DirtyMoe Botnet krijgt nieuwe voordelen in Wormable Module om zich snel te verspreiden

DirtyMoe Botnet krijgt nieuwe voordelen in Wormable Module om zich snel te verspreiden Nachrichten

De malware die bekend staat als DirtyMoe heeft nieuwe wormachtige propagatiemogelijkheden gekregen waarmee het zijn bereik kan vergroten zonder enige gebruikersinteractie, zo blijkt uit het laatste onderzoek.

“De ontwormingsmodule richt zich op oudere bekende kwetsbaarheden, bijv. Eeuwig Blauw en Hete aardappel Escalatie van Windows-privileges”, Avast-onderzoeker Martin Chlumecký zei in een woensdag gepubliceerd rapport.

“Eén wormmodule kan honderdduizenden privé- en openbare IP-adressen per dag genereren en aanvallen; veel slachtoffers lopen risico omdat veel machines nog steeds ongepatchte systemen of zwakke wachtwoorden gebruiken.”

Actief sinds 2016, de DirtyMoe-botnet wordt gebruikt voor het uitvoeren van cryptojacking en gedistribueerde denial-of-service (DDoS)-aanvallen, en wordt ingezet door middel van externe exploitkits zoals PurpleFox of geïnjecteerde installatieprogramma’s van Telegram Messenger.

Als onderdeel van de aanvalsreeks wordt ook een DirtyMoe-service gebruikt die de lancering van twee extra processen activeert, namelijk de Core en de Executioner, die worden gebruikt om de modules voor Monero-mining te laden en de malware op een wormachtige manier te verspreiden.

De wormmodules vallen de machines van slachtoffers aan door verschillende kwetsbaarheden te gebruiken om de malware te installeren, waarbij elke module zich richt op een specifieke fout op basis van informatie die na verkenning is verzameld –

  • CVE-2019-9082: ThinkPHP – Meerdere PHP-injectie RCE’s
  • CVE-2019-2725: Oracle Weblogic Server – ‘AsyncResponseService’ deserialisatie RCE
  • CVE-2019-1458: WizardOpium lokale privilege-escalatie
  • CVE-2018-0147: Kwetsbaarheid deserialisatie
  • CVE-2017-0144: Uitvoering van EternalBlue SMB-code op afstand (MS17-010)
  • MS15-076: RCE staat verhoging van bevoegdheden toe (Hot Potato Windows-privilege-escalatie)
  • Woordenboekaanvallen gericht op MS SQL Servers, SMB en Windows Management Instrumentation (WMI)-services met zwakke wachtwoorden

“Het belangrijkste doel van de ontwormingsmodule is om RCE onder beheerdersrechten te bereiken en een nieuwe DirtyMoe-instantie te installeren”, legt Chlumecký uit. module.

Verder werd ontdekt dat een andere in ontwikkeling zijnde ontwormingsmodule exploits bevat die gericht zijn op PHP, Java Deserialisatie en Oracle Weblogic Servers, wat impliceert dat de aanvallers de reikwijdte van de infecties willen vergroten.

“Ontwormende doel-IP’s worden gegenereerd met behulp van het slim ontworpen algoritme dat gelijkmatig IP-adressen genereert over de hele wereld en in relatie tot de geologische locatie van de ontwormingsmodule,” zei Chlumecký. “Bovendien richt de module zich op lokale/thuisnetwerken. Hierdoor lopen openbare IP’s en zelfs privénetwerken achter firewalls gevaar.”

David
Rate author
Hackarizona