ThinkPHP, растет

В результате эксплойта на машину может быть загружен Mirai-подобный бот, криптомайнер или Windows-зловред.

Исследователи из Akamai Networks фиксируют рост сканов, нацеленных на выявление незакрытой RCE-уязвимости в фреймворке ThinkPHP. Обнаружив пригодное для эксплойта устройство, злоумышленники пытаются внедрить на него Linux-бот или использовать для майнинга криптовалюты.

Уязвимость удаленного исполнения кода в ThinkPHP, которой был присвоен идентификатор CVE-2018-20062, разработчики устранили в начале декабря. Рабочие эксплойты для этой бреши уже выложены в открытый доступ, и злоумышленники взяли их на вооружение.

Наблюдаемая в Akamai скан-активность исходит в основном с IP-адресов, прописанных в Азиатско-Тихоокеанском регионе. Как удалось установить, проверки на уязвимость по большей части проводятся со скомпрометированных серверов, роутеров и IoT-устройств. В некоторых случаях инициатор соединения маскируется под поисковый робот Baidu (путем подмены строки User-Agent).

«Мы фиксируем порядка 600 сканов в сутки, — заявил журналистам Dark Reading эксперт Akamai Ларри Кэшдоллар (Larry Cashdollar). — Сканирование ведется во всех вертикалях — в сетях производителей ПО, поставщиков услуг по прокату автомобилей и т.д.».

Результаты эксплуатации CVE-2018-20062 могут быть различными, от открытия бэкдора до загрузки одной из многочисленных вариаций Mirai, криптомайнера или Windows-зловреда.

Так, анализируя одну из атак через ThinkPHP, Кэшдоллар обнаружил написанный на Си образец Mirai-подобного бота с именем dark.x86. Командный сервер зловреда был поднят в домене cnc[.]santaiot[.]net; для связи с ним зараженное устройство обращалось к DNS-серверу Google по IP-адресу 8.8.8.8.

На порту 23 была также замечена попытка соединения с молдавским IP 176.123.26.89 (mx5.adseto.com). В ходе тестирования dark.x86 также попытался начать поиск открытых портов Telnet, но на тестовой машине все внешние соединения были заблокированы. Из портов прослушивания, помимо TCP 17384 и UDP > 32000, эксперт отметил ssh, httpd и ftpd — по всей видимости, эти каналы используются для загрузки дополнительных файлов с C&C-сервера.

Подключение к C&C осуществляется через TCP-порт 39215; при открытии Telnet-сессии пользователь должен по подсказке (на китайском языке) ввести имя и уточнить, какие роутеры следует атаковать. Дальнейший анализ показал, что строки вредоносного кода зашифрованы путем выполнения операции XOR, а сам Linux-бот снабжен сканером и компонентом для эксплуатации уязвимостей.

Из Windows-зловредов, доставляемых через эксплойт CVE-2018-20062, Кэшдоллару попались два даунлоудера: HttpFileServer, загружающий майнер XMRig, и Download.exe, который награждает жертву многофункциональным зловредом, скрывающимся в файле mscteui.exe. Последний на поверку обладает следующими возможностями:

• сбор учетных данных с помощью Mimikatz;
• проведение DDoS-атак по типу SYN flood;
• рассылка спама;
• получение доступа путем перебора дефолтных логинов и паролей;
• вывод данных с устройства.

Ваш голос учтён!

нравится

не нравится

Рейтинг:

0

Всего голосов: 0

Новые материалы в Разное:

RuStore открыл доступ иностранным разработчикам   // 08 февраля

CISA опубликовало декриптор в помощь жертвам шифровальщика ESXiArgs   // 08 февраля

Google обещает блюрить непристойные и жестокие картинки поиска   // 08 февраля

Бизнес предлагает продавать алкоголь по 2FA   // 08 февраля