Kötü amaçlı yazılım olarak bilinen KirliMoe Son araştırmalara göre, herhangi bir kullanıcı etkileşimi gerektirmeden erişimini genişletmesine olanak tanıyan yeni solucan benzeri yayılma yetenekleri kazandı.
“Solucan modülü, daha eski ve iyi bilinen güvenlik açıklarını hedefler, örn. EbediMavi ve Sıcak patates Windows ayrıcalık yükseltme,” Avast araştırmacısı Martin Chlumecký dedim Çarşamba günü yayınlanan bir raporda.
“Bir solucan modülü, günde yüz binlerce özel ve genel IP adresi üretebilir ve bunlara saldırabilir; birçok makine hala yama uygulanmamış sistemler veya zayıf parolalar kullandığından birçok kurban risk altındadır.”
2016 yılından beri aktif olan DirtyMoe botnet Cryptojacking ve dağıtılmış hizmet reddi (DDoS) saldırılarını gerçekleştirmek için kullanılır ve PurpleFox veya enjekte edilen Telegram Messenger yükleyicileri gibi harici istismar kitleri aracılığıyla dağıtılır.
Ayrıca saldırı dizisinin bir parçası olarak, Monero madenciliği modüllerini yüklemek ve kötü amaçlı yazılımı solucan benzeri bir şekilde yaymak için kullanılan Core ve Executioner olmak üzere iki ek işlemin başlatılmasını tetikleyen bir DirtyMoe hizmeti de kullanılır.
Solucan modülleri, kötü amaçlı yazılımı yüklemek için çeşitli güvenlik açıkları kullanarak kurban makinelere saldırır ve her modül, keşif sonrası toplanan bilgilere dayalı olarak belirli bir kusuru hedefler.
- CVE-2019-9082: ThinkPHP – Çoklu PHP Enjeksiyon RCE’leri
- CVE-2019-2725: Oracle Weblogic Server – ‘AsyncResponseService’ Seriyi Kaldırma RCE
- CVE-2019-1458: WizardOpium Yerel Ayrıcalık Yükseltme
- CVE-2018-0147: Seriyi Kaldırma Güvenlik Açığı
- CVE-2017-0144: EternalBlue SMB Uzaktan Kod Yürütme (MS17-010)
- MS15-076: RCE Ayrıcalık Yükseltmesine İzin Veriyor (Sıcak Patates Windows Ayrıcalık Yükseltmesi)
- Zayıf parolalarla MS SQL Sunucuları, SMB ve Windows Yönetim Araçları (WMI) hizmetlerini hedefleyen sözlük saldırıları
Chlumecký, “Solucanlı modülün ana amacı, yönetici ayrıcalıkları altında RCE’ye ulaşmak ve yeni bir DirtyMoe örneği kurmaktır,” diye açıkladı Chlumecký, bileşenin temel işlevlerinden birini ekleyerek, modül.
Ayrıca, geliştirilmekte olan başka bir solucan modülünün PHP, Java Seriyi Kaldırma ve Oracle Weblogic Sunucularını hedef alan açıklar içerdiği ve saldırganların bulaşmaların kapsamını genişletmek istediğini ima ettiği bulundu.
Chlumecký, “Solucan hedef IP’leri, dünya çapında ve solucan modülünün jeolojik konumuyla ilgili olarak IP adreslerini eşit olarak üreten akıllıca tasarlanmış algoritma kullanılarak oluşturulur.” Dedi. “Ayrıca, modül yerel/ev ağlarını hedefliyor. Bu nedenle, genel IP’ler ve hatta güvenlik duvarlarının arkasındaki özel ağlar risk altındadır.”