خلاصه: بدافزار جدیدی بهنام Xbash که تمامی قابلیتهای باجافزار، استخراج رمز-ارز، باتنت و انتشار خودکار را ترکیب کرده است، سیستمهای لینوکسی و ویندوزی را هدف قرار میدهد. Xbash از یک لیست آدرس IP و دامنهی فراهمشده توسط سرور کنترل و فرمان خود برای اسکن پورتهای باز خاص، مجوزهای ضعیف یا سه آسیبپذیری شناختهشده در هدوپ، Redis و ActiveMQ استفاده میکند. گفته میشود بدافزارهای ماژولار و چندکاره برای سازمانها به یک تهدید جدید تبدیل شدهاند که برای دفاع در مقابل آنها به رویکردهای دفاعی سطح بالاتری نیاز است.
بدافزار جدیدی که تمامی قابلیتهای باجافزار، استخراج رمز-ارز، باتنت و انتشار خودکار را ترکیب کرده است، سیستمهای لینوکسی و ویندوزی را هدف قرار میدهد.
این بدافزار که محققان پالوآلتو آن را Xbash نامیدهاند ویندوزسرورها و لینوکس را هدف قرار میدهد و حاوی قابلیتهایی است که بعد از اجرای کامل کمک میکنند تا بهسرعت در یک شبکهی سازمانی توزیع شود.
بهگفتهی محققان پالوآلتو، تحلیلها نشان میدهد که این بدافزار سرورهای لینوکسی را با قابلیتهای باجافزاری و باتنتی و ویندوزسرورها را برای استخراج رمز-ارز و انتشار خودکار، هدف قرار میدهد.
قابلیتهای باجافزار Xbash، آن را قادر میسازد تا پایگاهدادههای مبتنی برلینوکس را مورد هدف قرار دهد. متاسفانه، بهنظر میرسد که این بدافزار هیچگونه عملکردی برای کمک به قربانیان برای بازیابی دادههای از دست رفته ندارد و فقط باج دریافت میکنند!
تاکنون حداقل ۴۸ قربانی حدود ۶۰۰۰ دلار به مهاجمان پرداخت کردهاند، اما شواهدی مبنی بر اینکه هیچکدام از آنها قادر به بازیابی دادههایشان شدهاند وجود ندارد.
این بدافزار ظاهرا کار گروه Iron است. بهنظر میرسد این گروه که قبلا نیز حملاتی در حوزهی باجافزار و استخراج رمز-ارز در سیستمهای ویندوزی داشته، این بار با استفاده از Xbash اهداف خود را به سیستمهای لینوکسی نیزگسترش داده است.
برخلاف دیگر بدافزارهای لینوکسی مانند Gafgyt و Mirai که دستگاههای آسیبپذیر را با استفاده از آدرسهای IP تولیدشده بهصورت تصادفی اسکن میکنند، بدافزار Xbash دستگاههای آسیبپذیر را با نام دامنه اسکن میکند.
Xbash از یک لیست آدرس IP و دامنهی فراهمشده توسط سرور کنترل و فرمان خود برای اسکن پورتهای باز خاص، مجوزهای ضعیف یا سه آسیبپذیری شناختهشده در هدوپ، Redis و ActiveMQ استفاده میکند. این بدافزار بعدا از این اسکنها برای توزیع خودکار استفاده میکند.
نمونهی این بدافزار که توسط محققان پالوآلتو تحلیل شده است، نشان میدهد که صاحبان Xbash در حال توسعهی قابلیت جدیدی هستند به بدافزار امکان اسکن شبکههای آلودهی دیگر سرورها را نیز میدهد. این قابلیت هنوز فعال نشده است، اما اگر فعال شود، Xbash قادر خواهد بود تا بهسرعت همانند واناکرا و Petya/NotPetya داخل یک شبکهی آلوده توزیع شود.
بدافزارهای ماژولار و چندکاره برای سازمانها به یک تهدید جدید تبدیل شدهاند. در هفتههای اخیر چندین شرکت امنیتی هشدارهایی را در مورد بدافزارهای مخرب چندکاره صادر کردهاند. میتوان گفت برای دفاع در برابر این توع از تهدیدات به یک رویکرد سطح بالاتری نیاز است.
