گروه تحقیقاتی ATP شرکت مایکروسافت هشدار داد حملاتی که تحت عنوان BlueKeep شناخته میشود به کمپین استخراج ارز دیجیتال وصل شده است.
BlueKeep یک آسیبپذیری اجرای کد از راه دور بدون نیاز به احراز هویت است که بر روی سرویسهای Remote Desktop سیستمعاملهای Window 7، Windows Server 2008 و Windows Server 2008 R2 کشفشده است. شرکت مایکروسافت وصلههای رفع این آسیبپذیری را اواخر اردیبهشتماه منتشر کرده است.
مایکروسافت هشدار میدهد حملات مخربتری در آینده از طریق این آسیبپذیری اجرا خواهد شد «بسیار محتمل است که کدهای بهرهبرداری از آسیبپذیری BlueKeep، برای انتقال کدهای بهمراتب مخربتری از استخراج رمز ارز استفاده شود»
محققان مایکروسافت تائید کردهاند که کمپین BlueKeep از ماژولهای بهرهبرداری منتشرشده در ابزار آزمون نفوذپذیری Metasploit استفاده کردهاند.
بسته استخراج رمز ارزی که توسط این کمپین مورداستفاده قرارگرفته است سیستمعاملهای ویندوزی که سرویسهای RDP آنها از طریق اینترنت بهصورت عمومی در دسترس قرار داشت را در کشورهای فرانسه، روسیه، ایتالیا، اسپانیا، اوکراین، آلمان و انگلستان آلوده کرده است.
مهاجمان سرویسهای RDP آسیبپذیر را موردحمله قرار داده و چندین اسکریپت PowerShell مبهم سازی شده را بر روی آن دانلود و اجرا میکنند. از طریق این اسکریپتها استخراجکنندههای رمز ارز بهعنوان آخرین بسته بر روی سیستم بارگذاری و بهعنوان یک برنامه زمانبندیشده دائمی اجرا میشوند.
مایکروسافت گزارشی تحلیلی از این حملات را منتشر کرده است که در آن به بررسی تهدید BlueKeep پرداخته است.
مطالب مرتبط:
کلاینتهای پروتکل Remote Desktop در معرض حملهی Reverse RDP هستند
هشدار: سوءاستفاده از پروتکل RDP
آسیبپذیری امنیتی خطرناک سرویس Remote Desktop
