نوع جدیدی از استخراجکننده ارز رمز پایه NRSMiner کاربرانی را در نواحی جنوبی آسیا آلوده کرده است. بیشتر قربانیان از کشورهای ویتنام (۵۴%)، ایران (۱۶%) و مالزی (۱۲%) بودهاند.
نسخه جدیدی از حمله مبتنی بر EternalBlue در حال گسترش است. EternalBlue ابزاری است که توسط NSA توسعه دادهشده و در حمله WannaCry مورداستفاده قرارگرفته است. این ابزار پروتکل SMBv1 را هدف قرار میدهد.
تحلیلی که شرکت F-Secure منتشر کرده نشان میدهد در اواسط نوامبر ۲۰۱۸ گزارشها از نسخه جدیدی از استخراجکننده ارز رمز پایه NRSMiner بهطور گستردهای در حال انتشار است. این استخراجکننده از Eternal Blue برای انتشار استفاده کرده و بهطور فعال در آسیا پخششده است. بیشتر سیستمهای آلوده در ویتنام دیدهشدهاند.
نسخه جدید NRSMiner با دانلود ماژولهای جدید و حذف فایلها و سرویسهای نصبشده نسخه قدیمی از سیستمهای آلوده، خود را بهروزرسانی میکند.
ماشینهای آلوده با نسخههای قدیمیتر NRSMiner سرویس wmassrv را برای اتصال به tecate[.]traduires[.]com بهمنظور دانلود ماژول بهروزرسانی اجرا میکند. ماژول در پوشه %systemroot%\temp با نام tmp[xx].exe که xx مقدار برگشتی تابع GetTickCount است، ذخیره میشود. سپس ماژول بهروزرسانی نسخه جدید را یافته و خود را حذف میکند. در غیر این صورت نسخه جدید را از آدرس URL موجود در کد خود دانلود میکند.
کد مخرب پس از اجرا سرویسی با نام snmpstosrv با snmpstorsrv.dll نصبکرده و سپس خود را حذف میکند. سرویس ساختهشده برای اجرا برخی فعالیتهای بدخواهانه نظیر استخراج ارز رمز پایه چندین نخ ایجاد میکند.
استخراجکننده بهروزرسانی شده به svhost.exe تزریق و عملیات استخراج ارز آغاز میشود. درصورتیکه عمل تزریق موفقیتآمیز نباشد سرویس استخراجکننده را در مسیر %systemroot%\system32\TrustedHostex.exe قرار داده و سپس اجرا میکند.
آخرین نسخه از استخراجکننده NRSMiner وظیفه انتشار را به wininit.exe محول کرده است. wininit.exe دادههای موجود در %systemroot%\AppDiagnostics\blue.xml را از حالت فشرده خارج کرده و فایلهای استخراجشده در پوشه AppDiagnostics ذخیره میکند. یکی از فایلهای استخراجشده svchost.exe است که در حقیقت ابزار EternalBlue نسخه ۲.۲.۰ را اجرا میکند.
Wininit.exe شبکه محلی را برای یافتن آسیبپذیری EternalBlue بر روی پورت ۴۴۵ پویش میکند و در صورت یافتن سیستم آسیبپذیری EternalBlue را بر روی آن اجرا میکند. در صورت موفقیتآمیز بودن اجرا در پشتی DoublePulsar بر روی ماشین قربانی ایجاد میشود.
کد مخرب از استخراجکننده XMRig Monero استفاده میکند.
مطالب مرتبط:
باجافزار WannaCry همچنان در هزاران سیستم در کمین است
بهروزرسانی جدید مایکروسافت برای ۱۷ آسیبپذیری بحرانی
رخنه امنیتی در WebLogic شرکت Oracle به ارزش ۲۲۶ هزار دلار!
منبع: Security Affairs
