اکسپلویت اترنال‌بلو، این‌بار در بدافزار PowerGhost

خلاصه: بدافزار تازه کشف‌شده‌ی PowerGhost از طریق شبکه‌های سازمانی توزیع شده و سرورها و مراکز کاری را برای استخراج قانونی رمزارز و انجام حملات DDoS آلوده می‌کند. PowerGhost  سعی می کند با استفاده از اکسپلویت Eternalblue  بر روی سطح شبکه محلی پخش شود. سپس با وارد شدن به سیستم قربانی، امتیازات خود را افزایش داده و ماینری را بر روی سیستم راه‌اندازی می‌کند.

 

بدافزار تازه کشف‌شده‌ی PowerGhost از طریق شبکه‌های سازمانی توزیع شده و سرورها و مراکز کاری را برای استخراج قانونی رمزارز و انجام حملات DDoS آلوده می‌کند.

مجرمان سایبری تعداد زیادی از شبکه‌های سازمانی را برای استخراج رمزارز و حملات DDOS مورد هدف قرار می‌دهند تا بتوانند سود زیادی بدست آورند. بنابراین شبکه‌های سازمانی باید بهترین سرویس‌های مقابله با حملات DDoS برای محافظت و جلوگیری از آسیب دیدن شبکه‌هایشان انتخاب کنند!

در این مورد مهاجمان از تکنیک بدافزار فاقد فایل برای حفظ پایداری و دورزدن آنتی‌ویروس استفاده کرده و با استفاده از اکسپلویت‌های شناخته شده مانند Eternalblue از آسیب‌پذیری‌های سازمان استفاده می‌کنند.

PowerGhost بیشتر در هند ، برزیل ، کلمبیا و ترکیه دیده شده و تعداد زیادی از شبکه های محلی شرکت های بزرگ را آلوده کرده است.

ابتدا، قربانی ها با استفاده از ابزار های مدیریت از راه دور یا توسط  اکسپلویت ها و اسکریپت های PowerShell آلوده شده سپس فایل های مورد نیاز برای استخراج رمزارز دانلود شده و بلا فاصله داخل هارد درایو راه‌اندازی می‌شوند.

PowerGhost  مثل یک اسکریپت PowerShell  مبهم ‌سازی شده که تعدادی بخش مهم از جمله ماینر، کتابخانه به منظور استفاده در عملیات استخراج رمزارز و تزریق فایل PE برای اکسپلویت EternalBlue در بر دارد عمل می کند.

به‌گفته‌ی کسپراسکی، ماینر مجوزهای حساب کاربری کاربر را از روی ماشین فعلی بدست اورده و از آن برای وارد شدن و  پخش کردن یک کپی از خود از طریق WMI  بر روی سطح شبکه  محلی استفاده می کند.

PowerGhost  سعی می کند با استفاده از اکسپلویت Eternalblue  بر روی سطح شبکه محلی پخش شود.

(MS17-010, CVE-2017-0144)

سپس امتیازات خود را پس از وارد شدن به سیستم جدید با اکسپلویت‌های ۳۲ یا ۶۴ بیتی برای MS16-032، MS15-051 و CVE-2018-8120 افزایش می‌دهد.

محققان همچنین در یکی از نسخه‌های PowerGhost ابزاری را برای انجام حملات DDOS کشف کردند. هدف از این ابزار به دست آورد پول بیشتر در کنار سود عملیات استخراج رمزارز می‌باشد.